COBIT 5 FOR RISK- ADMINISTRACIÓN DE

CENTRO DE DATOS

RESUMEN
INSTITUTO TECNOLÓGICO DE VILLAHERMOSA | INGENIERÍA EN
TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIONES

INTEGRANTES

▪ Darvelio Bonfil Archila

▪ Daniel Cab Hernández
▪ Fátima Menéndez Calles
▪ Susana Vazquez Jiménez
 COBIT 5 FOR RISK - RESUMEN

Tabla de contenido
INTRODUCCIÓN ................................................................................................................................... 2
1. RIESGO Y ADMINISTRACIÓN DE RIESGO ..................................................................................... 3
Riesgo .............................................................................................................................................. 3
Sistemas y servicios, lo que puede traer destrucción o reducción de valor de una empresa ........ 4
Ganancia y preservación ................................................................................................................. 5
Entender cómo responder a los riesgos.......................................................................................... 6
2A. PERSPECTIVA DE LA FUNCIÓN DE RIESGO .................................................................................... 8
Perspectivas de la Función de Riesgo.............................................................................................. 9
Límites de tolerancia a riesgos en la función de riesgo ................................................................ 11
2B. PERSPECTIVA DE LA ADMINISTRACIÓN DE RIESGO UTILIZANDO HABILITADORES DE COBIT 5 . 12
Habilitadores ................................................................................................................................. 13
3. COMO SE ASIMILA ESTA PUBLICACIÓN CON OTROS ESTÁNDARES .............................................. 16
ISO 31000:2009- ............................................................................................................................ 16
ISO/IEC 27005:2011 ...................................................................................................................... 17
COSO ERM ..................................................................................................................................... 18
REFERENCIAS BIBLIOGRÁFICAS ......................................................................................................... 20

1
 COBIT 5 FOR RISK - RESUMEN

INTRODUCCIÓN
COBIT es un marco de gobierno de las tecnologías de información que proporciona
una serie de herramientas para que la gerencia pueda conectar los requerimientos
de control con los aspectos técnicos y los riesgos del negocio. Permite el desarrollo
de las políticas y buenas prácticas para el control de las tecnologías en toda la
organización.

COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

incrementar su valor a través de las tecnologías, y permite su alineamiento con los
objetivos del negocio. Dicho en pocas palabras, COBIT 5 ayuda a las
organizaciones a crear un valor óptimo a partir de la TI, al mantener un equilibrio
entre la realización de beneficios y la optimización de los niveles de riesgo y
utilización de los recursos.

También permite que las tecnologías de la información y relacionadas se gobiernen

y administren de una manera holística a nivel de toda la Organización, incluyendo
el alcance completo de todas las áreas de responsabilidad funcionales y de
negocios, considerando los intereses relacionados con la TI de las partes
interesadas internas y externas.

2
 COBIT 5 FOR RISK - RESUMEN

1. RIESGO Y ADMINISTRACIÓN DE RIESGO

La gobernabilidad es una parte fundamental para una empresa ya que con ella se
lleva acabo grandes logros para esta uno de los puntos que se habla es sobre la
creación de valor que se aplica en la empresa para aquellas partes interesadas
dentro de la empresa uno de sus beneficios seria la optimización de coste de los
recursos, otro la optimización de riesgo estos beneficios pueden tomar a lo largo
muchas formas diferentes un ejemplo de esto sería una empresa financiera Para
entidades gubernamentales.

La gobernanza consiste en negociar y decidir entre los intereses de los diferentes

interesados. El componente de optimización de riesgos de la creación de valor
muestra que:
• La optimización del riesgo es una parte esencial de cualquier sistema de
gobierno.
• La optimización del riesgo no puede ser vista aisladamente, es decir, las
acciones tomadas como parte de la gestión del riesgo influirán en los
beneficios

Riesgo
Se define generalmente como una combinación de la probabilidad de un evento con
sus consecuencias.

COBIT 5 para el riesgo define el riego de TI como riesgo de negocio este consiste
en eventos relacionados con TI que pueden afectar el negocio. Este riesgo puede
estar asociado a con el uso, propiedad, operación, participación, influencia y
adopción de TI dentro de una empresa.
El riesgo de TI siempre existe, sea o no detectado o reconocido por una empresa.

