SlideShare ist ein Scribd-Unternehmen logo
1 von 54
La Gestión de Riesgos en las
Tecnologías de la Información.
Pedro Escarcega, Fundador y Director General de AdPro
12 de Octubre de 2016
Pedro Escárcega N
Fundador y Director General
AdPro es una empresa Mexicana dedicada a la consultoría y a la capacitación
de procesos de TI. Durante los últimos 6 años ha entregado servicios de
consultoría para la implantación y mejora de los procesos de gestión de TI en
Latinoamérica.
Contact Information
+52 1 442 467 9510 pescarce@adpro.mx
pescarce@adpro.mx
linkedin.com/in/pedroescarcega
twitter.com/pescarce
3
Gestión de Riesgos de TI
La Gestión de Riesgos en las Tecnologías de la
Información.
Un análisis del proceso de Gestión de Riesgos de TI desde las
perspectivas distintas de los estándares, las normas y las mejores
prácticas de gestión de TI aplicables.
Se revisa el enfoque de gestión de riesgos de TI descrito en
ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO
22301 y COBIT.
4
Gestión de Riesgos de TI
 Reír es correr el riesgo de presentarse como tonto
 Llorar es correr el riesgo de parecer sentimental
 Exponer los sentimientos es arriesgarse a exponer su
verdadera yo
 Comunicarse con otro es correr el riesgo de involucrarse
 Compartir tus ideas, tus sueños ante una multitud es correr el
riesgo de perderlos
 Amar es correr el riesgo de que no te correspondan
 Vivir es correr el riesgo de morir
 Intentar es correr el riesgo de fracasar.
5
Gestión de Riesgos de TI
Pero los riesgos deben ser tomados porque el mayor peligro en
la vida es no tomar ningún riesgo.
La persona que arriesga nada, no hace nada, no tiene nada, y
no es nada.
No tomar riesgos puede evitar el sufrimiento y el dolor, pero no
se puede aprender, sentir, cambiar, crecer, amar y vivir.
En encadenados por sus actitudes, son esclavos, han perdido
su libertad, sólo la persona que arriesga es libre.
Anónimo
6
Gestión de Riesgos de TI
Agenda
1. Perspectiva general de Gestión de Riesgos
2. Fundamentos de la Gestión de Riesgos
3. Normas, estándares y buenas practicas en la gestión de
procesos de TI.
4. Un marco de referencia genérico para la Gestión de Riesgos
(ISO 31000)
5. Gestión de Riesgos en la Gestión del Servicio (ISO/IEC
20000)
6. Gestión de Riesgos en la Seguridad de la información
(ISO/IEC 27001)
7. Gestión de Riesgos en la Gestión del Servicio (ITSM)
8. Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
7
Gestión de Riesgos de TI
Perspectiva general de Gestión de Riesgos
El riesgo es parte de todas nuestras vidas. Como sociedad,
debemos tomar riesgos para crecer y desarrollarnos. En
energía, infraestructura, cadenas de suministro para la
seguridad de los aeropuertos, hospitales a la vivienda, la
administración eficaz de los riesgos ayudar a las sociedades a
tener éxito.
En nuestro mundo acelerado, los riesgos que tenemos que
gestionar evolucionan rápidamente. Necesitamos asegurarnos
de gestionar los riesgos de manera que podamos minimizar sus
amenazas y maximizar su potencial.
8
Gestión de Riesgos de TI
Perspectiva general de Gestión de Riesgos
El papel de la TI en una organización se ha transformado en los
últimos años y ya no es visto como simple apoyo a la empresa.
También permite a las empresas diferenciarse y proporciona a
muchas organizaciones una ventaja competitiva.
Este resultado convierte a TI en habilitador estratégico, en lugar
de un centro de costo.
Como resultado, la perspectiva sobre la gestión de riesgo de TI
dentro de una organización también ha evolucionado.
9
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Conceptos Clave
• El riesgo es una medida
del grado en que una
entidad está amenazada
por una posible
circunstancia o
acontecimiento.
10
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Conceptos Clave
Riesgo
• Combinación de la
probabilidad de un
suceso y de su
consecuencia.
• El término "riesgo"
suele utilizarse sólo
en el caso de que
exista, al menos,
una posibilidad de
consecuencia
negativa.
Consecuencia
• Resultado de un
suceso. Se puede
derivar más de una
consecuencia de
un mismo suceso.
• Las consecuencias
pueden variar de
positivas a
negativas. Sin
embargo, las
consecuencias son
siempre negativas
en aspectos de
seguridad.
Probabilidad
• Grado en que un
suceso puede tener
lugar.
Gestión de riesgos
• Actividades
coordinadas para
dirigir y controlar
una empresa en
relación con el
riesgo.
11
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Conceptos Clave
Identificación
de riesgos
• Proceso por el
que se
encuentran,
enumeran y
caracterizan
elementos de
riesgo.
Estimación de
riesgos
• Proceso
utilizado para
asignar valores
a la
probabilidad y a
las
consecuencias
de un riesgo.
Evaluación de
riesgos
• Proceso que
consiste en
comparar el
riesgo
calculado con
ciertos criterios
de riesgos para
determinar la
importancia del
riesgo.
Tratamiento de
riesgos
• Proceso de
selección y
puesta en
aplicación de
medidas para
modificar el
riesgo.
Riesgo residual
• Riesgo que
permanece
después del
tratamiento de
riesgos.
12
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Conceptos Clave
Control de riesgos
• Acciones que
ponen en
aplicación las
decisiones de
la gestión de
riesgos. El
control de
riesgos puede
incluir la
supervisión, la
reevaluación y
la conformidad
con las
decisiones.
Reducción de
riesgos
• Acciones
tomadas para
reducir la
probabilidad,
las
consecuencias
negativas, o
ambas, en
relación con un
riesgo.
Transferencia de
riesgos
• Puesta en
común con otra
parte de la
carga de las
pérdidas
consecuencia
de un riesgo.
• Los requisitos
legales o
estatutarios
pueden limitar,
prohibir u
ordenar la
transferencia
de cierto riesgo.
Retención de
riesgos
• Aceptación de
la carga de las
pérdidas
consecuencia
de un riesgo
particular.
• La retención de
riesgos incluye
la aceptación
de riesgos que
no se han
identificado.
Aceptación de
riesgos
• Decisión de
aceptar un
riesgo.
• La aceptación
de riesgos
depende de los
criterios de
riesgos.
13
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Conceptos Clave
• Una metodología de evaluación:
No Actividad Descripción
1 Identifica Amenazas
A partir de los incidentes sufridos, la lista de activos críticos y la priorización
de los procesos del negocio.
2 Identifica vulnerabilidades
Análisis de la lista de vulnerabilidades asociadas a los activos y a los
procesos del negocio.
3 Valora el Riesgo Inherente
Se determinan cuáles son los riesgos inherentes a las actividades y
funciones de la organización, se valoran, clasifican y se determina el nivel
de riesgo.
4
Identifica controles
existentes
Identificar los controles que actualmente tiene implementados la
organización.
5 Valora el riesgo residual.
Se evalúa la calidad y eficacia de los controles mitigantes de los riesgos
para obtener el nivel de riesgo resultante después de la aplicación de los
controles o mitigación.
6 Optimiza Controles.
Se propone una serie de mejoras con el fin de optimizar los controles
existentes o agregar nuevos controles necesarios para mitigar riesgos
atendiendo los criterios de tratamiento de riesgo de la organización.
7
Mantiene un Perfil de
Riesgo.
Establecer una matriz de Riesgos, controles, monitoreando y manteniendo
la efectividad de los controles.
14
Gestión de Riesgos de TI
Fundamentos de la Gestión de Riesgos
Identificar el Riesgo
Identificar los Riesgos de TI aplicables
a partir del los escenarios de riesgo
de la empresa, considerando su
postura y apetito de riesgo
Gestionar el Riesgo
Gestionar los Riesgos de TI a
través de la implementación de
procesos y controles para su
prevención y respuesta.
Optimizar el Riesgo
Establecer procesos y procedimientos
para optimizar controles y función de
monitoreo de los riesgos.
Mitigar el Riesgo
Establecer estrategias de
Mitigación al impacto de la
materialización de los riesgos, así
como su rápida recuperación.
Marco de Trabajo
• Gobierno de TI
• Gente
• Estándares y Políticas
• Procesos y Procedimientos
• Mejora Continua
15
Gestión de Riesgos de TI
Estándares y Normas
• ISO 31000:2009, Gestión del Riesgo Principios y Directrices
(Organización Internacional de Normalización)
• ISO/IEC 31010:2009, Gestión del riesgo Técnicas de
apreciación del riesgo.
• ISO/IEC 20000-1:2011, Tecnología de la información Gestión
de servicios. Tecnología de la información Parte 1: Requisitos
del sistema de gestión de servicios.
• ISO/IEC 20000-2:2012, Tecnología de la información Gestión
de servicios Parte 2: Orientación sobre la aplicación de
sistemas de gestión de servicios.
• ISO 22301:2012, La seguridad social Sistemas de gestión de
la continuidad de negocio, Requisitos.
16
Gestión de Riesgos de TI
Estándares y Normas
• ISO/IEC 27000:2009, Tecnología de la Información Técnicas
de seguridad Sistemas de gestión de seguridad de la
Información, Información general y vocabulario.
• ISO/IEC 27001:2005, Sistemas de Gestión de Seguridad de la
Información Requisitos.
• ISO/IEC 27002:2005, Tecnología de la Información Técnicas
de seguridad Código de buenas prácticas de gestión de la
seguridad de la información.
• ISO/IEC 27005:2011, Tecnología de la Información Técnicas
de seguridad Gestión de riesgos de seguridad de la
Información.
17
Gestión de Riesgos de TI
Buenas Prácticas
• ITSM, ITIL V3.- ITIL (Information Technology Infraestructure
Library o Biblioteca de Infraestructura de Tecnologías de la
Información) (ITIL®), estándar mundial de de facto en la
Gestión de Servicios Informáticos. Information Technology
Service Management (ITSM).
• Cobit 5.- COBIT 5 provee de un marco de trabajo integral que
ayuda a las empresas a alcanzar sus objetivos para el
gobierno y la gestión de las TI corporativas. ISACA ha emitido
escenarios de riesgo utilizando COBIT 5 para proporcionar
orientación de riesgo.
18
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000)
• “TODAS las organizaciones, no importa cuán grande o pequeño, se
