La Gestión de Riesgos en las Tecnologías de la Información

La Gestión de Riesgos en las
Tecnologías de la Información.
Pedro Escarcega, Fundador y Director General de AdPro
12 de Octubre de 2016

Pedro Escárcega N
Fundador y Director General
AdPro es una empresa Mexicana dedicada a la consultoría y a la capacitación
de procesos de TI. Durante los últimos 6 años ha entregado servicios de
consultoría para la implantación y mejora de los procesos de gestión de TI en
Latinoamérica.
Contact Information
+52 1 442 467 9510 pescarce@adpro.mx
pescarce@adpro.mx
linkedin.com/in/pedroescarcega
twitter.com/pescarce

3
Gestión de Riesgos de TI
La Gestión de Riesgos en las Tecnologías de la
Información.
Un análisis del proceso de Gestión de Riesgos de TI desde las
perspectivas distintas de los estándares, las normas y las mejores
prácticas de gestión de TI aplicables.
Se revisa el enfoque de gestión de riesgos de TI descrito en
ITSM/ITIL, ISO 20000, ISO 31000, ISO 27001, ISO 27005, ISO
22301 y COBIT.

4
 Reír es correr el riesgo de presentarse como tonto
 Llorar es correr el riesgo de parecer sentimental
 Exponer los sentimientos es arriesgarse a exponer su
verdadera yo
 Comunicarse con otro es correr el riesgo de involucrarse
 Compartir tus ideas, tus sueños ante una multitud es correr el
riesgo de perderlos
 Amar es correr el riesgo de que no te correspondan
 Vivir es correr el riesgo de morir
 Intentar es correr el riesgo de fracasar.

5
Pero los riesgos deben ser tomados porque el mayor peligro en
la vida es no tomar ningún riesgo.
La persona que arriesga nada, no hace nada, no tiene nada, y
no es nada.
No tomar riesgos puede evitar el sufrimiento y el dolor, pero no
se puede aprender, sentir, cambiar, crecer, amar y vivir.
En encadenados por sus actitudes, son esclavos, han perdido
su libertad, sólo la persona que arriesga es libre.
Anónimo

6
Agenda
1. Perspectiva general de Gestión de Riesgos
2. Fundamentos de la Gestión de Riesgos
3. Normas, estándares y buenas practicas en la gestión de
procesos de TI.
4. Un marco de referencia genérico para la Gestión de Riesgos
(ISO 31000)
5. Gestión de Riesgos en la Gestión del Servicio (ISO/IEC
20000)
6. Gestión de Riesgos en la Seguridad de la información
(ISO/IEC 27001)
7. Gestión de Riesgos en la Gestión del Servicio (ITSM)
8. Gestión de Riesgos de TI desde el enfoque de Gobierno
Empresarial de TI (Cobit 5)

7
Perspectiva general de Gestión de Riesgos
El riesgo es parte de todas nuestras vidas. Como sociedad,
debemos tomar riesgos para crecer y desarrollarnos. En
energía, infraestructura, cadenas de suministro para la
seguridad de los aeropuertos, hospitales a la vivienda, la
administración eficaz de los riesgos ayudar a las sociedades a
tener éxito.
En nuestro mundo acelerado, los riesgos que tenemos que
gestionar evolucionan rápidamente. Necesitamos asegurarnos
de gestionar los riesgos de manera que podamos minimizar sus
amenazas y maximizar su potencial.

8
Perspectiva general de Gestión de Riesgos
El papel de la TI en una organización se ha transformado en los
últimos años y ya no es visto como simple apoyo a la empresa.
También permite a las empresas diferenciarse y proporciona a
muchas organizaciones una ventaja competitiva.
Este resultado convierte a TI en habilitador estratégico, en lugar
de un centro de costo.
Como resultado, la perspectiva sobre la gestión de riesgo de TI
dentro de una organización también ha evolucionado.

9
Fundamentos de la Gestión de Riesgos
Conceptos Clave
• El riesgo es una medida
del grado en que una
entidad está amenazada
por una posible
circunstancia o
acontecimiento.

