Gestin de Riesgos de TI

Reconocer:
*Jefatura, rea de desarrollo, de produccin y soporte. Dentro del rea de TI
*Auditora, control, oficial de seguridad, gestin de riesgos y continuidad Fuera del rea de TI
- Control, auditora y seguridad ISACA
Gobierno de las TI Apoyan como una herramienta a que los procesos de negocio se puedan
desarrollar.
Alineamiento identificar el tipo de empresa.
-

o
o
o
o
o
o
o

POLITICAS DEL NEGOCIO

DIRECCIN
Misin/Visin
Obj/Metas
Estrategias

DIAGANSTICO

Si defines una misin/visin a modo de diagnstico debo definir:

Cliente/Usuarios
Servicios/Producto
Procesos
Tecnologa
RRHH
DE/Proveedores
mbito Actuacin
**La TI se van a implementar por que responden a una necesidad.

Para los Objetivos se define:

o
o
o
o
o
o
o

Eficacia
Eficiencia
Efectividad
Productividad
Control
Seguridad
Calidad
**Estructurar los procesos de acuerdo a las necesidades.

PARTE FUNCIONAL
-

Funciones y Roles
Responsabilidad
reas
Comunicacin

Estructuras Organizativas
Procesos
**Para modelar procesos BISAGUI

MATRIZ OJBETIVO DE LOS PROCESOS

O1
P1
P2
P3
P4
P5
P6
P7

O3

X1

O2
X4
X5

X2

X6

X9
X10

O4

X7

O5

O6

O7

O8

O9

X12
X11

X3

X13

X8

PLAN TI/SI
-

Objetivos/Metas
Procesos de TI

Proyectos
-

SW
HW
Inf.
Seguridad
.
.
.

S.I.I.
HERRAMIENTAS DE APOYO A LA CONSECUCIN DE OB/METAS INSTITUCIONALES.

PROCESO DE TI

Gestin de Cambios debe existir un procedimiento en el rea de TI que permita registrar las
modificaciones
Jefatura de TI se encargan de formalizar la Gestin de Proyectos, Seguimiento de Proyectos.
**Para implementar los Procesos de TI se utilizan: COBIT, ITIL, PMI, ISO
**Noma como referencia 27001, cambian constantemente.
COBIT te permite migrar de cualquier estndar a l.
Para empresas que nunca han implementado ningn estndar:
POLITICA
NORMA
PROCEDIMIENTO
CONTROL
INDICADORES
**La norma que dice QUE y COMO hacerlo, pero depende de uno realizarlo y adecuarlo a la
organizacin. ISO 90001(mejoramiento de calidad) solo me dice el QU
Las normas que me indican el COMO tienen la siguiente estructura:
PROCESO:
ENTRADA

TECNICAS

SALIDAS

---

---

---

---

---

---

---

---

---

** Los marcos referenciales: PMBOK, ITIL

**E&Y DILOY (Autor)

VALOR DE LAS TI
-

Infraestructura redes, comunicaciones, BD.

Operaciones a nivel de jefaturas de TI.

Operativa procesos del negocio
Financiera nivel de la toma de decisiones.

COSO Es un Marco de Referencia

-

COSO: Comit de Organizaciones Patrocinadoras de la Comisin Treadway.

Documento donde especifica todos los informes que debe brindar la empresa.
Control Interno COSO I (1996)
Control Interno + Gestin de Riesgos COSO II (2004)

Objetivos
-

Eficacia y Eficiencia de las Operaciones (O)

Fiabilidad de la Informacin Financiera (F)
Cumplimiento de las Leyes y Normas que son Aplicables (C)

CONTROL INTERNO
Ambiente Interno - Control Crear un ambiente, un entorno de trabajo orientado a la seguridad y
control.
-

Se logra un buen ambiente de control si tu personal est capacitado, si las estructuras

organizativas estn definidas de acuerdo al tipo de trabajo de tu empresa, las segregacin
de funciones claramente definidas, perfiles de trabajo claramente definidas, rotacin y
frecuencia, etc.

Establecimiento de Objetivos
-

Apetito de riesgo hasta que estoy dispuesto a perder hasta que funcione mi plan de

contingencia.
Tolerancia del riesgo
RTO hasta cuando puedo esperar, que tiempo me demora.
RPO hasta cuando puedo recuperar.

Identificacin de Eventos identificacin de los eventos potenciales amenazas.

El catlogo de amenazas hay que categorizarlo en base al Impacto (se valoriza en base a la
imagen, perdida de informacin, et) y a la Frecuencia.

Evaluacin de Riesgos
Proceso
Activo
Actividad

Criticidad

Activo 1

Computadora

Vulnerabilidad

Impacto

Frecuencia

Nivel de Riesgo

Amenazas
--

--

--

----

-- Antivirus

--Poltica Documental

-- Gestin de Acceso

Infeccin de
VIRUS

NR = V*I*F utilizo esas variables xq se las puede medir.

La vulnerabilidad las puedo medir, porque es interno, pertenecen a la organizacin. Las
amenazas no las puedo cuantificar, no puedo valorizar, pero si saber que tanto puede
afectar en base al impacto y a la frecuencia.
**Los mapas de calor se realizan en base al impacto y la frecuencia.
Respuesta al Riesgo
**La matriz de riesgo me sirve para definir donde implemento los controles.
**Vamos a utilizar el ISO 27002
-

Evitar el Riesgo Eliminar la fuente. Prescindir de lo mejor.

Mitigar el Riesgo contar con la capacidad, con la infraestructura, con los recursos, el

personal.
Compartir el Riesgo si no tengo lo anterior, lo paso a un tercero. Comparto la

responsabilidad.
Aceptar el Riesgo si lo que voy a implementar me cuesta ms, es decir convivir con el
riesgo.

Actividades de Control
-

Aprobaciones
Autorizacin

Verificacin
Conciliacin implementar otro procedimiento que llegue al mismo resultado.
Seguridad de Activos
Desempeo de las Operaciones
Segregacin de Funciones

Informacin y Comunicacin
Si implementas algo, todos los trabajadores deben saber cuando y como se implementado.

Supervisin
Tienes que tener mecanismo de monitoreo permanentes.

Trabajo - Elaborar un PPT

-

Problema Falta de Control

Objetivos de COSO
Elementos de COSO que no se est cumpliendo.
Propuesta de Control tiene que ver con cualquiera de las 7 propuestas de COSO

Caso: 13, 14
Desarrollo
Caso N 01
Objetivos Afectados:
-

Eficiencia y eficacia

Componentes:
-

Informacin y Comunicacin

Problema:
El manual de riesgos es entregado a Control Interno y no se vuelve hablar del tema.
Solucin:
Control Interno debe derivar parte que le corresponde