Tecnologias de informacion Cobit For Risk

Cobit For Risk

        Introducción

La evaluación de riesgos y la gestión de riesgos son partes integrales de la seguridad de TI en cualquier organización, o al menos deberían serlo. Uno podría pensar que, dado que la TI es crítica para las operaciones de una organización, el riesgo relacionado con la TI y la seguridad de TI estaría cubierto por muchos marcos diferentes de gestión de riesgos, incluidos:

• Committee of Sponsoring Organizations of the Treadway Commission (COSO).
• Enterprise risk management (ERM).
• The Risk Management Society’s (RIMS).
• Risk Maturity Model (RMM).
• Project Management Institute’s (PMI).
• Project Risk Management.
• International Organization for Standardization (ISO)
• International Electrotechnical Commission (IEC).
• ISO 27005 Information technology
• Security techniques, Information security risk management and the ISO 31000 family.

Sin embargo, este no fue el caso hasta hace poco. Podría decirse que solo hay un marco de negocios en uso y aceptado a nivel mundial para emplearlo cuando se trata de la gestión de riesgos en el dominio de TI y, específicamente, el gobierno y la gestión de TI de la empresa. Ese marco es COBIT 5.

Perspectivas de riego con COBIT 5

En la siguiente figura se muestran dos perspectivas sobre cómo usar COBIT 5 en un contexto de riesgo:

• Perspectiva de la función de riesgo: describe lo que se necesita en una empresa para construir y mantener actividades de gestión y gestión de riesgos centrales eficientes y eficaces.
• Perspectiva de la gestión de riesgos: describe cómo el proceso central de gestión de riesgos para identificar, analizar, responder e informar sobre los riesgos puede ser asistido por los habilitadores de COBIT 5.

[pic 1]

Perspectivas de Cobit 5(Fuente:  “COBIT® 5 for Risk” isaca, 2013 paginas 19).

Las organizaciones deben comprender que COBIT 5 es un marco integral que considera la optimización del riesgo como un objetivo clave de valor. COBIT 5 considera el gobierno y la gestión de riesgos como parte del gobierno y la gestión generales de TI de la empresa.

Hay 2 procesos dedicados: uno en el dominio de gobierno (Evaluar, Directo y Monitorear [EDM]) y el otro en el dominio de administración (Alinear, Planificar y Organizar [APO]), que representa Asegurar la optimización de riesgos (EDM03) y Administrar riesgos (APO12), respectivamente. La gestión de riesgos está integrada en todo el marco COBIT 5.

El proceso de gobierno (EDM03) busca asegurar que:

• El riesgo empresarial relacionado con TI no excede el apetito por el riesgo y la tolerancia al riesgo.
• El riesgo para el valor empresarial relacionado con el uso de TI y su impacto se identifica y gestiona.
• El potencial de fallas de cumplimiento se minimiza.

El proceso de gestión (APO12) trabaja para:

• Integre la gestión del riesgo empresarial relacionado con TI con ERM general.
• Equilibre los costos y beneficios de administrar el riesgo empresarial relacionado con TI.

Además de eso, COBIT 5 for Risk destaca los procesos de soporte clave del marco COBIT 5 para la función de riesgo. Las organizaciones pueden obtener productos específicos de riesgo, como una estrategia de gestión de riesgos, un plan de comunicación de gestión de riesgos y requisitos financieros y presupuestarios para responder y mitigar los riesgos. Esto también puede ayudarles a monitorear las métricas de riesgo y los objetivos e informes sobre problemas de incumplimiento y causas raíz.

Estos procesos incluyen, pero no se limitan a:

• Asegurar la configuración y el mantenimiento del marco de gobierno (EDM01)
• Asegurar la entrega de beneficios (EDM02)
• Gestionar estrategia (APO02)
• Gestionar presupuesto y costes (APO06)
• Gestionar Relaciones (APO08)
• Supervisar, evaluar y evaluar el rendimiento y el cumplimiento (MEA01)
• Monitorear, evaluar y evaluar el cumplimiento de requisitos externos (MEA03)

Alcance de COBIT 5 para Riesgo

La siguiente figura muestra el alcance de COBIT 5 para Riesgos y cómo se relaciona con otras publicaciones de ISACA que, junto con COBIT 5 para Riesgos, proporcionan una guía completa sobre la gestión y gestión de riesgos sobre TI de la empresa. Demuestra que COBIT 5 para Riesgo:

• Se enfoca en aplicar los habilitadores de COBIT 5 al riesgo a través de la perspectiva de la función de riesgo (es decir, cómo usar COBIT 5).
• Permite una efectiva y eficiente función de gobierno y gestión de riesgos.
• Proporciona orientación de alto nivel sobre cómo identificar, analizar y responder a los riesgos mediante la aplicación de los procesos centrales de gestión de riesgos en COBIT 5 y mediante el uso de escenarios de riesgo.
• Se alinea con las fuentes de referencia del mercado de ERM establecidas (estándares, marcos y orientación práctica) y las iniciativas de ERM establecidas.
• Proporciona un enlace entre los escenarios de riesgo y los habilitadores de COBIT 5 que pueden usarse para mitigar el riesgo.

