www.isaca.org 1
1
Auditoría de Gestión de Riesgos de
Tecnología
Maricarmen García, CBCP
Pag.1
Sesión # 312
2009
Costa
Rica
www.isaca.org 2
2Pag.2
Agenda
• Introducción
• Estándares y mejores prácticas internacionales
• Principios de la Gestión d...
www.isaca.org 3
3Pag.3
Introducción
www.isaca.org 4
4Pag.4
Estándares y mejores
prácticas internacionales
www.isaca.org 5
5Pag.5
Marcos de referencia
• ISO 31000
• BS 31100
• Basilea II
• AS/NZS 4360
• ISO/IEC 27005
• ITGI - Ris...
www.isaca.org 6
6Pag.6
Principios de la gestión de
riesgos de tecnología
www.isaca.org 7
7Pag.7
Principios de la gestión de riesgos
ISO 31000
La gestión de riesgos:
… crea valor
… es parte integr...
www.isaca.org 8
8Pag.8
Principios de la gestión de riesgos
ISACA / ITGI – Risk IT
La gestión de riesgos de Tecnología de I...
www.isaca.org 9
9Pag.9
ISO 31000 (Borrador)
Compromiso de la
gerencia
Diseño del marco de
referencia
Implementar la
gestió...
www.isaca.org 10
10Pag.10
ISO 31000 (Borrador)
Establecer el contexto
Identificación riesgos
Análisis de riesgos
Evaluació...
www.isaca.org 11
11Pag.11
BS 31100
Mandato y
compromiso
Diseño del
marco de
referencia
Implementar la
gestión de
riesgos
M...
www.isaca.org 12
12Pag.12
BS 31100
Revisar
Identificar
EvaluarResponder
Reportar
www.isaca.org 13
13Pag.13
ISO 27005
Establecer el contexto
Identificación riesgos
Estimación de riesgos
Evaluación de ries...
www.isaca.org 14
14Pag.14
The Risk IT Framework
Habilitar beneficios / valor de TI
Entrega de programas y
proyectos de TI
...
www.isaca.org 15
15
Risk Evaluation
© 2008 ITGI
Risk IT
Foundation
Collect Data
Analyse Risk
Maintain Risk
Profile
Risk Re...
www.isaca.org 16
16Pag.16
El proceso de auditoría para
la gestión de riesgos de
tecnología
www.isaca.org 17
17Pag.17
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de audi...
www.isaca.org 18
18Pag.18
Iniciar la auditoría
• Designar al líder le auditoría
• Definir objetivos, alcance y criterios
•...
www.isaca.org 19
19Pag.19
Competencias del auditor
de riesgos de tecnología
• Conocimiento y entendimiento de la gestión d...
www.isaca.org 20
20Pag.20
Definir el criterio de auditoría
• Leyes
• Regulaciones
• Contratos
• Acuerdos de Niveles de ser...
www.isaca.org 21
21Pag.21
Definir el criterio de auditoría
ISO 31000
IEC/DIS 31010
BS 31100
ISO/IEC 27005
Risk IT
Basilea ...
www.isaca.org 22
22Pag.22
Conducir revisión preliminar
• Revisar documentos relevantes asociados con
la gestión de riesgos...
www.isaca.org 23
23Pag.23
Desarrollar plan de auditoría
• Preparar plan de auditoría
• Asignar trabajo a miembros del equi...
www.isaca.org 24
24Pag.24
Elementos a revisar
• Entendimiento de la organización
• Revisar y evaluar:
• Consideración de a...
www.isaca.org 25
25Pag.25
Elementos a revisar
• Política de gestión de riesgos
• Revisar y evaluar:
• Compromiso y objetiv...
www.isaca.org 26
26Pag.26
Elementos a revisar
• Integración dentro de los procesos organizacionales
• Revisar y evaluar:
•...
www.isaca.org 27
27Pag.27
Elementos a revisar
• Responsabilidad
• Revisar y evaluar:
• Definición y formalización de respo...
www.isaca.org 28
28Pag.28
Elementos a revisar
• Recursos asignados
• Revisar y evaluar:
• Recursos asignados.
• Gente (hab...
www.isaca.org 29
29Pag.29
Elementos a revisar
• Mecanismos de comunicación y reporte
• Revisar y evaluar:
• Comunicación d...
www.isaca.org 30
30Pag.30
Elementos a revisar
• Implementación de la Gestión de Riesgos de Tecnología
• Revisar y evaluar:...
www.isaca.org 31
31Pag.31
Elementos a revisar
• Implementación de la Gestión de Riesgos de Tecnología
(Continuación).
• Re...
www.isaca.org 32
32Pag.32
Elementos a revisar
• Monitoreo y revisión
• Revisar y evaluar:
• Establecimiento de medidores d...
www.isaca.org 33
33Pag.33
Elementos a revisar
• Criterio de riesgo
• Revisar y evaluar si son considerados factores como:
...
www.isaca.org 34
34Pag.34
Elementos a revisar
• Identificación de riesgos.
• Revisar y evaluar si la organización identifi...
www.isaca.org 35
35Pag.35
Elementos a revisar
• Análisis de riesgos
• Revisar y evaluar si la organización:
• Considera la...
www.isaca.org 36
36Pag.36
Elementos a revisar
• Evaluación de riesgos
• Revisar y evaluar si la organización:
• Compara el...
www.isaca.org 37
37Pag.37
Elementos a revisar
• Tratamiento de riesgos
• Revisar y evaluar si la organización:
• Seleccion...
www.isaca.org 38
38Pag.38
Elementos a revisar
• Registros del proceso
• Revisar y evaluar si la organización:
• Cuenta con...
www.isaca.org 39
39Pag.39
Ejecutar auditoría
• Reunión de inicio
• Comunicación durante la auditoría
• Roles y responsabil...
www.isaca.org 40
40Pag.40
Preparar aprobar y
distribuir informe de
auditoría
• Preparar reporte de auditoría
• Aprobación
...
www.isaca.org 41
41Pag.41
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de audi...
www.isaca.org 42
42Pag.42
Técnicas utilizadas y
resultados esperados
www.isaca.org 43
43Pag.43
Técnicas utilizadas
y resultados esperados
• Revisión documental.
• Entrevista.
• Observación di...
www.isaca.org 44
44Pag.44
Preguntas?
2008 Santiago Chile
www.isaca.org 45
45Pag.45
Gracias
Maricarmen García
CBCP
maricarmen.garcia@secureit.com.mx
www.isaca.org 46
46
Bogotá, Colombia
Marzo, 2010
Te esperamos!
www.isaca.org 47
47
International Conference 2010
Cancún,
México
6 al 9 de Junio de 2010
Te esperamos!
Próxima SlideShare
Cargando en…5
×

Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnología-maricarmen garcia

650 visualizaciones

Publicado el

- Principios de la gestión de riesgos de tecnología

- El proceso de auditoría para la gestión de
riesgos de tecnología

- Técnicas utilizadas y resultados esperados de la
planificación y ejecución de las auditorías de
gestión de riesgos

- Estándares y mejores prácticas internacionales
incluyendo ISO 27005, ISO 31000, Risk IT de
ISACA y regulaciones locales de países
latinoamericanos.

- Como ejecutar en la práctica una auditoría de
riesgos de tecnología

Publicado en: Educación
0 comentarios
1 recomendación
Estadísticas
Notas
  • Sé el primero en comentar

Sin descargas
Visualizaciones
Visualizaciones totales
650
En SlideShare
0
De insertados
0
Número de insertados
54
Acciones
Compartido
0
Descargas
26
Comentarios
0
Recomendaciones
1
Insertados 0
No insertados

No hay notas en la diapositiva.

Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnología-maricarmen garcia

  1. 1. www.isaca.org 1 1 Auditoría de Gestión de Riesgos de Tecnología Maricarmen García, CBCP Pag.1 Sesión # 312 2009 Costa Rica
  2. 2. www.isaca.org 2 2Pag.2 Agenda • Introducción • Estándares y mejores prácticas internacionales • Principios de la Gestión de Riesgos de Tecnología • El proceso de auditoría para la Gestión de Riesgos de Tecnología • Como ejecutar la auditoría de riesgos de Tecnología • Técnicas utilizadas y resultados esperados
  3. 3. www.isaca.org 3 3Pag.3 Introducción
  4. 4. www.isaca.org 4 4Pag.4 Estándares y mejores prácticas internacionales
  5. 5. www.isaca.org 5 5Pag.5 Marcos de referencia • ISO 31000 • BS 31100 • Basilea II • AS/NZS 4360 • ISO/IEC 27005 • ITGI - Risk IT • OCTAVE • CRAMM • MAGERIT • BS 7799-3 • NIST SP800-30 • ARMS • UNE 71504 • M_o_R
  6. 6. www.isaca.org 6 6Pag.6 Principios de la gestión de riesgos de tecnología
  7. 7. www.isaca.org 7 7Pag.7 Principios de la gestión de riesgos ISO 31000 La gestión de riesgos: … crea valor … es parte integral de los procesos de la organización … es parte de la toma de decisiones … atiende la incertidumbre específicamente … es sistemática, estructurada y oportuna … se basa en la mejor información disponible … está adaptada a la organización … considera factores humanos y culturales … es transparente e inclusiva … es dinámica, iterativa y responde al cambio … facilita la mejora continua
  8. 8. www.isaca.org 8 8Pag.8 Principios de la gestión de riesgos ISACA / ITGI – Risk IT La gestión de riesgos de Tecnología de Información: … está conectada a los objetivos del negocio … alinea la gestión de riesgos del negocio relacionados con TI con la gestión de riesgos organizacional … busca el balance entre los costos y beneficios de gestionar riesgos … promueve una comunicación de riesgos de TI justa y abierta … establece el tono adecuado desde arriba, mientras define y refuerza la responsabilidad personal para operar con niveles de tolerancia aceptables y bien definidos … es un proceso continuo, parte de las actividades diarias
  9. 9. www.isaca.org 9 9Pag.9 ISO 31000 (Borrador) Compromiso de la gerencia Diseño del marco de referencia Implementar la gestión de riesgos Monitorear y revisar Mejora continua
  10. 10. www.isaca.org 10 10Pag.10 ISO 31000 (Borrador) Establecer el contexto Identificación riesgos Análisis de riesgos Evaluación de riesgos Tratamiento de riesgos Comunicaciónyconsulta Monitoreoyrevisión
  11. 11. www.isaca.org 11 11Pag.11 BS 31100 Mandato y compromiso Diseño del marco de referencia Implementar la gestión de riesgos Monitorear y revisar Mantenimiento y mejora
  12. 12. www.isaca.org 12 12Pag.12 BS 31100 Revisar Identificar EvaluarResponder Reportar
  13. 13. www.isaca.org 13 13Pag.13 ISO 27005 Establecer el contexto Identificación riesgos Estimación de riesgos Evaluación de riesgos Tratamiento de riesgos Aceptación de riesgos Comunicaciónderiesgos Monitoreoyrevisiónderiesgos Inicio ReducirRetenerEvitarTransf.
  14. 14. www.isaca.org 14 14Pag.14 The Risk IT Framework Habilitar beneficios / valor de TI Entrega de programas y proyectos de TI Entrega de operaciones y servicios de TI Valor del negocio No Ganar Ganar Valor del negocio Perder Preservar
  15. 15. www.isaca.org 15 15 Risk Evaluation © 2008 ITGI Risk IT Foundation Collect Data Analyse Risk Maintain Risk Profile Risk Response Articulate Risk Manage Risk React to Events Risk Governance Establish & Maintain a Common Risk View Integrate with ERM Make Risk- aware Business Decisions Communication Pag.15 The Risk IT Framework Componentes
