Modelo de Control para la

Administracin de Riesgos de TI
MsC. Carlos Zamora Sotelo, CISA, CISM

Agenda
1. Objetivo de la Sesin.
2. La Administracin de Riesgos en la Estrategia de
Negocios.
3. El papel de la administracin de riesgos de Tecnologa de
Informacin como parte de la estrategia de la Gestin del
Riesgo en la Organizacin.
4. Elementos que deben conformar un modelo de
administracin de Riesgos de TI.
5. Modelo o marco de trabajo para realizar un modelo de
Administracin y control de Riesgos de TI.

Agenda
5. Premisas para la realizacin de un proceso de anlisis y
evaluacin de riesgos desde el punto de vista de un
modelo de control.
6. Marco metodolgico sugerido para desarrollar un modelo
de control interno en Tecnologa en materia de
Administracin de Riesgos.
7. Cmo justificar el desarrollo y aplicacin de un modelo de
control para la gestin de riesgos de Tecnologa.
8. Requerimientos y Factores crticos de xito para el logro
de objetivos del modelo de gestin de riesgos.
9.

Anlisis de un caso de estudio.

Agenda
10. Conclusiones del Caso de Estudio
11. Respuestas a las Preguntas ms frecuentes

Objetivo de la Sesin
Establecer el modelo de Control de Tecnologa
de Informacin para la Identificacin, Anlisis,
Evaluacin, Disminucin de Riesgos de
Tecnologa de Informacin.
Contar con mtricas e indicadores de riesgos
tpicos de un rea de Tecnologa de
Informacin.
Conocer una estrategia real de aplicacin de un
modelo de control para la administracin de
Riesgos de Tecnologa de Informacin.

Proceso de Administracin de Riesgos de T.I.

Anlisis
y
Evaluacin

Mitigacin
Aceptacin

Implementar
Medidas
de Control

Evaluacin
y
Seguimiento

Procesos

Activos
de la
Organizacin

Proyectos
Sistemas Aplicativos

Sistemas Operativos

Informacin
Comunicaciones
Operaciones de Cmputo

Infraestructura HW, SW, DBMS, Red

La Administracin de Riesgos en la Estrategia del Negocio

Reducir y
Controlar
Riesgo
Negocio/
Financiero

Gobierno Corporativo & Gobierno de TI

Optimizar

ESTRATEGIA
Maximizar
Productividad
de las reas

Generar Costos
Competitivos

Maximizar
Creacin de Valor

Aumentar
Retorno

Inversin
Rentabilidad
Transparencia

PROCESOS

Riesgo
Operativo /
Funcional

Aumentar Formalizacin y Control Interno

Incrementar
Manejo de
Calidad

Optimizar
Procesos Crticos
y de Soporte

Alinear
Estrategias
por rea

Mayor Flexibilidad,
Robustez en la
Cadena de Valor

Desempeo
Seguimiento
Confiabilidad

MODELO
TECNOLGICO/INFORMACIN

Riesgo
Tecnolgico

Estandarizar
Plataformas
y Arquitecturas

Integrar
Metodologas
y Estndares

Asegurar
Niveles
de Servicio

Incrementar Seguridad

Modelo Integral de Administracin de Riesgos

Adecuar
Tecnologas
Emergentes

Innovacin
Flexibilidad
Disponibilidad

La Administracin de Riesgos en la Estrategia del Negocio

PROCESOS CRTICOS DEL NEGOCIO
ECPF

Estado de
Resultados

EVCC

Notas

otros

Procesos de Negocio/Tipos de Transacciones

Proceso A

Proceso B

Proceso C

SISTEMAS APLICATIVOS CRTICOS DE NEGOCIO

Aplicacin A

Aplicacin B

Aplicacin C

Controles Generales
de TI

Desarrollo de Programas
Cambios de Programas
Operacin de
Computadoras
Acceso a Programas y
Datos
Ambiente de Control

