1

Examen de primera unidad el viernes 25 abril

II UNIDAD
ADMINISTRACION DE RIESGOS EN TECNOLOGIAS DE
INFORMACIN
1. Marco conceptual de administracin de riesgos
Definicin:
Proceso interactivo: se relaciona con varias acciones con el
exterior.
Proceso iterativo: se repiten acciones sucesivas que se van
ajustando, sucesivamente hasta alcanzar un resultado ptimo.
Se tiene que conocer el riesgo, evaluarlo y manejarlo, hasta
controlar sus impactos. Con el Propsito de tomar una
decisin.
Esta definicin se aplica en cualquier situacin donde un
resultado (riesgo no deseado o inesperado) pueda ser
considerado oportuno controlarlo.
2. Beneficio para la organizacin empresarial.
Se puede contar con el logro de los objetivos, porque se
sienten seguros al tomar consciencia de sus riesgos
identificados.
Se logra mejorar el sistema de control interno en:
Es el conjunto de acciones, actividades, planes, polticas, normas,
registros, procedimientos y mtodos, incluido el entorno y
actitudes que desarrollan autoridades y su personal a cargo, con el
objetivo de prevenir posibles riesgos que afectan a una
entidad pblica. Se fundamenta en una estructura basada en
cinco componentes funcionales:
2

a) Ambiente de control
b) Evaluacin de riesgos
c) Actividades de control gerencial
d) Informacin y comunicacin
e) Supervisin

Mayor estabilidad de los miembros de la empresa ante
cambios del entorno
3. Beneficios de la administracin de riesgos en la auditoria
Como ya se identificaron los riesgos, se puede estandarizar
el mtodo de trabajo de la auditoria.
La auditora se une al concepto del sistema de control
interno, con el objetivo de prevenir posibles riesgos.
Ya se puede evaluar un riesgo identificado.

4. Proceso de administracin de riesgos
a) Establecer marco general:
1. establecer el contexto estratgico
Definir la relacin empresa con su ambiente donde opera.

2. Establecer el contexto organizacional.
Conocer de la empresa:
De sus miembros: capacidades, habilidades.
Por organizacin: objetivos, estrategias operativas.
3. Identificar objetivos crticos: En
El rea, proceso, actividad sobre la cual se pueda efectuar
administracin de riesgo. O establecer el grado de crisis.

b) Identificar riesgos
3

1. Establecer un marco especifico de administracin de riesgos
Entender la actividad de la empresa, donde se aplicara el
proceso de administracin de riesgo.
2. Desarrollar criterios de evaluacin de riesgos.
Criterios: cmo vamos analizar, definir en qu nivel de
aceptacin del riesgo.
3. Identificar la estructura.
Solicitan separar la actividad o proyecto para facilitar la
comprensin y anlisis.
Basada en la descomposicin del todo en sus partes.
4. Identificar riesgos
Con la pregunta Qu puede ocurrir?
5. Identificar causas
Cmo y por qu puede ocurrir el riesgo identificado?


c) Anlisis de riesgos
1. Valorar el riesgo inherente
Asignarle un valor al riesgo segn el objetivo del anlisis.
Cualitativa: alto, medio, bajo.
Cuantitativa: escala numrica (riesgo= impacto x
probabilidad (usando tcnicas de valoracin delphy))
2. Determinar controles existentes
Identificar un mecanismo de control para mitigar el riesgo
inherente.
Se necesita aplicar el sistema de control interno.
3. Identificar nivel de exposicin
Se aplica la frmula
Nivel de exposicin= riesgo inherente controles

4

d) Evaluar y priorizar riesgos
Comparar criterios y definir prioridades de riesgos
Criterios: cmo vamos analizar, definir en qu nivel de
aceptacin del riesgo.

1. Elaborar una lista ordenada de mayor a menor, por la
valoracin del riesgo.
2. Para definir opciones de tratamiento.
3. Definir el estado crtico del riesgo.


e) Tratamiento del riesgo
1. Identificar opciones de tratamiento
Cundo es posible aplicar la administracin del riesgo?
2. Evaluar opciones de tratamiento
Seleccionar alternativas que reduzcan el riesgo, y que se
ajusten a la organizacin.
Para evaluar se considera lo siguiente:
Eficacia: efectividad de la propuesta de tratamiento.
Factibilidad: la aceptacin de las alternativas u opciones
de reduccin riesgo.
Eficiencia: uso ptimo de los recursos, costo efectividad
de la opcin.
3. Preparar un plan de tratamiento
Elaborar un plan, que incluya las alternativas
seleccionadas que reduzcan el riesgo y el momento de
aplicar la administracin del riesgo.
4. Implementar plan de tratamiento
Ejecutar el plan
5. Evaluar Opciones de tratamiento
5

