You are on page 1of 41

AdministracindeRiesgosde

TECNOLOGIASDE
INFORMACION
Agendaparahoy

MarcoConceptualdeAdministracin
deRiesgos
AdministrandoRiesgosdeTI

2
MarcoConceptual
deAdministracinde
Riesgos

3
AdministracindeRiesgos

Definicin
Esunprocesointeractivoeiterativo
basadoenelconocimiento,evaluaciny
manejodelosriesgosysusimpactos,conel
propsitodemejorarlatomadedecisiones
organizacionales.

Aplicableacualquiersituacindondeun
resultadonodeseadooinesperadopuedaser
significativoodondeseidentifiquen
oportunidades.
4
AdministracindeRiesgos

BeneficiosparalaOrganizacin
Facilitaellogrodelosobjetivosdelaorganizacin.
Hacealaorganizacinmssegurayconsciente
desusriesgos.
MejoramientocontinuodelSistemadeControl
Interno.
Optimizalaasignacinderecursos.
Aprovechamientodeoportunidadesdenegocio.
Fortalecelaculturadeautocontrol.
Mayorestabilidadantecambiosdelentorno.

5
AdministracindeRiesgos

BeneficiosparaelDpto.deAuditora
Soportaellogrodelosobjetivosdelaauditora.
Estandarizacinenelmtododetrabajo.
Integracindelconceptodecontrolenlaspolticas
organizacionales.
Mayorefectividadenlaplaneacingeneralde
Auditora.
Evaluacionesenfocadasenriesgos.
Mayorcoberturadelaadministracinderiesgos.
Auditorasmsefectivasyconmayorvalor
agregado.
6
Procesodeadministracinde
Riesgos

1.EstablecerMarcoGeneral

2.IdentificarRiesgos

Monitorear
3.AnlisisdeRiesgos
yRevisar

4.EvaluaryPriorizarRiesgos

5.TratamientodelRiesgo

7
Procesodeadministracinde
Riesgos
1.EstablecerMarcoGeneral

1.1.EstablecerelContextoEstratgico
Definirlarelacinentrelaorganizacinyelambienteenelque
opera.

1.2.EstablecerelContextoOrganizacional
Entenderlaorganizacin,suscapacidadesyhabilidades
Conocersusobjetivosyestrategias.

1.3.IdentificarObjetosCrticos
Entendiendoporobjeto,elrea,procesooactividadocualquierotro
elementoenquesepuedasubdividirlaorganizacinysobreelcual
sepuedaefectuaradministracinderiesgos.
Definirloscriteriosbajoloscualessepuedaestablecerlacriticidad
deunobjetorespectodeotro.

Estepasodelprocesoesimportanteparaevaluarypriorizarlos
riesgosposteriormenteenelpasoNo.4
8
Procesodeadministracinde
Riesgos
1.EstablecerMarcoGeneral CmoHacerlo?

1.1.EstablecerelContextoEstratgico
Aspectosfinancieros,operacionales,competitivos,polticos,imagen,sociales,
clientes,culturalesylegales,StakeholdersOrganizacin,propietarios,personal,
clientes,proveedores,comunidadlocalysociedad.

1.2.EstablecerelContextoOrganizacional
Objetivosdelnegocio:
ApoyadosenCOSO(deoperaciones,deInformacinFinancierayde
cumplimientolegal).
Otros:larentabilidad,elcrecimientoinstitucional,posicionamientocompetitivo,
imagen,servicioalcliente,productividad,calidad,recursoshumanos,impacto
enlacomunidad.

1.3.IdentificarObjetosCrticos
DefiniendoloscriteriosPrdidaFinanciera,PrdidadeImagen,Incumplimiento
delamisin,etc.,quenospermitanelaborarunaclasificacindelasreas,
proyectos,procesos,sistemasoactividadessobreloscualessellevaracabola
administracinderiesgos.
9
Procesodeadministracinde
Riesgos
2.IdentificarRiesgos

2.1.Establecerunmarcoespecficodeadministracin
deriesgos
Entenderlaactividadopartedelaorganizacinparalacual
seaplicarelprocesodeadministracinderiesgos.

