Curso Gestión de Riesgos en La Tecnología de Información

Gestin de Riesgos en la Tecnologa de Informacin
Instructor: Yves Dvila
Presentaciones
Nombre Qu hace hoy en da Qu entiende de los Riesgos de TI y cmo deben gestionarse?
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010
Introduccin
La necesidad de la Gestin de Riesgos en la Tecnologa de Informacin
Por qu empezamos a hablar de riesgos en las empresas?

Las empresas hacen bien su da-da Deben garantizar que eventos inesperados o indeseados no ocurran La gestin de riesgos ayuda a identificar y mitigar la ocurrencia de dichos eventos
Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010 4
Escndalos financieros
Enron Worldcom Parmalat Laboratorio Merk Bernard Madoff Jerome Kerviel Yasuo Hamanaka Nick Leeson Liu Qibing John Rusnak Peter Young
Por qu riesgos a nivel de TI?

TI soporta las operaciones de la empresa en tu totalidad Es una fuente de muchos posibles eventos inesperados o indeseados La gestin de riesgos de TI ayuda a identificar y mitigar la ocurrencia de dichos eventos a nivel de TI
Quienes necesitan identificar riesgos en TI?

Auditores
Auditoras de sistemas
Auditores
Gestores de Riesgos
Medir y gestionar preventivamente el riesgo en TI
Seguridad de Informacin Gerentes de Sistemas
Gerentes de TI
Riesgos en TI
Administradores de Riesgo Operativo
Identificar riesgos en seguridad de informacin
Autoevaluaciones de riesgo
Oficiales de Seg. Informacion

7
Seccin 1
El uso de la Gestin de Riesgos de TI desde la perspectiva del Gerente de Sistemas
Generalidades
No slo basta hacer un excelente trabajo al frente del departamento de TI
Ordenado Eficiente Con mejores prcticas
Es necesario prevenir la ocurrencia de amenazas que pongan en riesgo las operaciones de TI

Buen gobierno de TI
El Buen Gobierno en TI
Cobit 4.1, promovido por ISACA El gobierno de TI integra e institucionaliza las buenas prcticas para garantizar que TI en la empresa soporta los objetivos del negocio. El gobierno de TI facilita que la empresa aproveche al mximo su informacin, maximizando as los beneficios, capitalizando las oportunidades y ganando ventajas competitivas.
Fuente: ISACA
10
reas del Buen Gobierno de TI

1) Alineacin estratgica
Asegura que los servicios de TI se encuentran integrados con todos los elementos del entorno interno y externo de la organizacin
Planificacin estratgica del negocio involucrando a TI Planificacin estratgica de TI Planificacin operativa de TI Anlisis de expectativas de clientes, servicios proporcionados y riesgos

2) Entrega de valor
Identifica las iniciativas que se deben ejecutar para hacer que las cosas ocurran. Realiza la entrega de los distintos componentes de servicio garantizando una cobertura adecuada de las expectativas y objetivos planteados (tiempo, presupuestos y beneficios previstos).

3) Administracin de riesgos
Detectar de forma continuada las acciones que se deben ejecutar para prevenir que las cosas puedan ir mal.
Identificacin de riesgos (impacto en los activos, amenazas y vulnerabilidades) Mitigacin de riesgos mediante mecanismos de control, incluyendo su medicin y seguimiento
13

4) Administracin de Recursos
Disponer de las capacidades TI adecuadas a las necesidades del negocio. Incluye:
Recursos humanos de TI (competencias y conocimientos) Recursos econmicos de TI Formacin
14

