SlideShare una empresa de Scribd logo

4743467 (4).ppt

Descargar como PPT, PDF
C
CarmenKeim2

administracion de riesgos

Ingeniería
1 de 43
211 - Administración de Riesgos de TI Fernando Izquierdo Duarte, CISA Ingeniero de Sistemas Banco de la República Colombia
2 Agenda para hoy • Marco Conceptual de Administración de Riesgos • Administrando Riesgos de TI
3 Marco Conceptual de Administración de Riesgos
4 Administración de Riesgos Definición Es un proceso interactivo e iterativo basado en el conocimiento, evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar la toma de decisiones organizacionales. Aplicable a cualquier situación donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades.
5 Administración de Riesgos Beneficios para la Organización • Facilita el logro de los objetivos de la organización. • Hace a la organización más segura y consciente de sus riesgos. • Mejoramiento continuo del Sistema de Control Interno. • Optimiza la asignación de recursos. • Aprovechamiento de oportunidades de negocio. • Fortalece la cultura de autocontrol. • Mayor estabilidad ante cambios del entorno.
6 Administración de Riesgos Beneficios para el Dpto. de Auditoría • Soporta el logro de los objetivos de la auditoría. • Estandarización en el método de trabajo. • Integración del concepto de control en las políticas organizacionales. • Mayor efectividad en la planeación general de Auditoría. • Evaluaciones enfocadas en riesgos. • Mayor cobertura de la administración de riesgos. • Auditorías más efectivas y con mayor valor agregado.
7 Proceso de administración de Riesgos 1. Establecer Marco General 2. Identificar Riesgos 3. Análisis de Riesgos 4. Evaluar y Priorizar Riesgos 5. Tratamiento del Riesgo Monitorear y Revisar
8 Proceso de administración de Riesgos 1.1. Establecer el Contexto Estratégico Definir la relación entre la organización y el ambiente en el que opera. 1.2. Establecer el Contexto Organizacional Entender la organización, sus capacidades y habilidades Conocer sus objetivos y estrategias. 1.3. Identificar Objetos Críticos Entendiendo por objeto, el área, proceso o actividad o cualquier otro elemento en que se pueda subdividir la organización y sobre el cual se pueda efectuar administración de riesgos. Definir los criterios bajo los cuales se pueda establecer la criticidad de un objeto respecto de otro. Este paso del proceso es importante para evaluar y priorizar los riesgos posteriormente en el paso No. 4 1. Establecer Marco General
9 Proceso de administración de Riesgos 1.1. Establecer el Contexto Estratégico Aspectos financieros, operacionales, competitivos, políticos, imagen, sociales, clientes, culturales y legales, Stakeholders -Organización, propietarios, personal, clientes, proveedores, comunidad local y sociedad-. 1.2. Establecer el Contexto Organizacional Objetivos del negocio: Apoyados en COSO (de operaciones, de Información Financiera y de cumplimiento legal). Otros: la rentabilidad, el crecimiento institucional, posicionamiento competitivo, imagen, servicio al cliente, productividad, calidad, recursos humanos, impacto en la comunidad. 1.3. Identificar Objetos Críticos Definiendo los criterios Pérdida Financiera, Pérdida de Imagen, Incumplimiento de la misión, etc., que nos permitan elaborar una clasificación de las áreas, proyectos, procesos, sistemas o actividades sobre los cuales se llevará a cabo la administración de riesgos. 1. Establecer Marco General Cómo Hacerlo?
10 Proceso de administración de Riesgos 2.1. Establecer un marco específico de administración de riesgos Entender la actividad o parte de la organización para la cual se aplicará el proceso de administración de riesgos. 2.2. Desarrollar criterios de evaluación de riesgos Definir e identificar los criterios de análisis y el nivel de aceptación de los riesgos 2.3. Identificar la estructura Separar la actividad o proyecto en un conjunto de elementos que facilite su comprensión y análisis. 2. Identificar Riesgos
11 Proceso de administración de Riesgos 2. Identificar Riesgos 2.4. Identificar riesgos Responder ¿qué puede ocurrir? Identificar los eventos que puedan afectar los elementos de la estructura identificada en el numeral 2.3. 2.5. Identificar causas ¿Cómo y por qué pueden ocurrir los eventos identificados como riesgos? Identificar lo que motiva, dispara o genera los eventos y los escenarios más significativos.
12 Proceso de administración de Riesgos Cómo Hacerlo? 2. Identificar Riesgos 2.1. Establecer un marco de administración de riesgos Definiendo los objetivos, estrategias, alcance y parámetros de la evaluación de riesgos a realizar. 2.2. Desarrollar criterios de evaluación de riesgos Definiendo los aspectos en los cuales va a centrar su atención durante la evaluación – operativos, técnicos, legales, sociales, financieros, humanos. 2.3. Identificar estructura Descomponer el todo en sus partes, de tal manera que le facilite entender el objeto de análisis y le brinde un marco lógico de acción. Por ejemplo: • Basado en procesos (para TI, Cobit nos propone 34 procesos). • Basado en Sistemas de Información (aplicaciones, programas, archivos, proceso, comunicaciones, entradas, salidas). • Basado en Proyectos (ciclo de vida de desarrollo de SW, el proceso de administración, etapas, entregables). • Basado en recursos (para TI, Cobit nos propone: Datos, Aplicaciones, Tecnología, Instalaciones y Recurso Humano).
13 Proceso de administración de Riesgos 2. Identificar Riesgos 2.4. Identificar riesgos Lo común en las definiciones de riesgo son algunas palabras claves como: eventos, deseables, no deseables, positivos, negativos, probabilidad, impacto, objetivos, consecuencia, inciertos, inesperados, eventuales, etc. Riesgo: son incidentes o situaciones, que ocurren en un sitio concreto durante un intervalo de tiempo determinado, con consecuencias positivas o negativas que podrían afectar el cumplimiento de los objetivos. 2.5. Identificar causas Factores que podrían materializar el riesgo, es importante establecer relaciones con otros riesgos una causa pude generar uno o más riesgos y un riesgo puede ser generado por una o más causas. Por lo tanto exprese los riesgos en términos de consecuencia y considere las causas que pueden generarlo. Ejemplo: Pérdida de confidencialidad debida a interceptación de la línea de comunicación. Cómo Hacerlo?
14 Proceso de administración de Riesgos 3.1. Valorar el riesgo inherente Asignar valor al evento de materialización del riesgo propio del objeto de análisis. 3.2. Determinar Controles Existentes Identificar las actividades o mecanismos de control implementados para mitigar los riesgos inherentes. 3.3. Identificar Nivel de Exposición Resultante de aplicar la fórmula: Nivel de Exposición = Riesgo inherente - Controles 3. Análisis de Riesgos
15 Proceso de administración de Riesgos 3.1. Valorar el riesgo inherente Requiere que se defina una escala de valoración: Cualitativa: Alto, Medio, Bajo Cuantitativa: Escala numérica (el cálculo de P.A.E es un ejemplo) Semicuantitativa: asigna rangos numéricos a las características Alto, Medio, Bajo La valoración se puede hacer mediante el uso de históricos para los métodos cuantitativos, utilizando la fórmula Riesgo= Impacto X Probabilidad y mediante las técnicas de valoración en grupos de trabajo (delphy) para métodos cualitativos 3.2. Determinar Controles Existentes Se requiere conocer que control es una propiedad emergente del Sistema de Control Interno, que son los mecanismos (dispositivos y procedimientos) implementados para prevenir, detectar o corregir la materialización de los riesgos. ¡Tenga presente que la negación del control no es el riesgo! 3.3. Identificar Nivel de Exposición Nivel de Exposición = Riesgo inherente - Controles 3. Análisis de Riesgos Cómo Hacerlo?
16 Proceso de administración de Riesgos 4.1. Comparar contra Criterios y Definir prioridades de riesgo Comparar el resultado del análisis de riesgo realizado contra los criterios establecidos en el numeral 1. Marco general de referencia. Las comparaciones de análisis de riesgo realizadas sobre diferentes áreas de la organización o sobre los diferentes procesos le permitirán priorizar los riesgos sobre los cuales ha de centrar la atención para definir una opción de tratamiento. 4. Evaluar y Priorizar Riesgos
17 Proceso de administración de Riesgos 4.1. Comparar contra Criterios y Definir prioridades de riesgo Elabore una lista ordenada de mayor a menor, por la valoración del nivel de exposición. Esto le permitirá definir los riesgos de mayor grado de importancia sobre los cuales deberá definir las opciones de tratamiento. Centre su atención en lo crítico, de acuerdo a los niveles de aceptación que tenga definidos 4. Evaluar y Priorizar Riesgos Cómo Hacerlo?
18 Proceso de administración de Riesgos 5.1. Identificar opciones de tratamiento Para la actividad o componente al cual aplicó el proceso de administración de riesgos, determine las posibles formas de reducir o mitigar el riesgo. 5.2. Evaluar opciones de tratamiento Bajo las consideraciones del marco de referencia definido, establecer cuáles de las opciones de tratamiento identificadas se ajustan a la organización y reducen el riesgo a un nivel de exposición aceptable. 5.3. Preparar planes de tratamiento Elaborar los planes que le permitan poner en práctica las opciones de tratamiento del riesgo seleccionadas. 5.4. Implementar Plan de tratamiento Poner en marcha el plan definido. 5. Tratamiento del Riesgo
19 Proceso de administración de Riesgos 5.1. Identificar opciones de tratamiento Existen las siguientes: Evitar: Se reduce la probabilidad de pérdida al mínimo; dejar de ejercer la actividad o proceso. Reducir: Se consigue mediante la optimización de los procedimientos y la implementación de controles tendientes a disminuir la probabilidad de ocurrencia o el impacto. Atomizar: Distribuir la localización del riesgo, segmentando el objeto sobre el cual se puede materializar el riesgo. Transferir: Pasar el riesgo de un lugar a otro, compartir con otro el riesgo, esta técnica no reduce la probabilidad ni el impacto, involucra a otro en la responsabilidad. Asumir: Se acepta la pérdida residual probable, con la aceptación del riesgo las estrategias de prevención se vuelven esenciales. 5. Tratamiento del Riesgo Cómo Hacerlo?
20 Proceso de administración de Riesgos 5.2. Evaluar opciones de tratamiento Las opciones de tratamiento deben evaluarse con base en el alcance de la reducción de riesgo (de su probabilidad o de su impacto), la evaluación debe extenderse a los beneficios u oportunidades que la opción de tratamiento pueda crear. Tenga presente considerar varias opciones y que éstas pueden aplicarse individualmente o de manera combinada. Considere los siguientes factores al momento de evaluar las opciones de tratamiento Eficacia: Efectividad de la propuesta de propuesta de tratamiento para reducir el riesgos Factibilidad: La probabilidad de aceptar la opción propuesta Eficiencia : Uso óptimo de los recursos ,Costo efectividad de la opción 5. Tratamiento del Riesgo Cómo Hacerlo?
21 Proceso de administración de Riesgos 5. Tratamiento del Riesgo Costo Implementar medidas de reducción Usar Juicio Antieconómico Nivel Total de Riesgos Para seleccionar la opción más apropiada se requiere balancear el costo de implementación contra los beneficios derivados. Cómo Hacerlo?
