SlideShare ist ein Scribd-Unternehmen logo

It Risk Management

Als PPTX, PDF herunterladen
N
nosfidel
BusinessWirtschaft & Finanzen
1 von 21
Sistemas de información y la gestión de riesgo Administración Integral de Riesgo Corporativo Fidel Hernández, CISA México D.F. Junio 16, 2009
Agenda Administración de riesgos y la tecnología de información (TI) ¿Qué es diferente? Proceso de Administración de riesgos de TI Relevancia de TI en los procesos de la entidad Identificación de riesgos de TI Ciclo de vida de los sistemas (SDLC) Evaluación de riesgos dos enfoques Opciones de manejo de riesgos La seguridad de información y la gestión de riesgos 10/06/2009 Page 2 Administración Integral de Riesgo Corporativo
Administración de riesgos una definición “… un proceso ejecutado desde el consejo de administración y la gerencia, hasta el personal operativo; aplicado como una estrategia de la empresa, diseñado para identificar eventos potenciales que pudieran dañar a la entidad; para otorgar aseguramiento razonable del logro de la misión y los objetivos de la entidad.” Fuente: COSO Enterprise Risk Management – Integrated Framework 2004 10/06/2009 Page 3 Administración Integral de Riesgo Corporativo
¿Qué es diferente con la tecnología de información? La tecnología permea efectivamente las operaciones de una organización. Habilita los procesos clave que permiten la entrega de sus productos y servicios. Soporta las operaciones, procesos de reporte financiero y provee información para la toma de decisiones. 10/06/2009 Page 4 !Suena importante! Administración Integral de Riesgo Corporativo
¿Qué es diferente con la tecnología de información?... El proceso de ERM deberá considerar la importancia de la tecnología en la estrategia total de la organización. La identificación de riesgos de TI en el contexto de toda la empresa, cambia laprotección de activos de información por el aseguramiento de procesos clave en los que TI es fundamental. 10/06/2009 Page 5 No es un asunto exclusivo del área de TI Administración Integral de Riesgo Corporativo
Proceso de Administración de riesgos de TI 10/06/2009 Page 6 Administración Integral de Riesgo Corporativo
Relevancia de TI en los procesos de la organización 10/06/2009 Page 7 Entendiendo el papel de TI como habilitador de procesos clave se podrá entender la relevancia de los riesgos de TI para la organización. Los riesgos de TI se encuentran entrelazados a los procesos clave de operación, y deben ser analizados en forma holística. Un enfoque holístico en el manejo de los riesgos de IT, resultara en mejores estimaciones de valor e impacto de procesos y no solo de activos de información. Administración Integral de Riesgo Corporativo
Identificación de riesgos de TI 10/06/2009 Page 8 Administración Integral de Riesgo Corporativo
Identificación de riesgos de TI 10/06/2009 Page 9 Administración Integral de Riesgo Corporativo
Identificación de riesgos de TI 10/06/2009 Page 10 Administración Integral de Riesgo Corporativo
10/06/2009 Page 11 Ciclo de desarrollo de sistemas Como lleno su requerimiento el usuario Como lo entendió el líder del proyecto Como lo diseñó el analista de sistemas Como lo escribió en código el programador Como es descrito por el gerente de la unidad de negocio Como se soportó el proyecto Como se documentó el proyecto Como fue instalado por el área de operaciones Como se facturó al cliente Esto es lo que el proceso necesitaba Administración Integral de Riesgo Corporativo
Ciclo de desarrollo de sistemas 10/06/2009 Page 12 Administración Integral de Riesgo Corporativo
Identificando controles existentes 10/06/2009 Page 13 Administración Integral de Riesgo Corporativo
Identificando controles existentes 10/06/2009 Page 14 Administración Integral de Riesgo Corporativo
Evaluación de riesgos dos enfoques… cuantitativo Requiere un análisis basado en valores numéricos de la probabilidad de amenaza, vulnerabilidad y valor del impacto. A pesar de que se cuentan con herramientas para determinar casi todos los valores depende de información que en ocasiones es difícil de conseguir o calcular. Facilita el análisis costo beneficio. 10/06/2009 Page 15 Administración Integral de Riesgo Corporativo
Evaluación de riesgos dos enfoques… cualitativo Una definición subjetiva del impacto Alto, puede resultar en la muy costosa pérdida de activos estratégicos; puede dañar o impedir la misión de la organización, su reputación o sus intereses; involucrando pérdida de vidas o lesiones serias. Medio, puede resultar en la costosa pérdida de activos; puede afectar la misión de la organización, su reputación o sus intereses y poner en riesgo vidas. Bajo, puede resultar en la perdida de algunos activos, afectar la misión, reputación o intereses de la organización. 10/06/2009 Page 16 Administración Integral de Riesgo Corporativo
Matriz de decisiones de riesgo 10/06/2009 Page 17 Alto RIESGO ALTO RIESGO MEDIO I M P A C T O CONTROLAR Y MITIGAR TRANSFERIR RIESGO MEDIO RIESGO BAJO ACEPTAR CONTROLAR ALTA PROBABILIDAD Administración Integral de Riesgo Corporativo
Opciones de manejo de riesgos Aceptar el riesgo; monitoreando Evitar el riesgo Mitigar el riesgo; implementando controles que disminuyan la probabilidad de ocurrencia o que reduzcan el impacto en la organización Transferir el riesgo; mediante decisiones de negocio como: Ousorcing, jointventures, diversificación Seguros 10/06/2009 Page 18 Administración Integral de Riesgo Corporativo
La seguridad de la información y la administración de riesgos El proceso de administración de riesgos requiere de datos confiables que soporten el valor de los procesos y ayuden a medir el impacto de las decisiones estratégicas en los objetivos y misión de la entidad. Los procedimientos, políticas y controles de seguridad de información buscan evitar: Pérdida de integridad Pérdida de disponibilidad Pérdida de confidencialidad 10/06/2009 Page 19 Administración Integral de Riesgo Corporativo
¡GRACIAS!... ¿Preguntas? Fidel Hernández, CISA IT Audit Manager LatinAmerica CorporateAuditng The 3M Company Phone: 52 55 52 70 22 17 mailto: fchernandezgutierrez@mmm.com México D.F. Junio 16, 2009
Bibliografía y referencias “Risk Management Guide forInformationTechnologySystems;” RecomandationsontheNationalInstitute of Standards and Technology, U.S. Department of Commerce. Gary Stonenburner, Alice Goguen, Alexis Feringa. Washingtong D.C. NIST SpecialPublication 800-30 “COSO EnerpriseRisk Management-Integrated Framework;” Committe of SponsoringOrganizations of theTradewayCommision. Copyright © 2004. “IT Risk Management Guide;” Gerard Blokdijk, Claire Engle & JackieBrewster. Copyright © 2008 10/06/2009 Page 21 Sitios Web relacionados www.coso.org www.theiia.org www.isaca.org Administración Integral de Riesgo Corporativo