2.2.Desarrollarcriteriosdeevaluacinderiesgos
Definireidentificarloscriteriosdeanlisisyelnivelde
aceptacindelosriesgos
2.3.Identificarlaestructura
Separarlaactividadoproyectoenunconjuntode
elementosquefacilitesucomprensinyanlisis.

10
Procesodeadministracinde
Riesgos
2.IdentificarRiesgos

2.4.Identificarriesgos
Responderqupuedeocurrir?Identificarloseventosque
puedanafectarloselementosdelaestructuraidentificadaen
elnumeral2.3.

2.5.Identificarcausas
Cmoyporqupuedenocurrirloseventosidentificados
comoriesgos?Identificarloquemotiva,disparaogeneralos
eventosylosescenariosmssignificativos.

11
Procesodeadministracinde
Riesgos
2.IdentificarRiesgos CmoHacerlo?

2.1.Establecerunmarcodeadministracinderiesgos
Definiendolosobjetivos,estrategias,alcanceyparmetrosdelaevaluacinde
riesgosarealizar.

2.2.Desarrollarcriteriosdeevaluacinderiesgos
Definiendolosaspectosenloscualesvaacentrarsuatencindurantela
evaluacinoperativos,tcnicos,legales,sociales,financieros,humanos.

2.3.Identificarestructura
Descomponereltodoensuspartes,detalmaneraquelefaciliteentenderel
objetodeanlisisylebrindeunmarcolgicodeaccin.Porejemplo:
Basadoenprocesos(paraTI,Cobitnospropone34procesos).
BasadoenSistemasdeInformacin(aplicaciones,programas,archivos,
proceso,comunicaciones,entradas,salidas).
BasadoenProyectos(ciclodevidadedesarrollodeSW,elprocesode
administracin,etapas,entregables).
Basadoenrecursos(paraTI,Cobitnospropone:Datos,Aplicaciones,
Tecnologa,InstalacionesyRecursoHumano).
12
Procesodeadministracinde
Riesgos
2.IdentificarRiesgos CmoHacerlo?

2.4.Identificarriesgos
Locomnenlasdefinicionesderiesgosonalgunaspalabrasclavescomo:
eventos,deseables,nodeseables,positivos,negativos,probabilidad,impacto,
objetivos,consecuencia,inciertos,inesperados,eventuales,etc.

Riesgo:sonincidentesosituaciones,queocurrenenunsitioconcretoduranteun
intervalodetiempodeterminado,conconsecuenciaspositivasonegativasque
podranafectarelcumplimientodelosobjetivos.

2.5.Identificarcausas
Factoresquepodranmaterializarelriesgo,esimportanteestablecerrelaciones
conotrosriesgosunacausapudegenerarunoomsriesgosyunriesgopuede
sergeneradoporunaomscausas.

Porlotantoexpreselosriesgosentrminosdeconsecuencia
yconsiderelascausasquepuedengenerarlo.Ejemplo:

Prdidadeconfidencialidaddebidaainterceptacindelalneade
comunicacin.
13
Procesodeadministracinde
Riesgos
3.AnlisisdeRiesgos

3.1.Valorarelriesgoinherente
Asignarvaloraleventodematerializacindelriesgopropio
delobjetodeanlisis.

3.2.DeterminarControlesExistentes
Identificarlasactividadesomecanismosdecontrol
implementadosparamitigarlosriesgosinherentes.

