211 - Administracin de

Riesgos de TI
Fernando Izquierdo Duarte, CISA
Ingeniero de Sistemas
Banco de la Repblica
Colombia
Agenda para hoy

Marco Conceptual deAdministracin de

Riesgos
Administrando Riesgos de TI

2
Marco Conceptual de
Administracin de
Riesgos

3
Administracin de Riesgos

Definicin
Es un proceso interactivo e iterativo basado en
el conocimiento, evaluacin y manejo de los
riesgos y sus impactos, con el propsito de
mejorar la toma de decisiones organizacionales.

Aplicable a cualquier situacin donde un

resultado no deseado o inesperado pueda ser
significativo o donde se identifiquen
oportunidades.
4
Administracin de Riesgos

Beneficios para la Organizacin

Facilita el logro de los objetivos de la organizacin.
Hace a la organizacin ms segura y consciente de
sus riesgos.
Mejoramiento continuo del Sistema de Control
Interno.
Optimiza la asignacin de recursos.
Aprovechamiento de oportunidades de negocio.
Fortalece la cultura de autocontrol.
Mayor estabilidad ante cambios del entorno.

5
Administracin de Riesgos

Beneficios para el Dpto. de Auditora

Soporta el logro de los objetivos de la auditora.
Estandarizacin en el mtodo de trabajo.
Integracin del concepto de control en las polticas
organizacionales.
Mayor efectividad en la planeacin general deAuditora.
Evaluaciones enfocadas en riesgos.
Mayor cobertura de la administracin de riesgos.
Auditoras ms efectivas y con mayor valor agregado.

6
Proceso de administracin de Riesgos

1. Establecer Marco General

2. Identificar Riesgos

Monitorear
3. Anlisis de Riesgos
y Revisar

4. Evaluar y Priorizar Riesgos

5. Tratamiento del Riesgo

7
Proceso de administracin de Riesgos
1. Establecer Marco General

1.1. Establecer el Contexto Estratgico

Definir la relacin entre la organizacin y el ambiente en el que opera.

1.2. Establecer el Contexto Organizacional

Entender la organizacin, sus capacidades y habilidades
Conocer sus objetivos y estrategias.

1.3. Identificar Objetos Crticos

Entendiendo por objeto, el rea, proceso o actividad o cualquier otro
elemento en que se pueda subdividir la organizacin y sobre el cual se
pueda efectuar administracin de riesgos.
Definir los criterios bajo los cuales se pueda establecer la criticidad de
un objeto respecto de otro.

Este paso del proceso es importante para evaluar y priorizar los

riesgos posteriormente en el paso No. 4

8
Proceso de administracin de Riesgos
1. Establecer Marco General Cmo Hacerlo?

1.1. Establecer el Contexto Estratgico

Aspectos financieros, operacionales, competitivos, polticos, imagen, sociales,
clientes, culturales y legales, Stakeholders -Organizacin, propietarios, personal,
clientes, proveedores, comunidad local y sociedad-.

1.2. Establecer el Contexto Organizacional

Objetivos del negocio:
Apoyados en COSO (de operaciones, de Informacin Financiera y de
cumplimiento legal).
Otros: la rentabilidad, el crecimiento institucional, posicionamiento competitivo,
imagen, servicio al cliente, productividad, calidad, recursos humanos, impacto
en la comunidad.

1.3. Identificar Objetos Crticos

Definiendo los criterios Prdida Financiera, Prdida de Imagen, Incumplimiento
de la misin, etc., que nos permitan elaborar una clasificacin de las reas,
proyectos, procesos, sistemas o actividades sobre los cuales se llevar a cabo la
administracin de riesgos.
9
Proceso de administracin de Riesgos
2. Identificar Riesgos

2.1. Establecer un marco especfico de administracin de

riesgos
Entender la actividad o parte de la organizacin para la cual se
aplicar el proceso de administracin de riesgos.

2.2. Desarrollar criterios de evaluacin de riesgos

Definir e identificar los criterios de anlisis y el nivel de
aceptacin de los riesgos
2.3. Identificar la estructura
Separar la actividad o proyecto en un conjunto de elementos
que facilite su comprensin y anlisis.

10
Proceso de administracin de Riesgos
2. Identificar Riesgos

2.4. Identificar riesgos

Responder qu puede ocurrir? Identificar los eventos que
puedan afectar los elementos de la estructura identificada en el
numeral 2.3.