10
Conceptos Clave
Riesgo
• Combinación de la
probabilidad de un
suceso y de su
consecuencia.
• El término "riesgo"
suele utilizarse sólo
en el caso de que
exista, al menos,
una posibilidad de
consecuencia
negativa.
Consecuencia
• Resultado de un
suceso. Se puede
derivar más de una
consecuencia de
un mismo suceso.
• Las consecuencias
pueden variar de
positivas a
negativas. Sin
embargo, las
consecuencias son
siempre negativas
en aspectos de
seguridad.
Probabilidad
• Grado en que un
suceso puede tener
lugar.
Gestión de riesgos
• Actividades
coordinadas para
dirigir y controlar
una empresa en
relación con el
riesgo.

11
Conceptos Clave
Identificación
de riesgos
• Proceso por el
que se
encuentran,
enumeran y
caracterizan
elementos de
riesgo.
Estimación de
riesgos
• Proceso
utilizado para
asignar valores
a la
probabilidad y a
las
consecuencias
de un riesgo.
Evaluación de
riesgos
• Proceso que
consiste en
comparar el
riesgo
calculado con
ciertos criterios
de riesgos para
determinar la
importancia del
riesgo.
Tratamiento de
riesgos
• Proceso de
selección y
puesta en
aplicación de
medidas para
modificar el
riesgo.
Riesgo residual
• Riesgo que
permanece
después del
tratamiento de
riesgos.

12
Conceptos Clave
Control de riesgos
• Acciones que
ponen en
aplicación las
decisiones de
la gestión de
riesgos. El
control de
riesgos puede
incluir la
supervisión, la
reevaluación y
la conformidad
con las
decisiones.
Reducción de
riesgos
• Acciones
tomadas para
reducir la
probabilidad,
las
consecuencias
negativas, o
ambas, en
relación con un
riesgo.
Transferencia de
riesgos
• Puesta en
común con otra
parte de la
carga de las
pérdidas
consecuencia
de un riesgo.
• Los requisitos
legales o
estatutarios
pueden limitar,
prohibir u
ordenar la
transferencia
de cierto riesgo.
Retención de
riesgos
• Aceptación de
la carga de las
pérdidas
consecuencia
de un riesgo
particular.
• La retención de
riesgos incluye
la aceptación
de riesgos que
no se han
identificado.
Aceptación de
riesgos
• Decisión de
aceptar un
riesgo.
• La aceptación
de riesgos
depende de los
criterios de
riesgos.

13
Conceptos Clave
• Una metodología de evaluación:
No Actividad Descripción
1 Identifica Amenazas
A partir de los incidentes sufridos, la lista de activos críticos y la priorización
de los procesos del negocio.
2 Identifica vulnerabilidades
Análisis de la lista de vulnerabilidades asociadas a los activos y a los
procesos del negocio.
3 Valora el Riesgo Inherente
Se determinan cuáles son los riesgos inherentes a las actividades y
funciones de la organización, se valoran, clasifican y se determina el nivel
de riesgo.
4
Identifica controles
existentes
Identificar los controles que actualmente tiene implementados la
organización.
5 Valora el riesgo residual.
Se evalúa la calidad y eficacia de los controles mitigantes de los riesgos
para obtener el nivel de riesgo resultante después de la aplicación de los
controles o mitigación.
6 Optimiza Controles.
Se propone una serie de mejoras con el fin de optimizar los controles
existentes o agregar nuevos controles necesarios para mitigar riesgos
atendiendo los criterios de tratamiento de riesgo de la organización.
7
Mantiene un Perfil de
Riesgo.
Establecer una matriz de Riesgos, controles, monitoreando y manteniendo
la efectividad de los controles.

14
Identificar el Riesgo
Identificar los Riesgos de TI aplicables
a partir del los escenarios de riesgo
de la empresa, considerando su
postura y apetito de riesgo
Gestionar el Riesgo
Gestionar los Riesgos de TI a
través de la implementación de
procesos y controles para su
prevención y respuesta.
Optimizar el Riesgo
Establecer procesos y procedimientos
para optimizar controles y función de
monitoreo de los riesgos.
Mitigar el Riesgo
Establecer estrategias de
Mitigación al impacto de la
materialización de los riesgos, así
como su rápida recuperación.
Marco de Trabajo
• Gobierno de TI
• Gente
• Estándares y Políticas
• Procesos y Procedimientos
• Mejora Continua

15
Estándares y Normas
• ISO 31000:2009, Gestión del Riesgo Principios y Directrices
(Organización Internacional de Normalización)
• ISO/IEC 31010:2009, Gestión del riesgo Técnicas de
apreciación del riesgo.
• ISO/IEC 20000-1:2011, Tecnología de la información Gestión
de servicios. Tecnología de la información Parte 1: Requisitos
del sistema de gestión de servicios.
• ISO/IEC 20000-2:2012, Tecnología de la información Gestión
de servicios Parte 2: Orientación sobre la aplicación de
sistemas de gestión de servicios.
• ISO 22301:2012, La seguridad social Sistemas de gestión de
la continuidad de negocio, Requisitos.

