GESTIÓN DE RIESGOS EN

TECNOLOGÍAS DE LA
INFORMACIÓN

1
 Agenda
1 Fundamentos de la Gestión de Riesgos - Conceptos

2 Marco de Referencia Genérico en la Gestión de Riesgos - ISO 31000:2018

3 Gestión de Riesgos en la Gestión del Servicio – ISO/IEC 20000

4 Gestión de Riesgos en la Seguridad de la Información – ISO/IEC 27005

5 Gestión de Riesgos de TI desde el enfoque de Gobierno Empresarial –

Cobit 5

2
6 Gestión de Riesgos en la Gestión del Servicio – ITSM (ITIL v3)
 2.
ISO 31000 : 2018
Gestión del Riesgo - Directrices

3
 ISO 27001 : 2013
ISO 9001 : 2015 Evaluación y tratamiento de
los riesgos de seguridad de
De riesgos y oportunidades información adaptados a las
asociados con el context y los necesidades de la
objetivos de la organización organización.

ISO 31000 : 2009

Principios y directrices para la
gestión de cualquier tipo de riesgo
de una manera sistemática,
transparente y creíble, dentro de
cualquier ámbito y contexto.

Realización de la evaluación de
risgos que consiste en la
identificación de riesgos, análisis y
evaluación.

4 Concepto Gestión de Riesgo

 Norma ISO 31000 : 2009

5
Norma ISO 31000 : 2018
Integrada
Mejora Estructurada
Continua y exhaustiva

Factores Creación y
Humanos
Protección Adaptada
y
Culturales del Valor
Integración
Mejor
información Inclusiva
disponible
Diseño
Dinámica
Mejora Liderazgo y
Compromiso
Principios
Implementación
Valoración

6 Proceso
Marco de Referencia
 Beneficios

Base confiable
1
Mejorar los controles
2
Tratamiento del riesgo
3
Eficiacia y Eficiencia
4
Prevención y Manejo
5
Capacidad de recuperación
6
7
 1.
COBIT 5 PARA RIESGOS
Visión general

8
 “
◆ COBIT = Control Objectives for Information and related
Technology (Objetivos de Control para la información y tecnología
relacionada).
◆ ISACA = Information Systems Audit and Control Association
(Asociación de Control y Auditoria de Sistemas de Información)
para la gestión de la TI y el Gobierno de TI.

9
 COBIT
Es un conjunto de herramientas de soporte
que permite a la gerencia de las
organizaciones, cerrar la brecha entre los
requerimientos de control, problemas
técnicos y los riesgos del negocio. (IT
Governance Institute, 2007)
10
 Evolución de COBIT 5

Gobierno Corporativo de TI Un Marco

Empresarial de
Evolución del Alcance
ISACA, en
Gobierno de TI www.isaca.org/cobit
Val IT 2.0
Administración (2008)

Control
Risk IT
(2009)
Auditoría

COBIT1 COBIT2 COBIT3 COBIT4.0/4.1 COBIT 5

1996 1998 2000 2005/7 2012

11 © 2012 ISACA® Todos los derechos reservados.
 Principios COBIT 5

4.
2.
Cubrir la Hacer posible
empresa un Enfoque
extremo a Holístico
extremo

5.
1.
Separar al
Satisfacer las 3. Gobierno de la
necesidades Aplicar un Gestión
de las partes Marco de
interesadas Referencia
Único
Intregrado

12
 Principio 1 - COBIT 5
Necesidades
de las partes
Satisfacer las necesidades interesadas
de las partes interesadas

Objetivos del Gobierno: Creación de Valor

Realización Optimización Optimización

de Beneficios de Riesgos de Recursos

Fuente: COBIT® 5. 2012 ISACA® Todos los derechos reservados.

13
 Principio 2 - COBIT 5 Objetivo del Gobierno: Creación de Valor

Realización Optimización Optimización

de Beneficios de Riesgos de Recursos

Cubrir la empresa extremo a

extremo
Habilitadores Alcance del
de Gobierno Gobierno

Los Componentes Claves de un

Sistema de Gobierno
Roles, Actividades y Relaciones

Fuente COBIT® 5, 2012 ISACA® Todos los derechos reservados.

