riesgo de ti
TRANSCRIPT
RIESGOS DE TI
Integrantes: •Alejandro Zúñiga•Mauricio Solano
TÉRMINOS Y DEFINICIONES
• Riesgo: efecto de la incertidumbre sobre los objetivos.
• Gestión de riesgos: coordinación de actividades para dirigir y controlar una organización en relación con el riesgo.
• Stakeholder: Persona u organización que puede afectar, ser afectada o percibir ser afectada por una decisión o actividad.
• Resiliencia: Capacidad de adaptación de una organización en un entorno complejo y cambiante. ‘resistencia, flexibilidad,…’
Riesgos de TI
• Se definen como riesgos de negocios asociados con el uso, propiedad, operación, la participación, la influencia y la adopción de TI dentro de una empresa.
• Son un componente del universo de riesgos a los que está sometida una organización. Otros de los riesgos a los que una organización se enfrenta pueden ser riesgos estratégicos, riesgos ambientales, riesgos de mercado, riesgos de crédito, riesgos operativos y riesgos de cumplimiento.
• El Riesgo de TI es el riesgo comercial, es decir, el riesgo de los negocios asociados con el uso, la propiedad, la operación, la participación, la influencia y la adopción de las TI dentro de una organización. Se compone de eventos relacionados con IT que podrían afectar a la organización. Esto incluye tanto la frecuencia y la magnitud incierta, la creación de problemas en el cumplimiento de metas y objetivos estratégicos, así como la incertidumbre en la búsqueda de oportunidades.
Clasificación de los Riesgos• El valor de los riesgos de TI permitidos – Asociado con las
oportunidades no aprovechadas para mejorar la eficiencia o efectividad de los procesos de negocio.
• Programas de TI y riesgos en las entregas de proyectos – Asociada a la contribución de IT sobre nuevas soluciones de negocio.
• Operaciones de TI y riesgos en las entregas de servicios – Asociadas con todos los aspectos relacionados con los servicios y sistemas de TI, puede producir pérdidas o reducción del valor a la organización.
ISO 31000• Tiene como objetivo ayudar a las organizaciones de todo tipo y tamaño a
gestionar sus riesgos con efectividad.
• El nuevo standard ISO proporciona que los principios, el marco y un proceso destinado a gestionar cualquier tipo de riesgo en una manera transparente, sistemática y creíble dentro de cualquier alcance o contexto.
ISO 31000
El standard recomienda que las organizaciones desarrollen, implementen y mejoren en forma continua el marco de gestión de riesgos como un componente del sistema integral de gestión de la organización.
• ISO 31000 es un documento práctico que busca ayudar a las organizaciones en el desarrollo de su propia estrategia para gestionar sus riesgos, pero no es un estándar certificable.
ISO 31000 está diseñada para ayudar a las organizaciones a:
• Aumentar la probabilidad de lograr sus objetivos• Fomentar la gestión proactiva• Ser conscientes de la necesidad de identificar y tratar el riesgo en
toda la organización• Mejorar la identificación de las oportunidades y amenazas• Cumplir con las exigencias legales y reglamentarias y las normas
internacionales• Mejorar la información financiera• Mejorar el gobierno de la organización
•Incrementar la confianza de los grupos de interés (‘stakeholders’)
•Establecer una base fiable para la toma de decisiones y planificación.
•Mejorar los controles
•Asignar y utilizar de manera efectiva los recursos para el tratamiento del riesgo
•Mejorar la eficacia y la eficiencia operacional.
•Aumentar la seguridad y salud así como la protección al medio ambiente
•Mejorar la prevención y la gestión de incidentes.
•Minimizar las pérdidas.