22 Proceso de administración de Riesgos 5.3. Preparar planes de tratamiento Documentando cómo se implementarán las opciones elegidas: • Identificando responsabilidades • Programas, resultados esperados, presupuesto • Medir el desempeño y la revisión del proceso en su conjunto. El plan debería incluir también un mecanismo para evaluar la implementación de las opciones contra criterios de desempeño y responsabilidades individuales y otros objetivos, y para controlar hitos críticos de implementación. 5.4. Implementar el plan Idealmente, la responsabilidad para el tratamiento de riesgo debería ser ejercida por los mejor capacitados de controlar el riesgo. Las responsabilidades de implementación se conciertan según la disponibilidad de tiempo de las partes. La implementación exitosa del plan de tratamiento de riesgo requiere de un sistema efectivo de gestión: • Que especifique los métodos elegidos • Asignación de responsabilidades, acciones individuales • Controles contra criterios específicos. 5. Tratamiento del Riesgo Cómo Hacerlo?
23 Administrando Riesgos de TI
24 Administración de Riesgos de TI • Hoy en día la mayoría de las empresas soportan sus procesos operativos con TI. • Se ha generado un alto grado de dependencia de la tecnología informática. • Las organizaciones tienen una elevada inversión en tecnología, por su adquisición, mantenimiento y seguridad. • Se ha incrementado el número de ataques externos a las instalaciones de TI. • Porque es un medio por el cual la administración puede concretar los objetivos de control sobre la T.I. Por qué ?
25 Administración de Riesgos de TI • Requerimientos de la información del negocio. • Recursos de Tecnología Informática • Procesos de Tecnología Informática Recordemos los principios del Modelo CobiT REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO RECURSOS DE TI PROCESOS DE TI
26 CobiT • Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable . • Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica). • Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada. • Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa. Requerimientos de la Información del Negocio
27 CobiT • Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. • Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa. • Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo. Requerimientos de la Información del Negocio
28 CobiT • Datos: Los objetos de información. Información interna y externa, estructurada o no, gráficas, sonidos, etc. • Aplicaciones: Entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. • Tecnología: Incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. • Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. • Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información. Recursos de Tecnología Informática
29 Recursos de TI Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad CobiT Objetivos del Negocio Planeación y Organización Adquisición e Implementación Seguimiento Prestación de Servicio y Soporte 1. Seguimiento de los procesos 2. Evaluar lo adecuado del control Interno 3. Obtener aseguramiento independiente 4. Proveer una auditoría independiente 1. Identificación de soluciones 2. Adquisición y mantenimiento de SW aplicativo 3. Adquisición y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalación y Acreditación de sistemas 6. Administración de Cambios IT. Governance 1. Definir un plan estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir la organización y relaciones de TI 5. Manejo de la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Asegurar el cumplir requerimientos externos 9. Evaluación de Riesgos 10. Administración de Proyectos 11. Administración de Calidad 1.Definición del nivel de servicio 2.Administración del servicio de terceros 3.Admon de la capacidad y el desempeño 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificación y asignación de costos 7.Capacitación de usuarios 8.Soporte a los clientes de TI 9.Administración de la configuración 10.Administración de problemas e incidentes 11.Administración de datos 12.Administración de Instalaciones 13.Administración de Operaciones
30 Administrando Riesgos de TI 1. Establecer Marco General 1.1 Contexto Estratégico 1.2 Contexto Organizacional 1.3 Objetos Críticos Objetivos del Negocio Leyes y Regulaciones Entorno Económico Ambiente Social Competencia Clientes Ambiente Tecnológico Rendimiento Financiero, Crecimiento Institucional, Crecimiento competitivo, Calidad, Servicio al Cliente, Eficiencia operacional, Productividad, Etc. Estructura Organizacional Procesos Actividades Líneas de negocio Productos Impacto Económico - Reputación organizacional Imagen de productos o servicios
31 2. Identificar Riesgos 2.1 Marco Especifico, 2.2 Criterios de Evaluación, 2.3 Identificar Estructura, Administrando Riesgos de TI Específicamente en la administración de TI. y de procesos operativos apoyados con TI. Tecnológicos y de Información Integridad, Confidencialidad y Disponibilidad + Efectividad, Eficiencia, Cumplimiento de Normas + De negocio Procesos de TI (Ejemplo COBIT)  Subprocesos Ej: Manejo y Administración de Proyectos Adquisición y mantenimiento de sistemas de aplicación Administración de la configuración Prestación de servicio continuo Proyecto de TI  Etapas o actividades Sistema de Información  Módulos, Interfase, E/P/S
32 2. Identificar Riesgos 2.4 Identificar Riesgos 2.5 Identificar Causas Administrando Riesgos de TI Ineficiencia en el uso de los recursos Pérdida de confidencialidad Pérdida de Integridad de información Interrupción en la continuidad del servicio Acceso no autorizado Pérdida económica Heterogeneidad en la ejecución de procesos Ausencia de metodologías de procesos Inadecuada clasificación de la información Error u omisión en el procesamiento Cambios no autorizados Hurto de activos (recursos informáticos) Incertidumbre para atender incidentes Ausencia de planes de continuidad de Negocio Suplantación de usuarios Algunos Riesgos Algunas Causas
33 Administrando Riesgos de TI Desarrollo y Adquisición de Software Sub o sobre dimensionamiento Diseño Inadecuado Aceptación de sw no acorde con las necesidades Falta de oportu- nidad en entrada en producción Negación del servicio Cambios no autorizados Ineficiente uso de los recursos Acceso no autorizado Operación de Instalaciones Técnicos y Tecnológicos Relacionados con la Información Pérdida de información Selección inadecuada de estrategias Obsolescencia Tecnológica Pérdida de Información Pérdida de Confidencialidad Pérdida de integridad o Confiabilidad Incumplimiento de normas Riesgos de TI (un ejemplo con 2 procesos y 2 recursos)
34 3. Análisis de Riesgos 3.1 Valorar Riesgo Inherente 3.2 Determinar Controles existentes 3.3 Identificar el nivel de Exposición Relacionados con la Probabilidad 1 Rara vez ocurre 2 Poco probable 3 Algunas Veces 4 probable 5 muy probable Pérdida Financiera 0 No hay pérdida 1 de 1 a 10.000 2 de 10.000 a 50.000 3 de 50.000 a 100.000 4 de 100.000 a 500.000 5 más de 500.000 Relacionada con el Impacto Haga uso de la información histórica que tenga disponible. Aplique un método cuantitativo (ej. P.A.E) Administrando Riesgos de TI Pérdida de Imagen 0 No se afecta la imagen 1 ante los empleados 2 ante un cliente 3 ante una ciudad 4 ante el país 5 ante el mundo Cuando lo requiera elabore sus propias escalas de medición Aplique métodos semi-cuantitativos Vr. Riesgo (Causa) = Probabilidad x Impacto Pérdida de Disponibilidad 0 No se afecta 1 por algunos segundos 2 por algunos minutos 3 por algunas horas 4 por un día/semana 5 por una semana/mes
35 3. Análisis de Riesgos 3.1 Valorar Riesgo Inherente 3.2 Determinar Controles existentes 3.3 Identificar el nivel de Exposición Elabore la lista de los mecanismos de control que aplican a cada uno de los componentes de su objeto analizado Administrando Riesgos de TI Procedimientos formales de planeación. uso de estándares de programación, identificación, codificación. uso de mecanismos de autenticación. procedimientos documentados, divulgados y aplicados. uso de metodologías de desarrollo de sw. uso metodologías de definición de requerimientos. procedimientos para el control de cambios. acuerdos explícitos de niveles de servicio. mecanismos de encripción redundancia en dispositivos y recursos críticos. clasificación de la información procedimientos de respaldo sensores y alarmas de factores ambientales (humo, humedad, temperatura) toma física de inventarios de recursos computacionales verificadores de licencias Esta tarea será más sencilla de realizar si se divide adecuadamente el objeto de análisis en sus partes
36 Definir el nivel de exposición le permitirá conocer la efectividad de los controles. Sin embargo, tenga presente en relación con la efectividad de los controles los siguientes aspectos: Internos frente a los Externos Manuales frente a los Automáticos Previos frente a los Posterior Preventivos frente a los Correctivos y Detectivos Generales frente a los Específicos Continuos frente a los Discretos (aplicación) Periódicos frente a los Esporádicos Administrando Riesgos de TI Nivel de Exposición = Riesgo – Controles aplicados
37 Administrando Riesgos de TI 4. Evaluar y Priorizar Riesgos 4.1 Comparar contra criterios 4.2 Definir prioridades Heterogeneidad en la ejecución de procesos 785 Inadecuada clasificación de la información 750 Desarrollo informal (sin metodología) de sw 675 Ausencia de planes de continuidad de Negocio 585 Incertidumbre para atender incidentes 400 Cambios no autorizados 310 Error u omisión en el procesamiento 250 Hurto de activos (recursos informáticos) 230 Suplantación de usuarios 175
38 • La identificación de opciones de tratamiento del riesgo puede conducirle a: – Implementación de nuevos mecanismos de control. – Cambiar, modificar o eliminar controles existentes. – Combinar mecanismos de control. • Dependiendo del grado de complejidad de la opción elegida su implementación puede llegar al punto de convertirse en un proyecto. – Obligatoriedad del cambio de claves – Definición de pistas de auditoría – Documentación de Procesos – Plan de Continuidad Tecnológico – Función de aseguramiento de la calidad Administrando Riesgos de TI 5. Tratamiento del Riesgo - Identificar y evaluar opciones - Preparar e implementar planes
39 • En los planes de Implementación es conveniente considerar: – Respaldo de la gerencia – Responsables – Presupuestos – Compromiso con la fecha de finalización Administrando Riesgos de TI 5. Tratamiento del Riesgo - Identificar y evaluar opciones - Preparar e implementar planes
40 • Seguimiento a los compromisos en el plan de implementación de opciones de tratamiento. • Revisión y ajuste de métodos y técnicas aplicadas. • Análisis de los beneficios alcanzados (en el negocio, en la administración de TI, en la auditoría, en los usuarios). • Es posible y conveniente continuar con otros objetos? (procesos, proyectos, áreas). • Nivel de aprendizaje de la organización en relación con la administración de sus riesgos. Monitorear y Revisar Administrando Riesgos de TI Reflexión sobre el proceso de Administración de Riesgos
41 Bibliografía The Australian/New Zealand Joint Standards Committee AS/NZS 4360 Risk Management COSO - The Committee of Sponsoring Organizations of the commission Treadway COCO - Instituto Canadiense de Contadores Certificados (CICA) IFAC - Financial & Management Accounting Committee A Guide to Security Risk Management for Information Technology Systems - Government of Canada, Communications Security MAGERIT - Metodología de Análisis y Sesión de Riesgos de los Sistemas de Información - Versión 1.0 Chester Simmons - Risk Management – Solis Montes Gustavo A. Reingeniería de la Auditoría Informática
42 Para mayor Información: Fernando Izquierdo Duarte Ingeniero de Sistemas Banco de la República de Colombia aizquidu@banrep.gov.co
Gracias! Obrigado Thank you!

