Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Risk IT - ISACA - Es PDF
Risk IT - ISACA - Es PDF
Rendimiento y disponibilidad
de los servicios de T.I. que
puedan llevar a la
destruccin o reduccin del
valor de la empresa
Riesgos sobre la
realizacin del
beneficio o entrega
de soluciones de T.I.
Pobre contribucin de T.I.
para nuevas soluciones
de negocio o mejoras a
las ya existentes.
Riesgo sobre la
realizacin de
beneficios de T.I.
Aprovechamiento de
oportunidades para usar la
tecnologa con el fin de
mejorar la eficiencia o
efectividad de los procesos
del negocio o como
habilitador de nuevas
iniciativas de negocio
Riesgos sobre la
entrega de servicios de
T.I.
Habilitacin del
beneficio (Valor)
de T.I.
Entrega de
soluciones de T.I.
(proyectos)
Entrega de
Servicios de T.I.
Cumplimiento regulatorio
Prdida Preservar
Valor del negocio
Riesgo de
generacin de
valor de T.I.
Riesgo en la
entrega de
proyectos de T.I.
Riesgo en la entrega
de servicios y
operaciones de T.I.
Articular el riesgo
Administrar el
riesgo
Reaccionar ante
eventos
Gobierno
IT
RISK
Respuesta
Evaluacin
Recopilar datos
Analizar el riesgo
Mantener un perfil de
riesgo
Conectarse
con los
Objetivos del
Negocio
Funcionar
como parte
de las
actividades
diarias
Alinear el
Riesgo de T.I.
con la
administraci
n de ERM
Principios
de RISK
IT
Establecer
responsabilid
ades tone at
the top
Balacosto/be
neficio nce
del del
Riesgo de T.I.
Promover
una
comunicacin
abierta y
justa
El marco refererencial de
RISK IT es sobre el
riesgo del NEGOCIO
relacionado con el uso
de la T.I.
Funcin
Administradores de riesgo
corporativo
Administradores de riesgo
operativo
Administracin de T.I.
Administradores de la
continuidad del servicio
Funcin
Administradores de la
seguridad de T.I.
Directores Financieros
Oficiales de gobierno
corporativo
Auditores de T.I.
Auditores externos
Aseguradoras
Gobierno de
Riesgo
Integracin con
ERM
Visin
comn del
riesgo
Toma de
decisiones
basadas en
el riesgo
Analizar el
riesgo
Administrar
el riesgo
Articular el
riesgo
Reaccionar
ante los
eventos
Respuesta al
Riesgo
Objetivos
del
negocio
Comunicacin
Recolectar
datos
Mantener
un perfil
de riesgo
Evaluacin de
Riesgos
Generalidades del
Gobierno de Riesgo
Inaceptable
Aceptable
Oportunidad
Frecuencia
Magnitud
Realmente inaceptable
Estrategia,
polticas,
procedimientos,
concientizacin,
capacitacin, etc.
Expectativas
Comunicacin
efectiva del
Riesgo de T.I.
Estado:
Estado
Capacidad:
Madurez de los
Capacidad
procesos de
administracin del
riesgo
Expectativas:
Cultura de
aprendizaje
Conservativo:
Adverso al
riesgo
Agresivo:
Tomador de
riesgos
Cumplir
Cultura
de
Riesgo
Cultura de
culpar
Comportamiento
ante eventos
negativos
No
cumplir
Comportamiento
hacia el
cumplimiento de
polticas
Comportamiento
del tomador de
riesgo
Generalidades de la
Evaluacin del Riesgo
Criterios de informacin
de COBIT
Efectividad
Cuadro de Mando
Integral (CMI)
Financiera
Eficiencia
Cliente
Confidencialidad
Procesos
Integridad
Capacitacin e
innovacin
Disponibilidad
Cumplimiento
Confiabilidad
CMI Extendido
Financiera
Valor de las
acciones
Dividendos
Utilidades
Costo de capital
Cliente
Mercado de acciones
Satisfaccin del
cliente
Servicio al Cliente
Procesos
Cumplimiento
regulatorio
Capacitacin e
innovacin
Ventaja competitiva
Reputacin
Westerman
COSO ERM
FAIR
Agilidad
Estrategia
Productividad
Precisin
Operaciones
Acceso
Reporte
Costo de
respuesta
Disponibilidad
Cumplimiento
Costo de
reemplazo
Ventaja
competitiva
Reputacin
Escenario
top-down
Objetivos
del
negocio
Escenarios
de riesgo
genricos
Escenario
bottom-up
Factores
ambientales
externos
Factores
ambiental
es
internos
Escena
rios
de
riesgo
espec
ficos
de T.I.
Capacidad
para
administra
r el riesgo
Estimar la
frecuencia y
el impacto
Capacidad
de T.I.
Factores de Riesgo
Riesgo
de T.I.
Capacidad
del negocio
relacionada
con T.I.