5) Medicin del desempeo:
Evala de forma continua y realiza auditoras de las actividades. Monitorea las acciones para conseguir los objetivos estratgicos mediante un sistema de medida de resultados. Refleja mediante indicadores el impacto de los objetivos de TI en la organizacin, facilitando el logro de su alineamiento.
Referencias y lecturas
COBIT v4.1 (Objetivos de Control de TI) ISO/IEC 38500 (Buen gobierno de TI) Val IT (Buen gobierno de las inversiones en TI)
16
Seccin 2
El uso de la Gestin de Riesgos de TI desde la perspectiva de la Seguridad de la Informacin
Seguridad de la Informacin
Objetivos
Proteger la informacin de la organizacin ante hechos que la pongan en riesgo La informacin adopta varias formas
En papel En medios electrnicos Transmitida por correo Mostrada en videos Hablada
Aspectos a evaluar a nivel de informacin electrnica
Confidencialidad Integridad Disponibilidad Control de acceso Autenticacin Irrefutabilidad
Confidencialidad
Se refiere al hecho de que slo tienen acceso a la informacin de la red o que circulan por ella las personas autorizadas. Nadie puede acceder a la informacin sin haber sido autorizado. La identificacin de los usuarios exige autenticacin. Para mantener la informacin protegida de las personas ajenas a ella, es necesaria la encriptacin, que se lleva a cabo con medios tcnicos.
Integridad
se refiere al hecho de que los mtodos que gestionan la informacin garantizan un tratamiento sin errores de la misma. La informacin no debe cambiar mientras se est transfiriendo o almacenando Nadie puede modificar el contenido de la informacin o los archivos y an menos eliminarlos. La combinacin de autenticacin e integridad garantiza que la informacin enviada llega a su destinatario exactamente en la misma forma en que se envi
21
Disponibilidad
Se refiere al hecho de que los usuarios que necesitan la informacin y a quienes va dirigida dicha informacin siempre tienen acceso a ella. Los mtodos para garantizar la disponibilidad incluyen un control fsico y tcnico de las funciones de los sistemas de datos, as como la proteccin de los archivos, su correcto almacenamiento y la realizacin de copias de seguridad.
Control de acceso
Se refiere al hecho de que se restringe y se controla el acceso de los usuarios a la informacin de un computador. El control del acceso verifica si el usuario tiene derecho a acceder al servicio y la informacin, lo que significa que slo las personas autenticadas pueden obtener acceso. Parte del control del acceso consiste en hacer un seguimiento de los usuarios. El sistema anota en un registro las acciones realizadas por los usuarios en el sistema. El administrador del sistema tiene acceso a los registros y, en su caso, puede utilizarlos para encontrar incumplimientos intencionados o no intencionados de la seguridad de la informacin.
23
Autenticacin
Se utiliza para asegurarse de que las partes involucradas son quienes dicen ser Por ejemplo, en el comercio electrnico, al hacer trmites con las autoridades o en la comunicacin entre personas, es especialmente importante saber quin es la otra parte. Es necesario autenticar tanto el origen de las partes como la fuente de informacin.
Irrefutabilidad
Se refiere al hecho de que el remitente de la informacin no puede negar que la ha enviado y que forma parte de algn tipo de accin. Es una forma estricta de autenticacin y se lleva a cabo mediante una firma electrnica. Es un requisito previo indispensable para la realizacin de muchas acciones y servicios, como compras electrnicas a travs de redes de datos.
Aplicacin del Anlisis de Riesgo
Identificar amenazas y eventos que afecten la Seguridad de la Informacin Identificar las medidas de control o seguridad ya existentes Evaluar probabilidad e impacto, calcular el riesgo Proponer nuevas medidas de control o mejoras a las existentes usando estndares / normativas / mejores prcticas
ISO 17999:2005 / hoy ISO 27002
Fue publicado por primera vez el 2000, Se basa en el BS-7799 Brinda un conjunto de controles aplicables
ISO 27005:2008
No todos son aplicables a todos los negocios Aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos
27
11 dominios de control / 39 objetivos de control / 133 controles
Seccin 3
El uso de la Gestin de Riesgos de TI desde la perspectiva de la Administracin de Riesgos Operativos
Riesgos operativos en TI
Objetivos
Garantizar razonablemente una operacin confiable de los procesos de un departamento de TI Es importante conocer los procesos dentro del rea de TI
Estrategia del Servicio Diseo del Servicio Transicin del Servicio Operacin del Servicio Mejora continua del Servicio
Estrategia del Servicio
Facilita la base sobre la que crear una funcin de gestin del servicio eficaz Garantiza la entrega del mximo valor a los clientes del negocio consiguiendo lo mejor de ambas partes. Procesos:
Planear la estrategia y valor de la gestin del servicio dado por TI Enlazar los necesidades del negocio con TI Planeamiento e implementacin de la estrategia del servicio dado por TI
Diseo del Servicio
Un diseo eficaz contribuye a la entrega de servicios ofrecidos por TI con una calidad que cumpla o supere las expectativas del cliente. Procesos:
Disear el servicio: objetivos y partes Modelo para disear el servicio Modelos de costos y anlisis de beneficio y riesgos Implementacin del Diseo del Servicio Monitoreo y control
Transicin del Servicio
Identificar los procesos involucrados en la Transicin del Servicio a un nuevo entorno de produccin. Deben proporcionarse nuevos o modificados con el equilibrio adecuado entre rapidez, costo y seguridad mientras se garantiza que se generen las mnimas molestias para las operaciones. Proporciona y respalda la provisin rutinaria de los requisitos de la organizacin desde TI. Tambin proporciona una gua sobre la gestin de los mltiples aspectos de los cambios del servicio, y como evitar consecuencias indeseadas mientras se innova.
Operacin del Servicio
Actividades de entrega de control que ofrecen soporte a una operacin del servicio de alta calidad Procesos:
Gestin de aplicaciones Gestin de cambios Gestin de operaciones Control de procesos y funciones Prcticas escalables Monitoreo y control
Riesgos operacionales en TI
Fuente: Tecnofor
34
Metodologa
Identificar los procesos de TI
Propios del rea / Segn ITIL
Identificar actividades de cada proceso Identificar objetivos de dichas actividades Identificar riesgos que pongan en peligro el cumplimiento de los objetivos Identificar controles existentes Evaluar probabilidad e impacto, calcular el riesgo Establecer mejora en los controles
ITIL V3.0
Brinda libreras de procesos a ser implementados a nivel de TI
COBIT 4.1
Brinda un conjunto de controles aplicables
36
Seccin 4
El uso de la Gestin de Riesgos de TI desde la perspectiva de Continuidad del Negocio
Continuidad del Negocio