3.3.IdentificarNiveldeExposicin
Resultantedeaplicarlafrmula:
NiveldeExposicin=RiesgoinherenteControles

14
Procesodeadministracinde
Riesgos
3.AnlisisdeRiesgos CmoHacerlo?

3.1.Valorarelriesgoinherente
Requierequesedefinaunaescaladevaloracin:
Cualitativa:Alto,Medio,Bajo
Cuantitativa:Escalanumrica(elclculodeP.A.Eesunejemplo)
Semicuantitativa:asignarangosnumricosalascaractersticasAlto,Medio,Bajo

Lavaloracinsepuedehacermedianteelusodehistricosparalosmtodos
cuantitativos,utilizandolafrmulaRiesgo=ImpactoXProbabilidadymediantelas
tcnicasdevaloracinengruposdetrabajo(delphy)paramtodoscualitativos

3.2.DeterminarControlesExistentes
SerequiereconocerquecontrolesunapropiedademergentedelSistemade
ControlInterno,quesonlosmecanismos(dispositivosyprocedimientos)
implementadosparaprevenir,detectarocorregirlamaterializacindelosriesgos.
Tengapresentequelanegacindelcontrolnoeselriesgo!

3.3.IdentificarNiveldeExposicin
NiveldeExposicin=RiesgoinherenteControles

15
Procesodeadministracinde
Riesgos
4.EvaluaryPriorizarRiesgos

4.1.CompararcontraCriteriosyDefinirprioridadesde
riesgo
Compararelresultadodelanlisisderiesgorealizadocontralos
criteriosestablecidosenelnumeral1.Marcogeneralde
referencia.

Lascomparacionesdeanlisisderiesgorealizadassobre
diferentesreasdelaorganizacinosobrelosdiferentes
procesoslepermitirnpriorizarlosriesgossobreloscualesha
decentrarlaatencinparadefinirunaopcindetratamiento.

16
Procesodeadministracinde
Riesgos
4.EvaluaryPriorizarRiesgos CmoHacerlo?

4.1.CompararcontraCriteriosyDefinir
prioridadesderiesgo

Elaboreunalistaordenadademayoramenor,porlavaloracindel
niveldeexposicin.

Estolepermitirdefinirlosriesgosdemayorgradodeimportancia
sobreloscualesdeberdefinirlasopcionesdetratamiento.

Centresuatencinenlocrtico,deacuerdoalosnivelesde
aceptacinquetengadefinidos

17
Procesodeadministracinde
Riesgos
5.TratamientodelRiesgo

5.1.Identificaropcionesdetratamiento
Paralaactividadocomponentealcualaplicelprocesode
administracinderiesgos,determinelasposiblesformasde
reduciromitigarelriesgo.
5.2.Evaluaropcionesdetratamiento
Bajolasconsideracionesdelmarcodereferenciadefinido,
establecerculesdelasopcionesdetratamientoidentificadas
seajustanalaorganizacinyreducenelriesgoaunnivelde
exposicinaceptable.
5.3.Prepararplanesdetratamiento
Elaborarlosplanesquelepermitanponerenprcticalas
opcionesdetratamientodelriesgoseleccionadas.
5.4.ImplementarPlandetratamiento
Ponerenmarchaelplandefinido.
18
Procesodeadministracinde
Riesgos
5.TratamientodelRiesgo CmoHacerlo?

5.1.Identificaropcionesdetratamiento
Existenlassiguientes:
Evitar:Sereducelaprobabilidaddeprdidaalmnimo;dejardeejercer
laactividadoproceso.
Reducir:Seconsiguemediantelaoptimizacindelosprocedimientosy
laimplementacindecontrolestendientesadisminuirlaprobabilidadde
ocurrenciaoelimpacto.
Atomizar:Distribuirlalocalizacindelriesgo,segmentandoelobjeto
sobreelcualsepuedematerializarelriesgo.
Transferir:Pasarelriesgodeunlugaraotro,compartirconotroel
riesgo,estatcnicanoreducelaprobabilidadnielimpacto,involucraa
otroenlaresponsabilidad.
Asumir:Seaceptalaprdidaresidualprobable,conlaaceptacindel
riesgolasestrategiasdeprevencinsevuelvenesenciales.