Empfohlen

ROSI - Return On Security Investments (2008)
ROSI - Return On Security Investments (2008)ROSI - Return On Security Investments (2008)
ROSI - Return On Security Investments (2008)Gabriel Marcos
 
Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...
Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...
Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...Arsys
 
Valoración Del Riesgo Legal Mod II Integración ERM al GRC
Valoración Del Riesgo Legal Mod II Integración ERM al GRCValoración Del Riesgo Legal Mod II Integración ERM al GRC
Valoración Del Riesgo Legal Mod II Integración ERM al GRCHernan Huwyler, MBA CPA
 
Modelo de riesgos y controles
Modelo de riesgos y controlesModelo de riesgos y controles
Modelo de riesgos y controlesMonica Peña
 
La filtración de datos es una amenaza para los inversores
La filtración de datos es una amenaza para los inversoresLa filtración de datos es una amenaza para los inversores
La filtración de datos es una amenaza para los inversoresIvan Bedia García
 
Compliance Risks
Compliance RisksCompliance Risks
Compliance RisksHernan Huwyler, MBA CPA
 
Valoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y GestiónValoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y GestiónHernan Huwyler, MBA CPA
 
Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)
Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)
Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)Hernan Huwyler, MBA CPA
 

Empfohlen

ROSI - Return On Security Investments (2008)
ROSI - Return On Security Investments (2008)ROSI - Return On Security Investments (2008)
ROSI - Return On Security Investments (2008)Gabriel Marcos
 
Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...
Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...
Gestión Integral de Riesgos operativos TIC en el mundo real - Arsys - CIO Dir...Arsys
 