enfrentan a factores internos y externos que generan incertidumbre
sobre si serán capaces de alcanzar sus objetivos. El efecto de esta
incertidumbre es RIESGO y es inherente a todas las actividades.”
Kevin W. Knight
Presidente del grupo de trabajo de la ISO 31000
19
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
• Elementos Clave
Los principios de gestión del riesgo.
El marco de trabajo para la gestión de
riesgos.
El proceso de gestión de riesgo.
Nueva definición de Riesgo.- “El riesgo
es el efecto de la incertidumbre sobre los
objetivos”
20
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
Principios
• Crea valor
• Está integrada en los procesos
de una organización
• Forma parte de la toma de
decisiones
• Trata explícitamente la
incertidumbre
• Es sistemática, estructurada y
adecuada
• Está basada en la mejor
información disponible
• Está hecha a medida
• Tiene en cuenta factores
humanos y culturales
• Es transparente e inclusiva
• Es dinámica, iterativa y sensible
al cambio
• Facilita la mejora continua de la
organización.
21
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
Compromiso
de la
Dirección
Marco de Trabajo
22
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
Proceso de GestiónComunicaciónyConsulta
Evaluación de Riesgos
Establecer el Contexto
Identificación de Riesgos
Análisis de Riesgos
Valoración de los Riesgos
Tratamiento de los Riesgos
MonitoreoyRevisión
23
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
• Beneficios
 Establecer una base confiable para la toma de decisiones y la
planificación
 Mejorar los controles
 Efectivamente asignar y utilizar recursos para el tratamiento del riesgo
 Mejorar la eficacia y eficiencia operativa
 Mejorar la salud y de seguridad, así como la protección del medio
ambiente
 Mejorar la prevención de pérdidas y de manejo de incidentes
 Reduzca al mínimo las pérdidas
 Mejorar el aprendizaje organizacional
 Mejorar la capacidad de recuperación de la organización.
24
Gestión de Riesgos de TI
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000:2009)
• Conclusión
 La norma ISO 31000:2009 ofrece un nuevo concepto de riesgo y define
la necesidad de incorporar la gestión de riesgos en todos los procesos y
prácticas de las organizaciones. Introduce el Tema de la rendición de
cuentas al gestionar los riesgos.
 La norma ISO 31000:2009 se puede aplicar en CUALQUIER
ORGANIZACIÓN sea privada, publica, sin fines de lucro, asociación,
grupo o individuo sin importar su tamaño, ya que la norma no es
especifica para ningún sector.
 Se puede aplicar a cualquier tipo de riesgo, cualquiera sea su
naturaleza, causa u origen.
25
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• ISO/IEC 20000:2011-Parte 1
Esta parte de la norma ISO/IEC 20000
es un sistema de administración de
servicios (SMS) estándar.
Especifica requisitos para el proveedor
de servicio para planificar, establecer,
implementar, operar, monitorear, revisar,
mantener y mejorar un SMS.
Los requisitos incluyen el diseño, la
transición, la entrega y la mejora de los
servicios para cumplir con los requisitos
de servicio.
26
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
Clientes y otras
partes
interesadas
Clientes y otras
partes
interesadas
Requerimientos
de Servicio
Servicios
SISTEMA DE GESTIÓN DE SERVICIOS (SGS)
Responsabilidad de la Dirección.
Establecer y Mejorar el SGS.
Gobernabilidad de los Procesos
Operadospor Otras Partes.
Gestión de Documentos.
Gestión de Recursos.
Diseño y Transición de Servicios Nuevos o Modificados
Procesosde la Provisión del Servicio
Gestión dela Capacidad.
Gestiónde la
Continuidad y
Disponibilidad del
Servicio.
Gestión de Nivel de
Servicio.
Informes del Servicio.
Gestión de la Seguridad
de la Información.
Presupuesto y
Contabilidad de los
Servicios.
Procesos de control
Gestiónde laConfiguración.
Gestióndel Cambio.
GestióndeLiberacióny Despliegue.
Procesos deResolución
Gestiónde IncidentesySolicitudes
deServicio.
GestióndeProblemas.
Procesos deRelaciones
Gestiónde lasRelaciones
con elNegocio.
GestióndeProveedores.
27
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
6.3. Gestión de la disponibilidad y continuidad del
servicio
6.3.1. La continuidad del servicio y los requisitos
de disponibilidad
El proveedor del servicio deberá evaluar y
documentar los riesgos para la continuidad del
servicio y la disponibilidad de los servicios.
6.6. La gestión de la seguridad de la información
6.6.1. La política de seguridad de la información
Con la debida autoridad de gestión se aprobará una
política de seguridad de la información teniendo en
cuenta las necesidades de servicio, los requisitos
legales y normativos y las obligaciones contractuales y
de administración.
28
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• Conclusión
 La norma ISO 20000:2011 tiene una orientación fundamental a la
gestión de los servicios de TI, pero atiende puntualmente el tema de
gestión de riesgos desde el proceso de seguridad de la información.
 Algunos procesos de la norma en si mismos apoyan la optimización del
proceso de gestión de riesgos.
 Se recomienda ampliamente considerar las normas ISO 27005 o ISO
31000 cuando se gestione la Seguridad de La información en la
implementación de la norma ISO/IEC 20000:2011 .
29
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
• Toda la información contenida y procesada por una
organización está sujeta a las amenazas de
ataque, error de la naturaleza (por ejemplo,
inundaciones o incendios), etc., y está sujeto a las
vulnerabilidades inherentes a su utilización.
• El término seguridad de la información
generalmente se basa en la información que se
considera como un activo que tiene un valor que
requiere una protección adecuada, por ejemplo,
frente a la pérdida de disponibilidad,
confidencialidad e integridad.
• Habilitar la información completa y precisa para
estar disponible en forma oportuna para aquellos
con una necesidad autorizado es un catalizador
para la eficiencia empresarial.
30
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
ISO/IEC 27002:2013
14 Dominios
35 Objetivos de
Control
114 Controles
31
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
ISO 27002:2013 y sus 14 Dominios
• Políticas de Seguridad.
• Aspectos Organizativos de la Seguridad de la Información.
• Seguridad Ligada a los Recursos Humanos.
• Gestión de Activos.
• Control de Accesos.
• Cifrado.
• Seguridad Física y Ambiental.
• Seguridad en la Operativa.
• Seguridad en las Telecomunicaciones.
• Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información.
• Relaciones con Proveedores.
• Gestión de Incidentes en la Seguridad de la Información.
• Aspectos de Seguridad de la Información en la Gestión de la Continuidad del Negocio.
• Cumplimiento.
32
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
6.1.2 Evaluación de riesgos para la seguridad de la información
La organización definirá y aplicará un proceso de evaluación de riesgos
para la seguridad de la información
6.1.3 Tratamiento de riesgos para la seguridad de la información
La organización definirá y aplicará un proceso de tratamiento de riesgos
para la seguridad de la información
8.2 Evaluación de riesgos para la seguridad de la información
La organización llevará a cabo evaluaciones de riesgos para la seguridad
de la información a intervalos planificados o cuando se planeen u ocurran
cambios importantes, teniendo en cuenta los criterios establecidos en
6.1.2 a).
8.3 Tratamiento de riesgos de seguridad de la información
La organización deberá implementar un plan de tratamiento de riesgos de
seguridad de la información.
33
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
Evaluación de
Riesgos
Controles y
Objetivos de
Control
Autorización para la
Implementación y
Operación de un
ISMS
Evaluación de Riesgos
Aprobación para la
Implementación de un
ISMS
Aceptación de
Riesgos Residuales
Declaración de
Aplicabilidad (SOA),
Controles y Objetivos
de Control
Metodología para la
Evaluación de
Riesgos
Reporte de
Evaluación de
Riesgos
Relación de Controles
y Objetivos de Control
Plan de Tratamiento
de Riesgos
34
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
• Conclusión
 La norma ISO/IEC 27001:2013 tiene una orientación fundamental a los
riesgos de seguridad de la información de TI.
 ISO/IEC 27001 no especifica el enfoque de evaluación/gestión del
riesgo que se debe usar. Depende de la organización especificar qué
usar.
 ISO/IEC 27001 se alinea a la norma ISO 31000 para la gestión de
riesgos como se describe en la nota de la clausula 6.1.3. NOTE The
information security risk assessment and treatment process in this
International Standard aligns with the principles and generic guidelines
provided in ISO 31000.
 ISO/IEC 27001 presenta el marco e ISO/IEC 27005, cierta información
de mayor utilidad
35
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
• Un enfoque sistemático de la gestión de
riesgos de seguridad de la información es
necesaria para identificar las necesidades
de la organización en relación con los
requisitos de seguridad de la información y
crear un eficaz sistema de gestión de
seguridad de información (ISMS). Este
enfoque debe ser adecuado para el
entorno de la empresa y, en particular,
deben estar alineados con la gestión de
riesgos empresariales generales.
• Los esfuerzos deben abordar los riesgos
de seguridad de una manera eficaz y
oportuna cuando y donde sean necesarios.
36
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
• Para ISO/IEC 27005:2011 el modelo de proceso es el mismo que se
define en ISO 31000.ComunicaciónyConsulta
Evaluación de Riesgos
Establecer el Contexto
Identificación de Riesgos
Análisis de Riesgos
Valoración de los Riesgos
Tratamiento de los Riesgos
MonitoreoyRevisión
37
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