Servicios de Infraestructura de TI
Base de Datos
Sistemas Operativos
Red

Control de
Aplicaciones

Totalidad
Exactitud
Validez
Autorizacin
Segregacin de
Funciones

EL PAPEL DE LA ADMINISTRACIN DE RIESGOS DE

TECNOLOGA DE INFORMACIN EN LA GESTIN DE
RIESGOS EN LA ORGANIZACIN
Anlisis
y
Evaluacin

Mitigacin
Aceptacin

Implementar
Medidas
de Control

Evaluacin
y
Seguimiento

Procesos

Riesgo Operativo
Riesgo Legal

Riesgo de Crdito
Clasificacin
de
Informacin

Riesgo de Liquidez
Riesgo de Mercado

Riesgo Tecnolgico

ELEMENTOS QUE CONFORMAN UN MODELO DE GESTIN DE

RIESGOS DE T.I.
Anlisis
y
Evaluacin

Mitigacin
Aceptacin

Implementar
Medidas
de Control

Evaluacin
y
Seguimiento

Clasificacin
de
Informacin

Proyectos

Comunicaciones
Riesgo de Tecnologa
de Informacin

Sistemas Aplicativos

Operaciones de Cmputo
Infraestructura HW, SW, DBMS, Red

Proceso de Administracin de Riesgos de T.I.

Anlisis
y
Evaluacin

Toma de
Decisiones

Implementar
Medidas
de Control

Anlisis de
Procesos

Anlisis
Costo/Beneficio

Definir Funciones

Establecer Base
de Datos Histrica

Clasificacin de
Activos

Determinar
Accin vs. Riesgo

Implementar
Polticas

Evaluacin del
Proceso

Identificar
Amenazas

Establecer
Estrategia de Control

Implementar
Procedimientos

Verificar Procs.
de Monitoreo y Control

Identificar
Vulnerabilidades

Identificar
Polticas y Proc.

Inst. Mecanismos
de Monitoreo y Control

Revisin a los
Datos y Registros

Identificar
Ocurrencias

Identificar
Estndares

Definir respuestas a
Incidentes

Evaluacin de
Seguridad

Identificar
Impacto

Id. Tcnicas y
Metodologas

Comunicar y
Educar

Auditora Interna

Calificar
Cualitativamente

Establecer
Indicadores

Calificar
Cuantitativamente

Establecer Lmites

Medicin
y
Seguimiento

Auditora Externa

Marco de Trabajo para el modelo de Administracin

de Riesgos de T.I.
MEDIDAS DE PREVENCIN
MEDIDAS DE RESPUESTA

Segregacin de Funciones

Re-establecimiento de los servicios de

Control de cambios
Tecnologa
Administracin de identidades y accesos basados en

Planes de recuperacin y continuidad de

roles
negocio
Diseo y control de la Arquitectura Tecnolgica
Seguridad en la operacin de sistemas de informacin CUMPLIMIENTO
Administracin de la Seguridad en los Sistemas
Operacin de la Seguridad de la Red

Polticas, Procedimientos y estndares

Administracin de la Seguridad de la Red

Monitoreo de regulaciones y alineamiento de

procesos de conformidad con la normatividad
Medidas de respaldo

Implementacin de informes de cumplimiento

Negociacin de contratos con terceros
hacia la autoridad
Establecimiento y administracin de Niveles de Servicio

MEDIDAS DE DETECCIN

Administracin y respuestas ante la identificacin de

accesos
Integridad de procesamiento y datos
Monitoreo de Accesos
Generacin de reportes de control de Accesos
Identificacin y respuesta ante Fraudes

GOBIERNO (IT GOVERNANCE)

Generacin, implantacin y medicin de

mtricas de desempeo
Alineamiento y soporte entre los riesgos de
negocio y los riesgos tecnolgicos

