Risk-IT-Framework-2nd-Edition FMK Writf2s Spa 0920

Marco de
riesgos de TI
2a Edición
Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

MARCO DE RIESGOS DE TI, 2ª EDICIÓN
Acerca de ISACA
Durante más de 50 años, ISACA® (www.isaca.org) ha promovido el mejor talento, experiencia y aprendizaje en
tecnología. ISACA proporciona conocimiento, credenciales, educación y comunidad a sus asociados para progresar en
sus carreras profesionales y transformar sus organizaciones, y permite que las empresas formen y desarrollen equipos
de calidad. ISACA es una organización de aprendizaje y asociación global de profesionales que aprovecha la
experiencia de sus 145 000 miembros que trabajan en seguridad de la información, gobierno, aseguramiento, riesgo y
privacidad para impulsar la innovación a través de la tecnología. Está presente en 188 países, con más de 220 capítulos
a nivel mundial.
Descargo de responsabilidad
ISACA ha diseñado y creado el Marco de riesgos de TI, 2ª Edición (el “Trabajo”) fundamentalmente como un recurso
educativo para profesionales. ISACA no pretende que el uso de cualquier parte del Trabajo garantice un resultado
satisfactorio. No debe considerarse que el Trabajo incluya toda la información pertinente, los procedimientos y las
pruebas apropiadas, ni que excluya otra información, procedimientos y pruebas que estén razonablemente orientadas
hacia la obtención de los mismos resultados. Para determinar la oportunidad de cualquier información, procedimiento o
prueba específicos, los profesionales deberán aplicar su propio criterio profesional a las circunstancias específicas que
presenten en particular los sistemas o el entorno de tecnología de la información.
Reserva de derechos
© 2020 ISACA. Todos los derechos reservados. Ninguna parte de esta publicación puede ser usada, copiada,
reproducida, modificada, distribuida, exhibida, almacenada en un sistema de recuperación o transmitida de cualquier
forma o por cualquier medio (electrónico, mecánico, fotocopia, grabación u otros), sin la previa autorización por escrito
de ISACA.
ISACA
1700 E. Golf Road, Suite 400
Schaumburg, IL 60173, USA
Teléfono: +1.847.660.5505
Fax: +1.847.253.1755
Contáctenos: https://support.isaca.org
Sitio web: www.isaca.org
Participe en los foros en línea de ISACA: https://engage.isaca.org/onlineforums
Twitter: http://twitter.com/ISACANews
LinkedIn: www.linkedin.com/company/isaca
Facebook: www.facebook.com/ISACAGlobal
Instagram: www.instagram.com/isacanews/
Marco de riesgos de TI, 2ª Edición

ISBN 978-1-60420-835-1

AGRADECIMIENTOS
Agradecimientos
ISACA desea reconocer a las siguientes personas:
Desarrollador líder
Lisa Young, CISA, CISM, CISSP, Axio, EE.UU.
Revisores expertos
Luis Alberto Capua, CRISC, CISM, Argentina
Tom Conkle, CISSP, Optic Cyber Solutions, EE.UU.
Andrew Foo, CISA, CRISC, CISM, CGEIT, CBCP, CCSK, CISSP, PMP, Dulwich College International, China
Sandra Fonseca, Ph.D., CISA, CRISC, CISM, CICA, Northcentral University, EE.UU.
Yalcin Gerek, CISA, CRISC, CGEIT, COBIT 5 Trainer, DASA DevOps Coach, ISO 20000LI, ISO 27001LA, ITIL
Expert, PRINCE2, Resilia Practitioner, TAC, Turquía
Ahmad M. El Ghazouly, Ph.D., CISA, CRISC, CISM, PMI-ACP, AMBCI, BISL, PBA, PMP, PMI-RMP, TOGAF,
PGESCo, Egipto
Demetri Gittens, CISA, CRISC, Central Bank of Trinidad and Tobago, Trinidad y Tobago
Rob Hanson, CISA, CRISC, CISM, CGEIT, CRMA, Australian Data Standards Body, Canberra, ACT, Australia
Ken Hendrie, CISA, CRISC, CISM, CGEIT, ISO27001 LI, ITIL, PRINCE2, IRAP, Cyconsol, Australia
John Hoffoss, CISA, CISSP, CGIH, CliftonLarsonAllen, EE.UU.
Mike Hughes, CISA, CRISC, CGEIT, MIoD, Prism RA, Reino Unido
John E. Jasinski, CISA, CRISC, CISM, CGEIT, CSX, COBIT 5 Assessor, COBIT and ITIL Accredited Instructor,
AWS Practitioner, CCSK, Certified Scrum Master and Product Owner, ISO 20000, IT4IT, ITIL Expert, Lean IT,
MOF, ServiceNow and RSA Archer Certified System Administrator, Six Sigma Blackbelt, TOGAF, EE.UU.
Jack Jones, CISA, CRISC, CISM, CISSP, RiskLens, EE.UU.
Linda Kostic, CISA, CISSP, CPA, Doctor of IT-Cybersecurity & Information Assurance, PRMIA Complete Course
in Risk Management at George Washington University (GWU), Citi, EE.UU.
Jerry M. Kathingo, CRISC, CISM, Hatari Security, Kenia
Kamal Khan, CISA, CISSP, CITP, MBCS, Reino Unido
Shruti S. Kulkarni, CISA, CRISC, CCSK, CISSP, ITIL v3, Interpublic Group, Reino Unido
Jim Lipkis, Monaco Risk Analytics Inc., EE.UU.
Tony Martin-Vegue, CISM, CISSP, Netflix
Andre Pitkowski, CRISC, CGEIT, COBIT 5 Assessor, APIT Consultoria de Informatica Ltda, Brasil
Eduardo Oscar Ritegno, CISA, CRISC, Banco Nación, Argentina
Gurvinder Pal Singh, CISA, CRISC, CISM, Qantas Airways, Australia
Katsumi Sakagawa, CISA, CRISC, Japón
Darron Sun, CISA, CRISC, CISSP, CMA, CPA (Australia), CRMA, FIPA, Hong Kong Housing Society, China
Peter C. Tessin, CISA, CRISC, CISM, CGEIT, Discover Financial Services, EE.UU.
Alok Tuteja, CRISC, CGEIT, CIA,CISSP, BRS Ventures, Emiratos Árabes Unidos
Ashish Vashishtha, CISA, CRISC, CISM, CIPT, CISSP, AWS Certified Cloud Practitioner, HITRUST CSF
Practitioner, PROSCI Change Practitioner, AdventHealth, EE.UU.
Greet Volders, CGEIT, Voquals N.V., Bélgica
Jonathan Waldo, CISA, CRISC, ITIL 4 Foundation, CH Robinson, EE.UU.
Larry G. Wlosinski, CISA, CRISC, CISM, CAP, CBCP, CCSP, CDP, CIPM, CISSP, ITIL v3, PMP, Coalfire-Federal,
EE.UU.
Prometheus Yang, CISA, CRISC, CISM, CFE, Standard Chartered Bank, Hong Kong
Dušan Žikić, CISA, CRISC, CISM, CSX-P, Cybersecurity Audit, Cybersecurity Fundamentals, COBIT 5
Foundation, COBIT 2019 Foundation, COBIT 2019 Design and Implementation, ITIL (2011) Foundation, ITIL 4
Foundation, IBM Data Science, NIS Gazprom Neft, Serbia

Agradecimientos (cont.)
Grupo de trabajo de riesgo de TI
Steven Babb, CRISC, CGEIT, ITIL, MUFG Investor Services, Reino Unido
Urs Fischer, CISA, CRISC, CPA (Swiss), UBS Business Solutions AG, Suiza
Jack Freund, Ph.D., CISA, CRISC, CISM, CISSP, RiskLens, EE.UU.
Apolonio Garcia, CRISC, Open FAIR, HealthGuard, EE.UU.
Jimmy Heschl, CISA, CISM, CGEIT, Red Bull, Austria
Gladys Rouissi, CISM, CRISC, ANC Wealth, Australia
James C. Samans, CISA, CRISC, CISM, CBCP, CISSP-ISSEP, CPP, PMP, American Institutes for Research, EE.UU.
Ekta Singh-Bushell, CISA, CGEIT, CISSP, CPA, Datatec, EE.UU.
Dirk Steuperaert, CISA, CRISC, CGEIT, IT In Balance, Bélgica
Evan Wheeler, CRISC, IASO, Edelman Financial Engines, EE.UU.
Consejo de administración
Tracey Dedrick, Chair, Former Chief Risk Officer, Hudson City Bancorp, EE.UU.
Rolf von Roessing, Vice-Chair, CISA, CISM, CGEIT, CDPSE, CISSP, FBCI, Partner, FORFA Consulting AG, Suiza
Gabriela Hernandez-Cardoso, Independent Board Member, México
Pam Nigro, CISA, CRISC, CGEIT, CRMA, Vice President–Information Technology, Security Officer, Home Access
Health, EE.UU.
Maureen O’Connell, Board Chair, Acacia Research (NASDAQ), Former Chief Financial Officer and Chief
Administration Officer, Scholastic, Inc., EE.UU.
David Samuelson, Chief Executive Officer, ISACA, EE.UU.
Gerrard Schmid, President and Chief Executive Officer, Diebold Nixdorf, EE.UU.
Gregory Touhill, CISM, CISSP, President, AppGate Federal Group, EE.UU.
Asaf Weisberg, CISA, CRISC, CISM, CGEIT, Chief Executive Officer, introSight Ltd., Israel
Anna Yip, Chief Executive Officer, SmarTone Telecommunications Limited, Hong Kong
Brennan P. Baybeck, CISA, CRISC, CISM, CISSP, ISACA Board Chair, 2019-2020, Vice President and Chief
Information Security Officer for Customer Services, Oracle Corporation, EE.UU.
Rob Clyde, CISM, ISACA Board Chair, 2018-2019, Independent Director, Titus, and Executive Chair, White Cloud
Security, EE.UU.
Chris K. Dimitriadis, Ph.D., CISA, CRISC, CISM, ISACA Board Chair, 2015-2017, Group Chief Executive Officer,
INTRALOT, Grecia

TABLA DE CONTENIDOS
TABLA DE CONTENIDOS
Lista de Figuras ...............................................................................................................................................7
Resumen ejecutivo .......................................................................................................................................9
Capítulo 1 Introducción al Marco de riesgos de TI ......................................................11
1.1 Lo fundamental sobre los riesgos de TI ........................................................................................................ 11
1.2 Definiciones y terminología......................................................................................................................... 12
1.3 Propósito del Marco de riesgos de TI ........................................................................................................... 13
1.4 Antecedentes ............................................................................................................................................... 13
1.5 Audiencia objetivo y partes interesadas ....................................................................................................... 14
Capítulo 2 Principios del Marco de riesgos de TI ........................................................15

2.1 Introducción................................................................................................................................................ 15
2.2 Vinculación con el negocio o con la misión de la empresa ............................................................................ 16
2.3 Alineación con la gestión de riesgo empresarial ........................................................................................... 17
2.4 Equilibrio de costes y beneficios ................................................................................................................. 17
2.5 Promoción de la comunicación ética y abierta. ............................................................................................. 17
2.6 Establecimiento de las pautas de ejemplaridad y la rendición de cuentas ...................................................... 17
2.7 Uso de un planteamiento coherente alineado con la estrategia ...................................................................... 18
Capítulo 3 Componentes del Marco de riesgos de TI y

la alineación con COBIT ............................................................................................19
3.1 Introducción................................................................................................................................................ 19
3.2 Componentes del Marco de riesgos de TI ..................................................................................................... 20
3.3 Alineación de COBIT con el Marco de riesgos de TI .................................................................................... 21
3.4 Aplicación del Marco de riesgos de TI independiente de COBIT ................................................................. 21
Capítulo 4 Conceptos esenciales del gobierno de riesgos ................................23

4.1 Introducción................................................................................................................................................ 23
4.2 Apetito de riesgo, tolerancia al riesgo y capacidad de riesgo ........................................................................ 23
4.3 Partes interesadas para la gestión de riesgos de I&T..................................................................................... 26
4.4 Cultura del riesgo ........................................................................................................................................ 28
Capítulo 5 Conceptos esenciales de la gestión de riesgos ................................31

5.1 Introducción................................................................................................................................................ 31
5.2 Establecimiento del contexto y del alcance de la gestión de riesgos .............................................................. 31
5.3 Comprensión del flujo de trabajo de gestión de riesgos ................................................................................ 31
Capítulo 6 Conceptos esenciales de la gestión de riesgos ...............................33

6.1 Introducción................................................................................................................................................ 33
6.2 Identificación de riesgos.............................................................................................................................. 33
6.3 Análisis de riesgos ...................................................................................................................................... 33
6.4 Evaluación del impacto de negocio de los riesgos identificados.................................................................... 33
6.5 Escenarios de riesgo de I&T ........................................................................................................................ 34
Capítulo 7 Concienciación de riesgos, informes y comunicación ...............39

7.1 Introducción................................................................................................................................................ 39
7.2 Beneficios de la concienciación de riesgos y la comunicación ...................................................................... 39
7.3 Presentación de informes y comunicación de riesgos.................................................................................... 39
7.4 Indicadores clave de riesgo.......................................................................................................................... 42

Capítulo 8 Fundamentos de la respuesta al riesgo ...................................................45
8.1 Introducción................................................................................................................................................ 45
8.2 Evitación del riesgo..................................................................................................................................... 45
8.3 Mitigación del riesgo................................................................................................................................... 45
8.4 Compartición o transferencia del riesgo ....................................................................................................... 46
8.5 Aceptación del riesgo .................................................................................................................................. 46
8.6 Agregación de riesgos ................................................................................................................................. 46
8.7 Selección de la respuesta y priorización de riesgos....................................................................................... 47

LISTA DE FIGURAS
LISTA DE FIGURAS
Capítulo 1 Introducción al Marco de riesgos de TI
Figura 1.1—Alcance del riesgo relacionado con la I&T en relación con otras categorías principales de riesgo.....................14
Capítulo 2 Principios del Marco de riesgos de TI

Figura 2.1—Principios de gestión de riesgos ..........................................................................................................................16
Capítulo 3 Componentes del Marco de riesgos de TI y

la alineacióncon COBIT
Figura 3.1—Alineación de los principios de gestión de riesgos relacionados con la I&T con los objetivos
de COBIT EDM03 y APO12.................................................................................................................................20
Capítulo 4 Conceptos esenciales del gobierno de riesgos

Figura 4.1—Capacidad de riesgo, apetito de riesgo y riesgo real...........................................................................................26
Figura 4.2—Partes interesadas para la gestión de riesgos de I&T .........................................................................................27
Figura 4.2—Partes interesadas para la gestión de riesgos de I&T (cont.) ..............................................................................28
Figura 4.3—Comportamientos relevantes para la gestión y el gobierno de riesgo .................................................................29
Capítulo 5 Conceptos esenciales de la gestión de riesgos

Figura 5.1—Flujo de trabajo de la gestión de riesgos .............................................................................................................32
Capítulo 6 Conceptos esenciales de la gestión de riesgos

Figura 6.1—Desarrollo del escenario de riesgo relacionado con la I&T..................................................................................36
Figura 6.2—Componentes y estructura de un escenario de riesgo/evento de pérdidas.........................................................37
Capítulo 7 Concienciación de riesgos, informes y comunicación

Figura 7.1—Componentes de la comunicación de riesgos de I&T..........................................................................................41
Capítulo 8 Fundamentos de la respuesta al riesgo

Figura 8.1—Selección de la respuesta y priorización de riesgos ............................................................................................48

