EDM03 - ASEGURAR LA OPTIMIZACIÓN DEL RIESGO

Esta práctica se enfoca en garantizar que la empresa comprenda, comunique y gestione

adecuadamente el riesgo relacionado con el uso de la tecnología de la información. Para
lograrlo, es necesario:

1. Entender el apetito y la tolerancia al riesgo de la empresa: Esto implica conocer

cuánto riesgo está dispuesta a asumir la empresa y cuánto riesgo puede tolerar.
Cada empresa tiene diferentes niveles de riesgo que están dispuestas a enfrentar
en relación con el uso de la tecnología de la información.
2. Articular y comunicar el apetito y la tolerancia al riesgo: Una vez que se
comprende el nivel de riesgo aceptable, es importante comunicarlo claramente a
todos los miembros de la organización. Esto ayuda a establecer una comprensión
común y asegurar que todos estén alineados con los objetivos de gestión del
riesgo.
3. Identificar y gestionar el riesgo para el valor de la empresa: Es fundamental
identificar los riesgos específicos asociados al uso de la tecnología de la
información que podrían afectar el valor de la empresa. Una vez identificados, se
deben implementar medidas para gestionar y mitigar estos riesgos de manera
efectiva.

En resumen, la práctica EDM03 se centra en asegurar que la empresa tenga una

comprensión clara del riesgo relacionado con el uso de la tecnología de la información,
que establezca límites aceptables y que tome medidas para gestionar y minimizar estos
riesgos con el objetivo de proteger el valor de la empresa.

