Este documento presenta una introducción a la gestión de riesgos de TI. Define los términos clave como riesgo, gestión de riesgos y stakeholders. Explica que el riesgo de TI se refiere a los riesgos comerciales asociados con el uso y adopción de la tecnología dentro de una organización. Además, clasifica los riesgos de TI y discute marcos como ISO 31000 para la gestión de riesgos. Finalmente, destaca que la TI puede jugar un papel en permitir o inhibir oportunidades y que las organiz
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
Un análisis del proceso de Gestión de Riesgos de TI desde las perspectivas distintas de los estándares, las normas y las mejores prácticas de gestión de TI aplicables. Se revisa el enfoque de gestión de riesgos de TI descrito en ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO 22301 y COBIT.
Vamos a cubrir:
• Perspectiva general de Gestión de Riesgos
• Normas, estándares y buenas prácticas en la gestión de procesos de TI
• Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000)
• Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
Presentador:
Pedro Escarcega Navarrete es un profesional con más de 30 años de experiencia como ejecutivo en empresas, en áreas de tecnología y ha desempeñado funciones que van desde la consultoría, capacitación e implementación y gestión de procesos de tecnologías de la información, el diseño y la administración de proyectos, hasta funciones de gerencia y dirección.
Link of the recorded session published on YouTube: https://youtu.be/JF0RIYmH6No
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
Un análisis del proceso de Gestión de Riesgos de TI desde las perspectivas distintas de los estándares, las normas y las mejores prácticas de gestión de TI aplicables. Se revisa el enfoque de gestión de riesgos de TI descrito en ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO 22301 y COBIT.
Vamos a cubrir:
• Perspectiva general de Gestión de Riesgos
• Normas, estándares y buenas prácticas en la gestión de procesos de TI
• Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000)
• Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
Presentador:
Pedro Escarcega Navarrete es un profesional con más de 30 años de experiencia como ejecutivo en empresas, en áreas de tecnología y ha desempeñado funciones que van desde la consultoría, capacitación e implementación y gestión de procesos de tecnologías de la información, el diseño y la administración de proyectos, hasta funciones de gerencia y dirección.
Link of the recorded session published on YouTube: https://youtu.be/JF0RIYmH6No
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
FACULTAD DE INFORMATICA
UNIVERSIDAD COMPLUTENSE DE MADRID
INGENIERIA INFORMATICA
AUDITORIA INFORMATICA
Auditoria Informatica - Tema AI07 Auditoria proceso desarrollo software
Documento que desarrolla los puntos necesarios a realizar en el momento de llevar a cabo una auditoría de un SGSI (Sistema de Gestión de la Seguridad de la Información).
FACULTAD DE INFORMATICA
UNIVERSIDAD COMPLUTENSE DE MADRID
INGENIERIA INFORMATICA
AUDITORIA INFORMATICA
Auditoria Informatica - Tema AI03 Analis y gestion de riesgos
27001:2013 - Seguridad orientada al Negocio - FD
linkedin • La norma ISO 27001 le brinda a la Organización los objetivos de control de los que surgen las medidas de seguridad que adopta y adecúa a su cultura y entorno para la protección de la información más sensible y las aplicaciones más críticas para cada área de negocio.
FACULTAD DE INFORMATICA
UNIVERSIDAD COMPLUTENSE DE MADRID
INGENIERIA INFORMATICA
AUDITORIA INFORMATICA
Auditoria Informatica - Tema AI07 Auditoria proceso desarrollo software
Documento que desarrolla los puntos necesarios a realizar en el momento de llevar a cabo una auditoría de un SGSI (Sistema de Gestión de la Seguridad de la Información).
FACULTAD DE INFORMATICA
UNIVERSIDAD COMPLUTENSE DE MADRID
INGENIERIA INFORMATICA
AUDITORIA INFORMATICA
Auditoria Informatica - Tema AI03 Analis y gestion de riesgos
Las cinco fuerzas Porter es uno de los modelos más famosos que ha elaborado el economista y que dio a conocer en 1979 y en el 2008 publico este articulo en Harvard Business Review. Lo que hizo fue utilizar como modelo una completa gestión que tiene como base lo que te acabamos de explicar anteriormente. Lo que se hace es un completo análisis de la empresa por medio de un estudio de la industria en ese momento, con el fin de saber dónde está colocada una empresa con base en otra en ese momento.
Risk optimization management inside it governanceRamiro Cid
ISACA conference about Risk Optimization management inside IT Governance in Linde Group. This presentation talk about the alignment vs risk when IS department has to choose what is first having a insufficient budget to manage IT security in a adequate way and a different risk apetite than business.
Webinar Vistage "Liderazgo Digital" Transformando la organización con Tecnolo...Carlos Francavilla
Descripción de la evolución de los escenarios de negocios y la transformación producida en los mercados por la digitalización, el modelo de negocios digital y los ecosistemas. Preguntas de diagnóstico de cómo comenzar un proceso de transformación digital.