Objetivos
Garantizar razonablemente la preparacin de la empresa en caso de ocurrir un evento catastrfico Implica prepararse a nivel de TI
Evaluar el riesgo de que el Centro de Cmputo se afecte Identificar urgencias de recuperacin de los servicios provistos por TI segn las prioridades de recuperacin del negocio Implementacin del Centro de Cmputo Alterno Efectuar pruebas permanente Mantener actualizado el DRP
38

Evaluar riesgos que causen la paralizacin del Centro de Cmputo
Identificar amenazas y eventos Evaluar probabilidad e impacto y calcular impacto
En caso las personas se afecten En caso la infraestructura de TI se afecten En caso los recursos para la recuperacin se afecten En caso los proveedores se afecten

Identificar urgencias de recuperacin de los servicios de TI
El negocio define que urgencia de recuperacin necesita (MTPDs, RTOs) TI se alinea con las urgencias de recuperacin del negocio TI documenta los recursos mnimos para levantar las aplicaciones urgentes
Personal Recursos y registros vitales Proveedores

Disear e implementar estrategias de recuperacin
Disear Centro de Cmputo Alterno segn requerimientos de recuperacin Identificar ubicacin ms conveniente segn criterios de:
Ubicacin Seguridad Capacidad de procesamiento Conectividad Costos Valores agregados
41

Documentar el DRP (Plan de Recuperacin ante Desastres)
Establecer grupo de recuperacin
Coordinador Operador de CC Analista de BD Analista de Servidores Analista de Comunicaciones Analista de Soporte Tcnico
Documentar actividades del Antes, Durante y Despus


Efectuar pruebas permanentes
Establecer un plan de pruebas cada vez ms exigentes
Esttica Dinmica Funcional
Ejercitar a las personas

Primarios y alternos Movilizacin Simulacros mas complejos

Mantener actualizado el DRP
Existen cambios en TI
Cambio de personas Cambio de aplicaciones Cambios de plataformas Crecimiento de servicios Mayores urgencias de recuperacin demandadas por las reas usuarias
Se debe actualizar el DRP para minimizar la brecha de improvisacin