Aplicacin de los Factores de Riesgo

PREVENCION

Riesgos para:
C
I
A

Segregacin de Puestos
Control de Cambios
Administracin de identidades y accesos basados en roles

Diseo y Control de Arquitectura Tecnolgica

Operacin de la Seguridad de Sistemas
Administracin de Seguridad de Sistemas de Inf.
Operaciones de Seguridad de la Red
Administracin de Seguridad de la Red
Controles de Respaldo y Recuperacin de Operaciones

Negociacin de contratos con Terceros

Administracin y Monitoreo de Niveles de Servicio
Control Technology R&D

Deteccin
Identificacin de Incidentes y respuestas ante los mismos

C= Comunicaciones, I= Infraestructura, A= Aplicaciones

Anlisis
y
Evaluacin
Anlisis de
Procesos
PROMOCIN
Y
Comercializacin

Proceso de Administracin de Riesgos de T.I.

MODELO DE PROCESOS DE UNA COMPAA DE SEGUROS
EVALUACIN
TCNICA

EMISIN

ATENCIN
DE
SINIESTROS
Recepcin de
Reporte de
Siniestro

Anlisis Tcnico
De Aceptacin de
Riesgos

Recibe
Autorizacin de
reas Tcnicas
Suscripcin
De
Riesgos

Evaluacin
De la
documentacin

Elaboracin de
Reporte Tcnico

Entrega de
Poliza

Evaluacin del
Siniestro

Cotizacin

Anlisis de
Reaseguro

Dictamen del
Siniestro

Autorizacin de
Emisin

Pago del
Siniestro

Contacto
con el cliente

Recepcin de
Solicitud

Solicitud de
Documentacin

Salidas:

Atencin del
Siniestro

Aceptacin de
Finiquito

Contrato de servicios (Piliza de Seguro)

Estado de Cuenta de Agentes
Emisin y renovacin de las Polizas emitidas
Estados Financieros para el consejo de administracin.
Informes y reportes financieros y de operacin para entidades
gubernamentales y regulatorias
Pagos a Asegurados por concepto de Siniestros
Pagos por concepto de Contratacin de Productos y Servicios

SOPORTE
DE
SISTEMAS

ADMON
DE
RECURSOS
HUMANOS

ADMON
DE
RIESGOS

SOPORTE
CUENTAS
ESPECIALES

SERVICIOS
GENERALES

AUDITORA
INTERNA

ADMON
Y
FINANZAS

Objetivo:
Administrar los riesgos propios de la Compaa y de sus clientes, a
travs de la evaluacin Tcnica, emisin y atencin de siniestros,
asesorando, controlando y manteniendo de manera eficiente la posicin
financiera y contable de los recursos y activos de Compaa

Entradas:
Solicitud de producto y servicios de administracin de riesgos sobre
activos de terceros.
Documentacin requerida para registro de alta, baja o modificacin
de datos de clientes y sus activos.
Instrucciones de operacin (aceptacin, reaseguro y atencin de
siniestros) de los riesgos de suo de sus clientes
Solicitud de Transferencia de Riesgos a travs de traslado de
servicios.
Ingresos por concepto de Pago de Primas
Ingresos por concepto recuperaciones
Ingresos por venta de salvamentos
Ingresos por Reaseguro
Ingresos por Venta de Activo Fijo
Ingresos por Servicios en General
Ingresos por Administracin de las Inversiones

Anlisis
y
Evaluacin

Proceso de Administracin de Riesgos de T.I.

Clasificacin de
Los activos
PROMOCIN
Y
Comercializacin

EVALUACIN
TCNICA

CLASIFICACIN DE LOS ACTIVOS DE INFORMACIN

EMISIN

ATENCIN
DE
SINIESTROS

Despus de un anlisis con el Consejo de

Administracin y de reuniones con los
Dueos de cada uno de los procesos se ha
determinado que la informacin de cada
uno de los proceso ha sido clasificada de la
siguiente Forma:

Contacto
con el cliente
Anlisis Tcnico
De Aceptacin de
Riesgos
Entrega de
Poliza
Dictamen del
Siniestro

C3 D4 I3
C1 D1 I2

C3 D4 I3
C3 D4 I3

Anlisis
y
Evaluacin
Identificar
Amenazas
PROMOCIN
Y
Comercializacin

Proceso de Administracin de Riesgos de T.I.