7 Establecimiento de contexto
7.1 Consideraciones Generales
7.2 Criterios básicos
7.2.1 Enfoque de gestión de riesgos
7.2.2 Los criterios de evaluación de riesgo
7.2.3 criterios de impacto
7.2.4 criterios de aceptación de riesgos
7.3 Alcance y límites
7.4 Organización de la gestión de riesgos de seguridad
de la información
38
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
8 Evaluación de Riesgos de Seguridad de la Información
8.1 Descripción General Evaluación de Riesgos de Seguridad de la
Información
8.2 Identificación del Riesgo
8.2.1 Introducción a la Identificación del Riesgo
8.2.2 Identificación de Activos
8.2.3 Identificación de Amenazas
8.2.4 Identificación de controles existentes
8.2.5 Identificación de vulnerabilidades
8.3 Análisis del Riesgo
8.3.1 Metodologías de Análisis del Riesgo
8.3.2 Evaluación de las Consecuencias
8.3.3 Evaluación de la Probabilidad de los Incidentes
8.3.4 Determinación del Nivel de Riesgo
8.4 Evaluación de los Riesgos
39
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
9 El tratamiento de riesgos de seguridad de la información
9.1 Descripción general del tratamiento de riesgos
9.2 Modificación de riesgo
9.3 Retención de riesgo
9.4 Evitar el riesgo
9.5 Compartir el riesgo
10 Aceptación del riesgo de la seguridad de la información
11 Comunicación y consulta de riesgos de la seguridad de la
información
12 Monitoreo y revisión de riesgos de seguridad de la
información
12.1 Monitoreo y revisión de los factores de riesgo
12.2 Seguimiento, revisión y mejora de la gestión del riesgo
40
Gestión de Riesgos de TI
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005)
• Conclusión
 La norma ISO/IEC 27005:2011 Es aplicable para todas las
organizaciones (tamaño, tipo de empresa, etc.) que requieran
administrar los riesgos de seguridad de la información.
 ISO/IEC 27005 Está orientada la gestión del riesgo del SGSI para
apoyar la evaluación, tratamiento y gestión del riesgo, y al cumplimiento
de los requisitos de los controles definidos en la norma 27001.
 ISO/IEC 27005 se alinea a la norma ISO 31000 para la gestión de
riesgos.
 ISO/IEC 27005 Proporciona una orientación detallada para los
implementadores del SGSI, encargados de la gestión del riesgo y
oficiales de seguridad.
41
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
ITSM (IT Service Management)
Es una buena práctica, que no un estándar, dedicada a la definición de
procesos para la ejecución y gestión de servicios de TI de calidad que
satisfagan las necesidades del negocio. La gestión de servicios de TI
la llevan a cabo proveedores de servicios de TI a través de la
combinación adecuada de personas, procesos y tecnologías de
información (herramientas)”.
42
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
ITIL es la fuente confiable y
popularmente aceptada de las
mejores prácticas para la Gestión
de Servicios de TI (ITSM).
Las mejores prácticas son
procesos o actividades probadas
que han sido utilizadas con éxito
por varias organizaciones.
Mejora
Continua del
Servicio
Transición
del Servicio
Estrategia
de Servicio
Operación
del Servicio
Diseño
del
Servicio
ITIL = Information Technology Infrastructure Library (Biblioteca
de Infraestructura de Tecnología de la Información)
43
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
Mapa de Procesos de ITIL V3
Estrategia del
Servicio
Gestión de la
Estrategia de
Servicios de TI
Gestión de la
Demanda
Gestión del
Portafolio de
Servicios
Gestión
Financiera de
Servicios de TI
Gestión de
Relaciones con el
Negocio
Diseño del
Servicio
Gestión del Nivel
de Servicio (SLM)
Gestión del
Catálogo de
Servicios
Gestión de la
Disponibilidad
Gestión de la
Seguridad de la
Información (ISM)
Gestión de
Proveedores
Gestión de la
Capacidad
Gestión de la
Continuidad de
Servicios de TI
(ITSCM)
Transición del
Servicio
Gestión de
Cambios
Gestión de la
Configuración y
Activos del
Servicio
Gestión del
Conocimiento
Gestión de
Liberación e
Implementación
Operación del
Servicio
Gestión de
Incidentes
Gestión de
Problemas
Gestión de
Eventos
Gestión de
Peticiones (o
solicitudes)
Gestión de
Accesos
Mejora
Continua del
Servicio
Retorno sobre
Inversión
Evaluaciones
Benchmarking
Medición del
Servicio
Métricas
Presentación de
Informes del
Servicio
44
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
Procesos de ITIL V3 con aportación a la gestión de riesgos
Estrategia del
Servicio
Gestión de la
Estrategia de
Servicios de TI
Gestión de la
Demanda
Gestión del
Portafolio de
Servicios
Gestión
Financiera de
Servicios de TI
Gestión de
Relaciones con el
Negocio
Diseño del
Servicio
Gestión del Nivel
de Servicio (SLM)
Gestión del
Catálogo de
Servicios
Gestión de la
Disponibilidad
Gestión de la
Seguridad de la
Información (ISM)
Gestión de
Proveedores
Gestión de la
Capacidad
Gestión de la
Continuidad de
Servicios de TI
(ITSCM)
Transición del
Servicio
Gestión de
Cambios
Gestión de la
Configuración y
Activos del
Servicio
Gestión del
Conocimiento
Gestión de
Liberación e
Implementación
Operación del
Servicio
Gestión de
Incidentes
Gestión de
Problemas
Gestión de
Eventos
Gestión de
Peticiones (o
solicitudes)
Gestión de
Accesos
Mejora
Continua del
Servicio
Retorno sobre
Inversión
Evaluaciones
Benchmarking
Medición del
Servicio
Métricas
Presentación de
Informes del
Servicio
45
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
Algunas políticas de seguridad de la Información según ITSM
Política de Seguridad
de la información
Política de Control d
Accesos
Política de Internet
Política de Correo
Electrónico
Política de Clasificación
de Documentos
Política de Clasificación
de la Información
Política de Desecho de
Activos
Política de Control de
Passwords
Política de Uso de
Activos de TI
Política de Antivirus
Política de Acceso
Remoto
Política de Acceso a
Activos de TI por
proveedores.
46
Gestión de Riesgos de TI
Gestión de Riesgos en la Gestión del Servicio (ITSM)
• Conclusión
 ITSM es un marco de referencia de buenas prácticas que está
fuertemente orientado a soportar la norma ISO/IEC 20000.
 ITSM considera el proceso de gestión de riesgos embebido en el
proceso de Gestión de Seguridad de la Información y sugiere
actividades de diseño, implementación y operación de un
sistema de gestión de la seguridad de la información.
 ITSM no proporciona suficiente detalle para la gestión de
riesgos.
47
Gestión de Riesgos
Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
• Análisis y evaluación de riesgos es un enfoque esencial para
aportar realismo, percepción, compromiso organizacional,
mejorar el análisis y la estructura a la compleja cuestión de los
riesgos de TI.
• Escenarios de riesgo son una representación tangible y
evaluable del riesgo, y son uno de los elementos clave de
información necesaria para identificar, analizar y responder al
riesgo (COBIT 5 Proceso APO12).
48
Gestión de Riesgos
Cobit 5
Source: COBIT® 5, © 2012 ISACA® All rights reserved.
Procesos
relacionados con la
Gestión del Riesgo
Procesos que
apoyan a la
Gestión del Riesgo
49
Gestión de Riesgos
Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
Source: COBIT® 5, © 2012 ISACA® All rights reserved.
50
Gestión de Riesgos
Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
APO12 Gestionar el Riesgo
Subprocesos
 APO12.01 Recopilar datos.
 APO12.02 Analizar el riesgo.
 APO12.03 Mantener un perfil de riesgo.
 APO12.04 Expresar el riesgo.
 APO12.05 Definir un portafolio de acciones para la gestión de
riesgos.
 APO12.06 Responder al riesgo.
51
Gestión de Riesgos
Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
Metas
Cumplimiento y soporte
de las TI al
cumplimiento del
negocio de las
leyes y regulaciones
externas
Riesgos de negocio
relacionados con las TI
gestionados
Transparencia de los
costos, beneficios y
riesgo de las TI
Seguridad de la
información,
infraestructura de
procesamiento y
aplicaciones
Entrega de programas
que proporcionen
beneficios a tiempo,
dentro del presupuesto
y satisfaciendo los
requisitos y normas de
calidad
52
Gestión de Riesgos
Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)
Conclusión:
Se enfoca en aplicar los habilitadores de COBIT 5 al riesgo.
 Provee una guía de alto nivel en como identificar, analizar y responder a los
riesgos utilizando procesos de COBIT 5 y con el uso de escenarios de riesgo.
Define actividades, metas, métricas y las relaciones con otros procesos para
facilitar la implementación.
Provee un enlace entre los escenarios de riesgo y los habilitadores de COBIT
5 que puede ser usado para mitigar el riesgo.
Se alinea con los principales estándares y marcos de referencia en gestión de
riesgos.
53
Gestión de Riesgos de TI
Conclusiones Generales
 La Gestión de Riesgos forma parte integral de los Sistemas de Gestión de las
Tecnologías de la Información cualquiera que sea su orientación y enfoque.
 Los Sistemas de Gestión de la TI dedicados a la gestión de los servicios de TI como
ISO 20000, ITSM, ITIL, etc. abordan la Gestión de Riesgos sin proporcionar
suficiente detalle de su implementación y operación.
 Cobit 5 como parte de las buenas prácticas del Gobierno Empresarial de TI es una
excelente opción cuando la Gestión de Riesgos requiere ser implementada en los
distintos niveles de responsabilidad de una organización.
 La Gestión de Riesgos de TI está fuertemente ligada a la Seguridad de la
Información por los que las normas ISO 27005 e ISO 31000 deben ser consideradas
como la opción que ofrece mayores ventajas cuando la organización busca gestionar
los riesgos de acuerdo con los requisitos de la norma ISO 27001.
 Las organizaciones que ya han implementado procesos de Gestión de Servicios
tendrán una gran plataforma para implementar la norma ISO 27005 o buscar la
certificación de ISO 27001.
?
Preguntas
Muchas Gracias
+52 1 442 467 9510
pescarce@adpro.mx
www.adpro.mx
linkedin.com/in/pedroescarcega
twitter.com/pescarce

