Gestión De Riesgos De Activos Ti
Páginas: 7 (1582 palabras)
Publicado: 1 de septiembre de 2011
Introducción
La Gestión de Riesgos Institucional (GRI / ERM - Enterprise Risk Management) es la gestión sistemática y formal del riesgo para reducir las pérdidas y capitalizar las oportunidades. El ERM incluye todos los riesgos que pueden impactar en la organización, sean estos naturales, financieros, estratégicos y operativos. La Gestión de Riesgos Operativos (GRO / ORM – Operational RiskManagement), bajo responsabilidad de la Gerencia de riesgos, abarca los riesgos de las operaciones y las amenazas a la seguridad de los activos. Mientras que la Gestión de Riesgos de Tecnologías v de Información (GRTI / ITRM – IT Risk Mangement), a cargo de la SG de Riesgos de TI (inmersa en la Gerencia de TI), comprende los riesgos de valor, de proyectos y de servicios / activos TI. Es importanteprecisar que la GRTI se realiza en procura del cumplimiento del Objetivo Estratégico Institucional “N° 10 - Contar con procesos internos modernos en los que prime la gestión integral de riesgos, la continuidad operativa, la orientación al usuario, la mejora continua y el cumplimiento de metas”.
El proceso GRTI está definido siguiendo los lineamientos del modelo de mejora continuaPlan-Do-Check-Act (PDCA) y los lineamientos de dos estándares: El Australiano / Neozelandés AS/NZS 4360:2004[1] y el español MAGERIT[2] – “Metodología de análisis y gestión de riesgos de los sistemas de información”. Comprende la identificación, evaluación, tratamiento, monitoreo y control de riesgos. Si bien inicialmente se focalizó en los riesgos de seguridad de activos TI, luego está siendo ampliado paraabordar los riesgos relacionados con los proyectos, insuficiente valor de TI, incumplimiento regulatorio y no alineación de TI con la organización. Para ello se está siguiendo los lineamientos del modelo ISACA Risk IT, el estándar genérico ISO 31000:2009 – “Gestión de Riesgos: Principios y guía de implementación” (derivado del AS/NZS 4360:2004), y el estándar específico ISO 27005:2008 – “Gestión deriesgos de seguridad de la información”.
El documento presenta los resultados del proceso de GRTI al cierre del ejercicio 2010, incluyendo el nivel de riesgo de los servicios / activos y los respectivos controles o medidas de mitigación, así como, los riesgos en proyectos y procesos TI. El documento está organizado en cuatro (4) partes: La Parte 1, presenta la organización y los procesos deTI, con énfasis en el proceso de gestión de riesgos de TI. La Parte 2, presenta los riesgos de los proyectos relevantes. La parte 3, la relación de servicios y activos TI, incluyendo su descripción, infraestructura de soporte y controles actuales. Y la parte 4, presenta la relación de los principales controles a implementar / mantener, tanto comunes y específicos, siendo los primeros de especialatención debido a que impactan en un grupo de activos.
Análisis de riesgos de TI
El proceso de análisis de riesgos TI, ilustrado en la figura 1, ha sido definido con base en los referentes AS/NZS 4360:2004 y MAGERIT. Este comprende la identificación, análisis y evaluación de riesgos de los activos TI. El tratamiento de riesgos, que incluye la implementación, uso y monitoreo de los controleso salvaguardas, está a cargo del sub proceso de gestión de seguridad TI, que viene alineándose con el estándar ISO/IEC 27001:2005.
Figura 1. Proceso de Análisis de Riesgos de TI
[pic]
Para el análisis y evaluación de riesgos TI, en adición a la matriz de servicios – activos TI, son de gran importancia los informes de vulnerabilidades, informes de seguimiento de riesgos y repositorio deincidentes. El resultado es el “Informe de Riesgos de TI”, que establece el modo de tratamiento de riesgos y los controles para cada uno de los activos. Este es el principal insumo para la elaboración del “Plan de Tratamiento de Riesgos de TI”.
1 Amenazas y vulnerabilidades
Como se aprecia en la Figura 2, los activos están expuestos a eventos adversos o amenazas, que puede desencadenar un...