BSI25999
Estndar britnico que da mejores prcticas sobre Continuidad del Negocio Certifica en Continuidad del Negocio 10 prcticas profesionales en el tema
DRII (Disaster Recovery Insitute International)

BCI (Buiness Continuity Institute) ITIL V3.0
Certifica en Continuidad del Negocio 6 Prcticas Generalmente Aceptadas

Una de las libreras habla sobre Gestin de la Continuidad
45
Seccin 5
El uso de la Gestin de Riesgos de TI desde la perspectiva de la Auditora de Sistemas
Auditora de Sistemas
Objetivos
Medir objetivamente el grado de cumplimiento de:
La adecuada organizacin y Administracin de la Gerencia TI El adecuado procesamiento de los sistemas de informacin La integridad de la informacin generada y almacenada por los sistemas de informacin El adecuado uso de las comunicaciones Los niveles apropiados de seguridad lgica y fsica El adecuado desarrollo y mantenimiento de aplicaciones
47
Plan de Seguridad y Riesgo
Plan de Contingencias
Controles de Accesos
Auditora
Segregacin de Funciones
Desarrollo de Aplicaciones y Cambios a los programas
Aplicaciones de Sistemas
48
Plan de Seguridad y Riesgos
Verificar si por lo menos anualmente se efecta una evaluacin de riesgos Establecer una estructura administrativa de seguridad y definir claramente sus deberes y responsabilidades Mantener unas normas efectivas de seguridad y de conocimiento de todos Monitoreo efectivo al Plan de Seguridad Adiestrar al personal
Fsicos
Centro de Cmputo Facilidades del sistema de enfriamiento Terminales o consolas del computador principal Microcomputadoras reas de almacenamiento de archivos computadorizados Equipos y reas de las telecomunicaciones
Lgicos
Identificar cada usuario o computadora que est autorizada a accesar la red, datos o recursos Restringir el acceso para datos y recursos especficos de acuerdo a sus deberes y responsabilidades Producir y analizar logs del sistema y actividades de los usuarios para identificar accesos inadecuados Validar la existencia de procedimientos en sitio contra intrusos o hackers
Desarrollo de Aplicaciones y Cambios a los programas
Revisar los controles de procesamiento y las modificaciones de programas estn debidamente autorizadas Validar que se revisan y se aprueba toda aplicacin nueva Validar que se controla la librera de aplicaciones
Aplicaciones de Sistemas
Revisar el acceso limitado a las aplicaciones Revisar la existencia de normas, procedimientos y tcnicas para monitorear el uso de las aplicaciones Validar que los cambios son autorizados, probados y aprobados antes de ser implementados Validar que las instalaciones de las aplicaciones son documentadas y revisadas
Segregacin de Funciones
Deben ser identificadas las tareas incompatibles y las normas implementadas para segregar estas tareas Debe estar bien documentada la descripcin de deberes de cada uno de los puestos Validar la existencia de controles de acceso que obliguen una segregacin de deberes adecuada Controlar las actividades del personal a travs de procedimientos formales de operacin, supervisin y revisin
54
Plan de Contingencias
Evaluar las operaciones computadorizadas crticas y sensitivas e identificar los recursos de apoyo Establecer los pasos para prevenir y minimizar los daos potenciales e interrupciones Desarrollar y documentar un Plan de Contingencias adecuado Peridicamente se prueba y se actualiza el Plan de Contingencias
55
Metodologa
Planificacin
Considerar un anlisis de riesgo para identificar posibles vulnerabilidades Se puede utilizar COBIT
Competencia profesional Debido cuidado profesional Trabajo de Campo Documentacin y evidencia Presentacin de hallazgos y resultados
Seccin 6
Conceptos generales sobre riesgos
Generalidades
Riesgos a los que estamos expuestos
Por qu estamos expuestos? Qu probabilidad existe? Qu impacto existe?
Medidas preventivas que hemos considerado