2.5. Identificar causas

Cmo y por qu pueden ocurrir los eventos identificados como
riesgos? Identificar lo que motiva, dispara o genera los eventos y
los escenarios ms significativos.

1
Proceso de administracin de Riesgos
2. Identificar Riesgos Cmo Hacerlo?

2.1. Establecer un marco de administracin de riesgos

Definiendo los objetivos, estrategias, alcance y parmetros de la evaluacin de
riesgos a realizar.

2.2. Desarrollar criterios de evaluacin de riesgos

Definiendo los aspectos en los cuales va a centrar su atencin durante la
evaluacin operativos, tcnicos, legales, sociales, financieros, humanos.

2.3. Identificar estructura

Descomponer el todo en sus partes, de tal manera que le facilite entender el
objeto de anlisis y le brinde un marco lgico de accin. Por ejemplo:
Basado en procesos (para TI, Cobit nos propone 34 procesos).
Basado en Sistemas de Informacin (aplicaciones, programas, archivos,
proceso, comunicaciones, entradas, salidas).
Basado en Proyectos (ciclo de vida de desarrollo de SW, el proceso de
administracin, etapas, entregables).
Basado en recursos (para TI, Cobit nos propone: Datos, Aplicaciones,
Tecnologa, Instalaciones y Recurso Humano).
12
Proceso de administracin de Riesgos
2. Identificar Riesgos Cmo Hacerlo?

2.4. Identificar riesgos

Lo comn en las definiciones de riesgo son algunas palabras claves como:
eventos, deseables, no deseables, positivos, negativos, probabilidad, impacto,
objetivos, consecuencia, inciertos, inesperados, eventuales, etc.

Riesgo: son incidentes o situaciones, que ocurren en un sitio concreto durante un

intervalo de tiempo determinado, con consecuencias positivas o negativas que
podran afectar el cumplimiento de los objetivos.

2.5. Identificar causas

Factores que podran materializar el riesgo, es importante establecer relaciones
con otros riesgos una causa pude generar uno o ms riesgos y un riesgo puede
ser generado por una o ms causas.

Por lo tanto exprese los riesgos en trminos de consecuencia y

considere las causas que pueden generarlo. Ejemplo:

Prdida de confidencialidad debida a interceptacin de la lnea de

comunicacin. 13
Proceso de administracin de Riesgos
3. Anlisis de Riesgos

3.1. V
alorar el riesgo inherente
Asignar valor al evento de materializacin del riesgo propio del
objeto de anlisis.

3.2. Determinar Controles Existentes

Identificar las actividades o mecanismos de control
implementados para mitigar los riesgos inherentes.

3.3. Identificar Nivel de Exposicin

Resultante de aplicar la frmula:
Nivel de Exposicin = Riesgo inherente - Controles

14
Proceso de administracin de Riesgos
3. Anlisis de Riesgos Cmo Hacerlo?

3.1. V
alorar el riesgo inherente
Requiere que se defina una escala de valoracin:
Cualitativa: Alto, Medio, Bajo
Cuantitativa: Escala numrica (el clculo de P.A.E es un ejemplo)
Semicuantitativa: asigna rangos numricos a las caractersticas Alto, Medio, Bajo

La valoracin se puede hacer mediante el uso de histricos para los mtodos

cuantitativos, utilizando la frmula Riesgo= Impacto X Probabilidad y mediante
las tcnicas de valoracin en grupos de trabajo (delphy) para mtodos cualitativos

3.2. Determinar Controles Existentes

Se requiere conocer que control es una propiedad emergente del Sistema de
Control Interno, que son los mecanismos (dispositivos y procedimientos)
implementados para prevenir, detectar o corregir la materializacin de los riesgos.
Tenga presente que la negacin del control no es el riesgo!

3.3. Identificar Nivel de Exposicin

Nivel de Exposicin = Riesgo inherente - Controles

15
Proceso de administracin de Riesgos
4. Evaluar y Priorizar Riesgos

4.1. Comparar contra Criterios y Definir prioridades de

riesgo
Comparar el resultado del anlisis de riesgo realizado contra los
criterios establecidos en el numeral 1. Marco general de referencia.

Las comparaciones de anlisis de riesgo realizadas sobre diferentes

reas de la organizacin o sobre los diferentes procesos le
permitirn priorizar los riesgos sobre los cuales ha de centrar la
atencin para definir una opcin de tratamiento.

