EMPRESA M&M TRAVEL GROUP

AP012 GESTIONAR EL RIESGO

Descripción del proceso

Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecido por la direc

Declaración del propósito del proceso

Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de riesgo empresarial (ERM) y equilibrar los costos y be
con TI

El proceso apoya la consecución de un conjunto de principales metas de TI:

Métricas relacionadas
Meta TI
Métrica Fórmula Aplicación

Número de evaluaciones
02 Cumplimiento y soporte de las TI al de cumplimento
cumplimiento del negocio de las leyes y Cobertura de la evaluación efectuadas / Número 12/24
del cumplimiento
regulaciones externas. evaluaciones de
cumplimiento planificadas

Actualizaciones de
Sistema de seguridad
04 Riesgos de negocio relacionados con las TI Frecuencia de actualización efectuadas en el año/ 2/4
gestionados de perfil del riesgo Número total de
actualizaciones
planificadas por TI

Evaluaciones de
10 Seguridad de la información, infraestructura Frecuencia de evaluación seguridad ejecutadas/
de seguridad frente a los 5/12
de procesamiento y aplicaciones Evaluaciones de
últimos estándares y guías seguridad planificadas

Objetivos y métricas del proceso

Métricas relacionadas
Meta del proceso
Métrica Fórmula Aplicación

Relación de incidentes
3. Riesgos de negocio gestionados (salvaguarda significativos que no Número de incidentes no
fueron identificados en las identificados en el año /
de activos) 2/8
evaluaciones de riesgo Número de total de
respecto al número total incidentes reportados
de incidentes.
 Relación de incidentes
3. Riesgos de negocio gestionados (salvaguarda significativos que no Número de incidentes no
fueron identificados en las identificados en el año /
de activos) 2/8
evaluaciones de riesgo Número de total de
respecto al número total incidentes reportados
de incidentes.

Perdidas económicas por

7. Continuidad y disponibilidad del servicio de incidentes que impiden
Coste de negocio de los
negocio servicio al cliente/ 19870/80240
incidentes Estimacion de ingresos
totales diarios

Frecuencia de las Evaluaciones de

11. Optimización de la funcionalidad de los evaluaciones de madurez Capacidad efectuadas/ 4/12
procesos de negocio de la capacidad de los Evaluaciones de
procesos de negocio Capacidad planificadas

RESULTADO DE
EVALUACION DE capacidad
CAPACIDAD: 37% de proceso
 GROUP

Área: Gestión
Dominio: Alinear, Planificar y Organizar

ncia establecido por la dirección ejecutiva de la empresa

M) y equilibrar los costos y beneficios de gestionar riesgos empresariales relacionados

o de principales metas de TI:

Métricas relacionadas
Resultado Conclusión Fuente de Información

Se han realizado solamente 12

evaluaciones de cumplimiento de Encuesta de
50% TI de las 24 evaluaciones de satisfacción partes
cumplimiento planificadas en el interesadas
año.

Se evidenció que de las 4 Reportes sobre

actualizaciones planteadas por TI actualizaciones
50%
para realizarlas en el año efectuadas al Sistema
unicamente se efectuaron 2. de seguridad

Reportes sobre
Se han realizado solamente 5 evaluaciones
42% evaluaciones de seguridad de las 12 efectuadas al sistema
planificadas para un año. de seguridad.

Métricas relacionadas
Resultado Conclusión Fuente de Información

En el último año se tuvieron 2 Encuesta de

incidentes significativos
25% satisfacción partes
relacionados a TI, de un total de 8 interesadas
incidentes reportados.
 En el último año se tuvieron 2 Encuesta de
incidentes significativos
25% satisfacción partes
relacionados a TI, de un total de 8 interesadas
incidentes reportados.

La empresa ha tenido que asumir

perdidas de 19870,00 $ por
incidentes que han impedido Encuesta de
25% atender a clientes, lo cual satisfacción partes
representa un 25% de los ingresos interesadas
proyectados a recibir en su flujo de
caja.

