Professional Documents
Culture Documents
Herramientas Cualitativas y Cuantitativas para la Investigacin en Informtica OPTIMIZACIN DE LA GESTIN DE RIESGOS EN SISTEMAS TIC. ESTADO DEL ARTE
21 DE ENERO 2010
CONTENIDOS
Introduccin y antecedentes. ITIL V3 y la Gestin de Riesgos. Metodologas de anlisis de riesgos. Cuadro de Mando Integral. Conclusiones
CONTENIDOS
Introduccin y antecedentes. ITIL V3 y la Gestin de Riesgos. Metodologas de anlisis de riesgos. Cuadro de Mando Integral. Conclusiones
Introduccin y antecedentes
Hiptesis
Proponer para el ciclo de ITIL V3 un sistema de gestin de riesgos optimizado para las caractersticas de ITIL V3 y que adems facilite alinear los objetivos del anlisis de riesgo con los del sistema TI y con los de la misma corporacin.
CONTENIDOS
Introduccin y antecedentes. ITIL V3 y la Gestin de Riesgos. Metodologas de anlisis de riesgos. Cuadro de Mando Integral. Conclusiones
Diseo
Gestin Catlogo del Servicio. Gestin del Nivel de Servicio. Gestin de la Capacidad. Gestin de la Disponibilidad. Gestin de la Continuidad Gestin de la Seguridad de la Informacin. Gestin de Suministradores
Transicin
Planificacin y soporte de la transicin. Gestin de Cambios. Gestin de la Configuracin y Activos Gestin de Entregas y Despligues. Validacin y Pruebas del Servicio. Evaluacin Gestin del Conocimiento.
Operacin
Gestin de Eventos. Gestin de Incidencias Gestin de Problemas. Gestin de Peticiones. Gestin de Acceso. Service Help Gestin Tcnica. Gestin de Operaciones. Gestin de Aplicaciones
Diseo
Falta de cumplimiento en algn PFS Los tiempos programados. No existen suficientes recursos Insuficiente implicacin
Transicin
Los cambios de dependencias y responsabilidades Los servicios en transicin pueden representar costes adicionales no planificados. Prcticas de Transicin con propensin a cubrir todos los riesgos.
Operacin
Inadecuados fondos y recursos Prdida del momentum. Prdida de Personal principal Resistencia al cambio. Falta de apoyo a la gestin. Fallos de diseo en origen
CONTENIDOS
Introduccin y antecedentes. ITIL V3 y la Gestin de Riesgos. Metodologas de anlisis de riesgos. Cuadro de Mando Integral. Conclusiones
Metodologas de anlisis de riesgos. COSO-ERM Entorno para la gestin del riesgo en un nivel corporativo. Incide ms en la gestin de riesgos que en el control interno de COSO I. Gestin de riesgos integrado. Precursor de un vocabulario comn para anlisis de riesgo
Metodologas de anlisis de riesgos. Risk IT Risk IT nace en el entorno de ISACA como un cdigo de buenas prcticas. Complemento a lo que COBIT representa como medio para controlar y mitigar los riesgos. El entorno Risk IT est basado en los principios de los estndares/entornos de ERM Enterprise Risk Management como COSO ERM y AS/NZS 4360. Risk IT clasifica los riesgos en tres categoras: Riesgos que consiguen valor/beneficios en TI Riesgos en la entrega de proyectos y programas TI Riesgo en la entrega de servicios y operaciones TI. Cuenta con tres dominios: Gobierno del riesgo (Apetito y Tolerancia al riesgo, Comunicacin y Conocimiento, etc.) Evaluacin del riesgo (Descripcin del impacto, Escenarios) Respuesta al riesgo( KRI,s, Definicin de la respuesta y prioridades)
Metodologas de anlisis de riesgos. Gua de Anlisis de Riesgos para Sistemas TI (SP 800-30)
El National Institute of Standards and Technology de los EEUU desarroll en el 2002 esta gua. Esta gua est orientada al ciclo de vida de los sistemas. Se percibe una orientacin sobre la seguridad de la informacin. Una de las principales utilidades con las que se le provee es la de certificacin de sistemas. El objetivo, segn la gua, de la gestin de riesgos es permitir que la organizacin alcance sus objetivos mediante: La securizacin de sus sistemas TI. El apoyo a la gestin para que sus decisiones sean bien informadas. El apoyo a la gestin para autorizar (acreditar) los sistemas TI. La gua abarca: Una visin de conjunto de la gestin de riesgos. Una descripcin de la metodologa de valoracin del riesgo basado en nueve fases. Una descripcin del proceso de mitigacin/reduccin del riesgo. Una discusin sobre: Buenas prcticas, la necesidad de una continua evaluacin y valoracin y los factores que conducen a un programa de xito respecto a la gestin de riesgos.
CONTENIDOS
Introduccin y antecedentes. ITIL V3 y la Gestin de Riesgos. Metodologas de anlisis de riesgos. Cuadro de Mando Integral. Conclusiones
Para ITIL V3 existe un trabajo proponiendo CMI y un desglose en cascada y segn fases
del ciclo de vida y tamao de la organizacin. En gestin de riesgos solo se conoce alguna propuesta para riesgos financieros.
CONTENIDOS
Introduccin y antecedentes. ITIL V3 y la Gestin de Riesgos. Metodologas de anlisis de riesgos Cuadro de Mando Integral. Conclusiones.
Conclusiones ITIL V3 no cuenta con una metodologa de gestin riesgos adaptada a sus caractersticas. Se han analizado cuatro entornos de gestin de riesgos, dos para control de riesgos empresariales, COSO-ERM e ISO-31000 y dos para riesgos TI, Risk IT y la gua SP800-30 del NIST. SP800-30 se adapta al ciclo de vida de los sistemas Risk IT ha sido publicado para trabajar con COBIT, que se encuentra bien mapeado con ITIL. Los CMI pueden utilizarse como una herramienta de comunicacin y control en la gestin de riesgos TI. Existen propuestas de utilizacin de los CMI en gestin de riesgos financieros pero no en TI. Los CMI para gestin de riesgos TI pueden organizarse en cascada y en paralelo a los de gestin de las TI.