Identificar
Vulnerabilidades
EVALUACIN
TCNICA

EMISIN

Identificar
Ocurrencias
ATENCIN
DE
SINIESTROS
Recepcin de
Reporte de
Siniestro

Anlisis Tcnico
De Aceptacin de
Riesgos

Recibe
Autorizacin de
reas Tcnicas
Suscripcin
De
Riesgos

Evaluacin
De la
documentacin

Elaboracin de
Reporte Tcnico

Entrega de
Poliza

Evaluacin del
Siniestro

Cotizacin

Anlisis de
Reaseguro

Dictamen del
Siniestro

Autorizacin de
Emisin

Pago del
Siniestro

Contacto
con el cliente

Recepcin de
Solicitud

Solicitud de
Documentacin

Identificar
Impacto

SOPORTE
DE
SISTEMAS

ADMON
DE
RECURSOS
HUMANOS

ADMON
DE
RIESGOS

SOPORTE
CUENTAS
ESPECIALES

Calificar
Cualitativamente
SERVICIOS
GENERALES

AUDITORA
INTERNA

ADMON
Y
FINANZAS

Atencin del
Siniestro

Aceptacin de
Finiquito

BAJO

Despus de un anlisis con el Consejo de

Administracin y de reuniones con los
Dueos de cada uno de los procesos el
anlisis ha determinado que los procesos
de acuerdo a la naturaleza de la
informacin y al impacto han sido
calificados de la siguiente forma:
Menor

Moderado

Alto

Proceso de Administracin de Riesgos de T.I.

Anlisis
y
Evaluacin

Mitigacin
Aceptacin

Implementar
Medidas
de Control

Evaluacin
y
Seguimiento

Anlisis de
Procesos

Analisis
Costo/Beneficio

Def. Segregacin
De Funciones

Auto evaluacin
CSA

Clasificacin de
Los activos

Determinar
Accin Vs Riesgo

Implementar
Polticas

Verif. Mecanismos
De Monitoreo Cont.

Identificar
Amenazas

Establecer
Estrategia de Ctrl

Implementar
Procedimientos

Revisin a los
Datos y Registros

Identificar
Vulnerabilidades

Identificar
Polticas y Proced.

Inst. Mecanismos
De Monitoreo Cont.

Evaluacin de
Seguridad

Identificar
Ocurrencias

Identificar
Estndares

Def. Respuestas a
Incidentes

Auditora Interna

Identificar
Impacto

Id. Tcnicas y
Metodologas

Comunicar y
Educar

Auditora Externa

Calificar
Cualitativamente
Calificar
Cuantitativamente

Proceso de Administracin de Riesgos de T.I.

Anlisis
y
Evaluacin

Equipo de Trabajo

Anlisis de
Procesos
Clasificacin de
Los activos

Dueo del Activo o Custodio

Identificar
Amenazas

Administrador de Riesgos

Identificar
Vulnerabilidades

Responsable de la Seguridad

Identificar
Ocurrencias

Auditor

Identificar
Impacto
Calificar
Cualitativamente
Calificar
Cuantitativamente

Usuarios

Anlisis
y
Evaluacin

Premisas para la Realizacin de un Proceso

de Anlisis de Riesgos
Planeacin y Preparacin
Desarrollar un plan de Proyecto & Equipo de Trabajo

