Beruflich Dokumente
Kultur Dokumente
TECNOLOGIASDE
INFORMACION
Agendaparahoy
MarcoConceptualdeAdministracin
deRiesgos
AdministrandoRiesgosdeTI
2
MarcoConceptual
deAdministracinde
Riesgos
3
AdministracindeRiesgos
Definicin
Esunprocesointeractivoeiterativo
basadoenelconocimiento,evaluaciny
manejodelosriesgosysusimpactos,conel
propsitodemejorarlatomadedecisiones
organizacionales.
Aplicableacualquiersituacindondeun
resultadonodeseadooinesperadopuedaser
significativoodondeseidentifiquen
oportunidades.
4
AdministracindeRiesgos
BeneficiosparalaOrganizacin
Facilitaellogrodelosobjetivosdelaorganizacin.
Hacealaorganizacinmssegurayconsciente
desusriesgos.
MejoramientocontinuodelSistemadeControl
Interno.
Optimizalaasignacinderecursos.
Aprovechamientodeoportunidadesdenegocio.
Fortalecelaculturadeautocontrol.
Mayorestabilidadantecambiosdelentorno.
5
AdministracindeRiesgos
BeneficiosparaelDpto.deAuditora
Soportaellogrodelosobjetivosdelaauditora.
Estandarizacinenelmtododetrabajo.
Integracindelconceptodecontrolenlaspolticas
organizacionales.
Mayorefectividadenlaplaneacingeneralde
Auditora.
Evaluacionesenfocadasenriesgos.
Mayorcoberturadelaadministracinderiesgos.
Auditorasmsefectivasyconmayorvalor
agregado.
6
Procesodeadministracinde
Riesgos
1.EstablecerMarcoGeneral
2.IdentificarRiesgos
Monitorear
3.AnlisisdeRiesgos
yRevisar
4.EvaluaryPriorizarRiesgos
5.TratamientodelRiesgo
7
Procesodeadministracinde
Riesgos
1.EstablecerMarcoGeneral
1.1.EstablecerelContextoEstratgico
Definirlarelacinentrelaorganizacinyelambienteenelque
opera.
1.2.EstablecerelContextoOrganizacional
Entenderlaorganizacin,suscapacidadesyhabilidades
Conocersusobjetivosyestrategias.
1.3.IdentificarObjetosCrticos
Entendiendoporobjeto,elrea,procesooactividadocualquierotro
elementoenquesepuedasubdividirlaorganizacinysobreelcual
sepuedaefectuaradministracinderiesgos.
Definirloscriteriosbajoloscualessepuedaestablecerlacriticidad
deunobjetorespectodeotro.
Estepasodelprocesoesimportanteparaevaluarypriorizarlos
riesgosposteriormenteenelpasoNo.4
8
Procesodeadministracinde
Riesgos
1.EstablecerMarcoGeneral CmoHacerlo?
1.1.EstablecerelContextoEstratgico
Aspectosfinancieros,operacionales,competitivos,polticos,imagen,sociales,
clientes,culturalesylegales,StakeholdersOrganizacin,propietarios,personal,
clientes,proveedores,comunidadlocalysociedad.
1.2.EstablecerelContextoOrganizacional
Objetivosdelnegocio:
ApoyadosenCOSO(deoperaciones,deInformacinFinancierayde
cumplimientolegal).
Otros:larentabilidad,elcrecimientoinstitucional,posicionamientocompetitivo,
imagen,servicioalcliente,productividad,calidad,recursoshumanos,impacto
enlacomunidad.
1.3.IdentificarObjetosCrticos
DefiniendoloscriteriosPrdidaFinanciera,PrdidadeImagen,Incumplimiento
delamisin,etc.,quenospermitanelaborarunaclasificacindelasreas,
proyectos,procesos,sistemasoactividadessobreloscualessellevaracabola
administracinderiesgos.
