Figura 47—Escenarios de Riesgo y Capacidades de los Procesos COBIT 5
Riesgo para la habilitación
de beneficio / valor
Selección
de un programa TI
Nuevas tecnologías
Selección
de tecnología
Toma de decisión
en la inversión de TI
Rendición de cuentas sobre TI • El negocio no asume responsabilidad sobre aquellas áreas de las TI en las que debería, tales
como requerimientos funcionales, desarrollo de prioridades y valoración de oportunidades a
través de nuevas tecnologías.
Finalización de
proyectos de TI
Economía de los proyectos de
TI
Riesgo para la entrega del
programa / proyecto
Agilidad y flexibilidad de la
arquitectura
Integración de las TI en los
procesos de negocio
Implementación de
software
Entrega de proyectos
Calidad de proyectos
Riesgo para la entrega del
servicio / para las
operaciones TI
Estado de la tecnología de la
infraestructura
Antigüedad del software de
aplicaciones
Cumplimiento regulatorio
• Selección de programas incorrectos y no alineados con la estrategia corporativa y las
prioridades durante la implementación.
• Duplicación entre diferentes iniciativas.
• Los programas nuevos e importantes crean incompatibilidades a largo plazo con la
arquitectura de la empresa.
• Fracaso al adoptar y aprovechar nuevas tecnologías de manera apropiada (es decir,
funcionalidad, optimización).
• Tendencias no identificadas en tecnologías nuevas e
importantes.
• Incapacidad de usar nuevas tecnologías para realizar resultados deseados (p.ej., no realizar
los cambios organizacionales o de modelo de negocio requeridos).
• Selección de tecnologías inadecuadas en las implementaciones (es decir, coste, rendimiento,
funciones, compatibilidad).
• Los gestores o representantes del negocio no están involucrados en la toma de decisión de
inversiones en TI importantes relativas a nuevas aplicaciones, priorización o nuevas
oportunidades tecnológicas.
• Proyectos que no se terminan de manera oportuna y fracasan por costes, retrasos, alcances
mal definidos o cambios en las prioridades del negocio.
• Sobrecoste aislado del presupuesto en los proyectos
de TI.
• Sobrecostes consistentes e importantes en los
presupuestos de los proyectos de TI.
• Ausencia de visión sobre el portafolio y la economía
del proyecto.
• Arquitectura TI compleja e inflexible que obstaculiza su
evolución y expansión futuras.
• Amplia dependencia y uso de soluciones informáticas para usuario final y ad hoc para
necesidades informáticas importantes.
• Soluciones de TI separadas y no integradas para
soportar procesos de negocio.
• Problemas operacionales cuando se empieza a operar con software nuevo.
• Usuarios no preparados para utilizar y aprovechar
nuevas aplicaciones.
• Retraso ocasional en la entrega de proyectos de TI por
parte del departamento de desarrollo interno.
• Retraso rutinario importante en la entrega de
proyectos de TI.
• Retraso excesivo en el desarrollo de proyectos de TI
externalizados.
• Calidad insuficiente en los resultados de los proyectos debido al software, la documentación
o el cumplimiento respecto a los requerimientos funcionales.
• Tecnología de TI obsoleta que no puede satisfacer las nuevas necesidades del negocio como
la red, la seguridad y el almacenamiento.
• Software de aplicación antiguo, con documentación pobre, caro de mantener, difícil de
ampliar o que no está integrado en la arquitectura vigente.
• Falta de cumplimiento con las regulaciones contables
y de producción.
Selección/ cumplimiento de • Soporte y servicios externalizados inadecuados, que
terceros no están en línea con los acuerdos de servicio (ANSs).
• Rendimiento inadecuado de los servicios externalizados
a gran escala y con acuerdos a largo plazo.
Robo de infraestructura • Robo de portátiles que contienen datos confidenciales.
• Robo de un número considerable de servidores de
desarrollo.
Destrucción de infraestructura • Destrucción de centro de datos por sabotaje u otras causas.
• Destrucción accidental de portátiles personales.
Personal de TI • Salida o no disposición prolongada del personal clave de TI.
• Personas claves del equipo de desarrollo que dejan la
empresa.
• Incapacidad de contratar personal de TI.
Experiencia y habilidades en • Falta o carencia de habilidades tecnológicas dentro del
las TI equipo de TI debido a nuevas tecnologías u otras causas.
• Falta de entendimiento del negocio por parte del
personal de TI.
Integridad del • Modificación intencionada de software que lleva a
software datos erróneos o acciones fraudulentas.
• Modificación no intencionada de software que lleva a
resultados inesperados.
• Errores no intencionados en la gestión de cambios y
configuraciones.