Convivimos con el riesgo
58
Qu es un riesgo?
Proviene del latn risicare que significa atreverse Est relacionado con la posibilidad de que ocurra un evento que se traduzca en prdidas El riesgo es producto de la incertidumbre que existe de algo a futuro que puede o no ocurrir ante lo cual debo estar protegido
Terminologa de Riesgos
Evento de Riesgo (ocurrencia de una amenaza a futuro) Nivel de Riesgo + Efectividad del Control = Vulnerabilidad (Riesgo residual)
Probabilidad + Impacto = Riesgo
60
Evento de Riesgo
Ocasionado por una amenaza que ocasione una posible afectacin Es un evento futuro, no ha ocurrido an Ejemplo: Falla del centro de cmputo debido a un apagn
Amenaza: Apagn Evento: Falla en los equipos del CC
Probabilidad
Mide el nivel de certeza de que a futuro ocurra o vuelva a ocurrir el evento Puede ser una percepcin
Alta / Media / Baja
Puede tener base histrica

Estadstica de casos ocurridos / Proyecciones
Puede considerar la posibilidad de que ocurra

Estudios cientficos Ciclos de ocurrencia del evento
Impacto
Mide el nivel de afectacin en el bien / servicio / proceso en caso el evento ocurra Puede ser una percepcin
Alta / Media / Baja
Puede tener base histrica

Registro de casos pasados
63
Riesgo
Es el nivel de exposicin que existe en el momento de la evaluacin Combina la probabilidad y el impacto Puede ser medido cualitativamente
Percepcin
Puede ser medido cuantitativamente

Valores histricos
64
Control
Es una medida que existe o se planea implementar Minimiza el nivel de riesgo
Orientado a minimizar la probabilidad Orientado a minimizar el impacto
Pueden ser
Procedimientos Dispositivos
Estados de medicin del riesgo

Riesgo puro o inherente
Sin controles existentes
Riesgo residual o controlado

Con controles existentes
Riesgo residual deseado

Con controles existentes Considerando tambin los controles sugeridos a implementar
Tratamiento del riesgo

Evitar
Tratar de eliminar la causa raz
Compartir
Transferir el riesgo con un tercero
Reducir
Implementar controles o mejorarlos
Aceptar
No hacer nada
Tipos de controles
Por su nivel de automatizacin
Manuales Automticos
Por su tiempo de utilizacin

Preventivos Detectivos
68
Ejercicio grupal
Dar no menos de 10 ejemplos de:
Evento Probabilidad, Impacto, Riesgo Controles manuales y automticos Controles preventivos y detectivos Evitar el riesgo Compartir el riesgo Reducir el riesgo Aceptar el riesgo
Seccin 7
Anlisis de Riesgos
Generalidades
Como mido el riesgo si todava no pasa nada Dar ejemplos cualitativos
Cmo evitar la subjetividad?
Dar ejemplos cuantitativos

Cmo evitar la complejidad y la falta de informacin?
71
Probabilidad con Impacto

El nivel de riesgo se mide en funcin a
Probabilidad Impacto
Puede ser medido

Cualitativamente
Alto / Medio / Bajo
Cuantitativamente
US$20,000 al ao
Ejemplo de Probabilidad
73
Ejemplo de Impacto
74
Mapa de riesgo cualitativo
75
Riesgo inherente(RI), residual (RR), residual deseado (RRD)

RR I RI
3,15
RR-IP
RR-P
RRD
6,12, 14,17,19 21,23

76
Ejemplo de Administracin del riesgo
77
Ejercicio: Riesgo cualitativo

Identificar eventos / amenazas que afecten el buen gobierno de TI Criterios de votacin Se convocan a los expertos Se considera una percepcin de Nivel de Impacto y Nivel de Probabilidad
78
Riesgo Cuantitativo
Basndose en observaciones histricas se modela la distribucin de las prdidas que ha tenido la organizacin Debe ajustarse la curva de distribucin de probabilidades mas adecuada al valor de las perdidas histricas
Distribucin Normal / Distribucin Lognormal / Distribucin Exponencial / Distribucin Weibull / Distribucin Gamma / Distribucin Beta / Distribucin Emprica
Riesgo Cuantitativo
Fuente: Universidad Nacional de Colombia
80
Riesgo Cuantitativo
Fuente: Universidad Nacional de Colombia
81
Seccin 8
COSO ERM El modelo para Gestionar Riesgos
Historia
El nombre de COSO proviene del Committee of Sponsoring Organizations of the Treadway Commission En 1992, public un informe denominado Internal Control Integrated Framework (IC-IF), conocido tambin como COSO I Adoptado por el sector pblico y privado en USA, por el Banco Mundial y el BID, y se extiende rpidamente por todo Latino Amrica
83
Historia
Debido al aumento de preocupacin por la administracin de riesgos, The Committee of Sponsoring Organisations of the Treadway Commission determin la necesidad de la existencia de un marco reconocido de administracin integral de riesgos El proyecto se inici en enero de 2001 con el objeto de desarrollar un marco global para evaluar y mejorar el proceso de administracin de riesgo, reconociendo que muchas organizaciones estn comprometidas en algunos aspectos de la administracin de riesgos
Historia
En septiembre de 2004, se publica el informe denominado Enterprise Risk Management Integrated Framework, el cual incluye el marco global para la administracin integral de riesgos
85
Objetivo del COSO ERM

