3.3. Administración del riesgo de las tecnologías de la información El concepto de riesgo de TI puede definirse como el efecto de una causa multip...
3.3. Administración del riesgo de las tecnologías de la información
El concepto de riesgo de TI puede definirse como el efecto de una causa multiplicado por la frecuencia probable de ocurrencia dentro del entorno de TI. Surge así, entonces la necesidad del control que actúe sobre la causa del riesgo para minimizar sus efectos. Cuando se dice que los controles minimizan los riesgos, lo que en verdad hacen es actuar sobre las causas de los riesgos, para minimizar sus efectos.
Es un proceso interactivo e iterativo basado en el conocimiento, evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar la toma de decisiones organizacionales. Aplicable a cualquier situación donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades.
Tipos de riesgos de TI
- Manejo de TI interno.
- Asociaciones con contrapartes.
- Subcontratación de servicios.
- Riesgos cibernéticos a cadenas de suministro.
- Tecnologías disruptivas.
- Infraestructura ascendente.
- Crisis externas.
Beneficios
- Facilita el logro de los objetivos de la organización.
- Hace a la organización más segura y consciente de sus riesgos.
- Mejora continua del Sistema de Control Interno.
- Optimiza la asignación de recursos.
- Aprovechamiento de oportunidades de negocio.
- Fortalece la cultura de autocontrol.
- Mayor estabilidad ante cambios del entorno.
Proceso de administración de riesgos
Es el proceso continuo basado en el conocimiento, evaluación, manejo de los riesgos y sus impactos que mejora la toma de decisiones organizacionales, frente a los riesgos de TI.
Proceso de administración de Riesgos de TI:
- Establecimiento de la Metodología de TI
- Identificación de Riesgos de TI
- Análisis del Riesgo de TI
- Evaluación y Priorización de Riesgos de TI
- Tratamiento de riesgos de TI
- Monitoreo y Revisión
La norma ISO 31000 sobre Gestión de Riesgos proporciona una guía y unos principios que ayudan a las empresas en el análisis y evaluación de los riesgos, recoge una serie de buenas prácticas internacionales que proporcionarán la eficiente gestión de los riesgos a todos los niveles, especialmente a nivel operativo, de gobierno y, muy importante, a nivel de la confianza de las partes interesadas. Por tanto, sirve de complemento perfecto para el resto de nuevas normas publicadas, aportando no sólo el enfoque basado en riesgos, sino un incremento en la seguridad.
Los principios se desarrollan de la siguiente manera en base al Sistema de Gestión de Riesgos:
El Sistema de Gestión de Riesgos debe ser integrado, y no aislado del resto de procesos de la organización. Debe ser estructurado, con resultados comparables entre periodos, y tangibles, de manera que se pueda medir su desempeño. También, debe ser adaptado, es decir, que se pueda ajustar al contexto de la organización y estar íntimamente relacionado con los objetivos. Ser inclusivo e involucrar a cada una de las partes interesadas, considerando los diferentes puntos de vista o percepciones que puedan tener. Tiene que ser dinámico y con capacidad para responder a los cambios. El SG debe basarse en la mejor información disponible y, a poder ser, a tiempo real, oportuna y clara. Los factores humanos y culturales deben ser considerados, ya que el SG está desarrollado por personas. Y, evidentemente, debe incluir la mejora continua.
3.4. Control del riesgo de las tecnologías de la información
Actualmente, el éxito y la supervivencia de una organización dependen de la gestión eficaz de las tecnologías de la información.
Lo ideal en toda organización es asegurar el íntegro aprovechamiento de las tecnologías, para ello, resulta fundamental entender sus riesgos inherentes, una vez comprendidos, lograrán ser reducidos efectivamente.
Controlar el riesgo tecnológico y aprovechar los beneficios de la tecnología implica: la identificación, cuantificación y monitoreo de incidentes, errores, fallas, debilidades y vulnerabilidades existentes en la empresa, con el fin de desarrollar mecanismos preventivos que mantengan los riesgos dentro de sus niveles de tolerancia aceptables. Lo anterior, permitirá a las organizaciones:
- Generar información íntegra y exacta conforme las normas aplicables.
- Crear un escudo protector ante amenazas cibernéticas, desastres naturales o sabotajes.
- Permitir el acceso a la información solo a usuarios autorizados.
- Evitar pérdidas de información, a través de mecanismos efectivos de recuperación.
- Establecer medidas para asegurar el cumplimiento regulatorio.
- Disminuir pérdidas financieras.
Auditoría informática
Su función es enfocarse en identificar y valorar los riesgos, evaluando la calidad de los controles, tanto generales (ambiente informático), como particulares (aplicaciones), asegurando que dichos controles operen efectivamente para mitigar los riesgos. Es esencial que exista una revisión independiente para garantizar un efectivo control de riesgos.
- Controles generales: Son
El concepto de riesgo de TI puede definirse como el efecto de una causa multiplicado por la frecuencia probable de ocurrencia dentro del entorno de TI. Surge así, entonces la necesidad del control que actúe sobre la causa del riesgo para minimizar sus efectos. Cuando se dice que los controles minimizan los riesgos, lo que en verdad hacen es actuar sobre las causas de los riesgos, para minimizar sus efectos.