19
Procesodeadministracinde
Riesgos
5.TratamientodelRiesgo CmoHacerlo?

5.2.Evaluaropcionesdetratamiento
Lasopcionesdetratamientodebenevaluarseconbaseenelalcancede
lareduccinderiesgo(desuprobabilidadodesuimpacto),la
evaluacindebeextendersealosbeneficiosuoportunidadesquela
opcindetratamientopuedacrear.
Tengapresenteconsiderarvariasopcionesyquestaspuedenaplicarse
individualmenteodemaneracombinada.
Considerelossiguientesfactoresalmomentodeevaluarlasopcionesde
tratamiento
Eficacia:Efectividaddelapropuestadepropuestadetratamientopara
reducirelriesgos
Factibilidad:Laprobabilidaddeaceptarlaopcinpropuesta
Eficiencia:Usoptimodelosrecursos,Costoefectividaddelaopcin

20
Procesodeadministracinde
Riesgos
5.TratamientodelRiesgo CmoHacerlo?

NivelTotal
deRiesgos

Implementarmedidasdereduccin

UsarJuicio

Antieconmico

Costo

Paraseleccionarlaopcinmsapropiadase
requierebalancearelcostodeimplementacin
contralosbeneficiosderivados.
21
Procesodeadministracinde
Riesgos
5.TratamientodelRiesgo CmoHacerlo?

5.3.Prepararplanesdetratamiento
Documentandocmoseimplementarnlasopcioneselegidas:
Identificandoresponsabilidades
Programas,resultadosesperados,presupuesto
Medireldesempeoylarevisindelprocesoensuconjunto.
Elplandeberaincluirtambinunmecanismoparaevaluarlaimplementacin
delasopcionescontracriteriosdedesempeoyresponsabilidadesindividualesy
otrosobjetivos,yparacontrolarhitoscrticosdeimplementacin.

5.4.Implementarelplan
Idealmente,laresponsabilidadparaeltratamientoderiesgodeberaserejercida
porlosmejorcapacitadosdecontrolarelriesgo.Lasresponsabilidadesde
implementacinseconciertansegnladisponibilidaddetiempodelaspartes.

Laimplementacinexitosadelplandetratamientoderiesgorequieredeun
sistemaefectivodegestin:
Queespecifiquelosmtodoselegidos
Asignacinderesponsabilidades,accionesindividuales
Controlescontracriteriosespecficos.
22
Administrando
RiesgosdeTI

23
AdministracindeRiesgosdeTI
Porqu?

Hoyendalamayoradelasempresassoportansus
procesosoperativosconTI.
Sehageneradounaltogradodedependenciadela
tecnologainformtica.
Lasorganizacionestienenunaelevadainversinen
tecnologa,porsuadquisicin,mantenimientoy
seguridad.
Sehaincrementadoelnmerodeataquesexternos
alasinstalacionesdeTI.
Porqueesunmedioporelcuallaadministracin
puedeconcretarlosobjetivosdecontrolsobrelaT.I.

24
AdministracindeRiesgosdeTI
RecordemoslosprincipiosdelModeloCobiT

Requerimientosdelainformacindelnegocio.
RecursosdeTecnologaInformtica
ProcesosdeTecnologaInformtica

REQUERIMIENTOS
DEINFORMACIN
DELNEGOCIO

PROCESOS
DETI

RECURSOS
DETI

25
CobiT
RequerimientosdelaInformacindelNegocio

Efectividad:Lainformacindebeserrelevantey
pertinenteparalosprocesosdelnegocioydebeser
proporcionadaenformaoportuna,correcta,
consistenteyutilizable.
Eficiencia:Sedebeproveerinformacinmedianteel
empleoptimodelosrecursos(laformams
productivayeconmica).
Confidencialidad:Proteccindelainformacin
sensitivacontradivulgacinnoautorizada.
Integridad:Refierealoexactoycompletodela
informacinascomoasuvalidezdeacuerdoconlas
expectativasdelaempresa.