  16. 16. www.isaca.org 16 16Pag.16 El proceso de auditoría para la gestión de riesgos de tecnología
  17. 17. www.isaca.org 17 17Pag.17 Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
  18. 18. www.isaca.org 18 18Pag.18 Iniciar la auditoría • Designar al líder le auditoría • Definir objetivos, alcance y criterios • Determinar factibilidad • Seleccionar equipo de auditoría • Identificar responsables por parte del auditado Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
  19. 19. www.isaca.org 19 19Pag.19 Competencias del auditor de riesgos de tecnología • Conocimiento y entendimiento de la gestión de riesgos de tecnología. • Experiencia y conocimiento en tecnología de información. • Conocimiento de requerimientos legales y regulatorios relativos a gestión de riesgos de tecnología. • Habilidades y entrenamiento en gestión de riesgos. • Conocimiento de herramientas y software para la gestión de riesgos. • Conocimiento de estándares y mejores prácticas para la gestión de riesgos de tecnología.
  20. 20. www.isaca.org 20 20Pag.20 Definir el criterio de auditoría • Leyes • Regulaciones • Contratos • Acuerdos de Niveles de servicio • Estatutos • Normatividad interna • Estándares internacionales • Otras mejores prácticas
  21. 21. www.isaca.org 21 21Pag.21 Definir el criterio de auditoría ISO 31000 IEC/DIS 31010 BS 31100 ISO/IEC 27005 Risk IT Basilea II OCTAVE NIST SP800-30 AS/NZS 4360 M_o_R CRAMM MAGERIT TRA Working Guide BS 7799-3 ARMS UNE 71504 ERM Coso Leyes Metodología Interna Regulaciones
  22. 22. www.isaca.org 22 22Pag.22 Conducir revisión preliminar • Revisar documentos relevantes asociados con la gestión de riesgos de tecnología, incluyendo registros y su adecuación con el criterio de auditoría. • Ejemplos: • Política de gestión de riesgos de tecnología • Metodología de gestión de riesgos de tecnología • Reportes de análisis y evaluación de riesgos Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
  23. 23. www.isaca.org 23 23Pag.23 Desarrollar plan de auditoría • Preparar plan de auditoría • Asignar trabajo a miembros del equipo • Preparar documentos de trabajo Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
  24. 24. www.isaca.org 24 24Pag.24 Elementos a revisar • Entendimiento de la organización • Revisar y evaluar: • Consideración de aspectos del contexto externo de la organización. • Consideración de aspectos del contexto interno de la organización
  25. 25. www.isaca.org 25 25Pag.25 Elementos a revisar • Política de gestión de riesgos • Revisar y evaluar: • Compromiso y objetivos de la organización, respecto a la gestión de riesgos de TI. • Liga entre la política de gestión de riesgos y otras políticas de la organización. • Responsabilidades respecto a la gestión de riesgos de tecnología. • Manejo de conflictos de interés. • Apetito de riesgo de la organización. • Procesos, métodos y herramientas para la gestión de riesgos de tecnología. • La forma en que el desempeño de la gestión de riesgos será medido y reportado.
  26. 26. www.isaca.org 26 26Pag.26 Elementos a revisar • Integración dentro de los procesos organizacionales • Revisar y evaluar: • Integración de la gestión de riesgos de tecnología en las practicas y procesos de la organización, • Particularmente: • Desarrollo de políticas. • Planeación. • Procesos de gestión de cambios.
  27. 27. www.isaca.org 27 27Pag.27 Elementos a revisar • Responsabilidad • Revisar y evaluar: • Definición y formalización de responsabilidades y autoridades. • Especificación de responsabilidades para el desarrollo, implementación y mantenimiento del marco de referencia. • Especificación de “propietarios” de riesgo para implementar tratamiento del riesgo, mantenimiento de controles y reporte de información relevante. • Niveles apropiados de reconocimiento, sanción.
  28. 28. www.isaca.org 28 28Pag.28 Elementos a revisar • Recursos asignados • Revisar y evaluar: • Recursos asignados. • Gente (habilidades, experiencia, competencias). • Procesos y procedimientos documentados. • Sistemas de gestión de información y conocimiento.
  29. 29. www.isaca.org 29 29Pag.29 Elementos a revisar • Mecanismos de comunicación y reporte • Revisar y evaluar: • Comunicación de riesgos. • Información disponible en los niveles apropiados de la organización. • Procesos de consulta con las partes interesadas.