Infraestructura • Errores de configuración en componentes de hardware.

(hardware) • Daño de servidores críticos en los centros de datos
por accidente u otras causas.
• Manipulación intencional del hardware como por
ejemplo de los dispositivos de seguridad.

Rendimiento del • Habitual funcionamiento inadecuado del software

software
Capacidad del sistema
Antigüedad del software de la
infraestructura
Software malicioso
(malware)
Riesgo para la entrega del
servicio / para las
operaciones TI (cont.)
Ataques lógicos
crítico de aplicación.
• Problemas intermitentes de rendimiento del software
de sistema importante.
• Incapacidad de los sistemas para gestionar un gran volumen de transacciones cuando el
volumen de usuarios incrementa.
• Incapacidad de los sistemas para gestionar la carga de sistemas cuando se desarrollan
nuevas aplicaciones o iniciativas.
• Uso de versiones no soportadas de sistemas
operativos.
• Uso de bases de datos antiguas.
• Intrusión de software malicioso (malware) en
servidores de operaciones críticas.
• Infección regular de portátiles con software malicioso
(malware).
• Ataque de virus.
• Usuarios no autorizados tratando de introducirse en el
sistema.
• Ataque de denegación de servicio.
• Desfigurado de sitios web.
• Espionaje industrial.

Soprotes de la • Perdida o revelación de medios portables (ej.: CD, unidades universal serial bus [USB],
Información discos portables) conteniendo datos sensibles.
• Pérdida de soportes de copias de seguridad.
• Revelación accidental de información sensible
debido a fallos para seguir las guías de manejo de la información.
Rendimiento de servicios
públicos
Huelgas industriales
Integridad de (bases de) datos • Modificación intencionada de los datos (ej.: contabilidad, datos relacionados con la
Traspaso lógico
Errores operacionales de TI
Cumplimiento contractual
Medioambiente
Actos de la naturaleza
• Fallo intermitente de servicios públicos (ej.:
telecomunicaciones, electricidad).
• Fallos regulares y amplios de servicios públicos.
• Instalaciones y construcciones inaccesibles debido a
huelgas sindicales.
• Personal clave no disponible debido a huelgas.
seguridad, cifras de ventas).
• Corrupción de la bases de datos (ej.: base de datos de
clientes o transacciones).
• Usuarios que eluden los derechos de acceso lógico.
• Usuarios que obtienen acceso a información no
autorizada.
• Usuarios que roban datos sensibles.
• Errores de operación durante la copia de seguridad,
actualización o mantenimiento de los sistemas.
• Introducción de información incorrecta.
• No cumplimiento con los contratos de licencia de software (ej.: utilizar y/o distribución de
aplicaciones no licenciadas).
• No se cumplen las obligaciones contractuales como
proveedor de servicios con clientes y usuarios .
• Uso de equipamiento que no es amigable con el entorno (ej.: alto nivel de consumo eléctrico,
embalaje).
• Terremotos.
• Tsunami.
• Huracanes / tornados.
• Incendios forestales.

# Escenario de Alto nivel
Riesgo para la habilitación de beneficio / valor
1 Selección
de un programa TI
2 Nuevas tecnologías
3 Selección de tecnología
4 Toma de decisión
en la inversión de TI
Escenarios de Riesgo de TI y Factores d
Factores de Riesgo de Ambiente Externo
Rate of Competitivida
Mercado Change d
Factores de Riesgo
• Selección de programas
incorrectos y no alineados con la
estrategia corporativa y las
prioridades durante la
implementación.
• Duplicación entre diferentes
iniciativas.
• Los programas nuevos e
importantes crean Medio Alto Alto
incompatibilidades a largo plazo
con la arquitectura de la empresa.
• Fracaso al adoptar y aprovechar
nuevas tecnologías de manera
apropiada (es decir, funcionalidad,
optimización).
• Tendencias no identificadas en
tecnologías nuevas e
importantes.
• Incapacidad de usar nuevas
tecnologías para realizar Medio Alto Alto
resultados deseados (p.ej., no
realizar los cambios
organizacionales o de modelo de
negocio requeridos).
• Selección de tecnologías
inadecuadas en las
implementaciones (es decir, coste,
rendimiento, funciones, Medio Alto Alto
compatibilidad).
• Los gestores o representantes
del negocio no están involucrados
en la toma de decisión de
inversiones en TI importantes
relativas a nuevas aplicaciones,
priorización o nuevas Alto Alto Alto
oportunidades tecnológicas.
5 Rendición de cuentas sobre TI • El negocio no asume
responsabilidad sobre aquellas
áreas de las TI en las que debería,
tales como requerimientos
funcionales, desarrollo de
prioridades y valoración de Medio
oportunidades a través de nuevas
tecnologías.

