Sistemas de información y la gestión de riesgo<br />Administración Integral de Riesgo Corporativo<br />Fidel Hernández, CI...
Agenda<br />Administración de riesgos y la tecnología de información (TI)  ¿Qué es diferente?<br />Proceso de Administraci...
Administración de riesgos  una definición<br />“… un proceso ejecutado desde el consejo de administración y la gerencia, h...
¿Qué es diferente con la tecnología de información?<br />La tecnología permea efectivamente las operaciones de una organiz...
¿Qué es diferente con la tecnología de información?...<br />El proceso de ERM deberá considerar la importancia de la tecno...
Proceso de Administración de riesgos de TI<br />10/06/2009<br />Page 6<br />Administración Integral de Riesgo Corporativo<...
Relevancia de TI en los procesos de la organización<br />10/06/2009<br />Page 7<br />Entendiendo el papel de TI como habil...
Identificación de riesgos de TI<br />10/06/2009<br />Page 8<br />Administración Integral de Riesgo Corporativo<br />
Identificación de riesgos de TI<br />10/06/2009<br />Page 9<br />Administración Integral de Riesgo Corporativo<br />
Identificación de riesgos de TI<br />10/06/2009<br />Page 10<br />Administración Integral de Riesgo Corporativo<br />
10/06/2009<br />Page 11<br />Ciclo de desarrollo de sistemas<br />Como lleno su requerimiento el usuario<br />Como lo ente...
Ciclo de desarrollo de sistemas<br />10/06/2009<br />Page 12<br />Administración Integral de Riesgo Corporativo<br />
Identificando controles existentes<br />10/06/2009<br />Page 13<br />Administración Integral de Riesgo Corporativo<br />
Identificando controles existentes<br />10/06/2009<br />Page 14<br />Administración Integral de Riesgo Corporativo<br />
Evaluación de riesgos dos enfoques… cuantitativo<br />Requiere un análisis basado en valores numéricos de la probabilidad ...
Evaluación de riesgos dos enfoques… cualitativo<br />Una definición subjetiva del impacto<br />Alto, puede resultar en la ...
Matriz de decisiones de riesgo<br />10/06/2009<br />Page 17<br />Alto<br />RIESGO ALTO<br />RIESGO MEDIO<br />I<br />M<br ...
Opciones de manejo de riesgos<br />Aceptar el riesgo; monitoreando <br />Evitar el riesgo<br />Mitigar el riesgo; implemen...
La seguridad de la información y la administración de riesgos<br />El proceso de administración de riesgos requiere de dat...
¡GRACIAS!...<br />¿Preguntas?<br />Fidel Hernández, CISA<br />IT Audit Manager LatinAmerica<br />CorporateAuditng<br />The...
Bibliografía y referencias<br />“Risk Management Guide forInformationTechnologySystems;” RecomandationsontheNationalInstit...
Upcoming SlideShare
Loading in …5
×

It Risk Management

1,962 views
1,814 views

Published on

Published in: Business, Economy & Finance
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,962
On SlideShare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
1
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

