Arriesgalo - Risk IT

Risk IT proporciona una visión integral de todos los riesgos relacionados con el uso de la tecnología de la información (TI) y un tratamiento igualmente completo de la gestión de riesgos, desde el tono y la cultura en la parte superior , hasta los problemas operativos.

Risk IT fue publicado en 2009 por ISACA . Es el resultado de un grupo de trabajo compuesto por expertos de la industria y algunos académicos de diferentes naciones, provenientes de organizaciones como Ernst & Young , IBM , PricewaterhouseCoopers , Risk Management Insight, Swiss Life y KPMG .

Definición

El riesgo de TI es parte del riesgo comercial, específicamente, el riesgo comercial asociado con el uso, propiedad, operación, participación, influencia y adopción de TI dentro de una empresa. Consiste en eventos relacionados con TI que podrían tener un impacto potencial en el negocio. Puede ocurrir con frecuencia y magnitud inciertas, y crea desafíos en el cumplimiento de metas y objetivos estratégicos.

La gestión del riesgo empresarial es un componente esencial de la administración responsable de cualquier organización. Debido a la importancia de la TI para el negocio en general, el riesgo de TI debe tratarse como otros riesgos comerciales clave.

El marco de riesgo de TI explica el riesgo de TI y permite a los usuarios:

El riesgo de TI debe ser gestionado por todos los líderes empresariales clave dentro de la organización: no es solo una cuestión técnica del departamento de TI.

El riesgo de TI se puede clasificar de diferentes formas:

Beneficio de TI / habilitador de valor
Riesgos relacionados con la oportunidad perdida de aumentar el valor comercial mediante procesos mejorados o habilitados por TI
Entrega de programas / proyectos de TI
Riesgos relacionados con la gestión de proyectos relacionados con TI destinados a habilitar o mejorar el negocio: es decir, el riesgo de un presupuesto excesivo o una entrega tardía (o no entrega) de estos proyectos.
Operación de TI y prestación de servicios
Riesgos asociados con las operaciones diarias y la prestación de servicios de TI que pueden traer problemas e ineficiencia a las operaciones comerciales de una organización.

El marco de Risk IT se basa en los principios de los estándares / marcos de gestión de riesgos empresariales, como el Comité de Organizaciones Patrocinadoras de la Comisión Treadway ERM e ISO 31000 .

De esta manera, la alta dirección podría entender el riesgo de TI.

Principios de riesgo de TI

Risk IT se basa en los siguientes principios:

  • alinearse siempre con los objetivos comerciales
  • alinear la gestión de riesgos de TI con ERM
  • equilibrar los costos y beneficios de la gestión de riesgos de TI
  • promover la comunicación justa y abierta de los riesgos de TI
  • Establecer el tono correcto en la parte superior mientras se define y aplica la responsabilidad.
  • son un proceso continuo y parte de las actividades diarias

Componentes de comunicación de riesgos de TI

Los principales flujos de comunicación de riesgos de TI son:

  • Expectativa: qué espera la organización como resultado final y cuál es el comportamiento esperado de los empleados y la gerencia; Abarca estrategia, políticas, procedimientos, sensibilización
  • Capacidad: indica cómo la organización es capaz de gestionar el riesgo.
  • Estado: información del estado real del riesgo de TI; Abarca el perfil de riesgo de la organización, el indicador clave de riesgo (KRI), los eventos, la causa raíz de los eventos de pérdida.

Una información eficaz debería ser:

  • Claro
  • Conciso
  • Útil
  • Oportuno
  • Dirigido al público objetivo correcto
  • Disponible en una necesidad de saber base

Riesgo de dominios y procesos de TI

Los tres dominios del marco de riesgo de TI se enumeran a continuación con los procesos contenidos (tres por dominio); cada proceso contiene una serie de actividades:

  1. Gobernanza de riesgos: asegúrese de que las prácticas de gestión de riesgos de TI estén integradas en la empresa, lo que le permitirá garantizar un rendimiento óptimo ajustado al riesgo. Se basa en los siguientes procesos:
    1. RG1 Establecer y mantener una visión de riesgo común
      1. RG1.1 Realizar evaluación de riesgos de TI empresarial
      2. RG1.2 Proponer umbrales de tolerancia al riesgo de TI
      3. RG1.3 Aprobar la tolerancia al riesgo de TI
      4. RG1.4 Alinear la política de riesgos de TI
      5. RG1.5 Promover la cultura de conciencia de los riesgos de TI
      6. RG1.6 Fomentar la comunicación eficaz de los riesgos de TI
    2. RG2 Integrar con ERM
      1. RG2.1 Establecer y mantener la responsabilidad de la gestión de riesgos de TI
      2. RG2.2 Coordinar la estrategia de riesgo de TI y la estrategia de riesgo empresarial
      3. RG2.3 Adaptar las prácticas de riesgo de TI a las prácticas de riesgo empresarial
      4. RG2.4 Proporcionar recursos adecuados para la gestión de riesgos de TI
      5. RG2.5 Proporcionar garantía independiente sobre la gestión de riesgos de TI
    3. RG3 Tomar decisiones comerciales conscientes de los riesgos
      1. RG3.1 Obtener la aceptación de la administración para el enfoque de análisis de riesgos de TI
      2. RG3.2 Aprobar el análisis de riesgos de TI
      3. RG3.3 Integrar la consideración del riesgo de TI en la toma de decisiones comerciales estratégicas
      4. RG3.4 Aceptar el riesgo de TI
      5. RG3.5 Priorizar las actividades de respuesta al riesgo de TI
  2. Evaluación de riesgos : asegúrese de que los riesgos y oportunidades relacionados con la TI se identifiquen, analicen y presenten en términos comerciales. Se basa en los siguientes procesos:
    1. RE1 recopilar datos
      1. RE1.1 Establecer y mantener un modelo para la recopilación de datos
      2. RE1.2 Recopilar datos sobre el entorno operativo
      3. RE1.3 Recopilar datos sobre eventos de riesgo
      4. RE1.4 Identificar factores de riesgo
    2. RE2 Analizar riesgo
      1. RE2.1 Definir el alcance del análisis de riesgos de TI
      2. RE2.2 Estimar el riesgo de TI
      3. RE2.3 Identificar opciones de respuesta al riesgo
      4. RE2.4 Realizar una revisión por pares del análisis de riesgos de TI
    3. RE3 Mantener el perfil de riesgo
      1. RE3.1 Asignar recursos de TI a procesos comerciales
      2. RE3.2 Determina la importancia comercial de los recursos de TI
      3. RE3.3 Comprender las capacidades de TI
      4. RE3.4 Actualizar los componentes del escenario de riesgo
      5. RE3.5 Mantener el registro de riesgos de TI y el mapa de riesgos de TI
      6. RE3.6 Desarrollar indicadores de riesgo de TI
  3. Respuesta al riesgo : asegúrese de que los problemas, oportunidades y eventos relacionados con el riesgo de TI se aborden de manera rentable y en consonancia con las prioridades comerciales. Se basa en los siguientes procesos:
    1. Riesgo articulado RR1
      1. RR1.1 Comunicar los resultados del análisis de riesgos de TI
      2. RR1.2 Informar las actividades de gestión de riesgos de TI y el estado de cumplimiento
      3. RR1.3 Interpretar los hallazgos de la evaluación de TI independiente
      4. RR1.4 Identificar oportunidades relacionadas con TI
    2. RR2 Gestionar riesgos
      1. RR2.1 Controles de inventario
      2. RR2.2 Monitorear la alineación operativa con los umbrales de tolerancia al riesgo
      3. RR2.3 Responder a la exposición al riesgo y la oportunidad descubiertas
      4. RR2.4 Implementar controles
      5. RR2.5 Informar el progreso del plan de acción de riesgos de TI
    3. RR3 Reaccionar a eventos
      1. RR3.1 Mantener planes de respuesta a incidentes
      2. RR3.2 Monitorear el riesgo de TI
      3. RR3.3 Iniciar respuesta a incidentes
      4. RR3.4 Comunicar las lecciones aprendidas de los eventos de riesgo

Cada proceso se detalla por:

Para cada dominio se representa un modelo de madurez.