La Gestión de Riesgos Institucional (GRI / ERM - Enterprise Risk Management) es la gestión sistemática y formal del riesgo para reducir las pérdidas y capitalizar las oportunidades. El ERM incluye todos los riesgos que pueden impactar en la organización, sean estos naturales, financieros, estratégicos y operativos. La Gestión de Riesgos Operativos (GRO / ORM – Operational RiskManagement), bajo responsabilidad de la Gerencia de riesgos, abarca los riesgos de las operaciones y las amenazas a la seguridad de los activos. Mientras que la Gestión de Riesgos de Tecnologías v de Información (GRTI / ITRM – IT Risk Mangement), a cargo de la SG de Riesgos de TI (inmersa en la Gerencia de TI), comprende los riesgos de valor, de proyectos y de servicios / activos TI. Es importanteprecisar que la GRTI se realiza en procura del cumplimiento del Objetivo Estratégico Institucional “N° 10 - Contar con procesos internos modernos en los que prime la gestión integral de riesgos, la continuidad operativa, la orientación al usuario, la mejora continua y el cumplimiento de metas”.
El proceso GRTI está definido siguiendo los lineamientos del modelo de mejora continuaPlan-Do-Check-Act (PDCA) y los lineamientos de dos estándares: El Australiano / Neozelandés AS/NZS 4360:2004[1] y el español MAGERIT[2] – “Metodología de análisis y gestión de riesgos de los sistemas de información”. Comprende la identificación, evaluación, tratamiento, monitoreo y control de riesgos. Si bien inicialmente se focalizó en los riesgos de seguridad de activos TI, luego está siendo ampliado paraabordar los riesgos relacionados con los proyectos, insuficiente valor de TI, incumplimiento regulatorio y no alineación de TI con la organización. Para ello se está siguiendo los lineamientos del modelo ISACA Risk IT, el estándar genérico ISO 31000:2009 – “Gestión de Riesgos: Principios y guía de implementación” (derivado del AS/NZS 4360:2004), y el estándar específico ISO 27005:2008 – “Gestión deriesgos de seguridad de la información”.
El documento presenta los resultados del proceso de GRTI al cierre del ejercicio 2010, incluyendo el nivel de riesgo de los servicios / activos y los respectivos controles o medidas de mitigación, así como, los riesgos en proyectos y procesos TI. El documento está organizado en cuatro (4) partes: La Parte 1, presenta la organización y los procesos deTI, con énfasis en el proceso de gestión de riesgos de TI. La Parte 2, presenta los riesgos de los proyectos relevantes. La parte 3, la relación de servicios y activos TI, incluyendo su descripción, infraestructura de soporte y controles actuales. Y la parte 4, presenta la relación de los principales controles a implementar / mantener, tanto comunes y específicos, siendo los primeros de especialatención debido a que impactan en un grupo de activos.
Análisis de riesgos de TI
El proceso de análisis de riesgos TI, ilustrado en la figura 1, ha sido definido con base en los referentes AS/NZS 4360:2004 y MAGERIT. Este comprende la identificación, análisis y evaluación de riesgos de los activos TI. El tratamiento de riesgos, que incluye la implementación, uso y monitoreo de los controleso salvaguardas, está a cargo del sub proceso de gestión de seguridad TI, que viene alineándose con el estándar ISO/IEC 27001:2005.
Figura 1. Proceso de Análisis de Riesgos de TI
[pic]
Para el análisis y evaluación de riesgos TI, en adición a la matriz de servicios – activos TI, son de gran importancia los informes de vulnerabilidades, informes de seguimiento de riesgos y repositorio deincidentes. El resultado es el “Informe de Riesgos de TI”, que establece el modo de tratamiento de riesgos y los controles para cada uno de los activos. Este es el principal insumo para la elaboración del “Plan de Tratamiento de Riesgos de TI”.
1 Amenazas y vulnerabilidades
Como se aprecia en la Figura 2, los activos están expuestos a eventos adversos o amenazas, que puede desencadenar un...
Leer documento completo
Regístrate para leer el documento completo.