Anlisis de
Procesos

Administrador de Riesgos
& Director de Negocio

Clasificacin de
Los activos

Actividades de Anlisis de Riesgo del Grupo

Identificar
Amenazas

Equipo de Trabajo y
Otros Expertos Calificados

Identificar
Vulnerabilidades
Identificar
Ocurrencias
Identificar
Impacto
Calificar
Cualitativamente
Calificar
Cuantitativamente

Obtener la Informacin

Identificar Amenazas
Equipo de Trabajo
especializado

Evaluar activos
y Amenazas
Equipo de Trabajo

Desarrollar escenarios
Equipo de Trabajo

Calificar cada
escenario
Equipo de Trabajo

Identificar Medidas de
Mitigacin de Riesgos
Equipo de Trabajo
Y Unidad de Negocio

Premisas para la Realizacin de un Proceso

de Anlisis de Riesgos
Que variables conforman el proceso de anlisis y
evaluacin de Riesgos ?
Quines participan en un anlisis y evaluacin de
Riesgos ?
Qu criterios utilizo para realizar un anlisis de
Riesgos ?
Con que periodicidad realizo un anlisis de Riesgos ?
Qu utilidad prctica tiene un anlisis de Riesgos ?

Premisas para la Realizacin de un Proceso

de Anlisis de Riesgos
Que variables conforman el proceso de anlisis y
evaluacin de Riesgos ?

Propietario o Custodio
Clasificacin del Activo
Determinar las amenazas
Determinar las Vulnerabilidades
Determinar el Impacto
Determinar la Probabiliad de Ocurrencia
Realizar la Clasificacin o Calificacin del Riesgo

Premisas para la Realizacin de un Proceso

de Anlisis de Riesgos
Quines participan en un anlisis y evaluacin de
Riesgos ?
Propietario o Custodio del Activo
Especialista en Riesgos (IRM, ORM)
Abogado del Diablo (Devils Advocate)
Auditora Interna
Especialistas Externos (Slo si aplica)

Premisas para la Realizacin de un Proceso

de Anlisis de Riesgos
Qu criterios utilizo para realizar un anlisis y
evaluacin de Riesgos ?
1. La Clasificacin del (los) Activos.
2. La Metodologa de Anlisis de Riesgos.
3. La importancia o relevancia en la operacin.
4. Identificar las etapas de anlisis y la etapa de
Evaluacin.

Marco Metodolgico sugerido

para desarrollar un modelo de Control Interno de
Gestin de Riesgos
MARCO NORMATIVO Y LEGAL APLICABLE

ANALISIS DE
LOS PROCESOS
CRTICOS DEL
NEGOCIO

EVALUACIN
DE RIESGOS
DE NEGOCIO

EVALUACIN
DE RIESGOS
DE T.I.

DEFINICIN
DE
POLTICAS
PROCED,
ESTANDARES

DEFINICIN
DE METRICAS
DE MEDICIN
TABLERO DE
CONTROL

ESTABLECER
TECNICAS DE
MONITOREO
CONTNUO

ANALISIS COSTO BENEFICIO DE CONTROLES VS IMPACTO

VALIDACIN Y SOPORTE ESTRATGICO A LOS OBJETIVOS DE NEGOCIO

...Recordar que la Gestin de Riesgos de Tecnologa es un Proceso

Ms en la organizacin que debe contar con Personal, Tcnicas,
Metodologas y un Marco Normativo aplicable..

Justificacin del Modelo de Riesgos

ROI Tradicional

Retorno Basado en Riesgos

Curva de Costos
Tangibles

Beneficios
Costos
Costo para la Empresa

Curva de Costos
Totales

Valor de Riesgo
Reducido

CI

Nivel de Inversin en Seguridad

Ao 1

Ao 2

Ao 3

Ao 4

Ao 5

Valor en Riesgo

Justificacin del Modelo de Riesgos

Calcular el valor en riesgo.
Estimar la ocurrencia de una amenaza.
Evaluar el costo de propiedad.
Calcular el valor de la reduccin del riesgo.

