Download - Sesión 4 Riesgo Tecnológico y
![Page 1: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/1.jpg)
Sesión 4
Riesgo Tecnológico y Seguridad de la Información
![Page 2: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/2.jpg)
Agenda1. Aspectos clave en la identificación y
evaluación de riesgos de TI. 2. Desarrollo y gestión de un programa de
Seguridad de la Información.3. Indicadores clave de desempeño (KPIs).4. Respuesta y mitigación de riesgos de TI e
incidentes de seguridad de la Información.5. Aspectos claves en Continuidad del
Negocio.
![Page 3: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/3.jpg)
GESTIÓN DEL RIESGO DE TI
![Page 4: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/4.jpg)
QUE ES EL RIESGO DE TI?
Pérdidas de derivadas de afectaciones a los componentes tecnológicos de los
sistemas de información de la Entidad.
1. En todos los componentes de los Sistemas de Información.
2. Procesos de tecnología.3. Personas que administran la tecnología.
DONDE SE IDENTIFICA
Riesgo de negocio asociado a:Uso, propiedad, operación, participación,
influencia y adopción de TI en la organización.
RIESGO DE TI
![Page 5: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/5.jpg)
Riesgo relacionado con TI
5
RIESGO DE TI
Fuente: ISACA, org, manual de preparación CRISC 6ta edición
RIESGO DE LA ORGANIZACIÓN
Riesgo estratégico Riesgo ambiental Riesgo de
mercado Riesgo operativo Riesgo de crédito Riesgo de cumplimiento
Riesgo de facilitación de valor/beneficio de TI
Riesgo de entrega de proyectos y programas de TI
Riesgo de prestación de servicios y operaciones de
TI
![Page 6: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/6.jpg)
6
MARCOS DE REFERENCIA
Fuente: ISACA,
• COBIT es un marco de gobierno de las tecnologías de información que proporciona una serie de herramientas para que la gerencia pueda conectar los requerimientos de control con los aspectos técnicos y los riesgos del negocio
• COBIT permite el desarrollo de las políticas y buenas prácticas para el control de las tecnologías en toda la organización
(Control Objectives for Information and related Technology)
![Page 7: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/7.jpg)
Cuestionario 1
La gestión del riesgo de TI...
A. Considera la tecnología y los presupuestos.B. Implementación de una estrategia que involucra cultura,
apetito y niveles de tolerancia en la organización.C. Todas las anteriores.
![Page 8: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/8.jpg)
Cuestionario 1
La gestión del riesgo de TI
A. Considera la tecnología y los presupuestos.B. Implementación de una estrategia que involucra cultura,
apetito y niveles de tolerancia en la organización.C. Todas las anteriores. .
![Page 9: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/9.jpg)
9
MARCOS DE REFERENCIA
• ITIL (Infraestructure library – librería infraestructura de TI)
• Mejores prácticas sobre la administración del ciclo de vida de servicios de TI
• Provee guía y prácticas sobre:- Estrategia del servicio.- Administración del portafolio de servicio.- Administración de la demanda.- Administración financiera.
Ejemplo de servicios de TI:
MACRO SERVICIO SERVICIO Servicios Básicos
Servicios a la
“Carta”
Servicios Bajo
Demanda
(B) (AC) (BD)
APLICACIONES DE APOYO AL NEGOCIO
1) Canales transaccionales x
USUARIO FINAL
1) Configuraciones PC-Laptop
x
1) Internet x
1) Correo electrónico x
1) Impresión x
COMUNICACIONES1) Telefonía x
1) Correo electrónico x
INFORMACIÓN
1) Respaldo y restauración de información
x
1) Elaboración de reportes x
![Page 10: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/10.jpg)
10
MARCOS DE REFERENCIA• ISO 27005: gestión del riesgo de seguridad
de la información• ISO 27000 – 27001:
Mejores prácticas para preservar la integridad, confidencialidad y disponibilidad de la información.
![Page 11: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/11.jpg)
Cuestionario 2
Un programa de gestión de riesgos de TI debería ser...
A. IntegralB. AuditableC. JustificableD. LegalE. MonitoreadoF. Todas las anteriores
![Page 12: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/12.jpg)
Cuestionario 2
Un programa de gestión de riesgos de TI debería ser...
A. IntegralB. AuditableC. JustificableD. LegalE. MonitoreadoF. Todas las anteriores
![Page 13: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/13.jpg)
Cuestionario 3
¿Cuáles son los principios de la seguridad de la información?
A. Integridad, confidencialidad y disponibilidad.B. Completitud y exactitud.C. Reserva y confidencialidad.D. No repudio y disponibilidad.E. Ninguna de las anteriores.
