RISK IT

Laury Orjuela
Ronal Varela
Andrs mieles
Jaider Villamizar
 INTRODUCCIN
Las organizaciones son cada vez ms conscientes de lo que significan los
riesgos informticos y, sobre todo, han aprendido que en la mayora de los
casos debern coexistir con ellos pero en forma controlada. Es por ello
que se dedican recursos de persona, tiempo y dinero para la gestin de
riesgos de TI, pero con tantos modelos, metodologas y tcnicas
disponibles es difcil responder a las preguntas: por dnde empezar?,
cul de ellas es mejor?, debo utilizar un enfoque cualitativo o
cuantitativo?, quin lo debe ejecutar?, con qu granularidad?, cmo
tratar el riesgo?. Adems, los riesgos de TI forman parte de los riesgos que
cualquier dirigente debe tener en cuenta en su gobierno.
 ANTECEDENTES
El riesgo es inherente a las organizaciones en general.
El riesgo es una parte esencial para el progreso y la
equivocacin una parte importante del aprendizaje.
Que el riesgo sea inevitable no implica la incapacidad para
identificarlo y manejarlo.
Lamentablemente el riesgo no es tratado en la mayora de
los casos o, si se hace, se lo gestiona en forma ad-hoc.
 OBJETIVOS
Objetivo General
Conocer y comprender el marco de referencia Risk IT para una adecuada
gestin de riesgos RISK IT de ISACA.

Objetivo Especficos
Ayudar a comprender la forma de gestionar el riesgo.
Integrar la gestin de los riesgos de negocio relacionados con la TI en la
gestin global del riesgo empresarial.
Ayudar a entender los riesgos de TI con el apetito de riesgo y la
tolerancia al riesgo de la organizacin.
Ayudar a ahorrar tiempo, costo y esfuerzo con las herramientas para
hacer frente a los riesgos de negocio.
 Qu es Risk IT?
RISK IT es el nuevo marco para el Gobierno de los riesgos corporativos
asociados a las TIC que ayuda a la gestin eficaz de los riesgos de TI,
basado en un conjunto de principios y guas, procesos de negocio y
directrices de gestin que se ajustan a estos principios.
 QU ES UN RIESGO DE TI?

El riesgo de TI es riesgo del negocio especficamente, el riesgo del

negocio asociado con el uso, propiedad, operacin, involucramiento,
influencia y adopcin de TI en la organizacin.
Consiste de eventos relacionados con TI que potencialmente podran
impactar al negocio.
Incluye frecuencia y magnitud, y crea retos para el cumplimiento de
metas y objetivos estratgicos, as como incertidumbre en la bsqueda
de oportunidades.
Riesgos de TI en la Jerarqua de riesgos
 CATEGORIZACIN DE LOS RIESGOS DE TI
Clasificacin
Riesgo en la entrega de servicios de TI.
Riesgo en la entrega de soluciones de TI/realizacin de beneficios.
Riesgo de realizacin de beneficios de TI.
PARTES INTERESADAS
PRINCIPIO DEL RIESGO
MARCO DE RIESGOS DE TI
COMPONENTES DE ESCENARIO DE RIESGO
 FUNDAMENTO DE GOBIERNO DE RIESGO

Los componentes esenciales del dominio de Gobierno del

Riesgo son:
Apetito y tolerancia al riesgo.
Responsabilidades y rendicin de cuentas sobre la gestin
riesgos de TI.
Sensibilizacin y comunicacin.
Cultura del riesgo.
 GOBIERNO DE RIESGO
Consiste en asegurar que la empresa tiene prcticas de
riesgo de TI que aseguran un retorno de la administracin del
riesgo.
Se divide en tres categoras:
RG1 Establecer y mantener una visin comn de riesgo
RG2 Integrar con la gestin de riesgos de la empresa
RG3 Hacer decisiones conscientes del riesgo del negocio
RG1 Establecer y mantener una visin comn
de riesgo
RG2 Integrar con la gestin de riesgos de la empresa
RG3 Hacer decisiones conscientes del riesgo del negocio
 FUNDAMENTOS DE LA EVALUACIN DE RIESGO
La evaluacin significativa de riesgos de TI y el riesgo de decisiones
basadas en los riesgos de TI requieren ser expresadas en trminos
inequvocos y claros relevantes de negocios. La gestin efectiva del riesgo
requiere de la comprensin mutua entre TI y el negocio sobre el que el
riesgo debe ser gestionado y por qu. Todas las partes interesadas deben
tener la capacidad de comprender y expresar cmo los eventos adversos
pueden afectar a los objetivos de negocio.

RE1 Recoleccin de datos

RE2 Evaluacin de riesgos
RE3 Mantener un perfil de riesgo
RE1 Recoleccin de datos
RE2 Evaluacin de riesgos
RE3 Mantener un perfil de riesgo
 FUNDAMENTOS DE LA RESPUESTA DE RIESGO

Consiste en asegurar que las TI relacionadas con asuntos de

riesgos, oportunidades y los eventos, se traten de manera
rentable y alineado a las prioridades del negocio.

RR1 Articular el riesgo

RR2 Gestionar el riesgo
RR3 Reaccionar ante eventos
RR1 Articular el riesgo
RR2 Gestionar el riesgo
RR3 Reaccionar ante eventos
Modelos de ISACA y la metfora de la balanza
 Conclusiones
Risk IT es un marco de referencia que nos permite conocer y comprender
adecuadamente la gestin de riesgos de TI
Ayuda a ahorrar tiempo, costo y esfuerzo para hacer frente a los riesgos
de negocio.
Hoy en da se requiere identificar, tratar y mitigar los riesgos asociados a
TI a travs de una metodologa de gestin de riesgos.
Dentro del marco de Gobierno de TI, este se alinea al proceso de gestin
de riesgos con la gestin de riesgos de la empresa, los objetivos de
negocio y la obtencin de valor de la empresa.