Weitere ähnliche Inhalte

Was ist angesagt?

27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocioFabián Descalzo
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfGeovanyHerrera3
 
Gestión de incidentes
Gestión de incidentesGestión de incidentes
Gestión de incidentesjohnfer1234
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y  CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y  CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOSMaria Consuelo Taris Naranjo
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo Abby Ramirez
 
Calidad Del Producto Software
Calidad Del Producto SoftwareCalidad Del Producto Software
Calidad Del Producto Softwarealbert317
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004PECB
 

Was ist angesagt? (20)

27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio27001:2013 Seguridad orientada al negocio
27001:2013 Seguridad orientada al negocio
 
Norma iso 17799
Norma iso  17799Norma iso  17799
Norma iso 17799
 
Resumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdfResumen de Controles ISO 27002 - CNSD.pdf
Resumen de Controles ISO 27002 - CNSD.pdf
 
Gestión de incidentes
Gestión de incidentesGestión de incidentes
Gestión de incidentes
 
Presentación iso 27001
Presentación iso 27001Presentación iso 27001
Presentación iso 27001
 
Iso 20000 1 2018 SGS
Iso 20000 1 2018 SGSIso 20000 1 2018 SGS
Iso 20000 1 2018 SGS
 
ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013ISO 27001 cambios 2005 a 2013
ISO 27001 cambios 2005 a 2013
 
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y  CÓDIGOS ÉTICOSDEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y  CÓDIGOS ÉTICOS
DEONTOLOGÍA DEL AUDITOR INFORMÁTICO Y CÓDIGOS ÉTICOS
 
Análisis comparativo
Análisis comparativo Análisis comparativo
Análisis comparativo
 
Calidad Del Producto Software
Calidad Del Producto SoftwareCalidad Del Producto Software
Calidad Del Producto Software
 
Iso 27001
Iso 27001Iso 27001
Iso 27001
 
Auditoría de sistemas controles
Auditoría de sistemas controlesAuditoría de sistemas controles
Auditoría de sistemas controles
 
Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004Programa de medición en un sistema de gestión bajo la ISO 27004
Programa de medición en un sistema de gestión bajo la ISO 27004
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidad
 
Descubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgosDescubre la iso 31000 para la gestion de riesgos
Descubre la iso 31000 para la gestion de riesgos
 
Norma iso 27001
Norma iso 27001Norma iso 27001
Norma iso 27001
 
iso 27005
iso 27005iso 27005
iso 27005
 
Normas tecnicas peruanas
Normas tecnicas peruanasNormas tecnicas peruanas
Normas tecnicas peruanas
 
Iso 22301 sgcn bcms
Iso 22301 sgcn bcmsIso 22301 sgcn bcms
Iso 22301 sgcn bcms
 
Introducción a la Ciberseguridad
Introducción a la CiberseguridadIntroducción a la Ciberseguridad
Introducción a la Ciberseguridad
 

Ähnlich wie Gestión de Riesgos TI ISO 31000

Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012xhagix
 
Risk management original
Risk management originalRisk management original
Risk management originalCarlos Escobar
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosFrancisco Medina
 
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...EXIN
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Saeta de Dios
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónDavid Eliseo Martinez Castellanos
 
Saim Corporativo_Curso taller Analisis Causa Raiz.pptx
Saim Corporativo_Curso taller Analisis Causa Raiz.pptxSaim Corporativo_Curso taller Analisis Causa Raiz.pptx
Saim Corporativo_Curso taller Analisis Causa Raiz.pptxgtzamir
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoMarcos Harasimowicz
 
Aplicación de la norma ISO 31000 a la gestión del riesgo de fraude
Aplicación de la norma ISO 31000 a la gestión del riesgo de fraudeAplicación de la norma ISO 31000 a la gestión del riesgo de fraude
Aplicación de la norma ISO 31000 a la gestión del riesgo de fraudePECB
 
ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...
ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...
ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...ENJ
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
GESTION DEL RIESGOCSJ10052021.pptx
GESTION DEL RIESGOCSJ10052021.pptxGESTION DEL RIESGOCSJ10052021.pptx
GESTION DEL RIESGOCSJ10052021.pptxEdgar Barrientos
 

Ähnlich wie Gestión de Riesgos TI ISO 31000 (20)

Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020Iso 27001 gestion de riesgos v 2020
Iso 27001 gestion de riesgos v 2020
 
Iso 27001 gestion de riesgos
Iso 27001 gestion de riesgosIso 27001 gestion de riesgos
Iso 27001 gestion de riesgos
 
Taller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_RiesgosTaller_Análisis_Evaluación_Riesgos
Taller_Análisis_Evaluación_Riesgos
 
Sinergia Gestión De Riesgos
Sinergia Gestión De RiesgosSinergia Gestión De Riesgos
Sinergia Gestión De Riesgos
 
Riesgos 2012
Riesgos 2012Riesgos 2012
Riesgos 2012
 
Risk management original
Risk management originalRisk management original
Risk management original
 
Tema 2: Análisis de Riesgos
Tema 2: Análisis de RiesgosTema 2: Análisis de Riesgos
Tema 2: Análisis de Riesgos
 
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...
3º Webinar - 2ª Ed. EXIN en Castellano: Cómo evaluar riesgos en un sistema de...
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]
 
Gestion de Riesgos
Gestion de RiesgosGestion de Riesgos
Gestion de Riesgos
 
seguridad ISO
seguridad ISOseguridad ISO
seguridad ISO
 
documento 1.pdf
documento 1.pdfdocumento 1.pdf
documento 1.pdf
 
Taller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la InformaciónTaller Comparativo y Diseño de una Política de Seguridad de la Información
Taller Comparativo y Diseño de una Política de Seguridad de la Información
 
Saim Corporativo_Curso taller Analisis Causa Raiz.pptx
Saim Corporativo_Curso taller Analisis Causa Raiz.pptxSaim Corporativo_Curso taller Analisis Causa Raiz.pptx
Saim Corporativo_Curso taller Analisis Causa Raiz.pptx
 
Introducción a la Gestión de Riesgo
Introducción a la Gestión de RiesgoIntroducción a la Gestión de Riesgo
Introducción a la Gestión de Riesgo
 
Aplicación de la norma ISO 31000 a la gestión del riesgo de fraude
Aplicación de la norma ISO 31000 a la gestión del riesgo de fraudeAplicación de la norma ISO 31000 a la gestión del riesgo de fraude
Aplicación de la norma ISO 31000 a la gestión del riesgo de fraude
 
ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...
ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...
ENJ 500 - Curso ¿Cómo Gestionar los Riesgos y Oportunidades en un Sistema de ...
 
Iso 31000
Iso 31000Iso 31000
Iso 31000
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
GESTION DEL RIESGOCSJ10052021.pptx
GESTION DEL RIESGOCSJ10052021.pptxGESTION DEL RIESGOCSJ10052021.pptx
GESTION DEL RIESGOCSJ10052021.pptx
 

Mehr von PECB

DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityPECB
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernancePECB
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...PECB
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...PECB
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyPECB
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...PECB
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationPECB
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsPECB
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?PECB
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...PECB
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...PECB
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC PECB
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...PECB
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...PECB
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA PECB
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?PECB
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptxPECB
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxPECB
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023PECB
 
ISO 28000:2022 – Reduce risks and improve the security management system
ISO 28000:2022 – Reduce risks and improve the security management systemISO 28000:2022 – Reduce risks and improve the security management system
ISO 28000:2022 – Reduce risks and improve the security management systemPECB
 

Mehr von PECB (20)

DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of CybersecurityDORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
DORA, ISO/IEC 27005, and the Rise of AI: Securing the Future of Cybersecurity
 
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI GovernanceSecuring the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
Securing the Future: ISO/IEC 27001, ISO/IEC 42001, and AI Governance
 
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
ISO/IEC 27032, ISO/IEC 27002, and CMMC Frameworks - Achieving Cybersecurity M...
 
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
ISO/IEC 27001 and ISO/IEC 27035: Building a Resilient Cybersecurity Strategy ...
 
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks EffectivelyISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
ISO/IEC 27001 and ISO/IEC 27005: Managing AI Risks Effectively
 
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
Aligning ISO/IEC 27032:2023 and ISO/IEC 27701: Strengthening Cybersecurity Re...
 
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital TransformationISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
ISO/IEC 27001 and ISO/IEC 27032:2023 - Safeguarding Your Digital Transformation
 
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulationsManaging ISO 31000 Framework in AI Systems - The EU ACT and other regulations
Managing ISO 31000 Framework in AI Systems - The EU ACT and other regulations
 
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
Impact of Generative AI in Cybersecurity - How can ISO/IEC 27032 help?
 