Marco global para evaluar y mejorar el proceso de administracin de riesgo, para lo cual provee:
Una definicin de Enterprise Risk Management - ERM (Gestin de Riesgo Empresarial) Los principios y componentes crticos de un efectivo proceso de ERM Criterios para determinar si la administracin de riesgo es efectiva
Esquema COSO ERM
87
Esquema COSO ERM
88
Qu es ERM
Proceso continuo es un medio para un fin, no un fin en si mismo Aplicado en toda la organizacin en cada nivel y unidad Diseado para identificar eventos potenciales y gestionar riesgos dentro del apetito al riesgo Provee seguridad razonablelogro de los objetivos estratgicos, operacionales, presentacin de reporte y cumplimiento
Efectuado por el personal en todos sus niveles (No slo polticas)
Beneficios del ERM
90
Seccin 9
COBIT 4.1
Acerca de ISACA
Fundada en 1969, con presencia en160 pases, desarrolla estndares internacionales de auditora y control de sistemas de informacin Provee certificaciones como
Certified Information Systems Auditor (Auditor Certificado en Sistemas de Informacin) (CISA), Certified Information Security Manager (Gerente Certificado de Seguridad de la Informacin) (CISM), Certified in the Governance of Enterprise IT (Certificado en Gobierno de Tecnologas de la Informacin Empresarial) (CGEIT) Certified Risk and Information Systems Control (Certificado en Riesgo y Control de Sistemas de Informacin) (CRISC).
92
COBIT 4.1
COBIT se enfoca en qu se requiere para lograr una administracin y un control adecuado de TI, y se posiciona en un nivel alto. COBIT ha sido alineado y armonizado con otros estndares y mejores prcticas ms detallados de TI COBIT acta como un integrador de todos estos materiales gua, resumiendo los objetivos clave bajo un mismo marco de trabajo integral que tambin se alinea con los requerimientos de gobierno y de negocios
COBIT se orienta al negocio
Fuente: ISACA
94
COBIT organiza el rea de TI
Fuente: ISACA
95
COBIT est orientado a procesos

4 Dominios de COBIT:
Fuente: ISACA
96
Modelo COBIT
97
Referencias y Lecturas
COBIT 4.1 en espaol http://www.isaca.org/KnowledgeCenter/cobit/Documents/cobiT4.1spa nish.pdf
98
Seccin 10
Val IT
Val IT
El nivel de inversin en TI es significativo y sigue aumentando y ya no se focaliza en implementar soluciones de TI. El valor de negocio lo genera lo que hacen las organizaciones con TI y no la tecnologa en s. En COBIT, se establece un marco global para la gestin y entrega de servicios de alta calidad basados en la tecnologa de informacin. Se fijan mejores prcticas para los medios de contribuir al proceso de creacin de valor. En Val IT, ahora se aaden las mejores prcticas para el fin, proporcionando as los medios para medir, monitorizar y optimizar de forma inequvoca el rendimiento, tanto financiero como no financiero, de la inversin en TI.
Trminos clave para Val IT