Recomendados

Riesgos
RiesgosRiesgos
RiesgosRicardo Mansilla
 
Proyectos informaticos
Proyectos informaticosProyectos informaticos
Proyectos informaticosMarcos ALVAREZ RIVERA
 
Proyecto informatico
Proyecto informaticoProyecto informatico
Proyecto informaticoMarcos ALVAREZ RIVERA
 
Adminstracion Del Riesgo Cga
Adminstracion Del Riesgo CgaAdminstracion Del Riesgo Cga
Adminstracion Del Riesgo Cgafdidocar
 
Gestión de Riesgos Organizacionales
Gestión de Riesgos OrganizacionalesGestión de Riesgos Organizacionales
Gestión de Riesgos OrganizacionalesDr. Lucas Burchard Señoret
 
EL PERFIL DEL GERENTE DE RIESGOS
EL PERFIL DEL GERENTE DE RIESGOSEL PERFIL DEL GERENTE DE RIESGOS
EL PERFIL DEL GERENTE DE RIESGOSUPAO
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos InformaticosByron Zurita
 
Clase 4 Administración del Rieso en la organizacion
Clase 4 Administración del Rieso en la organizacionClase 4 Administración del Rieso en la organizacion
Clase 4 Administración del Rieso en la organizacionAxelVargas47
 

Recomendados

Riesgos
RiesgosRiesgos
RiesgosRicardo Mansilla
 
Proyectos informaticos
Proyectos informaticosProyectos informaticos
Proyectos informaticosMarcos ALVAREZ RIVERA
 
Proyecto informatico
Proyecto informaticoProyecto informatico
Proyecto informaticoMarcos ALVAREZ RIVERA
 
Adminstracion Del Riesgo Cga
Adminstracion Del Riesgo CgaAdminstracion Del Riesgo Cga
Adminstracion Del Riesgo Cgafdidocar
 
Gestión de Riesgos Organizacionales
Gestión de Riesgos OrganizacionalesGestión de Riesgos Organizacionales
Gestión de Riesgos OrganizacionalesDr. Lucas Burchard Señoret
 
EL PERFIL DEL GERENTE DE RIESGOS
EL PERFIL DEL GERENTE DE RIESGOSEL PERFIL DEL GERENTE DE RIESGOS
EL PERFIL DEL GERENTE DE RIESGOSUPAO
 
Presentaciones Procesos Informaticos
Presentaciones Procesos InformaticosPresentaciones Procesos Informaticos
Presentaciones Procesos InformaticosByron Zurita
 
Clase 4 Administración del Rieso en la organizacion
Clase 4 Administración del Rieso en la organizacionClase 4 Administración del Rieso en la organizacion
Clase 4 Administración del Rieso en la organizacionAxelVargas47
 
Ge instructivo mapa de riesgos v2
Ge instructivo mapa de riesgos v2Ge instructivo mapa de riesgos v2
Ge instructivo mapa de riesgos v2Alejandro Arbelaez
 
CONTROL INTERNO Y VALORACION DE RIESGOS
CONTROL INTERNO Y VALORACION DE RIESGOSCONTROL INTERNO Y VALORACION DE RIESGOS
CONTROL INTERNO Y VALORACION DE RIESGOS1001976388
 
Clase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdfClase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdfMARIAJOSEPRIVADOSOLO
 
Claves para incorporar el concepto de riesgo a la gestión de la calidad confo...
Claves para incorporar el concepto de riesgo a la gestión de la calidad confo...Claves para incorporar el concepto de riesgo a la gestión de la calidad confo...
Claves para incorporar el concepto de riesgo a la gestión de la calidad confo...Angelica Maria Rodriguez Ribon
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-AuditoríaLuis Fernando Aguas Bucheli
 
5-etapas-fundamenta-es-para-una-gestion-de-riesgos-eficaz.pdf
5-etapas-fundamenta-es-para-una-gestion-de-riesgos-eficaz.pdf5-etapas-fundamenta-es-para-una-gestion-de-riesgos-eficaz.pdf
5-etapas-fundamenta-es-para-una-gestion-de-riesgos-eficaz.pdfJulietteelias1
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...EXIN
 
Presentacion-modulos-1-y-2-Gestion-de-Riesgos-y-BCP-V.8.ppsx
Presentacion-modulos-1-y-2-Gestion-de-Riesgos-y-BCP-V.8.ppsxPresentacion-modulos-1-y-2-Gestion-de-Riesgos-y-BCP-V.8.ppsx
Presentacion-modulos-1-y-2-Gestion-de-Riesgos-y-BCP-V.8.ppsxRonaldBayasArias1
 
Taller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_RiesgosTaller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_RiesgosLeonardo Lemes Fagundes
 
Clase 4 -Presentacion Clase Matrices de Riesgo.pdf
Clase 4 -Presentacion Clase Matrices de Riesgo.pdfClase 4 -Presentacion Clase Matrices de Riesgo.pdf
Clase 4 -Presentacion Clase Matrices de Riesgo.pdfMARIAJOSEPRIVADOSOLO
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgoAlexa Y.
 
