Marcos de Riesgos Ti

5/13/2018 Marcos de Riesgos Ti - slidepdf.com

http://slidepdf.com/reader/full/marcos-de-riesgos-ti 1/15

MARYUDY LEGARDA

JOHN ROLDAN

EDISON AVALOS

ALEJANDRO SIERRA

JIMMY MOSQUERA

ARCOS DE RIESGOS DE TI- FINALIDAD



MARCOS DE RIESGOS TI

Se trata de un documento que forma parte de la iniciativa de los Riesgos de TIde ISACA, que se dedica a ayudar a las organizaciones a gestionar los riesgosrelacionados con TI.

Para el desarrollo de este documento fue consultado con un experimentadoequipo de profesionales y expertos, junto con las nuevas prácticas y

metodologías empleadas para la gestión eficaz de los riesgos de TI.

Por tanto, RISK IT es un marco basado en un conjunto de principios y guías,procesos de negocio y directrices de gestión que se ajustan a estos principios.

El marco de los riesgos de TI, RISK IT, se complementa con COBIT, queproporciona un marco integral para el control y la gestión de lasorganizaciones de soluciones y servicios de TI. Aunque COBIT establece lasmejores prácticas para la gestión de riesgos proporcionando un conjunto decontroles para mitigar los riesgos de TI, RISK IT establece las mejoresprácticas con el fin de establecer un marco para las organizaciones para

identificar, gobernar y administrar los riesgos asociados a su negocio.



MARCOS DE RIESGOS TI

´ El marco de riesgos de TI es utilizado para ayudar a implementar el gobierno

de TI, y las organizaciones que han adoptado (o están planeando adoptar)

COBIT como marco de su gobierno de TI pueden utilizar RISK IT para mejorar

la gestión de sus riesgos.

´ El Marco de Riesgos TI llena el vacío que existe entre los marcos de gestión

de riesgos genéricos y los detallados (relacionados principalmente con la

seguridad). Proporciona una visión comprensiva, de extremo a extremo, de

todos los riesgos relacionados con el uso de IT y un tratamiento a fondo de su

gestión, desde los aspectos relacionados con la cultura hasta los

operacionales

´ este marco ayudará a las empresas a entender y manejar todos los tipos de

riesgos TI significativos, basándose en los riesgos existentes dentro de los

componentes relacionados con los marcos actuales de ISACA, como por

ejemplo, COBIT y Val IT.



ADMINISTRACION DE RIESGOS

´ DEFINICION

´ Es un proceso interactivo e interactivo, basado en el conocimiento y manejo

de los riesgos y sus impactos con el propósito de mejorar la toma de

decisiones empresariales.

´ Aplicable a cualquier situación donde un resultado no deseado oinesperado puede ser significativo o donde se identifiquen oportunidades



BENEFICIOS

´ Facilita el logro de los objetivos de la organización

´ Hace la organización mas segura y consciente de su organización

´ Fortalece la cultura de autocontrol

´ Mayor estabilidad antes cambios del entorno

´ Mejoramiento continuo del sistema de control interno



ADMINISTRACION DE RIESGOS TI

Porque ?´ Hoy la mayoría soportan sus procesos tecnológicos con TI

´ Se ha generado un alto dependencia de la tecnología

´ Se ha incrementado un número de ataques de TI

´ Es un medio por el cual la administración puede concretarobjetivos de control sobre TI



IDENTIFICAR RIESGOS

´ 1. Establecer un marco especifico de administración de

riesgos.

Entender la actividad o parte de la organización para

la cual se aplicara el proceso de administración de

riesgos.

2. Desarrollar criterios de evaluación de riesgos

3. Identificar estructura



IDENTIFICAR RIESGOS

´ 4. Identificar riesgos : responder que puede ocurrir ?

identificar los eventos que los elementos de la

estructura

´ 5. Identificar causas

Como y porque pueden ocurrir los evento identificados

como riesgos.



´ ANÁLISIS Y GESTIÓN DE RIESGOS

Realizar un Análisis de Riesgos formal en la organización. Realizar el Análisis de Riesgos en base a una metodología

documentada y aprobada formalmente.

El Análisis de Riesgos debe contemplar los activos,

vulnerabilidades, las amenazas, los impactos y la evaluación delriesgo.

Incluir en el análisis de riesgos todos los activos incluidos en elalcance del SGSI y considerar las relaciones externas.



Aprobar por la dirección los riesgos residuales.

Establecer criterios formales para clasificar el riesgo. Establecer una clasificación de riesgos y aprobar por la

dirección las decisiones sobre cada uno de ellos (asumir,

reducir, eliminar o transferir).

L

os riesgos deben quedar a un nivel aceptado por la dirección. Tener en cuenta principios de proporcionalidad en la selección

de controles considerando todos los costes asociados.

Cada control debe tener asociada una forma objetiva de

verificar su eficacia.



PROYECCIÓN DEL TEXTO

´ El documento describe, todo lo relacionado con los riesgos de TI,

características, información relevante de todo este proceso y más, estamos

totalmente de acuerdo con el autor ya que un marco de riesgo de TI cuando

es creado en una empresa permite y facilita su identificación, evaluación

administración, con el fin de comprender el riesgo de las situaciones queafectan al negocio, también este documento nos muestra la relación que

existe entre el riesgo de TI y el estándar COBIT, aunque más que una

relación podríamos hablar de complemento mutuo al momento de la

implementación de un Gobierno de TI.



´ También nos parece importante resaltar una parte del documento cuando

nos hablan de los niveles de madurez ya que este permite identificar los

síntomas, y posibles estados del futuro. Es importante tener claro a quiénva dirigido el marco de riesgos de TI y sus directrices, es con el fin de

identificar responsables que se hagan cargo del monitoreo de los riesgos de

la organización. Otro de los puntos de vista a tener en cuenta después de

conocer la importancia de evaluar el riesgo de TI en una organización, son

las ventajas que se generan ante el negocio y la competencia pero más son

las ventajas de forma interna a nivel organizacional ya que se tienen basespara una visión precisa, del presente y del futuro sobre los riesgos

relacionados con TI y también se resalta que ello permite aprovechar mejor

la utilización de los recursos de la empresa y a tener un perfil de riesgo mas

completo



IDEAS QUE SURGIERON

´ Los riesgos de TI no son puramente una cuestión

técnica. A pesar de que se necesita de expertos en la

materia para entender y gestionar los aspectos de los

riesgos de TI, el conocimiento sobre la gestión delnegocio es lo más importante.



PREGUNTAS

´ ¿Cual es mi posición frente al texto?

Después de haber leído el documento me parece muy apropiado decir que las mayoría de los

riesgos en la empresas son por la mala preparación y planeación de sus procesos en la

implementación de TI en la empresa, y que TI, trae riesgos para las organizaciones pero que los

beneficios son más que los riesgos.

´

¿Qué relación tiene el texto con mi cotidianidad?Podría de sir que hay mucha relación por que en las empresas donde trabajamos se mantienen

desarrollando constantemente muchos proyectos de mejoras en la empresa y con unos niveles de

riesgos muy altos.



Texto a citar:

´ Romper los riesgos de TI por líneas de negocio, producto,

servicios y procesos. Identificar posibles en cascada y los tipos

de amenazas y analizar la causa-efecto probable de la

concentración de riesgos y correlación. Entender como las

capacidades de TI contribuyen a la capacidad de empresa para

añadir valor y soportar la perdida. Comparar la percepción de

la gerencia de la importancia de las capacidades de TI a su

estado actual. Considere cómo las estrategias de TI

Marcos de Riesgos Ti

Documents

Transcript of Marcos de Riesgos Ti