Cobit
Páginas: 28 (6966 palabras)
Publicado: 23 de enero de 2013
Resumen: Caso de estudio de Gobernanza de TI
COBIT
[Type the author name]
Materia: Modelos y Estándares
Caso de Estudio Using COBIT to Aid in Hospital Risk Management
Situación:
En las instituciones médicas, puede ser un arma de doble filo: puede mitigar el riesgo y sin embargo, ser un factor de riesgo importante. Sin un manejo adecuado del riesgo operacional, la gestión del riesgo seproducirá un error. COBIT es un enfoque esencial para las instituciones médicas para implementar sistemas de información hospitalarios totales y gestionar el riesgo operacional.
Proceso COBIT que deben implementar:
Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI, estrategias de mitigación yriesgos residuales acordados. Cualquier impacto potencial sobre las metas de la organización, causado por algún evento no planeado se debe identificar, analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluación debe ser entendible para los participantes y se debe expresar en términosfinancieros, para permitir a los participantes alinear los riesgos a un nivel aceptable de tolerancia.
Puntualmente utilizar la sección PO9.3 Identificación de eventos, PO9.4 IT Evaluación de riesgos y PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos.
Recomendación:
Debido a la delicadeza del tema ya que estamos involucrados con el tratamiento de vidas, es indispensable llevar a cabo unplan detalla de mitigación de riesgos.
Proceso: Evaluar y administrar los riesgos de TI
PROCEDIMIENTO GENERAL
P09
Dominio:
Planear y Organizar.
COBIT 5
CASO:
Hospital Risk Management
I. OBJETIVO
Se deben adoptar estrategias de mitigación de riesgos para minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluación debe ser entendible para losparticipantes y se debe expresar en términos financieros, para permitir a los participantes alinear los riesgos a un nivel aceptable de tolerancia.
II. ALCANCE
Con este proceso se pretende establecer medidas conjuntas, para que tanto los servicios TI como los relacionados a él, alcancen un nivel de madurez tal, que asegure tanto al hospital como los usuarios que los riesgos serán mínimos yde existirlos será fácilmente de mitigar.
III. DEFINICIONES
* Seguridad Informática: es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida).
* Amenazas: son los problemas más vulnerables que afectan a la información de la organización.
* Plan de seguridad informática:Esta tiene como finalidad definir los lineamientos para promover la planeación, el diseño e implantación de un modelo de seguridad con el fin de establecer una cultura de seguridad en la organización.
IV. PROCEDIMINETOS Y ACTIVIDADES
PO9.3 Identificación de eventos
Propósito:
Identificar todos aquellos eventos (amenazas y vulnerabilidades) con un impacto potencial sobre las metaso las operaciones de la empresa, aspectos de negocio, regulatorios, legales, tecnológicos, de sociedad comercial, de recursos humanos y operativos.
Actividades:
Determinar la naturaleza del impacto – positivo, negativo o ambos – y dar mantenimiento a esta información.
Entradas:
Salidas:
PO9.4 IT Evaluación de riesgos
Propósito:
Evaluar de forma recurrente la posibilidad eimpacto de todos los riesgos identificados, usando métodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual, por categoría y con base en el portafolio.
Actividades:
Llevar a cabo investigaciones periódicas sobre los impactos que pueden generar los riesgos previamente identificado, vulnerabilidades, etc....
COBIT
[Type the author name]
Materia: Modelos y Estándares
Caso de Estudio Using COBIT to Aid in Hospital Risk Management
Situación:
En las instituciones médicas, puede ser un arma de doble filo: puede mitigar el riesgo y sin embargo, ser un factor de riesgo importante. Sin un manejo adecuado del riesgo operacional, la gestión del riesgo seproducirá un error. COBIT es un enfoque esencial para las instituciones médicas para implementar sistemas de información hospitalarios totales y gestionar el riesgo operacional.
Proceso COBIT que deben implementar:
Crear y dar mantenimiento a un marco de trabajo de administración de riesgos. El marco de trabajo documenta un nivel común y acordado de riesgos de TI, estrategias de mitigación yriesgos residuales acordados. Cualquier impacto potencial sobre las metas de la organización, causado por algún evento no planeado se debe identificar, analizar y evaluar. Se deben adoptar estrategias de mitigación de riesgos para minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluación debe ser entendible para los participantes y se debe expresar en términosfinancieros, para permitir a los participantes alinear los riesgos a un nivel aceptable de tolerancia.
Puntualmente utilizar la sección PO9.3 Identificación de eventos, PO9.4 IT Evaluación de riesgos y PO9.6 Mantenimiento y monitoreo de un plan de acción de riesgos.
Recomendación:
Debido a la delicadeza del tema ya que estamos involucrados con el tratamiento de vidas, es indispensable llevar a cabo unplan detalla de mitigación de riesgos.
Proceso: Evaluar y administrar los riesgos de TI
PROCEDIMIENTO GENERAL
P09
Dominio:
Planear y Organizar.
COBIT 5
CASO:
Hospital Risk Management
I. OBJETIVO
Se deben adoptar estrategias de mitigación de riesgos para minimizar los riesgos residuales a un nivel aceptable. El resultado de la evaluación debe ser entendible para losparticipantes y se debe expresar en términos financieros, para permitir a los participantes alinear los riesgos a un nivel aceptable de tolerancia.
II. ALCANCE
Con este proceso se pretende establecer medidas conjuntas, para que tanto los servicios TI como los relacionados a él, alcancen un nivel de madurez tal, que asegure tanto al hospital como los usuarios que los riesgos serán mínimos yde existirlos será fácilmente de mitigar.
III. DEFINICIONES
* Seguridad Informática: es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con esta (incluyendo la información contenida).
* Amenazas: son los problemas más vulnerables que afectan a la información de la organización.
* Plan de seguridad informática:Esta tiene como finalidad definir los lineamientos para promover la planeación, el diseño e implantación de un modelo de seguridad con el fin de establecer una cultura de seguridad en la organización.
IV. PROCEDIMINETOS Y ACTIVIDADES
PO9.3 Identificación de eventos
Propósito:
Identificar todos aquellos eventos (amenazas y vulnerabilidades) con un impacto potencial sobre las metaso las operaciones de la empresa, aspectos de negocio, regulatorios, legales, tecnológicos, de sociedad comercial, de recursos humanos y operativos.
Actividades:
Determinar la naturaleza del impacto – positivo, negativo o ambos – y dar mantenimiento a esta información.
Entradas:
Salidas:
PO9.4 IT Evaluación de riesgos
Propósito:
Evaluar de forma recurrente la posibilidad eimpacto de todos los riesgos identificados, usando métodos cualitativos y cuantitativos. La posibilidad e impacto asociados a los riesgos inherentes y residuales se debe determinar de forma individual, por categoría y con base en el portafolio.
Actividades:
Llevar a cabo investigaciones periódicas sobre los impactos que pueden generar los riesgos previamente identificado, vulnerabilidades, etc....
Leer documento completo
Regístrate para leer el documento completo.