MÉTRICAS RELACIONADAS CON LAS METAS DE TI

1. Riesgos de negocio relacionados con las TI gestionadas:

o Porcentaje de procesos de negocio críticos, servicios TI y programas de
negocio habilitados por las TI cubiertos por evaluaciones de riesgos.
Ejemplo: Se realiza una evaluación de riesgos y se descubre que solo el
60% de los procesos de negocio críticos están cubiertos. La solución
sería realizar evaluaciones de riesgos para los procesos restantes y
establecer controles adecuados para mitigar los riesgos identificados.
o Número de incidentes significativos relacionados con las TI que no
fueron identificados en la evaluación de riesgos. Ejemplo: Se produjo un
incidente de seguridad importante que no había sido identificado
previamente en la evaluación de riesgos. La solución sería revisar y
mejorar el proceso de evaluación de riesgos para asegurarse de que todos
los riesgos potenciales estén debidamente considerados y gestionados.
o Porcentaje de evaluaciones de riesgo de la empresa que incluyen los
riesgos relacionados con TI. Ejemplo: Se descubre que solo el 30% de
las evaluaciones de riesgo de la empresa incluyen los riesgos
relacionados con TI. La solución sería garantizar que todas las
evaluaciones de riesgo consideren los riesgos asociados con la tecnología
de la información, para así poder gestionarlos de manera efectiva.
 o Frecuencia de actualización del perfil de riesgo. Ejemplo: El perfil de
riesgo de TI no ha sido actualizado en más de un año. La solución sería
establecer un programa regular de actualización del perfil de riesgo,
revisándolo al menos una vez al año o en función de cambios
significativos en la empresa o en el entorno tecnológico.
2. Transparencia de costes, beneficios y riesgos de las TI:
o Porcentaje de inversión en casos de negocio con costes y beneficios
esperados relativos a TI claramente definidos y aprobados. Ejemplo: El
40% de las inversiones en casos de negocio no tienen costes y beneficios
esperados definidos y aprobados. La solución sería establecer un proceso
claro para definir y aprobar los costes y beneficios esperados de cada
inversión en tecnología de la información.
o Porcentaje de servicios TI con costes operativos y beneficios esperados
claramente definidos y aprobados. Ejemplo: El 25% de los servicios de
TI no tienen costes operativos y beneficios esperados claramente
definidos y aprobados. La solución sería asegurarse de que todos los
servicios de TI tengan costes operativos y beneficios claramente
definidos y que sean aprobados por las partes interesadas relevantes.
o Encuesta de satisfacción a las partes interesadas clave, relativa al nivel de
transparencia, comprensión y precisión de la información financiera de
TI. Ejemplo: Se realiza una encuesta de satisfacción y se descubre que
las partes interesadas clave no están satisfechas con el nivel de
transparencia y comprensión de la información financiera de TI. La
solución sería mejorar la comunicación y la divulgación de la
información financiera de TI para garantizar una mayor transparencia y
comprensión por parte de las partes interesadas.
3. Seguridad de la información, infraestructura de procesamiento y aplicaciones:
o Número de incidentes de seguridad causantes de pérdidas financieras,
interrupciones del negocio o pérdida de imagen pública. Ejemplo: Se
produjo un incidente de seguridad que resultó en una pérdida financiera
significativa para la empresa y afectó su reputación. La solución sería
fortalecer las medidas de seguridad de la información, como implementar
controles de acceso adecuados, cifrado de datos y realizar auditorías de
seguridad periódicas.
o Número de servicios de TI con los requisitos de seguridad pendientes.
Ejemplo: Se identificaron cinco servicios de TI que aún no cumplen con
los requisitos de seguridad establecidos. La solución sería asignar
recursos para abordar estos requisitos pendientes y asegurarse de que se
implementen las medidas de seguridad necesarias.
o Tiempo para otorgar, modificar y eliminar los privilegios de acceso,
comparado con los niveles de servicio acordados. Ejemplo: El tiempo
para otorgar, modificar o eliminar privilegios de acceso excede los
niveles de servicio acordados, lo que puede causar demoras y problemas
de seguridad. La solución sería revisar y optimizar los procesos de
gestión de accesos para cumplir con los acuerdos de nivel de servicio
establecidos.
o Frecuencia de evaluación de seguridad frente a los últimos estándares y
guías. Ejemplo: La evaluación de seguridad se lleva a cabo una vez al
año, lo que no cumple con los últimos estándares y guías de seguridad.
La solución sería establecer un programa regular de evaluación de
 seguridad que se alinee con los estándares y guías más recientes, para
mantener un nivel adecuado de protección de la información y la
infraestructura.
4. Cumplimiento de las políticas internas de las TI:
o Número de incidentes relacionados con el incumplimiento de la política.
Ejemplo: Se produjeron tres incidentes en los últimos seis meses debido
al incumplimiento de las políticas internas de TI. La solución sería
reforzar la comunicación y la formación sobre las políticas de TI para
garantizar un mayor cumplimiento por parte de los empleados.
o Porcentaje de partes interesadas que comprenden las políticas. Ejemplo:
Solo el 50% de las partes interesadas comprenden las políticas internas
de TI. La solución sería implementar actividades de divulgación y
capacitación para garantizar que todas las partes interesadas tengan un
entendimiento claro de las políticas y sus implicaciones.
o Porcentaje de políticas soportadas por estándares y prácticas de trabajo
efectivas. Ejemplo: El 30% de las políticas internas de TI no cuentan con
estándares y prácticas de trabajo efectivas para respaldar su
implementación. La solución sería revisar y mejorar las políticas
existentes, asegurándose de que estén respaldadas por estándares y
prácticas efectivas.
o Frecuencia de revisión y actualización de las políticas. Ejemplo: Las
políticas de TI no se revisan ni se actualizan regularmente, lo que puede
resultar en políticas desactualizadas y no adecuadas a los cambios del
entorno. La solución sería establecer un programa de revisión y
actualización periódica de las políticas, para asegurar su relevancia y
efectividad continua.

Recuerda que estos son solo ejemplos y que las soluciones pueden variar según las
circunstancias y los requisitos específicos de cada organización.

MÉTRICAS RELACIONADAS CON LAS METAS DEL PROCESO

1. Los umbrales de riesgo son definidos y comunicados; los riesgos clave

relacionados con las TI son conocidos:
o Nivel de alineamiento entre riesgo TI y riesgo de negocio: Explicación:
Evalúa cómo los riesgos de TI están alineados con los riesgos generales
del negocio.

Ejemplo: Un banco identifica el fraude en línea como un riesgo TI

alineado con su riesgo de negocio relacionado con la seguridad
financiera.

