Documentos de Académico
Documentos de Profesional
Documentos de Cultura
CENTRO DE DATOS
RESUMEN
INSTITUTO TECNOLÓGICO DE VILLAHERMOSA | INGENIERÍA EN
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES
INTEGRANTES
Tabla de contenido
INTRODUCCIÓN ................................................................................................................................... 2
1. RIESGO Y ADMINISTRACIÓN DE RIESGO ..................................................................................... 3
Riesgo .............................................................................................................................................. 3
Sistemas y servicios, lo que puede traer destrucción o reducción de valor de una empresa ........ 4
Ganancia y preservación ................................................................................................................. 5
Entender cómo responder a los riesgos.......................................................................................... 6
2A. PERSPECTIVA DE LA FUNCIÓN DE RIESGO .................................................................................... 8
Perspectivas de la Función de Riesgo.............................................................................................. 9
Límites de tolerancia a riesgos en la función de riesgo ................................................................ 11
2B. PERSPECTIVA DE LA ADMINISTRACIÓN DE RIESGO UTILIZANDO HABILITADORES DE COBIT 5 . 12
Habilitadores ................................................................................................................................. 13
3. COMO SE ASIMILA ESTA PUBLICACIÓN CON OTROS ESTÁNDARES .............................................. 16
ISO 31000:2009- ............................................................................................................................ 16
ISO/IEC 27005:2011 ...................................................................................................................... 17
COSO ERM ..................................................................................................................................... 18
REFERENCIAS BIBLIOGRÁFICAS ......................................................................................................... 20
1
COBIT 5 FOR RISK - RESUMEN
INTRODUCCIÓN
COBIT es un marco de gobierno de las tecnologías de información que proporciona
una serie de herramientas para que la gerencia pueda conectar los requerimientos
de control con los aspectos técnicos y los riesgos del negocio. Permite el desarrollo
de las políticas y buenas prácticas para el control de las tecnologías en toda la
organización.
2
COBIT 5 FOR RISK - RESUMEN
Riesgo
Se define generalmente como una combinación de la probabilidad de un evento con
sus consecuencias.
COBIT 5 para el riesgo define el riego de TI como riesgo de negocio este consiste
en eventos relacionados con TI que pueden afectar el negocio. Este riesgo puede
estar asociado a con el uso, propiedad, operación, participación, influencia y
adopción de TI dentro de una empresa.
El riesgo de TI siempre existe, sea o no detectado o reconocido por una empresa.
3
COBIT 5 FOR RISK - RESUMEN
4
COBIT 5 FOR RISK - RESUMEN
Los riesgos de Ti siempre ira direccionado al ámbito del negocio asociado con un
sinfín de usos los cuales serían, operación, la participación la influencia de la
adopción de TI
Ganancia y preservación
Prestación de servicios: si se fortalecen las prácticas de prestación de servicios, la
empresa puede beneficiarse. Se debe de considerar:
• La exposición que puede resultar si un riesgo no se mitiga en comparación
con el beneficio si la exposición a pérdidas asociada se reduce a un nivel
aceptable.
• El beneficio potencial que puede acarrear si se toman oportunidades frente
a los beneficios perdidos si se pierden oportunidades.
El objetivo, y este riesgo deben ser manejados, pero no necesariamente evitado.
Cuando el negocio se encuentra en un riesgo de TI, puede ocurrir un sinfín de
incidencias con más frecuencias y esto dificulta las oportunidades para alcanzar
metas y objetivos estratégicos.
Las operaciones de TI tienden al riesgo en las prestaciones de servicio esto vendría
asociado a los desempeños de TI y los servicios que pueden ocasionar destrucción
o la reducción de valor para la organización.
Es importante mantener esta relación riesgo / beneficio en todas las decisiones
relacionadas con el riesgo. El marco de RISK IT está destinado a un público amplio,
ya que la gestión de riesgos es una práctica global y un requisito estratégico en
cualquier organización.
La aplicación de mejores prácticas para la gestión de los riesgos de TI,
proporcionará beneficios tangibles de negocios, por ejemplo, un menor número de
eventos inesperados y fracasos, el aumento de la calidad de la información, una
mayor confianza de las partes interesadas, menos preocupaciones de carácter
regulatorio y nuevas iniciativas para el negocio apoyadas por aplicaciones
innovadoras.
Los riesgos relacionados de TI existen, independientemente de si son descubiertos
o reconocidos por una organización.
El marco de Riesgos de TI explica los riesgos y permite a los usuarios:
5
COBIT 5 FOR RISK - RESUMEN
Todo análisis de los riesgos de TI contiene una dependencia del análisis de cómo
el negocio depende de la función de todas las capas subyacentes de la
infraestructura de TI.