  30. 30. www.isaca.org 30 30Pag.30 Elementos a revisar • Implementación de la Gestión de Riesgos de Tecnología • Revisar y evaluar: • Definición de un tiempo y estrategia adecuados para la implementación de la gestión de riesgos • Aplicación de la política y procesos de gestión de riesgos. • Cumplimiento con requerimientos legales y regulatorios.
  31. 31. www.isaca.org 31 31Pag.31 Elementos a revisar • Implementación de la Gestión de Riesgos de Tecnología (Continuación). • Revisar y evaluar: • Toma de decisiones justificada y documentada. • Resguardo de información. • Sesiones de entrenamiento. • Comunicación y consulta con partes interesadas.
  32. 32. www.isaca.org 32 32Pag.32 Elementos a revisar • Monitoreo y revisión • Revisar y evaluar: • Establecimiento de medidores de desempeño. • Medición periódica del proceso. • Revisión de que tan apropiados son la política, el marco de referencia y el plan de gestión de riesgos. • Reporte de riesgos. • Revisión de la efectividad.
  33. 33. www.isaca.org 33 33Pag.33 Elementos a revisar • Criterio de riesgo • Revisar y evaluar si son considerados factores como: • Naturaleza y tipos de consecuencias. • Definición de “probabilidad / posibilidad”. • Líneas de tiempo para probabilidad / posibilidad y/o consecuencias. • Como será determinado el nivel de riesgo. • El nivel en el que el riesgo es aceptable o tolerable. • Nivel de riesgo que requiere tratamiento. • Si las combinaciones de riesgos se considerarán.
  34. 34. www.isaca.org 34 34Pag.34 Elementos a revisar • Identificación de riesgos. • Revisar y evaluar si la organización identifica: • Fuentes de riesgo. • Áreas de impacto. • Eventos y sus causas. • Consecuencias potenciales. • Vulnerabilidades • Amenazas
  35. 35. www.isaca.org 35 35Pag.35 Elementos a revisar • Análisis de riesgos • Revisar y evaluar si la organización: • Considera las causas y fuentes del riesgo. • Consecuencias positivas y negativas. • Probabilidad / posibilidad de ocurrencia. • Factores que afectan las consecuencias o la probabilidad / posibilidad.
  36. 36. www.isaca.org 36 36Pag.36 Elementos a revisar • Evaluación de riesgos • Revisar y evaluar si la organización: • Compara el nivel de riesgos obtenido en le etapa de análisis con el criterio establecido. • Da tratamiento a los riesgos que no cumplen con el(los) criterio(s) de aceptación.
  37. 37. www.isaca.org 37 37Pag.37 Elementos a revisar • Tratamiento de riesgos • Revisar y evaluar si la organización: • Selecciona e implementa mecanismos para la modificación de los riesgos que no cumplen con el criterio de aceptación.
  38. 38. www.isaca.org 38 38Pag.38 Elementos a revisar • Registros del proceso • Revisar y evaluar si la organización: • Cuenta con mecanismos para el registro de actividades de gestión de tecnología.. • Considera estos registros para la mejora del proceso de gestión de riesgos de tecnología.
  39. 39. www.isaca.org 39 39Pag.39 Ejecutar auditoría • Reunión de inicio • Comunicación durante la auditoría • Roles y responsabilidades • Recolectar y verificar información • Documentar hallazgos • Preparar conclusiones de la auditoría • Reunión de cierre Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
  40. 40. www.isaca.org 40 40Pag.40 Preparar aprobar y distribuir informe de auditoría • Preparar reporte de auditoría • Aprobación • Distribución Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
  41. 41. www.isaca.org 41 41Pag.41 Seguimiento (Si aplica) Completar la auditoría Preparar, aprobar y distribuir el reporte de auditoría Ejecutar auditoría Desarrollar plan de auditoría Conducir revisión preliminar (documental) Iniciar la auditoría
  42. 42. www.isaca.org 42 42Pag.42 Técnicas utilizadas y resultados esperados
  43. 43. www.isaca.org 43 43Pag.43 Técnicas utilizadas y resultados esperados • Revisión documental. • Entrevista. • Observación directa. • Cuestionario. • Muestreo.
  44. 44. www.isaca.org 44 44Pag.44 Preguntas? 2008 Santiago Chile
  45. 45. www.isaca.org 45 45Pag.45 Gracias Maricarmen García CBCP maricarmen.garcia@secureit.com.mx
  46. 46. www.isaca.org 46 46 Bogotá, Colombia Marzo, 2010 Te esperamos!
  47. 47. www.isaca.org 47 47 International Conference 2010 Cancún, México 6 al 9 de Junio de 2010 Te esperamos!

×