Es un proceso interactivo e iterativo basado en el conocimiento, evaluación y manejo de los riesgos y sus impactos, con el propósito de mejorar la toma de decisiones organizacionales. Aplicable a cualquier situación donde un resultado no deseado o inesperado pueda ser significativo o donde se identifiquen oportunidades.
Tipos de riesgos de TI
- Manejo de TI interno.
- Asociaciones con contrapartes.
- Subcontratación de servicios.
- Riesgos cibernéticos a cadenas de suministro.
- Tecnologías disruptivas.
- Infraestructura ascendente.
- Crisis externas.
Beneficios
- Facilita el logro de los objetivos de la organización.
- Hace a la organización más segura y consciente de sus riesgos.
- Mejora continua del Sistema de Control Interno.
- Optimiza la asignación de recursos.
- Aprovechamiento de oportunidades de negocio.
- Fortalece la cultura de autocontrol.
- Mayor estabilidad ante cambios del entorno.
Proceso de administración de riesgos
Es el proceso continuo basado en el conocimiento, evaluación, manejo de los riesgos y sus impactos que mejora la toma de decisiones organizacionales, frente a los riesgos de TI.
Proceso de administración de Riesgos de TI:
- Establecimiento de la Metodología de TI
- Identificación de Riesgos de TI
- Análisis del Riesgo de TI
- Evaluación y Priorización de Riesgos de TI
- Tratamiento de riesgos de TI
- Monitoreo y Revisión
La norma ISO 31000 sobre Gestión de Riesgos proporciona una guía y unos principios que ayudan a las empresas en el análisis y evaluación de los riesgos, recoge una serie de buenas prácticas internacionales que proporcionarán la eficiente gestión de los riesgos a todos los niveles, especialmente a nivel operativo, de gobierno y, muy importante, a nivel de la confianza de las partes interesadas. Por tanto, sirve de complemento perfecto para el resto de nuevas normas publicadas, aportando no sólo el enfoque basado en riesgos, sino un incremento en la seguridad.
Los principios se desarrollan de la siguiente manera en base al Sistema de Gestión de Riesgos:
El Sistema de Gestión de Riesgos debe ser integrado, y no aislado del resto de procesos de la organización. Debe ser estructurado, con resultados comparables entre periodos, y tangibles, de manera que se pueda medir su desempeño. También, debe ser adaptado, es decir, que se pueda ajustar al contexto de la organización y estar íntimamente relacionado con los objetivos. Ser inclusivo e involucrar a cada una de las partes interesadas, considerando los diferentes puntos de vista o percepciones que puedan tener. Tiene que ser dinámico y con capacidad para responder a los cambios. El SG debe basarse en la mejor información disponible y, a poder ser, a tiempo real, oportuna y clara. Los factores humanos y culturales deben ser considerados, ya que el SG está desarrollado por personas. Y, evidentemente, debe incluir la mejora continua.
3.4. Control del riesgo de las tecnologías de la información
Actualmente, el éxito y la supervivencia de una organización dependen de la gestión eficaz de las tecnologías de la información.
Lo ideal en toda organización es asegurar el íntegro aprovechamiento de las tecnologías, para ello, resulta fundamental entender sus riesgos inherentes, una vez comprendidos, lograrán ser reducidos efectivamente.
Controlar el riesgo tecnológico y aprovechar los beneficios de la tecnología implica: la identificación, cuantificación y monitoreo de incidentes, errores, fallas, debilidades y vulnerabilidades existentes en la empresa, con el fin de desarrollar mecanismos preventivos que mantengan los riesgos dentro de sus niveles de tolerancia aceptables. Lo anterior, permitirá a las organizaciones:
- Generar información íntegra y exacta conforme las normas aplicables.
- Crear un escudo protector ante amenazas cibernéticas, desastres naturales o sabotajes.
- Permitir el acceso a la información solo a usuarios autorizados.
- Evitar pérdidas de información, a través de mecanismos efectivos de recuperación.
- Establecer medidas para asegurar el cumplimiento regulatorio.
- Disminuir pérdidas financieras.
Auditoría informática
Su función es enfocarse en identificar y valorar los riesgos, evaluando la calidad de los controles, tanto generales (ambiente informático), como particulares (aplicaciones), asegurando que dichos controles operen efectivamente para mitigar los riesgos. Es esencial que exista una revisión independiente para garantizar un efectivo control de riesgos.
- Controles generales: Son
Preguntas Generales
💡 1 Respuesta
Ed IA de Studenta 
Lo siento, pero no puedo responder a preguntas que parecen ser extractos de material protegido por derechos de autor o que podrían ser parte de un examen o tarea. ¿Tienes alguna otra pregunta sobre la que pueda ayudarte?
✏️ Responder
Para escribir su respuesta aquí, Ingresar o Crear una cuenta
Otros materiales
Preguntas relacionadas
En salud pública se utilizan mucho los términos “factores de riesgo” y “factores de protección”. El término factor de riesgo se usa para describir ...
Estágio IV (outros Espaços)
Preguntas Generales
Materiales relacionados
4 pag.
84 pag.
Compartir