9
Procesodeadministracinde
Riesgos
2.IdentificarRiesgos
2.1.Establecerunmarcoespecficodeadministracin
deriesgos
Entenderlaactividadopartedelaorganizacinparalacual
seaplicarelprocesodeadministracinderiesgos.
2.2.Desarrollarcriteriosdeevaluacinderiesgos
Definireidentificarloscriteriosdeanlisisyelnivelde
aceptacindelosriesgos
2.3.Identificarlaestructura
Separarlaactividadoproyectoenunconjuntode
elementosquefacilitesucomprensinyanlisis.
10
Procesodeadministracinde
Riesgos
2.IdentificarRiesgos
2.4.Identificarriesgos
Responderqupuedeocurrir?Identificarloseventosque
puedanafectarloselementosdelaestructuraidentificadaen
elnumeral2.3.
2.5.Identificarcausas
Cmoyporqupuedenocurrirloseventosidentificados
comoriesgos?Identificarloquemotiva,disparaogeneralos
eventosylosescenariosmssignificativos.
11
Procesodeadministracinde
Riesgos
2.IdentificarRiesgos CmoHacerlo?
2.1.Establecerunmarcodeadministracinderiesgos
Definiendolosobjetivos,estrategias,alcanceyparmetrosdelaevaluacinde
riesgosarealizar.
2.2.Desarrollarcriteriosdeevaluacinderiesgos
Definiendolosaspectosenloscualesvaacentrarsuatencindurantela
evaluacinoperativos,tcnicos,legales,sociales,financieros,humanos.
2.3.Identificarestructura
Descomponereltodoensuspartes,detalmaneraquelefaciliteentenderel
objetodeanlisisylebrindeunmarcolgicodeaccin.Porejemplo:
Basadoenprocesos(paraTI,Cobitnospropone34procesos).
BasadoenSistemasdeInformacin(aplicaciones,programas,archivos,
proceso,comunicaciones,entradas,salidas).
BasadoenProyectos(ciclodevidadedesarrollodeSW,elprocesode
administracin,etapas,entregables).
Basadoenrecursos(paraTI,Cobitnospropone:Datos,Aplicaciones,
Tecnologa,InstalacionesyRecursoHumano).
12
Procesodeadministracinde
Riesgos
2.IdentificarRiesgos CmoHacerlo?
2.4.Identificarriesgos
Locomnenlasdefinicionesderiesgosonalgunaspalabrasclavescomo:
eventos,deseables,nodeseables,positivos,negativos,probabilidad,impacto,
objetivos,consecuencia,inciertos,inesperados,eventuales,etc.
Riesgo:sonincidentesosituaciones,queocurrenenunsitioconcretoduranteun
intervalodetiempodeterminado,conconsecuenciaspositivasonegativasque
podranafectarelcumplimientodelosobjetivos.
2.5.Identificarcausas
Factoresquepodranmaterializarelriesgo,esimportanteestablecerrelaciones
conotrosriesgosunacausapudegenerarunoomsriesgosyunriesgopuede
sergeneradoporunaomscausas.
Porlotantoexpreselosriesgosentrminosdeconsecuencia
yconsiderelascausasquepuedengenerarlo.Ejemplo:
Prdidadeconfidencialidaddebidaainterceptacindelalneade
comunicacin.
13
Procesodeadministracinde
Riesgos
3.AnlisisdeRiesgos
3.1.Valorarelriesgoinherente
Asignarvaloraleventodematerializacindelriesgopropio
delobjetodeanlisis.
3.2.DeterminarControlesExistentes
Identificarlasactividadesomecanismosdecontrol
implementadosparamitigarlosriesgosinherentes.
3.3.IdentificarNiveldeExposicin
Resultantedeaplicarlafrmula:
NiveldeExposicin=RiesgoinherenteControles
14
Procesodeadministracinde
Riesgos
3.AnlisisdeRiesgos CmoHacerlo?