Esta página se dejó en blanco intencionalmente

RESUMEN EJECUTIVO
Resumen ejecutivo
El concepto de riesgo, cuando es considerado en el contexto de tecnología de la información y ciberseguridad, hace referencia a
un extenso vocabulario, que incluye amenazas y vulnerabilidades, apetito, tolerancia, impacto, priorización y respuesta al riesgo,
entre otros muchos términos que son fundamentales para las disciplinas del gobierno de riesgo, la gestión y la evaluación de las
tecnologías de la información.
Los profesionales de riesgos de TI necesitan definiciones completas, claras y distintas de todos estos términos con el fin de crear
un lenguaje común accesible a los responsables de negocio de la empresa. El Marco de riesgos de TI de ISACA desarrolla el
lenguaje de riesgo específicamente en el contexto de la tecnología de la información y la ciberseguridad, fomenta la
conversación abierta sobre las innumerables facetas del riesgo empresarial, codifica las guías y las prácticas que optimizan el
riesgo, la oportunidad, la seguridad y el valor de negocio, y ayuda a los profesionales a generar consenso con respecto a las
decisiones sobre riesgos de TI en todos los niveles de la empresa. El Marco de riesgos de TI, 2ª Edición, junto con su volumen
complementario, la Guía del profesional de riesgos de TI, 2ª Edición, facilitan la colaboración entre los profesionales de TI y de
riesgos, aplicando la ciencia de la gestión de riesgos a la tecnología y la información (I&T) de la empresa.
La profesión de gestión de riesgos no es una invención moderna. El estudio de la gestión de riesgos se originó en el siglo XVII
cuando los matemáticos Blaise Pascal y Pierre de Fermat intercambiaron cartas sobre los juegos de azar. Se cree que su
correspondencia ha originado la teoría de la probabilidad moderna1 y, en última instancia, el análisis cuantitativo del riesgo
1
moderno. Sin embargo, en el contexto de la tecnología de la información, la seguridad de la información, la ciberseguridad y los
sistemas ciberfísicos actuales,22 en el resto de la organización no se comprenden con carácter general los principios de la gestión
de riesgos, sobre todo sus métodos cuantitativos, que mejoran drásticamente la concienciación de los riesgos de I&T en términos
de negocio y financiero.
En particular, es posible que haya partes interesadas clave de la empresa que dependen de la tecnología para alcanzar sus
objetivos estratégicos y operativos (incluyendo a los miembros del consejo y los ejecutivos) y que, por lo tanto, deben rendir
cuentas de la gestión de riesgos, que no comprendan por completo el ciberriesgo. Sin una comprensión clara del riesgo
relacionado con la I&T, los altos ejecutivos no tienen un marco de referencia para priorizarlo y gestionarlo, aun cuando la I&T
domina cada vez más los ecosistemas en los que, y a través de los que, opera la empresa.
El riesgo, definido como una combinación de la probabilidad de un evento y su impacto, proporciona oportunidades de beneficio
(ventajas) o peligros para el éxito (desventajas). El riesgo y la oportunidad van de la mano; de hecho, para proporcionar valor de
negocio a las partes interesadas, las empresas deben involucrarse en diversas actividades e iniciativas (oportunidades), todas las
que conllevan grados de incertidumbre y, por lo tanto, riesgo. La gestión del riesgo y de las oportunidades es una actividad
estratégica clave para el éxito de la empresa.
El Marco de riesgos de TI, 2ª Edición, se refiere a todo el espectro de riesgos de I&T: cualquier riesgo del negocio o de la misión
relacionado con el uso o la dependencia de las tecnologías de la información y comunicación (TIC),33la tecnología operacional
(TO),44 la red o la internet de cosas (IOT),55los datos electrónicos, y las comunicaciones electrónicas o digitales. El marco se
basa en los principios fundamentales de servir a las partes interesadas y mejorar el valor del negocio a través de un gobierno y
gestión empresarial efectivos de todos los tipos de riesgos relacionados con la I&T. En esta publicación, se tratan la seguridad de
la información, el aseguramiento de la información y la ciberseguridad como subdominios del riesgo relacionado con la I&T.
El marco incorpora y elabora varios principios rectores clave para el riesgo de TI en toda la empresa:
 Vincular la gestión de los riesgos relacionados con la I&T con los objetivos del negocio o de la misión.
 Alinear la gestión de los riegos del negocio o de la misión relacionados con la I&T con la gestión del riesgo empresarial
(GRE), siempre que sea posible, si la GRE se encuentra operativa en la empresa.
 Equilibrar los costes y beneficios de la gestión del riesgo relacionado con la I&T con los de otros riesgos empresariales.
1
1
American Physical Society, “July 1654: Pascal’s Letters to Fermat on the ‘Problem of Points’,” APS News, vol. 18, no. 7, July 2009,
www.aps.org/publications/apsnews/200907/physicshistory.cfm
2
2
Ver US National Institute of Standards and Technology (NIST), “Cyber-Physical Systems,” www.nist.gov/el/cyber-physical-systems
3
3
NIST, “Information and Communications Technology (ICT),” Computer Security Resource Center,
https://csrc.nist.gov/glossary/term/information_and_communications_technology
4
4
NIST, “Operational Technology (OT),” Computer Security Resource Center, https://csrc.nist.gov/glossary/term/Operational-technology
5
5
Voas, J.; “Networks of ‘Things’,” NIST SP 800-183, July 2016, https://csrc.nist.gov/publications/detail/sp/800-183/final

 Promover la comunicación ética y abierta sobre los riesgos relacionados con la I&T.
 Establecer las pautas de ejemplaridad (tone at the top) mientras se define y se hace cumplir la rendición de cuentas personal
para operar dentro de niveles de tolerancia bien definidos y aceptables.
 Integrar la práctica de riesgos de TI en los procesos y las actividades rutinarios: los esfuerzos discontinuos, en momentos
puntuales o incidentales son intrínsecamente perjudiciales para la metodología de riesgos de TI.
 Adoptar un planteamiento consistente que sea estándar, repetible y que esté alineado con la estrategia.
El riesgo relacionado con la I&T es un componente dentro del universo general de riesgos de la empresa (figura 1.1). Otros
tipos de riesgo incluyen el riesgo estratégico, el riesgo ambiental, el riesgo de mercado, el riesgo crediticio, el riesgo operativo y
el riesgo de cumplimiento. Algunas empresas categorizan el riesgo relacionado con la I&T bajo el riesgo operativo; por ejemplo,
las del sector financiero, tal como se define en el marco de Basilea II.66 Sin embargo, todos los tipos de riesgos (incluso el riesgo
estratégico) pueden incluir elementos del riesgo de I&T, en especial si la I&T conforma el núcleo de las nuevas iniciativas de
negocio. La misma asociación se aplica al riesgo crediticio; por ejemplo, una mala gestión de ciberriesgo puede dar lugar a
brechas de seguridad y/o penalizaciones por incumplimiento y, a su vez, a calificaciones crediticias más bajas.77
El Marco de riesgos de TI, 2ª Edición explica el riesgo relacionado con la I&T y permite que los profesionales:
 identifiquen y aborden el riesgo relacionado con la I&T en términos generales a nivel empresarial,
no únicamente dentro del departamento de TI;
 integren la gestión de riesgo de TI, la seguridad de la información y el ciberriesgo tradicional en los procesos generales
de GRE;
 faciliten la toma de decisiones integral, holística y consciente del riesgo, a nivel empresarial;
 guíen la respuesta al riesgo de la empresa siempre que el riesgo relacionado con la I&T exceda la tolerancia.
El Marco de riesgos de TI, 2ª Edición, forma parte de la amplia cartera (portfolio) de productos de gobierno y riesgo relacionado
con la I&T de ISACA; proporciona un marco completo e independiente, aunque está estrechamente alineado con COBIT® e
incorpora muchos de los mismos principios para alcanzar el éxito. Su publicación complementaria, la Guía del profesional de
riesgos de TI, 2ª Edición, también se alinea con COBIT. Ambas publicaciones asumen que los profesionales de riesgos de TI
entienden los conceptos básicos del marco de referencia COBIT.8 8
6
6
Basel Committee on Banking Supervision, Basel II: International Convergence of Capital Measurement and Capital Standards: a Revised
Framework, 10 June 2004, https://www.bis.org/publ/bcbs107.htm
7
7
O’Flaherty, K.; “Equifax Becomes First Firm To See Its Outlook Downgraded Due To A Cyber-Attack,” Forbes, 28 May 2019,
https://www.forbes.com/sites/kateoflahertyuk/2019/05/28/equifax-becomes-first-firm-to-see-its-outlook-downgraded-due-to-a-cyber-
attack/#209549335671
8
8
Para obtener orientación adicional, consulte ISACA, Getting Started with Risk Management, USA, 2018,
https://www.isaca.org/bookstore/bookstore-wht_papers-digital/whpgsr ; e ISACA, Risk IT Practitioner Guide, USA, 2nd Edition, 2020,
http://www.isaca.org/bookstore/bookstore-risk-digital/ritpg2 (próximamente). Ambas publicaciones adoptan las metodologías de COBIT e incluyen
varios ejemplos prácticos.
10

CAPÍTULO 1
INTRODUCCIÓN AL MARCO DE RIESGOS DE TI
Capítulo 1
Introducción al Marco de riesgos de TI
1.1 Lo fundamental sobre los riesgos de TI
El riesgo relacionado con la I&T es una condición esencial de los negocios digitales, independientemente de que la empresa
identifique sus fuentes o reconozca sus potenciales consecuencias. En particular, la exposición a las ciberamenazas (un tipo
específico de riesgo relacionado con la I&T) aumenta a medida que las empresas integran tecnología y aprovechan la
información para la creación de valor. Las ciberamenazas pueden tener impactos devastadores si no se identifican y gestionan
de manera adecuada.
En este contexto, el Marco de riesgos de TI ofrece una metodología estructurada y sistemática que permite que las empresas:
 identifiquen los riesgos actuales y emergentes en toda la empresa extendida;
 desarrollen capacidades operativas adecuadas para garantizar que los procesos del negocio continúen operando durante
eventos adversos;
 aprovechen las inversiones realizadas en cumplimiento o en sistemas de control interno para optimizar el riesgo relacionado
con la I&T;
 reconozcan el riesgo relacionado con la I&T que exceda el alcance de los controles técnicos, y de las herramientas y
las técnicas relacionadas con la TI para integrarlo en el programa de gestión de riesgo empresarial (GRE);
 aumenten la concienciación del equilibrio entre (por un lado) los beneficios de la tecnología y los socios externos y
(por otro lado) el impacto potencial de las ciberamenazas, los fallos en el control interno y el riesgo introducido por
suministradores, proveedores y socios;
 promuevan la concienciación del riesgo, la rendición de cuentas y la responsabilidad en toda la empresa;
 enmarquen el riesgo relacionado con la I&T dentro de un contexto de negocio para comprender la exposición agregada
en términos de valor empresarial;
 enfoquen los recursos de gestión de riesgos internos y externos para maximizar los objetivos de la empresa.
El Marco de riesgos de TI se alinea con los principales marcos de GRE, incluyendo el marco de GRE del COSO91 y la norma
ISO 31000 Gestión de riesgos10 ; sin embargo, la implementación de estos últimos no es un prerrequisito para adoptar el Marco
2
de riesgos de TI. Las empresas que adoptan el Marco de riesgos de TI, por lo general, aplican muchos principios comunes de la
GRE en sus procesos fundamentales de riesgos, independientemente del tipo de riesgo bajo gestión.
Si la GRE ya está de alguna manera implementada, es importante aprovechar el programa de GRE existente con el fin de:
 incrementar su aceptación y su adopción por las partes interesadas, aprovechando los conceptos existentes, la terminología
y el consenso general;
 ahorrar tiempo y dinero en formación e implementación;
 evitar la discontinuidad relacionada con la sustitución por una nueva terminología o marco de gestión de TI, de
ciberseguridad o de ciberriesgo.
Aprovechar un programa de GRE existente es muy importante cuando el riesgo identificado relacionado con la I&T tiene el
potencial de impactar en la totalidad del negocio o la misión, no tan solo en una parte de la empresa.
El Marco de riesgos de TI ayuda a conciliar las discrepancias entre los marcos de gestión de riesgos genéricos tradicionales
(p. ej. GRE del COSO e ISO 31000) y los marcos específicos de dominio como los de la ciberseguridad (p. ej. el marco de
ciberseguridad del NIST11), la seguridad de la información (p. ej. ISO 2700512) o la gestión de proyectos (p. ej. PMBOK®13).
3 4 5
El Marco de riesgos de TI ofrece una visión integral de extremo a extremo del riesgo relacionado con el uso de I&T y cubre
1
9
Committee of Sponsoring Organizations of the Treadway Commission (COSO), “Guidance on Enterprise Risk Management,”
https://www.coso.org/Pages/erm.aspx
2
10
International Organization for Standardization (ISO®), ISO 31000 Risk Management, 2018, www.iso.org/iso-31000-risk-management.html
3
11
NIST, Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1, April 2018, https://www.nist.gov/cyberframework/framework
4
12
ISO, ISO/IEC 27005:2018 Information technology — Security techniques — Information security risk management, July 2018,
https://www.iso.org/standard/75281.html
5
13
Project Management Institute, “PMBOK® Guide and Standards,” www.pmi.org/pmbok-guide-standards
11

de forma exhaustiva la gestión de riesgos, desde las pautas de ejemplaridad y la cultura de la dirección, hasta los profesionales
de primera línea y los temas operativos.
La aplicación de las prácticas de gestión de riesgos relacionados con la I&T descritas en el Marco de riesgos de TI proporciona
beneficios tangibles para el negocio y/o la misión: menos sorpresas y fallos operativos, mayor calidad y fiabilidad de la
información, mayor confianza de las partes interesadas, menos preocupaciones regulatorias y aplicaciones innovadoras que
respaldan las nuevas iniciativas de negocio.
En resumen, el Marco de riesgos de TI permite que las empresas entiendan y gestionen la exposición al peligro, el daño o las
pérdidas que estén relacionados con el uso, o la dependencia, de las tecnologías de la información y las comunicaciones,
los datos electrónicos, y las comunicaciones digitales o electrónicas.
1.2 Definiciones y terminología
El Marco de riesgos de TI, 2ª Edición utiliza los siguientes términos para describir los contextos, los procesos y las actividades
clave:
 Empresa: grupo de personas que trabajan conjuntamente con un propósito común, en general, en el contexto de una
organización empresarial, como una sociedad anónima, asociación, sociedad de responsabilidad limitada, agencia pública
o gubernamental, organización benéfica, sin fines de lucro o negocio fiduciario.
 Organización: la estructura o disposición de los componentes interrelacionados de una empresa, definidos por un alcance
específico.
 Negocio y/o misión: el propósito estratégico por el que existe la organización. En el ámbito del riesgo de TI, una empresa,
normalmente, establece objetivos estratégicos (p. ej. ofrecer un producto o servicio, lograr unos objetivos de ventas y
generar unos ingresos). El propósito de una organización impulsada por una misión puede ser similar al de una empresa
comercial, pero a menudo opera para cumplir con objetivos gubernamentales, militares o sin fines de lucro .
 Gobierno: marco y sistema que garantizan que:
 Se evalúen las opciones, condiciones y necesidades de las partes interesadas para determinar unos objetivos
empresariales equilibrados y acordados.
 Se establezca la dirección estratégica y se prioricen y respalden las metas mediante la toma de decisiones adecuadas
y oportunas.
 Riesgo: la combinación de la probabilidad de un evento y su impacto.
 Seguridad de la información: la disciplina empresarial que protege la información de su divulgación a usuarios no
autorizados (garantizando la confidencialidad), su modificación indebida (garantizando la integridad) e impidiendo el
acceso, cuando sea necesario (garantizando la disponibilidad).
 Ciberseguridad: la disciplina empresarial que protege los activos de información al abordar las amenazas a la información
procesada, almacenada y transportada por sistemas de información interconectados a través de redes.
 Ciberriesgo: la exposición al peligro, daño o las pérdidas relacionadas con el uso, o la dependencia, de las tecnologías de
la información y las comunicaciones, los datos electrónicos, y las comunicaciones digitales o electrónicas. Típicamente,
la materialización del ciberriesgo implica el acceso no autorizado y/o el uso no autorizado de las tecnologías de la
información y las comunicaciones.
En el Marco de riesgos de TI, 2ª Edición, el término I&T abarca, en líneas generales, toda información y la tecnología
relacionada, los ecosistemas electrónicos y digitales, e incluye la seguridad de la información, la ciberseguridad y los procesos
y disciplinas asociados. El término TI en este marco se refiere, en sentido más estricto, a una función o departamento, interno
o externo, que proporciona soporte tecnológico.
El Marco de riesgos de TI aplica conceptos demostrados y generalmente aceptados de importantes estándares industriales genéricos
y, a veces, también desarrolla conceptos clave de otros marcos de gestión de riesgos de I&T. Sin embargo, la terminología del
Marco de riesgos de TI puede diferir de la de otras guías. Para los profesionales que están familiarizados con otros marcos, o que
tal vez hayan implementado otro estándar, tanto el Marco de riesgos de TI, 2ª Edición, como la Guía del profesional de riesgos de
TI, 2ª Edición, integran y amplían la terminología y los conceptos comunes de gestión de riesgos de la industria, y vinculan las
estructuras clave del Marco de riesgos de TI con sus contrapartes lógicas en los otros estándares (conocidos).
12

