Nombre: Bryan Espinoza

Fecha: 14/11/2017

NRC: 2798

Estudio de caso COBIT: Gestin de la evaluacin de riesgos

utilizando COBIT 5
Como cadena de supermercados regional de EE. UU. Con sede en una gran rea metropolitana,
FamilyGrocer (nombre cambiado) experiment un rpido crecimiento a travs de nuevas
aperturas y adquisiciones de tiendas. Con un enfoque en las eficiencias de la cadena de
suministro, FamilyGrocer distribuye la mayora de los productos a sus tiendas a travs de una
instalacin de depsito que tambin alberga oficinas clave y recursos de TI. A la luz del riesgo
asociado con dicha operacin consolidada, la organizacin de TI recibi un mandato de su
consejo de administracin para gestionar formalmente los riesgos relacionados con TI. El
mandato exiga especficamente una evaluacin inicial de alto nivel del riesgo organizacional
de TI, basndose principalmente en la experiencia interna. La junta tambin solicit que la
organizacin de TI demuestre un programa continuo para administrar el riesgo.

La organizacin de TI disfrut de una membresa con el grupo de investigacin de Info-Tech

para acceder a sus mejores prcticas de investigacin y orientacin de seleccin de
proveedores. Involucrarse con Info-Tech para llevar a cabo un taller de operaciones basado en
COBIT sobre gestin de riesgos fue el siguiente paso natural.
Info-Tech bas el taller en COBIT 5 debido al marco claro y conciso de COBIT 5 para capturar
procesos clave de TI (junto con la interaccin del proceso y los requisitos de documentacin).
COBIT es un marco de confianza utilizado por los auditores de TI y otros profesionales de TI,
particularmente en las reas de prctica de estrategia, seguridad y riesgo.
Durante el taller de una semana, los miembros clave del equipo de gestin de TI, as como el
director de informacin (CIO), trabajaron con el facilitador para documentar sus conocimientos
y comprensin, utilizando COBIT para extraer su conocimiento del riesgo de TI y organizarlo de
una manera adecuada para el anlisis.

1. Evaluacin de Riesgos
Introduccin
Actualmente, la gestin de Tecnologas de Informacin y Comunicaciones (TIC) en
FamilyGrocer lo cual se evidencia en la composicin de los presupuestos de
tecnologa, el desarrollo de proyectos, la proyeccin de la formacin y perfil del personal
en los temas tecnolgicos, as como en la elaboracin de un plan estratgico, totalmente
alineado con los objetivos de la institucin.
 Estructura de los riesgos
Como se indic anteriormente, la UTI apoya los macro procesos institucionales por
medio de cuatro procesos; stos son los siguientes:

Infraestructura
El proceso de infraestructura se refiere al soporte tecnolgico brindado por medio de la
red de comunicaciones interna, conexiones inalmbricas, acceso va Internet a la
Seguridad y Control
En este proceso estamos hablando de las cmaras de vdeo, acceso al Centro de
Cmputo y a la UTI en general, software y hardware necesario para fortalecer la
seguridad y el control, monitoreo en general, administracin de componentes o
funcionalidades.
Debido que se maneja la bodega conjuntamente con el rea de TI.

2. Documentacin de Eventos
Identificacin de riesgos
La identificacin de riesgos corresponde a la confeccin de una lista de los posibles
eventos que pueden afectar las operaciones y los servicios ofrecidos por TI a la
institucin; para facilitar la posterior evaluacin del riesgo en cuanto a su nivel de
impacto se les asocia la categora correspondiente:

Id Descripcin de Riesgo Categora

1 En el depsito de productos tambin alberga Seguridad
oficinas clave y recursos de TI.
2 No contar con un marco de referencia para la Gestin
gestin de los proyectos en cuanto a su iniciacin,
planificacin, ejecucin, control y cierre, o aplicar
ese marco de referencia deficientemente.
3 No administrar los riesgos de TI. Gestin
4 Se tiene Plan Estratgico desactualizado. Gestin
5 Acceso no autorizado a la informacin. Seguridad
6 No existe contrato de mantenimiento Gestin
7 No contar con la metodologa y procedimientos Operacin
necesarios para la administracin de los cambios.
8 Trabajar directamente en equipos de produccin. Operacin
3. Resultados.
Evaluacin de riesgos absolutos
La primera evaluacin corresponde a los riesgos absolutos, es decir, valorar el nivel de
severidad de cada riesgo sin tomar en cuenta el efecto de los controles que se aplican
actualmente. Como fue definido anteriormente, la calificacin se realiza utilizando dos
criterios primarios que son la probabilidad (P) y el impacto (I) de cada riesgo, de esto
valores.

Id Descripcin de Riesgo Categora P I R

En el depsito de productos
1 tambin alberga oficinas clave y Seguridad 4 4 16
recursos de TI.

No contar con un marco de

referencia para la gestin de los
proyectos en cuanto a su iniciacin,
2 Gestin 4 4 16
planificacin, ejecucin, control y
cierre, o aplicar ese marco de
referencia deficientemente.
3 No administrar los riesgos de TI. Gestin 2 3 6
Se tiene Plan Estratgico
4 Gestin 4 4 16
desactualizado.
Acceso no autorizado a la
5 Seguridad 3 5 15
informacin.
No existe contrato de
6 Gestin 3 4 12
mantenimiento
No contar con la metodologa y
7 procedimientos necesarios para la Operacin 3 4 12
administracin de los cambios.

Trabajar directamente en equipos

8 Operacin 3 4 12
de produccin.

Riesgos de Gestin

5
4 2,4
3 3 6
2
1
impacto

1 2 3 4 5
Probabilidad
 Riesgos de Seguridad

5 5
4 1
3
2
1
impacto

1 2 3 4 5
Probabilidad

Riesgos de Operacin

5
4 7,8
3
2
1
impacto

1 2 3 4 5
Probabilidad

1. Comentar sobre:

La aplicacin de Cobit en el Caso de Estudio

Cul es el papel de los diferentes actores como:

CEO.
Es el mximo responsable de la gestin y direccin administrativa de una
organizacin.
COO (Chief Operating Officer).
Director de Operaciones y su cometido es el de supervisar las operaciones de la
empresa
CFO (Chief Financial Officer).
El encargado de la planificacin econmica y financiera de la compaa.
CTO (Chief Technology Officer).
Se encarga de velar por que los sistemas de informacin funcionen
adecuadamente.
CIO (Chief Information Officer).
Es el responsable de los sistemas de tecnologas de informacin de la compaa
pero desde el punto de vista de los procesos.
CMO (Chief Marketing Officer).
Director de Marketing, orientado a la gestin de ventas, al desarrollo de
producto, publicidad, estudios de mercado.
Que puede comentar de los resultados Clave

Con COBIT nos facilita el anlisis de la compaa el cual nos indica los resultados:

Fortalecer la administracin basada en riesgos en los niveles de coordinacin, mediante

capacitacin peridica y con base en los anlisis que se realicen en las reuniones.
Cada coordinador de rea debe administrar con base a los riesgos detectados,
reportando al asistente los nuevos riesgos detectados, mitigados, o nuevos controles
que han sido aplicados, a fin de mantener la administracin de riesgos actualizada; sin
importar para este caso el nivel de riesgo; todos deben ser reportados para procesarlos.
Fortalecer la administracin basada en riesgos en los niveles de coordinacin, mediante
capacitacin peridica y con base en los anlisis que se realicen

Referencia
ISACA Lanza el Marco de Referencia para el Buen Gobierno de COBIT 5
Rolling Meadows, Illinois (10 de abril 2012)ISACA