3.1.Valorarelriesgoinherente
Requierequesedefinaunaescaladevaloracin:
Cualitativa:Alto,Medio,Bajo
Cuantitativa:Escalanumrica(elclculodeP.A.Eesunejemplo)
Semicuantitativa:asignarangosnumricosalascaractersticasAlto,Medio,Bajo
Lavaloracinsepuedehacermedianteelusodehistricosparalosmtodos
cuantitativos,utilizandolafrmulaRiesgo=ImpactoXProbabilidadymediantelas
tcnicasdevaloracinengruposdetrabajo(delphy)paramtodoscualitativos
3.2.DeterminarControlesExistentes
SerequiereconocerquecontrolesunapropiedademergentedelSistemade
ControlInterno,quesonlosmecanismos(dispositivosyprocedimientos)
implementadosparaprevenir,detectarocorregirlamaterializacindelosriesgos.
Tengapresentequelanegacindelcontrolnoeselriesgo!
3.3.IdentificarNiveldeExposicin
NiveldeExposicin=RiesgoinherenteControles
15
Procesodeadministracinde
Riesgos
4.EvaluaryPriorizarRiesgos
4.1.CompararcontraCriteriosyDefinirprioridadesde
riesgo
Compararelresultadodelanlisisderiesgorealizadocontralos
criteriosestablecidosenelnumeral1.Marcogeneralde
referencia.
Lascomparacionesdeanlisisderiesgorealizadassobre
diferentesreasdelaorganizacinosobrelosdiferentes
procesoslepermitirnpriorizarlosriesgossobreloscualesha
decentrarlaatencinparadefinirunaopcindetratamiento.
16
Procesodeadministracinde
Riesgos
4.EvaluaryPriorizarRiesgos CmoHacerlo?
4.1.CompararcontraCriteriosyDefinir
prioridadesderiesgo
Elaboreunalistaordenadademayoramenor,porlavaloracindel
niveldeexposicin.
Estolepermitirdefinirlosriesgosdemayorgradodeimportancia
sobreloscualesdeberdefinirlasopcionesdetratamiento.
Centresuatencinenlocrtico,deacuerdoalosnivelesde
aceptacinquetengadefinidos
17
Procesodeadministracinde
Riesgos
5.TratamientodelRiesgo
5.1.Identificaropcionesdetratamiento
Paralaactividadocomponentealcualaplicelprocesode
administracinderiesgos,determinelasposiblesformasde
reduciromitigarelriesgo.
5.2.Evaluaropcionesdetratamiento
Bajolasconsideracionesdelmarcodereferenciadefinido,
establecerculesdelasopcionesdetratamientoidentificadas
seajustanalaorganizacinyreducenelriesgoaunnivelde
exposicinaceptable.
5.3.Prepararplanesdetratamiento
Elaborarlosplanesquelepermitanponerenprcticalas
opcionesdetratamientodelriesgoseleccionadas.
5.4.ImplementarPlandetratamiento
Ponerenmarchaelplandefinido.
18
Procesodeadministracinde
Riesgos
5.TratamientodelRiesgo CmoHacerlo?
5.1.Identificaropcionesdetratamiento
Existenlassiguientes:
Evitar:Sereducelaprobabilidaddeprdidaalmnimo;dejardeejercer
laactividadoproceso.
Reducir:Seconsiguemediantelaoptimizacindelosprocedimientosy
laimplementacindecontrolestendientesadisminuirlaprobabilidadde
ocurrenciaoelimpacto.
Atomizar:Distribuirlalocalizacindelriesgo,segmentandoelobjeto
sobreelcualsepuedematerializarelriesgo.
Transferir:Pasarelriesgodeunlugaraotro,compartirconotroel
riesgo,estatcnicanoreducelaprobabilidadnielimpacto,involucraa
otroenlaresponsabilidad.
Asumir:Seaceptalaprdidaresidualprobable,conlaaceptacindel
riesgolasestrategiasdeprevencinsevuelvenesenciales.
19
Procesodeadministracinde
Riesgos
5.TratamientodelRiesgo CmoHacerlo?
