Information Risk Management and Compliance Chapter 2
2.17 DocumentacinPara gestionar efectivamente los riesgos, se
requiere de una documentacin adecuada y fcilmente disponible. Dicha
informacin puede incluir:Polticas, procedimientos, estndares y
directrices.Resultados de anlisis de riesgos.Registro de riesgos
(para cada riesgo identificado).Base de datos de mitigacin de
riesgos.Reportes y tableros de control. Material de
entrenamiento.
Copyright 2013 ISACA. Todos los derechos reservados.1Directivas
para el Instructor:
Contenidos a Enfatizar: Para gestionar efectivamente los riesgos
se requiere de la documentacin adecuada que disponga en relacin con
las polticas de gestin de riesgos y estndares, as como otros temas
relacionados con riesgos pertinentes. Las decisiones relativas a la
naturaleza y al grado de documentacin implican costos y beneficios
relacionados. La poltica y el programa para la gestin de riesgos
definen la documentacin que es necesaria.
Pginas de Referencia del Manual de Preparacin al Examen: Pgs.
134
2.17 Documentacin Cada etapa del desarrollo del programa de
gestin de riesgos debe incluir:Objetivos.Pblico.Recursos de
informacin / Custodios de recursos.Supuestos.Decisiones.Copyright
2013 ISACA. Todos los derechos reservados.2Pginas de Referencia del
Manual de Preparacin al Examen: Pg. 1342.17 Documentacin La
documentacin de la poltica para la gestin de riesgos puede incluir
entre otras, la siguiente informacin:Objetivos de la poltica y razn
para la gestin de riesgos.mbito de aplicacin y estatutos de la
gestin de riesgos de la seguridad de la informacin.Vnculos entre la
poltica de gestin de riesgos y los planes de negocio tanto
estratgico como corporativo de la organizacin.Copyright 2013 ISACA.
Todos los derechos reservados.3Pginas de Referencia del Manual de
Preparacin al Examen: Pg. 1342.17 Documentacin La documentacin de
la poltica para la gestin de riesgos puede incluir entre otras, la
siguiente informacin:Alcance y variedad de temas a los que se
aplica la poltica.Orientacin sobre lo que puede considerarse como
riesgo aceptable.Responsabilidades sobre la gestin de
riesgos.Conocimientos profesionales de apoyo disponibles para
ayudar a los responsables de la gestin de riesgos.Copyright 2013
ISACA. Todos los derechos reservados.4Pginas de Referencia del
Manual de Preparacin al Examen: Pg. 1342.17 Documentacin La
documentacin de la poltica para la gestin de riesgos puede incluir
entre otras, la siguiente informacin:Nivel de documentacin
requerido.Plan para revisar el apego a la poltica de gestin de
riesgos.Niveles de severidad de incidentes y eventos.Procedimientos
de reporte y escalamiento de riesgos, formato y
frecuencia.Copyright 2013 ISACA. Todos los derechos
reservados.5Pginas de Referencia del Manual de Preparacin al
Examen: Pg. 1342.17 Documentacin La documentacin tpica para la
gestin de riesgos debe incluir:Un registro de riesgo (para cada
riesgo identificado).La fuente del riesgoLa naturaleza del
riesgoOpcin de tratamiento seleccionadaLos controles
existentesControles recomendados no implementados y las razones por
las cuales se deberan implementarConsecuencias y
probabilidad.Prdida de ingresosGastos inesperadosRiesgo legal (de
incumplimiento de regulaciones y contractual)Procesos
interdependientesPrdida del reconocimiento o la confianza del
pblicoCopyright 2013 ISACA. Todos los derechos
reservados.6Contenidos a Enfatizar: La documentacin tpica para la
gestin de riesgos debe incluir:Un registro de riesgosPara cada
riesgo identificado, registre: La fuente del riesgo La naturaleza
del riesgo Opcin de tratamiento seleccionada Los controles
existentes Controles recomendados no implementados y las razones
por las cuales se deberan implementarConsecuencias y probabilidad
de compromiso, incluyendo: Prdida de ingresos Gastos inesperados
Riesgo legal (de incumplimiento de regulaciones y contractual)
Procesos interdependientes Prdida del reconocimiento o la confianza
del pblicoClasificacin inicial del riesgoVulnerabilidad a factores
internos/externosUn inventario de los activos de informacin,
incluyendo TI y activos de telecomunicacin, que menciona:
Descripcin del activo Especificaciones tcnicas Nmero/cantidad
Ubicacin Requerimientos de licencias especiales, de existir alguno
Un plan de accin y mitigacin de riesgos, que especifique: Quin
tiene la responsabilidad de implementar el plan Los recursos que se
van a utilizar La asignacin del presupuesto El calendario para la
implementacin Detalles de los mecanismos / medidas de control
Cumplimiento de los requerimientos de la polticaDocumentos de
auditora y monitoreo, que incluyan: Resultados de
auditoras/revisiones y otros procedimientos de monitoreo
Seguimiento de las recomendaciones de la revisin y el estado de su
implementacin.
