El documento presenta un marco de trabajo para la gestión de riesgos de TI llamado Risk IT. Risk IT define riesgo de TI y permite integrar la gestión de riesgos de TI en la gestión de riesgos organizacional. Además, ayuda a identificar riesgos y debilidades de TI para que los auditores puedan determinar los controles necesarios para mitigarlos.

1. Yuvenny Ramírez 11-1152
Yorka Pérez 11-1157
Kemuel Sánchez 11-1050

2.  Es un modelo completo que define buenas
prácticas y:
◦ Proporciona orientación en el diseño, realización y
reporte de auditorías.
◦ Define términos y conceptos específicos para el
aseguramiento de TI
◦ Establece los estándares que definan los requerimientos
para los profesionales de la auditoria relacionados a
 roles y responsabilidades
 Conocimientos y habilidades
 Diligencia, conducta y reporte
Yuvenny

3.  Estándar: debe ser cumplido
 Directrices: Proveen una guía
para actuar
 Herramientas: Proveen un ejemplo o
“plantilla” de acción.
Yuvenny

4.  Generales:
◦ Los principios guía por los que operan los
profesionales de aseguramiento de TI
◦ Aplican para la realización de todas la asignaciones
◦ Se ocupan de:
 ética
 Independencia
 Objetividad
 Debido cuidado
 Conocimiento
 competencia
Yuvenny

5.  Desempeño:
◦ Se refieren a la realización de la asignación:
 Planificación y supervisión
 Alcance, riesgo y materialidad
 Movilización de recursos
 Gestión de supervisión y asignaciones
 Evidencias de auditoria y aseguramiento
 Puesta en práctica de juicio profesional
 Reportes
◦ Se refiere a los tipos de reportes, medios de
comunicación y la información comunicada.
Kemuel

6.  Proporcionan al auditor información y
dirección sobre un área de auditoria o
aseguramiento.
 Ayudan a clarificar la relación entre las
actividades e iniciativas de la empresa y las
asumidas por TI
 Se centran en ayudar para la planificación,
ejecución, pruebas y reportes de auditorías o
aseguramientos sobre los procesos de TI
Kemuel

7.  Proporcionan información específica sobre
diversa metodologías, herramientas y
plantillas, incluyendo información sobre si
aplicación o uso.
 Las herramientas y técnicas están
directamente vinculadas están directamente
vinculadas con directrices específicas.
Kemuel

8.  Evaluación de Riesgos
de SI
 Firmas Digitales
 Detección de Intrusos
 Virus y otros códigos
maliciosos
 Auto-evaluación del
control de riesgos
 Firewalls
 Irregularidades y actos
ilegales
 Evaluación de la
seguridad – Pruebas de
penetración y análisis
de vulnerabilidades
 Evaluación de los
controles de gestión
sobre las metodologías
de encriptación
 Control de Cambios de
aplicación del negocio
 Transferencia
Electrónica de Datos
Kemuel

9.  Es parte de la planificación de auditoria
 Ayuda a identificar riesgos y debilidades
par que el auditor puede determinar los
controles necesarios para mitigarlos
Yorka

10.  El auditor de SI a menudo está centrado
en asuntos de alto riesgo asociados con:
• Confiabilidad
• Confidencialidad
• Disponibilidad
• Integridad
Yorka

11.  El Auditor de SI debe tener una comprensión
clara de:
◦ El propósito y la naturaleza del negocio
◦ Una buena visión general de los procesos de
negocio
◦ La dependencia en tecnología
◦ Los riesgos que supone el uso de TI y como
impactan en el logro de las metas y objetivos de
negocio
Yorka

12.  Es un marco de trabajo para ayudar a las
empresas a gestionar sus riesgos de TI
 Riesgo (según ISO):
“Potencial de que una amenaza determinada
exploté las vulnerabilidades de uno o más
activos y por consiguiente produzca danos o
perdidas a la organización.”
Yorka

13.  Risk IT Explica el riesgo de la informacion y
permite:
◦ Integrar la gestión de riesgo de TI en la gestión de
riesgos organizacional
◦ Tomar decisiones bien informadas acerca de la
magnitud, tolerancia y aversión al riesgo de la
empresa.
◦ Comprender como responder al riesgo.
Yorka