Justificacin del Modelo de Riesgos

1.

Identificar los objetivos y procesos de negocio.

2.

Identificar los activos (de informacin y digitales) que los soportan.

3.

Estimar el valor de los activos (VA) considerando elementos como

costo inicial, costo de mantenimiento, valor que representa para la
Compaa y/o valor que representa en el mercado para la
competencia.

4.

Identificar amenazas por activo.

5.

Identificar vulnerabilidades y el factor de exposicin (FE) por activo.

6.

Determinar la tasa de
vulnerabilidad por activo.

7.

Determinar la expectativa de prdida simple (EPS) multiplicando

VA por FE (por amenaza por activo).

8.

Determinar la expectativa de prdida anual (EPA) multiplicando la

TOA por la EPS (por amenaza por activo).

ocurrencia

anual

(TOA)

de

cada

Justificacin del Modelo de Riesgos

9.

Priorizar activos por EPA.

10. Disear soluciones por activo atendiendo a la priorizacin realizada

y buscando alineamiento a la Poltica Directriz de Seguridad de la
Informacin.
11. Estimar costo de soluciones
individuales y generales.

considerando

necesidades

12. Comparar costo de soluciones contra la EPA de cada activo.

13. Estimar la recuperacin de la inversin en funcin de la reduccin
de la EPA por activo.
14. Priorizar la ejecucin de soluciones.
15. Ejecutar plan.
16. Mantenerlo.

Requerimientos y Factores Crticos de xito para un

Desarrollo del Modelo de Gestin de Riesgos de T.I.
Desarrollar siempre el modelo considerando los procesos, objetivos
y estrategias de la Organizacin.
Involucrar siempre a las reas de negocio, financiera y legal de la
organizacin.
Tener a la mano estadsticas internas, externas y referencias de la
industria respecto a los riesgos de tecnologa del sector
Realizar ejercicios dinmicos para identificar
vulnerabiliades e impactos a la organizacin

amenazas,

Cuantificar el impacto Vs el costo de implementar el modelo de

control interno en Tecnologa
Involucrar siempre al rea financiera y Auditora.
Realizar el anlisis de Riesgos considerando siempre escenarios

Requerimientos y Factores Crticos de xito para un

Desarrollo del Modelo de Gestin de Riesgos de T.I.
Validar la calificacin de riesgo y la cuantificacin del
riesgo.
Generar el modelo de polticas, procedimientos,
mtricas y estndares asociados para mitigar los
riesgos
Desarrollar siempre el marco de monitoreo para la
prevencin y deteccin de Riesgos
Considerar siempre la inversin en capacitacin y
soporte externo.
Realizar sesiones de trabajo dinmicas para obtener
mejores resultados.

Proceso de Administracin de Riesgos de T.I.

Anlisis y
Evaluacin
de Riesgos
Anlisis de
Procesos
Clasificacin de
Los activos
Identificar
Amenazas
Identificar
Vulnerabilidades

Es un requerimiento y a la vez un factor

Crtico de xito para los siguientes
Procesos:
Desarrollo de una Estrategia y
Programa de Seguridad
Estudio de Factibilidad
Anlisis Costo-Beneficio ROI T.I.
Planeacin y Administracin de
La Capacidad

Identificar
Ocurrencias
Identificar
Impacto
Calificar
Cualitativamente
Calificar
Cuantitativamente

Administracin de Proyectos

Auditora

Requerimientos y Factores Crticos de xito para el logro

de Objetivos de un modelo de Gestin de Riesgos
Mitigacin
Aceptacin
Analisis
Costo/Beneficio
Determinar
Accin Vs Riesgo
Establecer
Estrategia de Ctrl
Identificar
Polticas y Proced.
Identificar
Estndares
Id. Tcnicas y
Metodologas

Polticas y Procedimientos de
Operacin de T.I.