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
GDPR and Data Protection: Ensure compliance and minimize the risk of penaltie...
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
 
Student Information Session University KTMC
Student Information Session University KTMC Student Information Session University KTMC
Student Information Session University KTMC
 
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
ISO/IEC 27001 and ISO 22301 - How to ensure business survival against cyber a...
 
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
Integrating ISO/IEC 27001 and ISO 31000 for Effective Information Security an...
 
Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA Student Information Session University CREST ADVISORY AFRICA
Student Information Session University CREST ADVISORY AFRICA
 
IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?IT Governance and Information Security – How do they map?
IT Governance and Information Security – How do they map?
 
Information Session University Egybyte.pptx
Information Session University Egybyte.pptxInformation Session University Egybyte.pptx
Information Session University Egybyte.pptx
 
Student Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptxStudent Information Session University Digital Encode.pptx
Student Information Session University Digital Encode.pptx
 
Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023Cybersecurity trends - What to expect in 2023
Cybersecurity trends - What to expect in 2023
 
ISO 28000:2022 – Reduce risks and improve the security management system
ISO 28000:2022 – Reduce risks and improve the security management systemISO 28000:2022 – Reduce risks and improve the security management system
ISO 28000:2022 – Reduce risks and improve the security management system
 

Kürzlich hochgeladen

SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024gharce
 
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJO
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJODIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJO
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJOLeninCariMogrovejo
 
Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024Rosabel UA
 
Si cuidamos el mundo, tendremos un mundo mejor.
Si cuidamos el mundo, tendremos un mundo mejor.Si cuidamos el mundo, tendremos un mundo mejor.
Si cuidamos el mundo, tendremos un mundo mejor.monthuerta17
 
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...Carol Andrea Eraso Guerrero
 
SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...
SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...
SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...GIANCARLOORDINOLAORD
 
FICHA PL PACO YUNQUE.docx PRIMARIA CUARTO GRADO
FICHA  PL PACO YUNQUE.docx PRIMARIA CUARTO GRADOFICHA  PL PACO YUNQUE.docx PRIMARIA CUARTO GRADO
FICHA PL PACO YUNQUE.docx PRIMARIA CUARTO GRADOMARIBEL DIAZ
 
Contextualización y aproximación al objeto de estudio de investigación cualit...
Contextualización y aproximación al objeto de estudio de investigación cualit...Contextualización y aproximación al objeto de estudio de investigación cualit...
Contextualización y aproximación al objeto de estudio de investigación cualit...Angélica Soledad Vega Ramírez
 
Acuerdo 05_04_24 Lineamientos del CTE.pdf
Acuerdo 05_04_24 Lineamientos del CTE.pdfAcuerdo 05_04_24 Lineamientos del CTE.pdf
Acuerdo 05_04_24 Lineamientos del CTE.pdfmiriamguevara21
 
Amor o egoísmo, esa es la cuestión por definir.pdf
Amor o egoísmo, esa es la cuestión por definir.pdfAmor o egoísmo, esa es la cuestión por definir.pdf
Amor o egoísmo, esa es la cuestión por definir.pdfAlejandrino Halire Ccahuana
 
Abregú, Podestá. Directores.Líderes en Acción.
Abregú, Podestá. Directores.Líderes en Acción.Abregú, Podestá. Directores.Líderes en Acción.
Abregú, Podestá. Directores.Líderes en Acción.profandrearivero
 
4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docx
4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docx4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docx
4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docxMagalyDacostaPea
 
Secuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docxSecuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docxNataliaGonzalez619348
 
libro grafismo fonético guía de uso para el lenguaje
libro grafismo fonético guía de uso para el lenguajelibro grafismo fonético guía de uso para el lenguaje
libro grafismo fonético guía de uso para el lenguajeKattyMoran3
 
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docx
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docxEJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docx
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docxFabianValenciaJabo
 
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdfFichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdfssuser50d1252
 
ENSEÑAR ACUIDAR EL MEDIO AMBIENTE ES ENSEÑAR A VALORAR LA VIDA.
ENSEÑAR ACUIDAR  EL MEDIO AMBIENTE ES ENSEÑAR A VALORAR LA VIDA.ENSEÑAR ACUIDAR  EL MEDIO AMBIENTE ES ENSEÑAR A VALORAR LA VIDA.
ENSEÑAR ACUIDAR EL MEDIO AMBIENTE ES ENSEÑAR A VALORAR LA VIDA.karlazoegarciagarcia
 

Kürzlich hochgeladen (20)

SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
SISTEMA INMUNE FISIOLOGIA MEDICA UNSL 2024
 
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJO
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJODIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJO
DIDÁCTICA DE LA EDUCACIÓN SUPERIOR- DR LENIN CARI MOGROVEJO
 
Aedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptxAedes aegypti + Intro to Coquies EE.pptx
Aedes aegypti + Intro to Coquies EE.pptx
 
Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024Actividad transversal 2-bloque 2. Actualización 2024
Actividad transversal 2-bloque 2. Actualización 2024
 
Si cuidamos el mundo, tendremos un mundo mejor.
Si cuidamos el mundo, tendremos un mundo mejor.Si cuidamos el mundo, tendremos un mundo mejor.
Si cuidamos el mundo, tendremos un mundo mejor.
 
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
Desarrollo de habilidades del siglo XXI - Práctica Educativa en una Unidad-Ca...
 
Sesión ¿Amor o egoísmo? Esa es la cuestión
Sesión  ¿Amor o egoísmo? Esa es la cuestiónSesión  ¿Amor o egoísmo? Esa es la cuestión
Sesión ¿Amor o egoísmo? Esa es la cuestión
 
SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...
SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...
SESIÓN DE APRENDIZAJE Leemos un texto para identificar los sinónimos y los an...
 
FICHA PL PACO YUNQUE.docx PRIMARIA CUARTO GRADO
FICHA  PL PACO YUNQUE.docx PRIMARIA CUARTO GRADOFICHA  PL PACO YUNQUE.docx PRIMARIA CUARTO GRADO
FICHA PL PACO YUNQUE.docx PRIMARIA CUARTO GRADO
 
Contextualización y aproximación al objeto de estudio de investigación cualit...
Contextualización y aproximación al objeto de estudio de investigación cualit...Contextualización y aproximación al objeto de estudio de investigación cualit...
Contextualización y aproximación al objeto de estudio de investigación cualit...
 
Acuerdo 05_04_24 Lineamientos del CTE.pdf
Acuerdo 05_04_24 Lineamientos del CTE.pdfAcuerdo 05_04_24 Lineamientos del CTE.pdf
Acuerdo 05_04_24 Lineamientos del CTE.pdf
 
Amor o egoísmo, esa es la cuestión por definir.pdf
Amor o egoísmo, esa es la cuestión por definir.pdfAmor o egoísmo, esa es la cuestión por definir.pdf
Amor o egoísmo, esa es la cuestión por definir.pdf
 
Abregú, Podestá. Directores.Líderes en Acción.
Abregú, Podestá. Directores.Líderes en Acción.Abregú, Podestá. Directores.Líderes en Acción.
Abregú, Podestá. Directores.Líderes en Acción.
 
4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docx
4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docx4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docx
4° UNIDAD 2 SALUD,ALIMENTACIÓN Y DÍA DE LA MADRE 933623393 PROF YESSENIA CN.docx
 
Secuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docxSecuencia didáctica.DOÑA CLEMENTINA.2024.docx
Secuencia didáctica.DOÑA CLEMENTINA.2024.docx
 
libro grafismo fonético guía de uso para el lenguaje
libro grafismo fonético guía de uso para el lenguajelibro grafismo fonético guía de uso para el lenguaje
libro grafismo fonético guía de uso para el lenguaje
 
PPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptxPPTX: La luz brilla en la oscuridad.pptx
PPTX: La luz brilla en la oscuridad.pptx
 
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docx
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docxEJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docx
EJEMPLO MODELO DE PLAN DE REFUERZO ESCOLAR.docx
 
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdfFichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
Fichas de Matemática DE SEGUNDO DE SECUNDARIA.pdf
 
ENSEÑAR ACUIDAR EL MEDIO AMBIENTE ES ENSEÑAR A VALORAR LA VIDA.
ENSEÑAR ACUIDAR  EL MEDIO AMBIENTE ES ENSEÑAR A VALORAR LA VIDA.ENSEÑAR ACUIDAR  EL MEDIO AMBIENTE ES ENSEÑAR A VALORAR LA VIDA.
ENSEÑAR ACUIDAR EL MEDIO AMBIENTE ES ENSEÑAR A VALORAR LA VIDA.
 

