English
Página Principal
Acerca de Nosotros
Servicios
Sectores
Publicaciones
Interior del País
Plan de Carrera
Sitios de Interés
Contacto
Términos Legales
Site Regional
Sitio Internacional
 
  Asesoramiento tributario
  Asesoría legal
Auditoría - assurance
Auditoría de sistemas
Concursos y quiebras
Consultoría empresarial
  Consultoría en TI
  Cursos
  Finanzas corporativas
  Gestión de personas
  Servicios financieros
  Tecnología Informática
  Tercerizaciones
Servicios
  Consultoría en TI

 
 

Análisis de Riesgo de TI

Qué es el análisis de riesgo de TI?

Conocer los riesgos al que están sometidos los activos de TI es imprescindible para poder gestionarlos.   El gran reto de este proyecto es enfrentar una problemática compleja dado que se interrelacionan diferentes tipos de activos, con lo cual si no se es metódico y riguroso, los resultados y conclusiones no son de fiar y difícilmente sean de valor para la Entidad.

El análisis de riesgo debe servir:

  1. Para incorporar a la matriz de riesgo operacional, el riesgo de TI asociado a cada proceso.
  2. Para concientizar a los responsables de los sistemas de información de la existencia de riesgos y como mitigarlos.
  3. Para ayudar a descubrir y planificar medidas oportunas para mantener los riesgos bajo control.
  4. Para preparar a la organización para procesos de evaluación, auditoría y cumplimiento según corresponda.

Cómo es el proceso?

El análisis de riesgo de TI es una aproximación metódica para determinar el riesgo siguiendo unos pasos pautados:

  • Determinar los activos relevantes para la organización.
  • Determinar a qué amenazas están expuestos aquellos activos.
  • Estimar el impacto, definido como el daño sobre el activo derivado de la materialización de la amenaza.
  • Determinar que controles hay dispuestos y cuán eficaces son frente al riesgo.
  • Estimar el riesgo, definido como el impacto ponderado con la probabilidad de ocurrencia de la amenaza.

Cómo se evalua el proceso del negocio con el riesgo de TI?

El desafío más importante es entender la interrelación que tiene el proceso del negocio con los riesgos de los activos de TI que son necesarios para que los mismos funcionen correctamente.   Para ello es necesario ver las capas del negocio y como los activos interactúan con cada uno de los procesos.   Para ello se deben subdividir los procesos del negocio y buscar las diferentes dependencias que hay entre esos procesos y los activos.

Esta dependencia no es un tema trivial dado que un proceso de negocio puede depender de más de una aplicación y a su vez una aplicación puede depender de más de un equipo.   Con lo cual los riesgos de un activo naturalmente repercuten en los activos que son dependientes y éstos a su vez de los procesos de negocio. Sin embargo, el resultado derivado de la construcción de estas relaciones es lograr dos tipos de riesgos:

  • Riesgo único de TI por cada proceso de negocios: Este riesgo sirve para el dueño de los procesos y le permite conocer como la tecnología de la información afecta el riesgo de la operación.
  • Riesgo de TI por cada uno de los activos: Este riesgo sirve para que el departamento de informática de la Entidad pueda mitigar los riesgos a los que está expuesto y determinar cuál es la gestión de riesgo que debe desarrollar.

Para averiguar más sobre este tema y como lo podemos ayudar a usted contacte a:  Horacio Martínez.

 
  BUSCAR