¿Como se construye una aplicación web segura, que siempre está disponible y atiende a miles de usuarios? En esta charla hablaré de como construir aplicaciones web concurrentes que son capaces de atender miles de usuarios a la vez. Hablare del uso de a nube y las bases de datos, sistemas de archivos, servidores web, lenguajes de programación, balanceadores de carga y como colaboran e intervienen para lograr crear arquitecturas web robustas.
Resume ejecutivo marco risk it 18 10-2013-cbonilla1967
Universo del riesgo, Categorías, Jerarquía, Principios del riesgo, Modelo de procesos de la gestión del riesgo, Contenido clave del marco de trabajo del riesgo
Modulo I: Metodologia de la Administracion de RiesgosControl Interno
PROGRAMA DE ESPECIALIZACIÓN EN CONTROL INTERNO
Especializar profesionales en el campo del control interno organizacional, capaces de diseñar, dirigir, asesorar, implementar y evaluar sistemas de control interno y de utilizar adecuadamente las herramientas gerenciales y de administración de control al interior de las organizaciones privadas.
MÓDULO I:
METODOLOGÍA DE LA ADMINISTRACIÓN DE RIESGOS
Es el conocimiento básico de la aplicación de técnicas de control interno, mediante la diagramación de procesos críticos de una empresa, de la elaboración de mapas de riesgo conforme a la identificación de procesos vulnerables, así como, de la elaboración de reportes desde un enfoque que proporcione valor agregado para las empresas.
2. TÉRMINOS Y DEFINICIONES
•
Riesgo: efecto de la incertidumbre sobre los objetivos.
•
Gestión de riesgos: coordinación de actividades para dirigir y controlar una
organización en relación con el riesgo.
•
Stakeholder: Persona u organización que puede afectar, ser afectada o
percibir ser afectada por una decisión o actividad.
•
Resiliencia: Capacidad de adaptación de una organización en un entorno
complejo y cambiante. ‘resistencia, flexibilidad,…’
3. Riesgos de TI
•
Se definen como riesgos de negocios asociados con el uso,
propiedad, operación, la participación, la influencia y la adopción de
TI dentro de una empresa.
•
Son un componente del universo de riesgos a los que está
sometida una organización. Otros de los riesgos a los que una
organización se enfrenta pueden ser riesgos estratégicos, riesgos
ambientales, riesgos de mercado, riesgos de crédito, riesgos
operativos y riesgos de cumplimiento.
4. • El Riesgo de TI es el riesgo comercial, es decir, el riesgo
de los negocios asociados con el uso, la propiedad, la
operación, la participación, la influencia y la adopción de
las TI dentro de una organización. Se compone de
eventos relacionados con IT que podrían afectar a la
organización. Esto incluye tanto la frecuencia y la
magnitud incierta, la creación de problemas en el
cumplimiento de metas y objetivos estratégicos, así
como la incertidumbre en la búsqueda de oportunidades.
5. Clasificación de los Riesgos
•
El valor de los riesgos de TI permitidos – Asociado con las
oportunidades no aprovechadas para mejorar la eficiencia o
efectividad de los procesos de negocio.
•
Programas de TI y riesgos en las entregas de proyectos – Asociada
a la contribución de IT sobre nuevas soluciones de negocio.
•
Operaciones de TI y riesgos en las entregas de servicios –
Asociadas con todos los aspectos relacionados con los servicios y
sistemas de TI, puede producir pérdidas o reducción del valor a la
organización.
6.
7. ISO 31000
• Tiene como objetivo ayudar a las organizaciones de
todo tipo y tamaño a gestionar sus riesgos con
efectividad.
• El nuevo standard ISO proporciona que los principios, el
marco y un proceso destinado a gestionar cualquier tipo
de riesgo en una manera transparente, sistemática y
creíble dentro de cualquier alcance o contexto.
8. ISO 31000
El standard recomienda que las organizaciones
desarrollen, implementen y mejoren en forma continua el
marco de gestión de riesgos como un componente del
sistema integral de gestión de la organización.
• ISO 31000 es un documento práctico que busca ayudar a
las organizaciones en el desarrollo de su propia estrategia
para gestionar sus riesgos, pero no es un estándar
certificable.
9. ISO 31000 está diseñada para ayudar a las
organizaciones a:
•
•
•
•
•
•
•
Aumentar la probabilidad de lograr sus objetivos
Fomentar la gestión proactiva
Ser conscientes de la necesidad de identificar y tratar el riesgo en
toda la organización
Mejorar la identificación de las oportunidades y amenazas
Cumplir con las exigencias legales y reglamentarias y las normas
internacionales
Mejorar la información financiera
Mejorar el gobierno de la organización
10. ISO 31000 está diseñada para ayudar a las
organizaciones a:
•Incrementar la confianza de los grupos de interés (‘stakeholders’)
•Establecer una base fiable para la toma de decisiones y planificación.