3
 COBIT 5 FOR RISK - RESUMEN

El riesgo de TI se clasifica de la siguiente manera:

• Riesgo de habilitación de valor-Asociado con oportunidades perdidas de usar
tecnología para mejorar la eficiencia o Eficacia de los procesos de negocio o
como facilitador de nuevas iniciativas empresariales.
• Riesgo de programa de TI y ejecución de proyectos - Asociado con la
contribución de TI a negocios nuevos o mejorados.
• Riesgo de programa de TI y ejecución de proyectos - Asociado con la
contribución de TI a negocios nuevos o mejorados.

Sistemas y servicios, lo que puede traer destrucción o reducción de

valor de una empresa
Los eventos que se están internas a la empresa se puede contemplar incidencias
operacionales que ocurren cuando se eta laborando o en otros casos seria el
fracaso al escoger un proyecto el cual con llevaría a hacer un cambio de estrategia
en el caso de los eventos eternos estos tienden a incluir cambios en lo que es
mercado, nuevos competidor, las nuevas tecnologías disponibles.

4
 COBIT 5 FOR RISK - RESUMEN

Los riesgos de Ti siempre ira direccionado al ámbito del negocio asociado con un
sinfín de usos los cuales serían, operación, la participación la influencia de la
adopción de TI

Ganancia y preservación
Prestación de servicios: si se fortalecen las prácticas de prestación de servicios, la
empresa puede beneficiarse. Se debe de considerar:
• La exposición que puede resultar si un riesgo no se mitiga en comparación
con el beneficio si la exposición a pérdidas asociada se reduce a un nivel
aceptable.
• El beneficio potencial que puede acarrear si se toman oportunidades frente
a los beneficios perdidos si se pierden oportunidades.
El objetivo, y este riesgo deben ser manejados, pero no necesariamente evitado.
Cuando el negocio se encuentra en un riesgo de TI, puede ocurrir un sinfín de
incidencias con más frecuencias y esto dificulta las oportunidades para alcanzar
metas y objetivos estratégicos.
Las operaciones de TI tienden al riesgo en las prestaciones de servicio esto vendría
asociado a los desempeños de TI y los servicios que pueden ocasionar destrucción
o la reducción de valor para la organización.
Es importante mantener esta relación riesgo / beneficio en todas las decisiones
relacionadas con el riesgo. El marco de RISK IT está destinado a un público amplio,
ya que la gestión de riesgos es una práctica global y un requisito estratégico en
cualquier organización.
La aplicación de mejores prácticas para la gestión de los riesgos de TI,
proporcionará beneficios tangibles de negocios, por ejemplo, un menor número de
eventos inesperados y fracasos, el aumento de la calidad de la información, una
mayor confianza de las partes interesadas, menos preocupaciones de carácter
regulatorio y nuevas iniciativas para el negocio apoyadas por aplicaciones
innovadoras.
Los riesgos relacionados de TI existen, independientemente de si son descubiertos
o reconocidos por una organización.
El marco de Riesgos de TI explica los riesgos y permite a los usuarios:

5
 COBIT 5 FOR RISK - RESUMEN

• Integrar la gestión de los riesgos en el ERM de la organización, esto permitirá

que se tomen decisiones conscientes sobre el retorno de los riesgos.
• Tomar decisiones con conocimiento acerca de la magnitud del riesgo, el
apetito de riesgo y la tolerancia al riesgo de la organización.

Entender cómo responder a los riesgos.

La eficaz gestión de la organización de los riesgos de TI siempre se alinea con los
objetivos de la organización:
• El riesgo de TI es tratado como un riesgo de negocio, en contraposición.
• El riesgo, y el enfoque es integral y transversal;
• La atención se centra en los resultados del negocio. Apoya la consecución
de los objetivos del negocio y los riesgos de TI se expresan en el impacto
que pueden tener en el logro de los objetivos de la organización o la
estrategia.

Todo análisis de los riesgos de TI contiene una dependencia del análisis de cómo
el negocio depende de la función de todas las capas subyacentes de la
infraestructura de TI.

