Академический Документы
Профессиональный Документы
Культура Документы
IDENTIFICAR RIESGOS
ANLIZAR RIESGOS
EVALUAR RIESGOS
TRATAR EL RIESGO
Establecer el contexto de la administracin de riesgos Desarrollar criterios para evaluacin de riesgos Definir la estructura
b) Circunstancias econmicas
De la organizacin, p g pas, internacionales, como asimismo factores q contribuyen a que y esas circunstancias ej: tipos de cambio.
c) Comportamiento humano
Tanto de los involucrados en la organizacin como de los que no lo estn.
f) Aspectos tecnolgicos y tcnicos Tanto internos como externos a la organizacin. g g) Actividades y controles gerenciales h) Actividades individuales
Como y por que puede suceder? Herramientas: listados, software, lluvia de ideas
Inventario de riesgos Determinar controles existentes CSA Consecuencias y probabilidades C i b bilid d Tipos de anlisis
Cualitativo, cuantitativo, mixto
Matriz de riesgo Conjugacin de impacto: legal, financiero, econmico, etc. econmico etc Comparacin contra indicadores estadsticos. t d ti
Identificar Opciones
No hacer nada Evitar el riesgo Reducir la probabilidad de ocurrencia Reducir las consecuencias Transferir Mitigar
Retroalimentacin Reportes Gerenciales Reuniones de seguimiento Por etapas Por indicadores de criticidad alcanzados
PROYECTO ISACA
MODELOS DE MADUREZ
0 No existente no toma en cuenta los impactos en el negocio asociados a las vulnerabilidades de seguridad y a las incertidumbres del desarrollo de proyectos. La administracin de riesgos no se ha identificado como algo relevante para adquirir soluciones de TI y para prestar servicios de TI 1 Inicial/Ad Hoc Se realizan evaluaciones informales de riesgos segn lo determine cada proyecto. En algunas ocasiones se identifican evaluaciones de riesgos en un p g g plan de p y proyectos p pero se asignan a gerentes especficos con poca frecuencia. Los riesgos especficos relacionados con TI tales como seguridad, disponibilidad e integridad se toman en cuenta ocasionalmente proyecto por proyecto. Los riesgos relativos a TI que afectan las operaciones del da con da, son rara vez discutidas en reuniones gerenciales. Cuando se toman en cuenta los riesgos, la mitigacin es inconsistente. Existe un entendimiento emergente de que los riesgos de TI son importantes y necesitan ser considerados. 2 Repetible pero intuitiva cuando Existe un enfoque de evaluacin de riesgos inmaduro y en evolucin y se implanta a discrecin de los gerentes de proyecto. La administracin de riesgos se da por lo general a altos niveles y se aplica de manera tpica solo a proyectos grandes o como respuesta a problemas. 3 Proceso definido cuando Una poltica de administracin de riesgos para toda la organizacin define cundo y cmo realizar las evaluaciones de riesgos. La administracin de riesgos sigue un proceso definido el cual est documentado documentado. El entrenamiento sobre administracin de riesgos est disponible para todo el personal. La decisin de seguir el proceso de administracin de riesgos y de recibir entrenamiento se delega a la discrecin del individuo.
MODELOS DE MADUREZ
4 Administrado y medible
procesos estndar. as excepciones se reportan a la g p p gerencia de TI. Es una responsabilidad de alto nivel. Los riesgos se evalan y se mitigan a nivel de proyecto individual y tambin por lo regular se hace con respecto a la operacin global de TI. La gerencia recibe notificacin sobre los cambios en el ambiente de negocios y de TI que pudieran afectar de manera significativa los escenarios de riesgo relacionados con la TI. La L gerencia puede monitorear l posicin d riesgo y t i d it la i i de i tomar d i i decisiones i f informadas respecto a l d t la exposicin que est dispuesta a aceptar. propietario denominado, y la alta direccin, as como la gerencia de TI han determinado los niveles de riesgo que la organizacin est dispuesta a tolerar. medidas estndar para evaluar el riesgo y para definir las proporciones riesgo/retorno. La gerencia p presupuesta p p para q un p y que proyecto operativo de administracin de riesgos re-evale los riesgos de p g g manera regular. parte del proceso de administracin de riesgos se empieza a automatizar. proceso estructurado est implantado en toda la organizacin y es bien administrado. Las buenas prcticas se aplican en toda la organizacin. p p g La captura, anlisis y reporte de los datos de administracin de riesgos estn altamente automatizados. La orientacin se toma de los lderes en el campo y la organizacin de TI participa en grupos de inters para intercambiar experiencias. La administracin de riesgos est altamente integrada en todo el negocio y en las operaciones de TI est bien aceptada, y abarca a los usuarios de servicios de TI aceptada s arios ser icios TI.
5 Optimizado
FORMULAS RELACIONADAS
Risk Analysis
Assign value to Information and Assets Estimate exposure factor Perform and derive potential costs and savings
Factor de exposicion: % de perdida ARO is the Annual Rate of Occurrence ALE i th A is the Annual L l Loss E Expectancy t
Single Loss Exposure ($) = Asset Value ($) x Exposure F t (%) E Factor Annual Rate of Occurrence = Number of occurrences N b of years Number f Annual Loss Expectancy ($) = SLE ($) x ARO