•Mejorar el aprendizaje y la ‘resiliencia’ de la organización
ISO 31000 está diseñada para ayudar a las organizaciones a:
Clasificación de los riesgos
• RIESGOS FINANCIEROS• RIESGOS DINAMICOS• RIESGOS ESTATICOS• RIESGO ESPECULATIVO• RIESGO PURO • RIESGO FUNDAMENTAL• RIESGO PARTICULAR
Principales indicadores de Principales indicadores de riesgoriesgo
Son capaces de demostrar que la empresa está sujeta a, o tiene una alta probabilidad de, estar sometida a un riesgo que excede del apetito de riesgo definido. Los riesgos son específicos para cada empresa y su selección depende de parámetros, tales como el tamaño y la complejidad de la empresa. En La identificación de indicadores de riesgo debe tenerse en cuenta :
•Considerar las distintas partes interesadas en la empresa.
•Hacer una selección equilibrada de indicadores del riesgo.
•Asegurar que los indicadores seleccionados detallen el origen de la causa de los eventos.
Indicadores claves de riesgo Indicadores claves de riesgo (RISK)(RISK)
Los RISK se distinguen por ser de gran relevancia, por poseer una alta probabilidad de predecir o por que indican un riesgo importante. Los criterios para seleccionar RISK incluyen:
•Impacto•Esfuerzo para aplicar, medir y reportar•Fiabilidad•Sensibilidad
•EJEMPLO:
Un detector de humo, fiabilidad significa que el detector de humo hará sonar una alarma cada vez que haya humo. Sensibilidad significa que el detector de humo suena cuando se alcanza un determinado umbral de densidad de humo.
Beneficios a la empresa:Beneficios a la empresa:• Alerta temprana
• Opinión retrospectiva
• Facilitar la documentación y el análisis de las tendencias.
• Indicadores.
• Aumentar la probabilidad de lograr los objetivos estratégicos de la empresa.
• Ayudar continuamente a la optimización de la gestión del riesgo y del entorno.
TI . Riesgo - OportunidadTI . Riesgo - Oportunidad
Después de que la empresa realice su evaluación inicial de los riesgos y / o de oportunidades, es necesario determinar la forma de tratarlos. Aquí, los tres Marcos de ISACA (COBIT, VAL IT y riesgos de TI) se complementan entre sí y proporcionan una orientación práctica
TI puede jugar varios roles en relación riesgo-oportunidad
•Valor Permitido:
•Habilitando proyectos de TI de éxito que apoyan las nuevas iniciativas y, así, la creación de valor. •La aplicación de nuevas tecnologías o el uso de nueva tecnología de forma innovadora que permitan nuevas iniciativas empresariales y la creación de valor.
•Valor inhibidor:
•La organización puede fallar.•Destrucción de valor, algunos eventos de TI, especialmente en las operaciones de TI, pueden causar leves o graves trastornos operativos a la empresa.
El marco de riesgos de TI consiste de:
Dominio; Gobierno del riesgo (RG).
• – RG1 Establecer y mantener una visión común de riesgo.
• – RG2 Intégrese con la Gestión de riesgos de la empresa (ERM).
• – RG3 Hacer decisiones conscientes del riesgo de negocio.
Domino; Evaluación de riesgo (RE)
• – RE1 Recoger datos.
• – RE2 Analizar los riesgos.
• – RE3 Mantener el Perfil de riesgo.
Dominio; Respuesta de riesgo (RR)
• – RR1 Articular el riesgo.
• – RR2 Gestión de riesgos.
• – RR3 Reaccionar a los eventos.
¿Cómo puede una empresa hacer ¿Cómo puede una empresa hacer frente a esto en la práctica? frente a esto en la práctica?
Se propone una importante inversión en infraestructura de TI, ya sea como una iniciativa proactiva o de reacción la empresa debe considerar todos los siguientes elementos en la toma de decisiones:
•Beneficios en la reducción del riesgo.
•Los riesgos asociados con la inversión.
•Los beneficios comerciales resultantes de la posesión de la nueva infraestructura de TI y las oportunidades.
Cuando surge una nueva tecnología, la empresa debe considerar lo siguiente al determinar si conviene o no adoptar la tecnología:
•Los riesgos asociados con la operación de la nueva tecnología:
•Impacto de la adopción de la tecnología.
•Consecuencias de no adoptar la nueva tecnología.
•Los beneficios comerciales de la nueva tecnología.
