Documentos de Académico
Documentos de Profesional
Documentos de Cultura
METODOLOGÍAS DE EVALUACIÓN DE
RIESGOS
Grupo 3:
Arellano Juan
Enríquez Adriana
Posso Juan
Rivera Willian
Vallejo Valery
Verduga Cristian
NIST 800-37V2
Nombre del profesor "Coloque desde pie de página"
2
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
NIST 800-37V2
3
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
PASOS Y ESTRUCTURA
4
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
FASE DE PREPARACIÓN
5
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
OBJETIVOS PRINCIPALES DE LA
FASE DE PREPARACIÓN
Facilitar la comunicación efectiva entre los líderes
superiores y ejecutivos a nivel de organización.
6
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
OBJETIVOS PRINCIPALES DE LA
FASE DE PREPARACIÓN
7
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
PRINCIPALES OBJETIVOS DE LA
ACTUALIZACIÓN
Proporcionar una vinculación y comunicación más estrecha entre los procesos y
actividades de gestión de riesgos de la organización.
8
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
METODOLOGÍAS DE EVALUACIÓN DE RIESGOS
9
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
OCVTAVE
10
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
OCTAVE ALLEGRO
La metodología OCTAVE está dirigida principalmente a las
personas responsables de administrar los riesgos operativos de
una organización.
11
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
METODOLOGÍAS DE EVALUACIÓN DE RIESGOS
Allegro contiene un proceso de ocho pasos dividido en cuatro categorías que permite
a las organizaciones identificar, analizar, evaluar y mitigar los riesgos potenciales.
12
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
13
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
La metodología OCTAVE
Uno de los factores más
Allegro desarrollada por Las metodologías
críticos para realizar con
CERT incluye OCTAVE brindan una
éxito las metodologías
orientación, hojas de perspectiva única que
OCTAVE es obtener el
trabajo y cuestionarios implica la colaboración
patrocinio de la alta
necesarios para realizar entre la identificación,
dirección de la
una evaluación OCTAVE evaluación y mitigación.
organización.
Allegro.
14
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
METODOLOGÍAS DE EVALUACIÓN DE RIESGOS
15
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
METODOLOGÍAS DE EVALUACIÓN DE RIESGOS
Capítulo 1
INTRODUCCIÓN AL MARCO DE
RIESGOS DE TI
16
TEMA
TEMA
TEMA
GESTIÓN DEConcienciación
TICS Y UNIDADES
INTRODUCCIÓN de AL INFORMÁTICAS
MARCO
riesgos, (SIC-826)
DE RIESGOS
informes DE TI
y comunicación
El Marco de riesgos de TI proporciona una metodología estructurada para identificar, gestionar y optimizar estos riesgos. Se
alinea con marcos de Gestión de Riesgos Empresariales (GRE) como COSO y ISO 31000, pero no requiere su
implementación previa.
Aprovechar un programa de GRE existente es beneficioso, especialmente cuando el riesgo de I&T puede impactar en todo
el negocio.
El Marco de riesgos de TI reconcilia diferencias entre marcos genéricos y específicos de dominio, abarcando desde la cultura de
dirección hasta aspectos operativos.
Su aplicación ofrece beneficios tangibles, como menor riesgo operativo, mayor calidad de información y confianza de las
partes interesadas
17
TEMA
TEMA
TEMA
GESTIÓN DEConcienciación
TICS Y UNIDADES
INTRODUCCIÓN de AL INFORMÁTICAS
MARCO
riesgos, (SIC-826)
DE RIESGOS
informes DE TI
y comunicación
DEFINICIONES Y TERMINOLOGÍA
Negocio y/o misión: Propósito
Organización: Estructura o Gobierno: Marco y sistema
Empresa: Grupo de personas estratégico de la organización,
disposición de componentes para evaluar opciones,
con un propósito común, en el estableciendo objetivos
interrelacionados de una establecer dirección estratégica
contexto de organizaciones estratégicos, ya sea comercial o
empresa, definidos por un y priorizar metas mediante
diversas. con objetivos gubernamentales,
alcance específico. decisiones adecuadas.
militares o sin fines de lucro.
I&T (Información y
Terminología: Puede diferir de
Tecnología):En general, abarca TI (Tecnologías de la Aplicación de
otras guías, pero se integra y
toda información y tecnología Información): En sentido Conceptos: Aplica conceptos de
amplía términos y conceptos
relacionada, ecosistemas estricto, se refiere a una función estándares industriales y
comunes de gestión de riesgos
electrónicos y digitales, o departamento, interno o desarrolla conceptos clave de
de la industria, vinculando
incluyendo seguridad de la externo, que proporciona otros marcos de gestión de
estructuras clave con
información, ciberseguridad y soporte tecnológico. riesgos de I&T.
estándares conocidos.
procesos asociados.
