Arriesgalo

Componente clave de las prácticas de aseguramiento de la información.

Risk IT Framework , publicado en 2009 por ISACA , ^[1] proporciona una visión integral de extremo a extremo de todos los riesgos relacionados con el uso de la tecnología de la información (TI) y un tratamiento igualmente exhaustivo de la gestión de riesgos, desde el tono y la cultura. en la cima a cuestiones operativas. Es el resultado de un grupo de trabajo compuesto por expertos de la industria y académicos de diferentes naciones, de organizaciones como Ernst & Young , IBM , PricewaterhouseCoopers , Risk Management Insight, Swiss Life y KPMG .

Definición

El riesgo de TI es parte del riesgo empresarial ; específicamente, el riesgo empresarial asociado con el uso, propiedad, operación, participación, influencia y adopción de TI dentro de una empresa. Consiste en eventos relacionados con TI que potencialmente podrían afectar el negocio. Puede ocurrir con frecuencia y magnitud inciertas y crea desafíos para alcanzar metas y objetivos estratégicos. ^[1]

La gestión del riesgo empresarial es un componente esencial de la administración responsable de cualquier organización. Debido a la importancia de TI para el negocio en general, el riesgo de TI debe tratarse como otros riesgos comerciales clave. ^{[ cita necesaria ]}

El marco Risk IT ^[1] explica el riesgo de TI y permite a los usuarios:

• Integrar la gestión del riesgo de TI con el ERM general
• Compare el riesgo de TI evaluado con el apetito de riesgo y la tolerancia al riesgo de la organización.
• Entender cómo gestionar el riesgo.

El riesgo de TI debe ser gestionado por todos los líderes empresariales clave dentro de la organización: no es sólo una cuestión técnica del departamento de TI.

El riesgo de TI se puede clasificar de diferentes maneras:

Habilitador de valor/beneficio de TI

Riesgos relacionados con oportunidades perdidas para aumentar el valor del negocio mediante procesos mejorados o habilitados por TI.

Entrega de programas/proyectos de TI

Riesgos relacionados con la gestión de proyectos relacionados con TI destinados a permitir o mejorar el negocio: es decir, el riesgo de sobrepresupuestación, entrega tardía o no entrega de todos estos proyectos.

Operación de TI y prestación de servicios

Riesgos asociados con las operaciones diarias y la prestación de servicios de TI que pueden causar problemas o ineficiencia en las operaciones comerciales de una organización.

El marco de Risk IT se basa en los principios de los estándares/marcos de gestión de riesgos empresariales , como el Comité de Organizaciones Patrocinadoras de la Comisión Treadway ERM e ISO 31000 . De esta manera, la alta dirección podría entender el riesgo de TI.

Componentes de comunicación de riesgos de TI

Los principales flujos de comunicación de riesgos de TI son:

• Expectativa: qué espera la organización como resultado final y cuál es el comportamiento esperado de los empleados y la gerencia; Abarca estrategia, políticas, procedimientos y capacitación en concientización.
• Capacidad: indica cómo la organización es capaz de gestionar el riesgo.
• Estado: información del estado real del riesgo TI; Abarca el perfil de riesgo de la organización, el indicador clave de riesgo (KRI), los eventos y la causa raíz de los eventos de pérdida.

La comunicación efectiva debe ser:

• Claro
• Conciso
• Útil
• Oportuno
• Dirigido al público objetivo correcto
• Disponible según sea necesario ^{[ cita necesaria ]}

Dominios y procesos de TI de riesgo

Los tres dominios del marco de Risk IT se enumeran a continuación con los procesos contenidos (tres por dominio). Cada proceso contiene una serie de actividades:

1. Gobernanza de riesgos: asegúrese de que las prácticas de gestión de riesgos de TI estén integradas en la empresa, permitiéndole asegurar un rendimiento óptimo ajustado al riesgo. Se basa en los siguientes procesos: ^[1]
   1. RG1 Establecer y mantener una visión de riesgo común
      1. RG1.1 Realizar una evaluación de riesgos de TI empresarial
      2. RG1.2 Proponer umbrales de tolerancia al riesgo de TI
      3. RG1.3 Aprobar la tolerancia al riesgo TI
      4. RG1.4 Alinear la política de riesgos TI
      5. RG1.5 Promover una cultura consciente de los riesgos de TI
      6. RG1.6 Fomentar la comunicación efectiva del riesgo TI
   2. RG2 se integra con ERM
      1. RG2.1 Establecer y mantener la responsabilidad por la gestión de riesgos de TI
      2. RG2.2 Coordinar la estrategia de riesgos de TI y la estrategia de riesgos de negocio
      3. RG2.3 Adaptar las prácticas de riesgo de TI a las prácticas de riesgo empresarial
      4. RG2.4 Proporcionar recursos adecuados para la gestión de riesgos de TI
      5. RG2.5 Proporcionar garantía independiente sobre la gestión de riesgos de TI
   3. RG3 Tome decisiones comerciales conscientes del riesgo
      1. RG3.1 Obtener la aceptación de la dirección para el enfoque de análisis de riesgos de TI
      2. RG3.2 Aprobar el análisis de riesgos TI
      3. RG3.3 Incorporar la consideración del riesgo de TI en la toma de decisiones estratégicas de negocio
      4. RG3.4 Aceptar el riesgo TI
      5. RG3.5 Priorizar las actividades de respuesta a riesgos de TI
2. Evaluación de riesgos : garantizar que los riesgos y oportunidades relacionados con TI se identifiquen, analicen y presenten en términos comerciales. Se basa en los siguientes procesos:
   1. RE1 Recopilar datos
      1. RE1.1 Establecer y mantener un modelo para la recopilación de datos
      2. RE1.2 Recopilar datos sobre el entorno operativo
      3. RE1.3 Recopilar datos sobre eventos de riesgo
      4. RE1.4 Identificar factores de riesgo
   2. RE2 Analizar Riesgo
      1. RE2.1 Definir el alcance del análisis de riesgos de TI
      2. RE2.2 Estimar el riesgo de TI
      3. RE2.3 Identificar opciones de respuesta al riesgo
      4. RE2.4 Realizar una revisión por pares del análisis de riesgos de TI
   3. RE3 Mantener perfil de riesgo
      1. RE3.1 Asignar recursos de TI a procesos de negocio
      2. RE3.2 Determinar la criticidad empresarial de los recursos de TI
      3. RE3.3 Comprender las capacidades de TI
      4. RE3.4 Actualizar componentes del escenario de riesgo
      5. RE3.5 Mantener el registro de riesgos TI y el mapa de riesgos TI
      6. RE3.6 Desarrollar indicadores de riesgo de TI
3. Respuesta al riesgo : garantizar que los problemas, oportunidades y eventos de riesgo relacionados con TI se aborden de manera rentable y en línea con las prioridades comerciales. Se basa en los siguientes procesos:
   1. RR1 Riesgo articulado
      1. RR1.1 Comunicar los resultados del análisis de riesgos de TI
      2. RR1.2 Reportar actividades de gestión de riesgos TI y estado de cumplimiento
      3. RR1.3 Interpretar los hallazgos de la evaluación independiente de TI
      4. RR1.4 Identificar oportunidades relacionadas con TI
   2. RR2 Gestionar el riesgo
      1. RR2.1 Controles de inventarios
      2. RR2.2 Monitorear la alineación operativa con los umbrales de tolerancia al riesgo
      3. RR2.3 Responder a la exposición al riesgo y a la oportunidad descubiertas
      4. RR2.4 Implementar controles
      5. RR2.5 Informar el progreso del plan de acción de riesgos de TI
   3. RR3 Reaccionar a los Eventos
      1. RR3.1 Mantener planes de respuesta a incidentes
      2. RR3.2 Monitorear el riesgo de TI
      3. RR3.3 Iniciar respuesta a incidentes
      4. RR3.4 Comunicar lecciones aprendidas de eventos de riesgo

Cada proceso está detallado por:

• Componentes del proceso
• Practica de gestión
• Entradas y salidas
• gráficos RACI
• Objetivo y métricas

Para cada dominio se representa un modelo de madurez. ^{[ cita necesaria ]}

Evaluación de riesgo

Es necesario establecer el vínculo entre los escenarios de riesgo de TI y el impacto final en el negocio para comprender el efecto de los eventos adversos. Risk IT no prescribe un método único. Hay diferentes métodos disponibles. Entre ellos se encuentran:

• Criterios de información COBIT
• cuadro de mando integral
• Cuadro de mando integral extendido
• occidental ^[2]
• COSO
• Análisis factorial de riesgo de la información.