CAPÍTULO 1
INTRODUCCIÓN AL MARCO DE RIESGOS DE TI
1.3 Propósito del Marco de riesgos de TI
En muchas empresas, la I&T se ha convertido en un elemento fundamental para las operaciones diarias, y constituye cada vez
más la esencia del valor global del negocio. Por lo tanto, el riesgo relacionado con la I&T debería tratarse como cualquier otro
riesgo de negocio clave (p. ej. riesgo estratégico, riesgo ambiental, riesgo de mercado, riesgo crediticio, riesgo de cumplimiento
y operativo), todos los cuales caen bajo la categoría más alta de riesgo, el fracaso en la consecución de los objetivos estratégicos
de la empresa.
En algunas empresas, el riesgo relacionado con la TI, el riesgo de seguridad de la información y el ciberriesgo se consideran
subcategorías del riesgo operativo. Si bien otros tipos de riesgo crítico hace tiempo que se han integrado a los procesos de toma
de decisiones de la empresa, los ejecutivos todavía tienden a relegar el riesgo relacionado con la I&T al dominio de los
especialistas técnicos fuera de la sala del consejo. El riesgo relacionado con la I&T se extiende por toda la organización y,
por lo tanto, exige un planteamiento de gestión de riesgos integrado (no tratamientos aislados, locales o ad hoc).
El Marco de riesgos de TI explica el riesgo relacionado con la I&T y permite que los usuarios:
 identifiquen el riesgo relacionado con la I&T que trasciende el reducido criterio técnico y, por lo tanto, requiere una
consideración holística a nivel empresarial;
 integren la gestión del riesgo relacionado con I&T en los procesos de GRE;
 evalúen el riesgo de I&T y su respuesta en el contexto de tolerancia al riesgo global de la empresa.
1.4 Antecedentes
El riesgo de I&T suele surgir en nodos críticos entre entornos interconectados, incluyendo los puntos de acceso a Internet.
Sin embargo, estas interconexiones son fundamentales para el negocio y la misión; y, por dicha razón, suelen conllevar el riesgo
más grave de ciberseguridad y de seguridad de la información.
En general, la seguridad de la información pretende proteger la información manteniendo su confidencialidad, integridad y

disponibilidad (CIA), y asegurando los activos en los que reside. Otros factores en la seguridad de la información incluyen el no
repudio, la privacidad y la sensibilidad. Hoy en día, el riesgo de ciberseguridad casi siempre se extiende a otros tipos de riesgo,
porque la tecnología suele ser el vector (camino) a través del cual se materializa el ciberriesgo.
A menudo, cuando formula una estrategia de negocio u operativa, una empresa decide aceptar explícitamente cierto nivel de
riesgo para lograr sus objetivos. En COBIT, esta práctica se conoce como optimización; es decir, mantener el riesgo dentro de la
tolerancia al apetito de riesgo, que debiera ser la meta de la gestión de riesgos. El Marco de riesgos de TI se centra
principalmente en los recursos y las actividades que reducen el impacto en el negocio de un riesgo materializado, o que reducen
la probabilidad de que se materialice un riesgo que exceda los niveles aceptables. El marco facilita, en general, la gestión de todo
el espectro de riesgos relacionados con la I&T; sin embargo, como subcategorías relevantes, se pueden utilizar ejemplos de
ciberriesgos y seguridad de la información para mostrar la naturaleza interrelacionada de los sistemas y procesos.
El Marco de riesgos de TI se centra principalmente en los recursos y las actividades que reducen el impacto en el negocio
de un riesgo materializado, o que reducen la probabilidad de que se materialice un riesgo que exceda los niveles
aceptables.
El Marco de riesgos de TI no es un estándar sino un marco, y hace referencia a las prácticas y los objetivos de gobierno y gestión
de COBIT. Las empresas deben personalizar la guía del marco para adaptarlo a su contexto específico comercial e industrial.
13

1.5 Audiencia objetivo y partes interesadas
El Marco de riesgos de TI, 2ª Edición está escrito para una amplia audiencia, porque la gestión de riesgos es un requisito
estratégico global de cualquier empresa. La audiencia objetivo para el Marco de riesgos de TI incluye:
 altos ejecutivos y miembros del consejo que establecen la dirección estratégica y controlan el riesgo a nivel de la empresa;
 directores de TI, de TO y de los departamentos de negocio de la empresa que son los responsables de la toma de decisiones
operativas diarias y la integración de los procesos de gestión de riesgos en el trabajo diario;
 profesionales de gestión de riesgos que necesitan orientación específica en I&T, seguridad de la información,
ciberseguridad o ciberriesgo;
 partes interesadas externas, como clientes, reguladores, proveedores y socios.
El riesgo relacionado con la I&T se extiende a todo el universo de riesgo de la empresa (figura 1.1). Otros tipos de riesgo
empresarial incluyen el riesgo estratégico, el riesgo ambiental, el riesgo de mercado, el riesgo crediticio, el riesgo operativo
y el riesgo de cumplimiento. En la industria financiera (a modo de ejemplo), con frecuencia el riesgo relacionado con la I&T
se considera un subtipo del riesgo operativo, tal como se define en el marco de Basilea II.146 Sin embargo, el riesgo estratégico
puede abarcar el riesgo relacionado con la I&T, especialmente si la I&T es el fundamento de las nuevas iniciativas del negocio.
Lo mismo se aplica para el riesgo crediticio: las malas prácticas de gestión de ciberriesgo pueden conducir a calificaciones
crediticias más bajas.157 El Marco de riesgos de TI trata el riesgo relacionado con la I&T como un continuo, totalmente
coextensivo con otras categorías principales de riesgo, y no como un subtipo de riesgo limitado, jerárquicamente subordinado
a (o dependiente de) una u otra categoría superior. La subordinación conceptual del riesgo relacionado con la I&T a otro tipo
de riesgo (o su confinamiento limitado a un departamento o división de la empresa) podría disminuir la concienciación
y evaluación del riesgo, y llevar a un mal enjuiciamiento del riesgo y/o a un reconocimiento erróneo de su alcance
auténticamente universal.
Figura 1.1—Alcance del riesgo relacionado

con la I&T en relación con otras categorías principales de riesgo.
Riesgo empresarial
Riesgo Riesgo Riesgo de Riesgo Riesgo Riesgo de

estratégico ambiental mercado crediticio operacional cumplimiento
Riesgo relacionado con la I&T
Riesgo de Riesgo de entrega Riesgo derivado de Ciberriesgo y riesgo

habilitación del de programas/ las operaciones y la de seguridad de
beneficio/valor de la I&T proyectos de TI entrega de servicios de TI la información
6
14
Op. Cit. Comité de supervisión bancaria de Basilea
7
15
Op. cit. O’Flaherty
14

CAPÍTULO 2
PRINCIPIOS DEL MARCO DE RIESGOS DE TI
Capítulo 2
Principios del Marco de riesgos de TI
2.1 Introducción
El Marco de riesgos de TI, 2ª Edición desarrolla unos principios rectores para la gestión efectiva del riesgo relacionado con
la I&T; es decir, el riesgo de negocio relacionado con el uso, o la dependencia, de las tecnologías de la información y las
comunicaciones, los datos electrónicos, y las comunicaciones digitales y electrónicas. Sus principios se basan en principios
de GRE comúnmente aceptados, que se han aplicado al dominio de la I&T. El Marco de riesgos de TI está diseñado para ayudar
a las empresas a aplicar los principios en la práctica.
La TI, la ciberseguridad y la seguridad de la información trascienden cualquier fuente o categoría de riesgo única, monolítica;
conllevan innumerables condiciones interrelacionadas y reflejan multitud de características únicas y específicas. Pueden
involucrar cualquier cantidad de tecnologías especializadas, agentes de la amenaza, errores humanos, vectores de ataque,
fallos de control y vulnerabilidades de software. Es muy importante observar que el ciberriesgo y el riesgo de seguridad
de la información no se limitan solamente a la tecnología: muchos de los eventos de riesgo que acaparan titulares de prensa
comienzan con errores humanos cometidos por personas reales.
El riesgo proveniente de la TI, la seguridad de la información y la ciberseguridad no es el único riesgo relacionado con la I&T
que merece atención. Otros tipos de riesgo operativo, incluyendo los fallos de proceso, y los ciclos económicos o de negocio,
también deben gestionarse. Cualquier riesgo relacionado con la I&T que ponga en peligro el negocio o la misión de la
organización debe gestionarse desde la perspectiva de los objetivos generales de la empresa y, por lo tanto, incluirse en los
principios rectores del Marco de riesgos de TI (figura 2.1):
 Vincular la gestión de los riesgos relacionados con la I&T con los objetivos del negocio o la misión.
 Alinear la gestión del riesgo relacionado con la I&T del negocio o la misión con la GRE siempre que sea posible.
 Equilibrar los costes y los beneficios de la gestión del riesgo relacionado con la I&T.
 Promover una comunicación abierta y ética de todos los riesgos relacionados con la I&T.
 Establecer las pautas de ejemplaridad (tone at the top) mientras se define y hace cumplir la rendición de cuentas personal
para operar dentro de niveles de tolerancia bien definidos y aceptables.
 Utilizar un planteamiento consistente, integrado en las actividades diarias, que sea estándar, repetible y que esté alineado
con la estrategia.
15

Figura 2.1— Principios de gestión de riesgos
Equilibrar
coste/beneficio
del riesgo
relacionado
con la I&T
Promover una
Alinear
comunicación
con la GRE
ética y abierta
Principios de
gestión de
riesgos
Establecer las
Vincular con pautas de
los objetivos ejemplaridad y la
de la empresa rendición de
cuentas
Usar un
planteamiento
consistente
alineado con la
estrategia
Fuente: ISACA, ISACA, COBIT ® 5 for Risk, USA, 2013, fig. 15, https://www.isaca.org/bookstore/cobit-5/wcb5rk
2.2 Vinculación con el negocio o con la misión de la empresa

Un gobierno corporativo efectivo del riesgo relacionado con la I&T siempre se vincula con los objetivos del negocio o la
misión:
 El riesgo relacionado con la I&T, incluido el ciberriesgo, se trata como un riesgo de negocio, no como un tipo de riesgo
diferente, y el planteamiento de gestión es exhaustivo y multifuncional.
16

CAPÍTULO 2
PRINCIPIOS DEL MARCO DE RIESGOS DE TI
 El gobierno del riesgo relacionado con la I&T contribuye a los resultados del negocio o la misión. La I&T respalda el
logro de los objetivos del negocio, y cualquier riesgo asociado se expresa en términos del impacto y la probabilidad que
pueda tener en los objetivos de negocio o la estrategia. El análisis del riesgo relacionado con la I&T tiene en cuenta la
vinculación de los procesos del negocio con las aplicaciones, los activos de I&T que los soportan, las infraestructuras
y/o las dependencias de terceros.
 La gestión del riesgo relacionado con la I&T, incluidas las prácticas de seguridad de la información y ciberseguridad,
busca el progreso del negocio o la misión, en lugar de limitarlo o inhibirlo.
2.3 Alineación con la gestión de riesgo empresarial
El gobierno corporativo efectivo del riesgo relacionado con la I&T alinea su gestión con la GRE global:
 Los objetivos del negocio o la misión y el apetito de riesgo están claramente definidos.
 Los procesos de toma de decisiones de la empresa consideran todo el rango de consecuencias potenciales y
oportunidades del riesgo relacionado con la I&T.
 El apetito de riesgo definido y establecido refleja la política de gestión de riesgo empresarial y las pautas de ejemplaridad
(tone at the top), e influye en la cultura de la empresa.
 La evaluación del riesgo relacionado con la I&T se coordina y consolida en toda la empresa (que incluye, p. ej., la
ciberseguridad y la seguridad de la información).
2.4 Equilibrio de costes y beneficios
El gobierno corporativo efectivo del riesgo relacionado con la I&T equilibra sus costes y beneficios:
 El riesgo relacionado con la I&T se prioriza y se aborda de acuerdo con el apetito de riesgo y la tolerancia al riesgo.
 Las respuestas al riesgo se implementan basándose en el análisis de coste/beneficio, el análisis de alternativas y la
priorización del riesgo que tenga un mayor impacto potencial en los objetivos de la empresa.
 Los controles y las acciones de respuesta al riesgo existentes se aprovechan para abordar el riesgo tan eficientemente
como sea posible.
2.5 Promoción de la comunicación ética y abierta.
La gestión efectiva del riesgo relacionado con la I&T promueve la comunicación abierta y ética:
 Se intercambia libremente información abierta, precisa, oportuna y transparente sobre el riesgo relacionado con la I&T,
que informa a las decisiones relacionadas con el riesgo.
 Los métodos de gestión de riesgos y la cultura de riesgos están integrados en toda la empresa.
 Las conclusiones técnicas se traducen en términos de negocio y financieros relevantes y comprensibles.
 La información sobre un incidente y la respuesta asociada se comunican abiertamente a las partes interesadas, las
autoridades gubernamentales y/o regulatorias, los clientes y (si fuera necesario) el público.
2.6 Establecimiento de las pautas de ejemplaridad y la rendición de cuentas
La gestión efectiva del riesgo relacionado con la I&T establece las pautas de ejemplaridad (tone at the top) a la vez que define
y hace cumplir la rendición de cuentas personal para operar dentro de niveles de tolerancia aceptables y bien definidos:
 Los propietarios de negocio, el consejo de administración y la dirección ejecutiva están involucrados en la gestión
de riesgos.
 Existe una clara rendición de cuentas y asignación de la propiedad del riesgo.
17

 Las aceptaciones de riesgo se entienden y soportan por los líderes de negocio adecuados, y se establecen de manera clara
en la documentación sobre el apetito de riesgo, las tolerancias, la cultura, las políticas y las guías para su ejecución.
 El desempeño de la gestión de riesgos se mide e integra en la gestión del desempeño tanto de los que rinden cuentas
de ellos como de los que son sus responsables.
 Se promueven la responsabilidad personal y una cultura consciente de los riesgos.
 Se adoptan decisiones informadas sobre los riesgos en el nivel apropiado de la organización, por personas autorizadas,
conforme a las tolerancias.
 Las prácticas de gestión de riesgos se priorizan y se integran de manera adecuada en la toma de decisiones de la empresa.
2.7 Uso de un planteamiento coherente alineado con la estrategia
La gestión efectiva del riesgo de I&T promueve una mejora continua y forma parte de las actividades diarias:
 La naturaleza dinámica del riesgo exige que la empresa se prepare considerando por adelantado los cambios:
 en la misma organización (fusiones y adquisiciones);
 en el panorama de riesgos;
 en las leyes y regulaciones aplicables;
 en la información y la tecnología, a medida que evolucionan;
 en su sector de actividad económica en general.
 Los métodos de evaluación del riesgo, las escalas de medida y los criterios son consistentes en toda la empresa,
especialmente cuando se aplican a:
 la identificación de los procesos clave y el riesgo asociado;
 la identificación de impactos sobre los objetivos;
 la identificación de disparadores que indiquen cuando el riesgo está fuera de la tolerancia, o cuando se requiere
una actualización del marco, o de los componentes del marco, etc.;
 la monitorización y prueba de los controles operativos;
 las acciones para evitar que el riesgo se materialice;
 la respuesta al riesgo (si ocurren eventos adversos);
 la identificación y, en la medida de lo posible, la mitigación de sesgos del evaluador en el proceso de medición
del riesgo cuantitativo.
18