ITIL
Polticas y Procedimientos de
Administracin
Polticas y Procedimientos de
Desarrollo, Mantenimiento y
Soporte
Polticas y Procedimientos de
Seguridad

CoBIT
CMM
ISO 17799

Estndares de Tecnologa

Polticas y Procedimientos de
Operacin y Administracin de T.I.
Mitigacin
Aceptacin
Analisis
Costo/Beneficio
Determinar
Accin Vs Riesgo
Establecer
Estrategia de Ctrl
Identificar
Polticas y Proced.
Identificar
Estndares
Id. Tcnicas y
Metodologas

Desarrollo de Sistemas
Compatibiliad e Interoperabilidad
Capacitacin al Personal de Sistemas
Capacitacin al los Usuarios
Perfiles de Software Institucional
Intercambio Electrnico de Datos
Evaluacin de Proyectos
Atencin de Usuarios
Desempeo del Personal
Uso y aprovechamiento del Software y Hardware Institucional
Evaluacin peridica de la funcin Informtica (Autoevaluacin de Control Interno)

Polticas y Procedimientos de
Operacin y Administracin de T.I.
Mitigacin
Aceptacin

Diseo y operacin de redes

Instalacin y explotacin de servicios de informacin
financiera
Explotacin y administracin de servicios de voz

Analisis
Costo/Beneficio
Determinar
Accin Vs Riesgo
Establecer
Estrategia de Ctrl
Identificar
Polticas y Proced.
Identificar
Estndares
Id. Tcnicas y
Metodologas

Administracin de Bases de Datos

Evaluacin y Seguimiento de aplicaciones
Administracin y manejo de errores
Implementacin y liberacin de requerimientos
Polticas a seguir antes y durante el proceso de
auditora.
Administracin Financiera de Sistemas
Manejo y contratacin de servicios de proveedores o
consultores externos
Elaboracin, autorizacin y seguimiento del
presupuesto de sistemas
Polticas para creacin y seguimiento de comits
Atencin de usuarios a travs del Help-Desk
Evaluacin de Riesgos

Polticas y Procedimientos de
Operacin y Administracin de T.I.
Mitigacin
Aceptacin
Analisis
Costo/Beneficio
Determinar
Accin Vs Riesgo
Establecer
Estrategia de Ctrl
Identificar
Polticas y Proced.
Identificar
Estndares
Id. Tcnicas y
Metodologas

Justificacin de Proyectos
Administracin de Proyectos
Niveles de Servicio e Indicadores de Desempeo
Organizacin y Administracin de Personal de
Sistemas
Planeacin Estratgica de Sistemas
Direccin Tecnolgica
Administracin y control de cambios
Administracin de operaciones
Administracin de Instalaciones
Administracin de Problemas e incidentes
Administracin de Datos e Informacin
Evaluacin y seguimiento de procesos del rea
de informtica
Autoevaluacin de Control Interno

Polticas y Procedimientos de
Seguridad de T.I.
Mitigacin
Aceptacin
Analisis
Costo/Beneficio
Determinar
Accin Vs Riesgo
Establecer
Estrategia de Ctrl
Identificar
Polticas y Proced.
Identificar
Estndares
Id. Tcnicas y
Metodologas

Administracin y Control de Activos Informticos

Autenticacin y Control de Accesos
Respaldo y Restauracin de Informacin
Administracin de la Continuidad de Negocio
Manejo y Administracin de Equipos de Cmputo
Clasificacin de Datos y Activos
Separacin y Desechos de Equipo, Dispositivos y
Medios de Respaldo
Comercio Electrnico
Encripcin de Informacin
Cmputo de Usuario Final
Conexiones Externas

Polticas y Procedimientos de
Seguridad de T.I.
Mitigacin
Aceptacin
Analisis
Costo/Beneficio
Determinar
Accin Vs Riesgo
Establecer
Estrategia de Ctrl
Identificar
Polticas y Proced.
Identificar
Estndares
Id. Tcnicas y
Metodologas

