SlideShare una empresa de Scribd logo

21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria

CincoC
CincoC

Este documento presenta un resumen de los principales puntos de un taller sobre evaluación de riesgos de tecnología de la información. El taller cubre la definición del universo auditable, el proceso de análisis de riesgo, la evaluación de riesgo, los principales riesgos identificados y un caso práctico para análisis de riesgos. El objetivo es ayudar a los auditores internos a comprender los riesgos de TI y desarrollar un plan de auditoría apropiado.

Tecnología
1 de 19
Descargar para leer sin conexión
Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director – Auditor de sistemas certificado (CISA). – Certificado en Riesgos y Controles Informáticos (CRISC). – Certificado en Fundamentos de COBIT 4.1. – Certificado en Fundamentos de ITIL V3. 1
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Agenda Mitos y realidades del Auditor de T.I. El proceso de Auditoría de T.I. Proceso para Análisis de Riesgo. Evaluación del Riesgo. Caso para Análisis de Riesgos Preguntas & Respuestas.
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Mitos y realidades del auditor de T.I. 3
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Mitos y realidades del Auditor de T.I. en la evaluación de riesgos Mitos y realidades 4 – No es un accesorio!!!. – No es un requisito regulatorio!!!. – Es parte de la Auditoria Interna. – Debe dar valor a la función de la auditoria interna. – Debe tener la preparación académica y la capacitación requerida para la gestión que desempeña. – Debe tener una participación relevante en la elaboración del análisis de riesgos para establecer el plan de auditoria o bien hacer por separado pero alineado su propio análisis de riesgos y el plan de auditoria de T.I.
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados El proceso de auditoría de T.I. 5
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados El proceso de auditoría de T.I. en la evaluación de riesgos Ciclo de Administración del riesgo 6
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Evaluación de Riesgo 7
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Evaluación de riesgo Evaluación de Riesgo 8 Evaluación de riesgos
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Evaluación de riesgo Evaluación de riesgo Entorno del negocio Uno de los elementos más importantes que fortalecen el análisis del riesgo es la definición de los factores que inciden de manera general en cada uno de los procesos TI. Los factores más comunes son: - Gente (recurso humano) - Herramientas para el manejo de los procesos de TI - Complejidad de los procesos de TI y de las aplicaciones - Documentación de los procesos de TI y de las aplicaciones - Nivel de supervisión y monitoreo de los procesos y practicas de TI - Ambiente de control y controles sobre los procesos de TI y de las aplicaciones - Efecto en clientes y usuarios de T.I. 9
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Evaluación de riesgo Evaluación de riesgo Identificación de Riesgos 1. Metodología para realizar el inventario de riesgos: - Analizar el plan estratégico de TI con el fin de listar los riesgos identificados por la Gerencia de TI. - Consulta a la Auditoría Interna sobre los riesgos identificados como parte del proceso de desarrollo del plan anual. - Indagación con los miembros del Comité de TI sobre riesgos de TI percibidos por ellos. - Entrevistas con jefes funcionales o dueños de procesos de TI. - Entrevista con el responsable de riesgos de la Entidad. - Recopilación de riesgos de TI según bases de datos de las mejores practicas. 2. Definición del universo de procesos. 10
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Evaluación de riesgo Evaluación de riesgo Resultados 1. Análisis de Riesgos: - Inventario de riesgos de TI: detalle pormenorizado de riesgos identificados con base en las indagaciones y entrevistas. - Universo de procesos: detalle de procesos del área de TI. - Mapa de riesgos por procesos del área de TI: comprende una gráfica de los principales procesos del Área de TI, priorizados de acuerdo al nivel de exposición. - Matriz de riesgos por procesos: documento que describe cada uno de los riesgos identificados y que objetivo de TI están amenazando directamente. - Mapeo de estructura organizativa: corresponde a la relación de riesgos y los puestos que se ejecutan dentro del área de TI. 2. Plan Inicial de Auditoria Interna de T.I.: documento que especifica los objetivos, alcance, programa de ejecución y recursos requeridos y asignados. 11
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Evaluación de riesgo Evaluación de riesgo Controles Generales del Computador Por lo importante que son los controles internos en los ambientes informáticos proponemos en esta fase el análisis de Diseño, Implementación y Efectividad Operativa de los CGC, comparando los resultados con las mejores practicas de la industria financiera. Los CGC tienen especial importancia por la confianza que estos aportan a los Entes de Gobierno Corporativo (Comité de Auditoria, Alta Gerencia y Junta Directiva) sobre el proceso de generación de los estados financieros y demás información financiera. De igual manera los controles generales del computador auxilian a mitigar riesgos tales como los de continuidad del negocio, daño a la imagen y los de fraude. - Arquitectura - Continuidad del Negocio - Contratación & Externalización - Recursos Humanos TI - Seguridad de la Información - Privacidad & Protección de Datos - Gestión de Proyectos - Gestión de registros - Gestión de Activos - Gestión del Cambio - Gestión del Riesgo TI - Operaciones - Seguridad Física & Ambiental - Gestión de Problemas - Licenciamiento de Tecnología - Gobernabilidad de TI 12
