Revista Gerencia Página 1 de 2

La Revista de Tecnologías de Información para la Gerencia

22 de Diciembre de 2010

delo1.jpg (4878 bytes)

Ingrese palabra a buscar
de administración de riesgo
Go
Inicio
Actualidad Nacional
Noticias Internacionales
Suscripciones
Contacto
Indice de Avisadores
Perfil del medio
¿Cuál es el
mejor estándar
para las TI?
Por Gustavo Segovia, Gerente
de Risk Consulting de Deloitte.
Siemens
presenta
Desde hace años existen distintos estándares que intentan definir un modelo para
administrar el riesgo de las Tecnologías de Información. Sin embargo, más de una
La fábrica
vez hemos escuchado a los encargados y administradores de TI preguntar cómo se inteligente
integran estas visiones y cuál debe ser aplicada a su organización. Soluciones para
la industria.
www.siemens.com/an…
La problemática no es menor, sobre todo considerando que en muchas ocasiones se
intenta desarrollar cada uno de los modelos como proyectos individuales, sin
aprovechar las sinergias existentes en una implementación integrada, con un mayor
esfuerzo de parte de las funciones operacionales.

Para desarrollar este modelo de integración, se deben entender al menos los siguientes
EV Consultores estándares:
Consultoría
Estrategica en COSO - Committee of Sponsoring Organizations of the Treadway Commission:
Finanzas y Es un modelo para entender el control interno y sirve como punto de partida para definir
Riesgos la administración de riesgo de manera transversal en una organización.
www.evconsultores.es

COSO permite relacionar las necesidades de alto nivel -efectividad y eficiencia en la

operación, confiabilidad de los reportes financieros y cumplimiento con leyes y
regulaciones-, con requerimientos de administración de riesgo genéricos y específicos
Cursos Gestión
para los distintos procesos de negocio de una organización, incluyendo los procesos de
de Calidad
apoyo como las Tecnologías de Información.
Posgrados ISO
9001 Auditor
Interno Gestión de
Calidad. Infórmese
ISO/IEC 2700x: La serie 27000 de estándares ISO es un conjunto de documentos ampliamente reconocido y
Aquí!
www.Infosn.com globalmente aceptado para administrar la seguridad de la información, una de las principales áreas de
administración de riesgo en TI.

La serie incluye documentos específicos para definir un sistema de gestión de seguridad de la información,
Plataforma ISO
buenas prácticas de control, métricas de seguridad y gestión de riesgo.
9001
Plataforma
tecnológica para ISO 20000 (ITIL/ITSM): Es el estándar más utilizado para administrar
sistema de gestión servicios TI. ITIL/ITSM define el modelo y los procesos clave para la delo2.jpg (5301 bytes)
web entrega y soporte de servicios TI alineados con los objetivos del negocio y
www.qgestion.com la necesidad de mejora continua, disponiendo de un módulo directamente
relacionado con ISO/IEC 27000.

Cobit 4.1: Cobit es un modelo de gobierno para administrar el riesgo y

Mejores controlar las Tecnologías de Información. Este estándar ha sido
Prácticas ampliamente adoptado por las áreas TI en las organizaciones sujetas a
Estratega está a la requerimientos originados de la regulación Sarbanes-Oxley, siendo
vanguardia en también un componente relevante a la hora de implementar mecanismos
Mejores Prácticas de medición de riesgo operacional (Basilea) y como herramienta para las
www.estratega.org funciones de auditoría interna y externa.

Estos cuatro estándares integrados conforman la visión de Deloitte respecto de la administración de riesgo en
las Tecnologías de Información (ITRM - Information & Technology Risk Management).

Principales etapas para implantar ITRM en una organización

Con COSO se definirá una aproximación de alto nivel a la administración de riesgos y sus componentes
esenciales: gobierno o ambiente interno de riesgo, estrategia de administración y tolerancia al riesgo, evaluación
de riesgo, actividades de control al interior de los procesos de negocio y de apoyo, información y comunicación,
monitoreo y reportes.

Grupo Asegurador La Segunda 22/12/2010

Revista Gerencia Página 2 de 2

En tanto, ISO 2700x, ITIL y Cobit permitirán definir las prácticas generales de administración de riesgo en el
ámbito específico de TI, organizar áreas funcionales TI y relacionar éstas con requerimientos técnicos
particulares de control.

Algunos ejemplos de funciones TI que pueden ser obtenidas de estos estándares son: arquitectura,
administración de activos, gestión de continuidad y administración de cambio, entre otras.

Finalmente, cada función deberá ser descompuesta y agrupada

delo3.jpg (4602 bytes) por dominios que conforman los componentes esenciales del
modelo. Como ejemplo, el componente de evaluación de riesgo
estará conformado por los dominios de identificación de
eventos, requerimientos, análisis de riesgo y respuesta al
riesgo.

Con esto, se contará con un modelo que relaciona funciones

TI, controles técnicos y componentes de administración de
riesgo de alto nivel.

Como reflexión final, para administrar el riesgo en las

Tecnologías de Información, se requiere integrar distintos estándares. Algunos permitirán modelar aspectos
estratégicos; otros, llevar a niveles tácticos y operativos estas estrategias. Esto conlleva un creciente desafío a
las organizaciones y a las personas encargadas de su implementación, ya que se requiere una claridad
conceptual muy amplia en cuanto a poder definir en qué ámbito cada estándar tiene un mayor aporte, y cómo
conseguir la consistencia en la aplicación de ellos.

Sólo con este enfoque se podrá pasar de una administración de riesgo TI reactiva basada en conocimiento
experto y elementos intuitivos, a una administración de riesgo objetiva y medible, que pueda ser sostenible en
el tiempo, y distribuida a lo largo de la organización, de modo que cada función conozca de manera precisa su
ámbito de acción.

Agosto 2008

No hay comentarios para este artículo

Nombre:

Empresa:

Email:

Comentario:

Publicar Borrrar

Normas ISO en su PyME

Certifique ISO 9001:2008 en forma simple, clara y eficaz.
www.anderseningenieria.com.ar

Resolución mínima de 800x600 © Copyright 2003, Publicaciones EMB

Grupo Asegurador La Segunda 22/12/2010