Roles, Actividades y Relaciones

Instruir y
Delegan Fijar
Dueños y Ente Alinear Operaciones
Directivas Administración
Partes Regulador y
Interesadas Rendición de Monitorear Informar
Ejecución
Cuentas

14 Fuente COBIT® 5, 2012 ISACA® Todos los derechos reservados.

 Principio 3 - COBIT 5

Aplicar un
Marco de
Referencia
Único
Intregrado

15 Fuente:https://es.slideshare.net/RevistaSG/introduccin-a-cobit-5-24068563?qid=38a695a6-ea84-48a4-be78-0d5723a2d07e&v=&b=&from_ search=4
 Principio 4 - COBIT 5

Dimensión de Habilitadores
Hacer posible un Partes Metas Ciclo de Vida Buenas Prácticas
Interesadas • Calidad Intrínseca • Planificar • Prácticas
Enfoque Holístico • Calidad Contextual • Diseñar • Productos de Trabajo
• Internas (Relevancia, •Construir/Adquirir/ (Entradas/Salidas)
• Externas Efectividad) Crear/Implementar
• Accesabilidad y • Usar/Operar
Seguridad • Evaluar/Monitorear
• Actualizar/Disponer
Administración del Desempeño de

¿Se atienden las
Necesidades de las Partes
Interesadas?
los Habilitadores
¿Se Logran las Metas de los ¿Se administra el Ciclo
¿Se aplican Buenas
Habilitadores? de Vida?
Prácticas?

Métricas para el Logro de las Metas Métricas para la Aplicación de Prácticas

(Indicadores de Resultados) (Indicadores de Desempeño)

Fuente: COBIT® 5, 2012 ISACA® Todos derechos reservados.

16
 Principio 5 - COBIT 5
Necesidades del Negocio

Separar al Gobierno

Gobierno de la Evaluar

Gestión
Dirijir Monitorear
Retroalimentación Gerencial

Administración

Planificar Construir Operar Monitorear

(APO) (BAI) (DSS) (MEA)

Fuente: COBIT® 5, 2012 ISACA® Todos derechos reservados.

17
 Habilitadores de COBIT 5

3. Estructuras 4. Cultura, Ética

2. Procesos y
Organizacionales
Comportamiento

1. Principios, Políticas y Marcos

6. Servicios, 7. Personas,
5. Información Infraestructura Habilidades y
y Aplicaciones Competencias

RECURSOS

18 Fuente: COBIT® 5, 2012 ISACA® Todos los Derechos Reservados

Procesos de Gobierno de TI Empresarial

Procesos
relacionados
con la Gestión
del Riesgo

Procesos que
apoyan la Gestión
del Riesgo

Fuente: COBIT® 5, 2012

ISACA® Todos derechos
19 reservados.
Ciclo de Vida de Implementación

• Gestión del Programa

(anillo exterior)

• Habilitación del Cambio

(anillo medio)

• Ciclo de Vida de Mejora

Continua (anillo interior)

20
Fuente: COBIT® 5, 2012 ISACA® Todos los Derechos Reservados
 Metodologías para Gestión de Riesgos

OCTAVE
◆ OCTAVE (Operationally Critical Threat, Asset,
and Vulnerability Evaluation) se encuentra
disponible gratuitamente (en inglés) y es un
conjunto de herramientas, técnicas y métodos
para desarrollar análisis de riesgos basados
en gestión y la planeación estratégica de la
organización.
MAGERIT

◆ MAGERIT es una metodología de Análisis de Riesgos

de carácter público elaborada por el Ministerio de
Administraciones Públicas, siendo probablemente la
metodología más utilizada en España. El nombre de
MAGERIT responde a "Metodología de Análisis y
Gestión de Riesgos de IT”.
21
 Metodologías para Gestión de Riesgos

COSO ERM

◆ Incluye los métodos y procesos utilizados por las

organizaciones para gestionar los riesgos y
aprovechar las oportunidades relacionadas con
el logro de sus objetivos.

22 Fuente: https://www.emprendedorinteligente.com/que-significa-coso-en-erm/
Proceso en la Gestión de Riesgos

NOMBRAMIENTO DE ANÁLISIS DE LOS PLAN DE TRATAMIENTO

RESPONSABLES RIESGOS • Mejora de los controles.
• Delegar a • Establecer una • Monitoreo.
coordinación de valoración y • Actualización.
labores. priorización de los • Intervención.
• Grupos de trabajo no riesgos. • Corto plazo.
1 mayores a 10 3 • Diseñar escalas 5 • Evaluaciones periódicas
miembros. cualitativas. o auditorías.