CAPÍTULO 3
COMPONENTES DEL MARCO DE RIESGOS DE TI Y
LA ALINEACIÓN CON COBIT
Capítulo 3
Componentes del Marco de riesgos de TI y la alineación con COBIT
3.1 Introducción
El Marco de riesgos de TI se basa en los principios presentados en el capítulo 3 y se desarrolla más en capítulos
posteriores. Este capítulo analiza:
 los componentes del Marco de riesgos de TI;
 la alineación de COBIT con el Marco de riesgos de TI;
 la aplicación del Marco de riesgos de TI independiente de COBIT.
La figura 3.1 ilustra la alineación de los principios de gestión de riesgos relacionados con la I&T con los objetivos de
COBIT EDM03 Asegurar la optimización del riesgo y APO12 Riesgo gestionado.
19

Figura 3.1—Alineación de los principios de gestión de riesgos relacionados con la I&T con los
objetivos de COBIT EDM03 y APO12
Equilibrar Promover Establecer las Usar un

Vincular con
Alinear coste/ una pautas de planteamiento
los objetivos
con la GRE beneficio del riesgo comunicación ejemplaridad y consistente
de la empresa
relacionado ética y abierta la rendición de alineado con la
con la I&T cuentas estrategia
Principios de gestión de riesgos
Se alinea con EDM03 Se alinea con APO12

Asegurar la optimización del riesgo Riesgo gestionado
Gobierno de riesgos Gestión de riesgos

Asegurarse de que el apetito y la tolerancia al riesgo Identificar, evaluar y reducir continuamente los
de la empresa se entiendan, evidencien y riesgos relacionados con la I&T dentro de los niveles
comuniquen, y de que el riesgo para el valor de tolerancia establecidos por la dirección ejecutiva
empresarial relacionado con el uso de I&T se de la empresa.
identifique y se gestione.
Recopilar datos. Identificar y recopilar datos
Dirigir la gestión de riesgos. relevantes para habilitar la identificación efectiva,
Dirigir el establecimiento de prácticas de gestión de el análisis y el informe de los riesgos relacionados
riesgos para proporcionar un aseguramiento con la I&T.
razonable de que las prácticas de gestión de riesgos
de I&T son apropiadas, y de que el riesgo actual de Analizar el riesgo. Desarrollar una visión
I&T no sobrepase al apetito de riesgo del consejo. fundamentada del riesgo real de I&T, que
soporte las decisiones de riesgo.
Monitorizar la gestión de riesgos. Mantener un perfil del riesgo. Mantener un inventario

Monitorizar las metas y las métricas clave de los de los riesgos conocidos y los atributos del riesgo,
procesos de gestión de riesgos. Determinar cómo incluyendo la frecuencia esperada, el impacto
se identificarán las desviaciones o los problemas, potencial y las respuestas. Documentar los recursos,
se hará su seguimiento y se comunicarán para su las capacidades y las actividades de control actuales
corrección. relacionadas con elementos de riesgo.
Evaluar la gestión de riesgos. Evidenciar el riesgo. Comunicar de manera oportuna

Examinar y evaluar continuamente el efecto del información sobre el estado actual de las
riesgo sobre el uso empresarial actual y futuro de la exposiciones y oportunidades relacionadas con la
I&T. Considerar si el apetito de riesgo de la empresa I&T a todas las partes interesadas necesarias para
es apropiado, y asegurarse de que se identifique y elaborar una respuesta apropiada.
se gestione el riesgo para el valor empresarial
relacionado con el uso de la I&T.
Definir un catálogo de acciones de gestión de riesgos.
Gestionar las oportunidades para reducir el riesgo a un
nivel aceptable como una cartera (portfolio).
Responder al riesgo. Responder de manera oportuna

a eventos de riesgo materializados con medidas
efectivas para limitar la magnitud de las pérdidas.
3.2 Componentes del Marco de riesgos de TI
El Marco de riesgos de TI se basa en un conjunto de principios rectores para la gestión efectiva del riesgo relacionado con la
I&T y complementa a COBIT, un marco exhaustivo para el gobierno y la gestión de las soluciones y los servicios de I&T
20

CAPÍTULO 3
COMPONENTES DEL MARCO DE RIESGOS DE TI Y
LA ALINEACIÓN CON COBIT
orientados al negocio. El Marco de riesgos de TI permite que las empresas identifiquen, gobiernen y gestionen el riesgo
relacionado con la I&T.
Diversos marcos, técnicas o métodos diferentes pueden ayudar a que las empresas establezcan y mantengan las capacidades
para gestionar el riesgo de manera eficiente y efectiva. Independientemente de que el riesgo se gestione holísticamente (como
en la GRE) o localmente como un solo tipo o categoría (p. ej. el riesgo de seguridad de la información, ciberseguridad o
incumplimiento), se aplican los principios subyacentes de gestión de riesgos.
3.3 Alineación de COBIT con el Marco de riesgos de TI
Las prácticas y los objetivos del gobierno y la gestión de COBIT ayudan a la empresa en la gestión de los procesos de I&T,
las actividades y los servicios, ya sean internos o externos para la empresa, y ayudan a enmarcar el compromiso general de la
empresa con el riesgo relacionado con la I&T.
Los eventos y las actividades internos de la empresa pueden incluir incidentes operativos o ciberincidentes, fracasos de
proyectos, cambios en la estrategia del negocio o de la tecnología, evoluciones y fusiones o adquisiciones. Los eventos externos
pueden incluir cambios en las condiciones del mercado, la competencia, los avances tecnológicos, las regulaciones que afectan
a la I&T y las ciberamenazas que pudiesen surgir de estos eventos. Todos estos factores conllevan riesgos y/u oportunidades;
deben ser identificados y evaluados, y deben desarrollarse respuestas. La dimensión del riesgo y cómo gestionarlo es el tema
principal del Marco de riesgos de TI. Una vez que se han identificado oportunidades para el cambio del negocio habilitado
por la I&T, el marco COBIT (más específicamente los objetivos EDM03 Asegurar la optimización del riesgo y APO12 Riesgo
gestionado) puede prescribir las prácticas y actividades que permitan que se cumplan los objetivos de la empresa. La gestión
de riesgos abarca la suma total de actividades y cultura que crean y preservan valor en busca de los objetivos estratégicos de
la empresa. La gestión de riesgos no es una función o un departamento, ni está solamente limitada a poner en práctica y
monitorizar los controles internos.
3.4 Aplicación del Marco de riesgos de TI independiente de COBIT
En una empresa típica en un día cualquiera, se desarrollan actividades relacionadas con la I&T, organizadas en procesos de I&T.
Los eventos ocurren de manera continua: deben adoptarse decisiones tecnológicas importantes, hay que dar solución a los
incidentes operativos, es necesario abordar los problemas de software y se tienen que desarrollar aplicaciones. Cada uno de
estos eventos conlleva riesgos y oportunidades.
El riesgo refleja la combinación de la probabilidad de eventos y del impacto que tienen en la empresa. Por lo tanto, el riesgo
refleja tanto oportunidades de beneficio como amenazas para el éxito. Para proporcionar valor de negocio a las partes
interesadas, las empresas deben abordar diversas actividades e iniciativas (oportunidades), que conllevan todas cierto grado de
incertidumbre y, por lo tanto, riesgo. La gestión del riesgo y de las oportunidades es una actividad estratégica clave para el éxito
de la empresa.
El riesgo refleja la combinación de la probabilidad de eventos y del impacto que tienen en la empresa. Por lo tanto,
el riesgo refleja tanto oportunidades de beneficio como amenazas para el éxito.
La I&T puede desempeñar diferentes roles en la relación oportunidad-riesgo, tanto como habilitador de valor y como de
impedimento:
 Habilitador de valor — Las nuevas iniciativas de negocio casi siempre dependen de cierta participación de la I&T.
En este rol, la I&T puede:
 realizar proyectos de I&T exitosos, respaldar las nuevas iniciativas y, por lo tanto, crear valor;
 aplicar nuevas tecnologías de formas innovadoras, permitir nuevas iniciativas del negocio y crear valor;
 proteger los activos y los recursos de las amenazas que podrían impactar en la entrega de servicios y productos.
21

 Impedimento del valor — De los procesos y actividades relacionadas con la I&T podrían derivarse una serie de
consecuencias negativas:
 Las inversiones o los proyectos de negocio habilitados por la I&T a menudo no logran proporcionar los resultados
esperados y, por lo tanto, no entregan valor.
 Es posible que la empresa no pueda identificar o captar oportunidades para nuevas iniciativas de negocio que surjan
de las nuevas tecnologías.
 La I&T puede fracasar en la prevención o la detección de condiciones o ciberamenazas que pueden causar
interrupciones operativas leves a graves; p. ej. cortes del sistema o de la red por períodos cortos o prolongados;
pérdida, divulgación o corrupción de la información.
¿Cómo puede responder una empresa en la práctica? Idealmente, la empresa realiza una reflexión consciente sobre los
riesgos y de las oportunidades para la evaluación y la monitorización de todas las iniciativas de I&T, no sólo de aquellas
que requieren de la participación del departamento de TI o de la función de soporte. Por ejemplo, cuando se propone una
importante inversión en infraestructura, la empresa debe considerar los siguientes factores en la toma de decisiones:
 el riesgo asociado con la inversión (p. ej. riesgo del proyecto);
 los beneficios de la nueva iniciativa en términos de reducción del riesgo;
 los beneficios de negocio de la nueva infraestructura de I&T resultante;
 las oportunidades asociadas con los nuevos activos de I&T.
Cuando surge una nueva tecnología, la empresa debe considerar los siguientes criterios para determinar si la adopta:
 el impacto de adoptar la tecnología (soporte, fiabilidad, facilidad de integración);
 el riesgo asociado con la operación de la nueva tecnología (p. ej. seguridad, fiabilidad);
 las consecuencias de no adoptar la nueva tecnología (p. ej. obsolescencia y retraso con respecto a la competencia);
 los beneficios de negocio de la nueva tecnología (p. ej. respaldo para nuevas iniciativas del negocio, ganancias en
eficacia y eficiencia).
Después de que la empresa finalice su evaluación inicial del riesgo y/o las oportunidades, debe determinar cómo darles
respuesta. Una buena metodología de análisis de riesgos refleja las guías descritas en esta y en otras publicaciones de ISACA,
e identifica las decisiones de riesgo que deben adoptarse. Luego, pueden aplicarse sólidas prácticas de gestión de riesgos y
de valor, permitiendo una toma de decisiones informada.
22

CAPÍTULO 4
CONCEPTOS ESENCIALES DEL GOBIERNO DE RIESGOS
Capítulo 4
Conceptos esenciales del gobierno de riesgos
4.1 Introducción
Este capítulo analiza los componentes esenciales del gobierno de riesgos. Aunque se tratan brevemente, puede encontrarse
más información y orientación práctica en COBIT. Los temas aquí analizados incluyen:
 el apetito de riesgo, la tolerancia al riesgo y la capacidad de riesgo;
 las partes interesadas para la gestión del riesgo relacionado con la I&T;
 la cultura de riesgo.
4.2 Apetito de riesgo, tolerancia al riesgo y capacidad de riesgo
Al formular estrategias y/o planes operativos, una empresa debe decidir asumir cierto nivel de riesgo para lograr sus
objetivos. La cantidad o magnitud del riesgo se expresa generalmente como apetito de riesgo o tolerancia al riesgo. Pese
a que estos términos se utilizan con frecuencia, el potencial para malinterpretarlos es alto. Algunas personas utilizan los
conceptos indistintamente, otras ven una clara diferencia. Las definiciones del Marco de riesgos de TI son compatibles
con las definiciones GRE de COSO161e ISO 3100017 : 2
 Apetito de riesgo: cantidad de riesgo que, en términos generales, una empresa u otra entidad esté dispuesta a aceptar
para llevar a cabo su misión (o visión).
 Tolerancia al riesgo: rango aceptable en relación con el logro de un objetivo determinado (tanto mejor cuando se
cuantifica en términos de la misma unidad de medida que la del objetivo relacionado).
Apetito de riesgo
El apetito de riesgo refleja la cantidad de riesgo que una entidad está preparada a aceptar para lograr sus objetivos.
Al considerar los niveles de apetito de riesgo para la empresa, tres factores principales son importantes:
 la capacidad objetiva de la empresa para absorber pérdidas (p. ej. pérdidas financieras o daños reputacionales);
 la cultura (de gestión) o predisposición a la adopción de riesgos (p. ej. cautelosa o agresiva). ¿Qué cantidad o
magnitud de pérdidas aceptará la empresa para perseguir su estrategia o sus objetivos?;
 la naturaleza del negocio y el tipo de riesgo involucrado (p. ej. el fallo de una cinta transportadora en una fábrica
de dulces frente al fallo de un sistema de control de vuelos en un avión comercial).
El apetito de riesgo es diferente en cada empresa; no existe un estándar o norma absoluto sobre lo que constituye un riesgo
aceptable e inaceptable.
Las declaraciones de apetito de riesgo suelen ser amplias y tienden a hablar del riesgo de manera hipotética o general
(p. ej. “la empresa no aceptará el riesgo de incumplimiento”, o “la organización no aceptará el riesgo de fraude”) en lugar
de expresar el riesgo concretamente en términos cuantificables. Si bien dichas representaciones del apetito de riesgo son
comunes, son muy difíciles de transmitir a la organización como directivas de la gestión: las prohibiciones absolutas del
riesgo son imposibles de mantener y, por lo tanto, poco factibles. Bajo tal prohibición del riesgo, cada deficiencia de
control se corregiría y cada iniciativa de negocio con riesgo se rechazaría. En la práctica, este planteamiento no constituye
un uso productivo o eficiente de los recursos. En cambio, las empresas deben intentar determinar una cantidad de pérdidas
que sea aceptable y gestionar esa cantidad. Un ejemplo de una declaración de apetito de riesgo práctica, concreta y
cuantificada podría ser:
1
16
Op. cit. Committee of Sponsoring Organizations of the Treadway Commission (COSO)
2
17
Op. cit. ISO
23

Si bien la empresa desearía no tener apetito para el riesgo de I&T, reconoce que esto no es práctico para el logro
de sus objetivos. Por lo tanto, la empresa remediará los escenarios de pérdidas en los que estén en riesgo pérdidas
agregadas de 1 millón de USD o más.
Para las grandes empresas puede ser útil tener una versión de esta declaración para cada línea de negocio. Una declaración
de apetito para toda la empresa debería reflejar (o agregar) todas las declaraciones de las líneas de negocio.
Cada empresa debe definir sus propios niveles de apetito de riesgo y revisarlos de forma regular. Esta definición de apetito
de riesgo debe estar en consonancia con la cultura general de riesgos que la empresa desea expresar (es decir, abarcando
desde muy aversa al riesgo hasta la de adopción de riesgos/búsqueda de oportunidades). Si bien no existe una forma
correcta o incorrecta que sea universal, el apetito de riesgo debe definirse, comprenderse bien y comunicarse. El apetito de
riesgo y la tolerancia al riesgo deben aplicarse no sólo en las evaluaciones de riesgos sino también en todas las tomas de
decisiones relacionadas con la I&T.
Tolerancia al riesgo
La tolerancia al riesgo refleja un rango de desviación aceptable respecto del nivel de riesgo establecido por el apetito de
riesgo y los objetivos del negocio; por ejemplo:
Los estándares requieren que los proyectos se finalicen dentro de los plazos de tiempo y los presupuestos
estimados, pero se tolera un exceso del 10 por ciento del presupuesto y del 20 por ciento del tiempo.
24

CAPÍTULO 4
Guía sobre el apetito de riesgo y la tolerancia al riesgo
La siguiente guía se aplica al apetito de riesgo y a la tolerancia al riesgo:

 El apetito de riesgo y la tolerancia al riesgo se definen a nivel empresarial, se revisan y/o
influencian por el consejo de administración, y se reflejan en la estrategia y las políticas
establecidas por los ejecutivos. En niveles inferiores (tácticos) de la empresa (o tal vez dentro de
ciertas entidades o subsidiarias de la empresa) se pueden tolerar excepciones (o definirse umbrales
diferentes), siempre y cuando la exposición conjunta a nivel de empresa no exceda el apetito de
riesgo. Cualquier iniciativa de negocio incluye un componente de riesgo; por lo tanto, la dirección
debe ser prudente al buscar nuevas oportunidades en el contexto del riesgo. Las empresas que
tienen políticas conservadoras de apetito de riesgo y de tolerancia al riesgo podrían carecer de
agilidad o innovación para aprovechar nuevas oportunidades de negocio. A la inversa, las políticas
de apetito de riesgo y tolerancia al riesgo pueden venir impuestas por requisitos legales,
regulatorios o industriales, y es posible que lo correcto sea no tener tolerancia al riesgo para poder
cumplir con dichas exigencias.
 El apetito de riesgo y las tolerancias al riesgo se definen, revisan y actualizan periódicamente
(según lo determine la empresa), y se comunican de manera clara a todas las partes interesadas.
Los procesos de excepción de riesgo deben estar perfectamente definidos y ser comunicados.
 Unas nuevas condiciones del mercado, un panorama cambiante de riesgos, una estrategia revisada
y muchos otros factores requieren que la empresa reevalúe su cartera (portfolio) de riesgos y
ratifique su apetito de riesgo a intervalos regulares, desencadenando revisiones de las políticas de
riesgos. A este respecto, la empresa debería entender que la gestión de riesgos puede proporcionar
valor a la empresa al permitirle desarrollar estrategias que incluyan riesgos y optimizar la
asignación de recursos.
 Los costes de la respuesta al riesgo o el impacto del riesgo en el negocio pueden exceder las
capacidades/los recursos de una empresa, forzando así a una mayor tolerancia para una o más
condiciones de riesgo. Por ejemplo, si una regulación dice que los datos sensibles en reposo con
escasa actividad deben cifrarse, pero no existe una solución de cifrado viable o el coste de
implementar una solución es prohibitivo, la empresa puede elegir aceptar el riesgo asociado al
incumplimiento regulatorio, que es una decisión adecuada para una empresa informada por datos
objetivos.
25

Capacidad de riesgo
En ocasiones, el término capacidad de riesgo se utiliza en discusiones sobre el apetito de riesgo. La capacidad de riesgo se
suele definir como la magnitud o cantidad objetiva de pérdidas que puede tolerar una empresa sin arriesgar la continuidad
de su existencia. Como tal, difiere del apetito de riesgo, que generalmente refleja una decisión del consejo o de la dirección
sobre cuánto riesgo es deseable, como se ilustra en la figura 4.1.
Figura 4.1— Capacidad de riesgo, apetito de riesgo y riesgo real
10 10
5 5
0 0
Riesgo real Apetito de riesgo Capacidad de riesgo Riesgo real Apetito de riesgo Capacidad de riesgo
Fuente: ISACA, COBIT ® 5 for Risk, USA, 2013, fig. 68, https://www.isaca.org/bookstore/cobit-5/wcb5rk
 El diagrama de la izquierda muestra una situación relativamente sostenible en la que el apetito de riesgo es menor
a la capacidad de riesgo, y el riesgo real excede del apetito de riesgo en varias situaciones, pero siempre permanece
por debajo de la capacidad de riesgo.
 El diagrama de la derecha muestra una situación bastante insostenible, en la que el apetito de riesgo está definido
por la dirección en un nivel que rebasa la capacidad de riesgo. La dirección está dispuesta a aceptar un riesgo que
sobrepasa con creces la capacidad objetiva para absorber las pérdidas. Como resultado, el riesgo real excede
recurrentemente a la capacidad de riesgo, a pesar de permanecer por debajo del nivel de apetito de riesgo la mayor
parte del tiempo.
4.3 Partes interesadas para la gestión de riesgos de I&T
En distintas empresas, suelen diferir las partes interesadas para la gestión de riesgos de I&T. La asignación de
responsabilidades y de rendición de cuentas para la gestión de riesgos de I&T varía mucho, dependiendo del sector de
actividad económica y del tipo de empresa. Por ejemplo, en muchas instituciones financieras, el Director general de riesgo
(CRO) está relegado al rol de supervisión (o segunda línea de defensa18 ), mientras que las líneas de negocio asumen la
1
responsabilidad principal (primera línea) y, a veces, incluso rinden cuentas sobre las decisiones de riesgos. En otras
empresas comerciales, el Director de seguridad de la información (CISO) asume la responsabilidad de la gestión de riesgos
de seguridad de la información, mientras que la rendición de cuentas recae en el Director de TI (CIO) o el Director de
tecnologías digitales (CDO).
La asignación de responsabilidades y de rendición de cuentas para la gestión de riesgos de I&T varía mucho,
dependiendo del sector de actividad económica y del tipo de empresa.
1
18
Con respecto al modelo de tres líneas de defensa, consulte The Institute of Internal Auditors® (IIA®), IIA Position Paper: The Three Lines of Defense in
Effective Risk Management and Control, USA, 2013, https://na.theiia.org/standards-
guidance/Public%20Documents/PP%20The%20Three%20Lines%20of%20Defense%20in%20Effective%20Risk%20Management%20and%20Control.pdf
26

CAPÍTULO 4
Debido a que los roles en la figura 4.2 se implementan de manera diferente en las empresas, éstos no corresponden
sistemáticamente a las mismas unidades organizativas o funciones. Por ese motivo, cada rol se describe brevemente. Todos
los roles incluidos en la figura 4.2 se consideran partes interesadas en la gestión del riesgo relacionado con la I&T.
Figura 4.2—Partes interesadas para la gestión de riesgos de I&T

Rol/estructura Descripción
Consejo de administración Grupo de los más altos ejecutivos y/o directores no ejecutivos que rinden cuentas sobre el
gobierno y control general de los recursos de la empresa.
Comité ejecutivo Grupo de altos ejecutivos nombrados por el consejo para garantizar que el consejo
participe en, y se mantenga informado sobre, las decisiones importantes.
(El comité ejecutivo rinde cuentas sobre la gestión de las carteras de las inversiones
habilitadas por la I&T y de los servicios y activos relacionados con la I&T, garantizando que
se proporcione el valor y se gestione el riesgo. El comité suele estar presidido por un
miembro del consejo).
Director general ejecutivo (CEO) Director de más alto rango encargado de la gestión global de la empresa.
Director de finanzas (CFO) Director de más alto rango que rinde cuentas sobre todos los aspectos de la gestión
financiera, incluido el riesgo y los controles financieros, así como de una contabilidad
confiable y precisa.
Director de operaciones (COO) Director de más alto rango que rinde cuentas sobre las operaciones de la empresa.
Director general de riesgo (CRO) Director de más alto rango que rinde cuentas sobre todos los aspectos de la gestión de
riesgos de la empresa.
(Podría establecerse la función de un director de riesgo de I&T para supervisar el riesgo
de I&T.)
Director de TI (CIO) Director de más alto rango responsable de la alineación de la TI y las estrategias del
negocio, que rinde cuentas sobre la planificación, la gestión de recursos y la prestación
de soluciones y servicios relacionados con la I&T.
Director de tecnología (CTO) Director de más alto rango encargado de los aspectos técnicos de I&T, incluyendo la
gestión y el control de las decisiones relacionadas con servicios, soluciones e
infraestructuras de I&T.
(Este rol podría asumirlo el Director de TI.)
Director de tecnologías digitales Director de más alto rango encargado de poner en práctica la ambición digital de la
(CDO) empresa o de las unidades de negocio.
(Este rol podría asumirlo el CIO u otro miembro del comité ejecutivo.)
Comité de gobierno de I&T Grupo de partes interesadas y expertos que rinde cuentas sobre la dirección de los
asuntos y las decisiones relacionadas con la I&T, incluyendo la gestión de inversiones
habilitadas por TI, la entrega de valor y el control del riesgo.
Consejo de arquitectura Grupo de partes interesadas y expertos que rinde cuentas sobre la orientación de los
asuntos y las decisiones relacionados con la empresa, y sobre el establecimiento de las
políticas y los estándares arquitectónicos.
Comité de riesgos empresariales Grupo de ejecutivos que rinde cuentas sobre la colaboración y el consenso requeridos a
nivel empresarial para respaldar las actividades y decisiones de gestión del riesgo
empresarial (GRE). (Podría establecerse un consejo de riesgos de I&T para considerar
el riesgo relacionado con la I&T más detalladamente y asesorar al comité de riesgos
empresariales.)
Director de seguridad de la Director de más alto rango que rinde cuentas sobre todos los aspectos de la gestión
información (CISO) de la seguridad de la información de la empresa.
Propietario del proceso de negocio Persona que rinde cuentas sobre la realización de los procesos y/o el logro de sus
objetivos, promoviendo su mejora y aprobando sus cambios.
Gestor de carteras (portfolio) Persona responsable de dirigir la gestión de las carteras (portfolio), asegurando la
selección de programas y proyectos adecuados, gestionándolos y monitorizándolos para
obtener un valor óptimo, y alcanzar los objetivos estratégicos a largo plazo de forma
efectiva y eficiente.
27

Figura 4.2—Partes interesadas para la gestión de riesgos de I&T (cont.)

Rol/estructura Descripción
Comité de dirección Grupo de partes interesadas y expertos que rinde cuentas sobre la dirección de
(programas/proyectos) programas y proyectos, incluyendo los planes de gestión y monitorización, la asignación
de recursos, la entrega de beneficios y valor, y la gestión de sus riesgos.
Gestor de programa Persona responsable de dirigir un programa específico (incluyendo la articulación y el
seguimiento de las metas y los objetivos del programa), y de gestionar su riesgo e
impacto en el negocio.
Gestor de proyecto Persona responsable de dirigir un proyecto específico, incluyendo la coordinación y
delegación del tiempo, el presupuesto, los recursos y las tareas del equipo del proyecto.
Oficina de gestión de proyectos Función responsable de respaldar a los gestores de programa y de proyecto, y de recopilar,
evaluar y comunicar información sobre la ejecución de los programas y los proyectos
integrantes.
Función de gestión de datos Función responsable de respaldar los activos de datos de la empresa durante su ciclo de
vida, y de gestionar la estrategia, la infraestructura y los repositorios de datos.
Director de Recursos Humanos Director de más alto rango que rinde cuentas sobre la planificación y las políticas
relacionadas con los recursos humanos de la empresa.
Gestor de relaciones Individuo senior responsable de supervisar y gestionar la interfaz y las comunicaciones
internas entre las funciones del negocio y de I&T.
Jefe de arquitectura Individuo senior que rinde cuentas sobre el proceso de arquitectura empresarial.
Jefe de desarrollo Individuo senior que rinde cuentas sobre el proceso de desarrollo de las soluciones de I&T.
Jefe de operaciones de TI Individuo senior que rinde cuentas sobre los entornos operativos y la infraestructura de TI.
Jefe de administración de TI Individuo senior que rinde cuentas sobre los registros de I&T y es responsable del soporte
en las cuestiones administrativas relacionadas con la I&T.
Gestor de servicio Individuo que gestiona el desarrollo, la implementación, la evaluación y el mantenimiento
continuo de productos y servicios nuevos o ya existentes, para un cliente específico
(usuario) o un grupo de clientes (usuarios).
Gestor de seguridad de la Individuo que gestiona, diseña, supervisa y/o evalúa la seguridad de la información de una
información empresa.
Gestor de continuidad del negocio Persona que gestiona, diseña, supervisa y/o evalúa la capacidad de continuidad del
negocio de una empresa, para garantizar que sus funciones críticas sigan operando
después de eventos disruptivos.
Director de privacidad Individuo responsable de supervisar el riesgo y el impacto sobre el negocio de las leyes
sobre la privacidad, y de dirigir y coordinar la implementación de las políticas y actividades
que garanticen el cumplimiento de las directivas de privacidad.
(En algunas empresas, el rol podría denominarse delegado de protección de datos.)
Asesoría legal Función responsable de la asesoría en asuntos legales y regulatorios.
Cumplimiento Función responsable de toda la orientación sobre cumplimiento externo.
Auditoría Función responsable de la realización de auditorías internas.
Fuente: Adaptado de ISACA, COBIT ® 2019 Framework: Governance and Management Objectives, USA, 2019, Appendix B,
https://www.isaca.org/bookstore/bookstore-cobit_19-digital/wcb19fgm
4.4 Cultura del riesgo

La gestión de riesgos maximiza el valor que genera una empresa, a la vez que evita las pérdidas que impactan de manera
negativa en su capacidad para lograr su misión, o incluso para continuar operando. Una cultura de consciencia del riesgo
promueve la discusión abierta sobre el riesgo, y los niveles de riesgo aceptables se comprenden y mantienen. Una cultura de
consciencia del riesgo comienza en la dirección, por los miembros del consejo y los ejecutivos del negocio que establecen el
rumbo, comunican la toma de decisiones conscientes de los riesgos, y recompensan los comportamientos efectivos de gestión
de riesgos. La concienciación de riesgos también implica que todos los niveles dentro de una empresa comprendan cómo y
por qué la empresa responde a los eventos adversos relacionados con la I&T.
28

CAPÍTULO 4
Una cultura de consciencia del riesgo promueve la discusión abierta sobre el riesgo, y la comprensión y el
mantenimiento de los niveles de riesgo aceptables.
La cultura del riesgo no es fácil de describir. Consiste en una serie de comportamientos, como se muestra en la figura 4.3.
Figura 4.3—Comportamientos relevantes para la gestión y el gobierno de riesgo

Comportamiento general de la empresa
Cuenta con una cultura consciente del riesgo y del La empresa define un planteamiento de gestión de riesgos y de apetito de
cumplimiento que está presente en toda la riesgo, y establece una política de tolerancia cero con el incumplimiento de
empresa, incluyendo la identificación proactiva y el los requisitos legales y regulatorios.
escalamiento del riesgo
Cuenta con políticas definidas que se han Todo el personal comprende e implementa las exigencias de la empresa
comunicado y que impulsan el comportamiento conforme se definen en las políticas relevantes.
Muestra una receptividad activa para el Los denunciantes de irregularidades se consideran contribuyentes positivos
planteamiento de problemas y el reconocimiento para la empresa. Se evita la cultura de culpabilidad. El personal comprende la
de resultados negativos necesidad de la concienciación del riesgo y la denuncia de exposiciones
potenciales.
Reconoce el valor del riesgo El personal comprende la importancia de mantener la concienciación del
riesgo y del valor que la gestión del riesgo agrega a sus funciones.
Cuenta con una cultura transparente y participativa La comunicación es abierta y los hechos no se omiten, tergiversan o
subestiman. Se evita el impacto negativo de las agendas ocultas.
Muestra respeto mutuo Se anima a las partes interesadas y a los asesores de riesgos a que
colaboren, sean respetados como profesionales y tratados como expertos en
sus roles.
Acepta la propiedad del riesgo Las prácticas de riesgos se incorporan en toda la empresa. La rendición de
cuentas está claramente asignada y aceptada. El riesgo relacionado con la
I&T es propiedad de la empresa y no es visto como responsabilidad exclusiva
del departamento de TI o de la función de riesgo de TI.
Permite la aceptación del riesgo como una opción La dirección entiende las consecuencias de la aceptación del riesgo. Se
válida determina que el impacto está dentro del apetito de riesgo de la empresa.
Comportamiento del profesional de riesgos