![Page 14: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/14.jpg)
Cuestionario 3
¿Cuáles son los principios de la seguridad de la información?
A. Integridad, confidencialidad y disponibilidad.B. Completitud y exactitud.C. Reserva y confidencialidad.D. No repudio y disponibilidad.E. Ninguna de las anteriores.
![Page 15: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/15.jpg)
15
MÉTODOS DE IDENTIFICACIÓN DE RIESGOS DE TIFACTORES DE RIESGO
Agentes de amenaza
Amenazas Vulnerabilidades
Riesgo
ACTIVOSAlgo de valor tangible o intangible que vale la pena proteger
• Información• Reputación• Marca• Propiedad intelectual• Instalaciones• Equipamiento• Recurso humano• Procesos de negocio
![Page 16: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/16.jpg)
16
Valorar el activo conforme a:
• Sanciones
• Daños a la reputación
• Costos de reemplazo
• Efecto sobre terceros y contrapartes
• Incumplimientos
• Pérdidas de ventajas competitivas
• Costos legales
ACTIVOSAmenazas
EXTERNAS
• Espionaje
• Robo
• Terrorismo
• Actos criminales
• Enfermedades
• Actividad sísmica
• Errores hw, sw
• Fallas mecánicas
• Corrupción de datos
• Sobrecargas eléctricas
• Eventos naturales
INTERNAS
• Personal
• Empleados
MÉTODOS DE IDENTIFICACIÓN DE RIESGOS DE TI
Vulnerabilidades
Huecos o brechas de seguridad que generan oportunidad de amenaza o dan lugar a consecuencias que puedan tener impacto en el negocio.
• Vulnerabilidades de red
• Acceso físico
• Aplicaciones y servicios orientados a Web
• Suministros (servicios publicos)METODOLOGÍA OCTAVE
1. Crear perfiles de amenazas a los activos
2. Determinar las vulnerabilidades de la infraestructura
3. Elaborar estrategia de seguridad y planes de mitigación
![Page 17: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/17.jpg)
17
ESCENARIOS DE RIESGO
Descripción de un posible evento cuya ocurrencia tendrá impacto incierto en el logro de los objetivos de la organización
Describir:
AgenteEventoActivo involucradoTiempo
EJEMPLO
Daños en el servidor del Core del negocio debido a fallas en el suministro
de energía
![Page 18: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/18.jpg)
Cuestionario 4
Las contraseñas débiles y transmisión de información sensible sin debido cifrado son ejemplo de:
A. AmenazaB. VulnerabilidadC. ImpactoD. Activo
![Page 19: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/19.jpg)
Cuestionario 4
Las contraseñas débiles y transmisión de información sensible sin debido cifrado son ejemplo de:
A. AmenazaB. VulnerabilidadC. ImpactoD. Activo
![Page 20: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/20.jpg)
20
MITIGACIÓN Y RESPUESTA AL RIESGO
Evaluar Beneficio- Reducción de costos de eventos- Responsabilidades reducidas- Aumento de confianza de
clientes- Mejores relaciones- Recuperación rápida
Controles
Evaluar Costo- Costo de adquisición- Costo de mantenimiento- Costo de eliminación o
reemplazo
![Page 21: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/21.jpg)
21
GESTIÓN DE PROYECTOS1. Implementar un comité de control de cambios2. Reorganizar recursos cuando se presenten cuellos de botella3. Reemplazar o complementar gerentes cuando se cumplen expectativas4. Reiniciar proyectos bajo escenarios más favorables5. Reemplazar proveedores o renegociar.6. Ejecutar por fases
Riesgos
Elaborar una matriz de riesgos desde el inicio del proyecto
Elaborar una matriz de comunicaciones
![Page 22: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/22.jpg)
22
CICLO DE VIDA DE DESARROLLO DE SISTEMAS
Desarrollo Pruebas Producción
Establecer controles en cada uno de los ciclos de vida de la implementación de sistemas de información y cambios de hardware
![Page 23: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/23.jpg)
23
PRUEBAS DE SOFTWARE
Buenas prácticas • Datos: Validez de los datos y
garantizar confidencialidad de los mismos
• Separación de ambientes• Control de versiones• Bloqueo de modificaciones sobre el
código• Pruebas unitarias• Pruebas de integración al sistema • Garantía de calidad
PLANES ALTERNATIVOS (ROLL BACK)Al implementar en producción un nueva versión de un aplicativo o sistema de información, configuración de equipo se recomienda tener un plan para volver a la configuración o versión anterior.
Cual es el riesgo?
???????
![Page 24: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/24.jpg)
Cuestionario 5
Clasifique los siguientes controles1. Segregación de tareas.2. Políticas de seguridad de la
información.3. Pruebas de penetración a redes
(Ethical Hacking).4. Sistemas de detección de
incendios.5. Cifrado de información sensible a
asociados.6. Autenticación de dos factores.7. Plan alternativo (roll back) para
configuración del servidor principal.
