1. Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
2. 4. Optimización del riesgo.
Contenido
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
El manejo de riesgos en estrategia, cartera, programa, proyectos y operaciones.
Marcos y estándares de gestión de riesgos.
La relación del enfoque en riesgos con cumplimiento (legal y regulatorio).
Gestión de riesgos de TI/negocio (alineación).
Resiliencia empresarial.
Riesgo del uso de TI (amenazas/vulnerabilidades) y oportunidades.
Riesgos de negocio que se pueden resolver con TI.
Apetito y tolerancia al riesgo.
Métodos cuantitativos y cualitativos de evaluación del riesgo.
Mitigación de riesgos.
Monitoreo de la efectividad de las estrategias de mitigación.
Análisis de interesados y técnicas de comunicación.
Indicadores de riesgos.
Manejo/reporte del estado del riesgo identificado.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
3. 4. Optimización del riesgo.
El manejo de riesgos en estrategia, cartera, programa, proyectos y operaciones.
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: ISACA, The Risk IT Framework, USA 2009
. Riesgos de TI en la jerarquía de riesgos.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
4. Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: OGC (UK Office of Government Commerce).
Cuatro niveles de riesgos.
4. Optimización del riesgo.
El manejo de riesgos en estrategia, cartera, programa, proyectos y operaciones.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
5. Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: ISACA CGEIT 2014
Cuatro niveles de riesgos.
Nivel de Riesgo Descripción
Riesgo de nivel
estratégico
Riesgos de que TI obtenga sus objetivos. Puede ser: comercial,
financiero, político, de ambiente, cultural, de calidad, de continuidad
de negocio, etc.
Riesgo de nivel de
programa
Riesgo incluido en la adquisición, creación, organización, proyectos,
seguridad, etc.
Riesgos de nivel
de proyecto
Riesgo concerniente a la gente, a los aspectos tecnológicos, a los
costos, a los recursos, etc.
Riesgos a nivel
operativo
Riesgo concerniente a la gente, a aspectos tecnológicos, a costos,
a los recursos, calidad, fallas del proveedor, fallas en la
infraestructura, continuidad del negocio y relaciones con clientes.
4. Optimización del riesgo.
El manejo de riesgos en estrategia, cartera, programa, proyectos y operaciones.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
6. 4. Optimización del riesgo.
Marcos y estándares de gestión de riesgos.
Grado de cobertura (según color azul, gris y blanco).
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: ISACA, The Risk IT Framework, USA 2009
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
7. 4. Optimización del riesgo.
Marcos y estándares de gestión de riesgos.
Integración.
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: ISACA,
The Risk IT Framework, USA 2009
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
8. Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: COSO ERM. Committee of Sponsoring Organizations of the Treadway
Commission (COSO), USA, 2004.
4. Optimización del riesgo.
Marcos y estándares de gestión de riesgos.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
9. Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: ISACA, COBIT 5 for risk, USA 2013
4. Optimización del riesgo.
Marcos y estándares de gestión de riesgos.
Integración.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
10. Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: ISO 31000 Risk Management Principles
4. Optimización del riesgo.
Marcos y estándares de gestión de riesgos.
Integración.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
11. Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: OGC Framework for Managing Risk
4. Optimización del riesgo.
Marcos y estándares de gestión de riesgos.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
12. 4. Optimización del riesgo.
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: ISACA CGEIT 2014
La relación del enfoque en riesgos con cumplimiento (legal y regulatorio).
Categoría de
objetivo de
negocio
Relacionado con..
Estratégico Objetivo de alto nivel, que está alineado y da soporte a la misión y visión del
negocio.
Operacional Eficacia y eficiencia de las operaciones de la organización, incluidas las
metas de rendimiento y rentabilidad, que varían en función de las decisiones
de la administración sobre la estructura y el desempeño.
Reporte La eficacia de los informes de la organización, incluidos los informes internos
y externos y la información financiera o no financiera.
Cumplimiento El cumplimiento del negocio con las leyes y regulaciones aplicables.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
13. 4. Optimización del riesgo.
Gestión de riesgos de TI/negocio (alineación).
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: ISACA CGEIT 2014 / Risk IT Framework
Casi todas las decisiones de negocio requieren la
ejecución de un balance entre riesgos y ganancias.
Se deben considerar:
Riesgos estratégicos.
Riesgos de ambiente.
Riesgos de mercado.
Riesgos de crédito.
Riesgos operacionales.
Riesgos de cumplimiento.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
14. 4. Optimización del riesgo.
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: ISACA COBIT 5 Enabling Processes
La relación del enfoque en riesgos con cumplimiento (legal y regulatorio).
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
15. 4. Optimización del riesgo.
Riesgo del uso de TI (amenazas/vulnerabilidades) y oportunidades.
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: ISACA CGEIT 2014
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
16. 4. Optimización del riesgo.