Contexto externo interno
Contexto externo internoContexto externo interno
Contexto externo internoAlvaro Castillo Arteaga
 
Maximizar el valor de sus lineas de defensa - LOD
Maximizar el valor de sus lineas de defensa - LODMaximizar el valor de sus lineas de defensa - LOD
Maximizar el valor de sus lineas de defensa - LODEY Perú
 
Investigar U1.docx
Investigar U1.docxInvestigar U1.docx
Investigar U1.docxjorgealvarado183
 
2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx
2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx
2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptxFERNANDO RAUL ESTUPIÑAN ALEGRIA
 
Metodos para evaluacion del riesgo
Metodos para evaluacion del riesgoMetodos para evaluacion del riesgo
Metodos para evaluacion del riesgoLesly Fortich
 
Riesgos matriz
Riesgos matrizRiesgos matriz
Riesgos matrizAlexander Velasque Rimac
 
Guia metodologia mapa de riesgos
Guia metodologia mapa de riesgosGuia metodologia mapa de riesgos
Guia metodologia mapa de riesgosadrianammb
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgoindeson12
 
arquitecturadelainformacin01-131111090833-phpapp02 (1).pptx
arquitecturadelainformacin01-131111090833-phpapp02 (1).pptxarquitecturadelainformacin01-131111090833-phpapp02 (1).pptx
arquitecturadelainformacin01-131111090833-phpapp02 (1).pptxCarmenKeim2
 
SEMANA 15 - MATERIAL DE LECTURA.pdf
SEMANA 15 - MATERIAL DE LECTURA.pdfSEMANA 15 - MATERIAL DE LECTURA.pdf
SEMANA 15 - MATERIAL DE LECTURA.pdfCarmenKeim2
 

Más contenido relacionado

Similar a 4743467 (4).ppt

Ge instructivo mapa de riesgos v2
Ge instructivo mapa de riesgos v2Ge instructivo mapa de riesgos v2
Ge instructivo mapa de riesgos v2Alejandro Arbelaez
 
CONTROL INTERNO Y VALORACION DE RIESGOS
CONTROL INTERNO Y VALORACION DE RIESGOSCONTROL INTERNO Y VALORACION DE RIESGOS
CONTROL INTERNO Y VALORACION DE RIESGOS1001976388
 
Clase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdfClase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdfMARIAJOSEPRIVADOSOLO
 
Claves para incorporar el concepto de riesgo a la gestión de la calidad confo...
Claves para incorporar el concepto de riesgo a la gestión de la calidad confo...Claves para incorporar el concepto de riesgo a la gestión de la calidad confo...
Claves para incorporar el concepto de riesgo a la gestión de la calidad confo...Angelica Maria Rodriguez Ribon
 
5-etapas-fundamenta-es-para-una-gestion-de-riesgos-eficaz.pdf
5-etapas-fundamenta-es-para-una-gestion-de-riesgos-eficaz.pdf5-etapas-fundamenta-es-para-una-gestion-de-riesgos-eficaz.pdf
5-etapas-fundamenta-es-para-una-gestion-de-riesgos-eficaz.pdfJulietteelias1
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...EXIN
 
Presentacion-modulos-1-y-2-Gestion-de-Riesgos-y-BCP-V.8.ppsx
Presentacion-modulos-1-y-2-Gestion-de-Riesgos-y-BCP-V.8.ppsxPresentacion-modulos-1-y-2-Gestion-de-Riesgos-y-BCP-V.8.ppsx
Presentacion-modulos-1-y-2-Gestion-de-Riesgos-y-BCP-V.8.ppsxRonaldBayasArias1
 
Clase 4 -Presentacion Clase Matrices de Riesgo.pdf
Clase 4 -Presentacion Clase Matrices de Riesgo.pdfClase 4 -Presentacion Clase Matrices de Riesgo.pdf
Clase 4 -Presentacion Clase Matrices de Riesgo.pdfMARIAJOSEPRIVADOSOLO
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgoAlexa Y.
 
Maximizar el valor de sus lineas de defensa - LOD
Maximizar el valor de sus lineas de defensa - LODMaximizar el valor de sus lineas de defensa - LOD
Maximizar el valor de sus lineas de defensa - LODEY Perú
 
2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx
2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx
2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptxFERNANDO RAUL ESTUPIÑAN ALEGRIA
 
Metodos para evaluacion del riesgo
Metodos para evaluacion del riesgoMetodos para evaluacion del riesgo
Metodos para evaluacion del riesgoLesly Fortich
 
Guia metodologia mapa de riesgos
Guia metodologia mapa de riesgosGuia metodologia mapa de riesgos
Guia metodologia mapa de riesgosadrianammb
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgoindeson12
 

Similar a 4743467 (4).ppt (20)

Ge instructivo mapa de riesgos v2
Ge instructivo mapa de riesgos v2Ge instructivo mapa de riesgos v2
Ge instructivo mapa de riesgos v2
 
CONTROL INTERNO Y VALORACION DE RIESGOS
CONTROL INTERNO Y VALORACION DE RIESGOSCONTROL INTERNO Y VALORACION DE RIESGOS
CONTROL INTERNO Y VALORACION DE RIESGOS
 
Clase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdfClase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdf
 
Claves para incorporar el concepto de riesgo a la gestión de la calidad confo...
Claves para incorporar el concepto de riesgo a la gestión de la calidad confo...Claves para incorporar el concepto de riesgo a la gestión de la calidad confo...
Claves para incorporar el concepto de riesgo a la gestión de la calidad confo...
 
Taller EFC-Auditoría
Taller EFC-AuditoríaTaller EFC-Auditoría
Taller EFC-Auditoría
 
5-etapas-fundamenta-es-para-una-gestion-de-riesgos-eficaz.pdf
5-etapas-fundamenta-es-para-una-gestion-de-riesgos-eficaz.pdf5-etapas-fundamenta-es-para-una-gestion-de-riesgos-eficaz.pdf
5-etapas-fundamenta-es-para-una-gestion-de-riesgos-eficaz.pdf
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...
 
Presentacion-modulos-1-y-2-Gestion-de-Riesgos-y-BCP-V.8.ppsx
Presentacion-modulos-1-y-2-Gestion-de-Riesgos-y-BCP-V.8.ppsxPresentacion-modulos-1-y-2-Gestion-de-Riesgos-y-BCP-V.8.ppsx
Presentacion-modulos-1-y-2-Gestion-de-Riesgos-y-BCP-V.8.ppsx
 
Taller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_RiesgosTaller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_Riesgos
 
Clase 4 -Presentacion Clase Matrices de Riesgo.pdf
Clase 4 -Presentacion Clase Matrices de Riesgo.pdfClase 4 -Presentacion Clase Matrices de Riesgo.pdf
Clase 4 -Presentacion Clase Matrices de Riesgo.pdf
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgo
 
Contexto externo interno
Contexto externo internoContexto externo interno
Contexto externo interno
 
Maximizar el valor de sus lineas de defensa - LOD
Maximizar el valor de sus lineas de defensa - LODMaximizar el valor de sus lineas de defensa - LOD
Maximizar el valor de sus lineas de defensa - LOD
 
Investigar U1.docx
Investigar U1.docxInvestigar U1.docx
Investigar U1.docx
 
2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx
2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx
2021-03-25-Presentacion-gestion-riesgo-diseno-controles.pptx
 
Metodos para evaluacion del riesgo
Metodos para evaluacion del riesgoMetodos para evaluacion del riesgo
Metodos para evaluacion del riesgo
 