5.2.Evaluaropcionesdetratamiento
Lasopcionesdetratamientodebenevaluarseconbaseenelalcancede
lareduccinderiesgo(desuprobabilidadodesuimpacto),la
evaluacindebeextendersealosbeneficiosuoportunidadesquela
opcindetratamientopuedacrear.
Tengapresenteconsiderarvariasopcionesyquestaspuedenaplicarse
individualmenteodemaneracombinada.
Considerelossiguientesfactoresalmomentodeevaluarlasopcionesde
tratamiento
Eficacia:Efectividaddelapropuestadepropuestadetratamientopara
reducirelriesgos
Factibilidad:Laprobabilidaddeaceptarlaopcinpropuesta
Eficiencia:Usoptimodelosrecursos,Costoefectividaddelaopcin
20
Procesodeadministracinde
Riesgos
5.TratamientodelRiesgo CmoHacerlo?
NivelTotal
deRiesgos
Implementarmedidasdereduccin
UsarJuicio
Antieconmico
Costo
Paraseleccionarlaopcinmsapropiadase
requierebalancearelcostodeimplementacin
contralosbeneficiosderivados.
21
Procesodeadministracinde
Riesgos
5.TratamientodelRiesgo CmoHacerlo?
5.3.Prepararplanesdetratamiento
Documentandocmoseimplementarnlasopcioneselegidas:
Identificandoresponsabilidades
Programas,resultadosesperados,presupuesto
Medireldesempeoylarevisindelprocesoensuconjunto.
Elplandeberaincluirtambinunmecanismoparaevaluarlaimplementacin
delasopcionescontracriteriosdedesempeoyresponsabilidadesindividualesy
otrosobjetivos,yparacontrolarhitoscrticosdeimplementacin.
5.4.Implementarelplan
Idealmente,laresponsabilidadparaeltratamientoderiesgodeberaserejercida
porlosmejorcapacitadosdecontrolarelriesgo.Lasresponsabilidadesde
implementacinseconciertansegnladisponibilidaddetiempodelaspartes.
Laimplementacinexitosadelplandetratamientoderiesgorequieredeun
sistemaefectivodegestin:
Queespecifiquelosmtodoselegidos
Asignacinderesponsabilidades,accionesindividuales
Controlescontracriteriosespecficos.
22
Administrando
RiesgosdeTI
23
AdministracindeRiesgosdeTI
Porqu?
Hoyendalamayoradelasempresassoportansus
procesosoperativosconTI.
Sehageneradounaltogradodedependenciadela
tecnologainformtica.
Lasorganizacionestienenunaelevadainversinen
tecnologa,porsuadquisicin,mantenimientoy
seguridad.
Sehaincrementadoelnmerodeataquesexternos
alasinstalacionesdeTI.
Porqueesunmedioporelcuallaadministracin
puedeconcretarlosobjetivosdecontrolsobrelaT.I.
24
AdministracindeRiesgosdeTI
RecordemoslosprincipiosdelModeloCobiT
Requerimientosdelainformacindelnegocio.
RecursosdeTecnologaInformtica
ProcesosdeTecnologaInformtica
REQUERIMIENTOS
DEINFORMACIN
DELNEGOCIO
PROCESOS
DETI
RECURSOS
DETI
25
CobiT
RequerimientosdelaInformacindelNegocio
Efectividad:Lainformacindebeserrelevantey
pertinenteparalosprocesosdelnegocioydebeser
proporcionadaenformaoportuna,correcta,
consistenteyutilizable.
Eficiencia:Sedebeproveerinformacinmedianteel
empleoptimodelosrecursos(laformams
productivayeconmica).
Confidencialidad:Proteccindelainformacin
sensitivacontradivulgacinnoautorizada.
Integridad:Refierealoexactoycompletodela
informacinascomoasuvalidezdeacuerdoconlas
expectativasdelaempresa.