[pic 2]

Alcance de Cobit 5 para riesgos(Fuente:  “COBIT® 5 for Risk” isaca, 2013 pagina 20).

Un aspecto importante y una característica distintiva de COBIT 5 for Risk es que proporciona 20 categorías de escenarios de riesgo para ayudar a las organizaciones a mitigar mejor el riesgo. Esos escenarios de riesgo se pueden usar para guiar y dirigir la actividad de gestión de riesgos. A diferencia de otros marcos y estándares, los escenarios en COBIT 5 para Riesgos cubren más de 100 tipos de riesgos, como el sabotaje y robo de empleados, violaciones de datos, espionaje industrial y apoyo a la innovación.

Depende de cada organización decidir cómo usar estos escenarios para construir sus propios procesos de administración de riesgos de información.

A continuación se incluyen algunas sugerencias y consejos prácticos:

• Identifique los objetivos generales de la empresa y realice un análisis de los escenarios de riesgo de TI más relevantes que afectan a los objetivos de la empresa.
• Vincule los escenarios de riesgo de TI con el riesgo empresarial real.
• Una vez que se identifiquen y vinculen los escenarios, realice un análisis de riesgo evaluando la frecuencia y el impacto. También identificar los factores de riesgo.
• Una vez que se realizan e identifican el análisis de riesgo y los factores de riesgo, utilícelos para la agregación de riesgos, la respuesta al riesgo y la mitigación.

COBIT 5 para la alineación de riesgos con otras normas y marcos

COBIT 5 para Riesgos, al igual que COBIT 5 en sí mismo, es un marco general para la gobernabilidad y la gestión de riesgos. Para comprender mejor esta posición general, es necesario comprender el posicionamiento de COBIT 5 para Riesgo en relación con los siguientes estándares de TI relacionados con los riesgos.

• ISO 31000: 2009 — Gestión de riesgos
• ISO / IEC 27005: 2011 — Gestión de riesgos de seguridad de la información
• COSO ERM — Marco Integrado

COBIT 5 for Risk aborda los 8 componentes definidos en COSO ERM y, para algunos componentes, extiende la cobertura de COSO ERM a los aspectos específicos del uso de TI en la empresa. Aunque COBIT 5 for Risk se centra menos en el control, proporciona vínculos con las prácticas de gestión en el marco de trabajo de COBIT 5. Los elementos esenciales tanto para el control como para la gestión general de riesgos, tal como se define en COSO ERM, están presentes en COBIT 5 for Risk, ya sea a través de los principios mismos, el diseño conceptual del marco, el modelo de proceso o la guía adicional proporcionada en el marco.

Aplicando COBIT 5 para Riesgo

A continuación, se incluyen algunos consejos prácticos para aprovechar la orientación en COBIT 5 for Risk en una organización:

• Aliente a la dirección ejecutiva a que demuestre su apoyo al programa de gestión de riesgos.
• Identifique las estructuras / roles organizacionales clave que se requieren para construir y mantener una gestión de riesgos y una gestión de riesgos eficaces y eficientes en la organización. COBIT 5 for Risk ayuda a las organizaciones a identificar dichos roles al proporcionar una descripción / definición específica de cada rol y estructura. Esto ayuda a las organizaciones a establecer sus líneas de defensa para la gestión de riesgos.
• La gestión del riesgo debe integrarse en el proceso normal y formar parte de la práctica de gestión diaria.
• Establecer una cultura consciente de los riesgos entre todos los empleados en todos los niveles.
• Influenciar el comportamiento y la cultura de la organización a través de la comunicación constante; el cumplimiento de las normas organizativas, normativas, incentivos y recompensas; y crear conciencia sobre el riesgo y la gestión del riesgo y el papel de las personas en él.
• Identificar y desarrollar métricas que sirvan como indicadores de riesgo clave (KRI) para describir y rastrear los indicadores de ese riesgo.

Conclusiones

COBIT 5 para Riesgos ha estado disponible durante bastante tiempo, pero aun así, las organizaciones lo consideran más como un marco de gestión y operaciones y un conjunto de directrices, mientras descuidan una parte importante del marco, por la razón obvia de que las organizaciones temen las consecuencias (tanto en términos de costo y tiempo) si falla la gestión del riesgo. También temen comunicar el riesgo a la alta gerencia y, por lo tanto, realizan la gestión del riesgo como parte de cualquiera de las actividades operativas o debido al requisito de ciertos estándares específicos como ISO 27001. COBIT 5 habla de los procesos de gestión y operaciones, pero Al mismo tiempo, cubre el gobierno corporativo y los procesos y actividades de TI de la empresa, y, lo que es más importante, la gestión de riesgos. Actualmente, COBIT 5 for Risk es el marco más poderoso y único que cubre los riesgos relacionados con TI y no solo con la seguridad de la información.

...