26
CobiT
RequerimientosdelaInformacindelNegocio

Disponibilidad:accesibilidadalainformacin
cuandosearequeridaporlosprocesosdelnegocioy
lasalvaguardadelosrecursosycapacidades
asociadasalosmismos.
Cumplimiento:delasleyes,regulacionesy
compromisoscontractualesconloscualesest
comprometidalaempresa.
Confiabilidad:proveerlainformacinapropiadapara
quelaadministracintomelasdecisionesadecuadas
paramanejarlaempresaycumplirconlas
responsabilidadesdelosreportesfinancierosyde
cumplimientonormativo.

27
CobiT
RecursosdeTecnologaInformtica
Datos:Losobjetosdeinformacin.Informacin
internayexterna,estructuradaono,grficas,
sonidos,etc.
Aplicaciones:Entendidocomolossistemasde
informacin,queintegranprocedimientosmanualesy
sistematizados.
Tecnologa:Incluyehardwareysoftwarebsico,
sistemasoperativos,sistemasdeadministracinde
basesdedatos,deredes,telecomunicaciones,
multimedia,etc.
Instalaciones:Incluyelosrecursosnecesariospara
alojarydarsoportealossistemasdeinformacin.
RecursoHumano:Porlahabilidad,concienciay
productividaddelpersonalparaplanear,adquirir,
prestarservicios,darsoporteymonitorearlos
sistemasdeInformacin. 28
ObjetivosdelNegocio
IT.Governance
1.DefinirunplanestratgicodeTI
2.Definirlaarquitecturadeinformacin
1.Seguimientodelosprocesos 3.Determinarladireccintecnolgica
2.EvaluarloadecuadodelcontrolInterno
CobiT 4.DefinirlaorganizacinyrelacionesdeTI
3.Obteneraseguramientoindependiente 5.ManejodelainversinenTI
4.Proveerunaauditoraindependiente 6.ComunicacindeladirectricesGerenciales
7.AdministracindelRecursoHumano
8.Asegurarelcumplirrequerimientosexternos
9.EvaluacindeRiesgos
10.AdministracindeProyectos
11.AdministracindeCalidad

Seguimiento Req.Informacin
Efectividad,Eficiencia,
Confidencialidad,Integridad,
Disponibilidad, Planeaciny
Cumplimiento,Confiabilidad Organizacin

1.Definicindelniveldeservicio
2.Administracindelserviciodeterceros
3.Admondelacapacidadyeldesempeo RecursosdeTI
4.Asegurarelserviciocontinuo Datos,Aplicaciones Adquisicine
5.Garantizarlaseguridaddelsistema
6.Identificacinyasignacindecostos
Tecnologa,Instalaciones,
RecursoHumano
Implementacin
7.Capacitacindeusuarios
8.SoportealosclientesdeTI
9.Administracindelaconfiguracin
1.Identificacindesoluciones
10.Administracindeproblemaseincidentes
2.AdquisicinymantenimientodeSWaplicativo
11.Administracindedatos
12.AdministracindeInstalaciones Prestacinde 3.AdquisicinymantenimientodearquitecturaTI
13.AdministracindeOperaciones Servicioy 4.DesarrolloymantenimientodeProcedimientos
deTI
Soporte 29
5.InstalacinyAcreditacindesistemas
6.AdministracindeCambios
AdministrandoRiesgosdeTI
1. EstablecerMarcoGeneral
1.1ContextoEstratgico
1.2ContextoOrganizacional
1.3ObjetosCrticos

LeyesyRegulaciones AmbienteSocial
EntornoEconmico AmbienteTecnolgico
Clientes Competencia
ObjetivosdelNegocio
RendimientoFinanciero,CrecimientoInstitucional,
Crecimientocompetitivo,Calidad,Servicioal
Cliente,Eficienciaoperacional,Productividad,Etc.

EstructuraOrganizacional Lneasdenegocio

Procesos Actividades Productos


ImpactoEconmicoReputacinorganizacional
Imagendeproductososervicios 30
AdministrandoRiesgosdeTI
2.IdentificarRiesgos
2.1MarcoEspecifico,
2.2CriteriosdeEvaluacin,
2.3IdentificarEstructura,

EspecficamenteenlaadministracindeTI.
ydeprocesosoperativosapoyadosconTI.