It Risk Management

  1. 1. Sistemas de información y la gestión de riesgo<br />Administración Integral de Riesgo Corporativo<br />Fidel Hernández, CISA<br />México D.F. <br />Junio 16, 2009<br />
  2. 2. Agenda<br />Administración de riesgos y la tecnología de información (TI) ¿Qué es diferente?<br />Proceso de Administración de riesgos de TI<br />Relevancia de TI en los procesos de la entidad<br />Identificación de riesgos de TI<br />Ciclo de vida de los sistemas (SDLC)<br />Evaluación de riesgos dos enfoques<br />Opciones de manejo de riesgos<br />La seguridad de información y la gestión de riesgos<br />10/06/2009<br />Page 2<br />Administración Integral de Riesgo Corporativo<br />
  3. 3. Administración de riesgos una definición<br />“… un proceso ejecutado desde el consejo de administración y la gerencia, hasta el personal operativo; aplicado como una estrategia de la empresa, diseñado para identificar eventos potenciales que pudieran dañar a la entidad; para otorgar aseguramiento razonable del logro de la misión y los objetivos de la entidad.”<br />Fuente: COSO Enterprise Risk Management – Integrated Framework 2004<br />10/06/2009<br />Page 3<br />Administración Integral de Riesgo Corporativo<br />
  4. 4. ¿Qué es diferente con la tecnología de información?<br />La tecnología permea efectivamente las operaciones de una organización.<br />Habilita los procesos clave que permiten la entrega de sus productos y servicios.<br />Soporta las operaciones, procesos de reporte financiero y provee información para la toma de decisiones.<br />10/06/2009<br />Page 4<br />!Suena importante!<br />Administración Integral de Riesgo Corporativo<br />
  5. 5. ¿Qué es diferente con la tecnología de información?...<br />El proceso de ERM deberá considerar la importancia de la tecnología en la estrategia total de la organización.<br />La identificación de riesgos de TI en el contexto de toda la empresa, cambia laprotección de activos de información por el aseguramiento de procesos clave en los que TI es fundamental.<br />10/06/2009<br />Page 5<br />No es un asunto exclusivo del área de TI<br />Administración Integral de Riesgo Corporativo<br />
  6. 6. Proceso de Administración de riesgos de TI<br />10/06/2009<br />Page 6<br />Administración Integral de Riesgo Corporativo<br />
  7. 7. Relevancia de TI en los procesos de la organización<br />10/06/2009<br />Page 7<br />Entendiendo el papel de TI como habilitador de procesos clave se podrá entender la relevancia de los riesgos de TI para la organización.<br />Los riesgos de TI se encuentran entrelazados a los procesos clave de operación, y deben ser analizados en forma holística.<br />Un enfoque holístico en el manejo de los riesgos de IT, resultara en mejores estimaciones de valor e impacto de procesos y no solo de activos de información.<br />Administración Integral de Riesgo Corporativo<br />
  8. 8. Identificación de riesgos de TI<br />10/06/2009<br />Page 8<br />Administración Integral de Riesgo Corporativo<br />
  9. 9. Identificación de riesgos de TI<br />10/06/2009<br />Page 9<br />Administración Integral de Riesgo Corporativo<br />
  10. 10. Identificación de riesgos de TI<br />10/06/2009<br />Page 10<br />Administración Integral de Riesgo Corporativo<br />
  11. 11. 10/06/2009<br />Page 11<br />Ciclo de desarrollo de sistemas<br />Como lleno su requerimiento el usuario<br />Como lo entendió el líder del proyecto<br />Como lo diseñó el analista de sistemas<br />Como lo escribió en código el programador<br />Como es descrito por el gerente de la unidad de negocio<br />Como se soportó el proyecto<br />Como se documentó el proyecto<br />Como fue instalado por el área de operaciones<br />Como se facturó al cliente<br />Esto es lo que el proceso necesitaba<br />Administración Integral de Riesgo Corporativo<br />
  12. 12. Ciclo de desarrollo de sistemas<br />10/06/2009<br />Page 12<br />Administración Integral de Riesgo Corporativo<br />
  13. 13. Identificando controles existentes<br />10/06/2009<br />Page 13<br />Administración Integral de Riesgo Corporativo<br />
  14. 14. Identificando controles existentes<br />10/06/2009<br />Page 14<br />Administración Integral de Riesgo Corporativo<br />
  15. 15. Evaluación de riesgos dos enfoques… cuantitativo<br />Requiere un análisis basado en valores numéricos de la probabilidad de amenaza, vulnerabilidad y valor del impacto.<br />A pesar de que se cuentan con herramientas para determinar casi todos los valores depende de información que en ocasiones es difícil de conseguir o calcular.<br />Facilita el análisis costo beneficio.<br />10/06/2009<br />Page 15<br />Administración Integral de Riesgo Corporativo<br />
  16. 16. Evaluación de riesgos dos enfoques… cualitativo<br />Una definición subjetiva del impacto<br />Alto, puede resultar en la muy costosa pérdida de activos estratégicos; puede dañar o impedir la misión de la organización, su reputación o sus intereses; involucrando pérdida de vidas o lesiones serias.<br />Medio, puede resultar en la costosa pérdida de activos; puede afectar la misión de la organización, su reputación o sus intereses y poner en riesgo vidas.<br />Bajo, puede resultar en la perdida de algunos activos, afectar la misión, reputación o intereses de la organización.<br />10/06/2009<br />Page 16<br />Administración Integral de Riesgo Corporativo<br />
  17. 17. Matriz de decisiones de riesgo<br />10/06/2009<br />Page 17<br />Alto<br />RIESGO ALTO<br />RIESGO MEDIO<br />I<br />M<br />P<br />A<br />C<br />T<br />O<br />CONTROLAR Y MITIGAR<br />TRANSFERIR<br />RIESGO MEDIO<br />RIESGO BAJO<br />ACEPTAR<br />CONTROLAR<br />ALTA<br />PROBABILIDAD<br />Administración Integral de Riesgo Corporativo<br />
  18. 18. Opciones de manejo de riesgos<br />Aceptar el riesgo; monitoreando <br />Evitar el riesgo<br />Mitigar el riesgo; implementando controles que disminuyan la probabilidad de ocurrencia o que reduzcan el impacto en la organización<br />Transferir el riesgo; mediante decisiones de negocio como:<br />Ousorcing, jointventures, diversificación<br />Seguros <br />10/06/2009<br />Page 18<br />Administración Integral de Riesgo Corporativo<br />
  19. 19. La seguridad de la información y la administración de riesgos<br />El proceso de administración de riesgos requiere de datos confiables que soporten el valor de los procesos y ayuden a medir el impacto de las decisiones estratégicas en los objetivos y misión de la entidad.<br />Los procedimientos, políticas y controles de seguridad de información buscan evitar:<br />Pérdida de integridad<br />Pérdida de disponibilidad<br />Pérdida de confidencialidad<br />10/06/2009<br />Page 19<br />Administración Integral de Riesgo Corporativo<br />
  20. 20. ¡GRACIAS!...<br />¿Preguntas?<br />Fidel Hernández, CISA<br />IT Audit Manager LatinAmerica<br />CorporateAuditng<br />The 3M Company<br />Phone: 52 55 52 70 22 17<br />mailto: fchernandezgutierrez@mmm.com<br />México D.F. <br />Junio 16, 2009<br />
  21. 21. Bibliografía y referencias<br />“Risk Management Guide forInformationTechnologySystems;” RecomandationsontheNationalInstitute of Standards and Technology, U.S. Department of Commerce. Gary Stonenburner, Alice Goguen, Alexis Feringa. Washingtong D.C. NIST SpecialPublication 800-30<br />“COSO EnerpriseRisk Management-Integrated Framework;” Committe of SponsoringOrganizations of theTradewayCommision. Copyright © 2004.<br />“IT Risk Management Guide;” Gerard Blokdijk, Claire Engle & JackieBrewster. Copyright © 2008 <br />10/06/2009<br />Page 21<br />Sitios Web relacionados<br />www.coso.org<br />www.theiia.org<br />www.isaca.org<br />Administración Integral de Riesgo Corporativo<br />

×