6
 COBIT 5 FOR RISK - RESUMEN

La gestión de riesgos de TI es un instrumento de negocio, no un inhibidor. El riesgo

de negocio relacionado con TI es visto desde ambos ángulos: protección contra
destrucción de valor y generación de valor.
La gestión eficaz de los riesgos promueve la mejora continua y es una parte de las
actividades diarias:
Debido a la naturaleza dinámica del riesgo, gestión de riesgos es un iterativo y
perpetuo proceso en curso. Cada cambio conlleva riesgos y/o oportunidades, y la
organización se prepara para ello, dando cuenta previamente a los cambios en la
propia organización (fusiones y adquisiciones), en la regulación, en tecnologías de
información, en el negocio, etc.
Se presta atención a la evaluación del riesgo mediante métodos, funciones y
responsabilidades, herramientas, técnicas y criterios en toda la organización.
➢ Identificación de los procesos clave y los riesgos asociados (la asignación de
prioridad, que posee el perfil de riesgo)
➢ Conocimiento de los impactos en el logro de objetivos
➢ Identificación de los factores desencadenantes que indican cuándo una
actualización del marco o de los componentes es necesaria.
Las prácticas de gestión de riesgos están adecuadamente integradas en orden de
prioridad y los procesos de toma de decisiones organizacionales.
Las prácticas de gestión de riesgos son simples y fáciles de usar, y contienen las
prácticas para detectar las amenazas y los riesgos potenciales, así como para
prevenir y mitigar las mismas.

7
 COBIT 5 FOR RISK - RESUMEN

2A. PERSPECTIVA DE LA FUNCIÓN DE

RIESGO
La perspectiva de la función de riesgo se centra en lo que se necesita para construir
y mantener la función de riesgo en la empresa. Se centra en los procesos básicos
de gobierno y gestión del riesgo para optimizar el riesgo y en cómo identificar,
analizar, responder y reportar sobre el riesgo a diario.

Riesgo generalmente se define como la combinación de la probabilidad de un

evento y sus consecuencias. Las consecuencias son que los objetivos de la
empresa no sean alcanzados.
COBIT 5 para riesgos define el riesgo de TI como un riesgo de negocios,
específicamente, el riesgo de negocios asociado con el uso, la propiedad, la
operación, el involucramiento, la influencia y la adopción de TI dentro de una
empresa.
• El riesgo de TI consiste de eventos relacionados a TI que podrían
potencialmente impactar el negocio.
• El riesgo de TI puede ocurrir tanto con una frecuencia incierta como con
un impacto y crea retos para el logro de las metas y objetivos
estratégicos.
• El riesgo de TI siempre existe, así sea que haya sido detectado o
reconocido o no.

8
 COBIT 5 FOR RISK - RESUMEN

El riesgo no siempre es evitado. Hacer negocios se trata de tomar riesgos que son
consistentes con el apetito de riesgos, por ejemplo: muchas propuestas de negocio
requieren que el riesgo de TI se tome para lograr la propuesta de valor y alcanzar
los objetivos y metas de una empresa, y este riesgo debe ser administrado pero no
necesariamente evitado.

Perspectivas de la Función de Riesgo

Describe lo que se necesita en una empresa para construir y sostener actividades
efectivas de gobierno y gestión de riesgos. Principalmente en las fases siguientes:
• Establecimiento de la función de riesgos: Durante esta fase la empresa define
las estructuras organizativas, la función de riesgos, responsabilidades
relacionadas y asignación de roles, así mismo se define un presupuesto para
la función de riesgos, se asignan responsabilidades y rendimiento de cuentas
ante el personal competente.
• Establecimiento del proceso de la gestión de riesgos: La empresa define y
mantiene un proceso de gobierno del riesgo, en el contexto de un marco de
gestión de riesgos, la inclusión de niveles de tolerancia al riesgo, promoción
de una cultura de concientización del riesgo y monitoreo.

9
 COBIT 5 FOR RISK - RESUMEN

Durante esta fase se definen las políticas y el proceso de gestión de riesgos que
serán implementados a nivel escalar en la empresa.

Identificar eventos relacionados con la TI y las condiciones que pueden poner en

peligro el valor que afectan el rendimiento empresarial y la ejecución de las
actividades críticas de negocio dentro de unos límites aceptables, o afectar de otro
modo los objetivos de la empresa (por ejemplo, el negocio, regulatorios, jurídicos,
los contratos, la tecnología, socio comercial, recursos humanos, otros aspectos
operativos).
Se debe hacer un Mapa de ellos a una jerarquía de negocios impulsado por las
categorías de riesgo y subcategorías derivadas de escenarios de alto nivel de

10
 COBIT 5 FOR RISK - RESUMEN

riesgos de TI. Romper los riesgos de TI por líneas de negocio, producto, servicio y
proceso. Identificar posibles riesgos en cascada y los tipos de amenazas y analizar
la causa-efecto probable de la concentración de riesgos y correlación.