18
TEMA
TEMA
INTRODUCCIÓN
GESTIÓN DE TICS AL INFORMÁTICAS
Y UNIDADES MARCO DE RIESGOS DE TI
(SIC-826)
19
TEMA
TEMA
GESTIÓN DEINTRODUCCIÓN
TICS Y UNIDADES
METODOLOGÍAS AL INFORMÁTICAS
DEMARCO DE(SIC-826)
DE RIESGOS
EVALUACIÓN DE TI
RIESGOS
ANTECEDENTES
La seguridad de la información busca
El riesgo de Tecnología de la Información
mantener la confidencialidad, integridad y
(I&T) tiende a surgir en puntos críticos de
disponibilidad de la información, incluyendo
interconexión, especialmente en accesos a
factores como no repudio, privacidad y
Internet, siendo estos nodos esenciales
sensibilidad. El riesgo de ciberseguridad a
para los negocios y la misión, pero también
menudo se relaciona con otros tipos de
conllevando los mayores riesgos de
riesgos, ya que la tecnología es el vector
ciberseguridad y seguridad de la
principal para la materialización del
información.
ciberriesgo.
20
TEMA
TEMA
GESTIÓN DEINTRODUCCIÓN
TICS Y UNIDADES
METODOLOGÍAS AL INFORMÁTICAS
DEMARCO DE(SIC-826)
DE RIESGOS
EVALUACIÓN DE TI
RIESGOS
La audiencia objetivo incluye altos ejecutivos, miembros del consejo, directores de TI, directores de TO,
profesionales de gestión de riesgos y partes interesadas externas.
El riesgo de I&T se extiende a todo el universo de riesgos empresariales, como riesgo estratégico, ambiental, de
mercado, crediticio, operativo y de cumplimiento.
Aunque en la industria financiera se considere a menudo como un subtipo del riesgo operativo, el Marco de
Riesgos de TI lo trata como un continuo coextensivo con otras categorías principales de riesgo, evitando su
confinamiento limitado a un departamento y promoviendo una evaluación y concienciación más completa del
riesgo.
21
PLAN DE RECUPERACIÓN DE DESASTRESTEMA
(DRP)
CISM
INTRODUCCIÓN AL MARCO DE RIESGOS DE TI
22
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
METODOLOGÍAS DE EVALUACIÓN DE RIESGOS
CAPÍTULO 2
23
TEMA
TEMA
GESTIÓN DE TICS Y UNIDADES
PRINCIPIOS INFORMÁTICAS
DEL MARCO (SIC-826)
DE RIESGOS DE TI
24
TEMA
TEMA
GESTIÓN DE TICS Y UNIDADES
PRINCIPIOS DELINFORMÁTICAS (SIC-826)
MARCO DE RIESGOS DE TI
• Un gobierno corporativo eficaz del riesgo relacionado con la Tecnología de la Información (I&T) se
alinea con los objetivos del negocio, tratando el riesgo de I&T de manera integral y multifuncional.
Contribuye a los resultados del negocio, respaldando los objetivos y expresando los riesgos en
términos de impacto y probabilidad en la estrategia. La gestión del riesgo de I&T busca avanzar en el
negocio, considerando la vinculación de procesos con aplicaciones, activos de I&T y dependencias
de terceros.
• El gobierno corporativo eficaz del riesgo relacionado con la Tecnología de la Información (I&T) se
alinea integralmente con la Gestión de Riesgos Empresariales (GRE) global, donde los objetivos del
negocio o la misión y el apetito de riesgo están claramente definidos. Los procesos de toma de
decisiones consideran todas las posibles consecuencias y oportunidades del riesgo de I&T. El apetito
de riesgo, reflejando la política de gestión de riesgos y las pautas de ejemplaridad, influye en la
cultura empresarial. La evaluación del riesgo de I&T se coordina y consolida en toda la empresa,
abarcando aspectos como ciberseguridad y seguridad de la información.
•
El gobierno corporativo efectivo del riesgo relacionado con la Tecnología de la Información (I&T)
busca un equilibrio entre costos y beneficios, priorizando y abordando el riesgo de I&T de acuerdo
con el apetito y tolerancia al riesgo establecidos. Las respuestas al riesgo se implementan
considerando el análisis de coste/beneficio, evaluando alternativas y priorizando riesgos con mayor
impacto potencial en los objetivos empresariales. Se aprovechan los controles y acciones de
respuesta existentes para abordar el riesgo de manera eficiente.