16
Estándares y Normas
• ISO/IEC 27000:2009, Tecnología de la Información Técnicas
de seguridad Sistemas de gestión de seguridad de la
Información, Información general y vocabulario.
• ISO/IEC 27001:2005, Sistemas de Gestión de Seguridad de la
Información Requisitos.
de seguridad Código de buenas prácticas de gestión de la
seguridad de la información.
de seguridad Gestión de riesgos de seguridad de la
Información.

17
Buenas Prácticas
• ITSM, ITIL V3.- ITIL (Information Technology Infraestructure
Library o Biblioteca de Infraestructura de Tecnologías de la
Información) (ITIL®), estándar mundial de de facto en la
Gestión de Servicios Informáticos. Information Technology
Service Management (ITSM).
• Cobit 5.- COBIT 5 provee de un marco de trabajo integral que
ayuda a las empresas a alcanzar sus objetivos para el
gobierno y la gestión de las TI corporativas. ISACA ha emitido
escenarios de riesgo utilizando COBIT 5 para proporcionar
orientación de riesgo.

18
Un marco de referencia genérico para la Gestión de
Riesgos (ISO 31000)
• “TODAS las organizaciones, no importa cuán grande o pequeño, se
enfrentan a factores internos y externos que generan incertidumbre
sobre si serán capaces de alcanzar sus objetivos. El efecto de esta
incertidumbre es RIESGO y es inherente a todas las actividades.”
Kevin W. Knight
Presidente del grupo de trabajo de la ISO 31000

19
Riesgos (ISO 31000:2009)
• Elementos Clave
Los principios de gestión del riesgo.
El marco de trabajo para la gestión de
riesgos.
El proceso de gestión de riesgo.
Nueva definición de Riesgo.- “El riesgo
es el efecto de la incertidumbre sobre los
objetivos”

20
Principios
• Crea valor
• Está integrada en los procesos
de una organización
• Forma parte de la toma de
decisiones
• Trata explícitamente la
incertidumbre
• Es sistemática, estructurada y
adecuada
• Está basada en la mejor
información disponible
• Está hecha a medida
• Tiene en cuenta factores
humanos y culturales
• Es transparente e inclusiva
• Es dinámica, iterativa y sensible
al cambio
• Facilita la mejora continua de la
organización.

21
Compromiso
de la
Dirección
Marco de Trabajo

22
Proceso de GestiónComunicaciónyConsulta
Evaluación de Riesgos
Establecer el Contexto
Identificación de Riesgos
Análisis de Riesgos
Valoración de los Riesgos
Tratamiento de los Riesgos
MonitoreoyRevisión

23
• Beneficios
 Establecer una base confiable para la toma de decisiones y la
planificación
 Mejorar los controles
 Efectivamente asignar y utilizar recursos para el tratamiento del riesgo
 Mejorar la eficacia y eficiencia operativa
 Mejorar la salud y de seguridad, así como la protección del medio
ambiente
 Mejorar la prevención de pérdidas y de manejo de incidentes
 Reduzca al mínimo las pérdidas
 Mejorar el aprendizaje organizacional
 Mejorar la capacidad de recuperación de la organización.

24
• Conclusión
 La norma ISO 31000:2009 ofrece un nuevo concepto de riesgo y define
la necesidad de incorporar la gestión de riesgos en todos los procesos y
prácticas de las organizaciones. Introduce el Tema de la rendición de
cuentas al gestionar los riesgos.
 La norma ISO 31000:2009 se puede aplicar en CUALQUIER
ORGANIZACIÓN sea privada, publica, sin fines de lucro, asociación,
grupo o individuo sin importar su tamaño, ya que la norma no es
especifica para ningún sector.
 Se puede aplicar a cualquier tipo de riesgo, cualquiera sea su
naturaleza, causa u origen.