A. Preventivo
B. Detectivo
C. Correctivo
D. Directivo
![Page 25: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/25.jpg)
Cuestionario 5
Clasifique los siguientes controles
1. Segregación de tareas.2. Políticas de seguridad de la
información.3. Pruebas de penetración a redes
(Ethical Hacking).4. Sistemas de detección de
incendios.5. Cifrado de información sensible a
asociados.6. Autenticación de dos factores.7. Plan alternativo (roll back) para
configuración del servidor principal.
A. Preventivo
B. Detectivo
C. Correctivo
D. Directivo
![Page 26: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/26.jpg)
26
SEGURIDAD DE LA INFORMACIÓN
EVALUACIÓN
DE CONTOLES
Activo
INFORMACIÓN
CONTROLES
Gobierno de la Seguridad de la
Información
Gestión de Riesgos de la
Seguridad de la Información
Programa de Seguridad de la
Información
Gestión de Incidentes de
Seguridad
Estándar ISO 27001; 27002
![Page 27: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/27.jpg)
27
ESTRATEGIAS DE SEGURIDAD DE LA INFORMACIÓN
¿Cuál es la meta?
Proteger los activos de la información
1. ¿Cuáles son los activos de información de la organización?2. ¿Qué es proteger?
![Page 28: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/28.jpg)
28
COMPONENTES CLAVES DE UN PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN
ESTRATEGIA DE SEGURIDAD DE LA INFORMACIÓN• Cuáles son los activos de
información de la organización?• Qué es proteger?
Evaluaciones clave...
• Evaluación de arquitectura• Evaluación del recurso humano • Evaluación de las tecnologías
![Page 29: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/29.jpg)
29
Gobierno de SI- Establecer y definir responsable de la SI. - Determinar el estado actual. - Evaluar los riesgos de SI.- Determinar los controles y realizar evaluaciones técnicas.- Contar con el respaldo de la gerencia.- Evaluar y medir el desempeño.
COMPONENTES CLAVES DE UN PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN
![Page 30: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/30.jpg)
30
Seguridad lógica Seguridad Física
¿Cómo te conectas a tu core de negocio?
COMPONENTES CLAVES DE UN PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN
![Page 31: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/31.jpg)
Cuestionario 6
Si una organización necesita contratar un seguro contra la conducta deshonesta y fraudulenta de sus empleados. ¿Cuál de los siguientes tipo de cobertura requiere?
A. Fidelidad.B. Interrupción del servicio.C. Documentos y registros valiosos.D. Continuidad del negocio.
![Page 32: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/32.jpg)
Cuestionario 4
Si una organización necesita contratar un seguro contra la conducta deshonesta y fraudulenta de sus empleados. ¿Cuál de los siguientes tipo de cobertura requiere?
A. Fidelidad.B. Interrupción del servicio.C. Documentos y registros valiosos.D. Continuidad del negocio.
![Page 33: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/33.jpg)
33
INDICADORESItem Meta Cumplimiento
Mayo Observaciones
% Disponibilidad del portal transaccional del Fondo de Empleados 90% 89% Ninguna
% de incidentes resueltos en el primer nivel de atención a incidentes 80% 50% Ninguna
% Efectividad de los planes de Continuidad de Negocio 100% 100%
Tiempo promedio de implementación de parches a los aplicativos 25 dias 30 dias
% uso de disco duro del servidor de Core de negocio 60% 90% ??????
![Page 34: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/34.jpg)
34
ISO 27002Cláusula
Política de Seguridad
Organización de Seguridad de Información
Adm. de Activos
Seguridad en Recursos Humanos
Seguridad física y ambiental
Adm. de Comunicaciones y Operaciones
Control de Acceso
Adq., Des. y Mant. de sistemas de información.