25
TEMA
TEMA
GESTIÓN DE TICS Y UNIDADES
PRINCIPIOS DELINFORMÁTICAS (SIC-826)
MARCO DE RIESGOS DE TI
•
La gestión efectiva del riesgo relacionado con la Tecnología de la Información (I&T) fomenta la comunicación
abierta y ética mediante el intercambio libre de información precisa, oportuna y transparente sobre el riesgo de
I&T, influyendo en las decisiones relacionadas con este. Los métodos y la cultura de gestión de riesgos se
integran en toda la empresa, traduciendo las conclusiones técnicas en términos comerciales y financieros
comprensibles. La información sobre incidentes y las respuestas asociadas se comunican abiertamente a
partes interesadas, autoridades gubernamentales, reguladoras, clientes y, si es necesario, al público.
• La gestión eficaz del riesgo relacionado con la Tecnología de la Información (I&T) establece pautas de
ejemplaridad al tiempo que impone la rendición de cuentas personal para operar dentro de niveles bien
definidos y aceptables de tolerancia. La participación activa de los propietarios de negocios, el consejo de
administración y la dirección ejecutiva se garantiza en la gestión de riesgos, con una clara asignación de la
propiedad del riesgo. Las aceptaciones de riesgo son comprendidas y respaldadas por líderes de negocio
adecuados, documentadas claramente en la información sobre apetito de riesgo, tolerancias, cultura, políticas
y guías para su ejecución.
•
La gestión efectiva del riesgo de Tecnologías de la Información (I&T) promueve la mejora continua y se integra
en las actividades diarias de la empresa. Anticipándose a cambios internos, en el panorama de riesgos, en
leyes y regulaciones, así como en la evolución de la información y la tecnología, la empresa se prepara
dinámicamente. Los métodos de evaluación del riesgo, escalas y criterios son consistentes en toda la
organización, aplicándose a la identificación de procesos clave y riesgos asociados, impactos en los objetivos,
indicadores de riesgo fuera de tolerancia, monitoreo de controles, acciones preventivas, respuesta a eventos
adversos, y mitigación de sesgos en la medición del riesgo cuantitativo siempre que sea posible.
26
TEMA
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
COMPONENTES DEL MARCO DE RIESGOS DE TI Y LA ALINEACIÓN CON COBIT
CISM
CAPÍTULO 3
Componentes
Identificación de riesgos
• Este componente se centra en la identificación de los riesgos de TI. que pueden afectar a la organización.
Involucra la identificación de activos de TI, la evaluación de amenazas y vulnerabilidades que podrían
impactar estos activos, y la evaluación de la probabilidad y el impacto asociados a esos riesgos.
Evaluación de riesgos
Respuesta al riesgo
• Este componente implica la implementación de medidas de mitigación para reducir los riesgos de TI a un
nivel aceptable para la organización. Esto puede incluir la implementación de controles de seguridad, la
transferencia de riesgos a terceros o la aceptación de riesgos residuales.
Supervisión y revisión
• Supervisión y revisión: Este componente implica la supervisión y revisión continua de los riesgos de TI y
las medidas de mitigación implementadas para garantizar que sigan siendo efectivas y adecuadas para la
organización.