Valoración Del Riesgo Legal Mod II Integración ERM al GRC
Valoración Del Riesgo Legal Mod II Integración ERM al GRCValoración Del Riesgo Legal Mod II Integración ERM al GRC
Valoración Del Riesgo Legal Mod II Integración ERM al GRCHernan Huwyler, MBA CPA
 
Modelo de riesgos y controles
Modelo de riesgos y controlesModelo de riesgos y controles
Modelo de riesgos y controlesMonica Peña
 
La filtración de datos es una amenaza para los inversores
La filtración de datos es una amenaza para los inversoresLa filtración de datos es una amenaza para los inversores
La filtración de datos es una amenaza para los inversoresIvan Bedia García
 
Compliance Risks
Compliance RisksCompliance Risks
Compliance RisksHernan Huwyler, MBA CPA
 
Valoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y GestiónValoración Del Riesgo Legal Mod I Valuación y Gestión
Valoración Del Riesgo Legal Mod I Valuación y GestiónHernan Huwyler, MBA CPA
 
Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)
Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)
Compliance Sectorial para Oil&Gas, Minería y Energía (Sector primario)Hernan Huwyler, MBA CPA
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaMarcelo Herrera
 
Gestión de Riesgos Organizacionales
Gestión de Riesgos OrganizacionalesGestión de Riesgos Organizacionales
Gestión de Riesgos OrganizacionalesDr. Lucas Burchard Señoret
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSALA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSACristian Garcia G.
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraLuis Fernando Aguas Bucheli
 
Clase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdfClase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdfMARIAJOSEPRIVADOSOLO
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
Resume ejecutivo marco risk it 18 10-2013-
Resume ejecutivo marco risk it 18 10-2013-Resume ejecutivo marco risk it 18 10-2013-
Resume ejecutivo marco risk it 18 10-2013-cbonilla1967
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Roger Reverter
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811faau09
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfFabianaOcchiuzzi2
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
SAG Aris GRC plataforma de gestión, riesgo y cumplimiento
SAG Aris GRC plataforma de gestión, riesgo y cumplimientoSAG Aris GRC plataforma de gestión, riesgo y cumplimiento
SAG Aris GRC plataforma de gestión, riesgo y cumplimientoSistemas Integrados de Gestión
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad InformaticaUniversidad Dominicana OYM
 
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdfTendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 
Deming
DemingDeming
DemingAlexander Velasque Rimac
 
Clase#3-JdlB-2011_03_28 tasa de intereses
Clase#3-JdlB-2011_03_28 tasa de interesesClase#3-JdlB-2011_03_28 tasa de intereses
Clase#3-JdlB-2011_03_28 tasa de interesesLiberteliaLibertelia
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHkarlinda198328
 

Weitere ähnliche Inhalte

Ähnlich wie It Risk Management

21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoriaCincoC
 
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSALA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSACristian Garcia G.
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001ITsencial
 
Clase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdfClase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdfMARIAJOSEPRIVADOSOLO
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgosalejenny
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Ciro Bonilla
 
Resume ejecutivo marco risk it 18 10-2013-
Resume ejecutivo marco risk it 18 10-2013-Resume ejecutivo marco risk it 18 10-2013-
Resume ejecutivo marco risk it 18 10-2013-cbonilla1967
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informáticaMartin Miranda
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Roger Reverter
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811faau09
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfFabianaOcchiuzzi2
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadHarold Morales
 
SAG Aris GRC plataforma de gestión, riesgo y cumplimiento
SAG Aris GRC plataforma de gestión, riesgo y cumplimientoSAG Aris GRC plataforma de gestión, riesgo y cumplimiento
SAG Aris GRC plataforma de gestión, riesgo y cumplimientoSistemas Integrados de Gestión
 
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdfTendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdfDemetrio Ccesa Rayme
 

Ähnlich wie It Risk Management (20)

Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Gestión de Riesgos Organizacionales
Gestión de Riesgos OrganizacionalesGestión de Riesgos Organizacionales
Gestión de Riesgos Organizacionales
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
 
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSALA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
LA GESTIÓN DEL RIESGO EN LAS ORGANIZACIONES DESDE UNA PERSPECTIVA INTEGRAL RSA
 
Implantacion sgsi iso27001
Implantacion sgsi iso27001Implantacion sgsi iso27001
Implantacion sgsi iso27001
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
Clase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdfClase II Introducción a la Admon. de Riesgos.pptx.pdf
Clase II Introducción a la Admon. de Riesgos.pptx.pdf
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
 