Pginas de Referencia del Manual de Preparacin al Examen: Pg.
1342.17 Documentacin La documentacin tpica para la gestin de
riesgos debe incluir:Clasificacin inicial del riesgo.Vulnerabilidad
a factores internos/externos.Un inventario de los activos de
informacin.Descripcin del activoEspecificaciones
tcnicasNmero/cantidadUbicacin Requerimientos de licencias
especiales, de existir alguno Copyright 2013 ISACA. Todos los
derechos reservados.7Contenidos a Enfatizar: La documentacin tpica
para la gestin de riesgos debe incluir:Un registro de riesgosPara
cada riesgo identificado, registre: La fuente del riesgo La
naturaleza del riesgo Opcin de tratamiento seleccionada Los
controles existentes Controles recomendados no implementados y las
razones por las cuales se deberan implementarConsecuencias y
probabilidad de compromiso, incluyendo: Prdida de ingresos Gastos
inesperados Riesgo legal (de incumplimiento de regulaciones y
contractual) Procesos interdependientes Prdida del reconocimiento o
la confianza del pblicoClasificacin inicial del
riesgoVulnerabilidad a factores internos/externosUn inventario de
los activos de informacin, incluyendo TI y activos de
telecomunicacin, que menciona: Descripcin del activo
Especificaciones tcnicas Nmero/cantidad Ubicacin Requerimientos de
licencias especiales, de existir alguno Un plan de accin y
mitigacin de riesgos, que especifique: Quin tiene la
responsabilidad de implementar el plan Los recursos que se van a
utilizar La asignacin del presupuesto El calendario para la
implementacin Detalles de los mecanismos / medidas de control
Cumplimiento de los requerimientos de la polticaDocumentos de
auditora y monitoreo, que incluyan: Resultados de
auditoras/revisiones y otros procedimientos de monitoreo
Seguimiento de las recomendaciones de la revisin y el estado de su
implementacin.
Pginas de Referencia del Manual de Preparacin al Examen: Pg.
1342.17 Documentacin La documentacin tpica para la gestin de
riesgos debe incluir:Un plan de accin de mitigacin de riesgos.Quin
tiene la responsabilidad de implementar el planLos recursos que se
van a utilizarLa asignacin del presupuestoEl calendario para la
implementacinDetalles de los mecanismos / medidas de
controlCumplimiento de los requerimientos de la polticaDocumentos
de auditora y monitoreo.Resultados de auditoras/revisiones y otros
procedimientos de monitoreoSeguimiento de las recomendaciones de la
revisin y el estado de su implementacin.Copyright 2013 ISACA. Todos
los derechos reservados.8Contenidos a Enfatizar: La documentacin
tpica para la gestin de riesgos debe incluir:Un registro de
riesgosPara cada riesgo identificado, registre: La fuente del
riesgo La naturaleza del riesgo Opcin de tratamiento seleccionada
Los controles existentes Controles recomendados no implementados y
las razones por las cuales se deberan implementarConsecuencias y
probabilidad de compromiso, incluyendo: Prdida de ingresos Gastos
inesperados Riesgo legal (de incumplimiento de regulaciones y
contractual) Procesos interdependientes Prdida del reconocimiento o
la confianza del pblicoClasificacin inicial del
riesgoVulnerabilidad a factores internos/externosUn inventario de
los activos de informacin, incluyendo TI y activos de
telecomunicacin, que menciona: Descripcin del activo
Especificaciones tcnicas Nmero/cantidad Ubicacin Requerimientos de
licencias especiales, de existir alguno Un plan de accin y
mitigacin de riesgos, que especifique: Quin tiene la
responsabilidad de implementar el plan Los recursos que se van a
utilizar La asignacin del presupuesto El calendario para la
implementacin Detalles de los mecanismos / medidas de control
Cumplimiento de los requerimientos de la polticaDocumentos de
auditora y monitoreo, que incluyan: Resultados de
auditoras/revisiones y otros procedimientos de monitoreo
Seguimiento de las recomendaciones de la revisin y el estado de su
implementacin.
Pginas de Referencia del Manual de Preparacin al Examen: Pg.
134