1/20

IT GOVERNANCE INSTITUTE. 2006. COBIT 4.0. Fuente: www.isaca.org

Information Systems Audit and Control Association
Fundada en 1969, ISACA patrocina conferencias internacionales, publica la revista ISACA Journal y desarrolla estndares internacionales en control y auditoria de sistemas de informacin. Tambin administra la respetada certificacin a nivel mundial como Auditor de Sistemas de Informacin.

2/20

Riesgo Informtico
La Organizacin Internacional de Normalizacin (ISO) define riesgo tecnolgico (Guas para la Gestin de la Seguridad) como:
La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto especfico, el cual puede estar representado por prdidas y daos.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

3/20

Amenaza
Acciones que pueden ocasionar consecuencias negativas en la plataforma informtica disponible: fallas, ingresos no autorizados a las reas de computo, virus, uso inadecuado de activos informticos, desastres ambientales (terremotos, inundaciones), incendios, accesos ilegales a los sistemas, fallas elctricas. Pueden ser de tipo lgico o fsico.

SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

4/20

Vulnerabilidad
Condiciones inherentes a los activos o presentes en su entorno que facilitan que las amenazas se materialicen. Se manifiestan como debilidades o carencias: falta de conocimiento del usuario, tecnologa inadecuada, fallas en la transmisin, inexistencia de antivirus, entre otros.

SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

5/20

Impacto
Consecuencias de la ocurrencia de las distintas amenazas: financieras o no financieras. Perdida de dinero, deterioro de la imagen de la empresa, reduccin de eficiencia, fallas operativas a corto o largo plazo, prdida de vidas humanas, etc.

SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

6/20

Administracin de Riesgos
Luego de efectuar el anlisis de riesgo-impacto, el ciclo de administracin de riesgo finaliza con la determinacin de las acciones a seguir respecto:
Controlar el riesgo fortaleciendo los controles existentes o agregar nuevos controles.

Eliminar el riesgo. Compartir el riesgo mediante acuerdos contractuales traspasando el riesgo a un tercero (Ejemplo: seguro, outsourcing de informtica).
Aceptar el riesgo, determinando el nivel de exposicin.
SENA, LEONARDO Y SIMN M. TENZER. 2004. Introduccin al Riesgo Informtico. Ctedra de Introduccin a la Computacin. Facultad de Ciencias Econmicas y Administracin. Universidad de la Repblica de Uruguay. Fuente: http://www.ccee.edu.uy/ensenian/catcomp/material/Inform_%20II/riesgoinf8.pdf

7/20

Marco de Trabajo de Control COBIT

Para que la TI tenga xito en satisfacer los requerimientos del negocio, la direccin debe implantar un sistema de control interno o un marco de trabajo. El marco de trabajo de control COBIT contribuye a estas necesidades de la siguiente manera: Estableciendo un vnculo con los requerimientos del negocio.
Organizando las actividades de TI en un modelo de procesos generalmente aceptado.

Identificando los principales recursos de TI utilizados.

Definiendo los objetivos de control gerencial a ser considerados.

8/20

NEGOCIO
Requerimientos Informacin

TICS Vs. PROCESOS

Controlados por Medidos por Auditados a travs de Ejecutados a travs de Objetivos de Control

Indicadores de Desempeo

Indicadores Meta

Metas de Actividades

Modelo de Madurez

Directrices de Auditora

Prcticas de Control

Traduccin

Implementacin

9/20

Las mejores prcticas de TI se han vuelto significativas debido a un nmero de factores:

Directores de negocio y consejos directivos que demandan un mayor retorno de la inversin en TI. Preocupacin por el creciente nivel de gasto en TI. La necesidad de satisfacer requerimientos regulatorios para controles de TI en reas como privacidad y reportes financieros y en sectores especficos como el financiero, farmacutico y de atencin a la salud.

