Professional Documents
Culture Documents
22 de Diciembre de 2010
¿Cuál es el
mejor estándar
Ingrese palabra a buscar
de administración de riesgo
Go para las TI?
Por Gustavo Segovia, Gerente
de Risk Consulting de Deloitte.
Inicio
Actualidad Nacional
Siemens
Noticias Internacionales
presenta
Suscripciones Desde hace años existen distintos estándares que intentan definir un modelo para
administrar el riesgo de las Tecnologías de Información. Sin embargo, más de una
La fábrica
Contacto
vez hemos escuchado a los encargados y administradores de TI preguntar cómo se inteligente
Indice de Avisadores integran estas visiones y cuál debe ser aplicada a su organización. Soluciones para
Perfil del medio la industria.
www.siemens.com/an…
La problemática no es menor, sobre todo considerando que en muchas ocasiones se
intenta desarrollar cada uno de los modelos como proyectos individuales, sin
aprovechar las sinergias existentes en una implementación integrada, con un mayor
esfuerzo de parte de las funciones operacionales.
Para desarrollar este modelo de integración, se deben entender al menos los siguientes
EV Consultores estándares:
Consultoría
Estrategica en COSO - Committee of Sponsoring Organizations of the Treadway Commission:
Finanzas y Es un modelo para entender el control interno y sirve como punto de partida para definir
Riesgos la administración de riesgo de manera transversal en una organización.
www.evconsultores.es
La serie incluye documentos específicos para definir un sistema de gestión de seguridad de la información,
Plataforma ISO
buenas prácticas de control, métricas de seguridad y gestión de riesgo.
9001
Plataforma
tecnológica para ISO 20000 (ITIL/ITSM): Es el estándar más utilizado para administrar
sistema de gestión servicios TI. ITIL/ITSM define el modelo y los procesos clave para la delo2.jpg (5301 bytes)
web entrega y soporte de servicios TI alineados con los objetivos del negocio y
www.qgestion.com la necesidad de mejora continua, disponiendo de un módulo directamente
relacionado con ISO/IEC 27000.
Estos cuatro estándares integrados conforman la visión de Deloitte respecto de la administración de riesgo en
las Tecnologías de Información (ITRM - Information & Technology Risk Management).
Con COSO se definirá una aproximación de alto nivel a la administración de riesgos y sus componentes
esenciales: gobierno o ambiente interno de riesgo, estrategia de administración y tolerancia al riesgo, evaluación
de riesgo, actividades de control al interior de los procesos de negocio y de apoyo, información y comunicación,
monitoreo y reportes.
En tanto, ISO 2700x, ITIL y Cobit permitirán definir las prácticas generales de administración de riesgo en el
ámbito específico de TI, organizar áreas funcionales TI y relacionar éstas con requerimientos técnicos
particulares de control.
Algunos ejemplos de funciones TI que pueden ser obtenidas de estos estándares son: arquitectura,
administración de activos, gestión de continuidad y administración de cambio, entre otras.
Sólo con este enfoque se podrá pasar de una administración de riesgo TI reactiva basada en conocimiento
experto y elementos intuitivos, a una administración de riesgo objetiva y medible, que pueda ser sostenible en
el tiempo, y distribuida a lo largo de la organización, de modo que cada función conozca de manera precisa su
ámbito de acción.
Agosto 2008
Nombre:
Empresa:
Email:
Comentario:
Publicar Borrrar