Según informes de la Gerencia de

TI se conoce que se han realizado 4 Diagnosticos de
evaluaciones de capacidad a sus evaluaciones a los
33% procesos de un total de 12 procesos de negocio en
planificadas para el año lo cual los que interviene TI.
representa un 33% de lo
planificada.
 EMPRESA M&M TRAVEL GROUP
NIVEL DE MADUREZ

AP012 GESTIONAR EL RIESGO

ATRIBUTOS GENÉRICOS DE CAPACIDAD DE PROCESOS

Atributo de PA 2.2.
rendimiento PA 2.1 PA 3.1 PA 3.2 PA 4.1
Gestión del resultadodel
Gestión
(PA) 1.1. Definición Despliegue Gestión de
Rendimiento Rendimiento trabajo de de Procesos de procesos procesos
del Procesos

Proceso Proceso Proceso Gestionado Proceso Establecido Proceso Predecible

Incompleto Ejecutado

0 1 2 3 4

RESULTADO: Nivel de Madurez 2 37%

2
P

PROCESOS

PA 5.2
PA 4.2 PA 5.1 Optimizació
Control de Innovación n de
Procesos de Procesos Procesos

Proceso Predecible Proceso Optimizado

4 5
 EMPRESA

DOMINIO: ALINEAR, PLANIFICAR Y ORGANIZAR

MATRIZ RACI AP012 Gestionar el riesgo COBIT 5.0

Director de Riesgos

Director de Riesgos

Información (CISO)
Propietarios de los

Oficina de Gestión
Director General
Ejecutivo (CEO)

Seguridad de la
de Proyectos
Procesos de

Director de
Negocio

(CRO)

(CRO)
PRACTICA CLAVE DEL GOBIERNO

APO 12.01 Recopilar Datos I R R R R I

APO 12.02 Analizar el Riesgo I R C C R I
APO 12.03 Recopilar Datos I R C C A I
APO 12.04 Analizar el Riesgo I R C C R I
APO 12.05 Recopilar Datos I R C C A I
APO 12.06 Analizar el Riesgo I R R R R I

R Responsible
A Accountable
C Consultant
I Informed
C
C
C
C

R
R
Cumplimiento
Normativo
(Compliance)

C
C
R
R

A
A
Auditoría

R
R
R
R

A
A
Director de
Informática/Sistema
s (CIO)

C
C
C
C

R
R
Jefe de
Arquitectura del
Negocio

C
C
C
C

R
R
EMPRESA M&M TRAVEL GROUP

Jefe de Desarrollo

C
C
C
C

R
R
Jefe de Operaciones
TI

C
C
C
C

R
R

Jefe de
Administración TI

C
C
C
C

R
R

Gestor de Servicio
(Service Manager)
C
C
C
C

R
R

Gestor de
Seguridad de la
Información
C
C
C
C

R
R

Gestor de
Continuidad de
Negocio
C
C
C
C

R
R

Gestor de
Privacidad de la
información
AP012 GESTIONAR EL RIESGO Área: Gestión
Dominio: Alinear, Planificar y Organizar
Descripción del proceso
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecido por la direc
de la empresa
Declaración del propósito del proceso
Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de riesgo empresarial (ERM) y equilibrar los costos y be
gestionar riesgos empresariales relacionados con TI
ENTRADAS
Práctica de Gestión
DE DESCRIPCION
APO12.01 Recopilar datos. Identificar y recopilar datos EDM03.01 Evaluación de actividades de
relevantes para catalizar una identificación, análisis y gestión de riesgos
notificación efectiva de riesgos relacionados con TI.

DSS04.02
APO12.02 Analizar el riesgo. Desarrollar información útil
para soportar las decisiones relacionadas con el riesgo que Análisis de impacto en el
tomen en cuenta la relevancia para el negocio de los negocio
factores de riesgo.