Escenarios de riesgo

Los escenarios de riesgo son el centro de los procesos de evaluación de riesgos. Los escenarios se pueden derivar de dos maneras diferentes y complementarias:

• un enfoque de arriba hacia abajo desde los objetivos comerciales generales hasta los escenarios de riesgo más probables que pueden afectarlos.
• un enfoque ascendente en el que se aplica una lista de escenarios de riesgo genéricos a situaciones organizativas.

Cada escenario de riesgo se analiza para determinar la frecuencia y el impacto, en función de los factores de riesgo .

Respuesta a los riesgos

El propósito de definir una respuesta al riesgo es alinear el riesgo con el apetito de riesgo global definido de la organización después del análisis de riesgo: es decir, el riesgo residual debe estar dentro de los límites de tolerancia al riesgo .

El riesgo se puede gestionar según cuatro estrategias principales (o una combinación de ellas):

• Evitación de riesgos: abandonar las actividades que dan origen al riesgo.
• Mitigación del riesgo: adoptar medidas para detectar y reducir la frecuencia y/o impacto del riesgo.
• Transferencia de riesgo: transferir a otros parte del riesgo, mediante la subcontratación de actividades peligrosas o mediante seguros.
• Aceptación del riesgo: correr deliberadamente el riesgo que ha sido identificado, documentado y medido.

Los indicadores clave de riesgo son métricas capaces de mostrar que la organización tiene una alta probabilidad de estar sujeta a un riesgo que excede el apetito de riesgo definido .

Guía del practicante

El segundo documento importante sobre Risk IT es la Guía para profesionales. ^[3] Se compone de ocho secciones:

1. Definición de un universo de riesgo y alcance de la gestión de riesgos
2. Apetito al riesgo y tolerancia al riesgo
3. Conciencia de riesgos, comunicación e informes
4. Expresar y describir el riesgo
5. Escenarios de riesgo
6. Respuesta al riesgo y priorización
7. Flujo de trabajo de análisis de riesgos
8. Mitigación del riesgo de TI utilizando COBIT y Val IT ^{[ cita necesaria ]}

Relación con otros marcos de ISACA

Risk IT Framework complementa COBIT de ISACA , que proporciona un marco integral para el control y la gobernanza de soluciones y servicios basados ​​en TI impulsados ​​por el negocio. Mientras que COBIT establece las mejores prácticas para gestionar el riesgo al proporcionar un conjunto de controles para mitigar el riesgo de TI, Risk IT proporciona un marco de mejores prácticas para que las empresas identifiquen, gobiernen y gestionen el riesgo de TI.

Val IT permite a los gerentes de negocios obtener valor comercial de las inversiones en TI, al proporcionar un marco de gobernanza. Val IT se puede utilizar para evaluar las acciones determinadas por el proceso de gestión de Riesgos .

Relación con otros marcos

Risk IT acepta la terminología del Análisis Factorial de Riesgo de Información y el proceso de evaluación.

ISO 27005

Para obtener una comparación de los procesos de riesgo de TI y los previstos por la norma ISO/IEC 27005 , consulte Gestión de riesgos de TI#Metodología de gestión de riesgos y gestión de riesgos de TI#Marco ISO 27005 .

ISO 31000

El apéndice 2 de la Guía para profesionales de TI de riesgos ^[3] contiene la comparación con ISO 31000 .

COSO

El apéndice 4 de la Guía para profesionales de TI de riesgos ^[3] contiene la comparación con COSO .

Ver también

• COBIT
• COSO
• Gestión de riesgos empresariales
• Análisis factorial de riesgo de la información (FAIR)
• ISACA
• ISO 31000
• Riesgo
• Apetito por el riesgo
• Factor de riesgo (informática)
• Gestión de riesgos
• Tolerancia al riesgo
• Val IT
• Modelo Gordon-Loeb para inversiones en ciberseguridad ^{[ cita necesaria ]}

Referencias

1. ISACA EL MARCO DE RIESGO DE TI (se requiere registro)
2. George Westerman, Richard Hunter, Riesgo de TI: convertir las amenazas comerciales en ventaja competitiva, serie Harvard Business School Press ISBN  1-4221-0666-7 , ISBN 978-1-4221-0666-2 
3. The Risk IT Practitioner Guide, ISACA ISBN 978-1-60420-116-1 (se requiere registro) 

enlaces externos

• Página principal de Risk IT en el sitio web de ISACA