Gestión de Riesgos TI ISO 31000

  • 1. La Gestión de Riesgos en las Tecnologías de la Información. Pedro Escarcega, Fundador y Director General de AdPro 12 de Octubre de 2016
  • 2. Pedro Escárcega N Fundador y Director General AdPro es una empresa Mexicana dedicada a la consultoría y a la capacitación de procesos de TI. Durante los últimos 6 años ha entregado servicios de consultoría para la implantación y mejora de los procesos de gestión de TI en Latinoamérica. Contact Information +52 1 442 467 9510 pescarce@adpro.mx pescarce@adpro.mx linkedin.com/in/pedroescarcega twitter.com/pescarce
  • 3. 3 Gestión de Riesgos de TI La Gestión de Riesgos en las Tecnologías de la Información. Un análisis del proceso de Gestión de Riesgos de TI desde las perspectivas distintas de los estándares, las normas y las mejores prácticas de gestión de TI aplicables. Se revisa el enfoque de gestión de riesgos de TI descrito en ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO 22301 y COBIT.
  • 4. 4 Gestión de Riesgos de TI  Reír es correr el riesgo de presentarse como tonto  Llorar es correr el riesgo de parecer sentimental  Exponer los sentimientos es arriesgarse a exponer su verdadera yo  Comunicarse con otro es correr el riesgo de involucrarse  Compartir tus ideas, tus sueños ante una multitud es correr el riesgo de perderlos  Amar es correr el riesgo de que no te correspondan  Vivir es correr el riesgo de morir  Intentar es correr el riesgo de fracasar.
  • 5. 5 Gestión de Riesgos de TI Pero los riesgos deben ser tomados porque el mayor peligro en la vida es no tomar ningún riesgo. La persona que arriesga nada, no hace nada, no tiene nada, y no es nada. No tomar riesgos puede evitar el sufrimiento y el dolor, pero no se puede aprender, sentir, cambiar, crecer, amar y vivir. En encadenados por sus actitudes, son esclavos, han perdido su libertad, sólo la persona que arriesga es libre. Anónimo
  • 6. 6 Gestión de Riesgos de TI Agenda 1. Perspectiva general de Gestión de Riesgos 2. Fundamentos de la Gestión de Riesgos 3. Normas, estándares y buenas practicas en la gestión de procesos de TI. 4. Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000) 5. Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000) 6. Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001) 7. Gestión de Riesgos en la Gestión del Servicio (ITSM) 8. Gestión de Riesgos de TI desde el enfoque de Gobierno Empresarial de TI (Cobit 5)
  • 7. 7 Gestión de Riesgos de TI Perspectiva general de Gestión de Riesgos El riesgo es parte de todas nuestras vidas. Como sociedad, debemos tomar riesgos para crecer y desarrollarnos. En energía, infraestructura, cadenas de suministro para la seguridad de los aeropuertos, hospitales a la vivienda, la administración eficaz de los riesgos ayudar a las sociedades a tener éxito. En nuestro mundo acelerado, los riesgos que tenemos que gestionar evolucionan rápidamente. Necesitamos asegurarnos de gestionar los riesgos de manera que podamos minimizar sus amenazas y maximizar su potencial.
  • 8. 8 Gestión de Riesgos de TI Perspectiva general de Gestión de Riesgos El papel de la TI en una organización se ha transformado en los últimos años y ya no es visto como simple apoyo a la empresa. También permite a las empresas diferenciarse y proporciona a muchas organizaciones una ventaja competitiva. Este resultado convierte a TI en habilitador estratégico, en lugar de un centro de costo. Como resultado, la perspectiva sobre la gestión de riesgo de TI dentro de una organización también ha evolucionado.
  • 9. 9 Gestión de Riesgos de TI Fundamentos de la Gestión de Riesgos Conceptos Clave • El riesgo es una medida del grado en que una entidad está amenazada por una posible circunstancia o acontecimiento.
  • 10. 10 Gestión de Riesgos de TI Fundamentos de la Gestión de Riesgos Conceptos Clave Riesgo • Combinación de la probabilidad de un suceso y de su consecuencia. • El término "riesgo" suele utilizarse sólo en el caso de que exista, al menos, una posibilidad de consecuencia negativa. Consecuencia • Resultado de un suceso. Se puede derivar más de una consecuencia de un mismo suceso. • Las consecuencias pueden variar de positivas a negativas. Sin embargo, las consecuencias son siempre negativas en aspectos de seguridad. Probabilidad • Grado en que un suceso puede tener lugar. Gestión de riesgos • Actividades coordinadas para dirigir y controlar una empresa en relación con el riesgo.
  • 11. 11 Gestión de Riesgos de TI Fundamentos de la Gestión de Riesgos Conceptos Clave Identificación de riesgos • Proceso por el que se encuentran, enumeran y caracterizan elementos de riesgo. Estimación de riesgos • Proceso utilizado para asignar valores a la probabilidad y a las consecuencias de un riesgo. Evaluación de riesgos • Proceso que consiste en comparar el riesgo calculado con ciertos criterios de riesgos para determinar la importancia del riesgo. Tratamiento de riesgos • Proceso de selección y puesta en aplicación de medidas para modificar el riesgo. Riesgo residual • Riesgo que permanece después del tratamiento de riesgos.
  • 12. 12 Gestión de Riesgos de TI Fundamentos de la Gestión de Riesgos Conceptos Clave Control de riesgos • Acciones que ponen en aplicación las decisiones de la gestión de riesgos. El control de riesgos puede incluir la supervisión, la reevaluación y la conformidad con las decisiones. Reducción de riesgos • Acciones tomadas para reducir la probabilidad, las consecuencias negativas, o ambas, en relación con un riesgo. Transferencia de riesgos • Puesta en común con otra parte de la carga de las pérdidas consecuencia de un riesgo. • Los requisitos legales o estatutarios pueden limitar, prohibir u ordenar la transferencia de cierto riesgo. Retención de riesgos • Aceptación de la carga de las pérdidas consecuencia de un riesgo particular. • La retención de riesgos incluye la aceptación de riesgos que no se han identificado. Aceptación de riesgos • Decisión de aceptar un riesgo. • La aceptación de riesgos depende de los criterios de riesgos.
  • 13. 13 Gestión de Riesgos de TI Fundamentos de la Gestión de Riesgos Conceptos Clave • Una metodología de evaluación: No Actividad Descripción 1 Identifica Amenazas A partir de los incidentes sufridos, la lista de activos críticos y la priorización de los procesos del negocio. 2 Identifica vulnerabilidades Análisis de la lista de vulnerabilidades asociadas a los activos y a los procesos del negocio. 3 Valora el Riesgo Inherente Se determinan cuáles son los riesgos inherentes a las actividades y funciones de la organización, se valoran, clasifican y se determina el nivel de riesgo. 4 Identifica controles existentes Identificar los controles que actualmente tiene implementados la organización. 5 Valora el riesgo residual. Se evalúa la calidad y eficacia de los controles mitigantes de los riesgos para obtener el nivel de riesgo resultante después de la aplicación de los controles o mitigación. 6 Optimiza Controles. Se propone una serie de mejoras con el fin de optimizar los controles existentes o agregar nuevos controles necesarios para mitigar riesgos atendiendo los criterios de tratamiento de riesgo de la organización. 7 Mantiene un Perfil de Riesgo. Establecer una matriz de Riesgos, controles, monitoreando y manteniendo la efectividad de los controles.
  • 14. 14 Gestión de Riesgos de TI Fundamentos de la Gestión de Riesgos Identificar el Riesgo Identificar los Riesgos de TI aplicables a partir del los escenarios de riesgo de la empresa, considerando su postura y apetito de riesgo Gestionar el Riesgo Gestionar los Riesgos de TI a través de la implementación de procesos y controles para su prevención y respuesta. Optimizar el Riesgo Establecer procesos y procedimientos para optimizar controles y función de monitoreo de los riesgos. Mitigar el Riesgo Establecer estrategias de Mitigación al impacto de la materialización de los riesgos, así como su rápida recuperación. Marco de Trabajo • Gobierno de TI • Gente • Estándares y Políticas • Procesos y Procedimientos • Mejora Continua
  • 15. 15 Gestión de Riesgos de TI Estándares y Normas • ISO 31000:2009, Gestión del Riesgo Principios y Directrices (Organización Internacional de Normalización) • ISO/IEC 31010:2009, Gestión del riesgo Técnicas de apreciación del riesgo. • ISO/IEC 20000-1:2011, Tecnología de la información Gestión de servicios. Tecnología de la información Parte 1: Requisitos del sistema de gestión de servicios. • ISO/IEC 20000-2:2012, Tecnología de la información Gestión de servicios Parte 2: Orientación sobre la aplicación de sistemas de gestión de servicios. • ISO 22301:2012, La seguridad social Sistemas de gestión de la continuidad de negocio, Requisitos.
  • 16. 16 Gestión de Riesgos de TI Estándares y Normas • ISO/IEC 27000:2009, Tecnología de la Información Técnicas de seguridad Sistemas de gestión de seguridad de la Información, Información general y vocabulario. • ISO/IEC 27001:2005, Sistemas de Gestión de Seguridad de la Información Requisitos. • ISO/IEC 27002:2005, Tecnología de la Información Técnicas de seguridad Código de buenas prácticas de gestión de la seguridad de la información. • ISO/IEC 27005:2011, Tecnología de la Información Técnicas de seguridad Gestión de riesgos de seguridad de la Información.
  • 17. 17 Gestión de Riesgos de TI Buenas Prácticas • ITSM, ITIL V3.- ITIL (Information Technology Infraestructure Library o Biblioteca de Infraestructura de Tecnologías de la Información) (ITIL®), estándar mundial de de facto en la Gestión de Servicios Informáticos. Information Technology Service Management (ITSM). • Cobit 5.- COBIT 5 provee de un marco de trabajo integral que ayuda a las empresas a alcanzar sus objetivos para el gobierno y la gestión de las TI corporativas. ISACA ha emitido escenarios de riesgo utilizando COBIT 5 para proporcionar orientación de riesgo.
  • 18. 18 Gestión de Riesgos de TI Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000) • “TODAS las organizaciones, no importa cuán grande o pequeño, se enfrentan a factores internos y externos que generan incertidumbre sobre si serán capaces de alcanzar sus objetivos. El efecto de esta incertidumbre es RIESGO y es inherente a todas las actividades.” Kevin W. Knight Presidente del grupo de trabajo de la ISO 31000