Instalacin, Configuracin y Mantenimiento de

Firewalls
Evaluacin de Riesgos
Administracin de Riesgos de Informacin
Monitoreo de Operaciones
Monitoreo de Transacciones
Redes y Telecomunicaciones
Equipo Portable (Laptops)
Reporte de Incidentes de Seguridad
Licenciamiento de Software
Liberacin y Puesta en Produccin de Sistemas

Estndares de
Seguridad de T.I.
Mitigacin
Aceptacin

Antivirus

Analisis
Costo/Beneficio

Autenticacin mediante Tokens

Determinar
Accin Vs Riesgo
Establecer
Estrategia de Ctrl
Identificar
Polticas y Proced.
Identificar
Estndares
Id. Tcnicas y
Metodologas

Auditora y Registro de Transacciones

Cmputo de Usuario Final
Arquitectura de Hardware, Software y
Comunicaciones
Programacin y Mantenimiento de Sistemas
Administracin de Contraseas
Estndares de Seguridad en el Desarrollo
y Mantenimiento de Sistemas
Administracin de Cuentas de Usuario

Roles y Responsabilidades
Implementar
Medidas
de Control
Def. Segregacin
De Funciones
Implementar
Polticas
Implementar
Procedimientos
Inst. Mecanismos
De Monitoreo Cont.
Def. Respuestas a
Incidentes
Comunicar y
Educar

Director de Tecnologa
Gerencia
Desarrollo y
Mantenimiento

Gerencia
Soporte Tcnico

Redes y
Telecom.

Administrador
De Librerias

Atencin a
Usuarios

Operador del
Centro de Datos

Analistas

Bases de Datos

Grupo de Control
De Versiones

Programadores

Administracin de Riesgos de T.I.

Preguntas ms Frecuentes
1. Qu es la Gestin de Riesgos de T.I?
2. Para que Sirve la Gestin de Riesgos de
T.I.?
3. Cules son los Beneficios de implantar
este Proceso?
4. Qu se requiere?

Qu es la Gestin de Riesgos de T.I.?

Es el proceso mediante el cual se van a
establecer los mecanismos que le van a
permitir a la empresa a disminuir y controlar
los riesgos sobre los equipos, sistemas e
INFORMACIN de la organizacin, es
decir, es un mecanismo DE PREVENCIN
DE PERDIDAS.

Para que le sirve a la Compaa?

Prevenir y/o en su caso Detectar:
Fraudes
Prdida de Informacin
Violaciones a Leyes y Reglamentos
Prdida de Clientes
Fracasos de Proyectos
Oportunidad de Negocio
Errores de Operacin Prdidas/Costos
Prdida de Activos, entre otras.
Sabotaje

Beneficios
Otorga certidumbre a los proyectos de inversin
Reduccin de Riesgo Operativo = aumento en
la confianza de nuestros clientes
Contribuye a maximizar los beneficios de la
inversin en Tecnologa.
Deteccin oportuna de amenazas
Contribuye a establecer un ORDEN en la
empresa
Deteccin de Oportunidades de Mejora en los
procesos y sistemas de la organizacin
Cumplir con regulaciones internas y externas
Incide en la reduccin del TCO

Requerimientos
Requerimos SU APOYO Y DISPOSICIN
Incondicionales (De la Direccin)
Involucramiento de la Alta Gerencia
Conformacin/Creacin de un Equipo de Trabajo
Multidisciplinario
Capacitacin y desarrollo de un programa de
conscientizacin y difusin
Presupuesto para el desarrollo del Proyecto
Este es un proyecto de largo Plazo por lo tanto
su desarrollo e implantacin es mayor a 18
meses

Preguntas?

Gracias!
MsC. Carlos Zamora Sotelo, CISA, CISM
czamora@conseti.com
czamora@isaca.org.mx