Adm. de Incidentes de Seguridad de Información
Adm. de Continuidad de Negocios
Conformidad
![Page 35: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/35.jpg)
35
CALIFICAR Y PRIORIZAR
CONTROLES Y PROTECCIONES
EFECTIVIDAD DE CONTROLES
DOCUMENTACION Y PRESENTACIÓN
- Desarrollar método para evaluar las exposiciones y riesgos en términos de probabilidad y severidad.- Metodologías y herramientas de análisis de riesgos- Exposición de la pérdida anualizada -> Riesgo= frecuencia x exposición
- Costo de prevención= probabilidad del daño * Magnitud del daño ($)- Reducir pérdidas y mitigar amenazas- Seguridad física y lógica- Protección de la información, personas , lugares de trabajo y reputación
Evaluar la efectividad de controles, ANS con proveedores y establecer escenarios de desastre
Presentar hallazgos de la evaluación de riesgos y determinar los próximos pasos a seguir
• Frecuencia: 10 veces al año• Exposición: Departamento 1 tiene una pérdida de
$1.000 Departamento 2 tiene una pérdida de $20
Riesgo: (10 (F)*$1.000 (E))+(10 (F)*$200 (E))ALE: $12.000
CONTINUIDAD DEL NEGOCIO
![Page 36: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/36.jpg)
36
Identificar funciones del negocio
Revisar los cronogramas
Trabajar con el patrocinador del
BIA
Determinar criterios de criticidad
Entrenar al personal
gerencial del área
Determinar el Impacto
Financiero
Cliente
Legal y regulatorio
Operacional
Pérdidas Financieras, aumentos primas de seguros, reducción flujo de efectivo, pérdida de clientes, gastos.
¿Puede cuantificar cuánto perdería en ingresos por cada hora fuera de operación?¿penalizaciones?¿multas? Etc.
¿Qué tan rápido se van a enterar los clientes? ¿Que tan preocupados van a estar? ¿Que impacto podría causarles?
¿Demandas grupales?¿se llevaran el negocio a otro proveedor? ¿Que tanto impacta en su reputación?
Estar operando en modo manual por un tiempo significativo, eficiencia se vea afectada, información afectada, etc.
Repercusiones legales con proveedores, clientes y distribuidores, penalizaciones, potenciales demandas.
¿Qué tipo de regulaciones hay? ¿Los reguladores se involucraron si usted tiene una interrupción? ¿Hay multas?
BIA Análisis de Impacto al Negocio
![Page 37: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/37.jpg)
37
Exposición a la pérdida
Cuantitativa->BienesIngresosMultasFlujo de efectivoCuentas por cobrarResponsabilidad legalRecursos HumanosGastos/costos extra
Cualitativa->Conocimiento RHConfianza partes interesadasLegalImagen social/credibilidad
Tiempos de recuperación
RTO – Tiempo Objetivo de Recuperación
La cantidad de tiempo entre el momento del impacto y el momento en el que el proceso esta operando a un nivel mínimo aceptable
RPO – Punto Objetivo de Recuperación
El punto en el tiempo del ultimo respaldo de información bueno en el exterior al momento del desastre
Requerimientos
Cuestionarios de BIA
RTOs
Recursos (Capacidades
actuales)
Planes de recuperación de TI
Procesos manuales alternativos y
restauración de datos
Reubicación negocio
BIA Análisis de Impacto al Negocio
![Page 38: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/38.jpg)
38
EJEMPLO ANÁLISIS DE IMPACTO AL NEGOCIO - BIA
Proceso Tx y Periodicidad de
ejecución
Operación normal
RTO RPO Aplicaciones
Pagos interbancarios automáticos
5000 transacciones diarias
2 – 4 horas 0 – 2 horas 30 minutos • Correo electrónico• Sistema CORE• Portal transaccional• ACH• Autorizador
![Page 39: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/39.jpg)
Cuestionario 7
Qué frase describe mejor el RPO
a. Determinar el marco de tiempo en el que los procesos tienen que ser restaurados para prevenir un impacto inaceptable a la organización.
b. Determinar el nivel de riesgo y la pérdida potencial que la gerencia está dispuesta a aceptar.
c. Determinar el punto en el tiempo en el que las transacciones y los datos deben ser recuperados después de una interrupción.
d. Obtener un estimado cualitativo del impacto de la amenaza.
![Page 40: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/40.jpg)
Cuestionario 7
Qué frase describe mejor el RPO
a. Determinar el marco de tiempo en el que los procesos tienen que ser restaurados para prevenir un impacto inaceptable a la organización.
b. Determinar el nivel de riesgo y la pérdida potencial que la gerencia esta dispuesta a aceptar.
c. Determinar el punto en el tiempo en el que las transacciones y los datos deben ser recuperados después de una interrupción.
d. Obtener un estimado cualitativo del impacto de la amenaza.
![Page 41: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/41.jpg)
¡Gracias!Diana Marcela VargasCISA- ABC y ALMCt. 123 45 67m. +57 (314) 6300074
![Page 42: Sesión 4 Riesgo Tecnológico y](https://reader035.vdocuments.co/reader035/viewer/2022081617/62cb5f7707bea950a7723409/html5/thumbnails/42.jpg)
BIBLIOGRAFÍA
• IIA - DOCUMENTO DE CONSULTA DEL IIA Tres líneas de defensa• COSO ERM• ALARYS• ISACA org• ISO 31000• Operational risk management, ariane chapelle• Basilea• DRII