Límites de tolerancia a riesgos en la función de riesgo

Establecer la cantidad de riesgos relacionados con TI. Una línea de negocio,

producto, servicio, proceso, etc., está dispuesto a tomar una serie de riesgos para
cumplir con sus objetivos.
Límites expresos en medidas similares a los objetivos de negocio subyacentes y
contra los impactos de negocio aceptables e inaceptables.
Se debe considerar cualquier compensación que sea necesaria para alcanzar los
objetivos clave en el contexto de la relación riesgo / retorno. Proponer los límites y
medidas en el contexto de su relación beneficio / valor de la implantación, las
operaciones de TI de los programas y la ejecución de proyectos, TI y prestación de
servicios en múltiples horizontes de tiempo.

11
 COBIT 5 FOR RISK - RESUMEN

2B. PERSPECTIVA DE LA ADMINISTRACIÓN

DE RIESGO UTILIZANDO HABILITADORES DE
COBIT 5
Un escenario de riesgos es la descripción de un posible evento que, cuando ocurre,
tendrá un impacto incierto en el logro de los objetivos de la empresa. El proceso
central de la administración de riesgos requiere que los riesgos sean identificados y
analizados. Los escenarios de riesgos pueden ser obtenidos por medio de dos
diferentes mecanismos:
• Un enfoque “top-down”, donde uno empieza desde los objetivos generales
de la empresa.
• Un enfoque “bottom-up” es donde se utiliza una lista de escenarios genéricos
de riesgos.
Los enfoques son complementarios y deberían ser usados simultáneamente. De
hecho, los escenarios de riesgos deben ser relevantes y ligados a los riesgos de
negocios reales. Es importante considerar riesgos específicos para cada empresa
y sus requerimientos de negocio críticos en los escenarios de riesgo definidos.

12
 COBIT 5 FOR RISK - RESUMEN

Habilitadores
Los habilitadores son todos esos elementos tangibles e intangibles que hacen exista
la Gobernabilidad y la Gestión de TI. Dentro de COBIT 5 los habilitadores se
establecen para responder a las metas definidas en cascada las cuales se
mencionaron anteriormente; éstos requieren de las salidas de otros habilitadores
como entradas y tienen salidas que pueden ayudar a otros a realizar su función.
COBIT5 define 7 categorías de habilitadores:

Para las empresas, COBIT 5 ofrece una lista de escenarios de riesgos genéricos de
base, en donde el negocio puede empezar a formar escenarios necesarios de
acuerdo a su entorno, mercado destinado, área de producción y gestión interna de
directivos, representando posibles fuentes de amenazas.
Esto conlleva a tener un enfoque más claro de los riesgos, y así poder evaluar los
procesos propensos a pasar o los de más alto riesgo, contemplando las TI como
una forma de combatir dichos riesgos.

13
 COBIT 5 FOR RISK - RESUMEN

Los indicadores de riesgos métricos demuestran que el negocio tiene una alta
probabilidad de estar sometida a un riesgo que esta por encina de lo previsto. Cada
empresa tiene sus riesgos en específico y la elección de estos depende de una serie
de parámetros en el entorno interno y externo, tales como el tamaño y la
complejidad de la empresa, su operación del mercado y su objetivo de estrategia.
La identificación de indicadores de riesgo debe tener en cuenta los siguientes pasos
(entre otros):
• Considerar las distintas partes interesadas en la empresa. Los indicadores
de riesgos deben no sólo centrarse en las operaciones o en la parte
estratégica de riesgo. Pueden y deben ser identificados para todas las partes
interesadas. La participación de los interesados adecuados en la selección
de indicadores de riesgo también deberá garantizar una mayor aportación y
adecuación de los mismos.
• Hacer una selección equilibrada de indicadores del riesgo, cubriendo
Indicadores de los resultados (indicando el riesgo después de que hayan
ocurrido los hechos), Indicadores principales (lo que indica que las
capacidades están en el lugar apropiado para evitar que se produzcan

14
 COBIT 5 FOR RISK - RESUMEN

acontecimientos) y las tendencias (análisis de indicadores en el tiempo o la

correlación de los indicadores para obtener información)
• Asegurar que los indicadores seleccionados detallen el origen de la causa de
los eventos (indicación del origen y no solo los síntomas)

15
 COBIT 5 FOR RISK - RESUMEN

3. COMO SE ASIMILA ESTA PUBLICACIÓN

CON OTROS ESTÁNDARES
ISO 31000:2009

La norma ISO 31000 tiene el objetivo de ayudar a generar un enfoque para mejorar
la gestión de riesgos, de manera sistemática y brindar diversidad de posibilidades
para que de forma integral exista una gestión que permita conseguir los objetivos
que persigue la organización. El documento normativo establece todos los procesos
y principios que se deben seguir para realizar gestión del riesgo, en la que
recomienda a las empresas el desarrollo, la implantación y el mejoramiento continuo
como un importante componente de los sistemas de gestión.