Riesgos de negocio que se pueden resolver con TI.
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: ISACA CGEIT 2014
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
17. 4. Optimización del riesgo.
Apetito de riesgos y tolerancia al riesgo
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: ISACA CRISC Review Manual 2014
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
18. 4. Optimización del riesgo.
Apetito de riesgos y tolerancia al riesgo
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: COBIT 5 Enabling
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
19. 4. Optimización del riesgo.
Apetito de riesgos y tolerancia al riesgo
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: COBIT 5 Enabling
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
20. 4. Optimización del riesgo.
Apetito de riesgos y tolerancia al riesgo
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: COBIT 5 Enabling
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
21. 4. Optimización del riesgo.
Métodos cuantitativos y cualitativos de evaluación del riesgo.
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Método Cualitativo Método Cuantitativo
Las situaciones en las que sólo se dispone de
información limitada o de baja calidad, suelen
aplicarse métodos cualitativos de análisis de
riesgos.
La evaluación del riesgos cuantitativo es más
objetiva, porque está basada en datos
empíricos formales.
Las principales desventajas de utilizar el
enfoque cualitativo son un alto nivel de
subjetividad, gran variación en el juicio humano
y falta de un enfoque estandarizado durante la
evaluación.
El uso de métodos puramente cuantitativos
requiere datos buenos y fiables en datos
pasados y comparables, y la obtención de los
datos es en muchos casos muy difícil a menos
que la organización ya haya adoptado el
proceso de mejora y siga un enfoque como SIX
SIGMA para monitoreo de TI y mejora de la
producción
Una evaluación del riesgo cualitativo suele ser
menos compleja en comparación con el análisis
cuantitativo, y consecuentemente, también es
menos costosa.
Ref.: ISACA CGEIT 2014
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
22. 4. Optimización del riesgo.
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: ISACA RISK IT
Framework USA 2009
Mitigación de riesgos.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
23. 4. Optimización del riesgo.
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Monitoreo de la efectividad de las estrategias de mitigación.
Six Sigma Service Level
Mnagement
IT Balanced Scorecard
Descrip
ción
El enfoque SIX SIGMA se inició en
Motorola en la década de 1980.
Proporciona una medida común de
rendimiento a través de diferentes
procesos y sistemas, y puede ser
utilizado por la gente para comparar,
sicuss y aprender de diferentes
operaciones en diferentes partes de
una organización.
SLM es un proceso clave para
cada organización de proveedores
de servicios de TI, ya que es
responsable de obtener acuerdos
y documentar objetivos de nivel
de servicio y responsabilidades
para todas las actividades dentro
de TI.
Los BSC diseñados para
abordar los problemas de TI
surgieron a mediados de la
década de 1990 y
evolucionaron. Cubren aspectos
de CGIT, SLM, ERP, manejo del
conocimiento y auditoría de
sistemas.
Impacto El Six Sigma es una metodología de
reducción de defectos que transforma
las empresas obligándolas a
centrarse en los procesos. IT es un
gran usuario de procesos, por
ejemplo, pruebas, implementación de
hardware y reelaboración de
software.
Propone al negocio los objetivos
de servicio acordados y la
información de gestión requerida
para asegurar que dichos
objetivos se han cumplido.
Demostrar el valor de TI; puede
configurarse para el Govierno
corporativo de TI y Reducir
costos y ser eficientes.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
Ref.: ISACA CGEIT 2014
24. 4. Optimización del riesgo.
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Análisis de interesados y técnicas de comunicación.
Ref.: ISACA The Risk IT Framework USA 2009
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
25. 4. Optimización del riesgo.
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: ISACA CGEIT 2014
Indicadores de riesgos.
Consideraciones del KRI de las partes interesadas.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
26. 4. Optimización del riesgo.
Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
Ref.: ISACA CGEIT 2014
Manejo/reporte del estado del riesgo identificado.
Reportes de estado. Es comúnmente utilizado para informar el estado de progreso de un
proyecto.
Registro de problemas. Se puede utilizar como una herramienta de soporte para la
evaluación de los riesgos. Se dividen en resueltos y pendientes. La información de los resueltos
nos puede dar idea de tiempo y estrategia de solución para otros problemas similares que
están pendientes.
Evaluaciones. Revisiones de diseño preliminares y revisiones críticas de diseño;
Revisiones de equipo rosado y rojo; Tutoriales y; Revisiones de manejo de objetivos.
Auditoría de riesgos. Implican un análisis detallado de un producto o proceso.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
27. Diplomatura en Seguridad Informática
Unidad 01: Gobierno de TI.
4. Optimización del riesgo.
‘Copyright 2017 Héctor Calderazzi para UCASAL, Fundación Libertad y AGASSI
hcalderazzi@gmail.com
linkedin.com Héctor Calderazzi
Skype: hrcalderazzi
Twitter: @hcalderazzi