Metodología para la gestión de riesgos de TI basada en COBIT 5

Abstract

La firma consultora Deloitte, mediante su departamento de Risk Advisory, ofrece servicios a sus clientes, relacionados con la gestión de riesgos de tecnología de información. Al igual que en los demás servicios desarrollados por Deloitte, con el desarrollo de proyectos sobre riesgos de tecnología de información, esta firma pretende generar un impacto en sus clientes y en la sociedad. Sin embargo, la organización no cuenta con una metodología estandarizada sobre gestión de riesgos de tecnología de información. Esto ha generado algunos inconvenientes en los proyectos que la empresa desarrolla para sus clientes. Además de la creciente necesidad de estandarización, certificación y cumplimiento que presentan las empresas ya sea por cuestiones internas o por factores externos como leyes y regulaciones. Este trabajo final de graduación, desarrollado por un consultor de Deloitte, en el marco de los esfuerzos de esta firma por aumentar la calidad de sus servicios, propone una metodología estandarizada para la gestión de riesgos de tecnología de información. Esta propuesta de metodología está basada en el marco COBIT 5 y en la norma ISO 31000. Además, considera las prácticas utilizadas actualmente por la firma consultora. Luego del proceso investigativo desarrollado para este trabajo de graduación, se concluye que la empresa no ha utilizado al máximo los recursos de conocimiento disponibles y que las prácticas disponibles, aunque se ajustan a marcos de referencia conocidos, no son adecuadas para la realidad de la región y no siempre se utilizan de la mejor manera. Se recomienda a la empresa, explotar el conocimiento disponible a lo interno, utilizar la propuesta de metodología en sus proyectos sobre riesgos de tecnología de información, referirse a las guías oficiales sobre mejores prácticas reconocidas y mantener su manera de trabajar actualizada y vigente.

The consulting firm Deloitte through Risk Advisory offers services to its clients related to information technology risk management. Likewise other services developed by Deloitte, this firm aims to generate an impact on its customers and society with the development of projects on information technology risks. However, the organization does not have a standardized methodology on information technology risk management generating some inconveniences in the projects that the company develops for its clients, which have an increasing need for standardization, certification and compliance for internal issues or external factors such as laws and regulations. This thesis, developed by a Deloitte consultant, within the framework of this firm's efforts to increase the quality of its services, proposes a standardized methodology for information technology risk management based on the COBIT 5 framework and the ISO 31000 standard. Also, consider the practices currently used by the firm. Within the investigation process, it was determined that the company has not used all the available knowledge resources to the maximum moreover the available practices, although they conform to known frames of reference, are not adequate for the reality of the region nor used in the best way. A recommendation for the company is to exploit the knowledge available, to use the proposed methodology in its projects on information technology risks, to refer to the official guides on recognized best practices and to maintain its current and updated working practices.