28
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
LA ALINEACIÓN CON COBIT
29
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
LA ALINEACIÓN CON COBIT
30
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
LA ALINEACIÓN CON COBIT
31
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)TEMA
CONCEPTOS ESENCIALES DEL GOBIERNO DE RIESGOS
CISM
CAPÍTULO 4
CONCEPTOS
ESENCIALES DEL GOBIERNO
DE RIESGOS
32
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
CONCEPTOS ESENCIALES DEL GOBIERNO DE RIESGOS
CONCEPTOS
Apetito de riesgo, tolerancia al riesgo y capacidad de riesgo
Cultura de riesgo
33
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)TEMA
CISM
CONCIENCIACIÓN DE RIESGOS, INFORMES Y COMUNICACIÓN
CAPÍTULO 5
ESTABLECIMIENTO
COMPRENSIÓN DEL
DEL CONTEXTO Y
FLUJO DE TRABAJO:
ALCANCE:
Necesidad de definir el
alcance de las medidas
y establecer criterios
de evaluación
35
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)TEMA
CISM
CONCIENCIACIÓN DE RIESGOS, INFORMES Y COMUNICACIÓN
CAPÍTULO 6
36
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
COMPONENTES DEL MARCO DE RIESGOSCISM
DETI
Análisis de Riesgos
37
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
COMPONENTES DEL MARCO DE RIESGOSCISM
DETI
38
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)TEMA
CONCIENCIACIÓN DE RIESGOS, INFORMES Y COMUNICACIÓN
CISM
CAPÍTULO 7
CONCIENCIACIÓN DE RIESGOS,
INFORMES Y COMUNICACIÓN
39
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)TEMA
CISM
CONCIENCIACIÓN DE RIESGOS, INFORMES Y COMUNICACIÓN
IDENTIFICABLE RECONOCIDO
40
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)TEMA
CISM
CONCIENCIACIÓN DE RIESGOS, INFORMES Y COMUNICACIÓN
41
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)TEMA
CISM
CONCIENCIACIÓN DE RIESGOS, INFORMES Y COMUNICACIÓN
42
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)TEMA
CONCIENCIACIÓN DE RIESGOS, INFORMES Y COMUNICACIÓN
CISM
CAPÍTULO 8
FUNDAMENTOS DE LA RESPUESTA
AL RIESGO
43
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
FUNDAMENTOS DE LA RESPUESTA AL RIESGO
Compartición o
Evitación del Mitigación del
transferencia de
riesgo riesgo
riesgos.
Automatizar los
disparadores y las
alertas.
Introducir controles.
44
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
FUNDAMENTOS DE LA RESPUESTA AL RIESGO
Aceptación Agregación
del riesgo de riesgos
Combinar riesgos
No se adoptan individuales a efectos
medidas en relación Nombrede
delinformes
profesor "Coloque
o paradesde pie de página"
a un riesgos. obtener un perfil de
riesgos integrado.
Se acepta la pérdida
si ocurre.
45
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
FUNDAMENTOS DE LA RESPUESTA AL RIESGO
Selección de la respuesta
y priorización de riesgos
Nombre del profesor "Coloque desde pie de página"
Capacidad
para
Otras
Importancia implementar Efectividad
Coste de la inversions Otras
del riesgos y mantener de la
respuesta relacionadas respuestas
abordado. la respuesta respuesta.
al IT.
a lo largo del
tiempo.
46
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
METODOLOGÍAS DE EVALUACIÓN DE RIESGOS
47
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
METODOLOGÍAS DE EVALUACIÓN DE RIESGOS
MAGERIT
48
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
OBJETIVOS DE MAGERIT
Concienciar a los responsables de las organizaciones de información
de la existencia de riesgos y de la necesidad de gestionarlos.
49
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
ESTRUCTURA DE MAGERIT
50
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
51
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
PILAR
52
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
METODOLOGÍAS DE EVALUACIÓN DE RIESGOS
53
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
TOGAF
54
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
METODOLOGÍAS DE EVALUACIÓN DE RIESGOS
ESTRUCTURA
55
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
56
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
57
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
Las descargas del estándar TOGAF, incluidos los archivos PDF imprimibles,
están disponibles bajo licencia en el sitio web de información de TOGAF
58
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
METODOLOGÍAS DE EVALUACIÓN DE RIESGOS
COMPARATIVA
59
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
METODOLOGÍAS DE EVALUACIÓN DE RIESGOS
COMPARATIVA
60
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
TEMA
CISM
METODOLOGÍAS DE EVALUACIÓN DE RIESGOS
CONCLUSIÓN
Nombre del profesor "Coloque desde pie de página"
61
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
CISM
METODOLOGÍA ESCOGIDA:
Nombre del profesor "Coloque desde pie de página"
RISK IT
62
PLAN DE RECUPERACIÓN DE DESASTRES (DRP)
CISM
Enfoque basado
únicamente en It
Es muy fácil
adaptarlo a
Se basa en el ciclo
diferentes entornos
de vida de riesgos
ajustado su
enfoque
63
TEMA
GESTIÓN DE METODOLOGÍAS
TICS Y UNIDADES
DEINFORMÁTICAS
EVALUACIÓN DE(SIC-826)
RIESGOS
CONCLUSIONES
Cada metodología tiene su propio enfoque, fortalezas y áreas de
énfasis. Mientras Risk IT se enfoca en la integración con la
estrategia empresarial y COBIT, NIST se destaca por su enfoque
detallado en estándares y directrices de seguridad, OCTAVE se
centra en la evaluación de riesgos y MAGERIT en el análisis y
gestión de riesgos en sistemas de información
64