•Mejorar los controles
•Asignar y utilizar de manera efectiva los recursos para el tratamiento
del riesgo
•Mejorar la eficacia y la eficiencia operacional.
•Aumentar la seguridad y salud así como la protección al medio
ambiente
•Mejorar la prevención y la gestión de incidentes.
•Minimizar las pérdidas.
•Mejorar el aprendizaje y la ‘resiliencia’ de la organización
11. Clasificación de los riesgos
•
•
•
•
•
•
•
RIESGOS FINANCIEROS
RIESGOS DINAMICOS
RIESGOS ESTATICOS
RIESGO ESPECULATIVO
RIESGO PURO
RIESGO FUNDAMENTAL
RIESGO PARTICULAR
12.
13. Principales indicadores de riesgo
Son capaces de demostrar que la empresa está sujeta a, o tiene una alta
probabilidad de, estar sometida a un riesgo que excede del apetito de riesgo
definido. Los riesgos son específicos para cada empresa y su selección depende de
parámetros, tales como el tamaño y la complejidad de la empresa. En La
identificación de indicadores de riesgo debe tenerse en cuenta :
•Considerar las distintas partes interesadas en la empresa.
•Hacer una selección equilibrada de indicadores del riesgo.
•Asegurar que los indicadores seleccionados detallen el origen de la
causa de los eventos.
14. Indicadores claves de riesgo (RISK)
Los RISK se distinguen por ser de gran relevancia, por poseer una alta probabilidad de
predecir o por que indican un riesgo importante. Los criterios para seleccionar RISK
incluyen:
•Impacto
•Esfuerzo para aplicar, medir y reportar
•Fiabilidad
•Sensibilidad
•EJEMPLO:
Un detector de humo, fiabilidad significa que el detector de humo hará sonar una
alarma cada vez que haya humo. Sensibilidad significa que el detector de humo suena
cuando se alcanza un determinado umbral de densidad de humo.
15. Beneficios a la empresa:
•
Alerta temprana
•
Opinión retrospectiva
•
Facilitar la documentación y el análisis de las tendencias.
•
Indicadores.
•
Aumentar la probabilidad de lograr los objetivos estratégicos de la
empresa.
•
Ayudar continuamente a la optimización de la gestión del riesgo y del
entorno.
16. TI . Riesgo - Oportunidad
Después de que la
empresa realice su
evaluación inicial de los
riesgos y / o de
oportunidades, es
necesario determinar la
forma de tratarlos.
Aquí, los tres Marcos
de ISACA (COBIT, VAL
IT y riesgos de TI) se
complementan entre sí
y proporcionan una
orientación práctica
17. TI puede jugar varios roles en relación riesgo-oportunidad
•Valor Permitido:
•Habilitando proyectos de TI de éxito que apoyan las nuevas iniciativas y, así,
la creación de valor.
•La aplicación de nuevas tecnologías o el uso de nueva tecnología de forma
innovadora que permitan nuevas iniciativas empresariales y la creación de
valor.
•Valor inhibidor:
•La organización puede fallar.
•Destrucción de valor, algunos eventos de TI, especialmente en las
operaciones de TI, pueden causar leves o graves trastornos operativos a la
empresa.
18. El marco de riesgos de TI consiste de:
Dominio; Gobierno del riesgo (RG).
• – RG1 Establecer y mantener una visión común de riesgo.
• – RG2 Intégrese con la Gestión de riesgos de la empresa (ERM).
• – RG3 Hacer decisiones conscientes del riesgo de negocio.
Domino; Evaluación de riesgo (RE)
• – RE1 Recoger datos.
• – RE2 Analizar los riesgos.
• – RE3 Mantener el Perfil de riesgo.
Dominio; Respuesta de riesgo (RR)
• – RR1 Articular el riesgo.
• – RR2 Gestión de riesgos.
• – RR3 Reaccionar a los eventos.
19.
20. ¿Cómo puede una empresa hacer frente a esto en
la práctica?
Se propone una importante inversión en infraestructura de TI, ya sea como una iniciativa proactiva o
de reacción la empresa debe considerar todos los siguientes elementos en la toma de decisiones:
•Beneficios en la reducción del riesgo.
•Los riesgos asociados con la inversión.
•Los beneficios comerciales resultantes de la posesión de la nueva infraestructura de TI y las
oportunidades.
Cuando surge una nueva tecnología, la empresa debe considerar lo siguiente al determinar si
conviene o no adoptar la tecnología:
•Los riesgos asociados con la operación de la nueva tecnología:
•Impacto de la adopción de la tecnología.
•Consecuencias de no adoptar la nueva tecnología.
•Los beneficios comerciales de la nueva tecnología.