Gestion De Riesgos
Páginas: 5 (1083 palabras)
Publicado: 27 de mayo de 2012
GESTION DE RIESGOS
GESTIÓN DE RIESGOS BAJO LA NORMA AS/NZS 4360
ESTABLECER EL CONTEXTO COMU UNICAR Y CONSULTA AR
IDENTIFICAR RIESGOS
ANÁLIZAR RIESGOS
EVALUAR RIESGOS
TRATAR EL RIESGO
1.- ESTABLECER EL CONTEXTO
• Establecer el contexto estratégico
– Aspectos financieros, operativos, competitivos, políticos, sociales, y legales
• Establecer el contexto organizacional– FODA
• Establecer el contexto de la administración de riesgos • Desarrollar criterios para evaluación de riesgos • Definir la estructura
2.- IDENTIFICAR RIESGOS
• Que puede suceder? (ver Anexo D)
– a) Relaciones comerciales y legales
• Entre la organización y otras organizaciones, ej: proveedores, subcontratistas, arrendatarios.
– b) Circunstancias económicas
• De la organización, pg país, internacionales, como asimismo factores q contribuyen a que y esas circunstancias ej: tipos de cambio.
– c) Comportamiento humano
• Tanto de los involucrados en la organización como de los que no lo están.
– d) Eventos naturales – e) Circunstancias políticas
• Incluyendo cambios legislativos y factores que pudieran influenciar a otras fuentes de riesgo.
– – – –
f) Aspectostecnológicos y técnicos Tanto internos como externos a la organización. g g) Actividades y controles gerenciales h) Actividades individuales
• •
Como y por que puede suceder? Herramientas: listados, software, lluvia de ideas
3.- ANALIZAR RIESGOS
• • • •
Inventario de riesgos Determinar controles existentes – CSA Consecuencias y probabilidades C i b bilid d Tipos de análisis
–Cualitativo, cuantitativo, mixto
4.- EVALUAR DE RIESGOS
• Matriz de riesgo • Conjugación de impacto: legal, financiero, económico, etc. económico etc • Comparación contra indicadores estadísticos. t dí ti
5.- TRATAR DE RIESGOS
• Identificar Opciones
– No hacer nada – Evitar el riesgo – Reducir la probabilidad de ocurrencia – Reducir las consecuencias – Transferir – Mitigar
• Evaluaropciones • Preparar planes de tratamiento
MONITOREO, REVISION Y COMUNICACION
• Autocontrol • Revisiones independientes
– PMI – Panel de mando integral – SAO – Sistemas de alerta oportuna
• • • • •
Retroalimentación Reportes Gerenciales Reuniones de seguimiento Por etapas Por indicadores de criticidad alcanzados
PROYECTO ISACA
ENFOQUE DE GESTION DE RIESGOS COBIT
MODELOSDE MADUREZ
• 0 No existente – no toma en cuenta los impactos en el negocio asociados a las vulnerabilidades de seguridad y a las incertidumbres del desarrollo de proyectos. – La administración de riesgos no se ha identificado como algo relevante para adquirir soluciones de TI y para prestar servicios de TI 1 Inicial/Ad Hoc – Se realizan evaluaciones informales de riesgos según lo determine cadaproyecto. – En algunas ocasiones se identifican evaluaciones de riesgos en un p g g plan de p y proyectos p pero se asignan a gerentes específicos con poca frecuencia. Los riesgos específicos relacionados con TI tales como seguridad, disponibilidad e integridad se toman en cuenta ocasionalmente proyecto por proyecto. Los riesgos relativos a TI que afectan las operaciones del día con día, son raravez discutidas en reuniones gerenciales. – Cuando se toman en cuenta los riesgos, la mitigación es inconsistente. Existe un entendimiento emergente de que los riesgos de TI son importantes y necesitan ser considerados. 2 Repetible pero intuitiva – cuando Existe un enfoque de evaluación de riesgos inmaduro y en evolución y se implanta a discreción de los gerentes de proyecto. – La administración deriesgos se da por lo general a altos niveles y se aplica de manera típica solo a proyectos grandes o como respuesta a problemas. 3 Proceso definido – cuando Una política de administración de riesgos para toda la organización define cuándo y cómo realizar las evaluaciones de riesgos. – La administración de riesgos sigue un proceso definido el cual está documentado documentado. – El entrenamiento...