25
Gestión de Riesgos en la Gestión del Servicio (ISO/IEC 20000)
• ISO/IEC 20000:2011-Parte 1
Esta parte de la norma ISO/IEC 20000
es un sistema de administración de
servicios (SMS) estándar.
Especifica requisitos para el proveedor
de servicio para planificar, establecer,
implementar, operar, monitorear, revisar,
mantener y mejorar un SMS.
Los requisitos incluyen el diseño, la
transición, la entrega y la mejora de los
servicios para cumplir con los requisitos
de servicio.

26
Clientes y otras
partes
interesadas
Clientes y otras
partes
interesadas
Requerimientos
de Servicio
Servicios
SISTEMA DE GESTIÓN DE SERVICIOS (SGS)
Responsabilidad de la Dirección.
Establecer y Mejorar el SGS.
Gobernabilidad de los Procesos
Operadospor Otras Partes.
Gestión de Documentos.
Gestión de Recursos.
Diseño y Transición de Servicios Nuevos o Modificados
Procesosde la Provisión del Servicio
Gestión dela Capacidad.
Gestiónde la
Continuidad y
Disponibilidad del
Servicio.
Gestión de Nivel de
Servicio.
Informes del Servicio.
Gestión de la Seguridad
de la Información.
Presupuesto y
Contabilidad de los
Servicios.
Procesos de control
Gestiónde laConfiguración.
Gestióndel Cambio.
GestióndeLiberacióny Despliegue.
Procesos deResolución
Gestiónde IncidentesySolicitudes
deServicio.
GestióndeProblemas.
Procesos deRelaciones
Gestiónde lasRelaciones
con elNegocio.
GestióndeProveedores.

27
6.3. Gestión de la disponibilidad y continuidad del
servicio
6.3.1. La continuidad del servicio y los requisitos
de disponibilidad
El proveedor del servicio deberá evaluar y
documentar los riesgos para la continuidad del
servicio y la disponibilidad de los servicios.
6.6. La gestión de la seguridad de la información
6.6.1. La política de seguridad de la información
Con la debida autoridad de gestión se aprobará una
política de seguridad de la información teniendo en
cuenta las necesidades de servicio, los requisitos
legales y normativos y las obligaciones contractuales y
de administración.

28
• Conclusión
 La norma ISO 20000:2011 tiene una orientación fundamental a la
gestión de los servicios de TI, pero atiende puntualmente el tema de
gestión de riesgos desde el proceso de seguridad de la información.
 Algunos procesos de la norma en si mismos apoyan la optimización del
proceso de gestión de riesgos.
 Se recomienda ampliamente considerar las normas ISO 27005 o ISO
31000 cuando se gestione la Seguridad de La información en la
implementación de la norma ISO/IEC 20000:2011 .

29
Gestión de Riesgos en la Seguridad de la información (ISO/IEC 27001)
• Toda la información contenida y procesada por una
organización está sujeta a las amenazas de
ataque, error de la naturaleza (por ejemplo,
inundaciones o incendios), etc., y está sujeto a las
vulnerabilidades inherentes a su utilización.
• El término seguridad de la información
generalmente se basa en la información que se
considera como un activo que tiene un valor que
requiere una protección adecuada, por ejemplo,
frente a la pérdida de disponibilidad,
confidencialidad e integridad.
• Habilitar la información completa y precisa para
estar disponible en forma oportuna para aquellos
con una necesidad autorizado es un catalizador
para la eficiencia empresarial.

30
ISO/IEC 27002:2013
14 Dominios
35 Objetivos de
Control
114 Controles

31
ISO 27002:2013 y sus 14 Dominios
• Políticas de Seguridad.
• Aspectos Organizativos de la Seguridad de la Información.
• Seguridad Ligada a los Recursos Humanos.
• Gestión de Activos.
• Control de Accesos.
• Cifrado.
• Seguridad Física y Ambiental.
• Seguridad en la Operativa.
• Seguridad en las Telecomunicaciones.
• Adquisición, Desarrollo y Mantenimiento de los Sistemas de Información.
• Relaciones con Proveedores.
• Gestión de Incidentes en la Seguridad de la Información.
• Aspectos de Seguridad de la Información en la Gestión de la Continuidad del Negocio.
• Cumplimiento.