Riesgos matriz
Riesgos matrizRiesgos matriz
Riesgos matriz
 
Guia metodologia mapa de riesgos
Guia metodologia mapa de riesgosGuia metodologia mapa de riesgos
Guia metodologia mapa de riesgos
 
Matriz de riesgo
Matriz de riesgoMatriz de riesgo
Matriz de riesgo
 

Más de CarmenKeim2

arquitecturadelainformacin01-131111090833-phpapp02 (1).pptx
arquitecturadelainformacin01-131111090833-phpapp02 (1).pptxarquitecturadelainformacin01-131111090833-phpapp02 (1).pptx
arquitecturadelainformacin01-131111090833-phpapp02 (1).pptxCarmenKeim2
 
SEMANA 15 - MATERIAL DE LECTURA.pdf
SEMANA 15 - MATERIAL DE LECTURA.pdfSEMANA 15 - MATERIAL DE LECTURA.pdf
SEMANA 15 - MATERIAL DE LECTURA.pdfCarmenKeim2
 
Principios de bases de datos relacionales.pdf
Principios de bases de datos relacionales.pdfPrincipios de bases de datos relacionales.pdf
Principios de bases de datos relacionales.pdfCarmenKeim2
 
HERRAMIENTAS DE DISEÑO EN BASE DE DATOS (1).pdf
HERRAMIENTAS DE DISEÑO EN BASE DE DATOS (1).pdfHERRAMIENTAS DE DISEÑO EN BASE DE DATOS (1).pdf
HERRAMIENTAS DE DISEÑO EN BASE DE DATOS (1).pdfCarmenKeim2
 
HERRAMIENTAS DE DISEÑO APLICATIVO MÓVIL.pdf
HERRAMIENTAS DE DISEÑO APLICATIVO MÓVIL.pdfHERRAMIENTAS DE DISEÑO APLICATIVO MÓVIL.pdf
HERRAMIENTAS DE DISEÑO APLICATIVO MÓVIL.pdfCarmenKeim2
 
HERRAMIENTAS CASE.pdf
HERRAMIENTAS CASE.pdfHERRAMIENTAS CASE.pdf
HERRAMIENTAS CASE.pdfCarmenKeim2
 
Ejercicios-DCU.pdf
Ejercicios-DCU.pdfEjercicios-DCU.pdf
Ejercicios-DCU.pdfCarmenKeim2
 

Más de CarmenKeim2 (7)

arquitecturadelainformacin01-131111090833-phpapp02 (1).pptx
arquitecturadelainformacin01-131111090833-phpapp02 (1).pptxarquitecturadelainformacin01-131111090833-phpapp02 (1).pptx
arquitecturadelainformacin01-131111090833-phpapp02 (1).pptx
 
SEMANA 15 - MATERIAL DE LECTURA.pdf
SEMANA 15 - MATERIAL DE LECTURA.pdfSEMANA 15 - MATERIAL DE LECTURA.pdf
SEMANA 15 - MATERIAL DE LECTURA.pdf
 
Principios de bases de datos relacionales.pdf
Principios de bases de datos relacionales.pdfPrincipios de bases de datos relacionales.pdf
Principios de bases de datos relacionales.pdf
 
HERRAMIENTAS DE DISEÑO EN BASE DE DATOS (1).pdf
HERRAMIENTAS DE DISEÑO EN BASE DE DATOS (1).pdfHERRAMIENTAS DE DISEÑO EN BASE DE DATOS (1).pdf
HERRAMIENTAS DE DISEÑO EN BASE DE DATOS (1).pdf
 
HERRAMIENTAS DE DISEÑO APLICATIVO MÓVIL.pdf
HERRAMIENTAS DE DISEÑO APLICATIVO MÓVIL.pdfHERRAMIENTAS DE DISEÑO APLICATIVO MÓVIL.pdf
HERRAMIENTAS DE DISEÑO APLICATIVO MÓVIL.pdf
 
HERRAMIENTAS CASE.pdf
HERRAMIENTAS CASE.pdfHERRAMIENTAS CASE.pdf
HERRAMIENTAS CASE.pdf
 
Ejercicios-DCU.pdf
Ejercicios-DCU.pdfEjercicios-DCU.pdf
Ejercicios-DCU.pdf
 

Último

Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaXjoseantonio01jossed
 
Fe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.pptFe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.pptVitobailon
 
Edificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes GranadaEdificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes GranadaANDECE
 
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptxAMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptxLuisvila35
 
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023ANDECE
 
Residente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdfResidente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdfevin1703e
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAJAMESDIAZ55
 
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdfAnthonyTiclia
 
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASTEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASfranzEmersonMAMANIOC
 
CICLO DE DEMING que se encarga en como mejorar una empresa
CICLO DE DEMING que se encarga en como mejorar una empresaCICLO DE DEMING que se encarga en como mejorar una empresa
CICLO DE DEMING que se encarga en como mejorar una empresaSHERELYNSAMANTHAPALO1
 
CENTROIDES Y MOMENTOS DE INERCIA DE AREAS PLANAS.pdf
CENTROIDES Y MOMENTOS DE INERCIA DE AREAS PLANAS.pdfCENTROIDES Y MOMENTOS DE INERCIA DE AREAS PLANAS.pdf
CENTROIDES Y MOMENTOS DE INERCIA DE AREAS PLANAS.pdfpaola110264
 
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...SuannNeyraChongShing
 
Fijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSEFijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSEANDECE
 
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfPresentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfMirthaFernandez12
 
Reporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacaReporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacajeremiasnifla
 
Seleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSeleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSaulSantiago25
 
Introducción a los sistemas neumaticos.ppt
Introducción a los sistemas neumaticos.pptIntroducción a los sistemas neumaticos.ppt
Introducción a los sistemas neumaticos.pptEduardoCorado
 
Presentación N° 1 INTRODUCCIÓN Y CONCEPTOS DE GESTIÓN AMBIENTAL.pdf
Presentación N° 1 INTRODUCCIÓN Y CONCEPTOS DE GESTIÓN AMBIENTAL.pdfPresentación N° 1 INTRODUCCIÓN Y CONCEPTOS DE GESTIÓN AMBIENTAL.pdf
Presentación N° 1 INTRODUCCIÓN Y CONCEPTOS DE GESTIÓN AMBIENTAL.pdfMIGUELANGELCONDORIMA4
 
CLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIA
CLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIACLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIA
CLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIAMayraOchoa35
 
Normas para los aceros basados en ASTM y AISI
Normas para los aceros basados en ASTM y AISINormas para los aceros basados en ASTM y AISI
Normas para los aceros basados en ASTM y AISIfimumsnhoficial
 

Último (20)

Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctricaProyecto de iluminación "guia" para proyectos de ingeniería eléctrica
Proyecto de iluminación "guia" para proyectos de ingeniería eléctrica
 
Fe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.pptFe_C_Tratamientos termicos_uap _3_.ppt
Fe_C_Tratamientos termicos_uap _3_.ppt
 
Edificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes GranadaEdificio residencial Tarsia de AEDAS Homes Granada
Edificio residencial Tarsia de AEDAS Homes Granada
 
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptxAMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
AMBIENTES SEDIMENTARIOS GEOLOGIA TIPOS .pptx
 
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023
Centro Integral del Transporte de Metro de Madrid (CIT). Premio COAM 2023
 
Residente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdfResidente de obra y sus funciones que realiza .pdf
Residente de obra y sus funciones que realiza .pdf
 
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESAIPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
IPERC Y ATS - SEGURIDAD INDUSTRIAL PARA TODA EMPRESA
 
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
2. UPN PPT - SEMANA 02 GESTION DE PROYECTOS MG CHERYL QUEZADA(1).pdf
 
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIASTEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
TEXTURA Y DETERMINACION DE ROCAS SEDIMENTARIAS
 
CICLO DE DEMING que se encarga en como mejorar una empresa
CICLO DE DEMING que se encarga en como mejorar una empresaCICLO DE DEMING que se encarga en como mejorar una empresa
CICLO DE DEMING que se encarga en como mejorar una empresa
 
CENTROIDES Y MOMENTOS DE INERCIA DE AREAS PLANAS.pdf
CENTROIDES Y MOMENTOS DE INERCIA DE AREAS PLANAS.pdfCENTROIDES Y MOMENTOS DE INERCIA DE AREAS PLANAS.pdf
CENTROIDES Y MOMENTOS DE INERCIA DE AREAS PLANAS.pdf
 
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...
Polimeros.LAS REACCIONES DE POLIMERIZACION QUE ES COMO EN QUIMICA LLAMAMOS A ...
 
Fijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSEFijaciones de balcones prefabricados de hormigón - RECENSE
Fijaciones de balcones prefabricados de hormigón - RECENSE
 
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdfPresentación Proyecto Trabajo Creativa Profesional Azul.pdf
Presentación Proyecto Trabajo Creativa Profesional Azul.pdf
 
Reporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpacaReporte de Exportaciones de Fibra de alpaca
Reporte de Exportaciones de Fibra de alpaca
 
Seleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusiblesSeleccion de Fusibles en media tension fusibles
Seleccion de Fusibles en media tension fusibles
 
Introducción a los sistemas neumaticos.ppt
Introducción a los sistemas neumaticos.pptIntroducción a los sistemas neumaticos.ppt
Introducción a los sistemas neumaticos.ppt
 
Presentación N° 1 INTRODUCCIÓN Y CONCEPTOS DE GESTIÓN AMBIENTAL.pdf
Presentación N° 1 INTRODUCCIÓN Y CONCEPTOS DE GESTIÓN AMBIENTAL.pdfPresentación N° 1 INTRODUCCIÓN Y CONCEPTOS DE GESTIÓN AMBIENTAL.pdf
Presentación N° 1 INTRODUCCIÓN Y CONCEPTOS DE GESTIÓN AMBIENTAL.pdf
 
CLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIA
CLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIACLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIA
CLASE 2 MUROS CARAVISTA EN CONCRETO Y UNIDAD DE ALBAÑILERIA
 
Normas para los aceros basados en ASTM y AISI
Normas para los aceros basados en ASTM y AISINormas para los aceros basados en ASTM y AISI
Normas para los aceros basados en ASTM y AISI
 