Evento
Divulgacin
Interrupcin
Tipo de amenaza
Robo
Destruccin
Activo o recurso
Maliciosa
Personas
Accidental
Procesos
Fallas
Instalaciones
Natural
Informacin
Requerimiento externo
Aplicaciones
Actor
Interno
Externo ( competidor,
socio de negocios,
regulador)
Escenario
de riesgo
Tiempo
Duracin
Momento de ocurrencia
Momento de deteccin
Generalidades de la
Respuesta ante el
Riesgo
Evitar el
riesgo
Mitigacin
del riesgo
Transferir el
riesgo
Aceptar el
riesgo
Indicadores
de riesgo
clave RKI
Definicin y
priorizacin
de la
respuesta al
riesgo
Toleranci
a al
riesgo
Estimar la
frecuencia y el
impacto
Riesgo
Parmetros para
seleccionar la
respuesta al riesgo
Anlisis de riesgo
Capacidad de
implementar la respuesta
Efectividad de la
respuesta
Evitarlo
Reducir Mitigar
Compartir Trasladar
Aceptar
Priorizacin de la
respuesta al riesgo
Priorizar la respuesta al
riesgo
Respuesta al
riesgo
Eficiencia de la respuesta
Caso de
negocio
Logros rpidos
(Quick wins)
Retrasar el
impacto
Caso de
negocio
Tasa de costo/efectividad
Riesgo de T.I.
T.I. entrega valor reducido al negocio o del
todo no lo entrega
Oportunidad de la T.I.
Identificacin de nuevas oportunidades de
negocio utilizando la T.I.
Mejoramiento del valor del negocio con el
uso optimizado de las capacidades de la
T.I.
Gobierno de
Riesgo
Integracin con
ERM
Visin
comn del
riesgo
Toma de
decisiones
basadas en
el riesgo
Analizar el
riesgo
Administrar
el riesgo
Articular el
riesgo
Reaccionar
ante los
eventos
Respuesta al
Riesgo
Objetivos
del
negocio
Comunicacin
Recolectar
datos
Mantener
un perfil
de riesgo
Evaluacin de
Riesgos
Gobierno de Riesgo
Asegurar que la empresa tiene prcticas de riesgo de
T.I. que aseguran un retorno ptimo de la
administracin del riesgo
Establecer y mantener
una visin comn del
riesgo
Toma de decisiones
basadas en el riesgo
RG1.5 Promover la
cultura de
conciencia de
riesgo de T.I.
RG1.4 Alinear la
poltica de riesgo
de T.I.
RG1.2 Proponer el
umbral de
tolerancia al riesgo
de T.I.
RG1.3 Aprobar el
nivel de tolerancia
de riesgo de T.I.
RG2.1 Establecer y
mantener la
responsabilidad por la
administracin del
riesgo de T.I.
RG2.2 Coordinar la
estrategia de riesgo
de T.I. con la
estrategia de riesgo
del negocio
RG2.5 Proveer
aseguramiento
independiente sobre
la administracin del
riesgo de T.I.
RG3.2 Aprobar el
anlisis de riesgo de
T.I.
RG3.4 Aceptar el
riesgo de T.I.
Evaluacin de Riesgo
Asegurar que los riesgos y las oportunidades de T.I.
son identificadas analizadas y presentadas en
trminos del negocio.
Recoleccin de
datos
Analizar el
riesgo
Desarrollar informacin til para
el soporte de las decisiones de
riesgo que tome en cuenta la
relevancia de los factores de
riesgo del negocio.
Mantener un inventario
actualizado de todos los riesgos
conocidos con sus atributos,
recursos, capacidades y controles
tal y como deben ser conocidos
en el contexto de los productos,
servicios y procesos del negocio
Mantener el
perfil de riesgo
RE1.3 Recolectar
los datos ante la
materializacin de
eventos de riesgo.
RE1.2 Recolectar
los datos en el
ambiente
operacional.
RE1.4 Identificar
factores de riesgo.
RE1.1 Establecer y
mantener un
modelo para la
coleccin de datos.
RE2.1 Definir un
mbito de
anlisis de
riesgo.
RE2.3 Identificar
las opciones para
la respuesta a los
riesgos.
RE2.2 Estimar el
riesgo de T.I.
RE2.4 Ejecutar
una revisin de
pares del anlisis
de riesgo.
RE3.5 Mantener el
registro del riesgo
de T.I. y su mapa
de riesgos
RE3.4 Actualizar
los componentes
del escenario del
riesgo de T.I.
RE3.2 Determinar
la criticidad de los
recursos de T.I.
para el negocio.
RE3.6 Desarrollo
de los indicadores
de riesgo de T.I.
Articular el
riesgo
Administrar el
riesgo
Asegurar que las medidas para
aprovechar las oportunidades y
reducir el riesgo a un nivel
aceptable son administradas en
un portafolio.
Reaccionar ante
los eventos
RR1.3 Interpretar
independientemente los
hallazgos de las
evaluaciones del riesgo
de T.I.
RR2.1 Inventario de
controles
RR2.2 Monitorizar
el alineamiento
operacional con los
niveles de
tolerancia
RR2.4 Implementar
los controles
RR2.3 Responder a
las exposiciones
de riesgo y las
oportunidades
descubiertas.
RR2.5 Reportar el
progreso del plan de
accin del riesgo de
T.I.
RR3.1 Mantener
planes de
respuesta ante
incidentes
RR3.3 Iniciar la
respuesta a
incidentes
RR3.2 Monitorizar
el riesgo de T.I.
RR3.4 Comunicar
las lecciones
aprendidas de los
eventos de riesgo
Referencias bibliogrficas:
ISACA, The Risk IT framework, 2009
Barnier B., Key questions in COBIT success
what you need to know, COBIT Focus,
2010, Vol 1