Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Administración
Vulnerabilidades Errores Deficiencias
Compleja
Antecedentes
ISO:38500
COBIT
COBIT
5. Separar el 2. Cubrir la
Gobierno de la Organización de
Administración forma integral
Principios
de COBIT 5
4. Habilitar 3. Aplicar un
un enfoque solo marco
holistico integrado
DIRIGIR
MONITOREA
EVALUAR
R
GOBIERNO
SUBDIVISIÓN DE MODELO REFERENCIA COBIT 5
Construir, Entregar,
Adquirir e servir y dar
implementar soporte
Alinear, Monitorear,
planear y evaluar y
organizar Valorar
Administración
ISO:38500
Estrategia Coformidad
Respuesta al Riesgo
(Enterprise Risk Perfil de Riesgos - Reaccionando a
Management) Eventos
- Toma de Decisiones
de Negocio con una
Conciencia del Riesgo
Requerimientos IT
Código Requerimientos de TI Código Requerimientos de TI
RQ01 Plan estratégico de tecnología. RQ11 Gestión de servicios con terceros.
Gestión, desempeño, capacidad y disponibilidad
RQ02 Infraestructura de tecnología. RQ12
de la infraestructura tecnológica.
RQ03 Relaciones con proveedores. RQ13 Continuidad del negocio.
Cumplimiento de requerimientos
RQ04 RQ14 Seguridad de los sistemas.
legales.
RQ05 Gestión de proyectos de TI. RQ15 Educación y entrenamiento de usuarios.
RQ06 Gestión de la calidad. RQ16 Gestión de los datos.
RQ07 Adquisición de tecnología. RQ17 Gestión de instalaciones.
Adquisición y mantenimiento de
RQ08 RQ18 Gestión de operaciones de tecnología.
software.
RQ09 Instalación y acreditación de sistemas. RQ19 Gestión de la Documentación.
RQ10 Gestión de cambios.
Mapeo Requerimientos IT y Frameworks
ISO 38500 COBIT 5 RISK IT
Código Proceso de TI
Estrategia EDM01 RG1-1
RQ01 Plan estratégico de tecnología. APO01
APO02
Adquisición BAI10 -
RQ02 Infraestructura de tecnología. BAI09
Adquisición APO10
RQ03 Relaciones con proveedores.
Cumplimiento MEA03 RR1-2
RQ04 Cumplimiento de requerimientos legales.
Estrategia BAI01 -
RQ05 Gestión de proyectos de TI.
Desempeño APO11 RR1-3
RQ06 Gestión de la calidad. RR1-4
Adquisición BAI09 RE1-1
RQ07 Adquisición de tecnología. RE1-2
RE1-3
Adquisición BAI01 RE1-1
RQ08 Adquisición y mantenimiento de software. RE1-2
RE1-3
Adquisición APO11 RG2-4
RQ09 Instalación y acreditación de sistemas. BAI03 RG2-5
Desempeño BAI05 RE3-4
RQ10 Gestión de cambios. BAI06 RE3-5
Mapeo Requerimientos IT y Frameworks
ISO 38500 COBIT 5 RISK IT
Código Proceso de TI
Desempeño APO09 -
RQ11 Gestión de servicios con terceros. APO10
5. MONITOREO Y 1.CONCIENTIZAR
MEJORA LA ALTA 3.PLANIFICACIÓN
CONTINUA DIRECCIÓN
4.IMPLEMENTACIÓN
Conclusiones
• Existen diversas metodologías para llevar a cabo una adecuada administración de
riesgos a nivel empresarial, pero son pocas las que involucran el efecto de los Riesgos de
TI en la organización.
• La metodología propuesta presenta una oportunidad para entender mejor los
conceptos definidos en los estándares mencionados para gestión de riesgos dándole un
enfoque a los riesgos tecnológicos.
• Las organizaciones deben robustecer su protección a nivel físico (lo correspondiente a
infraestructura, incluyendo la tecnológica), nivel lógico (sistemas de información y
software) y factor humano (toma de medidas organizacionales); en estos tres aspectos
está presente el uso de tecnología y por ello la exposición a este tipo específico de
riesgo crece constantemente.
¿Preguntas?
GRACIAS