12 Finalización de • Proyectos que no se terminan

proyectos de TI de manera oportuna y fracasan
por costes, retrasos, alcances mal
definidos o cambios en las Alto Medio
prioridades del negocio.

13 Economía de los proyectos de TI • Sobrecoste aislado del

presupuesto en los proyectos
de TI.
• Sobrecostes consistentes e
importantes en los
presupuestos de los proyectos de
TI. Medio Alto
• Ausencia de visión sobre el
portafolio y la economía
del proyecto.

Riesgo para la entrega del programa / proyecto

9 Agilidad y flexibilidad de la • Arquitectura TI compleja e
arquitectura inflexible que obstaculiza su Alto Alto
evolución y expansión futuras.

6 Integración de las TI en los • Amplia dependencia y uso de

procesos de negocio
soluciones informáticas para
usuario final y ad hoc para
necesidades informáticas
importantes.
• Soluciones de TI separadas y no Alto
integradas para
soportar procesos de negocio.

11 Implementación de • Problemas operacionales

software cuando se empieza a operar con
software nuevo.
• Usuarios no preparados para
utilizar y aprovechar Medio
nuevas aplicaciones.
14 Entrega de proyectos • Retraso ocasional en la entrega
de proyectos de TI por
parte del departamento de
desarrollo interno.
• Retraso rutinario importante en
la entrega de
proyectos de TI. Alto Alto
• Retraso excesivo en el desarrollo
de proyectos de TI
externalizados.

15 Calidad de proyectos • Calidad insuficiente en los

resultados de los proyectos
debido al software, la
documentación o el cumplimiento
respecto a los requerimientos Alto
funcionales.

Riesgo para la entrega del servicio / para las operaciones TI

7 Estado de la tecnología de la
infraestructura
• Tecnología de TI obsoleta que
no puede satisfacer las nuevas
necesidades del negocio como la
red, la seguridad y el
almacenamiento.

8 Antigüedad del software de • Software de aplicación antiguo,

aplicaciones con documentación pobre, caro
de mantener, difícil de ampliar o
que no está integrado en la
arquitectura vigente. Alto Medio

10 Cumplimiento regulatorio • Falta de cumplimiento con las

regulaciones contables Alto
y de producción.

16 Selección/ cumplimiento de • Soporte y servicios

terceros externalizados inadecuados, que
no están en línea con los acuerdos
de servicio (ANSs).
• Rendimiento inadecuado de los
servicios externalizados
a gran escala y con acuerdos a Medio Alto Alto
largo plazo.

17 Robo de infraestructura • Robo de portátiles que

contienen datos confidenciales.
• Robo de un número
considerable de servidores de
desarrollo.
18 Destrucción de infraestructura • Destrucción de centro de datos
por sabotaje u otras causas.
• Destrucción accidental de
portátiles personales.

19 Personal de TI • Salida o no disposición

prolongada del personal clave de
TI.
• Personas claves del equipo de
desarrollo que dejan la
empresa. Medio Medio Alto
• Incapacidad de contratar
personal de TI.

20 Experiencia y habilidades en las TI • Falta o carencia de habilidades

tecnológicas dentro del
equipo de TI debido a nuevas
tecnologías u otras causas.
• Falta de entendimiento del
negocio por parte del Medio Medio Alto
personal de TI.

21 Integridad del • Modificación intencionada de

software software que lleva a
datos erróneos o acciones
fraudulentas.
• Modificación no intencionada
de software que lleva a
resultados inesperados.
• Errores no intencionados en la
gestión de cambios y
configuraciones.

22 Infraestructura • Errores de configuración en

(hardware) componentes de hardware.
• Daño de servidores críticos en
los centros de datos
por accidente u otras causas.
• Manipulación intencional del
hardware como por
ejemplo de los dispositivos de
seguridad.

23 Rendimiento del • Habitual funcionamiento

software inadecuado del software
crítico de aplicación.
• Problemas intermitentes de
rendimiento del software
de sistema importante.
24 Capacidad del sistema • Incapacidad de los sistemas para
gestionar un gran volumen de
transacciones cuando el volumen
de usuarios incrementa.
• Incapacidad de los sistemas para
gestionar la carga de sistemas
cuando se desarrollan nuevas Alto
aplicaciones o iniciativas.

25 Antigüedad del software de la • Uso de versiones no soportadas

infraestructura de sistemas
operativos.
• Uso de bases de datos antiguas.