GESTIÓN DE RIESGOS BAJO LA NORMA AS/NZS 4360
ESTABLECER EL CONTEXTO COMU UNICAR Y CONSULTA AR
IDENTIFICAR RIESGOS
ANÁLIZAR RIESGOS
EVALUAR RIESGOS
TRATAR EL RIESGO
1.- ESTABLECER EL CONTEXTO
• Establecer el contexto estratégico
– Aspectos financieros, operativos, competitivos, políticos, sociales, y legales
• Establecer el contexto organizacional– FODA
• Establecer el contexto de la administración de riesgos • Desarrollar criterios para evaluación de riesgos • Definir la estructura
2.- IDENTIFICAR RIESGOS
• Que puede suceder? (ver Anexo D)
– a) Relaciones comerciales y legales
• Entre la organización y otras organizaciones, ej: proveedores, subcontratistas, arrendatarios.
– b) Circunstancias económicas
• De la organización, pg país, internacionales, como asimismo factores q contribuyen a que y esas circunstancias ej: tipos de cambio.
– c) Comportamiento humano
• Tanto de los involucrados en la organización como de los que no lo están.
– d) Eventos naturales – e) Circunstancias políticas
• Incluyendo cambios legislativos y factores que pudieran influenciar a otras fuentes de riesgo.
– – – –
f) Aspectostecnológicos y técnicos Tanto internos como externos a la organización. g g) Actividades y controles gerenciales h) Actividades individuales
• •
Como y por que puede suceder? Herramientas: listados, software, lluvia de ideas
3.- ANALIZAR RIESGOS
• • • •
Inventario de riesgos Determinar controles existentes – CSA Consecuencias y probabilidades C i b bilid d Tipos de análisis
–Cualitativo, cuantitativo, mixto
4.- EVALUAR DE RIESGOS
• Matriz de riesgo • Conjugación de impacto: legal, financiero, económico, etc. económico etc • Comparación contra indicadores estadísticos. t dí ti
5.- TRATAR DE RIESGOS
• Identificar Opciones
– No hacer nada – Evitar el riesgo – Reducir la probabilidad de ocurrencia – Reducir las consecuencias – Transferir – Mitigar
• Evaluaropciones • Preparar planes de tratamiento
MONITOREO, REVISION Y COMUNICACION
• Autocontrol • Revisiones independientes
– PMI – Panel de mando integral – SAO – Sistemas de alerta oportuna
• • • • •
Retroalimentación Reportes Gerenciales Reuniones de seguimiento Por etapas Por indicadores de criticidad alcanzados
PROYECTO ISACA
ENFOQUE DE GESTION DE RIESGOS COBIT
MODELOSDE MADUREZ
• 0 No existente – no toma en cuenta los impactos en el negocio asociados a las vulnerabilidades de seguridad y a las incertidumbres del desarrollo de proyectos. – La administración de riesgos no se ha identificado como algo relevante para adquirir soluciones de TI y para prestar servicios de TI 1 Inicial/Ad Hoc – Se realizan evaluaciones informales de riesgos según lo determine cadaproyecto. – En algunas ocasiones se identifican evaluaciones de riesgos en un p g g plan de p y proyectos p pero se asignan a gerentes específicos con poca frecuencia. Los riesgos específicos relacionados con TI tales como seguridad, disponibilidad e integridad se toman en cuenta ocasionalmente proyecto por proyecto. Los riesgos relativos a TI que afectan las operaciones del día con día, son raravez discutidas en reuniones gerenciales. – Cuando se toman en cuenta los riesgos, la mitigación es inconsistente. Existe un entendimiento emergente de que los riesgos de TI son importantes y necesitan ser considerados. 2 Repetible pero intuitiva – cuando Existe un enfoque de evaluación de riesgos inmaduro y en evolución y se implanta a discreción de los gerentes de proyecto. – La administración deriesgos se da por lo general a altos niveles y se aplica de manera típica solo a proyectos grandes o como respuesta a problemas. 3 Proceso definido – cuando Una política de administración de riesgos para toda la organización define cuándo y cómo realizar las evaluaciones de riesgos. – La administración de riesgos sigue un proceso definido el cual está documentado documentado. – El entrenamiento...
Leer documento completo
Regístrate para leer el documento completo.