Considere los siguientes factores al momento de evaluar las
opciones de tratamiento
Eficacia: Efectividad de la propuesta de propuesta de
tratamiento para reducir el riesgos
Factibilidad: La probabilidad de aceptar la opcin
propuesta
Eficiencia: Uso ptimo de los recursos ,Costo
efectividad de la opcin
5.1 Ejecucin del plan (4)
Preparar planes de tratamiento
Documentando cmo se implementarn las opciones elegidas:
Identificar responsables para ejecutar el plan
Elaborar programas, resultados esperados, presupuesto para la
ejecucin del plan
Medir el rendimiento del proceso operativo de las PCs o
software.
Medir el desempeo de las actividades operativas del trabajo
en la empresa.
El plan debera incluir tambin un mecanismo para evaluar la
las opciones contra desempeo e incumplimiento de
responsabilidades individuales

5.2 Implementar el plan
Lo ideal es seleccionar personal capacitado para
controlar el riesgo
Las responsabilidades de implementacin se harn
segn la disponibilidad de tiempo de las partes.
6

La implementacin exitosa del plan de tratamiento de
riesgo requiere de un sistema efectivo de gestin:
Que especifique los mtodos elegidos
Asignacin de responsabilidades, acciones individuales
Controles contra criterios especficos.


ADMINISTRANDO RIESGO TI
Hoy en da las empresas dependen de la tecnologa
informtica, han invertido en tecnologa, por adquisicin
(comprado, ganancia), por mantenimiento de otro equipo
(software MP) y seguridad (servidor, firewall, cmaras de
vigilancia).
Se ha incrementado el num de ataques externos a las
instalaciones de TI.
Es atacado porque la administracin con la tecnologa concreta
sus objetivos del proceso administrativo(planificar, organizar,
dirigir, ejecutar, controlar)







7

COBIT MODELO PARA AUDITAR
El COBIT es precisamente un modelo para auditar la gestin y
control de los sistemas de informacin y tecnologa, orientado a
todos los sectores de una organizacin, es decir, administradores
IT, usuarios y por supuesto, los auditores involucrados en el
proceso. El COBIT es un modelo de evaluacin y monitoreo que
enfatiza en el control de negocios y la seguridad IT y que abarca
controles especficos de IT desde una perspectiva de negocios.
Las siglas COBIT significan Objetivos de Control para
Tecnologa de Informacin y Tecnologas relacionadas (Control
Objectives for Information Systems and related Technology). El
modelo es el resultado de una investigacin con expertos de
varios pases, desarrollado por ISACA (Information Systems
Audit and Control Association).
COBIT, lanzado en 1996, es una herramienta de gobierno de TI que
ha cambiado la forma en que trabajan los profesionales de
tecnologa. Vinculando tecnologa informtica y prcticas de
control, el modelo COBIT consolida y armoniza estndares de
fuentes globales prominentes en un recurso crtico para la gerencia,
los profesionales de control y los auditores.
COBIT se aplica a los sistemas de informacin de toda la
empresa, incluyendo los computadores personales y las redes.
Est basado en la filosofa de que los recursos TI necesitan ser
administrados por un conjunto de procesos naturalmente
agrupados para proveer la informacin pertinente y confiable
que requiere una organizacin para lograr sus objetivos.
Misin del COBIT
8

Buscar, desarrollar, publicar y promover un autoritario y actualizado
conjunto internacional de objetivos de control de tecnologas de la
informacin, generalmente aceptadas, para el uso diario por parte
de gestores de negocio y auditores.

BENEFICIOS COBIT
Mejor alineacin basada en una focalizacin sobre el
negocio.
Visin comprensible de TI para su administracin.
Clara definicin de propiedad y responsabilidades.
Aceptabilidad general con terceros y entes reguladores.
Entendimiento compartido entre todos los interesados
basados en un lenguaje comn.
Cumplimiento global de los requerimientos de TI
planteados en el Marco de Control Interno de Negocio
COSO.
Estructura
La estructura del modelo COBI T propone un marco de accin
evalan los criterios de informacin, como por ejemplo la donde se
seguridad y calidad, se auditan los recursos que comprenden la
tecnologa de informacin, como por ejemplo el recurso humano,
instalaciones, sistemas, entre otros, y finalmente se realiza una
evaluacin sobre los procesos involucrados en la organizacin.
adecuada implementacin "La de un modelo COBI T en una
evaluar organizacin, provee una herramienta automatizada, para
de manera gil y consistente el cumplimiento de los objetivos de
control y controles detallados, que aseguran que los procesos y
recursos de informacin y tecnologa contribuyen al logro de los
9

