Escolar Documentos
Profissional Documentos
Cultura Documentos
Riesgos de TI
Fernando Izquierdo Duarte, CISA
Ingeniero de Sistemas
Banco de la Repblica
Colombia
Agenda para hoy
2
Marco Conceptual de
Administracin de
Riesgos
3
Administracin de Riesgos
Definicin
Es un proceso interactivo e iterativo basado en
el conocimiento, evaluacin y manejo de los
riesgos y sus impactos, con el propsito de
mejorar la toma de decisiones organizacionales.
5
Administracin de Riesgos
6
Proceso de administracin de Riesgos
2. Identificar Riesgos
Monitorear
3. Anlisis de Riesgos
y Revisar
7
Proceso de administracin de Riesgos
1. Establecer Marco General
8
Proceso de administracin de Riesgos
1. Establecer Marco General Cmo Hacerlo?
10
Proceso de administracin de Riesgos
2. Identificar Riesgos
1
Proceso de administracin de Riesgos
2. Identificar Riesgos Cmo Hacerlo?
3.1. V
alorar el riesgo inherente
Asignar valor al evento de materializacin del riesgo propio del
objeto de anlisis.
14
Proceso de administracin de Riesgos
3. Anlisis de Riesgos Cmo Hacerlo?
3.1. V
alorar el riesgo inherente
Requiere que se defina una escala de valoracin:
Cualitativa: Alto, Medio, Bajo
Cuantitativa: Escala numrica (el clculo de P.A.E es un ejemplo)
Semicuantitativa: asigna rangos numricos a las caractersticas Alto, Medio, Bajo
15
Proceso de administracin de Riesgos
4. Evaluar y Priorizar Riesgos
16
Proceso de administracin de Riesgos
4. Evaluar y Priorizar Riesgos Cmo Hacerlo?
17
Proceso de administracin de Riesgos
5. Tratamiento del Riesgo
19
Proceso de administracin de Riesgos
5. Tratamiento del Riesgo Cmo Hacerlo?
20
Proceso de administracin de Riesgos
5. Tratamiento del Riesgo Cmo Hacerlo?
Nivel Total
de Riesgos
Usar Juicio
Antieconmico
Costo
23
Administracin de Riesgos de TI
Por qu ?
24
Administracin de Riesgos de TI
Recordemos los principios del Modelo CobiT
REQUERIMIENTOS
DE INFORMACIN
DEL NEGOCIO
PROCESOS
DE TI
RECURSOS
DE TI
25
CobiT
Requerimientos de la Informacin del Negocio
26
CobiT
Requerimientos de la Informacin del Negocio
27
CobiT
Recursos de Tecnologa Informtica
Tecnolgicos y de Informacin
Integridad, Confidencialidad y Disponibilidad
+ Efectividad, Eficiencia, Cumplimiento de Normas
+ De negocio
Desarrollo y
Adquisicin Operacin de Tcnicos y Relacionados con
de Software Instalaciones Tecnolgicos la Informacin
Seleccin
Sub o sobre Negacin del Prdida de
inadecuada
dimensionamiento servicio Informacin
de estrategias
Aceptacin de Prdida de
Ineficiente uso Prdida de
sw no acorde con integridad o
de los recursos informacin
las necesidades Confiabilidad
Falta de oportu-
Acceso no Incumplimiento
nidad en entrada
autorizado de normas
en produccin
33
Administrando Riesgos de TI
3. Anlisis de Riesgos
3.1 Valorar Riesgo Inherente
3.2 Determinar Controles existentes
3.3 Identificar el nivel de Exposicin
34
Administrando Riesgos de TI
3. Anlisis de Riesgos
3.1 Valorar Riesgo Inherente
3.2 Determinar Controles existentes
3.3 Identificar el nivel de Exposicin
35
Administrando Riesgos de TI
Nivel de Exposicin = Riesgo Controles aplicados
36
Administrando Riesgos de TI
4. Evaluar y Priorizar Riesgos
4.1 Comparar contra criterios
4.2 Definir prioridades
37
Administrando Riesgos de TI
5. Tratamiento del Riesgo
- Identificar y evaluar opciones
- Preparar e implementar planes
39
Administrando Riesgos de TI
Reflexin sobre el proceso de Administracin de Riesgos
42
Gracias!
Obrigado
Thank you!