  • 19. 19 Gestión de Riesgos de TI Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000:2009) • Elementos Clave Los principios de gestión del riesgo. El marco de trabajo para la gestión de riesgos. El proceso de gestión de riesgo. Nueva definición de Riesgo.- “El riesgo es el efecto de la incertidumbre sobre los objetivos”
  • 20. 20 Gestión de Riesgos de TI Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000:2009) Principios • Crea valor • Está integrada en los procesos de una organización • Forma parte de la toma de decisiones • Trata explícitamente la incertidumbre • Es sistemática, estructurada y adecuada • Está basada en la mejor información disponible • Está hecha a medida • Tiene en cuenta factores humanos y culturales • Es transparente e inclusiva • Es dinámica, iterativa y sensible al cambio • Facilita la mejora continua de la organización.
  • 21. 21 Gestión de Riesgos de TI Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000:2009) Compromiso de la Dirección Marco de Trabajo
  • 22. 22 Gestión de Riesgos de TI Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000:2009) Proceso de GestiónComunicaciónyConsulta Evaluación de Riesgos Establecer el Contexto Identificación de Riesgos Análisis de Riesgos Valoración de los Riesgos Tratamiento de los Riesgos MonitoreoyRevisión
  • 23. 23 Gestión de Riesgos de TI Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000:2009) • Beneficios  Establecer una base confiable para la toma de decisiones y la planificación  Mejorar los controles  Efectivamente asignar y utilizar recursos para el tratamiento del riesgo  Mejorar la eficacia y eficiencia operativa  Mejorar la salud y de seguridad, así como la protección del medio ambiente  Mejorar la prevención de pérdidas y de manejo de incidentes  Reduzca al mínimo las pérdidas  Mejorar el aprendizaje organizacional  Mejorar la capacidad de recuperación de la organización.
  • 24. 24 Gestión de Riesgos de TI Un marco de referencia genérico para la Gestión de Riesgos (ISO 31000:2009) • Conclusión  La norma ISO 31000:2009 ofrece un nuevo concepto de riesgo y define la necesidad de incorporar la gestión de riesgos en todos los procesos y prácticas de las organizaciones. Introduce el Tema de la rendición de cuentas al gestionar los riesgos.  La norma ISO 31000:2009 se puede aplicar en CUALQUIER ORGANIZACIÓN sea privada, publica, sin fines de lucro, asociación, grupo o individuo sin importar su tamaño, ya que la norma no es especifica para ningún sector.  Se puede aplicar a cualquier tipo de riesgo, cualquiera sea su naturaleza, causa u origen.
  • 25. 25 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000) • ISO/IEC 20000:2011-Parte 1 Esta parte de la norma ISO/IEC 20000 es un sistema de administración de servicios (SMS) estándar. Especifica requisitos para el proveedor de servicio para planificar, establecer, implementar, operar, monitorear, revisar, mantener y mejorar un SMS. Los requisitos incluyen el diseño, la transición, la entrega y la mejora de los servicios para cumplir con los requisitos de servicio.
  • 26. 26 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000) Clientes y otras partes interesadas Clientes y otras partes interesadas Requerimientos de Servicio Servicios SISTEMA DE GESTIÓN DE SERVICIOS (SGS) Responsabilidad de la Dirección. Establecer y Mejorar el SGS. Gobernabilidad de los Procesos Operadospor Otras Partes. Gestión de Documentos. Gestión de Recursos. Diseño y Transición de Servicios Nuevos o Modificados Procesosde la Provisión del Servicio Gestión dela Capacidad. Gestiónde la Continuidad y Disponibilidad del Servicio. Gestión de Nivel de Servicio. Informes del Servicio. Gestión de la Seguridad de la Información. Presupuesto y Contabilidad de los Servicios. Procesos de control Gestiónde laConfiguración. Gestióndel Cambio. GestióndeLiberacióny Despliegue. Procesos deResolución Gestiónde IncidentesySolicitudes deServicio. GestióndeProblemas. Procesos deRelaciones Gestiónde lasRelaciones con elNegocio. GestióndeProveedores.
  • 27. 27 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000) 6.3. Gestión de la disponibilidad y continuidad del servicio 6.3.1. La continuidad del servicio y los requisitos de disponibilidad El proveedor del servicio deberá evaluar y documentar los riesgos para la continuidad del servicio y la disponibilidad de los servicios. 6.6. La gestión de la seguridad de la información 6.6.1. La política de seguridad de la información Con la debida autoridad de gestión se aprobará una política de seguridad de la información teniendo en cuenta las necesidades de servicio, los requisitos legales y normativos y las obligaciones contractuales y de administración.
  • 28. 28 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000) • Conclusión  La norma ISO 20000:2011 tiene una orientación fundamental a la gestión de los servicios de TI, pero atiende puntualmente el tema de gestión de riesgos desde el proceso de seguridad de la información.  Algunos procesos de la norma en si mismos apoyan la optimización del proceso de gestión de riesgos.  Se recomienda ampliamente considerar las normas ISO 27005 o ISO 31000 cuando se gestione la Seguridad de La información en la implementación de la norma ISO/IEC 20000:2011 .
  • 29. 29 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001) • Toda la información contenida y procesada por una organización está sujeta a las amenazas de ataque, error de la naturaleza (por ejemplo, inundaciones o incendios), etc., y está sujeto a las vulnerabilidades inherentes a su utilización. • El término seguridad de la información generalmente se basa en la información que se considera como un activo que tiene un valor que requiere una protección adecuada, por ejemplo, frente a la pérdida de disponibilidad, confidencialidad e integridad. • Habilitar la información completa y precisa para estar disponible en forma oportuna para aquellos con una necesidad autorizado es un catalizador para la eficiencia empresarial.
  • 30. 30 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001) ISO/IEC 27002:2013 14 Dominios 35 Objetivos de Control 114 Controles
  • 31. 31 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001) ISO 27002:2013 y sus 14 Dominios • Políticas de Seguridad. • Aspectos Organizativos de la Seguridad de la Información. • Seguridad Ligada a los Recursos Humanos. • Gestión de Activos. • Control de Accesos. • Cifrado. • Seguridad Física y Ambiental. • Seguridad en la Operativa. • Seguridad en las Telecomunicaciones. • Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información. • Relaciones con Proveedores. • Gestión de Incidentes en la Seguridad de la Información. • Aspectos de Seguridad de la Información en la Gestión de la Continuidad del Negocio. • Cumplimiento.
  • 32. 32 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001) 6.1.2 Evaluación de riesgos para la seguridad de la información La organización definirá y aplicará un proceso de evaluación de riesgos para la seguridad de la información 6.1.3 Tratamiento de riesgos para la seguridad de la información La organización definirá y aplicará un proceso de tratamiento de riesgos para la seguridad de la información 8.2 Evaluación de riesgos para la seguridad de la información La organización llevará a cabo evaluaciones de riesgos para la seguridad de la información a intervalos planificados o cuando se planeen u ocurran cambios importantes, teniendo en cuenta los criterios establecidos en 6.1.2 a). 8.3 Tratamiento de riesgos de seguridad de la información La organización deberá implementar un plan de tratamiento de riesgos de seguridad de la información.
  • 33. 33 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001) Evaluación de Riesgos Controles y Objetivos de Control Autorización para la Implementación y Operación de un ISMS Evaluación de Riesgos Aprobación para la Implementación de un ISMS Aceptación de Riesgos Residuales Declaración de Aplicabilidad (SOA), Controles y Objetivos de Control Metodología para la Evaluación de Riesgos Reporte de Evaluación de Riesgos Relación de Controles y Objetivos de Control Plan de Tratamiento de Riesgos
  • 34. 34 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001) • Conclusión  La norma ISO/IEC 27001:2013 tiene una orientación fundamental a los riesgos de seguridad de la información de TI.  ISO/IEC 27001 no especifica el enfoque de evaluación/gestión del riesgo que se debe usar. Depende de la organización especificar qué usar.  ISO/IEC 27001 se alinea a la norma ISO 31000 para la gestión de riesgos como se describe en la nota de la clausula 6.1.3. NOTE The information security risk assessment and treatment process in this International Standard aligns with the principles and generic guidelines provided in ISO 31000.  ISO/IEC 27001 presenta el marco e ISO/IEC 27005, cierta información de mayor utilidad
  • 35. 35 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005) • Un enfoque sistemático de la gestión de riesgos de seguridad de la información es necesaria para identificar las necesidades de la organización en relación con los requisitos de seguridad de la información y crear un eficaz sistema de gestión de seguridad de información (ISMS). Este enfoque debe ser adecuado para el entorno de la empresa y, en particular, deben estar alineados con la gestión de riesgos empresariales generales. • Los esfuerzos deben abordar los riesgos de seguridad de una manera eficaz y oportuna cuando y donde sean necesarios.
  • 36. 36 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005) • Para ISO/IEC 27005:2011 el modelo de proceso es el mismo que se define en ISO 31000.ComunicaciónyConsulta Evaluación de Riesgos Establecer el Contexto Identificación de Riesgos Análisis de Riesgos Valoración de los Riesgos Tratamiento de los Riesgos MonitoreoyRevisión