Se esfuerza por comprender cuál es el riesgo para Los profesionales de riesgos comprenden el impacto del riesgo para el
cada parte interesada y cómo impacta en sus negocio, incluyendo los requisitos competitivos, operativos, regulatorios y los
objetivos de cumplimiento. Si bien el riesgo puede ser común en un determinado
sector de actividad económica, cada empresa es única en lo referente a la
forma en que el riesgo afecta a sus objetivos.
Crea concienciación y comprensión de la política La alineación de la capacidad de riesgo, el apetito de riesgo y la política de la
de riesgos empresa conduce a una estrategia de riesgos efectiva.
Fomenta la colaboración y comunicación La evaluación del riesgo es esencialmente precisa y completa, y aborda las
bidireccional durante la evaluación del riesgo necesidades de las partes interesadas.
Define con claridad el apetito de riesgo, y se Las partes interesadas gestionan el riesgo de manera más efectiva y hay una
comunica de manera oportuna con las partes alineación adecuada con la estrategia y los objetivos de la organización.
interesadas relevantes
Establece políticas que reflejan el apetito de riesgo Los empleados y la dirección operan dentro de la tolerancia al riesgo. Las
y la tolerancia al riesgo líneas de negocio aplican al apetito y la tolerancia al riesgo formales a la
práctica diaria. Existe un proceso claro para proponer y realizar cambios a
los niveles del apetito de riesgo, con la consideración y aprobación de la alta
dirección.
Respalda una práctica de riesgo efectiva Las partes interesadas comprenden el riesgo desde una visión común de
cartera (portfolio) (producto, proceso) y aplican la toma de decisiones
basada en el riesgo a la práctica diaria.
29

Comportamiento del profesional de riesgos

Utiliza los KRI efectivamente como una alerta Los KRI están asociados con métricas válidas y pueden utilizarse como
temprana un indicador del fallo de procesos o controles. Las métricas de los KRI
están disponibles y accesibles para la elaboración regular de informes,
y están relacionadas con los objetivos.
Actúa rápidamente en base a los eventos o Los indicadores de riesgo están vinculados con la gestión de la
indicadores de riesgo que quedan fuera del respuesta al riesgo y las actividades correctivas.
apetito o de la tolerancia
Comportamiento de la dirección
Establece el rumbo y manifiesta un apoyo visible y La calidad de las prácticas de gestión de riesgos se mantiene gracias al
genuino a las prácticas de riesgo apoyo genuino de la alta dirección.
Se compromete con todas las partes interesadas Las partes interesadas correctas están adecuadamente involucradas para
relevantes para acordar acciones y hacer garantizar la resolución oportuna de los problemas y el logro de los planes de
seguimientos a los planes de acción negocio.
Obtiene un compromiso genuino y asigna recursos Se faculta al personal para que ejecute las acciones que requieren las
para la ejecución de las acciones decisiones de gestión de riesgos.
Alinea las políticas y las acciones con el apetito de La dirección adopta las decisiones de riesgo adecuadas cumpliendo con las
riesgo políticas. Los ingresos ajustados al riesgo se alinean con las expectativas de
la dirección.
Monitoriza el riesgo y el progreso frente a los Los planes de corrección se completan dentro de los plazos de negocio
planes de acción esperados y tienen un impacto positivo en los objetivos de la empresa.
Informa sobre las tendencias de riesgo al consejo El informe oportuno de las tendencias de riesgo dirige el riesgo de forma
y a la alta dirección proactiva y evita la pérdida de oportunidades.
Recompensa la gestión de riesgos efectiva Se reconocen las buenas prácticas de riesgos. Las metas del desempeño de
los empleados y la estructura de recompensas estimulan una prácticas de
gestión de riesgos efectivas y la ejecución adecuada de las acciones de
mitigación.
Fuente: Adaptado de ISACA, COBIT ® 5 for Risk, USA, 2013, fig. 26, https://www.isaca.org/bookstore/cobit-5/wcb5rk
La cultura de riesgos incluye:

 el comportamiento hacia la adopción de riesgos: ¿Cuáles son las normas y las actitudes hacia la adopción de
riesgos, la identificación de riesgos y el análisis de riesgos?;
 el comportamiento hacia la política: ¿La política es algo que existe pero que no se cumple? ¿Las políticas impulsan
el comportamiento? ¿Las políticas son fáciles de leer, comprender y cumplir?;
 el comportamiento ante resultados negativos: ¿Cómo hace frente la empresa a los resultados negativos, las
excepciones a la política, los eventos de pérdidas, los ciberincidentes, las oportunidades desaprovechadas y la
investigación de incidentes? ¿Aprenderá de ellos e intentará adaptarse, o se atribuirán culpas sin abordar la causa raíz?
Los síntomas de una cultura de riesgos inadecuada o problemática incluyen:

 la falta de alineamiento del apetito de riesgo real, las tolerancias establecidas y las políticas de riesgo;
 el desalineamiento de la política de riesgo con el rumbo de la dirección y/o las normas organizacionales con respecto
al cumplimiento de la política;
 la existencia de una cultura de culpabilidad. Este tipo de cultura debe evitarse, porque inhibe la comunicación
relevante y eficiente. En una cultura de culpabilidad, las unidades de negocio tienden a señalar con el dedo al
departamento de TI, o se señalan mutuamente, cuando los proyectos no se entregan en plazo o no satisfacen las
expectativas. Al hacerlo, no reconocen cómo el adelanto en la participación de la unidad de negocio afecta el éxito del
proyecto. En casos extremos, la unidad de negocio puede llegar a atribuir culpas por el incumplimiento de unas
expectativas que nunca se habían comunicado de forma clara. La culpa disminuye la comunicación efectiva en las
unidades, exacerbando aún más las demoras. Los líderes ejecutivos deben identificar y rápidamente corregir la cultura
de culpabilidad para fomentar la colaboración en toda la empresa.
30

CAPÍTULO 5
CONCEPTOS ESENCIALES DE LA GESTIÓN DE RIESGOS
Capítulo 5
Conceptos esenciales de la gestión de riesgos
5.1 Introducción
Este capítulo presenta los conceptos esenciales de un proceso general de gestión de riesgos.19 Los temas tratados aquí 1
incluyen:
 el establecimiento del contexto y del alcance de la gestión de riesgos;
 la comprensión del flujo de trabajo de gestión de riesgos.
5.2 Establecimiento del contexto y del alcance de la gestión de riesgos
El posicionamiento del riesgo en la empresa dentro del contexto de su misión, estrategia y objetivos es el primer paso para
garantizar que cada proceso y procedimiento que se lleve a cabo diariamente cumpla con los objetivos de negocio a largo
plazo de la empresa y esté alineado con su postura ante el riesgo. Esto se conoce como establecimiento del contexto para la
gestión de riesgos. El emparejamiento de un planteamiento basado en el riesgo con una visión estratégica de la empresa
permite la comunicación y aclaración sobre qué incertidumbres, o riesgos, tienen un potencial mayor para poner en riesgo
las metas, los objetivos y la misión de la empresa.
El posicionamiento del riesgo en la empresa dentro del contexto de su misión, estrategia y objetivos es el primer
paso para garantizar que cada proceso y procedimiento que se lleve a cabo diariamente cumpla con los objetivos de
negocio a largo plazo de la empresa y esté alineado con su postura ante el riesgo.
La gestión de riesgos requiere que la empresa:

 defina el alcance de la aplicación de las medidas de gestión de riesgos;
 establezca los criterios mediante los que se evalúan o estiman los riesgos identificados.
El alcance debe determinarse en el contexto de los objetivos de la empresa. Establecer el contexto ayudará a que las
empresas limiten el alcance de la evaluación inicial de riesgos (p. ej. para una función del negocio, como contabilidad) y
comprendan cómo ese alcance encaja en el contexto de la totalidad de la empresa.
El establecimiento de los criterios respecto de los que se evalúa el riesgo identificado es también una parte importante del
proceso general de gestión de riesgos. El desarrollo del apetito de riesgo y las tolerancias al riesgo pueden ayudar a las
empresas a la rápida evaluación y comprensión sobre si el riesgo se alinea con el apetito de riesgo o requiere de más
análisis o investigación.
5.3 Comprensión del flujo de trabajo de gestión de riesgos
La Figura 5.1 capta las etapas principales del flujo de trabajo de gestión de riesgos. Los pasos que se muestran en el
diagrama no tienen por qué realizarse de manera secuencial. Cada empresa debería desarrollar un flujo de trabajo que
respalde los medios más eficientes y efectivos para llevar a cabo las tareas.
1
19
Para obtener orientación adicional, consulte op. cit. ISACA, Getting Started with Risk Management y Risk IT Practitioner Guide.
31

Figura 5.1—Flujo de trabajo de la gestión de riesgos
Establecimiento del
contexto
Comunicación
Presentación de informes Ejemplos de tipo y Identificación

y comunicación de riesgos y evaluación de riesgos
categorías de riesgo
Estratégico
Operacional
Riesgo de TI
Ciberseguridad
Seguridad de
la información Análisis del riesgo y evaluación
Respuesta al riesgo
del impacto en el negocio
Fuente: Adaptado de ISACA, Getting Started With Risk Management, USA, 2018, fig. 2, https://www.isaca.org/bookstore/bookstore-
wht_papers-digital/whpgsr
32

CAPÍTULO 6
Capítulo 6
Conceptos esenciales de la gestión de riesgos
6.1 Introducción
Este capítulo presenta los componentes esenciales del proceso de evaluación de riesgos.201Los temas aquí tratados incluyen:
 la identificación de riesgos;
 el análisis de riesgos;
 la evaluación de los impactos sobre el negocio de los riesgos identificados;
 los escenarios de riesgo relacionados con la I&T.
6.2 Identificación de riesgos
El proceso de identificación de riesgos busca mejorar la confianza en que la empresa reconoce y entiende cualquier riesgo
con potencial para poner en riesgo sus objetivos.
La identificación de riesgos puede tener lugar en contextos formales (p. ej. durante sesiones de lluvia de ideas o en talleres)
o en entornos informales (p. ej. una discusión incidental sobre problemas en reuniones o durante conversaciones en la
oficina). Una sesión de lluvia de ideas suele comenzar con una lista de cuestiones que quitan el sueño a los participantes,
incluidas las ciberamenazas y otras áreas de preocupación. A menudo, los problemas que quitan el sueño a las personas
contribuyen al riesgo, en lugar de constituir un riesgo en sí mismos. Por ejemplo, el personal puede preocuparse por los
sistemas sin parchear, y suele clasificarlos erróneamente como riesgos.
El Marco de riesgos de TI busca identificar escenarios de eventos de pérdidas que pueden afectar a la misión de la empresa
y a los objetivos estratégicos. Su identificación inicial puede darse en diferentes contextos o tener formas distintas,
incluyendo entrevistas, actividades de lluvia de ideas, autoinformes de la web o encuestas. Se ofrece orientación adicional
en la Guía del profesional de riesgos de TI, 2ª Edición.212
6.3 Análisis de riesgos
El análisis de riesgos incluye planteamientos básicos que mejoran el conocimiento pragmático, el compromiso empresarial
y la transparencia organizacional en la gestión compleja del riesgo empresarial, en especial el riesgo relacionado con la
I&T. El análisis de riesgos es el proceso utilizado para:
 estimar la frecuencia y la magnitud de un escenario de riesgo determinado;
 identificar y evaluar el riesgo, su potencial impacto en la empresa y la probabilidad de que ocurra un evento en particular.
La evaluación de riesgos es ligeramente más amplia que el análisis de riesgos, e incluye las actividades de graduación o
priorización de un riesgo identificado conforme a los umbrales de riesgo definidos de la empresa, la agrupación de riesgos
similares para su mitigación, y la documentación de los controles existentes que proporcionan su mitigación.
6.4 Evaluación del impacto de negocio de los riesgos identificados
Las evaluaciones de riesgos significativas y las decisiones basadas en el riesgo precisan que el riesgo relacionado con la I&T
se exprese en términos inequívocos, relevantes para el negocio o la misión. La gestión efectiva de riesgos requiere una
comprensión mutua entre el área de TI y el negocio sobre qué riesgos se deben gestionar y por qué. Todas las partes
1
20
Para obtener orientación adicional, consulte op. cit. ISACA, Getting Started with Risk Management y Risk IT Practitioner Guide, 2nd Edition.
2
21
Op. Cit. ISACA, Risk IT Practitioner Guide, 2nd Edition.
33

interesadas deben poder comprender y expresar cómo los fallos, los compromisos, los errores o los eventos relacionados con
la I&T pueden impactar en los objetivos de la empresa y dar lugar a pérdidas directas (es decir, financieras) o indirectas (es
decir, datos o información), p. ej. pérdida de información sensible de clientes. Las pérdidas causadas por eventos relacionados
con la I&T en la empresa pueden afectar su capacidad para ofrecer sus productos y servicios clave.
La gestión efectiva de riesgos requiere una comprensión mutua entre el área de TI y el negocio sobre qué riesgos se
deben gestionar y por qué.
Debe establecerse el vínculo entre los escenarios de riesgo de I&T y el impacto final en el negocio o la misión para
comprender los efectos de los eventos adversos. Varias técnicas pueden ayudar a que la empresa describa el riesgo de I&T
en términos de la misión o del negocio. Mientras que el Marco de riesgos de TI exige que el riesgo relacionado con la I&T
se traduzca o exprese en términos relevantes para el negocio, no prescribe ningún método determinado; en la Guía del
profesional de riesgos de TI, 2ª Edición22 se exponen varios planteamientos.
6.5 Escenarios de riesgo de I&T
Uno de los desafíos para la gestión de riesgos de I&T es el de identificar el riesgo relevante en el contexto de todo lo que
quizás pueda salir mal en la I&T o en relación con ella, en especial debido a su presencia generalizada en toda la empresa.
Una técnica para superar este desafío es el desarrollo de escenarios de riesgo, que aporta conocimiento y estructura al
complejo asunto del riesgo relacionado con la I&T (figura 6.1). Tras desarrollarse los escenarios, éstos se utilizan durante
el análisis de riesgos, cuando se estima su frecuencia y su impacto en el negocio.
Los escenarios de riesgo pueden obtenerse a través de dos mecanismos:

 Enfoque de arriba a abajo: la estrategia de la misión y los objetivos del negocio forman la base para identificar y
analizar los riesgos que sean verosímiles y relevantes para los resultados deseados. Si los criterios de impacto están
bien alineados con los impulsores de valor real de la empresa, se pueden desarrollar escenarios de riesgo relevantes.
 Enfoque de abajo a arriba: comenzando con los activos, los sistemas o las aplicacionos considerados importantes
para la empresa, se compila una lista de amenazas o de escenarios de pérdidas genéricas. La lista resultante se utiliza
para definir un conjunto de escenarios concretos y personalizados que se aplican al contexto de la empresa. El enfoque
de abajo a arriba se utiliza comúnmente en evaluaciones de vulnerabilidades y ciberamenazas; sin embargo, puede
limitar la visibilidad u ofuscar el impacto de negocio, si sus resultados no se consideran junto con el enfoque de arriba
a abajo.
Los enfoques de arriba a abajo y de abajo a arriba son complementarios y deben utilizarse conjuntamente. Una taxonomía
del riesgo puede ayudar a correlacionar sus resultados, al proporcionar un esquema para clasificar las fuentes y las
categorías de riesgo. El itinerario entre una ciberamenaza (o ámbito de preocupación) y un riesgo desarrollado y
documentado requiere que la declaración de riesgos se descomponga en componentes procesables. La taxonomía del
riesgo ofrece un lenguaje común de fuentes y categorías discretas, y ayuda a los profesionales a comunicar el riesgo a las
partes interesadas, asegurando que los escenarios de riesgo sean relevantes y estén vinculados con el riesgo real del
negocio o de la misión.
Tras definirse el conjunto de escenarios de riesgo, éste se puede usar en el análisis de riesgos, para evaluar la frecuencia y
el impacto del escenario. Un componente importante de esta evaluación son los factores riesgo. Los factores de riesgo
influyen en la frecuencia y/o en el impacto en la misión o el negocio de los escenarios de riesgo; los factores de riesgo
pueden ser de diferentes tipos y se clasifican en dos categorías principales:
 Factores contextuales (internos o externos). La principal diferencia es el grado de control que una empresa tiene
sobre los factores respectivos.
 Los factores contextuales internos están, en gran medida, bajo el control de la empresa, aunque puede que no
siempre sean fáciles de cambiar.
22
Ibid.
34