32
6.1.2 Evaluación de riesgos para la seguridad de la información
La organización definirá y aplicará un proceso de evaluación de riesgos
para la seguridad de la información
6.1.3 Tratamiento de riesgos para la seguridad de la información
La organización definirá y aplicará un proceso de tratamiento de riesgos
para la seguridad de la información
8.2 Evaluación de riesgos para la seguridad de la información
La organización llevará a cabo evaluaciones de riesgos para la seguridad
de la información a intervalos planificados o cuando se planeen u ocurran
cambios importantes, teniendo en cuenta los criterios establecidos en
6.1.2 a).
8.3 Tratamiento de riesgos de seguridad de la información
La organización deberá implementar un plan de tratamiento de riesgos de
seguridad de la información.

33
Evaluación de
Riesgos
Controles y
Objetivos de
Control
Autorización para la
Implementación y
Operación de un
ISMS
Aprobación para la
Implementación de un
ISMS
Aceptación de
Riesgos Residuales
Declaración de
Aplicabilidad (SOA),
Controles y Objetivos
de Control
Metodología para la
Evaluación de
Riesgos
Reporte de
Evaluación de
Riesgos
Relación de Controles
y Objetivos de Control
Plan de Tratamiento
de Riesgos

34
• Conclusión
 La norma ISO/IEC 27001:2013 tiene una orientación fundamental a los
riesgos de seguridad de la información de TI.
 ISO/IEC 27001 no especifica el enfoque de evaluación/gestión del
riesgo que se debe usar. Depende de la organización especificar qué
usar.
 ISO/IEC 27001 se alinea a la norma ISO 31000 para la gestión de
riesgos como se describe en la nota de la clausula 6.1.3. NOTE The
information security risk assessment and treatment process in this
International Standard aligns with the principles and generic guidelines
provided in ISO 31000.
 ISO/IEC 27001 presenta el marco e ISO/IEC 27005, cierta información
de mayor utilidad

35
• Un enfoque sistemático de la gestión de
riesgos de seguridad de la información es
necesaria para identificar las necesidades
de la organización en relación con los
requisitos de seguridad de la información y
crear un eficaz sistema de gestión de
seguridad de información (ISMS). Este
enfoque debe ser adecuado para el
entorno de la empresa y, en particular,
deben estar alineados con la gestión de
riesgos empresariales generales.
• Los esfuerzos deben abordar los riesgos
de seguridad de una manera eficaz y
oportuna cuando y donde sean necesarios.

36
• Para ISO/IEC 27005:2011 el modelo de proceso es el mismo que se
define en ISO 31000.ComunicaciónyConsulta
Establecer el Contexto
Identificación de Riesgos
Análisis de Riesgos
Valoración de los Riesgos
Tratamiento de los Riesgos
MonitoreoyRevisión

37
7 Establecimiento de contexto
7.1 Consideraciones Generales
7.2 Criterios básicos
7.2.1 Enfoque de gestión de riesgos
7.2.2 Los criterios de evaluación de riesgo
7.2.3 criterios de impacto
7.2.4 criterios de aceptación de riesgos
7.3 Alcance y límites
7.4 Organización de la gestión de riesgos de seguridad
de la información

38
8 Evaluación de Riesgos de Seguridad de la Información
8.1 Descripción General Evaluación de Riesgos de Seguridad de la
Información
8.2 Identificación del Riesgo
8.2.1 Introducción a la Identificación del Riesgo
8.2.2 Identificación de Activos
8.2.3 Identificación de Amenazas
8.2.4 Identificación de controles existentes
8.2.5 Identificación de vulnerabilidades
8.3 Análisis del Riesgo
8.3.1 Metodologías de Análisis del Riesgo
8.3.2 Evaluación de las Consecuencias
8.3.3 Evaluación de la Probabilidad de los Incidentes
8.3.4 Determinación del Nivel de Riesgo
8.4 Evaluación de los Riesgos

39
9 El tratamiento de riesgos de seguridad de la información
9.1 Descripción general del tratamiento de riesgos
9.2 Modificación de riesgo
9.3 Retención de riesgo
9.4 Evitar el riesgo
9.5 Compartir el riesgo
10 Aceptación del riesgo de la seguridad de la información
11 Comunicación y consulta de riesgos de la seguridad de la
información
12 Monitoreo y revisión de riesgos de seguridad de la
información
12.1 Monitoreo y revisión de los factores de riesgo
12.2 Seguimiento, revisión y mejora de la gestión del riesgo