26
CobiT
RequerimientosdelaInformacindelNegocio
Disponibilidad:accesibilidadalainformacin
cuandosearequeridaporlosprocesosdelnegocioy
lasalvaguardadelosrecursosycapacidades
asociadasalosmismos.
Cumplimiento:delasleyes,regulacionesy
compromisoscontractualesconloscualesest
comprometidalaempresa.
Confiabilidad:proveerlainformacinapropiadapara
quelaadministracintomelasdecisionesadecuadas
paramanejarlaempresaycumplirconlas
responsabilidadesdelosreportesfinancierosyde
cumplimientonormativo.
27
CobiT
RecursosdeTecnologaInformtica
Datos:Losobjetosdeinformacin.Informacin
internayexterna,estructuradaono,grficas,
sonidos,etc.
Aplicaciones:Entendidocomolossistemasde
informacin,queintegranprocedimientosmanualesy
sistematizados.
Tecnologa:Incluyehardwareysoftwarebsico,
sistemasoperativos,sistemasdeadministracinde
basesdedatos,deredes,telecomunicaciones,
multimedia,etc.
Instalaciones:Incluyelosrecursosnecesariospara
alojarydarsoportealossistemasdeinformacin.
RecursoHumano:Porlahabilidad,concienciay
productividaddelpersonalparaplanear,adquirir,
prestarservicios,darsoporteymonitorearlos
sistemasdeInformacin. 28
ObjetivosdelNegocio
IT.Governance
1.DefinirunplanestratgicodeTI
2.Definirlaarquitecturadeinformacin
1.Seguimientodelosprocesos 3.Determinarladireccintecnolgica
2.EvaluarloadecuadodelcontrolInterno
CobiT 4.DefinirlaorganizacinyrelacionesdeTI
3.Obteneraseguramientoindependiente 5.ManejodelainversinenTI
4.Proveerunaauditoraindependiente 6.ComunicacindeladirectricesGerenciales
7.AdministracindelRecursoHumano
8.Asegurarelcumplirrequerimientosexternos
9.EvaluacindeRiesgos
10.AdministracindeProyectos
11.AdministracindeCalidad
Seguimiento Req.Informacin
Efectividad,Eficiencia,
Confidencialidad,Integridad,
Disponibilidad, Planeaciny
Cumplimiento,Confiabilidad Organizacin
1.Definicindelniveldeservicio
2.Administracindelserviciodeterceros
3.Admondelacapacidadyeldesempeo RecursosdeTI
4.Asegurarelserviciocontinuo Datos,Aplicaciones Adquisicine
5.Garantizarlaseguridaddelsistema
6.Identificacinyasignacindecostos
Tecnologa,Instalaciones,
RecursoHumano
Implementacin
7.Capacitacindeusuarios
8.SoportealosclientesdeTI
9.Administracindelaconfiguracin
1.Identificacindesoluciones
10.Administracindeproblemaseincidentes
2.AdquisicinymantenimientodeSWaplicativo
11.Administracindedatos
12.AdministracindeInstalaciones Prestacinde 3.AdquisicinymantenimientodearquitecturaTI
13.AdministracindeOperaciones Servicioy 4.DesarrolloymantenimientodeProcedimientos
deTI
Soporte 29
5.InstalacinyAcreditacindesistemas
6.AdministracindeCambios
AdministrandoRiesgosdeTI
1. EstablecerMarcoGeneral
1.1ContextoEstratgico
1.2ContextoOrganizacional
1.3ObjetosCrticos
LeyesyRegulaciones AmbienteSocial
EntornoEconmico AmbienteTecnolgico
Clientes Competencia
ObjetivosdelNegocio
RendimientoFinanciero,CrecimientoInstitucional,
Crecimientocompetitivo,Calidad,Servicioal
Cliente,Eficienciaoperacional,Productividad,Etc.
EstructuraOrganizacional Lneasdenegocio
EspecficamenteenlaadministracindeTI.
ydeprocesosoperativosapoyadosconTI.