CAPÍTULO 6
 Los factores contextuales externos están, en gran medida, fuera del control de la empresa.
 Factores de capacidad (que indican la aptitud para realizar actividades relacionadas con la I&T). Estos factores
son fundamentales para obtener resultados satisfactorios en la gestión del riesgo. Los factores de capacidad están
integrados en muchas herramientas, técnicas, métodos y marcos relacionados de ISACA que ayudan a que una empresa
defina y mejore su I&T, y los procesos relacionados necesarios para que continúe operando las actividades relacionadas
con la I&T. Los factores de capacidad ayudan a responder estas preguntas:
 Capacidades de gestión de riesgos relacionados con la I&T: ¿En qué medida la empresa es madura en la
realización de la gestión de riesgos?
 Capacidades del negocio o de la misión relacionadas con la I&T (o gestión de valor): ¿Con qué solidez las
capacidades relacionadas con la I&T respaldan los objetivos de la empresa mientras se gestionan los riesgos que
puedan poner en riesgo sus objetivos?
Un escenario de riesgo de I&T describe un evento relacionado con la I&T que puede conducir a un impacto sobre el
negocio, cuando y si ocurre. Para que los escenarios de riesgo estén completos y sean utilizables para la gestión de riesgos
y el análisis de decisiones, deberían describir los siguientes elementos, mostrados en la figura 6.2:
 Agente que genera la amenaza. Los agentes pueden ser internos o externos, y pueden ser humanos o no-humanos.
 Los agentes internos están dentro de la empresa (p. ej., personal o contratistas).
 Los agentes externos incluyen las personas ajenas a la empresa, los competidores, los reguladores y el mercado.
 No todos los tipos de amenaza requieren un agente (p. ej., fallos en el proceso o desastres naturales).
 Tipo de condición o naturaleza del evento. Los tipos de condición o eventos incluyen: maliciosos, accidentales,
fallos de proceso, naturales (es decir, fuerza mayor), ciclos del negocio, etc.
 Tipo de impacto o resultado del evento. Los tipos de impacto o resultados incluyen: divulgación de información,
interrupción de los sistemas, cambio o modificación no intencionada, robo, destrucción, etc. Los eventos pueden
reflejar un diseño inefectivo (de sistemas, procesos, etc.), una ejecución ineficaz de procesos (p. ej. procedimientos de
gestión de cambios, procedimientos de adquisición y/o procesos de priorización de proyectos), efectos de la
regulación y uso inapropiado. El impacto también incluye el coste de la limpieza y la corrección del escenario.
 Activo o recurso objetivo. Un activo es cualquier cosa valiosa para la empresa en el cumplimiento de su misión o
estrategia de negocio que puede ser afectado adversamente y provocar un impacto en el negocio o la misión. Un
recurso es todo lo que ayuda a lograr las metas relacionadas con la I&T. Los activos y los recursos pueden ser
idénticos. Por ejemplo, el hardware de I&T es un recurso importante (porque todas las aplicaciones relacionadas con
la I&T lo utilizan) y, simultáneamente, un activo (porque tiene un cierto valor para la empresa). Los activos/recursos
incluyen:
 personas (p. ej. empleados, contratistas, proveedores de personal y terceros);
 procesos de I&T (p. ej. procesos de TI y de negocio, diagramas de flujo de datos, o flujos de información);
 infraestructura física (p. ej. instalaciones y equipos);
 infraestructura de I&T (p. ej. hardware informático, infraestructura de red y middleware);
 otros componentes de la arquitectura empresarial, incluyendo:
- información;
- aplicaciones.
35

Figura 6.1—Desarrollo del escenario de riesgo relacionado con la I&T
Objetivos de negocio
Identificar los
Identificación objetivos de
del escenario negocio
de arriba Identificar los escenarios
a abajo con impacto en el logro
de los objetivos
Escenarios de
Escenarios de riesgo Frecuencia e
riesgo de I&T Riesgo
genéricos impacto
mejorados y de I&T
estimados
específicos
Identificación Identificar todos los
del escenario escenarios hipotéticos
de abajo
Reducir mediante
a arriba un análisis de alto
nivel
Factores Factores Capacidad de Capacidad Capacidad

ambientales ambientales gestión de de TI de negocio
externos internos riesgos relacionada
con la TI
Algunos activos pueden priorizarse como críticos, mientras que otros son considerados como no críticos (o solo
intermitentemente críticos, en ciertos momentos del ciclo del negocio). Los recursos críticos pueden ser objeto de una
mayor cantidad de ciberatacantes; por tanto, la frecuencia de los escenarios relacionados probablemente sea más alta. Se
necesita habilidad, experiencia y una comprensión profunda de las dependencias para distinguir entre un activo crítico y un
activo no crítico.
El aspecto temporal también puede ser relevante para algunos escenarios, como se describe a continuación:
 Duración del evento — Por ejemplo, interrupción prolongada de un servicio o centro de datos.
 Momento — ¿El evento ocurre en un momento crítico? El aspecto temporal puede distinguir, además:
 El tiempo transcurrido entre el evento y el impacto: ¿Hay una consecuencia inmediata (p. ej. un fallo de la red
y un tiempo de interrupción de servicio inmediato) o un impacto demorado por un espacio de tiempo prolongado
(p. ej. en relación con una arquitectura de TI obsoleta con costes conjuntos más altos durante varios años)?
La estructura del escenario de riesgo (figura 6.2) distingue entre eventos de pérdida (eventos que generan impacto
negativo), vulnerabilidades o eventos de vulnerabilidad (eventos que contribuyen a la magnitud o frecuencia de los eventos
de pérdidas) y eventos de amenaza (circunstancias o eventos provocados por un agente de la amenaza que pueden
desencadenar eventos de pérdidas).
 Agente/Comunidad de la amenaza
 Intención/motivación
 Evento de amenaza
36

CAPÍTULO 6
 Activo
 Efecto
 Momento
Figura 6.2—Estructura y componentes de un escenario de riesgo/evento de pérdidas
Escenario de riesgo/Evento de pérdidas
Agente/
Comunidad Intención/ Evento de Activo/ Efecto Momento
de la amenaza Motivación amenaza Recurso
Es importante describir y comprender los diferentes componentes del escenario de riesgo para que puedan tomarse las
medidas adecuadas. Es difícil de hacer esto con una larga lista de condiciones que puedan ocurrir sin priorizar; por lo
tanto, los profesionales prefieren una lista centrada, desarrollada y matizada de los elementos de riesgo relevantes que se
han analizado y priorizado por su impacto de negocio. Puede usarse un registro de riesgos para documentar y hacer un
seguimiento del riesgo que se ha identificado, analizado y priorizado.
La Guía del profesional de riesgos de TI, 2ª Edición, 233 incluye más orientación sobre cómo recopilar conjuntos relevantes
y gestionables de escenarios de riesgo de I&T, e incluye un conjunto inicial de ejemplos de escenarios de riesgo.
3
23
Ibid.
37

38

CAPÍTULO 7
CONCIENCIACIÓN DE RIESGOS, INFORMES Y COMUNICACIÓN
Capítulo 7
Concienciación de riesgos, informes y comunicación
7.1 Introducción
La concienciación de riesgos involucra el reconocimiento de que la incertidumbre, o el riesgo, es una parte integral del
negocio. Esto no implica que todos los riesgos deban ser evitados o eliminados, sino que el riesgo relacionado con la I&T
debe ser:
 identificable;
 reconocido;
 bien entendido y conocido;
 gestionado mediante la aplicación de los recursos adecuados.
La presentación de informes y la comunicación de riesgos son partes clave de la concienciación del riesgo. Para los
responsables de la toma de decisiones y las partes interesadas (incluidos los consejos de administración) es crucial recibir
información oportuna y precisa de los riesgos sobre la que puedan actuar. La gente suele sentirse incómoda hablando del
riesgo; tiende a postergar la discusión sobre el riesgo, porque involucra la previsión de incertidumbres futuras que, después
de todo, podrían no materializarse realmente. Sin embargo, a pesar de estas reacciones subjetivas, una buena comunicación
sobre el riesgo (es decir, antes de que se convierta en un problema, incidente o crisis mayor) es fundamental.
Para los responsables de la toma de decisiones y las partes interesadas (incluidos los consejos de administración) es
crucial recibir información oportuna y precisa de los riesgos sobre la que puedan actuar.
7.2 Beneficios de la concienciación de riesgos y la comunicación
Los beneficios de una comunicación abierta sobre el riesgo relacionado con I&T incluyen el logro de:
 un entendimiento común de la exposición real y de los impactos potenciales de un riesgo materializado, permitiendo
una decisión informada y adecuada sobre la respuesta al riesgo;
 la transparencia para todas las partes interesadas sobre el nivel potencial de exposición al riesgo, y los procesos y las
capacidades de gestión del riesgo en uso.
Una comunicación deficiente sobre riesgos, en general, conduce a:

 una falsa sensación de confianza con respecto al grado real de exposición del riesgo;
 una falta de dirección bien entendida para la gestión de riesgos de arriba a abajo;
 una pésima comprensión de las partes interesadas sobre el nivel de exposición al riesgo;
 la percepción de que la empresa está ocultando un riesgo conocido a las partes interesadas, los reguladores,
los inversores o a terceros (p. ej. clientes);
 la incapacidad para responder de manera oportuna a problemas que pueden causar daños o pérdidas;
 un daño reputacional significativo o una disminución de las expectativas de las partes interesadas cuando se cree que
la alta dirección debe rendir cuentas, pero no adopta medidas correctivas o éstas no se presentan adecuadamente.
7.3 Presentación de informes y comunicación de riesgos
La comunicación de riesgos relacionados con la I&T incluye una amplia diversidad de flujos de información. El Marco de
riesgos de TI distingue los siguientes tipos principales de comunicación de riesgo relacionado con la I&T, como se muestra
en la figura 7.1:
39

 Expectativas sobre la estrategia, las políticas, los procedimientos, la concienciación, la formación, etc., de la
gestión de riesgos: las empresas deberían comunicar constantemente la estrategia y reforzar los principios, etc., en
relación con a la estrategia global de la empresa para el riesgo relacionado con la I&T. La comunicación clara y
consistente de los riesgos reconocidos impulsa todos los esfuerzos posteriores de gestión de riesgo, aumenta la
concienciación y establece expectativas generales sobre los comportamientos de la gestión de riesgos.
 Capacidad de la gestión de riesgos actual: la comunicación de la capacidad de la gestión del riesgo empresarial
indica lo bien que la empresa está gestionando el riesgo y reduciendo la exposición, facilita la transparencia sobre
cualquier déficit competencial de la gestión de riesgos y es, en general, un indicador clave de una buena gestión
de riesgos.
 Estado del riesgo identificado bajo gestión: las comunicaciones del estado del riesgo pueden incluir información de
los siguientes artefactos relacionados con el riesgo:
 perfil de riesgo; es decir, la cartera (portfolio) global del riesgo relacionado con la I&T identificado al que la
empresa está expuesta, incluyendo las medidas para cada escenario de riesgo de la cartera;
 indicadores clave de riesgo (KRI) para respaldar la presentación de informes de la gestión sobre el riesgo;
 datos del evento/ las pérdidas de los riesgos materializados;
 análisis de la causa raíz de los eventos de pérdidas materializados;
 opciones de mitigación (en términos de costes y beneficios).
40

CAPÍTULO 7
Figura 7.1—Componentes de la comunicación de riesgos de I&T
Expectativas:
Estrategia, políticas,
procedimientos,
concienciación,
formación,
etc.
Comunicación
efectiva de riesgos
de I&T
Estado: Capacidad:
Perfil de riesgo, Madurez
indicadores clave del proceso
de riesgo, datos de de gestión
pérdidas, etc. de riesgos
Para ser efectiva, toda información intercambiada, independientemente de qué tipo sea, debería ser clara, concisa,
completa, precisa, oportuna y comprensible para todas las partes interesadas. Estos criterios son especialmente importantes
para la seguridad de la información, la tecnología y el ciberriesgo. Se debería evitar el uso de términos técnicos y jerigonza
sobre riesgos. La información irrelevante o excesivamente detallada obstaculiza, en lugar de permitir, una visión clara del
riesgo; en especial la información sobre ciberamenazas, vulnerabilidades y eventos de los que existen pocos hechos
objetivos que indiquen la(s) causa(s) raíz o el alcance real de cualquier pérdida.
Puede transcurrir un tiempo crítico entre la identificación del riesgo, su impacto en el negocio o la misión, y las actividades
de respuesta. Por ejemplo, podría originarse un escenario de riesgo cuando se establece una organización de TI inadecuada.
Su impacto en el negocio se materializará (eventualmente) en términos de una prestación ineficiente de servicios y
operaciones de I&T. El escenario del fracaso de un proyecto de TI puede generar demoras eventuales o el fracaso de las
iniciativas de negocio. La comunicación es oportuna cuando permite que se actúe en los momentos adecuados para
identificar y tratar el riesgo.
La información debe comunicarse con el grado de detalle adecuado y debe adaptarse a la audiencia. En este proceso, la
agregación no debe ocultar las causas raíz del riesgo. Por ejemplo, un responsable de seguridad necesita datos técnicos de
I&T sobre las intrusiones y los virus para desplegar las soluciones. Un comité de dirección de I&T podría no necesitar este
41

nivel de detalles, pero sí que necesita información agregada para decidir sobre los cambios en la política o el presupuesto
adicional para tratar el mismo riesgo.
La información debe comunicarse con el grado de detalle adecuado y debe adaptarse a la audiencia.
La información debe estar disponible cuando lo necesiten las audiencias correspondientes. Tenga en cuenta que un registro
de riesgos (que incluya todos los riesgos documentados) no es una información pública, y debería estar adecuadamente
protegido de partes internas y externas que no precisen acceder al mismo.
La comunicación no tiene porqué ser siempre formal, mediante mensajes o informes escritos. Las reuniones cara a cara
oportunas entre las partes interesadas también son modos importantes de comunicar información sobre el riesgo
relacionado con la I&T.
7.4 Indicadores clave de riesgo
Los indicadores clave de riesgo (KRI) son métricas capaces de mostrar que la empresa está sujeta a, o tiene una alta
probabilidad de estar sujeta a, un riesgo que exceda el apetito o la tolerancia de riesgo que tenga establecidos. Como su
nombre indica, son sólo indicadores de riesgo y no medidas directas del riesgo. Es importante no confundir la medición de
riesgos (y la asignación correspondiente de la calificación de riesgos) con los KRI. Estos son específicos de cada empresa,
y su selección depende de muchos parámetros en los entornos interno y externo, incluyendo el tamaño y la complejidad de
la empresa, el contexto regulatorio (es decir, si opera en un mercado muy regulado), y el foco de la estrategia. La
identificación de los KRI debería tener en cuenta los siguientes pasos (entre otros):
1. Considerar las necesidades de las partes interesadas al desarrollar los indicadores de riesgo. Los KRI para las
partes interesadas relevantes deberían identificarse sobre la base de sus necesidades de información. La participación
de las partes interesadas apropiadas en la selección de los indicadores de riesgo también asegura una mayor aceptación
y adquisición de propiedad.
2. Iterar y mejorar los indicadores con el tiempo. Adoptar un planteamiento equilibrado al seleccionar indicadores que
están orientados al futuro, o prospectivos, y orientados al pasado, o retrospectivos.
Los indicadores prospectivos incluyen datos, información o capacidades que se encuentran presentes para evitar que
ocurran eventos. Los indicadores prospectivos pueden tener límites superiores e inferiores para que una empresa pueda
entender cuándo una condición requiere atención antes de que el riesgo se concrete.
Los indicadores retrospectivos incluyen datos, información o capacidades que se miden después de que haya ocurrido un
evento o una condición (p. ej. la consecución de un objetivo de rendimiento o de una meta de disponibilidad de nivel de
servicio). El análisis continuado de las causas raíz del riesgo materializado, los controles o procesos fallidos, y los
objetivos incumplidos puede ayudar a las empresas a desarrollar nuevos indicadores, tendencias o a correlacionar
condiciones para adquirir conocimiento.
Una empresa puede desarrollar un extenso conjunto de métricas que sirvan como indicadores de riesgo; sin embargo, no es
generalmente viable mantener un gran conjunto de KRI. Por definición, los indicadores clave se diferencian por ser muy
relevantes y por tener una alta probabilidad de predicción o de indicación de las consecuencias de los riesgos.
La selección de los KRI adecuados proporciona los siguientes beneficios a la empresa:

 Señales de alerta temprana y prospectivas para la empresa de que un riesgo se puede materializar pronto,
permitiendo una respuesta proactiva antes de que el riesgo se convierta en una pérdida.
 Contexto histórico retrospectivo sobre riesgos que se han materializado, mejorando la información para futuras
respuestas al riesgo, impulsando mejoras, y respaldando la documentación y el análisis de tendencias.
 Retroalimentación (feedback) sobre el apetito de riesgo y las tolerancias para facilitar las mejoras en la estrategia
y los procesos de gestión de riesgos, y optimizar el gobierno y la supervisión de riesgos.
42

CAPÍTULO 7
Los retos o dificultades comunes asociados a los KRI incluyen:

 objetivos de medición indefinidos, falta de resultados declarados/esperados o carencia de cuestiones definitivas que
puedan responderse con datos de los KRI;
 recopilación sistemática de datos que sean fáciles de obtener o que ya estén disponibles, en lugar de datos que se
correlacionen de manera significativa con un riesgo o tipo de riesgo específicos;
 falta de una relación lógica clara entre los KRI y un riesgo específico o los objetivos del negocio;
 exceso de métricas sin un claro objetivo o propósito de medición;
 procesos de agregación engorrosos;
 complejidad excesiva para resumir y/o interpretar los resultados de los KRI a nivel empresarial.
Debido a que los entornos internos y externos sufren cambios constantes, el entorno del riesgo también es muy dinámico
y el conjunto de KRI deberá cambiarse con el tiempo. Cada KRI debería estar claramente relacionado con el apetito de
riesgo y la tolerancia, de forma que se puedan definir los niveles de disparo para soportar una acción adecuada y oportuna.
43

44

CAPÍTULO 8
FUNDAMENTOS DE LA RESPUESTA AL RIESGO
Capítulo 8
Fundamentos de la respuesta al riesgo
8.1 Introducción
Este capítulo analiza brevemente los fundamentos de la respuesta al riesgo:

 disposición al riesgo;
 agregación de riesgos;
 selección de la respuesta y priorización de riesgos.
Las cuatro siguientes disposiciones del riesgo permiten que las empresas gestionen el riesgo de manera eficiente,
centrándose en el riesgo con el mayor impacto potencial en los objetivos (si el riesgo se materializa):
 evitación del riesgo;
 mitigación del riesgo;
 compartición o transferencia del riesgo;
 aceptación del riesgo.
El propósito de la respuesta al riesgo es que, tras el análisis de riesgos, el riesgo quede alineado con el apetito de riesgo
definido. Debe definirse una respuesta para que el riesgo residual futuro (es decir, riesgo presente tras definirse e
implementarse la respuesta al riesgo) se mantenga dentro de los límites de la tolerancia al riesgo en la medida de lo posible
(normalmente dependiendo del presupuesto disponible). La dirección puede decidir aceptar cualquier riesgo,
independientemente de las circunstancias.
Puede obtener más información y orientación práctica sobre respuesta al riesgo en la Guía del profesional de riesgos de TI,
2ª Edición.241
8.2 Evitación del riesgo
La evitación del riesgo implica abandonar las actividades o condiciones que dan lugar al riesgo. La evitación se aplica
cuando ninguna otra respuesta al riesgo es adecuada:
 Ninguna respuesta rentable puede lograr reducir el impacto del riesgo materializado por debajo de los umbrales
definidos para las pérdidas.
 El riesgo no se puede ni compartir ni transferir.
 La dirección considera que el riesgo es inaceptable.
Algunos ejemplos relacionados con I&T de evitación del riesgo incluyen:

 reubicar un centro de datos lejos de una región con peligros naturales significativos;
 rehusar la participación en un proyecto muy grande cuando el caso de negocio muestra un riesgo notable de fracaso.
8.3 Mitigación del riesgo
La mitigación reduce la frecuencia y/o el impacto de un riesgo. Las estrategias comunes para la mitigación incluyen:
 Fortalecer prácticas generales de la gestión de riesgos: las empresas deberían tratar de asignar las responsabilidades
de identificación y/o de gestión de riesgos a aquellos que guarden mayor proximidad con las actividades o los
procesos que generan el riesgo.
1
24
Ibid.
45

 Integrar la concienciación del riesgo en los flujos de trabajo habituales: la mejora de la concienciación del riesgo
en el curso de las actividades diarias ayuda a que el personal entienda y reconozca mejor los comportamientos que
generan el riesgo antes de que se produzca un incidente.
 Mejorar los procesos de gestión de riesgos y desarrollar las tolerancias relevantes: las empresas deberían buscar
oportunidades para difundir y expandir la gestión de riesgos desde la estrategia hasta las primeras líneas de la
empresa.
 Automatizar los disparadores y las alertas: la automatización generalmente proporciona la señal más anticipada
y oportuna cuando los umbrales están fuera de tolerancia.
 Introducir controles: los controles tienen como objetivo reducir la frecuencia o el impacto de los riesgos
materializados. En las siguientes secciones se analizan varias técnicas de control.
8.4 Compartición o transferencia del riesgo
Compartir supone reducir la frecuencia del riesgo o del impacto transfiriendo una parte de él. Las técnicas comunes
incluyen:
 obtener cobertura de seguros para los eventos relacionados con la I&T o los ciberincidentes;
 externalizar (outsourcing) actividades relacionadas con la I&T;
 compartir riesgos de proyectos relacionados con la I&T con un proveedor externo mediante acuerdos de precio fijo o
acuerdos de inversión compartida.
Ni en la experiencia concreta ni en un sentido legal más abstracto, estas técnicas eximirán a una empresa del riesgo.
Sin embargo, pueden aprovecharse las habilidades de otra parte para gestionar el riesgo y reducir así su impacto financiero,
de ocurrir un evento adverso.
8.5 Aceptación del riesgo
La aceptación significa que no se adopta ninguna medida en relación con un riesgo en particular, y se acepta la pérdida
cuando/si ocurre. Esta respuesta es muy diferente de meramente ignorar el riesgo. Aceptar el riesgo supone que el riesgo
es conocido; es decir, la dirección ha tomado la decisión informada de aceptarlo como tal.
Si una empresa adopta una postura de aceptación de riesgo, debería analizar cautelosamente quién puede aceptar el riesgo,
especialmente en el caso del riesgo relacionado con la I&T, que debe ser aceptado sólo por la dirección de negocio (y los
propietarios del proceso de negocio) en colaboración con (y respaldado por) el departamento de TI o la función de soporte
de TI. La aceptación debería comunicarse a las partes interesadas adecuadas, como la alta dirección y el consejo de
administración, según sea necesario, y dictaminado por las políticas. La identificación o mitigación de cada riesgo podría
no ser relevante o rentable.
8.6 Agregación de riesgos
La agregación de riesgos es el método o proceso por el que los riesgos individuales pueden combinarse a efectos de
informes o tratamiento, o para obtener un perfil de riesgo integrado o un índice de riesgo. Las decisiones sobre la gestión
de riesgos de I&T son más beneficiosas para la empresa si el riesgo se gestiona desde la perspectiva de un riesgo agregado
de extremo a extremo. Una visión consolidada del riesgo respalda la revisión completa y exhaustiva del apetito de riesgo
y la tolerancia al riesgo, y siempre supera (en términos de beneficio de la empresa) al reconocimiento y/o tratamiento
relativamente aislado del riesgo.
Los riesgos relacionados con la I&T suelen agruparse por tipo de riesgo, al igual que las respuestas a los riesgos o los
tratamientos de control específicos. Por ejemplo, si el planteamiento de gestión de accesos de una empresa ocasiona
repetidos hallazgos de las auditorías o deficiencias de control en diferentes áreas de la misión o del negocio, una iniciativa
empresarial para la gestión de accesos podría resolver el problema.
46

CAPÍTULO 8
FUNDAMENTOS DE LA RESPUESTA AL RIESGO
El impacto financiero del riesgo suele agregarse, en rangos de pérdidas si se materializan ciertos tipos de riesgo, con objeto
de la presentación de informes al consejo o a los ejecutivos. Muchas empresas mantienen un conjunto de criterios de
impacto y tolerancias al riesgo expresados en términos financieros. La agregación de riesgos y la presentación de informes
son un requisito actual para muchas instituciones financieras sujetas al proceso de supervisión del Comité de supervisión
bancaria de Basilea (Comité de Basilea).252 Este requisito está suscitando un debate entre la alta dirección (o sus
delegados), la función / el personal de gestión de riesgos, y el consejo de administración sobre cuál es el nivel adecuado
de agregación y de cuantificación de riesgos que sería aceptable y útil para que el consejo de administración adopte
decisiones informadas.
El impacto financiero del riesgo suele agregarse, en rangos de pérdidas si se materializan ciertos tipos de riesgo,
con objeto de la presentación de informes al consejo o a los ejecutivos.
8.7 Selección de la respuesta y priorización de riesgos
Las secciones anteriores enumeran las opciones de respuesta al riesgo. Esta sección se centra en distinguir, evaluar y
seleccionar las respuestas adecuadas entre esas opciones, considerando un contexto de riesgo específico. Para este proceso,
deben tenerse en cuenta los siguientes parámetros:
 Coste de la respuesta: en el caso de la transferencia del riesgo, tenga en cuenta el coste de la prima del seguro;
en el caso de la mitigación del riesgo, tenga en cuenta el coste de implementar, mantener y probar los controles.
 Importancia del riesgo abordado por la respuesta: tenga presente su prioridad o graduación en el registro del
riesgo.
 Capacidad para implementar y mantener la respuesta a lo largo del tiempo: cuanto más madura sea una empresa
en su capacidad de gestión de riesgos, mejor se podrán implementar las respuestas; cuando la empresa es más bien
inmadura, pueden utilizarse algunas respuestas muy básicas y mejorarlas a lo largo del tiempo.
 Efectividad de la respuesta: considere hasta qué punto las actividades de respuesta reducirán la frecuencia o el
impacto del riesgo, en caso de que se materialice.
 Otras inversiones relacionadas con la I&T: invertir en medidas de respuesta al riesgo siempre compite con otras
inversiones relacionadas con la I&T, y requiere una cuidadosa deliberación.
 Otras respuestas: una respuesta podría abordar varios tipos de riesgos mientras que quizás otra no. El riesgo podría
agregarse y abordarse posteriormente con una respuesta común.
En ocasiones, el esfuerzo o los recursos requeridos para las respuestas (p. ej. la colección de controles que deben
implementarse o fortalecerse) excederán la capacidad disponible de la empresa. En este caso, se precisan decisiones
sobre la priorización, destreza organizativa y experiencia. Las posibles opciones de respuesta al riesgo pueden agruparse
de la siguiente manera:
 Ganancias rápidas: las ganancias rápidas incluyen respuestas muy a corto plazo, con eficiencia temporal y efectivas
frente a riesgos de alto impacto.
 Obligaciones de cumplimiento para las que existe un requisito no negociable: la gestión del riesgo de
incumplimiento debe realizarse junto con las otras respuestas al riesgo para evitar la duplicación o el solapamiento
de trabajos.263
 Caso de negocio requerido: las respuestas más costosas o difíciles para los riesgos de alto impacto requieren de un
análisis minucioso y de decisiones de gestión previas a la inversión. Las respuestas en esta categoría también pueden
incluir la externalización (outsourcing) de la gestión de los riesgos que la empresa no pueda abordar internamente.
 Aplazamiento y/o supervisión continua de las condiciones: las empresas pueden posponer la respuesta y continuar
la monitorización para determinar si los cambios en el riesgo identificado o el entorno justifican una respuesta
diferente.
2
25
Op. Cit. Comité de supervisión bancaria de Basilea
3
26
Consulte también la Sección 8.6 Agregación de riesgos de esta publicación.
47

La Figura 8.1 describe el proceso general para seleccionar y priorizar las respuestas al riesgo.
Figura 8.1—Selección de la respuesta y priorización de riesgos
Análisis de riesgos
Tolerancia
al riesgo
Estimación de
la frecuencia Riesgo
y el impacto
Análisis
de riesgos
Parámetros para la
selección de respuesta
Riesgos que exceden al riesgo
el nivel de tolerancia
Coste de respuesta para
al riesgo reducir el riesgo dentro de
los niveles de tolerancia
Seleccionar las opciones
de respuesta al riesgo Importancia del riesgo
Capacidad para
implementar la respuesta
Efectividad de
Opciones para la respuesta al riesgo
la respuesta
1 2 3 4
Evitar Reducir/ Compartir/ Aceptar Eficiencia de
Mitigar Transferir la respuesta
Respuestas al riesgo Priorización de las

respuestas al riesgo
Nivel del riesgo actual
Priorizar las opciones Caso de Ganancias

de respuesta al riesgo negocio rápidas
Respuestas al riesgo
priorizadas Posponer Caso de
negocio
Plan de acción de riesgos Relación eficiencia/coste
Respuesta al riesgo
48

Risk-IT-Framework-2nd-Edition FMK Writf2s Spa 0920

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Risk-IT-Framework-2nd-Edition FMK Writf2s Spa 0920

Cargado por

Copyright:

Formatos disponibles

Marco de

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

Participe en los foros en línea de ISACA: https://engage.isaca.org/onlineforums

Marco de riesgos de TI, 2ª Edición

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

Capítulo 2 Principios del Marco de riesgos de TI ........................................................15

Capítulo 3 Componentes del Marco de riesgos de TI y

Capítulo 4 Conceptos esenciales del gobierno de riesgos ................................23

Capítulo 5 Conceptos esenciales de la gestión de riesgos ................................31

Capítulo 6 Conceptos esenciales de la gestión de riesgos ...............................33

Capítulo 7 Concienciación de riesgos, informes y comunicación ...............39

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

Capítulo 2 Principios del Marco de riesgos de TI

Capítulo 3 Componentes del Marco de riesgos de TI y

Capítulo 4 Conceptos esenciales del gobierno de riesgos

Capítulo 5 Conceptos esenciales de la gestión de riesgos

Capítulo 6 Conceptos esenciales de la gestión de riesgos

Capítulo 7 Concienciación de riesgos, informes y comunicación

Capítulo 8 Fundamentos de la respuesta al riesgo

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

Esta página se dejó en blanco intencionalmente

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

1.2 Definiciones y terminología

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

1.3 Propósito del Marco de riesgos de TI

En general, la seguridad de la información pretende proteger la información manteniendo su confidencialidad, integridad y

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

1.5 Audiencia objetivo y partes interesadas

Figura 1.1—Alcance del riesgo relacionado

Riesgo Riesgo Riesgo de Riesgo Riesgo Riesgo de

Riesgo relacionado con la I&T

Riesgo de Riesgo de entrega Riesgo derivado de Ciberriesgo y riesgo

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

Figura 2.1— Principios de gestión de riesgos

2.2 Vinculación con el negocio o con la misión de la empresa

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

2.3 Alineación con la gestión de riesgo empresarial

2.4 Equilibrio de costes y beneficios

2.5 Promoción de la comunicación ética y abierta.

2.6 Establecimiento de las pautas de ejemplaridad y la rendición de cuentas

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

2.7 Uso de un planteamiento coherente alineado con la estrategia

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

Equilibrar Promover Establecer las Usar un

Principios de gestión de riesgos

Se alinea con EDM03 Se alinea con APO12

Gobierno de riesgos Gestión de riesgos

Monitorizar la gestión de riesgos. Mantener un perfil del riesgo. Mantener un inventario

Evaluar la gestión de riesgos. Evidenciar el riesgo. Comunicar de manera oportuna

Responder al riesgo. Responder de manera oportuna

3.2 Componentes del Marco de riesgos de TI

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)

3.3 Alineación de COBIT con el Marco de riesgos de TI

3.4 Aplicación del Marco de riesgos de TI independiente de COBIT

Personal Copy of Juan Herrera Silva (ISACA ID: 161351)