APO12.03 Mantener un perfil de riesgo. Mantener un

inventario del riesgo conocido y atributos de riesgo Riesgo de entrega de
(incluyendo frecuencia esperada, impacto potencial y APO10.04 proveedores identificado
respuestas) y de otros recursos, capacidades y actividades
de control actuales relacionados.

APO12.05 Definir un portafolio de acciones para la gestión

de riesgos. Gestionar las oportunidades para reducir el
riesgo a un nivel aceptable como un portafolio.

APO12.06 Responder al riesgo. Responder de una forma Acciones correctoras para

oportuna con medidas efectivas que limiten la magnitud tratar las desviaciones de
de pérdida por eventos relacionados con TI. EDM03.03 gestión de riesgos
Planificar y Organizar

eles de tolerancia establecido por la dirección ejecutiva

resarial (ERM) y equilibrar los costos y beneficios de

SALIDAS
DESCRIPCION A

Datos en el entorno de
operación relacionados con el Interno
riesgo

Alcance de los esfuerzos de

análisis de riesgos Interno

Perfil de riesgo agregado,

incluyendo el estado de las Interno
acciones de gestión del riesgo

Propuestas de proyecto para APO02.02

reducir el riesgo

APO01.04
Comunicaciones del impacto APO08.04
del riesgo DSS04.02
AP012 GESTIONAR EL RIESGO Área: Gestión
Dominio: Alinear, Planificar y Organizar
Descripción del proceso
Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de
tolerancia establecido por la dirección ejecutiva de la empresa
Declaración del propósito del proceso
Integrar la gestión de riesgos empresariales relacionados con TI con la gestión de riesgo empresarial (ERM)
y equilibrar los costos y beneficios de gestionar riesgos empresariales relacionados con TI

OBSERVACIONES

1. Existen desfases en la planificacion del departamento de TI al momento de efectuar las evaluaciones a sus procesos
propios debido a la falta de coordinacion con el resto de areas para poder correr las pruebas que arrojen resultados
sobre el rendimiento de los procesos antes mencionados, lo cual provoca que no se cumplan las metas establecidas en
dicha documento, de forma que se alcanza unicamente un 50% de eficacia en la aplicacion de dicha meta de TI.

2. La observacion anterior se identifica como un hecho desencadenante para que perjudique en los plazos establecidos
para efectuar las actualizaciones que corresponden al sistema de seguridad que proteje la informacion de todas las
operaciones y actividades de la empresa.

3. Otra consecuencia del retraso en la ejecución de la planificacion del departamento de TI es que no se evaluen
mensualmente al sistema de seguridad, dicha disminución en la cantidad de evaluaciones aumenta el riesgo de que el
sistema exponga la informacion de la empresa ya que no hay diagnosticos actualizados de cual es su condicion de
funcionamiento.

RECOMENDACIONES

1 . Al gerente de TI se le recomienda comunicar oportunamente a todas las áreas de la empresa sobre las fechas y horas
exactas en las que se van a correr las pruebas para evaluar los procesos de TI de forma que no afecte a las actividades
del resto de áreas y tenga toda la apertura para correr dichas evaluaciones.

2. Al gerente de TI se recomienda la elaboración de un cronograma al inicio de cada trimestre en el cual se indique la

aplicación de las 4 actualizaciones progrmadas para el año con lo que tanto el gerente de operaciones como del resto de
areas podran organizar de forma mas precisa cada una de sus actividades.

3. Al gerente de TI se recomienda la ejecucion mensual de evaluaciones al sistema de seguridad de la empresa con el fin
de identificar amenzas de modo mas rapido y disminuir su riesgo de ocurrencia afectando la seguridad de la informacion
de la empresa.
ciones a sus procesos
arrojen resultados
metas establecidas en
ha meta de TI.

os plazos establecidos
macion de todas las

e no se evaluen
ta el riesgo de que el
s su condicion de

obre las fechas y horas

ecte a las actividades

el cual se indique la
ciones como del resto de

de la empresa con el fin

uridad de la informacion