Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

Metodología de gestión de riesgos - RISK IT

No description
by

Ricardo Mendizabal

on 2 August 2016

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of Metodología de gestión de riesgos - RISK IT

RISK IT
CONTENIDO
FUNDAMENTO DE GOBIERNO DE RIESGO
Conclusiones
Risk IT es un marco de referencia que nos permite conocer y comprender adecuadamente la gestión de riesgos de TI
Ayuda a ahorrar tiempo, costo y esfuerzo para hacer frente a los riesgos de negocio.
Hoy en día se requiere identificar, tratar y mitigar los riesgos asociados a TI a través de una metodología de gestión de riesgos.
Dentro del marco de Gobierno de TI, este se alinea al proceso de gestión de riesgos con la gestión de riesgos de la empresa, los objetivos de negocio y la obtención de valor de la empresa.
Introducción
Antecedentes
Objetivos
Contenido
Conclusiones
Recomendaciones
El riesgo es inherente a las organizaciones en general.
El riesgo es una parte esencial para el progreso y la equivocación una parte importante del aprendizaje.
Que el riesgo sea inevitable no implica la incapacidad para identificarlo y manejarlo.
Lamentablemente el riesgo no es tratado en la mayoría de los casos o, si se hace, se lo gestiona en forma ad-hoc.
Las organizaciones son cada vez más conscientes de lo que significan los riesgos informáticos y, sobre todo, han aprendido que en la mayoría de los casos deberán coexistir con ellos pero en forma controlada.
Es por ello que se dedican recursos de persona, tiempo y dinero para la gestión de riesgos de TI, pero con tantos modelos, metodologías y técnicas disponibles es difícil responder a las preguntas: ¿por dónde empezar?, ¿cuál de ellas es mejor?, ¿debo utilizar un enfoque cualitativo o cuantitativo?, ¿quién lo debe ejecutar?, ¿con qué granularidad?, ¿cómo tratar el riesgo?. Además, los riesgos de TI forman parte de los riesgos que cualquier dirigente debe tener en cuenta en su gobierno.
Objetivo General
Conocer y comprender el marco de referencia Risk IT para una adecuada gestión de riesgos RISK IT de ISACA.

Objetivo Específicos
Ayudar a comprender la forma de gestionar el riesgo.
Integrar la gestión de los riesgos de negocio relacionados con la TI en la gestión global del riesgo empresarial.
Ayudar a entender los riesgos de TI con el apetito de riesgo y la tolerancia al riesgo de la organización.
Ayudar a ahorrar tiempo, costo y esfuerzo con las herramientas para hacer frente a los riesgos de negocio.

El presente trabajo comprenderá la presentación de algunas definiciones sobre Risk IT, como realizar una selección equilibrada de indicadores de riesgo, asegurar que estos indicadores seleccionados detallen el origen de la causa de los eventos.
El riesgo de TI es riesgo del negocio – específicamente, el riesgo del negocio asociado con el uso, propiedad, operación, involucramiento, influencia y adopción de TI en la organización.
Consiste de eventos relacionados con TI que potencialmente podrían impactar al negocio.
Incluye frecuencia y magnitud, y crea retos para el cumplimiento de metas y objetivos estratégicos, así como incertidumbre en la búsqueda de oportunidades.

