0 calificaciones0% encontró este documento útil (0 votos)
7 vistas17 páginas
Este documento resume los principales estándares y marcos de referencia para la gestión de riesgos, incluyendo COSO ERM, ISO 31000, ISO 27005 sobre gestión de riesgos de seguridad de la información, y MAGERIT para gestión de riesgos de tecnologías de la información. Explica brevemente la historia y propósito de cada estándar.
Este documento resume los principales estándares y marcos de referencia para la gestión de riesgos, incluyendo COSO ERM, ISO 31000, ISO 27005 sobre gestión de riesgos de seguridad de la información, y MAGERIT para gestión de riesgos de tecnologías de la información. Explica brevemente la historia y propósito de cada estándar.
Este documento resume los principales estándares y marcos de referencia para la gestión de riesgos, incluyendo COSO ERM, ISO 31000, ISO 27005 sobre gestión de riesgos de seguridad de la información, y MAGERIT para gestión de riesgos de tecnologías de la información. Explica brevemente la historia y propósito de cada estándar.
Riesgos Dra. Ing. Jessie Leila Bravo Jaico Docente principal UNPRG Email: jbravo@unprg.edu.pe ¿Cómo se crea valor para los grupos de interés? Evolución de la gestión de riesgos Estándares y marcos de referencia Historia • La estandarización de la gestión de riesgos se inició con COSO, código emitido por el Comité de Organizaciones Sponsor en 1991 y que incluía prácticas para la gestión interna del riesgo. • Dos años más tarde, Australia y Nueva Zelanda publicaron la norma AS/NZ 4360 sobre el riesgo en sus empresas públicas. • En el 2002 el Instituto Británico de Gestión de Riesgos hizo público el estándar IRM. • Por otro lado en el año 2002 con la finalidad de evitar fraudes y riesgo de bancarrota nace en Estados Unidos la Ley Sarbanes Oxley. COSO ERM • El Consejo del Committee of Sponsoring Organizations of the Treadway Commission (COSO) publicó el documento Enterprise Risk Management—Integrating with Strategy and Performance (ERM 2017), una actualización de la primera versión de 2004. • El Marco de Gestión de Riesgos Empresariales – integrado con estrategia y desempeño (COSO 2017) aclara la importancia de la gestión de riesgos empresariales en la planeación estratégica y la incorpora a toda la organización, ya que el riesgo influye y están alineados a la estrategia y el desempeño en todas las áreas, departamentos y funciones. COSO ERM 2017 COSO ERM 2017 ISO 31000 • Nace en el año 2009 elaborado por la Organización Internacional de Normalización (ISO) . • Guía en la implementación de la gestión del riesgo a través de directrices genéricas para el diseño, la implementación y el mantenimiento del proceso de gestión de riesgos en una organización. ISO 31000 • ISO 31000: 2009 reemplaza a AS/NZS 4360:2004 para la gestión de riesgos. La familia ISO 31000 incluye: • ISO 31000:2009 Principios y directrices en la implementación. • ISO/IEC 31010: 2009 Gestión de riesgos– Técnicas de evaluación de riesgos • ISO Guide73:2009 Gestión de riesgos– Vocabulario ISO 31000 Proceso de gestión del riesgo ISO 27005 –GESTIÓN DE RIESGOS DE SEGURIDAD DE INFORMACIÓN • ISO 27005 es el estándar internacional que se ocupa de la gestión de riesgos de seguridad de información. • Suministra las directrices para la gestión de riesgos de seguridad de la información en una empresa, apoyando particularmente los requisitos del sistema de gestión de seguridad de la información definidos en ISO 27001. ISO 27005 –GESTIÓN DE RIESGOS DE SEGURIDAD DE INFORMACIÓN • La ISO/IEC 27005:2018 garantizará el cumplimento con los requisitos de seguridad de información actuales expresados los requisitos y fines de la ISO/IC 27001:2013, además alineado con la Norma ISO/IEC 27033 la cual aborda los aspectos relevantes sobre seguridad en la red. Proceso de gestión de riesgos de seguridad de la información Dicho proceso contempla dos puntos de decisión:
Punto de decisión 1: Risk
Assessment activities. Evaluamos el riesgo.
Punto de decisión 2: Risk
Treatment activities. Tratamos el riesgo. MAGERIT –GESTIÓN DE RIESGOS DE TECNOLOGÍAS DE INFORMACIÓN • Es una metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica de España, que ofrece un método sistemático para analizar los riesgos derivados del uso de tecnologías de la información y comunicaciones para de esta forma implementar las medidas de control más adecuadas que permitan tener los riesgos mitigados. • Además de esto, cuenta con todo un documento que reúne técnicas y ejemplos de cómo realizar el análisis de riesgos. • Fuente: https://administracionelectronica.gob.es/pae_Home/pae_Documentacion/pae_Metodolog/pae_Magerit.html#.XeHPFOhKgdU MAGERIT –GESTIÓN DE RIESGOS DE TECNOLOGÍAS DE INFORMACIÓN