Resume ejecutivo marco risk it 18 10-2013-
Resume ejecutivo marco risk it 18 10-2013-Resume ejecutivo marco risk it 18 10-2013-
Resume ejecutivo marco risk it 18 10-2013-
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
 
Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin Seguridad digital pequeña y mediana empresa Bizwin
Seguridad digital pequeña y mediana empresa Bizwin
 
Marcos seguridad-v040811
Marcos seguridad-v040811Marcos seguridad-v040811
Marcos seguridad-v040811
 
Webinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdfWebinar - ISO 27001 22301 20000.pdf
Webinar - ISO 27001 22301 20000.pdf
 
Introduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridadIntroduccin a los conceptos de seguridad
Introduccin a los conceptos de seguridad
 
SAG Aris GRC plataforma de gestión, riesgo y cumplimiento
SAG Aris GRC plataforma de gestión, riesgo y cumplimientoSAG Aris GRC plataforma de gestión, riesgo y cumplimiento
SAG Aris GRC plataforma de gestión, riesgo y cumplimiento
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdfTendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
Tendencias Tecnologicas de Gartner 2024 Ccesa007.pdf
 
Deming
DemingDeming
Deming
 

Kürzlich hochgeladen

Clase#3-JdlB-2011_03_28 tasa de intereses
Clase#3-JdlB-2011_03_28 tasa de interesesClase#3-JdlB-2011_03_28 tasa de intereses
Clase#3-JdlB-2011_03_28 tasa de interesesLiberteliaLibertelia
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHkarlinda198328
 
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclasesFORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclasesjvalenciama
 
EGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptxEGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptxDr. Edwin Hernandez
 
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxINTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxRENANRODRIGORAMIREZR
 
Plan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfPlan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfdanilojaviersantiago
 
Contabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHillContabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHilldanilojaviersantiago
 
Maria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industralMaria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industralmaria diaz
 
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxModelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxedwinrojas836235
 
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONESCULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONESMarielaAldanaMoscoso
 
el impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGVel impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGVTeresa Rc
 
DERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJO
DERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJODERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJO
DERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJOkcastrome
 
Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Gonzalo Morales Esparza
 
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptxTIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptxKevinHeredia14
 
Presentación Final Riesgo de Crédito.pptx
Presentación Final Riesgo de Crédito.pptxPresentación Final Riesgo de Crédito.pptx
Presentación Final Riesgo de Crédito.pptxIvnAndres5
 
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdfSENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdfJaredQuezada3
 
informacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfinformacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfPriscilaBermello
 
La Cadena de suministro CocaCola Co.pptx
La Cadena de suministro CocaCola Co.pptxLa Cadena de suministro CocaCola Co.pptx
La Cadena de suministro CocaCola Co.pptxrubengpa
 
LIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de GestiónLIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de GestiónBahamondesOscar
 
diseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptxdiseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptxjuanleivagdf
 

Kürzlich hochgeladen (20)

Clase#3-JdlB-2011_03_28 tasa de intereses
Clase#3-JdlB-2011_03_28 tasa de interesesClase#3-JdlB-2011_03_28 tasa de intereses
Clase#3-JdlB-2011_03_28 tasa de intereses
 
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETHMARKETING SENSORIAL CONTENIDO, KARLA JANETH
MARKETING SENSORIAL CONTENIDO, KARLA JANETH
 
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclasesFORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
FORMAS DE TRANSPORTE EN MASA-PDF.pdf lclases
 
EGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptxEGLA CORP - Honduras Abril 27 , 2024.pptx
EGLA CORP - Honduras Abril 27 , 2024.pptx
 
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptxINTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
INTERESES Y MULTAS DEL IMPUESTO A LA RENTA POWER POINT.pptx
 
Plan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdfPlan General de Contabilidad Y PYMES pdf
Plan General de Contabilidad Y PYMES pdf
 
Contabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHillContabilidad universitaria Septima edición de MCGrawsHill
Contabilidad universitaria Septima edición de MCGrawsHill
 
Maria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industralMaria_diaz.pptx mapa conceptual gerencia industral
Maria_diaz.pptx mapa conceptual gerencia industral
 
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docxModelo de convenio de pago con morosos del condominio (GENÉRICO).docx
Modelo de convenio de pago con morosos del condominio (GENÉRICO).docx
 
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONESCULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
CULTURA EN LA NEGOCIACIÓN CONCEPTOS Y DEFINICIONES
 
el impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGVel impuesto genera A LAS LAS lasventas IGV
el impuesto genera A LAS LAS lasventas IGV
 
DERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJO
DERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJODERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJO
DERECHO EMPRESARIAL - SEMANA 01 UNIVERSIDAD CESAR VALLEJO
 
Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.Clase 2 Ecosistema Emprendedor en Chile.
Clase 2 Ecosistema Emprendedor en Chile.
 