6
COBIT 5 FOR RISK - RESUMEN
7
COBIT 5 FOR RISK - RESUMEN
8
COBIT 5 FOR RISK - RESUMEN
El riesgo no siempre es evitado. Hacer negocios se trata de tomar riesgos que son
consistentes con el apetito de riesgos, por ejemplo: muchas propuestas de negocio
requieren que el riesgo de TI se tome para lograr la propuesta de valor y alcanzar
los objetivos y metas de una empresa, y este riesgo debe ser administrado pero no
necesariamente evitado.
9
COBIT 5 FOR RISK - RESUMEN
Durante esta fase se definen las políticas y el proceso de gestión de riesgos que
serán implementados a nivel escalar en la empresa.
10
COBIT 5 FOR RISK - RESUMEN
riesgos de TI. Romper los riesgos de TI por líneas de negocio, producto, servicio y
proceso. Identificar posibles riesgos en cascada y los tipos de amenazas y analizar
la causa-efecto probable de la concentración de riesgos y correlación.
11
COBIT 5 FOR RISK - RESUMEN
12
COBIT 5 FOR RISK - RESUMEN
Habilitadores
Los habilitadores son todos esos elementos tangibles e intangibles que hacen exista
la Gobernabilidad y la Gestión de TI. Dentro de COBIT 5 los habilitadores se
establecen para responder a las metas definidas en cascada las cuales se
mencionaron anteriormente; éstos requieren de las salidas de otros habilitadores
como entradas y tienen salidas que pueden ayudar a otros a realizar su función.
COBIT5 define 7 categorías de habilitadores:
Para las empresas, COBIT 5 ofrece una lista de escenarios de riesgos genéricos de
base, en donde el negocio puede empezar a formar escenarios necesarios de
acuerdo a su entorno, mercado destinado, área de producción y gestión interna de
directivos, representando posibles fuentes de amenazas.
Esto conlleva a tener un enfoque más claro de los riesgos, y así poder evaluar los
procesos propensos a pasar o los de más alto riesgo, contemplando las TI como
una forma de combatir dichos riesgos.
13
COBIT 5 FOR RISK - RESUMEN
Los indicadores de riesgos métricos demuestran que el negocio tiene una alta
probabilidad de estar sometida a un riesgo que esta por encina de lo previsto. Cada
empresa tiene sus riesgos en específico y la elección de estos depende de una serie
de parámetros en el entorno interno y externo, tales como el tamaño y la
complejidad de la empresa, su operación del mercado y su objetivo de estrategia.
La identificación de indicadores de riesgo debe tener en cuenta los siguientes pasos
(entre otros):
• Considerar las distintas partes interesadas en la empresa. Los indicadores
de riesgos deben no sólo centrarse en las operaciones o en la parte
estratégica de riesgo. Pueden y deben ser identificados para todas las partes
interesadas. La participación de los interesados adecuados en la selección
de indicadores de riesgo también deberá garantizar una mayor aportación y
adecuación de los mismos.
• Hacer una selección equilibrada de indicadores del riesgo, cubriendo
Indicadores de los resultados (indicando el riesgo después de que hayan
ocurrido los hechos), Indicadores principales (lo que indica que las
capacidades están en el lugar apropiado para evitar que se produzcan
14
COBIT 5 FOR RISK - RESUMEN
15
COBIT 5 FOR RISK - RESUMEN
La norma ISO 31000 tiene el objetivo de ayudar a generar un enfoque para mejorar
la gestión de riesgos, de manera sistemática y brindar diversidad de posibilidades
para que de forma integral exista una gestión que permita conseguir los objetivos
que persigue la organización. El documento normativo establece todos los procesos
y principios que se deben seguir para realizar gestión del riesgo, en la que
recomienda a las empresas el desarrollo, la implantación y el mejoramiento continuo
como un importante componente de los sistemas de gestión.
16
COBIT 5 FOR RISK - RESUMEN
ISO/IEC 27005:2011
Provee guías para la gestión de riesgos de seguridad de la Información y ha sido
diseñado para asistir en la implementación satisfactoria de seguridad de la
información basada en un enfoque de gestión de riesgos.
Aplica a todo tipo de organización que intente gestionar riesgos que pudieran
comprometer la seguridad de la información de la organización.
Se ocupa de la gestión de riesgos de seguridad de información. La norma suministra
las directrices para la gestión de riesgos de seguridad de la información en una
empresa, apoyando particularmente los requisitos del sistema de gestión de
seguridad de la información.
17
COBIT 5 FOR RISK - RESUMEN
COSO ERM
18
COBIT 5 FOR RISK - RESUMEN
La metodología COSO ERM fue diseñada para identificar eventos potenciales que
afectasen a una entidad, evaluar y responder a los riesgos detectados, para que
estén dentro de los límites de nivel aceptables como parte de una buena
administración.
19
COBIT 5 FOR RISK - RESUMEN
REFERENCIAS BIBLIOGRÁFICAS
• COBIT-5-for-Risk-Preview English Version.
• Marco de Riesgo de TI – ICASA, basado en COBIT Risk
• COBIT5-Introduction-Spanish Version by ICASA
20