  • 37. 37 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005) 7 Establecimiento de contexto 7.1 Consideraciones Generales 7.2 Criterios básicos 7.2.1 Enfoque de gestión de riesgos 7.2.2 Los criterios de evaluación de riesgo 7.2.3 criterios de impacto 7.2.4 criterios de aceptación de riesgos 7.3 Alcance y límites 7.4 Organización de la gestión de riesgos de seguridad de la información
  • 38. 38 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005) 8 Evaluación de Riesgos de Seguridad de la Información 8.1 Descripción General Evaluación de Riesgos de Seguridad de la Información 8.2 Identificación del Riesgo 8.2.1 Introducción a la Identificación del Riesgo 8.2.2 Identificación de Activos 8.2.3 Identificación de Amenazas 8.2.4 Identificación de controles existentes 8.2.5 Identificación de vulnerabilidades 8.3 Análisis del Riesgo 8.3.1 Metodologías de Análisis del Riesgo 8.3.2 Evaluación de las Consecuencias 8.3.3 Evaluación de la Probabilidad de los Incidentes 8.3.4 Determinación del Nivel de Riesgo 8.4 Evaluación de los Riesgos
  • 39. 39 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005) 9 El tratamiento de riesgos de seguridad de la información 9.1 Descripción general del tratamiento de riesgos 9.2 Modificación de riesgo 9.3 Retención de riesgo 9.4 Evitar el riesgo 9.5 Compartir el riesgo 10 Aceptación del riesgo de la seguridad de la información 11 Comunicación y consulta de riesgos de la seguridad de la información 12 Monitoreo y revisión de riesgos de seguridad de la información 12.1 Monitoreo y revisión de los factores de riesgo 12.2 Seguimiento, revisión y mejora de la gestión del riesgo
  • 40. 40 Gestión de Riesgos de TI Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27005) • Conclusión  La norma ISO/IEC 27005:2011 Es aplicable para todas las organizaciones (tamaño, tipo de empresa, etc.) que requieran administrar los riesgos de seguridad de la información.  ISO/IEC 27005 Está orientada la gestión del riesgo del SGSI para apoyar la evaluación, tratamiento y gestión del riesgo, y al cumplimiento de los requisitos de los controles definidos en la norma 27001.  ISO/IEC 27005 se alinea a la norma ISO 31000 para la gestión de riesgos.  ISO/IEC 27005 Proporciona una orientación detallada para los implementadores del SGSI, encargados de la gestión del riesgo y oficiales de seguridad.
  • 41. 41 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ITSM) ITSM (IT Service Management) Es una buena práctica, que no un estándar, dedicada a la definición de procesos para la ejecución y gestión de servicios de TI de calidad que satisfagan las necesidades del negocio. La gestión de servicios de TI la llevan a cabo proveedores de servicios de TI a través de la combinación adecuada de personas, procesos y tecnologías de información (herramientas)”.
  • 42. 42 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ITSM) ITIL es la fuente confiable y popularmente aceptada de las mejores prácticas para la Gestión de Servicios de TI (ITSM). Las mejores prácticas son procesos o actividades probadas que han sido utilizadas con éxito por varias organizaciones. Mejora Continua del Servicio Transición del Servicio Estrategia de Servicio Operación del Servicio Diseño del Servicio ITIL = Information Technology Infrastructure Library (Biblioteca de Infraestructura de Tecnología de la Información)
  • 43. 43 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ITSM) Mapa de Procesos de ITIL V3 Estrategia del Servicio Gestión de la Estrategia de Servicios de TI Gestión de la Demanda Gestión del Portafolio de Servicios Gestión Financiera de Servicios de TI Gestión de Relaciones con el Negocio Diseño del Servicio Gestión del Nivel de Servicio (SLM) Gestión del Catálogo de Servicios Gestión de la Disponibilidad Gestión de la Seguridad de la Información (ISM) Gestión de Proveedores Gestión de la Capacidad Gestión de la Continuidad de Servicios de TI (ITSCM) Transición del Servicio Gestión de Cambios Gestión de la Configuración y Activos del Servicio Gestión del Conocimiento Gestión de Liberación e Implementación Operación del Servicio Gestión de Incidentes Gestión de Problemas Gestión de Eventos Gestión de Peticiones (o solicitudes) Gestión de Accesos Mejora Continua del Servicio Retorno sobre Inversión Evaluaciones Benchmarking Medición del Servicio Métricas Presentación de Informes del Servicio
  • 44. 44 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ITSM) Procesos de ITIL V3 con aportación a la gestión de riesgos Estrategia del Servicio Gestión de la Estrategia de Servicios de TI Gestión de la Demanda Gestión del Portafolio de Servicios Gestión Financiera de Servicios de TI Gestión de Relaciones con el Negocio Diseño del Servicio Gestión del Nivel de Servicio (SLM) Gestión del Catálogo de Servicios Gestión de la Disponibilidad Gestión de la Seguridad de la Información (ISM) Gestión de Proveedores Gestión de la Capacidad Gestión de la Continuidad de Servicios de TI (ITSCM) Transición del Servicio Gestión de Cambios Gestión de la Configuración y Activos del Servicio Gestión del Conocimiento Gestión de Liberación e Implementación Operación del Servicio Gestión de Incidentes Gestión de Problemas Gestión de Eventos Gestión de Peticiones (o solicitudes) Gestión de Accesos Mejora Continua del Servicio Retorno sobre Inversión Evaluaciones Benchmarking Medición del Servicio Métricas Presentación de Informes del Servicio
  • 45. 45 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ITSM) Algunas políticas de seguridad de la Información según ITSM Política de Seguridad de la información Política de Control d Accesos Política de Internet Política de Correo Electrónico Política de Clasificación de Documentos Política de Clasificación de la Información Política de Desecho de Activos Política de Control de Passwords Política de Uso de Activos de TI Política de Antivirus Política de Acceso Remoto Política de Acceso a Activos de TI por proveedores.
  • 46. 46 Gestión de Riesgos de TI Gestión de Riesgos en la Gestión del Servicio (ITSM) • Conclusión  ITSM es un marco de referencia de buenas prácticas que está fuertemente orientado a soportar la norma ISO/IEC 20000.  ITSM considera el proceso de gestión de riesgos embebido en el proceso de Gestión de Seguridad de la Información y sugiere actividades de diseño, implementación y operación de un sistema de gestión de la seguridad de la información.  ITSM no proporciona suficiente detalle para la gestión de riesgos.
  • 47. 47 Gestión de Riesgos Gestión de Riesgos de TI desde el enfoque de Gobierno Empresarial de TI (Cobit 5) • Análisis y evaluación de riesgos es un enfoque esencial para aportar realismo, percepción, compromiso organizacional, mejorar el análisis y la estructura a la compleja cuestión de los riesgos de TI. • Escenarios de riesgo son una representación tangible y evaluable del riesgo, y son uno de los elementos clave de información necesaria para identificar, analizar y responder al riesgo (COBIT 5 Proceso APO12).
  • 48. 48 Gestión de Riesgos Cobit 5 Source: COBIT® 5, © 2012 ISACA® All rights reserved. Procesos relacionados con la Gestión del Riesgo Procesos que apoyan a la Gestión del Riesgo
  • 49. 49 Gestión de Riesgos Gestión de Riesgos de TI desde el enfoque de Gobierno Empresarial de TI (Cobit 5) Source: COBIT® 5, © 2012 ISACA® All rights reserved.
  • 50. 50 Gestión de Riesgos Gestión de Riesgos de TI desde el enfoque de Gobierno Empresarial de TI (Cobit 5) APO12 Gestionar el Riesgo Subprocesos  APO12.01 Recopilar datos.  APO12.02 Analizar el riesgo.  APO12.03 Mantener un perfil de riesgo.  APO12.04 Expresar el riesgo.  APO12.05 Definir un portafolio de acciones para la gestión de riesgos.  APO12.06 Responder al riesgo.
  • 51. 51 Gestión de Riesgos Gestión de Riesgos de TI desde el enfoque de Gobierno Empresarial de TI (Cobit 5) Metas Cumplimiento y soporte de las TI al cumplimiento del negocio de las leyes y regulaciones externas Riesgos de negocio relacionados con las TI gestionados Transparencia de los costos, beneficios y riesgo de las TI Seguridad de la información, infraestructura de procesamiento y aplicaciones Entrega de programas que proporcionen beneficios a tiempo, dentro del presupuesto y satisfaciendo los requisitos y normas de calidad
  • 52. 52 Gestión de Riesgos Gestión de Riesgos de TI desde el enfoque de Gobierno Empresarial de TI (Cobit 5) Conclusión: Se enfoca en aplicar los habilitadores de COBIT 5 al riesgo.  Provee una guía de alto nivel en como identificar, analizar y responder a los riesgos utilizando procesos de COBIT 5 y con el uso de escenarios de riesgo. Define actividades, metas, métricas y las relaciones con otros procesos para facilitar la implementación. Provee un enlace entre los escenarios de riesgo y los habilitadores de COBIT 5 que puede ser usado para mitigar el riesgo. Se alinea con los principales estándares y marcos de referencia en gestión de riesgos.
  • 53. 53 Gestión de Riesgos de TI Conclusiones Generales  La Gestión de Riesgos forma parte integral de los Sistemas de Gestión de las Tecnologías de la Información cualquiera que sea su orientación y enfoque.  Los Sistemas de Gestión de la TI dedicados a la gestión de los servicios de TI como ISO 20000, ITSM, ITIL, etc. abordan la Gestión de Riesgos sin proporcionar suficiente detalle de su implementación y operación.  Cobit 5 como parte de las buenas prácticas del Gobierno Empresarial de TI es una excelente opción cuando la Gestión de Riesgos requiere ser implementada en los distintos niveles de responsabilidad de una organización.  La Gestión de Riesgos de TI está fuertemente ligada a la Seguridad de la Información por los que las normas ISO 27005 e ISO 31000 deben ser consideradas como la opción que ofrece mayores ventajas cuando la organización busca gestionar los riesgos de acuerdo con los requisitos de la norma ISO 27001.  Las organizaciones que ya han implementado procesos de Gestión de Servicios tendrán una gran plataforma para implementar la norma ISO 27005 o buscar la certificación de ISO 27001.
  • 54. ? Preguntas Muchas Gracias +52 1 442 467 9510 pescarce@adpro.mx www.adpro.mx linkedin.com/in/pedroescarcega twitter.com/pescarce