16
Proceso de administracin de Riesgos
4. Evaluar y Priorizar Riesgos Cmo Hacerlo?

4.1. Comparar contra Criterios y Definir prioridades

de riesgo

Elabore una lista ordenada de mayor a menor, por la valoracin del

nivel de exposicin.

Esto le permitir definir los riesgos de mayor grado de importancia

sobre los cuales deber definir las opciones de tratamiento.

Centre su atencin en lo crtico, de acuerdo a los niveles de

aceptacin que tenga definidos

17
Proceso de administracin de Riesgos
5. Tratamiento del Riesgo

5.1. Identificar opciones de tratamiento

Para la actividad o componente al cual aplic el proceso de
administracin de riesgos, determine las posibles formas de
reducir o mitigar el riesgo.
5.2. Evaluar opciones de tratamiento
Bajo las consideraciones del marco de referencia definido,
establecer cules de las opciones de tratamiento identificadas se
ajustan a la organizacin y reducen el riesgo a un nivel de
exposicin aceptable.
5.3. Preparar planes de tratamiento
Elaborar los planes que le permitan poner en prctica las
opciones de tratamiento del riesgo seleccionadas.
5.4. Implementar Plan de tratamiento
Poner en marcha el plan definido.
18
Proceso de administracin de Riesgos
5. Tratamiento del Riesgo Cmo Hacerlo?

5.1. Identificar opciones de tratamiento

Existen las siguientes:
Evitar: Se reduce la probabilidad de prdida al mnimo; dejar de ejercer
la actividad o proceso.
Reducir: Se consigue mediante la optimizacin de los procedimientos y
la implementacin de controles tendientes a disminuir la probabilidad de
ocurrencia o el impacto.
Atomizar: Distribuir la localizacin del riesgo, segmentando el objeto
sobre el cual se puede materializar el riesgo.
Transferir: Pasar el riesgo de un lugar a otro, compartir con otro el
riesgo, esta tcnica no reduce la probabilidad ni el impacto, involucra a
otro en la responsabilidad.
Asumir: Se acepta la prdida residual probable, con la aceptacin del
riesgo las estrategias de prevencin se vuelven esenciales.

19
Proceso de administracin de Riesgos
5. Tratamiento del Riesgo Cmo Hacerlo?

5.2. Evaluar opciones de tratamiento

Las opciones de tratamiento deben evaluarse con base en el alcance de
la reduccin de riesgo (de su probabilidad o de su impacto), la
evaluacin debe extenderse a los beneficios u oportunidades que la
opcin de tratamiento pueda crear.
Tenga presente considerar varias opciones y que stas pueden aplicarse
individualmente o de manera combinada.
Considere los siguientes factores al momento de evaluar las opciones de
tratamiento
Eficacia: Efectividad de la propuesta de propuesta de tratamiento para
reducir el riesgos
Factibilidad: La probabilidad de aceptar la opcin propuesta
Eficiencia : Uso ptimo de los recursos ,Costo efectividad de la opcin

20
Proceso de administracin de Riesgos
5. Tratamiento del Riesgo Cmo Hacerlo?

Nivel Total
de Riesgos

Implementar medidas de reduccin

Usar Juicio

Antieconmico

Costo

Para seleccionar la opcin ms apropiada se

requiere balancear el costo de implementacin
contra los beneficios derivados.
21
Proceso de administracin de Riesgos
5. Tratamiento del Riesgo Cmo Hacerlo?

5.3. Preparar planes de tratamiento

Documentando cmo se implementarn las opciones elegidas:
Identificando responsabilidades
Programas, resultados esperados, presupuesto
Medir el desempeo y la revisin del proceso en su conjunto.
El plan debera incluir tambin un mecanismo para evaluar la implementacin
de las opciones contra criterios de desempeo y responsabilidades individuales y
otros objetivos, y para controlar hitos crticos de implementacin.

5.4. Implementar el plan

Idealmente, la responsabilidad para el tratamiento de riesgo debera ser ejercida
por los mejor capacitados de controlar el riesgo. Las responsabilidades de
implementacin se conciertan segn la disponibilidad de tiempo de las partes.