40
• Conclusión
 La norma ISO/IEC 27005:2011 Es aplicable para todas las
organizaciones (tamaño, tipo de empresa, etc.) que requieran
administrar los riesgos de seguridad de la información.
 ISO/IEC 27005 Está orientada la gestión del riesgo del SGSI para
apoyar la evaluación, tratamiento y gestión del riesgo, y al cumplimiento
de los requisitos de los controles definidos en la norma 27001.
 ISO/IEC 27005 se alinea a la norma ISO 31000 para la gestión de
riesgos.
 ISO/IEC 27005 Proporciona una orientación detallada para los
implementadores del SGSI, encargados de la gestión del riesgo y
oficiales de seguridad.

41
Gestión de Riesgos en la Gestión del Servicio (ITSM)
ITSM (IT Service Management)
Es una buena práctica, que no un estándar, dedicada a la definición de
procesos para la ejecución y gestión de servicios de TI de calidad que
satisfagan las necesidades del negocio. La gestión de servicios de TI
la llevan a cabo proveedores de servicios de TI a través de la
combinación adecuada de personas, procesos y tecnologías de
información (herramientas)”.

42
ITIL es la fuente confiable y
popularmente aceptada de las
mejores prácticas para la Gestión
de Servicios de TI (ITSM).
Las mejores prácticas son
procesos o actividades probadas
que han sido utilizadas con éxito
por varias organizaciones.
Mejora
Continua del
Servicio
Transición
del Servicio
Estrategia
de Servicio
Operación
del Servicio
Diseño
del
Servicio
ITIL = Information Technology Infrastructure Library (Biblioteca
de Infraestructura de Tecnología de la Información)

43
Mapa de Procesos de ITIL V3
Estrategia del
Servicio
Gestión de la
Estrategia de
Servicios de TI
Gestión de la
Demanda
Gestión del
Portafolio de
Servicios
Gestión
Financiera de
Servicios de TI
Gestión de
Relaciones con el
Negocio
Diseño del
Servicio
Gestión del Nivel
de Servicio (SLM)
Gestión del
Catálogo de
Servicios
Gestión de la
Disponibilidad
Gestión de la
Seguridad de la
Información (ISM)
Gestión de
Proveedores
Gestión de la
Capacidad
Gestión de la
Continuidad de
Servicios de TI
(ITSCM)
Transición del
Servicio
Gestión de
Cambios
Gestión de la
Configuración y
Activos del
Servicio
Gestión del
Conocimiento
Gestión de
Liberación e
Implementación
Operación del
Servicio
Gestión de
Incidentes
Gestión de
Problemas
Gestión de
Eventos
Gestión de
Peticiones (o
solicitudes)
Gestión de
Accesos
Mejora
Continua del
Servicio
Retorno sobre
Inversión
Evaluaciones
Benchmarking
Medición del
Servicio
Métricas
Presentación de
Informes del
Servicio

44
Procesos de ITIL V3 con aportación a la gestión de riesgos
Estrategia del
Servicio
Gestión de la
Estrategia de
Servicios de TI
Gestión de la
Demanda
Gestión del
Portafolio de
Servicios
Gestión
Financiera de
Servicios de TI
Gestión de
Relaciones con el
Negocio
Diseño del
Servicio
Gestión del Nivel
de Servicio (SLM)
Gestión del
Catálogo de
Servicios
Gestión de la
Disponibilidad
Gestión de la
Seguridad de la
Información (ISM)
Gestión de
Proveedores
Gestión de la
Capacidad
Gestión de la
Continuidad de
Servicios de TI
(ITSCM)
Transición del
Servicio
Gestión de
Cambios
Gestión de la
Configuración y
Activos del
Servicio
Gestión del
Conocimiento
Gestión de
Liberación e
Implementación
Operación del
Servicio
Gestión de
Incidentes
Gestión de
Problemas
Gestión de
Eventos
Gestión de
Peticiones (o
solicitudes)
Gestión de
Accesos
Mejora
Continua del
Servicio
Retorno sobre
Inversión
Evaluaciones
Benchmarking
Medición del
Servicio
Métricas
Presentación de
Informes del
Servicio

45
Algunas políticas de seguridad de la Información según ITSM
Política de Seguridad
de la información
Política de Control d
Accesos
Política de Internet
Política de Correo
Electrónico
Política de Clasificación
de Documentos
Política de Clasificación
de la Información
Política de Desecho de
Activos
Política de Control de
Passwords
Política de Uso de
Activos de TI
Política de Antivirus
Política de Acceso
Remoto
Política de Acceso a
Activos de TI por
proveedores.