Solución: Realizar evaluaciones periódicas para asegurar que los riesgos

TI se comprenden y abordan en función de su impacto en los objetivos
del negocio.
 o Número de potenciales riesgos TI identificados y gestionados:
Explicación: Mide cuántos riesgos TI se han identificado y están siendo
gestionados adecuadamente.

Ejemplo: Una empresa de comercio electrónico identifica el riesgo de

robo de datos de tarjetas de crédito como un riesgo clave y tiene medidas
de seguridad en su lugar para prevenirlo.

Solución: Establecer un proceso para identificar y gestionar

continuamente los riesgos TI, asegurando que se tomen medidas
adecuadas para mitigarlos.

o Frecuencia de refresco de la evaluación de los factores de riesgo:

Explicación: Indica con qué frecuencia se revisan y actualizan las
evaluaciones de riesgo TI.

Ejemplo: Una empresa de tecnología realiza una evaluación de riesgo TI

cada trimestre para mantenerse al día con los cambios en el entorno
tecnológico y los nuevos riesgos emergentes.

Solución: Establecer una programación regular para revisar y actualizar

las evaluaciones de riesgo TI, asegurando que estén alineadas con los
cambios en el entorno empresarial y tecnológico.

2. La empresa gestiona el riesgo crítico empresarial relacionado con las TI eficaz y

eficientemente:
o Porcentaje de proyectos de la empresa que consideran el riesgo TI:
Explicación: Evalúa qué porcentaje de proyectos de la empresa tienen en
cuenta los riesgos TI durante la planificación.

Ejemplo: Una compañía de fabricación incluye una evaluación de riesgo

TI al implementar un nuevo sistema de gestión de inventario para
identificar posibles vulnerabilidades de seguridad.

Solución: Integrar la consideración de los riesgos TI en todos los

proyectos de la empresa, asegurando que se tomen medidas para
mitigarlos adecuadamente.

o Porcentaje de planes de acción de riesgo TI ejecutados a tiempo:

Explicación: Mide qué porcentaje de los planes de acción para mitigar
los riesgos TI se implementan dentro de los plazos establecidos.

Ejemplo: Una compañía de servicios financieros tiene un plan de acción

para mejorar la seguridad de sus sistemas y asegurarse de que se
implementa de acuerdo con el cronograma establecido.

Solución: Establecer una gestión de proyectos sólida y un seguimiento

regular para asegurar que los planes de acción de riesgo TI se
implementen dentro de los plazos establecidos.
 o Porcentaje de riesgos críticos que han sido eficazmente mitigados:
Explicación: Evalúa qué porcentaje de los riesgos críticos identificados
se han mitigado de manera efectiva.

Ejemplo: Una empresa de telecomunicaciones identifica la interrupción

del servicio como un riesgo crítico y ha implementado redundancias y
planes de recuperación para minimizar el impacto en caso de
interrupciones.

Solución: Implementar medidas efectivas de mitigación de riesgos y

evaluar regularmente su eficacia para asegurarse de que los riesgos
críticos se mantengan bajo control.

3. Los riesgos empresariales relacionados con las TI no exceden el apetito de

riesgo y el impacto de riesgo TI en el valor de la empresa:
o Nivel de impacto empresarial inesperado: Explicación: Mide el nivel de
impacto negativo en el negocio debido a riesgos TI no anticipados.

Ejemplo: Una empresa de comercio minorista sufre una violación de

datos que resulta en la pérdida de información personal de los clientes y
daños a su reputación.

Solución: Implementar medidas de seguridad sólidas, como firewalls y

sistemas de detección de intrusiones, y realizar pruebas de seguridad
regulares para minimizar el impacto empresarial inesperado.

o Porcentaje de riesgos TI que exceden el riesgo empresarial tolerado:

Explicación: Evalúa qué porcentaje de los riesgos TI identificados
superan los niveles de riesgo que la empresa está dispuesta a tolerar.

Ejemplo: Una empresa de servicios financieros establece que no tolerará

un riesgo de pérdida financiera superior a cierto porcentaje del valor de
sus activos.

Solución: Reevaluar y ajustar continuamente los umbrales de riesgo

empresarial y tomar medidas adicionales para mitigar los riesgos TI que
exceden estos umbrales, como la implementación de medidas de
seguridad adicionales o la diversificación de proveedores de servicios TI.