TecnolgicosydeInformacin
Integridad,ConfidencialidadyDisponibilidad
+Efectividad,Eficiencia,CumplimientodeNormas
+Denegocio
ProcesosdeTI(EjemploCOBIT)Subprocesos
Ej:ManejoyAdministracindeProyectos
Adquisicinymantenimientodesistemasdeaplicacin
Administracindelaconfiguracin
Prestacindeserviciocontinuo
ProyectodeTIEtapasoactividades
SistemadeInformacinMdulos,Interfase,E/P/S
31
AdministrandoRiesgosdeTI
2.IdentificarRiesgos
2.4IdentificarRiesgos
2.5IdentificarCausas
Ineficienciaenelusodelosrecursos
Algunos Prdidadeconfidencialidad
Riesgos PrdidadeIntegridaddeinformacin
Interrupcinenlacontinuidaddelservicio
Accesonoautorizado
Prdidaeconmica
Heterogeneidadenlaejecucindeprocesos
Algunas
Ausenciademetodologasdeprocesos
Inadecuadaclasificacindelainformacin
Causas
Erroruomisinenelprocesamiento
Cambiosnoautorizados
Hurtodeactivos(recursosinformticos)
Incertidumbreparaatenderincidentes
AusenciadeplanesdecontinuidaddeNegocio
Suplantacindeusuarios 32
AdministrandoRiesgosdeTI
RiesgosdeTI
(unejemplocon2procesosy2recursos)
Desarrolloy
Adquisicin Operacinde Tcnicosy Relacionadoscon
deSoftware Instalaciones Tecnolgicos laInformacin
Seleccin
Subosobre Negacindel Prdidade
inadecuada
dimensionamiento servicio Informacin
deestrategias
Aceptacinde Prdidade
Ineficienteuso Prdidade
swnoacordecon integridado
delosrecursos informacin
lasnecesidades Confiabilidad
Faltadeoportu
Accesono Incumplimiento
nidadenentrada
autorizado denormas
enproduccin
33
AdministrandoRiesgosdeTI
3.AnlisisdeRiesgos
3.1ValorarRiesgoInherente
3.2DeterminarControlesexistentes
3.3IdentificarelniveldeExposicin
Hagausodelainformacinhistricaquetengadisponible.
Apliqueunmtodocuantitativo(ej.P.A.E)
Vr.Riesgo(Causa)=ProbabilidadxImpacto
Cuandolorequieraelaboresuspropiasescalasdemedicin
Apliquemtodossemicuantitativos
Relacionadoscon
RelacionadaconelImpacto
laProbabilidad
PrdidaFinanciera PrdidadeImagen PrdidadeDisponibilidad
1Raravezocurre
0Nohayprdida 0Noseafectalaimagen 0Noseafecta
2Pocoprobable
1de1a10.000 1antelosempleados 1poralgunossegundos
3AlgunasVeces
2de10.000a50.000 2anteuncliente 2poralgunosminutos
4probable
3de50.000a100.000 3anteunaciudad 3poralgunashoras
5muyprobable
4de100.000a500.000 4anteelpas 4porunda/semana
5msde500.000 5anteelmundo 5porunasemana/mes
34
AdministrandoRiesgosdeTI
3.AnlisisdeRiesgos
3.1ValorarRiesgoInherente
3.2DeterminarControlesexistentes
3.3IdentificarelniveldeExposicin
Elaborelalistadelosmecanismosdecontrolqueaplicana
cadaunodeloscomponentesdesuobjetoanalizado
Procedimientosformalesdeplaneacin.
usodeestndaresdeprogramacin,identificacin,codificacin.
usodemecanismosdeautenticacin.