Mediante la aplicación de la norma ISO 31000,

las organizaciones pueden comparar sus
prácticas de gestión de riesgo con un punto de
referencia reconocido internacionalmente,
establecen los principios racionales para la
ordenación eficaz.

Esta norma establece una serie de principios

que deben ser satisfechos para hacer una
gestión eficaz del riesgo. Esta Norma
Internacional recomienda que las organizaciones desarrollen, implementen y
mejoren continuamente un marco de trabajo o estructura de soporte (framework)
cuyo objetivo es integrar el proceso de gestión de riesgos en el gobierno corporativo
de la organización, planificación y estrategia, gestión, procesos de información,
políticas, valores y cultura.

16
 COBIT 5 FOR RISK - RESUMEN

La norma recomienda que las organizaciones desarrollar, aplicar y mejorar

continuamente un marco de gestión del riesgo como un componente integral de su
sistema de gestión.
La norma ISO 31000 será de utilidad para:

• Los responsables de la aplicación de la gestión del riesgo dentro de sus

organizaciones
• Aquellas personas que necesitan para garantizar que una organización
gestiona el riesgo
• Aquellos que necesitan para evaluar una organización de las prácticas en la
gestión de riesgo

Los desarrolladores de los estándares, guías de procedimientos y códigos de

prácticas relativos a la gestión del riesgo.

ISO/IEC 27005:2011
Provee guías para la gestión de riesgos de seguridad de la Información y ha sido
diseñado para asistir en la implementación satisfactoria de seguridad de la
información basada en un enfoque de gestión de riesgos.
Aplica a todo tipo de organización que intente gestionar riesgos que pudieran
comprometer la seguridad de la información de la organización.
Se ocupa de la gestión de riesgos de seguridad de información. La norma suministra
las directrices para la gestión de riesgos de seguridad de la información en una
empresa, apoyando particularmente los requisitos del sistema de gestión de
seguridad de la información.

17
 COBIT 5 FOR RISK - RESUMEN

Es aplicable a todo tipo de organizaciones que tengan la intención de gestionar los

riesgos que puedan complicar la seguridad de la información de su organización.
No recomienda una metodología concreta, dependerá de una serie de factores,
como el alcance real del Sistema de Gestión de Seguridad de la Información (SGSI),
o el sector comercial de la propia industria.

COSO ERM

18
 COBIT 5 FOR RISK - RESUMEN

El documento se enfoca al rol de la administración del riesgo empresarial en la

definición y ejecución de la estrategia de la empresa, realzando la necesidad de una
alineación entre el rendimiento organizacional y la administración del riesgo.

La metodología COSO ERM fue diseñada para identificar eventos potenciales que
afectasen a una entidad, evaluar y responder a los riesgos detectados, para que
estén dentro de los límites de nivel aceptables como parte de una buena
administración.

Promueve eficacia en las operaciones a través de los procesos estandarizados.

Asegura la salvaguarda de los activos a través de las actividades de control.
Promueve la integridad de los datos en la toma de decisiones del negocio.
Coso ERM defina la gestión de riesgos como un proceso efectuado por el consejo
de administración de una entidad, su dirección y restante personal, aplicable a la
definición de estrategias en toda la empresa y diseñado para identificar eventos
potenciales que puedan afectar a la organización, gestionar sus riesgos dentro del
riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los
objetivos
Asiste en la prevención y detección de fraudes a través de la creación de un rastro
de evidencia auditable.

Ayuda a mantener el cumplimiento con las leyes y regulaciones a través de un

monitoreo periódico.

19
 COBIT 5 FOR RISK - RESUMEN

REFERENCIAS BIBLIOGRÁFICAS
• COBIT-5-for-Risk-Preview English Version.
• Marco de Riesgo de TI – ICASA, basado en COBIT Risk
• COBIT5-Introduction-Spanish Version by ICASA

20