La implementacin exitosa del plan de tratamiento de riesgo requiere de un

sistema efectivo de gestin:
Que especifique los mtodos elegidos
Asignacin de responsabilidades, acciones individuales
Controles contra criterios especficos.
22
Administrando
Riesgos de TI

23
Administracin de Riesgos de TI
Por qu ?

Hoy en da la mayora de las empresas soportan sus

procesos operativos con TI.
Se ha generado un alto grado de dependencia de la
tecnologa informtica.
Las organizaciones tienen una elevada inversin en
tecnologa, por su adquisicin, mantenimiento y
seguridad.
Se ha incrementado el nmero de ataques externos a
las instalaciones de TI.
Porque es un medio por el cual la administracin puede
concretar los objetivos de control sobre la T.I.

24
Administracin de Riesgos de TI
Recordemos los principios del Modelo CobiT

Requerimientos de la informacin del negocio.

Recursos de Tecnologa Informtica
Procesos de Tecnologa Informtica

REQUERIMIENTOS
DE INFORMACIN
DEL NEGOCIO

PROCESOS
DE TI

RECURSOS
DE TI

25
CobiT
Requerimientos de la Informacin del Negocio

Efectividad: La informacin debe ser relevante y

pertinente para los procesos del negocio y debe ser
proporcionada en forma oportuna, correcta, consistente
y utilizable .
Eficiencia: Se debe proveer informacin mediante el
empleo ptimo de los recursos (la forma ms productiva
y econmica).
Confidencialidad: Proteccin de la informacin sensitiva
contra divulgacin no autorizada.
Integridad: Refiere a lo exacto y completo de la
informacin as como a su validez de acuerdo con las
expectativas de la empresa.

26
CobiT
Requerimientos de la Informacin del Negocio

Disponibilidad: accesibilidad a la informacin cuando sea

requerida por los procesos del negocio y la salvaguarda
de los recursos y capacidades asociadas a los mismos.
Cumplimiento: de las leyes, regulaciones y compromisos
contractuales con los cuales est comprometida la
empresa.
Confiabilidad: proveer la informacin apropiada para que
la administracin tome las decisiones adecuadas para
manejar la empresa y cumplir con las responsabilidades
de los reportes financieros y de cumplimiento normativo.

27
CobiT
Recursos de Tecnologa Informtica

Datos: Los objetos de informacin. Informacin interna y

externa, estructurada o no, grficas, sonidos, etc.
Aplicaciones: Entendido como los sistemas de
informacin, que integran procedimientos manuales y
sistematizados.
Tecnologa: Incluye hardware y software bsico,
sistemas operativos, sistemas de administracin de
bases de datos, de redes, telecomunicaciones,
multimedia, etc.
Instalaciones: Incluye los recursos necesarios para
alojar y dar soporte a los sistemas de informacin.
Recurso Humano: Por la habilidad, conciencia y
productividad del personal para planear, adquirir, prestar
servicios, dar soporte y monitorear los sistemas de
Informacin.
28
 Objetivos del Negocio
IT. Governance
1. Definir un plan estratgico de TI
2. Definir la arquitectura de informacin
1. Seguimiento de los procesos 3. Determinar la direccin tecnolgica
2. Evaluar lo adecuado del control Interno 4. Definir la organizacin y relaciones de TI
3. Obtener aseguramiento independiente
4. Proveer una auditora independiente
CobiT 5. Manejo de la inversin en TI
6. Comunicacin de la directrices Gerenciales
7. Administracin del Recurso Humano
8. Asegurar el cumplir requerimientos externos
9. Evaluacin de Riesgos
10. Administracin de Proyectos
11. Administracin de Calidad

Seguimiento Req. Informacin

Efectividad, Eficiencia,
Confidencialidad, Integridad,
Disponibilidad, Planeacin y
Cumplimiento, Confiabilidad Organizacin

1.Definicin del nivel de servicio

2.Administracin del servicio de terceros
3.Admon de la capacidad y el desempeo Recursos de TI
4.Asegurar el servicio continuo Datos, Aplicaciones Adquisicin e
5.Garantizar la seguridad del sistema
6.Identificacin y asignacin de costos
Tecnologa, Instalaciones,
Recurso Humano
Implementacin
7.Capacitacin de usuarios
8.Soporte a los clientes de TI
9.Administracin de la configuracin
1. Identificacin de soluciones
10.Administracin de problemas e incidentes
2. Adquisicin y mantenimiento de SW aplicativo
11.Administracin de datos
12.Administracin de Instalaciones Prestacin de 3. Adquisicin y mantenimiento de arquitectura TI
4. Desarrollo y mantenimiento de Procedimientos
13.Administracin de Operaciones Servicio y de TI
Soporte 5. Instalacin y Acreditacin de sistemas
6. Administracin de Cambios
29
Administrando Riesgos de TI
1. Establecer Marco General
1.1 Contexto Estratgico
1.2 Contexto Organizacional
1.3 Objetos Crticos

Leyes y Regulaciones Ambiente Social

Entorno Econmico Ambiente Tecnolgico
Clientes Competencia
Objetivos del Negocio
Rendimiento Financiero, Crecimiento Institucional,
Crecimiento competitivo, Calidad, Servicio al
Cliente, Eficiencia operacional, Productividad, Etc.

