Automatización de las evaluaciones del riesgo operativo y del control
En la aplicación Proyectos, puede crear controladores de evaluación basados en una medida para automatizar las evaluaciones del riesgo operativo y del control y notificar a las partes interesadas claves cuando ocurren cambios.
Antes de comenzar
Antes de poder automatizar las evaluaciones, debe configurar un proyecto con objetivos, riesgos y controles. Para activar el botón Automatizar, usted o alguien de su equipo debe completar las siguientes tareas:
- Crear una medida en Resultados consulte Monitoreo de indicadores clave con medidas
- Enlazar la medida a la evaluación en un proyecto consulte Enlace de evidencia desde Resultados
Cómo funciona
Un controlador de evaluación es una herramienta de automatización que le permite mantener sus evaluaciones actualizadas, en tiempo real. Puede crear varios controladores de evaluación para automatizar diferentes evaluaciones de riesgos y controles.
Usted crea un controlador de evaluación:
- seleccionando la evaluación del riesgo o control que desea automatizar
- definiendo de rangos métricos que se usarán para:
- llenar la calificación de riesgo inherente para la evaluación del riesgo O
- determinar la evaluación del diseño o efectividad de un control
Una vez que crea el controlador de evaluación, la evaluación se actualiza automáticamente cada vez que el valor de la medida cruza un umbral especificado.
¿Por qué creo un controlador de evaluación en un proyecto vs. un marco?
Los proyectos activos son evaluaciones puntuales en el tiempo, mientras que los marcos son continuos y muestran actividades agregadas en varios proyectos. Es más valioso crear controladores de evaluación dentro de un proyecto y agregar los cambios a un marco único.
¿Cómo notifico a las partes interesadas cuando ocurren los cambios en una evaluación?
Los siguientes usuarios reciben notificaciones automáticas sobre los cambios en las evaluaciones a través de un correo electrónico de resumen diario de Proyectos:
- La evaluación de riesgos cambia el usuario asignado del objetivo
- La evaluación del control cambia el propietario del control y el usuario asignado del objetivo
El correo electrónico resume:
- cuáles evaluaciones se actualizaron
- la cantidad de veces que cada evaluación se actualizó en las últimas 24 horas
- cualquier controlador de evaluación que se haya inhabilitado debido a un error
¿Puedo visualizar los datos históricos asociados con los controladores de evaluación?
Sí. Cuando un controlador de evaluación actualiza una evaluación, el evento se registra en el Log de actividad dentro del tablero de mando del proyecto y dentro de la sección Historial del riesgo, el procedimiento de ejecución, la revisión de confiabilidad o la prueba.
Automatice una evaluación de riesgo o control
Tarea | Información detallada |
---|---|
Automatización de una evaluación del riesgo | Automatización de las evaluaciones del riesgo operativo |
Automatización de una evaluación del control | Automatización de las evaluaciones de controles |
Ejemplos
Escenario
Como parte de su revisión de la ciberseguridad ha identificado un riesgo en el proceso Identificar:
Las multas, demandas judiciales y honorarios legales resultantes del incumplimiento o la pérdida de información confidencial
En función de sus resultados del estudio analítico de datos usted ha identificado el costo global de los incidentes de seguridad y ha creado una medida llamada "Costo global de los incidentes de seguridad".
Proceso
En primer lugar, configure la calificación de riesgo cuantificando el impacto del riesgo de la siguiente manera:
- < $10.000.000 = Bajo
- ≥ $10.000.000 < $65.000.000 = Medio
- ≥ $65.000.000 = Elevado
Luego, enlace la medida "Costo global de los incidentes de seguridad" que creó en Resultados con el riesgo en Proyectos.
Por último, se crea un controlador de evaluación mediante la definición de una serie de rangos de las medidas que se utilizarán para rellenar las calificaciones del riesgo inherente:
Resultado
La evaluación del riesgo está automatizada:
Los usuarios son notificados automáticamente cuando se cruzan umbrales específicos, lo que les permite tomar las medidas adecuadas.
Escenario
Como parte de su Revisión de controles generales de TI ha identificado un control en el proceso Seguridad física:
Todas las entradas a las instalaciones del centro de datos o del servidor están protegidas por un sistema de acceso con tarjeta
En función de los resultados de su estudio analítico de datos usted ha identificado 100 entradas de instalaciones en diferentes centros de datos que deberían estar protegidas por el acceso mediante tarjeta. La medida que creó para evaluar y monitorear la efectividad del control se denomina "% de entradas de las instalaciones seguras". Esta medida monitorea el porcentaje de entradas a las instalaciones que tienen habilitado el acceso con tarjeta.
Proceso
En primer lugar, usted enlaza la medida "% de entradas de las instalaciones seguras" que creó en Resultados con la prueba en Proyectos.
Luego, crea un controlador de evaluación definiendo una serie de rangos de medidas que se utilizarán para rellenar el valor del campo ¿Funcionó este control de manera efectiva? :
- > 99 = Funcionando de manera efectiva
- ≤ 99 = Excepción(es) observada(s)
Resultado
La evaluación del control se automatiza:
Los usuarios son notificados automáticamente cuando se cruzan umbrales específicos, lo que les permite tomar las medidas adecuadas.