46
• Conclusión
 ITSM es un marco de referencia de buenas prácticas que está
fuertemente orientado a soportar la norma ISO/IEC 20000.
 ITSM considera el proceso de gestión de riesgos embebido en el
proceso de Gestión de Seguridad de la Información y sugiere
actividades de diseño, implementación y operación de un
sistema de gestión de la seguridad de la información.
 ITSM no proporciona suficiente detalle para la gestión de
riesgos.

47
Gestión de Riesgos
Gestión de Riesgos de TI desde el enfoque de Gobierno
• Análisis y evaluación de riesgos es un enfoque esencial para
aportar realismo, percepción, compromiso organizacional,
mejorar el análisis y la estructura a la compleja cuestión de los
riesgos de TI.
• Escenarios de riesgo son una representación tangible y
evaluable del riesgo, y son uno de los elementos clave de
información necesaria para identificar, analizar y responder al
riesgo (COBIT 5 Proceso APO12).

50
Gestión de Riesgos
APO12 Gestionar el Riesgo
Subprocesos
 APO12.01 Recopilar datos.
 APO12.02 Analizar el riesgo.
 APO12.03 Mantener un perfil de riesgo.
 APO12.04 Expresar el riesgo.
 APO12.05 Definir un portafolio de acciones para la gestión de
riesgos.
 APO12.06 Responder al riesgo.

51
Gestión de Riesgos
Metas
Cumplimiento y soporte
de las TI al
cumplimiento del
negocio de las
leyes y regulaciones
externas
Riesgos de negocio
relacionados con las TI
gestionados
Transparencia de los
costos, beneficios y
riesgo de las TI
Seguridad de la
información,
infraestructura de
procesamiento y
aplicaciones
Entrega de programas
que proporcionen
beneficios a tiempo,
dentro del presupuesto
y satisfaciendo los
requisitos y normas de
calidad

52
Gestión de Riesgos
Conclusión:
Se enfoca en aplicar los habilitadores de COBIT 5 al riesgo.
 Provee una guía de alto nivel en como identificar, analizar y responder a los
riesgos utilizando procesos de COBIT 5 y con el uso de escenarios de riesgo.
Define actividades, metas, métricas y las relaciones con otros procesos para
facilitar la implementación.
Provee un enlace entre los escenarios de riesgo y los habilitadores de COBIT
5 que puede ser usado para mitigar el riesgo.
Se alinea con los principales estándares y marcos de referencia en gestión de
riesgos.

53
Conclusiones Generales
 La Gestión de Riesgos forma parte integral de los Sistemas de Gestión de las
Tecnologías de la Información cualquiera que sea su orientación y enfoque.
 Los Sistemas de Gestión de la TI dedicados a la gestión de los servicios de TI como
ISO 20000, ITSM, ITIL, etc. abordan la Gestión de Riesgos sin proporcionar
suficiente detalle de su implementación y operación.
 Cobit 5 como parte de las buenas prácticas del Gobierno Empresarial de TI es una
excelente opción cuando la Gestión de Riesgos requiere ser implementada en los
distintos niveles de responsabilidad de una organización.
 La Gestión de Riesgos de TI está fuertemente ligada a la Seguridad de la
Información por los que las normas ISO 27005 e ISO 31000 deben ser consideradas
como la opción que ofrece mayores ventajas cuando la organización busca gestionar
los riesgos de acuerdo con los requisitos de la norma ISO 27001.
 Las organizaciones que ya han implementado procesos de Gestión de Servicios
tendrán una gran plataforma para implementar la norma ISO 27005 o buscar la
certificación de ISO 27001.

?
Preguntas
Muchas Gracias
+52 1 442 467 9510
pescarce@adpro.mx
www.adpro.mx
linkedin.com/in/pedroescarcega
twitter.com/pescarce

La Gestión de Riesgos en las Tecnologías de la Información

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Similar a La Gestión de Riesgos en las Tecnologías de la Información

Similar a La Gestión de Riesgos en las Tecnologías de la Información (20)

Más de PECB

Más de PECB (20)

Último

Último (20)

La Gestión de Riesgos en las Tecnologías de la Información