Estructura Organizacional Lneas de negocio

Procesos Actividades Productos

Impacto Econmico - Reputacin organizacional
Imagen de productos o servicios 30
Administrando Riesgos de TI
2. Identificar Riesgos
2.1 Marco Especifico,
2.2 Criterios de Evaluacin,
2.3 Identificar Estructura,

Especficamente en la administracin de TI.

y de procesos operativos apoyados con TI.

Tecnolgicos y de Informacin
Integridad, Confidencialidad y Disponibilidad
+ Efectividad, Eficiencia, Cumplimiento de Normas
+ De negocio

Procesos de TI (Ejemplo COBIT) Subprocesos

Ej: Manejo y Administracin de Proyectos
Adquisicin y mantenimiento de sistemas de aplicacin
Administracin de la configuracin
Prestacin de servicio continuo
Proyecto de TI Etapas o actividades
Sistema de Informacin Mdulos, Interfase, E/P/S
31
Administrando Riesgos de TI
2. Identificar Riesgos
2.4 Identificar Riesgos
2.5 Identificar Causas

Ineficiencia en el uso de los recursos

Algunos Prdida de confidencialidad
Riesgos Prdida de Integridad de informacin
Interrupcin en la continuidad del servicio
Acceso no autorizado
Prdida econmica

Heterogeneidad en la ejecucin de procesos

Ausencia de metodologas de procesos
Algunas
Inadecuada clasificacin de la informacin Causas
Error u omisin en el procesamiento
Cambios no autorizados
Hurto de activos (recursos informticos)
Incertidumbre para atender incidentes
Ausencia de planes de continuidad de Negocio
Suplantacin de usuarios 32
Administrando Riesgos de TI
Riesgos de TI
(un ejemplo con 2 procesos y 2 recursos)

Desarrollo y
Adquisicin Operacin de Tcnicos y Relacionados con
de Software Instalaciones Tecnolgicos la Informacin

Seleccin
Sub o sobre Negacin del Prdida de
inadecuada
dimensionamiento servicio Informacin
de estrategias

Diseo Cambios no Obsolescencia Prdida de

Inadecuado autorizados Tecnolgica Confidencialidad

Aceptacin de Prdida de
Ineficiente uso Prdida de
sw no acorde con integridad o
de los recursos informacin
las necesidades Confiabilidad
Falta de oportu-
Acceso no Incumplimiento
nidad en entrada
autorizado de normas
en produccin

33
Administrando Riesgos de TI
3. Anlisis de Riesgos
3.1 Valorar Riesgo Inherente
3.2 Determinar Controles existentes
3.3 Identificar el nivel de Exposicin

Haga uso de la informacin histrica que tenga disponible.

Aplique un mtodo cuantitativo (ej. P.A.E)

Vr. Riesgo (Causa) = Probabilidad x Impacto

Cuando lo requiera elabore sus propias escalas de medicin

Aplique mtodos semi-cuantitativos
Relacionados con
Relacionada con el Impacto
la Probabilidad
Prdida Financiera Prdida de Imagen Prdida de Disponibilidad
1 Rara vez ocurre
0 No hay prdida 0 No se afecta la imagen 0 No se afecta
2 Poco probable
1 de 1 a 10.000 1 ante los empleados 1 por algunos segundos
3 Algunas Veces
2 de 10.000 a 50.000 2 ante un cliente 2 por algunos minutos
4 probable
3 de 50.000 a 100.000 3 ante una ciudad 3 por algunas horas
5 muy probable
4 de 100.000 a 500.000 4 ante el pas 4 por un da/semana
5 ms de 500.000 5 ante el mundo 5 por una semana/mes

34
Administrando Riesgos de TI
3. Anlisis de Riesgos
3.1 Valorar Riesgo Inherente
3.2 Determinar Controles existentes
3.3 Identificar el nivel de Exposicin