Espero que estas explicaciones te hayan resultado más sencillas de entender. Recuerda
que cada empresa puede adaptar y personalizar estas métricas según sus objetivos y
contextos específicos.

PRÁCTICAS CLAVE DE GOBIERNO

1. EDM03.01 - Evaluar la gestión de riesgos: Esta práctica se refiere a la
evaluación periódica y sistemática de la gestión de riesgos en la organización
para asegurar su eficacia y eficiencia.

Ejemplo: Una empresa de fabricación evalúa regularmente su gestión de riesgos

para identificar áreas de mejora. Durante la evaluación, se descubre que la
empresa no ha considerado adecuadamente los riesgos relacionados con la
cadena de suministro, lo que podría afectar su capacidad para entregar productos
a tiempo.

Estudio de caso: La empresa implementa un programa de evaluación de riesgos

más completo que abarca la cadena de suministro. Se identifican posibles
riesgos, como interrupciones en la cadena de suministro debido a desastres
naturales o problemas con los proveedores clave. La empresa implementa
medidas de mitigación, como la diversificación de proveedores y la
implementación de sistemas de alerta temprana, para minimizar el impacto de
estos riesgos.

2. EDM03.02 - Orientar la gestión de riesgos: Esta práctica implica proporcionar

directrices claras y orientación a la organización sobre cómo identificar, evaluar
y gestionar los riesgos de manera efectiva.

Ejemplo: Una empresa de servicios financieros desarrolla un conjunto de

políticas y procedimientos detallados para guiar la gestión de riesgos. Estas
políticas establecen los roles y responsabilidades de los diferentes actores dentro
de la organización, las metodologías para identificar y evaluar riesgos, y las
estrategias de mitigación recomendadas.

Estudio de caso: La empresa capacita a su personal en las políticas y

procedimientos establecidos, y proporciona herramientas y recursos para ayudar
en la identificación y evaluación de riesgos. Además, se establecen mecanismos
de retroalimentación y revisión periódica para asegurar que las directrices sean
efectivas y se ajusten según sea necesario.

3. EDM03.03 - Supervisar la gestión de riesgos: Esta práctica implica establecer un

proceso de supervisión continua de la gestión de riesgos para garantizar que se
cumplan los objetivos y se tomen medidas adecuadas para mitigar los riesgos
identificados.

Ejemplo: Una empresa de tecnología establece un comité de supervisión de

riesgos compuesto por representantes de diferentes áreas de la organización.
Este comité se reúne regularmente para revisar informes de riesgo, discutir áreas
de preocupación y supervisar el progreso de las medidas de mitigación
implementadas.

Estudio de caso: Durante una reunión del comité de supervisión de riesgos, se

identifica un aumento significativo en el riesgo de ciberseguridad debido a una
serie de intentos de ataques cibernéticos. Se decide aumentar la inversión en
medidas de seguridad de TI, como firewalls y sistemas de detección de
 intrusiones, y se asigna un equipo dedicado para monitorear y responder a
posibles amenazas.

Solución común a los casos de estudio: En todos los casos, una solución común es
establecer un enfoque proactivo y sistemático para la gestión de riesgos, que incluya la
identificación temprana de riesgos, la implementación de medidas de mitigación
efectivas y la revisión continua para asegurar su eficacia. Además, es importante
fomentar la conciencia y la capacitación en gestión de riesgos en toda la organización
para garantizar una cultura de riesgo sólida y una respuesta rápida y efectiva ante
cualquier problema identificado.

En resumen, estas prácticas clave de gobierno se dedican a evaluar, orientar y supervisar

la gestión de riesgos en una organización. La evaluación se enfoca en medir y evaluar la
gestión de riesgos, incluyendo la identificación y mitigación de riesgos clave
relacionados con las TI. La orientación se centra en establecer políticas, procesos y
controles efectivos para gestionar los riesgos de manera coherente con los objetivos de
negocio. La supervisión implica monitorear y controlar el proceso de gestión de riesgos,
tomando medidas correctivas y asegurando la alineación con los objetivos y estrategias
organizacionales.