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptxTIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
TIPOS DE PLANES administracion una perspectiva global - KOONTZ.pptx
 
Presentación Final Riesgo de Crédito.pptx
Presentación Final Riesgo de Crédito.pptxPresentación Final Riesgo de Crédito.pptx
Presentación Final Riesgo de Crédito.pptx
 
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdfSENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
SENTENCIA COLOMBIA DISCRIMINACION SELECCION PERSONAL.pdf
 
informacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdfinformacion-finanTFHHETHAETHciera-2022.pdf
informacion-finanTFHHETHAETHciera-2022.pdf
 
La Cadena de suministro CocaCola Co.pptx
La Cadena de suministro CocaCola Co.pptxLa Cadena de suministro CocaCola Co.pptx
La Cadena de suministro CocaCola Co.pptx
 
LIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de GestiónLIC-ZIEGLER-Planificación y Control de Gestión
LIC-ZIEGLER-Planificación y Control de Gestión
 
diseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptxdiseño de redes en la cadena de suministro.pptx
diseño de redes en la cadena de suministro.pptx
 

It Risk Management

  • 1. Sistemas de información y la gestión de riesgo Administración Integral de Riesgo Corporativo Fidel Hernández, CISA México D.F. Junio 16, 2009
  • 2. Agenda Administración de riesgos y la tecnología de información (TI) ¿Qué es diferente? Proceso de Administración de riesgos de TI Relevancia de TI en los procesos de la entidad Identificación de riesgos de TI Ciclo de vida de los sistemas (SDLC) Evaluación de riesgos dos enfoques Opciones de manejo de riesgos La seguridad de información y la gestión de riesgos 10/06/2009 Page 2 Administración Integral de Riesgo Corporativo
  • 3. Administración de riesgos una definición “… un proceso ejecutado desde el consejo de administración y la gerencia, hasta el personal operativo; aplicado como una estrategia de la empresa, diseñado para identificar eventos potenciales que pudieran dañar a la entidad; para otorgar aseguramiento razonable del logro de la misión y los objetivos de la entidad.” Fuente: COSO Enterprise Risk Management – Integrated Framework 2004 10/06/2009 Page 3 Administración Integral de Riesgo Corporativo
  • 4. ¿Qué es diferente con la tecnología de información? La tecnología permea efectivamente las operaciones de una organización. Habilita los procesos clave que permiten la entrega de sus productos y servicios. Soporta las operaciones, procesos de reporte financiero y provee información para la toma de decisiones. 10/06/2009 Page 4 !Suena importante! Administración Integral de Riesgo Corporativo
  • 5. ¿Qué es diferente con la tecnología de información?... El proceso de ERM deberá considerar la importancia de la tecnología en la estrategia total de la organización. La identificación de riesgos de TI en el contexto de toda la empresa, cambia laprotección de activos de información por el aseguramiento de procesos clave en los que TI es fundamental. 10/06/2009 Page 5 No es un asunto exclusivo del área de TI Administración Integral de Riesgo Corporativo
  • 6. Proceso de Administración de riesgos de TI 10/06/2009 Page 6 Administración Integral de Riesgo Corporativo
  • 7. Relevancia de TI en los procesos de la organización 10/06/2009 Page 7 Entendiendo el papel de TI como habilitador de procesos clave se podrá entender la relevancia de los riesgos de TI para la organización. Los riesgos de TI se encuentran entrelazados a los procesos clave de operación, y deben ser analizados en forma holística. Un enfoque holístico en el manejo de los riesgos de IT, resultara en mejores estimaciones de valor e impacto de procesos y no solo de activos de información. Administración Integral de Riesgo Corporativo
  • 8. Identificación de riesgos de TI 10/06/2009 Page 8 Administración Integral de Riesgo Corporativo
  • 9. Identificación de riesgos de TI 10/06/2009 Page 9 Administración Integral de Riesgo Corporativo
