¿Cuál es el mejor estándar de administración de riesgo para las TI?
Por Gustavo Segovia, Gerente de Risk Consulting de Deloitte publicado en la Revista Gerencia de Agosto de 2008.
Desde hace años existen distintos estándares que intentan definir un modelo para administrar el riesgo de las Tecnologías de Información. Sin embargo, más de una vez hemos escuchado a los encargados y administradores de TI preguntar cómo se integran estas visiones y cuál debe ser aplicada a su organización.
La problemática no es menor, sobre todo considerando que en muchas ocasiones se intenta desarrollar cada uno de los modelos como proyectos individuales, sin aprovechar las sinergias existentes en una implementación integrada, con un mayor esfuerzo de parte de las funciones operacionales.
Para desarrollar este modelo de integración, se deben entender al menos los siguientes estándares:
COSO - Committee of Sponsoring Organizations of the Treadway Commission: Es un modelo para entender el control interno y sirve como punto de partida para definir la administración de riesgo de manera transversal en una organización.
COSO permite relacionar las necesidades de alto nivel -efectividad y eficiencia en la operación, confiabilidad de los reportes financieros y cumplimiento con leyes y regulaciones-, con requerimientos de administración de riesgo genéricos y específicos para los distintos procesos de negocio de una organización, incluyendo los procesos de apoyo como las Tecnologías de Información.
ISO/IEC 2700x: La serie 27000 de estándares ISO es un conjunto de documentos ampliamente reconocido y globalmente aceptado para administrar la seguridad de la información, una de las principales áreas de administración de riesgo en TI.
La serie incluye documentos específicos para definir un sistema de gestión de seguridad de la información, buenas prácticas de control, métricas de seguridad y gestión de riesgo.
ISO 20000 (ITIL/ITSM): Es el estándar más utilizado para administrar servicios TI. ITIL/ITSM define el modelo y los procesos clave para la entrega y soporte de servicios TI alineados con los objetivos del negocio y la necesidad de mejora continua, disponiendo de un módulo directamente relacionado con ISO/IEC 27000.
Cobit 4.1: Cobit es un modelo de gobierno para administrar el riesgo y controlar las Tecnologías de Información. Este estándar ha sido ampliamente adoptado por las áreas TI en las organizaciones sujetas a requerimientos originados de la regulación Sarbanes-Oxley, siendo también un componente relevante a la hora de implementar mecanismos de medición de riesgo operacional (Basilea) y como herramienta para las funciones de auditoría interna y externa.
Estos cuatro estándares integrados conforman la visión de Deloitte respecto de la administración de riesgo en las Tecnologías de Información (ITRM - Information & Technology Risk Management).
Seguir leyendo en la Revista Gerencia
Desde hace años existen distintos estándares que intentan definir un modelo para administrar el riesgo de las Tecnologías de Información. Sin embargo, más de una vez hemos escuchado a los encargados y administradores de TI preguntar cómo se integran estas visiones y cuál debe ser aplicada a su organización.
La problemática no es menor, sobre todo considerando que en muchas ocasiones se intenta desarrollar cada uno de los modelos como proyectos individuales, sin aprovechar las sinergias existentes en una implementación integrada, con un mayor esfuerzo de parte de las funciones operacionales.
Para desarrollar este modelo de integración, se deben entender al menos los siguientes estándares:
COSO - Committee of Sponsoring Organizations of the Treadway Commission: Es un modelo para entender el control interno y sirve como punto de partida para definir la administración de riesgo de manera transversal en una organización.
COSO permite relacionar las necesidades de alto nivel -efectividad y eficiencia en la operación, confiabilidad de los reportes financieros y cumplimiento con leyes y regulaciones-, con requerimientos de administración de riesgo genéricos y específicos para los distintos procesos de negocio de una organización, incluyendo los procesos de apoyo como las Tecnologías de Información.
ISO/IEC 2700x: La serie 27000 de estándares ISO es un conjunto de documentos ampliamente reconocido y globalmente aceptado para administrar la seguridad de la información, una de las principales áreas de administración de riesgo en TI.
La serie incluye documentos específicos para definir un sistema de gestión de seguridad de la información, buenas prácticas de control, métricas de seguridad y gestión de riesgo.
ISO 20000 (ITIL/ITSM): Es el estándar más utilizado para administrar servicios TI. ITIL/ITSM define el modelo y los procesos clave para la entrega y soporte de servicios TI alineados con los objetivos del negocio y la necesidad de mejora continua, disponiendo de un módulo directamente relacionado con ISO/IEC 27000.
Cobit 4.1: Cobit es un modelo de gobierno para administrar el riesgo y controlar las Tecnologías de Información. Este estándar ha sido ampliamente adoptado por las áreas TI en las organizaciones sujetas a requerimientos originados de la regulación Sarbanes-Oxley, siendo también un componente relevante a la hora de implementar mecanismos de medición de riesgo operacional (Basilea) y como herramienta para las funciones de auditoría interna y externa.
Estos cuatro estándares integrados conforman la visión de Deloitte respecto de la administración de riesgo en las Tecnologías de Información (ITRM - Information & Technology Risk Management).
Seguir leyendo en la Revista Gerencia
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!