El marco tiene 3 dominios
Se tratara sobre algunos de los componentes esenciales del dominio de Gobierno del Riesgo. Se discuten brevemente
Tolerancia al riesgo
Responsabilidades y rendición de cuentas sobre la gestión riesgos de TI
Sensibilización y comunicación
Cultura del riesgo
Recomendaciones
Es necesario que las empresas tomen conciencia que el uso de las tecnologías de la información, si bien es cierto mejoran la productividad cuando están correctamente implementadas, pero también pueden ser una “puerta abierta” a vulnerabilidades y amenazas.
Reconocer a TI como un área importante en la empresa que puede influir también en la toma de decisiones futuras con una administración efectiva y segura de los riesgos que pueden presentar las nuevas oportunidades al negocio.
AGENDA
INTRODUCCIÓN
ANTECEDENTES
OBJETIVOS
ALCANCE
Risk management basics: What exactly is it?
DEFINICIÓN
¿Qué es un riesgo de TI?
RISK IT es el nuevo marco para el Gobierno de los riesgos corporativos asociados a las TIC que ayuda a la gestión eficaz de los riesgos de TI, basado en un conjunto de principios y guías, procesos de negocio y directrices de gestión que se ajustan a estos principios.
¿Qué es Risk IT?
Riesgos de TI en la Jerarquía de riesgos
CATEGORIZACIÓN DE LOS RIESGOS DE TI
Riesgo en la entrega de servicios de TI, asociado con el desempeño y disponibilidad de servicios de TI, y que puede provocar la destrucción o reducción del valor de la organización.
Riesgo en la entrega de soluciones de TI/realización de beneficios, asociado con la contribución de TI a soluciones del negocio nuevas o mejoradas usualmente en la forma de proyectos y programas.
Riesgo de realización de beneficios de TI, asociado con la pérdida de oportunidades para usar la tecnología en la mejora de la eficiencia o efectividad.
Clasificación
PARTES INTERESADAS
MARCO DE RIESGOS DE TI
La tolerancia al riesgo es la desviación tolerable desde el nivel establecido por la definición del apetito de riesgo, por ejemplo, las normas o proyectos que deben realizarse dentro de los presupuestos y el tiempo, pero sobre costes del 10 por ciento del presupuesto o el 20 por ciento del tiempo son tolerados.
Apetito al riesgo y tolerancia
Funciones para la gestión del riesgo y se indica que estas funciones asumen la responsabilidad o rendición de cuentas por una o más actividades dentro de un proceso.
La responsabilidad corresponde a aquellos que deben velar por que las actividades se han completado con éxito.
La rendición de cuentas se aplica a quienes poseen los recursos necesarios y tener la autoridad para aprobar la ejecución y / o aceptar el resultado de una actividad específica dentro de los procesos de TI de riesgo. Esta tabla es un resumen de los cuadros detallados en el modelo de proceso.
Responsabilidades y rendición de cuentas sobre los riesgos de TI
La concienciación de los riesgos es de reconocer que el riesgo es una parte integral de la organización. Los beneficios de la comunicación abierta sobre los riesgos de TI incluyen:
Contribución de la gestión ejecutiva para la comprensión de la actual exposición a los riesgos de TI, la definición de habilitación de riesgos apropiados y respuestas
Sensibilización interna entre todas las partes interesadas de la importancia de la integración de riesgo y oportunidad en sus funciones diarias
Transparencia para las partes interesados externas en el nivel real de riesgo y los procesos de gestión de riesgos en uso

Sensibilización y comunicación
La gestión de riesgos consiste en ayudar a las organizaciones a asumir mayores riesgos en la búsqueda de la rentabilidad.
Una cultura de riesgos asumidos ofrece un entorno en el que los componentes de riesgo se discuten abiertamente, y los niveles de riesgo aceptables se entienden y se mantienen. La cultura de riesgos aceptables comienza en la parte superior, con la junta y los ejecutivos de negocios que establece la dirección, comunicando el riesgo de toma de decisiones aceptables y premiando la cultura de aprendizaje en la gestión eficaz del riesgo.
Cultura de Riesgo
Elementos de la cultura de riesgo
GOBIERNO DE RIESGO
RG1 – Establecer y mantener una visión común de riesgo
Consiste en asegurar que las TI relacionadas con asuntos de riesgos, oportunidades y los eventos, se traten de manera rentable y alineado a las prioridades del negocio.

RR1 – Articular el riesgo
RR2 – Gestionar el riesgo
RR3 – Reaccionar ante eventos

FUNDAMENTOS DE LA RESPUESTA DE RIESGO
RR1 – Articular el riesgo
Consiste en asegurar que la empresa tiene prácticas de riesgo de TI que aseguran un retorno de la administración del riesgo.
Se divide en tres categorías:

RG1 – Establecer y mantener una visión común de riesgo
RG2 – Integrar con la gestión de riesgos de la empresa
RG3 – Hacer decisiones conscientes del riesgo del negocio
RG2 – Integrar con la gestión de riesgos de la empresa
RG3 – Hacer decisiones conscientes del riesgo del negocio
FUNDAMENTOS DE LA EVALUACIÓN DE RIESGO
La evaluación significativa de riesgos de TI y el riesgo de decisiones basadas en los riesgos de TI requieren ser expresadas en términos inequívocos y claros relevantes de negocios. La gestión efectiva del riesgo requiere de la comprensión mutua entre TI y el negocio sobre el que el riesgo debe ser gestionado y por qué. Todas las partes interesadas deben tener la capacidad de comprender y expresar cómo los eventos adversos pueden afectar a los objetivos de negocio.

RE1 – Recolección de datos
RE2 – Evaluación de riesgos
RE3 – Mantener un perfil de riesgo
RE1 – Recolección de datos
RE2 – Evaluación de riesgos
RE3 – Mantener un perfil de riesgo
Componentes de Escenario de Riesgo
RR2 – Gestionar el riesgo
RR3 – Reaccionar ante eventos
Modelos de ISACA y la metáfora de la balanza
INTEGRANTES:

Correa Salazar, Renzo
Cuyatti Sánchez, Alonso
Marcelo Huamán, Aby
Palacios Mendizábal, Ricardo

Full transcript