4743467 (4).ppt

  • 1. 211 - Administración de Riesgos de TI Fernando Izquierdo Duarte, CISA Ingeniero de Sistemas Banco de la República Colombia
  • 2. 2 Agenda para hoy • Marco Conceptual de Administración de Riesgos • Administrando Riesgos de TI
  • 4. 4 Administración de Riesgos Definición Es un proceso interactivo e iterativo basado en el conocimiento, evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar la toma de decisiones organizacionales. Aplicable a cualquier situación donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades.
  • 5. 5 Administración de Riesgos Beneficios para la Organización • Facilita el logro de los objetivos de la organización. • Hace a la organización más segura y consciente de sus riesgos. • Mejoramiento continuo del Sistema de Control Interno. • Optimiza la asignación de recursos. • Aprovechamiento de oportunidades de negocio. • Fortalece la cultura de autocontrol. • Mayor estabilidad ante cambios del entorno.
  • 6. 6 Administración de Riesgos Beneficios para el Dpto. de Auditoría • Soporta el logro de los objetivos de la auditoría. • Estandarización en el método de trabajo. • Integración del concepto de control en las políticas organizacionales. • Mayor efectividad en la planeación general de Auditoría. • Evaluaciones enfocadas en riesgos. • Mayor cobertura de la administración de riesgos. • Auditorías más efectivas y con mayor valor agregado.
  • 7. 7 Proceso de administración de Riesgos 1. Establecer Marco General 2. Identificar Riesgos 3. Análisis de Riesgos 4. Evaluar y Priorizar Riesgos 5. Tratamiento del Riesgo Monitorear y Revisar
  • 8. 8 Proceso de administración de Riesgos 1.1. Establecer el Contexto Estratégico Definir la relación entre la organización y el ambiente en el que opera. 1.2. Establecer el Contexto Organizacional Entender la organización, sus capacidades y habilidades Conocer sus objetivos y estrategias. 1.3. Identificar Objetos Críticos Entendiendo por objeto, el área, proceso o actividad o cualquier otro elemento en que se pueda subdividir la organización y sobre el cual se pueda efectuar administración de riesgos. Definir los criterios bajo los cuales se pueda establecer la criticidad de un objeto respecto de otro. Este paso del proceso es importante para evaluar y priorizar los riesgos posteriormente en el paso No. 4 1. Establecer Marco General
  • 9. 9 Proceso de administración de Riesgos 1.1. Establecer el Contexto Estratégico Aspectos financieros, operacionales, competitivos, políticos, imagen, sociales, clientes, culturales y legales, Stakeholders -Organización, propietarios, personal, clientes, proveedores, comunidad local y sociedad-. 1.2. Establecer el Contexto Organizacional Objetivos del negocio: Apoyados en COSO (de operaciones, de Información Financiera y de cumplimiento legal). Otros: la rentabilidad, el crecimiento institucional, posicionamiento competitivo, imagen, servicio al cliente, productividad, calidad, recursos humanos, impacto en la comunidad. 1.3. Identificar Objetos Críticos Definiendo los criterios Pérdida Financiera, Pérdida de Imagen, Incumplimiento de la misión, etc., que nos permitan elaborar una clasificación de las áreas, proyectos, procesos, sistemas o actividades sobre los cuales se llevará a cabo la administración de riesgos. 1. Establecer Marco General Cómo Hacerlo?
  • 10. 10 Proceso de administración de Riesgos 2.1. Establecer un marco específico de administración de riesgos Entender la actividad o parte de la organización para la cual se aplicará el proceso de administración de riesgos. 2.2. Desarrollar criterios de evaluación de riesgos Definir e identificar los criterios de análisis y el nivel de aceptación de los riesgos 2.3. Identificar la estructura Separar la actividad o proyecto en un conjunto de elementos que facilite su comprensión y análisis. 2. Identificar Riesgos
  • 11. 11 Proceso de administración de Riesgos 2. Identificar Riesgos 2.4. Identificar riesgos Responder ¿qué puede ocurrir? Identificar los eventos que puedan afectar los elementos de la estructura identificada en el numeral 2.3. 2.5. Identificar causas ¿Cómo y por qué pueden ocurrir los eventos identificados como riesgos? Identificar lo que motiva, dispara o genera los eventos y los escenarios más significativos.
  • 12. 12 Proceso de administración de Riesgos Cómo Hacerlo? 2. Identificar Riesgos 2.1. Establecer un marco de administración de riesgos Definiendo los objetivos, estrategias, alcance y parámetros de la evaluación de riesgos a realizar. 2.2. Desarrollar criterios de evaluación de riesgos Definiendo los aspectos en los cuales va a centrar su atención durante la evaluación – operativos, técnicos, legales, sociales, financieros, humanos. 2.3. Identificar estructura Descomponer el todo en sus partes, de tal manera que le facilite entender el objeto de análisis y le brinde un marco lógico de acción. Por ejemplo: • Basado en procesos (para TI, Cobit nos propone 34 procesos). • Basado en Sistemas de Información (aplicaciones, programas, archivos, proceso, comunicaciones, entradas, salidas). • Basado en Proyectos (ciclo de vida de desarrollo de SW, el proceso de administración, etapas, entregables). • Basado en recursos (para TI, Cobit nos propone: Datos, Aplicaciones, Tecnología, Instalaciones y Recurso Humano).
  • 13. 13 Proceso de administración de Riesgos 2. Identificar Riesgos 2.4. Identificar riesgos Lo común en las definiciones de riesgo son algunas palabras claves como: eventos, deseables, no deseables, positivos, negativos, probabilidad, impacto, objetivos, consecuencia, inciertos, inesperados, eventuales, etc. Riesgo: son incidentes o situaciones, que ocurren en un sitio concreto durante un intervalo de tiempo determinado, con consecuencias positivas o negativas que podrían afectar el cumplimiento de los objetivos. 2.5. Identificar causas Factores que podrían materializar el riesgo, es importante establecer relaciones con otros riesgos una causa pude generar uno o más riesgos y un riesgo puede ser generado por una o más causas. Por lo tanto exprese los riesgos en términos de consecuencia y considere las causas que pueden generarlo. Ejemplo: Pérdida de confidencialidad debida a interceptación de la línea de comunicación. Cómo Hacerlo?
  • 14. 14 Proceso de administración de Riesgos 3.1. Valorar el riesgo inherente Asignar valor al evento de materialización del riesgo propio del objeto de análisis. 3.2. Determinar Controles Existentes Identificar las actividades o mecanismos de control implementados para mitigar los riesgos inherentes. 3.3. Identificar Nivel de Exposición Resultante de aplicar la fórmula: Nivel de Exposición = Riesgo inherente - Controles 3. Análisis de Riesgos
  • 15. 15 Proceso de administración de Riesgos 3.1. Valorar el riesgo inherente Requiere que se defina una escala de valoración: Cualitativa: Alto, Medio, Bajo Cuantitativa: Escala numérica (el cálculo de P.A.E es un ejemplo) Semicuantitativa: asigna rangos numéricos a las características Alto, Medio, Bajo La valoración se puede hacer mediante el uso de históricos para los métodos cuantitativos, utilizando la fórmula Riesgo= Impacto X Probabilidad y mediante las técnicas de valoración en grupos de trabajo (delphy) para métodos cualitativos 3.2. Determinar Controles Existentes Se requiere conocer que control es una propiedad emergente del Sistema de Control Interno, que son los mecanismos (dispositivos y procedimientos) implementados para prevenir, detectar o corregir la materialización de los riesgos. ¡Tenga presente que la negación del control no es el riesgo! 3.3. Identificar Nivel de Exposición Nivel de Exposición = Riesgo inherente - Controles 3. Análisis de Riesgos Cómo Hacerlo?
  • 16. 16 Proceso de administración de Riesgos 4.1. Comparar contra Criterios y Definir prioridades de riesgo Comparar el resultado del análisis de riesgo realizado contra los criterios establecidos en el numeral 1. Marco general de referencia. Las comparaciones de análisis de riesgo realizadas sobre diferentes áreas de la organización o sobre los diferentes procesos le permitirán priorizar los riesgos sobre los cuales ha de centrar la atención para definir una opción de tratamiento. 4. Evaluar y Priorizar Riesgos
  • 17. 17 Proceso de administración de Riesgos 4.1. Comparar contra Criterios y Definir prioridades de riesgo Elabore una lista ordenada de mayor a menor, por la valoración del nivel de exposición. Esto le permitirá definir los riesgos de mayor grado de importancia sobre los cuales deberá definir las opciones de tratamiento. Centre su atención en lo crítico, de acuerdo a los niveles de aceptación que tenga definidos 4. Evaluar y Priorizar Riesgos Cómo Hacerlo?
  • 18. 18 Proceso de administración de Riesgos 5.1. Identificar opciones de tratamiento Para la actividad o componente al cual aplicó el proceso de administración de riesgos, determine las posibles formas de reducir o mitigar el riesgo. 5.2. Evaluar opciones de tratamiento Bajo las consideraciones del marco de referencia definido, establecer cuáles de las opciones de tratamiento identificadas se ajustan a la organización y reducen el riesgo a un nivel de exposición aceptable. 5.3. Preparar planes de tratamiento Elaborar los planes que le permitan poner en práctica las opciones de tratamiento del riesgo seleccionadas. 5.4. Implementar Plan de tratamiento Poner en marcha el plan definido. 5. Tratamiento del Riesgo
  • 19. 19 Proceso de administración de Riesgos 5.1. Identificar opciones de tratamiento Existen las siguientes: Evitar: Se reduce la probabilidad de pérdida al mínimo; dejar de ejercer la actividad o proceso. Reducir: Se consigue mediante la optimización de los procedimientos y la implementación de controles tendientes a disminuir la probabilidad de ocurrencia o el impacto. Atomizar: Distribuir la localización del riesgo, segmentando el objeto sobre el cual se puede materializar el riesgo. Transferir: Pasar el riesgo de un lugar a otro, compartir con otro el riesgo, esta técnica no reduce la probabilidad ni el impacto, involucra a otro en la responsabilidad. Asumir: Se acepta la pérdida residual probable, con la aceptación del riesgo las estrategias de prevención se vuelven esenciales. 5. Tratamiento del Riesgo Cómo Hacerlo?
  • 20. 20 Proceso de administración de Riesgos 5.2. Evaluar opciones de tratamiento Las opciones de tratamiento deben evaluarse con base en el alcance de la reducción de riesgo (de su probabilidad o de su impacto), la evaluación debe extenderse a los beneficios u oportunidades que la opción de tratamiento pueda crear. Tenga presente considerar varias opciones y que éstas pueden aplicarse individualmente o de manera combinada. Considere los siguientes factores al momento de evaluar las opciones de tratamiento Eficacia: Efectividad de la propuesta de propuesta de tratamiento para reducir el riesgos Factibilidad: La probabilidad de aceptar la opción propuesta Eficiencia : Uso óptimo de los recursos ,Costo efectividad de la opción 5. Tratamiento del Riesgo Cómo Hacerlo?
  • 21. 21 Proceso de administración de Riesgos 5. Tratamiento del Riesgo Costo Implementar medidas de reducción Usar Juicio Antieconómico Nivel Total de Riesgos Para seleccionar la opción más apropiada se requiere balancear el costo de implementación contra los beneficios derivados. Cómo Hacerlo?
  • 22. 22 Proceso de administración de Riesgos 5.3. Preparar planes de tratamiento Documentando cómo se implementarán las opciones elegidas: • Identificando responsabilidades • Programas, resultados esperados, presupuesto • Medir el desempeño y la revisión del proceso en su conjunto. El plan debería incluir también un mecanismo para evaluar la implementación de las opciones contra criterios de desempeño y responsabilidades individuales y otros objetivos, y para controlar hitos críticos de implementación. 5.4. Implementar el plan Idealmente, la responsabilidad para el tratamiento de riesgo debería ser ejercida por los mejor capacitados de controlar el riesgo. Las responsabilidades de implementación se conciertan según la disponibilidad de tiempo de las partes. La implementación exitosa del plan de tratamiento de riesgo requiere de un sistema efectivo de gestión: • Que especifique los métodos elegidos • Asignación de responsabilidades, acciones individuales • Controles contra criterios específicos. 5. Tratamiento del Riesgo Cómo Hacerlo?