Evaluación de riesgo

Es necesario establecer el vínculo entre los escenarios de riesgo de TI y el impacto comercial final para comprender el efecto de los eventos adversos. Risk IT no prescribe un solo método. Hay diferentes métodos disponibles. Entre ellos se encuentran:

Escenarios de riesgo

Los escenarios de riesgo son el corazón del proceso de evaluación de riesgos. Los escenarios se pueden derivar de dos formas diferentes y complementarias:

  • un enfoque de arriba hacia abajo desde los objetivos comerciales generales hasta los escenarios de riesgo más probables que pueden afectarlos.
  • Un enfoque de abajo hacia arriba donde se aplica una lista de escenarios de riesgo genéricos a la situación de la organización.

Cada escenario de riesgo se analiza determinando frecuencia e impacto, en función de los factores de riesgo .

Respuesta a los riesgos

El propósito de definir una respuesta al riesgo es alinear el riesgo con el apetito de riesgo definido general de la organización después del análisis de riesgo: es decir, el riesgo residual debe estar dentro de los límites de tolerancia al riesgo .

El riesgo se puede gestionar de acuerdo con cuatro estrategias principales (o una combinación de ellas):

  • Evitación de riesgos, saliendo de las actividades que dan lugar al riesgo
  • Mitigación de riesgos, adoptando medidas para detectar, reducir la frecuencia y / o impacto del riesgo
  • Transferencia de riesgo, transfiriendo a terceros parte del riesgo, mediante la subcontratación de actividades peligrosas o mediante un seguro.
  • Aceptación del riesgo: correr deliberadamente el riesgo que ha sido identificado, documentado y medido.

Los indicadores clave de riesgo son métricas capaces de mostrar que la organización está sujeta o tiene una alta probabilidad de estar sujeta a un riesgo que excede el apetito de riesgo definido .

Guía del practicante

El segundo documento importante sobre Risk IT es la Guía para profesionales. Está compuesto por ocho secciones:

  1. Definición de un universo de riesgos y determinación del alcance de la gestión de riesgos
  2. Apetito por el riesgo y tolerancia al riesgo
  3. Concienciación sobre riesgos, comunicación e informes
  4. Expresar y describir el riesgo
  5. Escenarios de riesgo
  6. Priorización y respuesta al riesgo
  7. Un flujo de trabajo de análisis de riesgos
  8. Mitigación del riesgo de TI mediante COBIT y Val IT

Relación con otros marcos de ISACA

Riesgo IT Framework complementa ISACA ‘s COBIT , que proporciona un marco integral para el control y la gestión de soluciones y servicios (basado TI-negocio) impulsada por la información basada en la tecnología. Mientras que COBIT establece buenas prácticas para los medios de gestión de riesgos al proporcionar un conjunto de controles para mitigar el riesgo de TI, Risk IT establece buenas prácticas para los fines al proporcionar un marco para que las empresas identifiquen, gobiernen y gestionen el riesgo de TI.

Val IT permite a los gerentes comerciales obtener valor comercial de las inversiones en TI, al proporcionar un marco de gobierno. VAL IT se puede utilizar para evaluar las acciones determinadas por el proceso de gestión de riesgos .

Relación con otros marcos

Risk IT acepta el proceso de evaluación y terminología de análisis de factores de riesgo de información .

ISO 27005

Para una comparación de los procesos de riesgo de TI y los previstos por la norma ISO / IEC 27005 , consulte Gestión de riesgos de TI # Metodología de gestión de riesgos y gestión de riesgos de TI # Marco ISO 27005

ISO 31000

El apéndice 2 de la Guía para profesionales en TI de riesgos contiene la comparación con ISO 31000

COSO

El apéndice 4 de la Guía para profesionales de TI de riesgos contiene la comparación con COSO

Ver también

Referencias

enlaces externos