ValorEl(los) resultado(s) final(es) de negocio esperado(s) de una inversin de negocio impulsada por TI, donde dichos resultados pueden ser financieros, no financieros o una combinacin de ambos. CarteraUn grupo de programas, proyectos, servicios o activos seleccionados, gestionados y monitoreados para optimizar el rendimiento del negocio. ProgramaUn grupo estructurado de proyectos interdependientes que son tanto necesarios como suficientes para conseguir el resultado del negocio y entregar valor. Estos proyectos incluyen, entre otros, cambios en la naturaleza del negocio, procesos de negocio, los trabajos realizados por personas, as como las competencias necesarias para realizar el trabajo, la tecnologa impulsora y la estructura organizacional
101
Trminos clave para Val IT

ProyectoUn conjunto estructurado de actividades relacionadas con la entrega a la empresa de una capacidad definida (que es necesaria pero NO suficiente para conseguir un resultado de negocio requerido), basado en un plazo y presupuesto acordados. ImplementarAbarca el ciclo de vida econmico completo del programa de inversin hasta su baja, o sea, cuando se haya realizado todo el valor esperado de la inversin o cuanto valor se considere posible, o se haya determinado que el valor esperado no se puede realizar y se termina el programa.
102
Dominios de Val IT
103
Val IT en espaol http://www.isaca.org/KnowledgeCenter/Val-IT-IT-Value-Delivery/Documents/VAL-IT-Framework-SP.pdf
104
Seccin 11
Risk IT
Risk IT
RISK IT establece las mejores prcticas con el fin de establecer un marco para las organizaciones para identificar, gobernar y administrar los riesgos asociados a su negocio. Proporciona beneficios tangibles de negocios, por ejemplo, un menor nmero de eventos inesperados y fracasos, el aumento de la calidad de la informacin, una mayor confianza de las partes interesadas, menos preocupaciones de carcter regulatorio y nuevas iniciativas para el negocio apoyadas por aplicaciones innovadoras
106
Relacin entre Cobit, Val IT y Risk IT
Fuente: ISACA
107
Riesgos de TI
Fuente: ISACA
108
Principios de los Riesgos de TI
Fuente: ISACA
109
Escenarios de Riesgos de TI
Fuente: ISACA
110
Escenarios de Riesgos de TI
Fuente: ISACA
111
Risk IT en espaol http://www.isaca.org/KnowledgeCenter/Research/Documents/Risk-ITframework-spanish.pdf
112

Curso Gestión de Riesgos en La Tecnología de Información

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Curso Gestión de Riesgos en La Tecnología de Información

Uploaded by

Copyright:

Available Formats

Gestin de Riesgos en la Tecnologa de Informacin

Instructor: Yves Dvila

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Por qu empezamos a hablar de riesgos en las empresas?

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Por qu riesgos a nivel de TI?

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Quienes necesitan identificar riesgos en TI?

Seguridad de Informacin Gerentes de Sistemas

Administradores de Riesgo Operativo

Identificar riesgos en seguridad de informacin

Oficiales de Seg. Informacion

Es necesario prevenir la ocurrencia de amenazas que pongan en riesgo las operaciones de TI

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

reas del Buen Gobierno de TI

reas del Buen Gobierno de TI

reas del Buen Gobierno de TI

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

reas del Buen Gobierno de TI

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

reas del Buen Gobierno de TI

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

11 dominios de control / 39 objetivos de control / 133 controles

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Continuidad del Negocio

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Continuidad del Negocio

Continuidad del Negocio

Continuidad del Negocio

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Continuidad del Negocio

Documentar actividades del Antes, Durante y Despus

Continuidad del Negocio

Ejercitar a las personas

Continuidad del Negocio

Se debe actualizar el DRP para minimizar la brecha de improvisacin

DRII (Disaster Recovery Insitute International)

Certifica en Continuidad del Negocio 6 Prcticas Generalmente Aceptadas

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Desarrollo de Aplicaciones y Cambios a los programas

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Conceptos generales sobre riesgos

Medidas preventivas que hemos considerado

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Probabilidad + Impacto = Riesgo

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Puede tener base histrica

Puede considerar la posibilidad de que ocurra

Puede tener base histrica

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Puede ser medido cuantitativamente

Gestin de Riesgos de TI - Instructor: Yves Dvila - 2010

Estados de medicin del riesgo

Riesgo residual o controlado

Riesgo residual deseado

Tratamiento del riesgo