  • 24. 24 Administración de Riesgos de TI • Hoy en día la mayoría de las empresas soportan sus procesos operativos con TI. • Se ha generado un alto grado de dependencia de la tecnología informática. • Las organizaciones tienen una elevada inversión en tecnología, por su adquisición, mantenimiento y seguridad. • Se ha incrementado el número de ataques externos a las instalaciones de TI. • Porque es un medio por el cual la administración puede concretar los objetivos de control sobre la T.I. Por qué ?
  • 25. 25 Administración de Riesgos de TI • Requerimientos de la información del negocio. • Recursos de Tecnología Informática • Procesos de Tecnología Informática Recordemos los principios del Modelo CobiT REQUERIMIENTOS DE INFORMACIÓN DEL NEGOCIO RECURSOS DE TI PROCESOS DE TI
  • 26. 26 CobiT • Efectividad: La información debe ser relevante y pertinente para los procesos del negocio y debe ser proporcionada en forma oportuna, correcta, consistente y utilizable . • Eficiencia: Se debe proveer información mediante el empleo óptimo de los recursos (la forma más productiva y económica). • Confidencialidad: Protección de la información sensitiva contra divulgación no autorizada. • Integridad: Refiere a lo exacto y completo de la información así como a su validez de acuerdo con las expectativas de la empresa. Requerimientos de la Información del Negocio
  • 27. 27 CobiT • Disponibilidad: accesibilidad a la información cuando sea requerida por los procesos del negocio y la salvaguarda de los recursos y capacidades asociadas a los mismos. • Cumplimiento: de las leyes, regulaciones y compromisos contractuales con los cuales está comprometida la empresa. • Confiabilidad: proveer la información apropiada para que la administración tome las decisiones adecuadas para manejar la empresa y cumplir con las responsabilidades de los reportes financieros y de cumplimiento normativo. Requerimientos de la Información del Negocio
  • 28. 28 CobiT • Datos: Los objetos de información. Información interna y externa, estructurada o no, gráficas, sonidos, etc. • Aplicaciones: Entendido como los sistemas de información, que integran procedimientos manuales y sistematizados. • Tecnología: Incluye hardware y software básico, sistemas operativos, sistemas de administración de bases de datos, de redes, telecomunicaciones, multimedia, etc. • Instalaciones: Incluye los recursos necesarios para alojar y dar soporte a los sistemas de información. • Recurso Humano: Por la habilidad, conciencia y productividad del personal para planear, adquirir, prestar servicios, dar soporte y monitorear los sistemas de Información. Recursos de Tecnología Informática
  • 29. 29 Recursos de TI Datos, Aplicaciones Tecnología, Instalaciones, Recurso Humano Req. Información Efectividad, Eficiencia, Confidencialidad, Integridad, Disponibilidad, Cumplimiento, Confiabilidad CobiT Objetivos del Negocio Planeación y Organización Adquisición e Implementación Seguimiento Prestación de Servicio y Soporte 1. Seguimiento de los procesos 2. Evaluar lo adecuado del control Interno 3. Obtener aseguramiento independiente 4. Proveer una auditoría independiente 1. Identificación de soluciones 2. Adquisición y mantenimiento de SW aplicativo 3. Adquisición y mantenimiento de arquitectura TI 4. Desarrollo y mantenimiento de Procedimientos de TI 5. Instalación y Acreditación de sistemas 6. Administración de Cambios IT. Governance 1. Definir un plan estratégico de TI 2. Definir la arquitectura de información 3. Determinar la dirección tecnológica 4. Definir la organización y relaciones de TI 5. Manejo de la inversión en TI 6. Comunicación de la directrices Gerenciales 7. Administración del Recurso Humano 8. Asegurar el cumplir requerimientos externos 9. Evaluación de Riesgos 10. Administración de Proyectos 11. Administración de Calidad 1.Definición del nivel de servicio 2.Administración del servicio de terceros 3.Admon de la capacidad y el desempeño 4.Asegurar el servicio continuo 5.Garantizar la seguridad del sistema 6.Identificación y asignación de costos 7.Capacitación de usuarios 8.Soporte a los clientes de TI 9.Administración de la configuración 10.Administración de problemas e incidentes 11.Administración de datos 12.Administración de Instalaciones 13.Administración de Operaciones
  • 30. 30 Administrando Riesgos de TI 1. Establecer Marco General 1.1 Contexto Estratégico 1.2 Contexto Organizacional 1.3 Objetos Críticos Objetivos del Negocio Leyes y Regulaciones Entorno Económico Ambiente Social Competencia Clientes Ambiente Tecnológico Rendimiento Financiero, Crecimiento Institucional, Crecimiento competitivo, Calidad, Servicio al Cliente, Eficiencia operacional, Productividad, Etc. Estructura Organizacional Procesos Actividades Líneas de negocio Productos Impacto Económico - Reputación organizacional Imagen de productos o servicios
  • 31. 31 2. Identificar Riesgos 2.1 Marco Especifico, 2.2 Criterios de Evaluación, 2.3 Identificar Estructura, Administrando Riesgos de TI Específicamente en la administración de TI. y de procesos operativos apoyados con TI. Tecnológicos y de Información Integridad, Confidencialidad y Disponibilidad + Efectividad, Eficiencia, Cumplimiento de Normas + De negocio Procesos de TI (Ejemplo COBIT)  Subprocesos Ej: Manejo y Administración de Proyectos Adquisición y mantenimiento de sistemas de aplicación Administración de la configuración Prestación de servicio continuo Proyecto de TI  Etapas o actividades Sistema de Información  Módulos, Interfase, E/P/S
  • 32. 32 2. Identificar Riesgos 2.4 Identificar Riesgos 2.5 Identificar Causas Administrando Riesgos de TI Ineficiencia en el uso de los recursos Pérdida de confidencialidad Pérdida de Integridad de información Interrupción en la continuidad del servicio Acceso no autorizado Pérdida económica Heterogeneidad en la ejecución de procesos Ausencia de metodologías de procesos Inadecuada clasificación de la información Error u omisión en el procesamiento Cambios no autorizados Hurto de activos (recursos informáticos) Incertidumbre para atender incidentes Ausencia de planes de continuidad de Negocio Suplantación de usuarios Algunos Riesgos Algunas Causas
  • 33. 33 Administrando Riesgos de TI Desarrollo y Adquisición de Software Sub o sobre dimensionamiento Diseño Inadecuado Aceptación de sw no acorde con las necesidades Falta de oportu- nidad en entrada en producción Negación del servicio Cambios no autorizados Ineficiente uso de los recursos Acceso no autorizado Operación de Instalaciones Técnicos y Tecnológicos Relacionados con la Información Pérdida de información Selección inadecuada de estrategias Obsolescencia Tecnológica Pérdida de Información Pérdida de Confidencialidad Pérdida de integridad o Confiabilidad Incumplimiento de normas Riesgos de TI (un ejemplo con 2 procesos y 2 recursos)
  • 34. 34 3. Análisis de Riesgos 3.1 Valorar Riesgo Inherente 3.2 Determinar Controles existentes 3.3 Identificar el nivel de Exposición Relacionados con la Probabilidad 1 Rara vez ocurre 2 Poco probable 3 Algunas Veces 4 probable 5 muy probable Pérdida Financiera 0 No hay pérdida 1 de 1 a 10.000 2 de 10.000 a 50.000 3 de 50.000 a 100.000 4 de 100.000 a 500.000 5 más de 500.000 Relacionada con el Impacto Haga uso de la información histórica que tenga disponible. Aplique un método cuantitativo (ej. P.A.E) Administrando Riesgos de TI Pérdida de Imagen 0 No se afecta la imagen 1 ante los empleados 2 ante un cliente 3 ante una ciudad 4 ante el país 5 ante el mundo Cuando lo requiera elabore sus propias escalas de medición Aplique métodos semi-cuantitativos Vr. Riesgo (Causa) = Probabilidad x Impacto Pérdida de Disponibilidad 0 No se afecta 1 por algunos segundos 2 por algunos minutos 3 por algunas horas 4 por un día/semana 5 por una semana/mes
  • 35. 35 3. Análisis de Riesgos 3.1 Valorar Riesgo Inherente 3.2 Determinar Controles existentes 3.3 Identificar el nivel de Exposición Elabore la lista de los mecanismos de control que aplican a cada uno de los componentes de su objeto analizado Administrando Riesgos de TI Procedimientos formales de planeación. uso de estándares de programación, identificación, codificación. uso de mecanismos de autenticación. procedimientos documentados, divulgados y aplicados. uso de metodologías de desarrollo de sw. uso metodologías de definición de requerimientos. procedimientos para el control de cambios. acuerdos explícitos de niveles de servicio. mecanismos de encripción redundancia en dispositivos y recursos críticos. clasificación de la información procedimientos de respaldo sensores y alarmas de factores ambientales (humo, humedad, temperatura) toma física de inventarios de recursos computacionales verificadores de licencias Esta tarea será más sencilla de realizar si se divide adecuadamente el objeto de análisis en sus partes
  • 36. 36 Definir el nivel de exposición le permitirá conocer la efectividad de los controles. Sin embargo, tenga presente en relación con la efectividad de los controles los siguientes aspectos: Internos frente a los Externos Manuales frente a los Automáticos Previos frente a los Posterior Preventivos frente a los Correctivos y Detectivos Generales frente a los Específicos Continuos frente a los Discretos (aplicación) Periódicos frente a los Esporádicos Administrando Riesgos de TI Nivel de Exposición = Riesgo – Controles aplicados
  • 37. 37 Administrando Riesgos de TI 4. Evaluar y Priorizar Riesgos 4.1 Comparar contra criterios 4.2 Definir prioridades Heterogeneidad en la ejecución de procesos 785 Inadecuada clasificación de la información 750 Desarrollo informal (sin metodología) de sw 675 Ausencia de planes de continuidad de Negocio 585 Incertidumbre para atender incidentes 400 Cambios no autorizados 310 Error u omisión en el procesamiento 250 Hurto de activos (recursos informáticos) 230 Suplantación de usuarios 175
  • 38. 38 • La identificación de opciones de tratamiento del riesgo puede conducirle a: – Implementación de nuevos mecanismos de control. – Cambiar, modificar o eliminar controles existentes. – Combinar mecanismos de control. • Dependiendo del grado de complejidad de la opción elegida su implementación puede llegar al punto de convertirse en un proyecto. – Obligatoriedad del cambio de claves – Definición de pistas de auditoría – Documentación de Procesos – Plan de Continuidad Tecnológico – Función de aseguramiento de la calidad Administrando Riesgos de TI 5. Tratamiento del Riesgo - Identificar y evaluar opciones - Preparar e implementar planes
  • 39. 39 • En los planes de Implementación es conveniente considerar: – Respaldo de la gerencia – Responsables – Presupuestos – Compromiso con la fecha de finalización Administrando Riesgos de TI 5. Tratamiento del Riesgo - Identificar y evaluar opciones - Preparar e implementar planes
  • 40. 40 • Seguimiento a los compromisos en el plan de implementación de opciones de tratamiento. • Revisión y ajuste de métodos y técnicas aplicadas. • Análisis de los beneficios alcanzados (en el negocio, en la administración de TI, en la auditoría, en los usuarios). • Es posible y conveniente continuar con otros objetos? (procesos, proyectos, áreas). • Nivel de aprendizaje de la organización en relación con la administración de sus riesgos. Monitorear y Revisar Administrando Riesgos de TI Reflexión sobre el proceso de Administración de Riesgos
  • 41. 41 Bibliografía The Australian/New Zealand Joint Standards Committee AS/NZS 4360 Risk Management COSO - The Committee of Sponsoring Organizations of the commission Treadway COCO - Instituto Canadiense de Contadores Certificados (CICA) IFAC - Financial & Management Accounting Committee A Guide to Security Risk Management for Information Technology Systems - Government of Canada, Communications Security MAGERIT - Metodología de Análisis y Sesión de Riesgos de los Sistemas de Información - Versión 1.0 Chester Simmons - Risk Management – Solis Montes Gustavo A. Reingeniería de la Auditoría Informática
  • 42. 42 Para mayor Información: Fernando Izquierdo Duarte Ingeniero de Sistemas Banco de la República de Colombia aizquidu@banrep.gov.co