0 calificaciones0% encontró este documento útil (0 votos)
8 vistas43 páginas
Este documento describe el proceso de gestión de riesgos de TI, incluyendo la identificación, análisis y valoración de riesgos para apoyar el logro de los objetivos de la organización. Se explican los pasos del proceso como la identificación de activos, amenazas y vulnerabilidades; el análisis cualitativo y cuantitativo de riesgos; y el uso de una matriz de riesgos para priorizar los riesgos según su probabilidad e impacto. El propósito es mitigar y monitorear los riesgos de TI para prote
Este documento describe el proceso de gestión de riesgos de TI, incluyendo la identificación, análisis y valoración de riesgos para apoyar el logro de los objetivos de la organización. Se explican los pasos del proceso como la identificación de activos, amenazas y vulnerabilidades; el análisis cualitativo y cuantitativo de riesgos; y el uso de una matriz de riesgos para priorizar los riesgos según su probabilidad e impacto. El propósito es mitigar y monitorear los riesgos de TI para prote
Este documento describe el proceso de gestión de riesgos de TI, incluyendo la identificación, análisis y valoración de riesgos para apoyar el logro de los objetivos de la organización. Se explican los pasos del proceso como la identificación de activos, amenazas y vulnerabilidades; el análisis cualitativo y cuantitativo de riesgos; y el uso de una matriz de riesgos para priorizar los riesgos según su probabilidad e impacto. El propósito es mitigar y monitorear los riesgos de TI para prote
Riesgos de TI Dra. Ing. Jessie Leila Bravo Jaico Docente principal UNPRG Email: jbravo@unprg.edu.pe Objetivo
• Proceso sistemático que a través de la
contextualización, identificación, análisis, evaluación, cuantificación, tratamiento y monitoreo de los riesgos, permite apoyar el logro de los objetivos de la Organización, y por ende la creación de valor. Alcance • Identificar riesgos de tecnología, categorizarlos, contextualizarlos, calificarlos y definirlos planes de tratamiento para mitigar y/o asumir el riesgo a partir de las políticas definidas por el proceso. • Evaluar el modelo de gestión de riesgos y verificar el cumplimiento de los objetivos esperados. Proceso Tener en cuenta: • La implementación de proyectos organizacionales requiere de la utilización de componentes tecnológicos. • Implementar tecnología entraña riesgos. • El riesgo de TI puede manifestarse en componentes de procesos, personas, organizacionales y tecnológicos. • El riesgo de TI existe siempre y cuando genere un impacto en el negocio. Proceso de gestión de riesgos de TI según COBIT 2019 Proceso de gestión de riesgos de TI según COBIT 2019 Gobierno EDM03: Asegurar la optimización del riesgo. •Asegurar que el apetito y la tolerancia al riesgo de la organización se entienden, articulan y comunican, y que se identifica y gestiona el riesgo para el valor de la organización relacionado con el uso de las TI. Gestión APO12: Gestionar el riesgo. •Identificar, evaluar y reducir los riesgos relacionados con TI de forma continua, dentro de niveles de tolerancia establecidos por la Alta Dirección Proceso de gestión de riesgos de TI Proceso de gestión de riesgos de TI Proceso de gestión de riesgos de TI Identificación de riesgos Universo de riesgos Universo de riesgos Identificación de activos Identificación de activos Ejemplo Práctica 01 • Elaborar una matriz que identifique los riesgos operacionales de TI de su institución. • Trabajo grupal Análisis de riesgos Análisis cuantitativo de riesgos • Probabilidad: Determinación y cálculo estadístico. • Las técnicas cuantitativas pueden utilizarse cuando existe la suficiente información para calcular la probabilidad y/o el impacto del riesgo empleando técnicas probabilísticas y no probabilísticas. • Una consideración importante es la disponibilidad de información precisa, ya sea de fuentes internas o externas, y uno de los retos que plantea el uso de estas técnicas es el de obtener suficientes datos válidos Análisis cualitativo del riesgo • Probabilidad: Estimación de la frecuencia de ocurrencia del riesgo, basado en juicio experto. • Impacto: Magnitud de la consecuencia si se materializa el riesgo. • Criterios: Relevancia, criticidad, cobertura, etc. Catálogo Amenazas Catálogo de amenazas: •Naturales. •No intencionales. •Intencionales físicas y lógicas. •Criterios adicionales Amenazas Ejemplo Ejemplo Vulnerabilidades Catálogo de vulnerabilidades: •Inherentes al activo. •Debilidades intrínsecas. •Carencias (Falta de…). •Inefectividad. •Fallas en controles. •Criterios adicionales. Vulnerabilidades Ejemplo Ejemplo Práctica 02 • De los riesgos operaciones de TI de su institución identificados anteriormente identificar sus amenazas y vulnerabilidades. • Trabajo grupal Valoración de riesgos Objetivos • Facilitar la toma de decisiones, basada en los resultados del análisis, acerca de los riesgos que necesitan tratamiento y priorización. • Las decisiones se deberían tomar principalmente de acuerdo con los requisitos de gobierno (rentabilidad estratégica) y normativos. • También puede tener como resultado la decisión de no tratar el riesgo de ninguna manera diferente del mantenimiento de los controles existentes. Criterios para probabilidad Criterios para impacto Criterios alternos Ejemplo Criterios para la probabilidad e impacto Ejemplo Práctica 03 • Valorar los riesgos identificando su probabilidad e impacto. Matriz de riesgos • Una matriz de riesgos es una sencilla pero eficaz herramienta para identificar los riesgos más significativos inherentes a las actividades de una empresa. • La matriz de riesgos se caracteriza por: – Su sencillez. – Su flexibilidad. – Su capacidad para establecer diagnósticos de los factores de riesgo. Matriz de riesgos Ejemplo Práctica 04 • Elaborar la matriz de los riesgos identificados anteriormente .
4 - Objetivos de La Gestión de Riesgos. Términos Principales - Análisis de Riesgos Enfoque, Estrategias de Tratamiento, Puntos Claves para El Éxito, Proceso - Evaluación de Riesgos y Tratam