Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Sesion 05

    Cargado por

    gerard
    8 vistas43 páginas
    Este documento describe el proceso de gestión de riesgos de TI, incluyendo la identificación, análisis y valoración de riesgos para apoyar el logro de los objetivos de la organización. Se explican los pasos del proceso como la identificación de activos, amenazas y vulnerabilidades; el análisis cualitativo y cuantitativo de riesgos; y el uso de una matriz de riesgos para priorizar los riesgos según su probabilidad e impacto. El propósito es mitigar y monitorear los riesgos de TI para prote

    Descripción original:

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PPT, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento
    Este documento describe el proceso de gestión de riesgos de TI, incluyendo la identificación, análisis y valoración de riesgos para apoyar el logro de los objetivos de la organización. Se explican los pasos del proceso como la identificación de activos, amenazas y vulnerabilidades; el análisis cualitativo y cuantitativo de riesgos; y el uso de una matriz de riesgos para priorizar los riesgos según su probabilidad e impacto. El propósito es mitigar y monitorear los riesgos de TI para prote

    Copyright:

    © All Rights Reserved
    Descargue como PPT, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    8 vistas43 páginas

    Sesion 05

    Cargado por

    gerard
    Este documento describe el proceso de gestión de riesgos de TI, incluyendo la identificación, análisis y valoración de riesgos para apoyar el logro de los objetivos de la organización. Se explican los pasos del proceso como la identificación de activos, amenazas y vulnerabilidades; el análisis cualitativo y cuantitativo de riesgos; y el uso de una matriz de riesgos para priorizar los riesgos según su probabilidad e impacto. El propósito es mitigar y monitorear los riesgos de TI para prote

    Copyright:

    © All Rights Reserved
    Descargue como PPT, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 43

    Proceso de Gestión de

    Riesgos de TI
    Dra. Ing. Jessie Leila Bravo Jaico
    Docente principal UNPRG
    Email: jbravo@unprg.edu.pe
    Objetivo

    • Proceso sistemático que a través de la


    contextualización, identificación, análisis,
    evaluación, cuantificación, tratamiento y
    monitoreo de los riesgos, permite apoyar
    el logro de los objetivos de la
    Organización, y por ende la creación de
    valor.
    Alcance
    • Identificar riesgos de tecnología,
    categorizarlos, contextualizarlos,
    calificarlos y definirlos planes de
    tratamiento para mitigar y/o asumir el
    riesgo a partir de las políticas definidas por
    el proceso.
    • Evaluar el modelo de gestión de riesgos y
    verificar el cumplimiento de los objetivos
    esperados.
    Proceso
    Tener en cuenta:
    • La implementación de proyectos
    organizacionales requiere de la utilización
    de componentes tecnológicos.
    • Implementar tecnología entraña riesgos.
    • El riesgo de TI puede manifestarse en
    componentes de procesos, personas,
    organizacionales y tecnológicos.
    • El riesgo de TI existe siempre y cuando
    genere un impacto en el negocio.
    Proceso de gestión de riesgos
    de TI según COBIT 2019
    Proceso de gestión de riesgos
    de TI según COBIT 2019
    Gobierno EDM03: Asegurar la optimización del riesgo.
    •Asegurar que el apetito y la tolerancia al riesgo de la
    organización se entienden, articulan y comunican, y
    que se identifica y gestiona el riesgo para el valor de la
    organización relacionado con el uso de las TI.
    Gestión APO12: Gestionar el riesgo.
    •Identificar, evaluar y reducir los riesgos relacionados
    con TI de forma continua, dentro de niveles de
    tolerancia establecidos por la Alta Dirección
    Proceso de gestión de riesgos
    de TI
    Proceso de gestión de riesgos
    de TI
    Proceso de gestión de riesgos
    de TI
    Identificación de
    riesgos
    Universo de riesgos
    Universo de riesgos
    Identificación de activos
    Identificación de activos
    Ejemplo
    Práctica 01
    • Elaborar una matriz que identifique
    los riesgos operacionales de TI de su
    institución.
    • Trabajo grupal
    Análisis de riesgos
    Análisis cuantitativo de riesgos
    • Probabilidad: Determinación y cálculo estadístico.
    • Las técnicas cuantitativas pueden utilizarse cuando existe la
    suficiente información para calcular la probabilidad y/o el impacto
    del riesgo empleando técnicas probabilísticas y no probabilísticas.
    • Una consideración importante es la disponibilidad de información
    precisa, ya sea de fuentes internas o externas, y uno de los retos
    que plantea el uso de estas técnicas es el de obtener suficientes
    datos válidos
    Análisis cualitativo del riesgo
    • Probabilidad: Estimación de la frecuencia
    de ocurrencia del riesgo, basado en juicio
    experto.
    • Impacto: Magnitud de la consecuencia si
    se materializa el riesgo.
    • Criterios: Relevancia, criticidad, cobertura,
    etc.
    Catálogo
    Amenazas
    Catálogo de amenazas:
    •Naturales.
    •No intencionales.
    •Intencionales físicas y lógicas.
    •Criterios adicionales
    Amenazas
    Ejemplo
    Ejemplo
    Vulnerabilidades
    Catálogo de vulnerabilidades:
    •Inherentes al activo.
    •Debilidades intrínsecas.
    •Carencias (Falta de…).
    •Inefectividad.
    •Fallas en controles.
    •Criterios adicionales.
    Vulnerabilidades
    Ejemplo
    Ejemplo
    Práctica 02
    • De los riesgos operaciones de TI de
    su institución identificados
    anteriormente identificar sus
    amenazas y vulnerabilidades.
    • Trabajo grupal
    Valoración de
    riesgos
    Objetivos
    • Facilitar la toma de decisiones, basada en los
    resultados del análisis, acerca de los riesgos que
    necesitan tratamiento y priorización.
    • Las decisiones se deberían tomar principalmente
    de acuerdo con los requisitos de gobierno
    (rentabilidad estratégica) y normativos.
    • También puede tener como resultado la decisión
    de no tratar el riesgo de ninguna manera
    diferente del mantenimiento de los controles
    existentes.
    Criterios para probabilidad
    Criterios para impacto
    Criterios alternos
    Ejemplo
    Criterios para la probabilidad e
    impacto
    Ejemplo
    Práctica 03
    • Valorar los riesgos identificando su
    probabilidad e impacto.
    Matriz de riesgos
    • Una matriz de riesgos es una sencilla pero
    eficaz herramienta para identificar los
    riesgos más significativos inherentes a las
    actividades de una empresa.
    • La matriz de riesgos se caracteriza por:
    – Su sencillez.
    – Su flexibilidad.
    – Su capacidad para establecer diagnósticos de
    los factores de riesgo.
    Matriz de riesgos
    Ejemplo
    Práctica 04
    • Elaborar la matriz de los riesgos
    identificados anteriormente .

    También podría gustarte