Information Risk Management and Compliance Chapter 2
La gestin de riesgos consiste por lo general en los siguientes
procesos:Definicin del alcance.Evaluacin de riesgos.Tratamiento de
riesgos.Aceptacin de riesgos.Comunicacin y monitoreo de los
riesgos.2.8.1 Proceso de gestin de riesgos
Copyright 2013 ISACA. Todos los derechos reservados.1Directivas
para el Instructor: Las descripciones detalladas de cada uno de
estos procesos se pueden encontrar en la pgina 101 del manual. No
obstante es importante observar que dos procesos, la definicin del
alcance y la comunicacin de riesgo son los componentes principales
de la estrategia de la Gestin de Riesgos. Pginas de Referencia del
Manual de Preparacin al Examen: Pg. 101La aceptacin del riesgo se
puede considerar como un proceso opcional, dado que puede ser
cubierto por el tratamiento y la comunicacin del riesgo.Desarrollar
un proceso de gestin de riesgos sistemtico, analtico y continuo es
fundamental para el xito de cualquier programa de
seguridad.Determinar el nivel apropiado de seguridad depende de los
riesgos potenciales que enfrente una organizacin.2.8.1 Proceso de
gestin de riesgosCopyright 2013 ISACA. Todos los derechos
reservados.2Pginas de Referencia del Manual de Preparacin al
Examen: Pg. 101
2.8.2 Definicin de un marco general de gestin de riesgosPara
desarrollar un programa sistemtico de gestin de riesgos de una
organizacin, se debe utilizar un modelo de referencia del marco
general de seguridad de la informacin y adaptarlo a las
circunstancias de la organizacin.Algunos de los modelos de
referencia son:Cobit 5, ISO 31000:2009, Gua NIST 800-30, Norma
AS/NZS 4360:2004, ISO 27005:2008 Copyright 2013 ISACA. Todos los
derechos reservados.3Pginas de Referencia del Manual de Preparacin
al Examen: Pgs. 102Las normas listadas anteriormente tienen
requerimientos similares para la Gestin de Riesgos, entre
otros:Poltica.Planeacin y recursos.Programa de
implementacin.Revisin de la gerencia.Proceso de gestin de
riesgos.Documentacin de la gestin de riesgos.2.8.2 Definicin de un
marco general de gestin de riesgosCopyright 2013 ISACA. Todos los
derechos reservados.4Pginas de Referencia del Manual de Preparacin
al Examen: Pgs. 102-103Para definir un marco general efectivo es
importante:Entender los antecedentes de la organizacin y sus
riesgos (por ejemplo, sus procesos centrales, activos valiosos,
reas competitivas, etc.).Evaluar las actividades de gestin de
riesgos vigentes.Desarrollar una estructura y un proceso para el
desarrollo de iniciativas de gestin de riesgos y controles.2.8.2
Definicin de un marco general de gestin de riesgosCopyright 2013
ISACA. Todos los derechos reservados.5Pginas de Referencia del
Manual de Preparacin al Examen: Pg. 103Este enfoque resulta de
utilidad para:Aclarar y alcanzar un entendimiento comn de los
objetivos organizacionalesIdentificar el ambiente en el que se
establecen estos objetivosEspecificar el alcance y los objetivos
principales para la gestin de riesgos, las restricciones aplicables
o las condiciones especficas y los resultados que se
requierenDesarrollar un conjunto de criterios contra los cuales se
medirn los riesgosDefinir un conjunto de elementos clave para
estructurar el proceso de identificacin y evaluacin de los
riesgos2.8.2 Definicin de un marco general de gestin de
riesgosCopyright 2013 ISACA. Todos los derechos reservados.6Pginas
de Referencia del Manual de Preparacin al Examen: Pg. 1032.8.4
Definicin del ambiente internoLas reas clave que deben evaluarse a
fin de brindar un panorama integral del ambiente interno de la
organizacin incluyen, entre otras:Impulsores de negocio clave (por
ejemplo, indicadores de mercado, ventajas competitivas, atractivo
del producto, etc.)Las fortalezas, debilidades, oportunidades y
amenazas de la organizacinPartes interesadas internas.Estructura y
cultura organizacionales.Activos en trminos de recursos (es decir,
personas, sistemas, procesos, capital, etc.)Metas y objetivos, y
las estrategias para alcanzarlos.
Copyright 2013 ISACA. Todos los derechos reservados.7Directivas
para el Instructor:Asimismo, es muy importante que tanto las
percepciones como los valores de las diversas partes interesadas y
cualquier amenaza y / u oportunidad generada desde el exterior se
evalen y consideren de forma apropiada.
Pginas de Referencia del Manual de Preparacin al Examen: Pg.
103La determinacin del contexto de la gestin de riesgos implica
definir:Alcance de la organizacin y los procesos o actividades a
evaluarse.Duracin.Alcance completo de las actividades de gestin de
riesgos.Roles y responsabilidades de la organizacin que participan
en el proceso de gestin de riesgos.2.8.5 Determinacin del contexto
de la gestin de riesgosCopyright 2013 ISACA. Todos los derechos
reservados.8Pginas de Referencia del Manual de Preparacin al
Examen: Pg. 103Se deben decidir y acordar acerca de los criterios
por los cuales los riesgos sern evaluados. Algunos de ellos son los
siguientes:Impacto: los tipos de consecuencias que se deben
considerar.Probabilidad.Las reglas que determinarn si el nivel de
riesgo es tal que se requieran actividades de tratamiento
adicionales.
2.8.5 Determinacin del contexto de la gestin de riesgos
Copyright 2013 ISACA. Todos los derechos reservados.9Directivas
para el Instructor: Es clave que los criterios para la evaluacin
sean consensuados. Es muy comn que los criterios que se hayan
identificado durante estos pasos se desarrollen ms, o que incluso
se modifiquen, durante las ltimas fases del proceso de gestin de
riesgos.
Pginas de Referencia del Manual de Preparacin al Examen: Pgs.
103-1042.8.6 Anlisis de brechasDeterminacin de la brecha entre los
controles y los objetivos de control.Los objetivos de control
deberan ser desarrollados como consecuencia del gobierno y la
estrategia de seguridad de informacin.La revisin peridica de las
brechas es parte del proceso de prueba de eficacia de los
controles.Si la eficacia de los controles est fuera de la
tolerancia al riesgo, se requieren ajustes o controles
compensatorios.
Copyright 2013 ISACA. Todos los derechos reservados.10Directivas
para el Instructor:
Pginas de Referencia del Manual de Preparacin al Examen: Pg.
104