procedimientosdocumentados,divulgadosyaplicados. Estatareaser
usodemetodologasdedesarrollodesw. mssencillade
usometodologasdedefinicinderequerimientos. realizarsise
procedimientosparaelcontroldecambios. divide
acuerdosexplcitosdenivelesdeservicio. adecuadamente
mecanismosdeencripcin elobjetode
redundanciaendispositivosyrecursoscrticos. anlisisensus
clasificacindelainformacin partes
procedimientosderespaldo
sensoresyalarmasdefactoresambientales(humo,humedad,temperatura)
tomafsicadeinventariosderecursoscomputacionales
verificadoresdelicencias
35
AdministrandoRiesgosdeTI
NiveldeExposicin=RiesgoControlesaplicados
Definirelniveldeexposicinlepermitirconocerla
efectividaddeloscontroles.
Sinembargo,tengapresenteenrelacinconla
efectividaddeloscontroleslossiguientes
aspectos:
Internos frentealos Externos
Manuales frentealos Automticos
Previos frentealos Posterior
Preventivos frentealos CorrectivosyDetectivos
Generales frentealos Especficos
Continuos frentealos Discretos(aplicacin)
Peridicos frentealos Espordicos
36
AdministrandoRiesgosdeTI
4.EvaluaryPriorizarRiesgos
4.1Compararcontracriterios
4.2Definirprioridades
Heterogeneidadenlaejecucindeprocesos 785
Inadecuadaclasificacindelainformacin 750
Desarrolloinformal(sinmetodologa)desw 675
AusenciadeplanesdecontinuidaddeNegocio 585
Incertidumbreparaatenderincidentes 400
Cambiosnoautorizados
310
Erroruomisinenelprocesamiento 250
Hurtodeactivos(recursosinformticos)
230
Suplantacindeusuarios 175
37
AdministrandoRiesgosdeTI
5.TratamientodelRiesgo
Identificaryevaluaropciones
Preparareimplementarplanes
Laidentificacindeopcionesdetratamientodel
riesgopuedeconducirlea:
Implementacindenuevosmecanismosdecontrol.
Cambiar,modificaroeliminarcontrolesexistentes.
Combinarmecanismosdecontrol.
Dependiendodelgradodecomplejidaddelaopcin
elegidasuimplementacinpuedellegaralpuntode
convertirseenunproyecto.
Obligatoriedaddelcambiodeclaves
Definicindepistasdeauditora
DocumentacindeProcesos
PlandeContinuidadTecnolgico
Funcindeaseguramientodelacalidad
38
AdministrandoRiesgosdeTI
5.TratamientodelRiesgo
Identificaryevaluaropciones
Preparareimplementarplanes
EnlosplanesdeImplementacines
convenienteconsiderar:
Respaldodelagerencia
Responsables
Presupuestos
Compromisoconlafechadefinalizacin
39
AdministrandoRiesgosdeTI
ReflexinsobreelprocesodeAdministracindeRiesgos
Seguimientoaloscompromisosenel
plandeimplementacindeopcionesde
tratamiento.
Revisinyajustedemtodosytcnicas
aplicadas.
Anlisisdelosbeneficiosalcanzados(en Monitorear
elnegocio,enlaadministracindeTI,en yRevisar
laauditora,enlosusuarios).
Esposibleyconvenientecontinuarcon
otrosobjetos?(procesos,proyectos,
reas).
Niveldeaprendizajedelaorganizacin
enrelacinconlaadministracindesus
riesgos. 40
Bibliografa
TheAustralian/NewZealandJointStandardsCommitteeAS/NZS
4360RiskManagement
COSOTheCommitteeofSponsoringOrganizationsofthe
commissionTreadway
COCOInstitutoCanadiensedeContadoresCertificados(CICA)
IFACFinancial&ManagementAccountingCommittee
AGuidetoSecurityRiskManagementforInformationTechnology
SystemsGovernmentofCanada,CommunicationsSecurity
MAGERITMetodologadeAnlisisySesindeRiesgosdelos
SistemasdeInformacinVersin1.0
ChesterSimmonsRiskManagement
SolisMontesGustavoA.ReingenieradelaAuditoraInformtica
41