10/20

Las mejores prcticas de TI se han vuelto significativas debido a un nmero de factores:

La seleccin de proveedores de servicio y el manejo de Outsourcing y de Adquisicin de servicios

Riesgos crecientemente complejos de la TI como la seguridad de redes

Iniciativas de gobierno de TI que incluyen la adopcin de marcos de referencia de control y de mejores prcticas para ayudar a monitorear y mejorar las actividades crticas de TI, aumentar el valor del negocio y reducir los riesgos de ste.

11/20

Las mejores prcticas de TI se han vuelto significativas debido a un nmero de factores:

La necesidad de optimizar costos siguiendo, siempre que sea posible, un enfoque estandarizado en lugar de enfoques desarrollados especialmente. La madurez creciente y la consecuente aceptacin de marcos de trabajo respetados tales como COBIT, ITIL, ISO 17799, ISO 9001, entre otros.

La necesidad de las empresas de valorar su desempeo en comparacin con estndares generalmente aceptados y con respecto a su competencia (Benchmarking)

12/20

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 1
PLANEAR Y ORGANIZAR

Estrategias y tcticas. Identificar la manera en que TI pueda contribuir de la mejor manera al logro de los objetivos del negocio. La visin estratgica requiere ser planeada, comunicada y administrada. Implementar una estructura organizacional y una estructura tecnolgica apropiada.

13/20

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados.
PLANEAR Y ORGANIZAR

Cubre los siguientes cuestionamientos tpicos de la gerencia: Estn alineadas las estrategias de TI y del negocio?
La empresa est alcanzando un uso ptimo de sus recursos? Entienden todas las personas dentro de la organizacin los objetivos de TI? Se entienden y administran los riesgos de TI? Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?

14/20

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 2
ADQUIRIR E IMPLEMENTAR

Para llevar a cabo la estrategia de TI, las soluciones de TI necesitan la implementacin e integracin en los procesos del negocio.

15/20

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados.
ADQUIRIR E IMPLEMENTAR

Adems para garantizar que las soluciones sigan cubre los siguientes cuestionamientos de la gerencia:
Los nuevos proyectos generan soluciones que satisfagan las necesidades? Los nuevos proyectos son entregados a tiempo y dentro del presupuesto? Trabajarn adecuadamente los nuevos sistemas una vez sean implementados?

Los cambios afectarn actuales del negocio?

las

operaciones

16/20

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE

Este dominio cubre la entrega en s de los servicios requeridos, lo que incluye la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a los usuarios, la administracin de los datos y de las instalaciones operacionales.

17/20

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 3
ENTREGAR Y DAR SOPORTE

Aclara las siguientes preguntas de la gerencia: Se estn entregando los servicios de TI de acuerdo con las prioridades del negocio? Estn optimizados los costos de TI? Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera productiva y segura? Estn implantadas de forma adecuada la confidencialidad, la integridad y la disponibilidad?

18/20

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados. DOMINIO 4
MONITOREAR Y EVALUAR

Todos los procesos de TI deben evaluarse de forma regular en el tiempo en cuanto a su calidad y cumplimiento de los requerimientos de control. Este dominio abarca la administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y la aplicacin del gobierno.

19/20

Para gobernar efectivamente TI, es importante determinar las actividades y los riesgos que requieren ser administrados.
MONITOREAR Y EVALUAR

Abarca las siguientes preguntas de la gerencia: Se mide el desempeo de TI para detectar los problemas antes de que sea demasiado tarde? La Gerencia garantiza que los controles internos son efectivos y eficientes? Puede vincularse el desempeo de lo que TI ha realizado con las metas del negocio? Se miden y reportan los riesgos, el control, el cumplimiento y el desempeo?

Bibliografia
ASOCIACIN DE AUDITORA Y CONTROL DE SISTEMAS DE INFORMACIN. Manual de Preparacin al Examen CISA (Certified Information System Auditor). ISACA 2008. ISACA http://www.isaca.org Asociacin Peruana de Auditora y Control de Sistemas de Informacin http://www.isaca.org.pe/