Administracion de Riesgos y Gobierno TI
-
Upload
independent -
Category
Documents
-
view
1 -
download
0
Transcript of Administracion de Riesgos y Gobierno TI
1
CONTROLES
Políticas, procedimientos, práctica y estructuras organizacionales concebidas para brindar garantía razonable de que se lograrán los objetivos de negocio y que los eventos no deseados se impedirán o se detectarán y corregirán oportunamente.
3
OBJETIVOS DE CONTROL
Es la declaración del resultado o fin a lograr mediante la implementación de procedimientos de control en una determinada actividad de TI.
Los objetivos de control pueden ser: Genéricos (para todos los procesos) Detallados (específicos para cada proceso)
6
GOBIERNO DE TI
Constituye una parte esencial del gobierno corporativo de toda empresa y lo que busca es establecer las directivas necesarias para asegurar que TI soporta y facilita el desarrollo de los objetivos estratégicos definidos.
7
GOBIERNO DE TI
Un Gobierno de TI garantiza que:
TI está alineada con la estrategia del negocio.
Los servicios y funciones de TI se proporcionan con el máximo valor posible o de la forma más eficiente.
Todos los riesgos relacionados con TI son conocidos y administrados y los recursos de TI están seguros.
10
LA NECESIDAD DE UN MARCO DE TRABAJO
Permite alinear la estrategia de TI con la estrategia del negocio.
Permite mitigar los riesgos relacionados con TI
Estructura que facilita la consecución de metas y estrategias
Permite medir el desempeño de TI
11
LA NECESIDAD DE UN MARCO DE TRABAJO
COBIT (Control Objectives Control Objectives for Information and related Technology) es el marco aceptado internacionalmente como una buena práctica para el control de la información, TI y los riesgos que conllevan.
COBIT, como todo marco de trabajo, contiene con el fin de brindar un enfoque controles, objetivos de control, medidas de desempeño, factores críticos de éxito y modelos de madurez con el fin de brindar valor a las empresa.
14
LA NECESIDAD DE UN MARCO DE TRABAJO
ISO 27000 (International Organization for Estandardization) es un conjunto de estándares que proporcionan un marco para la gestión de la seguridad de la información por medio de controles que deben de implementarse.
15
ACUERDOS DE LA SUPERINTENDENCIA DE BANCOS DE PANAMÁ Acuerdo No.5-2011: Gobierno Corporativo Acuerdo No.6-2011: Banca Electrónica y Riesgos Relacionados
16
ACUERDOS DE LA SUPERINTENDENCIA DE BANCOS DE PANAMÁ Acuerdo No.7-2011: Gestión de Riesgo Operativo Acuerdo No.3-2012: Gestión de Riesgo de Tecnología de la Información
Según ISO, riesgo tecnológico se define como:“La probabilidad de que una amenaza se materialice de acuerdo al nivel de vulnerabilidad existente de un activo, generando un impacto específico el cual puede estar representado por pérdidas y daños”.
RIESGO TECNOLÓGICO
Es la fuente de daño potencial, que se expresa como la posibilidad de que un evento se presente con una cierta intensidad, en un sitio específico y dentro de un período de tiempo definido bajo una situación que potencialmente cause pérdidas Pueden ser de tipo lógico o físico.
AMENAZA
Una debilidad en un sistema que permite a un ente externo o atacante violar la confidencialidad de un sistema así como su integridad y disponibilidad.
VULNERABILIDAD
El resultado de un evento o incidencia, expresado en forma cualitativa o cuantitativa, que genera pérdida, daño, desventaja o ganancia. Estos pueden ser un rango de posibles resultados asociados con el evento.
IMPACTO
22
COMO GESTIONAR LOS RIESGOS – UN ENFOQUE HOLISTICO
Verificar los procesos claves de cada área a auditar
Establecer el contexto, el alcance y los objetivos a conseguir
Realizar las entrevistas y preguntar, preguntar y preguntar
23
COMO GESTIONAR LOS RIESGOS – UN ENFOQUE HOLISTICO
Realizar las entrevistas y preguntar, preguntar y preguntar
Escuchar, escuchar y escuchar
Documentar todo
24
COMO GESTIONAR LOS RIESGOS – UN ENFOQUE HOLISTICO
Inventariar todos los activos de información tanto hardware como software
Realizar auditoría exhaustiva y obtener evidencias como papeles de trabajo
Ingresar hallazgos que impliquen riesgos en matriz
25
COMO GESTIONAR LOS RIESGOS – UN ENFOQUE HOLISTICO
Asociar las amenazas, vulnerabilidades y controles
Valorar los riesgos con las área de negocio
Determinar los criterios de aceptación de riesgos para cada hallazgo