TecnolgicosydeInformacin
Integridad,ConfidencialidadyDisponibilidad
+Efectividad,Eficiencia,CumplimientodeNormas
+Denegocio

ProcesosdeTI(EjemploCOBIT)Subprocesos
Ej:ManejoyAdministracindeProyectos
Adquisicinymantenimientodesistemasdeaplicacin
Administracindelaconfiguracin
Prestacindeserviciocontinuo
ProyectodeTIEtapasoactividades
SistemadeInformacinMdulos,Interfase,E/P/S
31
AdministrandoRiesgosdeTI
2.IdentificarRiesgos
2.4IdentificarRiesgos
2.5IdentificarCausas

Ineficienciaenelusodelosrecursos
Algunos Prdidadeconfidencialidad
Riesgos PrdidadeIntegridaddeinformacin
Interrupcinenlacontinuidaddelservicio
Accesonoautorizado
Prdidaeconmica

Heterogeneidadenlaejecucindeprocesos
Algunas
Ausenciademetodologasdeprocesos
Inadecuadaclasificacindelainformacin
Causas
Erroruomisinenelprocesamiento
Cambiosnoautorizados
Hurtodeactivos(recursosinformticos)
Incertidumbreparaatenderincidentes
AusenciadeplanesdecontinuidaddeNegocio
Suplantacindeusuarios 32
AdministrandoRiesgosdeTI
RiesgosdeTI
(unejemplocon2procesosy2recursos)

Desarrolloy
Adquisicin Operacinde Tcnicosy Relacionadoscon
deSoftware Instalaciones Tecnolgicos laInformacin

Seleccin
Subosobre Negacindel Prdidade
inadecuada
dimensionamiento servicio Informacin
deestrategias

Diseo Cambiosno Obsolescencia Prdidade


Inadecuado autorizados Tecnolgica Confidencialidad

Aceptacinde Prdidade
Ineficienteuso Prdidade
swnoacordecon integridado
delosrecursos informacin
lasnecesidades Confiabilidad
Faltadeoportu
Accesono Incumplimiento
nidadenentrada
autorizado denormas
enproduccin

33
AdministrandoRiesgosdeTI
3.AnlisisdeRiesgos
3.1ValorarRiesgoInherente
3.2DeterminarControlesexistentes
3.3IdentificarelniveldeExposicin

Hagausodelainformacinhistricaquetengadisponible.
Apliqueunmtodocuantitativo(ej.P.A.E)

Vr.Riesgo(Causa)=ProbabilidadxImpacto

Cuandolorequieraelaboresuspropiasescalasdemedicin
Apliquemtodossemicuantitativos
Relacionadoscon
RelacionadaconelImpacto
laProbabilidad
PrdidaFinanciera PrdidadeImagen PrdidadeDisponibilidad
1Raravezocurre
0Nohayprdida 0Noseafectalaimagen 0Noseafecta
2Pocoprobable
1de1a10.000 1antelosempleados 1poralgunossegundos
3AlgunasVeces
2de10.000a50.000 2anteuncliente 2poralgunosminutos
4probable
3de50.000a100.000 3anteunaciudad 3poralgunashoras
5muyprobable
4de100.000a500.000 4anteelpas 4porunda/semana
5msde500.000 5anteelmundo 5porunasemana/mes

34
AdministrandoRiesgosdeTI
3.AnlisisdeRiesgos
3.1ValorarRiesgoInherente
3.2DeterminarControlesexistentes
3.3IdentificarelniveldeExposicin