  • 10. Identificación de riesgos de TI 10/06/2009 Page 10 Administración Integral de Riesgo Corporativo
  • 11. 10/06/2009 Page 11 Ciclo de desarrollo de sistemas Como lleno su requerimiento el usuario Como lo entendió el líder del proyecto Como lo diseñó el analista de sistemas Como lo escribió en código el programador Como es descrito por el gerente de la unidad de negocio Como se soportó el proyecto Como se documentó el proyecto Como fue instalado por el área de operaciones Como se facturó al cliente Esto es lo que el proceso necesitaba Administración Integral de Riesgo Corporativo
  • 12. Ciclo de desarrollo de sistemas 10/06/2009 Page 12 Administración Integral de Riesgo Corporativo
  • 13. Identificando controles existentes 10/06/2009 Page 13 Administración Integral de Riesgo Corporativo
  • 14. Identificando controles existentes 10/06/2009 Page 14 Administración Integral de Riesgo Corporativo
  • 15. Evaluación de riesgos dos enfoques… cuantitativo Requiere un análisis basado en valores numéricos de la probabilidad de amenaza, vulnerabilidad y valor del impacto. A pesar de que se cuentan con herramientas para determinar casi todos los valores depende de información que en ocasiones es difícil de conseguir o calcular. Facilita el análisis costo beneficio. 10/06/2009 Page 15 Administración Integral de Riesgo Corporativo
  • 16. Evaluación de riesgos dos enfoques… cualitativo Una definición subjetiva del impacto Alto, puede resultar en la muy costosa pérdida de activos estratégicos; puede dañar o impedir la misión de la organización, su reputación o sus intereses; involucrando pérdida de vidas o lesiones serias. Medio, puede resultar en la costosa pérdida de activos; puede afectar la misión de la organización, su reputación o sus intereses y poner en riesgo vidas. Bajo, puede resultar en la perdida de algunos activos, afectar la misión, reputación o intereses de la organización. 10/06/2009 Page 16 Administración Integral de Riesgo Corporativo
  • 17. Matriz de decisiones de riesgo 10/06/2009 Page 17 Alto RIESGO ALTO RIESGO MEDIO I M P A C T O CONTROLAR Y MITIGAR TRANSFERIR RIESGO MEDIO RIESGO BAJO ACEPTAR CONTROLAR ALTA PROBABILIDAD Administración Integral de Riesgo Corporativo
  • 18. Opciones de manejo de riesgos Aceptar el riesgo; monitoreando Evitar el riesgo Mitigar el riesgo; implementando controles que disminuyan la probabilidad de ocurrencia o que reduzcan el impacto en la organización Transferir el riesgo; mediante decisiones de negocio como: Ousorcing, jointventures, diversificación Seguros 10/06/2009 Page 18 Administración Integral de Riesgo Corporativo
  • 19. La seguridad de la información y la administración de riesgos El proceso de administración de riesgos requiere de datos confiables que soporten el valor de los procesos y ayuden a medir el impacto de las decisiones estratégicas en los objetivos y misión de la entidad. Los procedimientos, políticas y controles de seguridad de información buscan evitar: Pérdida de integridad Pérdida de disponibilidad Pérdida de confidencialidad 10/06/2009 Page 19 Administración Integral de Riesgo Corporativo
  • 20. ¡GRACIAS!... ¿Preguntas? Fidel Hernández, CISA IT Audit Manager LatinAmerica CorporateAuditng The 3M Company Phone: 52 55 52 70 22 17 mailto: fchernandezgutierrez@mmm.com México D.F. Junio 16, 2009
  • 21. Bibliografía y referencias “Risk Management Guide forInformationTechnologySystems;” RecomandationsontheNationalInstitute of Standards and Technology, U.S. Department of Commerce. Gary Stonenburner, Alice Goguen, Alexis Feringa. Washingtong D.C. NIST SpecialPublication 800-30 “COSO EnerpriseRisk Management-Integrated Framework;” Committe of SponsoringOrganizations of theTradewayCommision. Copyright © 2004. “IT Risk Management Guide;” Gerard Blokdijk, Claire Engle & JackieBrewster. Copyright © 2008 10/06/2009 Page 21 Sitios Web relacionados www.coso.org www.theiia.org www.isaca.org Administración Integral de Riesgo Corporativo