objetivos del negocio en un mercado cada vez ms exigente,
complejo y diversificado.
CONTROL DEL USO DE LAS TI VA I NFLUI R EN EL LOGRO
DE LOS OBJ ETI VOS DE LA EMPRESA
Dominios COBIT
El conjunto de lineamientos y estndares internacionales
conocidos como COBI T, define un marco de referencia que clasifica
los procesos de las unidades de tecnologa de informacin de las
organizaciones en cuatro "dominios" principales, a saber:
PLANIFICACION Y ORGANIZACION: Este dominio cubre la
estrategia y las tcticas y se refiere a la identificacin de la forma en
que la tecnologa de informacin puede contribuir de la mejor
manera al logro de los objetivos del negocio. Adems, la
consecucin de la visin estratgica necesita ser planeada,
comunicada y administrada desde diferentes perspectivas.
Finalmente, debern establecerse una organizacin y una
infraestructura tecnolgica apropiadas.
ADQUISION E IMPLANTACION: Para llevar a cabo la
estrategia de TI, las soluciones de TI deben ser identificadas,
desarrolladas o adquiridas, as como implementadas e integradas
dentro del proceso del negocio. Adems, este dominio cubre los
cambios y el mantenimiento realizados a sistemas existentes.
SOPORTE Y SERVICIOS: En este dominio se hace referencia a la
entrega de los servicios requeridos, que abarca desde las operaciones
tradicionales hasta el entrenamiento, pasando por seguridad y
aspectos de continuidad. Con el fin de proveer servicios, debern
establecerse los procesos de soporte necesarios. Este dominio
10

incluye el procesamiento de los datos por sistemas de aplicacin,
frecuentemente clasificados como controles de aplicacin.
MONITOREO: Todos los procesos necesitan ser evaluados
regularmente a travs del tiempo para verificar su calidad y
suficiencia en cuanto a los requerimientos de control.

, que Estos dominios agrupan objetivos de control de alto nivel
cubren tanto los aspectos de informacin, como de la tecnologa que
la respalda. Estos dominios y objetivos de control facilitan que la
generacin y procesamiento de la informacin cumplan con las
caractersticas de efectividad, eficiencia, confidencialidad,
integridad, disponibilidad, cumplimiento y confiabilidad.
Objetivos de Control: Integran en su contenido lo expuesto tanto en
el resumen ejecutivo como en el marco de referencia y presenta los
objetivos de control detallados para cada uno de los 34 procesos.

PLANEAR Y ORGANIZAR
PO1 Definir el plan estratgico de TI.
PO2 Definir la arquitectura de la informacin
PO3 Determinar la direccin tecnolgica.
PO4 Definir procesos, organizacin y relaciones de TI.
PO5 Administrar la inversin en TI.
PO6 Comunicar las aspiraciones y la direccin de la gerencia.
PO7 Administrar recursos humanos de TI.
11

PO8 Administrar calidad.
PO9 Evaluar y administrar riesgos de TI
PO10 Administrar proyectos.
PO11Administracin de Calidad
ADQUIRIR E IMPLANTAR
AI1 Identificar soluciones automatizadas.
AI2 Adquirir y mantener el software aplicativo.
AI3 Adquirir y mantener la infraestructura tecnolgica
AI4 Facilitar la operacin y el uso.
AI5 Adquirir recursos de TI.
AI6 Administrar cambios.
MONITOREAR Y EVALUAR
ME1 Monitorear y evaluar el desempeo de TI.
ME2 Monitorear y evaluar el control interno
ME3 Garantizar cumplimiento regulatorio.
ME4 Proporcionar gobierno de TI.
PRESTACIN Y SOPORTE
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeo y capacidad.
DS4 Garantizar la continuidad del servicio.
12

DS5 Garantizar la seguridad de los sistemas.
DS6 Identificar y asignar costos.
DS7 Educar y entrenar a los usuarios.
DS8 Administrar la mesa de servicio y los incidentes.
DS9 Administrar la configuracin.
DS10 Administrar los problemas.
DS11 Administrar los datos.
DS12 Administrar el ambiente fsico.
DS13 Administrar las operaciones.

SEGURIDAD INFORMTICA

.