Elaborelalistadelosmecanismosdecontrolqueaplicana
cadaunodeloscomponentesdesuobjetoanalizado
Procedimientosformalesdeplaneacin.
usodeestndaresdeprogramacin,identificacin,codificacin.
usodemecanismosdeautenticacin.
procedimientosdocumentados,divulgadosyaplicados. Estatareaser
usodemetodologasdedesarrollodesw. mssencillade
usometodologasdedefinicinderequerimientos. realizarsise
procedimientosparaelcontroldecambios. divide
acuerdosexplcitosdenivelesdeservicio. adecuadamente
mecanismosdeencripcin elobjetode
redundanciaendispositivosyrecursoscrticos. anlisisensus
clasificacindelainformacin partes
procedimientosderespaldo
sensoresyalarmasdefactoresambientales(humo,humedad,temperatura)
tomafsicadeinventariosderecursoscomputacionales
verificadoresdelicencias

35
AdministrandoRiesgosdeTI
NiveldeExposicin=RiesgoControlesaplicados

Definirelniveldeexposicinlepermitirconocerla
efectividaddeloscontroles.
Sinembargo,tengapresenteenrelacinconla
efectividaddeloscontroleslossiguientes
aspectos:
Internos frentealos Externos
Manuales frentealos Automticos
Previos frentealos Posterior
Preventivos frentealos CorrectivosyDetectivos
Generales frentealos Especficos
Continuos frentealos Discretos(aplicacin)
Peridicos frentealos Espordicos

36
AdministrandoRiesgosdeTI
4.EvaluaryPriorizarRiesgos
4.1Compararcontracriterios
4.2Definirprioridades

Heterogeneidadenlaejecucindeprocesos 785
Inadecuadaclasificacindelainformacin 750
Desarrolloinformal(sinmetodologa)desw 675
AusenciadeplanesdecontinuidaddeNegocio 585
Incertidumbreparaatenderincidentes 400
Cambiosnoautorizados
310
Erroruomisinenelprocesamiento 250
Hurtodeactivos(recursosinformticos)
230
Suplantacindeusuarios 175

37
AdministrandoRiesgosdeTI
5.TratamientodelRiesgo
Identificaryevaluaropciones
Preparareimplementarplanes

Laidentificacindeopcionesdetratamientodel
riesgopuedeconducirlea:
Implementacindenuevosmecanismosdecontrol.
Cambiar,modificaroeliminarcontrolesexistentes.
Combinarmecanismosdecontrol.
Dependiendodelgradodecomplejidaddelaopcin
elegidasuimplementacinpuedellegaralpuntode
convertirseenunproyecto.
Obligatoriedaddelcambiodeclaves
Definicindepistasdeauditora
DocumentacindeProcesos
PlandeContinuidadTecnolgico
Funcindeaseguramientodelacalidad
38
AdministrandoRiesgosdeTI
5.TratamientodelRiesgo
Identificaryevaluaropciones
Preparareimplementarplanes

EnlosplanesdeImplementacines
convenienteconsiderar:
Respaldodelagerencia
Responsables
Presupuestos
Compromisoconlafechadefinalizacin

39
AdministrandoRiesgosdeTI
ReflexinsobreelprocesodeAdministracindeRiesgos

Seguimientoaloscompromisosenel
plandeimplementacindeopcionesde
tratamiento.
Revisinyajustedemtodosytcnicas
aplicadas.
Anlisisdelosbeneficiosalcanzados(en Monitorear
elnegocio,enlaadministracindeTI,en yRevisar
laauditora,enlosusuarios).
Esposibleyconvenientecontinuarcon
otrosobjetos?(procesos,proyectos,
reas).
Niveldeaprendizajedelaorganizacin
enrelacinconlaadministracindesus
riesgos. 40
Bibliografa

TheAustralian/NewZealandJointStandardsCommitteeAS/NZS
4360RiskManagement
COSOTheCommitteeofSponsoringOrganizationsofthe
commissionTreadway
COCOInstitutoCanadiensedeContadoresCertificados(CICA)
IFACFinancial&ManagementAccountingCommittee
AGuidetoSecurityRiskManagementforInformationTechnology
SystemsGovernmentofCanada,CommunicationsSecurity
MAGERITMetodologadeAnlisisySesindeRiesgosdelos
SistemasdeInformacinVersin1.0
ChesterSimmonsRiskManagement
SolisMontesGustavoA.ReingenieradelaAuditoraInformtica
41