Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecido por la direc
Número de evaluaciones
02 Cumplimiento y soporte de las TI al de cumplimento
cumplimiento del negocio de las leyes y Cobertura de la evaluación efectuadas / Número 12/24
del cumplimiento
regulaciones externas. evaluaciones de
cumplimiento planificadas
Actualizaciones de
Sistema de seguridad
04 Riesgos de negocio relacionados con las TI Frecuencia de actualización efectuadas en el año/ 2/4
gestionados de perfil del riesgo Número total de
actualizaciones
planificadas por TI
Evaluaciones de
10 Seguridad de la información, infraestructura Frecuencia de evaluación seguridad ejecutadas/
de seguridad frente a los 5/12
de procesamiento y aplicaciones Evaluaciones de
últimos estándares y guías seguridad planificadas
Relación de incidentes
3. Riesgos de negocio gestionados (salvaguarda significativos que no Número de incidentes no
fueron identificados en las identificados en el año /
de activos) 2/8
evaluaciones de riesgo Número de total de
respecto al número total incidentes reportados
de incidentes.
Relación de incidentes
3. Riesgos de negocio gestionados (salvaguarda significativos que no Número de incidentes no
fueron identificados en las identificados en el año /
de activos) 2/8
evaluaciones de riesgo Número de total de
respecto al número total incidentes reportados
de incidentes.
RESULTADO DE
EVALUACION DE capacidad
CAPACIDAD: 37% de proceso
GROUP
Área: Gestión
Dominio: Alinear, Planificar y Organizar
Reportes sobre
Se han realizado solamente 5 evaluaciones
42% evaluaciones de seguridad de las 12 efectuadas al sistema
planificadas para un año. de seguridad.
Métricas relacionadas
Resultado Conclusión Fuente de Información
Atributo de PA 2.2.
rendimiento PA 2.1 PA 3.1 PA 3.2 PA 4.1
Gestión del resultadodel
Gestión
(PA) 1.1. Definición Despliegue Gestión de
Rendimiento Rendimiento trabajo de de Procesos de procesos procesos
del Procesos
0 1 2 3 4
PROCESOS
PA 5.2
PA 4.2 PA 5.1 Optimizació
Control de Innovación n de
Procesos de Procesos Procesos
4 5
EMPRESA
Director de Riesgos
Director de Riesgos
Información (CISO)
Propietarios de los
Oficina de Gestión
Director General
Ejecutivo (CEO)
Seguridad de la
de Proyectos
Procesos de
Director de
Negocio
(CRO)
(CRO)
PRACTICA CLAVE DEL GOBIERNO
R Responsible
A Accountable
C Consultant
I Informed
C
C
C
C
R
R
Cumplimiento
Normativo
(Compliance)
C
C
R
R
A
A
Auditoría
R
R
R
R
A
A
Director de
Informática/Sistema
s (CIO)
C
C
C
C
R
R
Jefe de
Arquitectura del
Negocio
C
C
C
C
R
R
EMPRESA M&M TRAVEL GROUP
Jefe de Desarrollo
C
C
C
C
R
R
Jefe de Operaciones
TI
C
C
C
C
R
R
Jefe de
Administración TI
C
C
C
C
R
R
Gestor de Servicio
(Service Manager)
C
C
C
C
R
R
Gestor de
Seguridad de la
Información
C
C
C
C
R
R
Gestor de
Continuidad de
Negocio
C
C
C
C
R
R
Gestor de
Privacidad de la
información
AP012 GESTIONAR EL RIESGO Área: Gestión
Dominio: Alinear, Planificar y Organizar
Descripción del proceso
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecido por la direc
de la empresa
Declaración del propósito del proceso
Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de riesgo empresarial (ERM) y equilibrar los costos y be
gestionar riesgos empresariales relacionados con TI
ENTRADAS
Práctica de Gestión
DE DESCRIPCION
APO12.01 Recopilar datos. Identificar y recopilar datos EDM03.01 Evaluación de actividades de
relevantes para catalizar una identificación, análisis y gestión de riesgos
notificación efectiva de riesgos relacionados con TI.
DSS04.02
APO12.02 Analizar el riesgo. Desarrollar información útil
para soportar las decisiones relacionadas con el riesgo que Análisis de impacto en el
tomen en cuenta la relevancia para el negocio de los negocio
factores de riesgo.
SALIDAS
DESCRIPCION A
Datos en el entorno de
operación relacionados con el Interno
riesgo
APO01.04
Comunicaciones del impacto APO08.04
del riesgo DSS04.02
AP012 GESTIONAR EL RIESGO Área: Gestión
Dominio: Alinear, Planificar y Organizar
Descripción del proceso
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de
tolerancia establecido por la dirección ejecutiva de la empresa
Declaración del propósito del proceso
Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de riesgo empresarial (ERM)
y equilibrar los costos y beneficios de gestionar riesgos empresariales relacionados con TI
OBSERVACIONES
1. Existen desfases en la planificacion del departamento de TI al momento de efectuar las evaluaciones a sus procesos
propios debido a la falta de coordinacion con el resto de areas para poder correr las pruebas que arrojen resultados
sobre el rendimiento de los procesos antes mencionados, lo cual provoca que no se cumplan las metas establecidas en
dicha documento, de forma que se alcanza unicamente un 50% de eficacia en la aplicacion de dicha meta de TI.
2. La observacion anterior se identifica como un hecho desencadenante para que perjudique en los plazos establecidos
para efectuar las actualizaciones que corresponden al sistema de seguridad que proteje la informacion de todas las
operaciones y actividades de la empresa.
3. Otra consecuencia del retraso en la ejecución de la planificacion del departamento de TI es que no se evaluen
mensualmente al sistema de seguridad, dicha disminución en la cantidad de evaluaciones aumenta el riesgo de que el
sistema exponga la informacion de la empresa ya que no hay diagnosticos actualizados de cual es su condicion de
funcionamiento.
RECOMENDACIONES
1 . Al gerente de TI se le recomienda comunicar oportunamente a todas las áreas de la empresa sobre las fechas y horas
exactas en las que se van a correr las pruebas para evaluar los procesos de TI de forma que no afecte a las actividades
del resto de áreas y tenga toda la apertura para correr dichas evaluaciones.
3. Al gerente de TI se recomienda la ejecucion mensual de evaluaciones al sistema de seguridad de la empresa con el fin
de identificar amenzas de modo mas rapido y disminuir su riesgo de ocurrencia afectando la seguridad de la informacion
de la empresa.
ciones a sus procesos
arrojen resultados
metas establecidas en
ha meta de TI.
os plazos establecidos
macion de todas las
e no se evaluen
ta el riesgo de que el
s su condicion de
el cual se indique la
ciones como del resto de