Elabore la lista de los mecanismos de control que aplican a cada

uno de los componentes de su objeto analizado
Procedimientos formales de planeacin.
uso de estndares de programacin, identificacin, codificacin.
uso de mecanismos de autenticacin.
procedimientos documentados, divulgados y aplicados.
Esta tarea ser
uso de metodologas de desarrollo de sw.
ms sencilla de
uso metodologas de definicin de requerimientos.
realizar si se divide
procedimientos para el control de cambios.
adecuadamente el
acuerdos explcitos de niveles de servicio.
mecanismos de encripcin
objeto de anlisis
en sus partes
redundancia en dispositivos y recursos crticos.
clasificacin de la informacin
procedimientos de respaldo
sensores y alarmas de factores ambientales (humo, humedad, temperatura)
toma fsica de inventarios de recursos computacionales
verificadores de licencias

35
Administrando Riesgos de TI
Nivel de Exposicin = Riesgo Controles aplicados

Definir el nivel de exposicin le permitir conocer la

efectividad de los controles.
Sin embargo, tenga presente en relacin con la efectividad
de los controles los siguientes aspectos:
Internos frente a los Externos
Manuales frente a los Automticos
Previos frente a los Posterior
Preventivos frente a los Correctivos y Detectivos
Generales frente a los Especficos
Continuos frente a los Discretos (aplicacin)
Peridicos frente a los Espordicos

36
Administrando Riesgos de TI
4. Evaluar y Priorizar Riesgos
4.1 Comparar contra criterios
4.2 Definir prioridades

Heterogeneidad en la ejecucin de procesos 785

Inadecuada clasificacin de la informacin 750
Desarrollo informal (sin metodologa) de sw 675
Ausencia de planes de continuidad de Negocio 585
Incertidumbre para atender incidentes 400
Cambios no autorizados 310
Error u omisin en el procesamiento 250
Hurto de activos (recursos informticos) 230
Suplantacin de usuarios 175

37
Administrando Riesgos de TI
5. Tratamiento del Riesgo
- Identificar y evaluar opciones
- Preparar e implementar planes

La identificacin de opciones de tratamiento del riesgo

puede conducirle a:
Implementacin de nuevos mecanismos de control.
Cambiar, modificar o eliminar controles existentes.
Combinar mecanismos de control.
Dependiendo del grado de complejidad de la opcin
elegida su implementacin puede llegar al punto de
convertirse en un proyecto.
Obligatoriedad del cambio de claves
Definicin de pistas de auditora
Documentacin de Procesos
Plan de Continuidad Tecnolgico
Funcin de aseguramiento de la calidad
38
Administrando Riesgos de TI
5. Tratamiento del Riesgo
- Identificar y evaluar opciones
- Preparar e implementar planes

En los planes de Implementacin es conveniente

considerar:
Respaldo de la gerencia
Responsables
Presupuestos
Compromiso con la fecha de finalizacin

39
Administrando Riesgos de TI
Reflexin sobre el proceso de Administracin de Riesgos

Seguimiento a los compromisos en el plan

de implementacin de opciones de
tratamiento.
Revisin y ajuste de mtodos y tcnicas
aplicadas.
Anlisis de los beneficios alcanzados (en el Monitorear
negocio, en la administracin de TI, en la y Revisar
auditora, en los usuarios).
Es posible y conveniente continuar con
otros objetos? (procesos, proyectos,
reas).
Nivel de aprendizaje de la organizacin en
relacin con la administracin de sus
riesgos. 40
Bibliografa

The Australian/New Zealand Joint Standards Committee AS/NZS 4360

Risk Management
COSO - The Committee of Sponsoring Organizations of the commission
Treadway
COCO - Instituto Canadiense de Contadores Certificados (CICA)
IFAC - Financial & Management Accounting Committee
A Guide to Security Risk Management for Information Technology
Systems - Government of Canada, Communications Security
MAGERIT - Metodologa de Anlisis y Sesin de Riesgos de los
Sistemas de Informacin - Versin 1.0
Chester Simmons - Risk Management
Solis Montes Gustavo A. Reingeniera de la Auditora Informtica
41
Para mayor Informacin:

Fernando Izquierdo Duarte

Ingeniero de Sistemas
Banco de la Repblica de Colombia
aizquidu@banrep.gov.co

42
Gracias!
Obrigado
Thank you!