DEFINICIÓN DE DEFINICIÓN DE LAS

OBJETIVOS 2 IDENTIFICACIÓN DE
LOS RIESGOS
4 RESPUESTAS 6
• Objetivos del Proceso.
• Alcance. • Factores que influyen en • Supresión.
• Difusión. ALCANCE, los procesos. • Transferencia. TRATAMIENTO
• Presupuesto. CONTEXTO Y • Priorizar factores en EVALUACIÓN • Mitigación.
DEL RIESGO
• Recursos necesarios. CRITERIOS función del impacto. DEL RIESGO • Explotación.
• Aceptación.
23
Parámetros de Valoración de Riesgos

Matriz de Valoración del Criterios de Aceptación

Riesgo del Riesgo

24
 In two or three columns
Yellow
Is the color of gold, butter
and ripe lemons. In the
spectrum of visible light,
yellow is found between
green and orange.
25
Blue
Is the colour of the clear
sky and the deep sea. It is
located between violet and
green on the optical
spectrum.
Red
Is the color of blood, and
because of this it has
historically been
associated with sacrifice,
danger and courage.
 A picture is worth a thousand words

A complex idea can be

conveyed with just a single
still image, namely making it
possible to absorb large
amounts of data quickly.

26
 Use charts to explain your ideas

White Gray Black

27
 And tables to compare data

A B C

Yellow 10 20 7

Blue 30 15 10

Orange 5 24 16

28
 89,526,124
Whoa! That’s a big number, aren’t you proud?

29
 89,526,124$
That’s a lot of money

185,244 users
And a lot of users

100%
Total success!
30
 Our process is easy

first second last

31
 Let’s review some concepts
Yellow
Is the color of gold, butter and
ripe lemons. In the spectrum
of visible light, yellow is found
between green and orange.
Yellow
Is the color of gold, butter and
ripe lemons. In the spectrum
of visible light, yellow is found
between green and orange.
32
Blue
Is the colour of the clear sky
and the deep sea. It is located
between violet and green on
the optical spectrum.
Blue
Is the colour of the clear sky
and the deep sea. It is located
between violet and green on
the optical spectrum.
Red
Is the color of blood, and
because of this it has
historically been associated
with sacrifice, danger and
courage.
Red
Is the color of blood, and
because of this it has
historically been associated
with sacrifice, danger and
courage.
 Place your screenshot here

Android project
Show and explain your
web, app or software
projects using these
gadget templates.
33
 Place your screenshot
here
iPhone project
Show and explain your
web, app or software
projects using these
gadget templates.
34
 Place your screenshot here

Tablet project
Show and explain your
web, app or software
projects using these
gadget templates.
35
 Place your screenshot here

Desktop project
Show and explain your
web, app or software
projects using these
gadget templates.
36
 Thanks!
Any questions?
You can find me at @username & user@mail.me

37
 Bibliografía

◆ ISOTools. Norma ISO 31000 El Valor de la Gestion de Riesgos en las Organizaciones. ISOTools Plataforma Tecnológica
para la Gestión de la Excelencia. Recuperado de, https://www.isotools.org/pdfs-pro/ebook-iso-3
◆ Yrigoyen, G. (2012). COBIT 5 Implementación COBIT 5 an ISACA Framework. Academia. Recuperado de,
https://www.academia.edu/14438434/COBIT5_ Implementation_ Spanish
◆1000-gestion-riesgos-organizaciones.pdf

38
 SlidesCarnival icons are editable shapes.

This means that you can:

● Resize them without losing quality.
● Change fill color and opacity.
● Change line color, width and style.

Isn’t that nice? :)

Examples:

39
 😉
Now you can use any emoji as an icon!
And of course it resizes without losing quality and you can change the color.

How? Follow Google instructions

https://twitter.com/googledocs/status/730087240156643328

✋👆👉👍👤👦👧👨👩👪💃🏃💑❤😂
😉😋😒😭👶😸🐟🍒🍔💣📌📖🔨🎃🎈
🎨🏈🏰🌏🔌🔑 and many more...
40