26 Software malicioso • Intrusión de software malicioso

(malware) (malware) en
servidores de operaciones críticas.
• Infección regular de portátiles
con software malicioso Medio
(malware).

Riesgo para la entrega del servicio / para las operaciones TI

27 Ataques lógicos • Ataque de virus.
• Usuarios no autorizados
tratando de introducirse en el
sistema.
• Ataque de denegación de
servicio.
• Desfigurado de sitios web.
• Espionaje industrial.

28 Soprotes de la • Perdida o revelación de medios

Información portables (ej.: CD, unidades
universal serial bus [USB], discos
portables) conteniendo datos
sensibles.
• Pérdida de soportes de copias
de seguridad.
• Revelación accidental de
información sensible
debido a fallos para seguir las
guías de manejo de la
información.

29 Rendimiento de servicios públicos • Fallo intermitente de servicios

públicos (ej.:
telecomunicaciones, electricidad).
• Fallos regulares y amplios de
servicios públicos.
30 Huelgas industriales • Instalaciones y construcciones
inaccesibles debido a
huelgas sindicales.
• Personal clave no disponible
debido a huelgas. Alto

31 Integridad de (bases de) datos • Modificación intencionada de

los datos (ej.: contabilidad, datos
relacionados con la seguridad,
cifras de ventas).
• Corrupción de la bases de datos Alto
(ej.: base de datos de
clientes o transacciones).

32 Traspaso lógico • Usuarios que eluden los

derechos de acceso lógico.
• Usuarios que obtienen acceso a
información no
autorizada.
• Usuarios que roban datos
sensibles.

33 Errores operacionales de TI • Errores de operación durante la

copia de seguridad,
actualización o mantenimiento de
los sistemas.
• Introducción de información
incorrecta.

34 Cumplimiento contractual • No cumplimiento con los

contratos de licencia de software
(ej.: utilizar y/o distribución de
aplicaciones no licenciadas).
• No se cumplen las obligaciones
contractuales como
proveedor de servicios con Alto
clientes y usuarios .

35 Medioambiente • Uso de equipamiento que no es

amigable con el entorno (ej.: alto
nivel de consumo eléctrico,
embalaje).

36 Actos de la naturaleza • Terremotos.

• Tsunami.
• Huracanes / tornados.
• Incendios forestales.
Escenarios de Riesgo de TI y Factores de Riesgo Ambientales
tores de Riesgo de Ambiente Externo Factores de Riesgo de Ambiente Interno
Importancia
Situación Ambiente Estado y en la Complejidad Complejidad de Grado de Filosofía de
Geopolítica Regulatorio Evolución de Estrategia de de TI la Entidad Cambio Administración
la TI de Riesgo
TI

Medio Alto Alto Alto Alto Alto

Alto Alto Alto Medio Alto

Alto Alto Alto Medio Alto

Alto Alto Alto Medio Alto Medio Alto

 Alto Alto Alto Alto Alto Alto

Alto Alto Alto Alto Alto

Medio Alto Alto Medio Medio Alto

Medio Alto Alto Alto Alto Alto

Medio Alto Alto Alto Alto Alto Alto

Alto Medio Medio Medio Alto

 Alto Medio Alto

Medio Alto Medio Medio Alto

Alto Alto Alto Medio Alto

Alto Alto Medio Medio Alto Alto

Alto Alto Alto Alto Alto Alto

Alto Alto Alto Alto Alto Alto Medio Alto

Alto Alto Alto

Medio Alto

Alto Medio Alto Alto Medio Alto Alto

Alto Medio Alto Medio Medio Alto Alto

Medio Alto Medio Alto

Alto Alto

Alto Alto Alto

 Alto Alto Alto

Alto Alto Alto

Medio Alto Alto Alto

Alto Alto Alto Medio Medio Alto

Alto Alto Alto

Alto Alto
Alto Alto Alto Alto

Medio Alto Medio Alto

Medio Medio Alto Medio Medio Medio Alto

Alto Alto Medio Medio Alto

Alto Alto Medio Alto Medio Alto Alto

Alto Medio Alto

Alto Alto
nterno

Apetito de Modelo de
Riesgo Operación

Alto Alto

Alto Medio

Alto Alto

Alto Alto
Alto Alto

Alto Alto

Alto Medio

Alto Alto

Alto Alto

Alto Alto
Alto Alto

Alto Medio

Alto Medio

Alto Medio

Alto Alto

Alto Alto

Alto
Alto Alto

Alto Alto

Alto

Alto

Alto
Alto Alto

Alto Alto

Medio Medio

Alto

Alto
Alto Medio

Alto

Alto

Alto Medio

Alto Alto

Alto

Alto