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Evaluación de riesgos Resultados de la Evaluación de Riesgos – Tabla MARCI Los riesgos para cada área funcional se representan en el modelo de Impacto / vulnerabilidad. Este modelo se utiliza para ayudar a la auditoría y gestión interna en la determinación de la respuesta global del riesgo Areas Funcionales 1) Arquitectura 2) Continuidad del Negocio 3) Contratación & Externalización 4) Recursos Humanos TI 5) Seguridad de la Información 6) Privacidad & Protección de Datos 7) Gestión de Proyectos 8) Gestión deregistros 9) Gestión de Activos 10) Gestión del Cambio 11) Gestión del Riesgo TI 12) Operaciones 13) Seguridad Física & Ambiental 14) Gestión de Problemas 15) Licenciamiento de Tecnología 16) Gobernabilidad de TI 13
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Resultados de la evaluación de riesgos Principales Riesgos # Área Funcional de TI Descripción del Riesgo 1 Seguridad de la Información Falta de un individuo (ejm., Director de Seguridad de la Información) o función dedicada al manejo de la seguridad. 2 Seguridad de la Información No existe programa para manejar exhaustivamente riesgos cibernéticos. 3 Seguridad de la Información No se emplea un marco de seguridad global a través de Compañía para identificar, controlar y mitigar proactivamente los riesgos de seguridad TI. 4 Seguridad de la Información El equipo de seguridad de la Compañía no tiene visibilidad de las actividades de gestión de riesgos de seguridad realizadas por los propietarios de las aplicaciones (aplicaciones de producción y aplicaciones de soporte / operaciones). 5 Seguridad de la Información No está claro si las consideraciones de seguridad se incorporarán a las nuevas implementaciones de aplicaciones. 6 Seguridad de la Información, RRHH, Contratación & Externalización El entrenamiento de Seguridad, para el personal de la Compañía y contratistas / terceros, no está formalmente definido o entregado consistentemente a través de la Compañía. 7 Seguridad de la Información Gestión de Activos Portátiles heredados y PC no están actualmente cifrados (encriptados). A medida que arrendamientos terminan, nuevos portátiles y PC se emiten con el software de encriptación adecuado. 8 Protección de Privacidad & Datos No se ha establecido un programa global de privacidad en la Compañía. La falta de un programa global de privacidad aumenta el riesgo de incumplimiento con las disposiciones de privacidad específicas de cada país. 9 Protección de Privacidad & Datos Organizaciones / unidades de negocio selectas en la Compañía manejan información protegida. Existe el riesgo de que las prácticas de seguridad y privacidad de estas organizaciones pueda no estar de acuerdo con normas de seguridad y privacidad. 14
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Resultados de la evaluación de riesgos Principales Riesgos # Area Funcional de TI Descripción del Riesgo 10 Contratación & Externalización Dada la falta de un esquema de clasificación de datos de seguridad / privacidad en la Compañía, junto con la falta de controles formales de fuga de datos o de la tecnología en la Compañía, existe el riesgo de que los contratistas y terceros que apoyan Compañía puede acceder y descargar los datos confidenciales de la Compañía que no están autorizados para acceder o descargar para su uso personal. 11 Gestión de Activos Equipo de gestión de activos no tiene visibilidad a las prácticas de gestión de activos (por ejemplo, el aprovisionamiento, activos jubilados trituración de, discos duros, desinfección) 12 Gestión del Cambio Gestión de código fuente inconsistente. Cambiar las políticas de gestión, procedimientos y protocolos para aplicaciones de producción y la infraestructura no es consistente. La falta de proceso de control de cambio consistente puede resultar en el rendimiento del sistema degradado y o fallas en los sistemas de producción que den lugar a la pérdida de negocio. 13 Adquisicion e Integración de TI Existe un riesgo de que las entidades adquiridas por Compañía no están integradas y dichas entidades no tienen los adecuados controles de TI en marcha. Además, para aquellas entidades que se integran a la Compañía, existe un riesgo de que la integración no se lleve a cabo de una manera controlada. 14 Continuidad del Negocio Existe un riesgo de que el Plan de Continuidad de Negocios (PCN) que se desarrolló en las oficinas centrales y ahora está en proceso de ser desplegado a las sucursales no se despliegue correctamente. 15 Tecnologías Emergentes Existe el riesgo de que las nuevas tecnologías (por ejemplo, tecnología basadas en la nube, aplicaciones de movilidad y dispositivos) no se desarrollen o se utilicen de una manera controlada. 15
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Caso para análisis de riesgo 16
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados ¿Preguntas? Contáctenos Mauricio Solano R. Director Enterprise Risk Services Barrio Dent, San Pedro, 3667-1000 San José, Costa Rica Main: +506 2246 5103 Direct: +506 2246 5211 Fax: +506 2246 5207 msolano@deloitte.com Firma miembro de Deloitte Touche Tohmatsu 17
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria

Recomendados

Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
Leo Gomez
 
Sensibilización basc y riesgos
Sensibilización basc y riesgosSensibilización basc y riesgos
Sensibilización basc y riesgos
viseltda
 
Gestión de riesgos en proyectos
Gestión de riesgos en proyectosGestión de riesgos en proyectos
Gestión de riesgos en proyectos
Guillermo Montero Fdez-Vivancos
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Gestión de los riesgos del proyecto
Gestión de los riesgos del proyectoGestión de los riesgos del proyecto
Gestión de los riesgos del proyecto
vanejv31
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERIT
Jaime Barrios Cantillo
 
ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018
Primala Sistema de Gestion
 
Metodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritMetodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, Magerit
Andrea Lorena Dávila Gómez
 

Recomendados

Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
Leo Gomez
 
Sensibilización basc y riesgos
Sensibilización basc y riesgosSensibilización basc y riesgos
Sensibilización basc y riesgos
viseltda
 
Gestión de riesgos en proyectos
Gestión de riesgos en proyectosGestión de riesgos en proyectos
Gestión de riesgos en proyectos
Guillermo Montero Fdez-Vivancos
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
Primala Sistema de Gestion
 
Gestión de los riesgos del proyecto
Gestión de los riesgos del proyectoGestión de los riesgos del proyecto
Gestión de los riesgos del proyecto
vanejv31
 
Pasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERITPasos para el análisis de riesgos basados en MAGERIT
Pasos para el análisis de riesgos basados en MAGERIT
Jaime Barrios Cantillo
 
ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018ISO 9001 2015 pensamiento basado en riesgos 2018
ISO 9001 2015 pensamiento basado en riesgos 2018
Primala Sistema de Gestion
 
Metodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, MageritMetodo de analisis de riesgos, Magerit
Metodo de analisis de riesgos, Magerit
Andrea Lorena Dávila Gómez
 
Dia 3 rediseño de procesos mejoramiento continuo v4
Dia 3 rediseño de procesos mejoramiento continuo v4Dia 3 rediseño de procesos mejoramiento continuo v4
Dia 3 rediseño de procesos mejoramiento continuo v4
marilucalderon
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
ana anchundia
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
Andres Soto Suarez
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
Ricardo Urbina Miranda
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
Denis Rauda
 
Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo
oceanicacumplimiento
 
Principios de la gestión de riesgos
Principios de la gestión de riesgosPrincipios de la gestión de riesgos
Principios de la gestión de riesgos
Rosalinda Lozano
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
Ramiro Cid
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
Lista De VerificacióN De Riesgos Nueva
Lista De VerificacióN De Riesgos NuevaLista De VerificacióN De Riesgos Nueva
Lista De VerificacióN De Riesgos Nueva
ArelisCrespo
 
Magerit
MageritMagerit
Magerit
Krolina Agui
 
Guía del PMBOK® > Gestión de Riesgos
Guía del PMBOK® > Gestión de RiesgosGuía del PMBOK® > Gestión de Riesgos
Guía del PMBOK® > Gestión de Riesgos
Dharma Consulting
 
Que es sox comercio exterior (4)
Que es sox comercio exterior (4)Que es sox comercio exterior (4)
Que es sox comercio exterior (4)
rojo0911
 
ISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de Riesgos
Primala Sistema de Gestion
 
Tema 4 auditoría del sistema de gestión de la calidad
Tema 4 auditoría del sistema de gestión de la calidadTema 4 auditoría del sistema de gestión de la calidad
Tema 4 auditoría del sistema de gestión de la calidad
Seguridad E Higiene Laboral
 
PLAN DE AUDITORIA INTERNA ISO 45001
PLAN DE AUDITORIA INTERNA ISO 45001PLAN DE AUDITORIA INTERNA ISO 45001
PLAN DE AUDITORIA INTERNA ISO 45001
Jhordy Benito
 
INDICADORES DE GESTIÓN
INDICADORES DE GESTIÓNINDICADORES DE GESTIÓN
INDICADORES DE GESTIÓN
Ivan Fernando Suarez Lozano
 
ISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOS
Juan Carlos Bajo Albarracín
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
Freddy Fernando Cajamarca Sarmiento
 
Iso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestionIso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestion
Primala Sistema de Gestion
 
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Ciro Bonilla
 
Manual administracion riesgo
Manual administracion riesgoManual administracion riesgo
Manual administracion riesgo
CincoC
 

Más contenido relacionado

La actualidad más candente

Principios de la gestión de riesgos
Principios de la gestión de riesgosPrincipios de la gestión de riesgos
Principios de la gestión de riesgos
Rosalinda Lozano
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
PECB
 
Lista De VerificacióN De Riesgos Nueva
Lista De VerificacióN De Riesgos NuevaLista De VerificacióN De Riesgos Nueva
Lista De VerificacióN De Riesgos Nueva
ArelisCrespo
 
Guía del PMBOK® > Gestión de Riesgos
Guía del PMBOK® > Gestión de RiesgosGuía del PMBOK® > Gestión de Riesgos
Guía del PMBOK® > Gestión de Riesgos
Dharma Consulting
 
Que es sox comercio exterior (4)
Que es sox comercio exterior (4)Que es sox comercio exterior (4)
Que es sox comercio exterior (4)
rojo0911
 
ISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOS
Juan Carlos Bajo Albarracín
 

La actualidad más candente (20)

Dia 3 rediseño de procesos mejoramiento continuo v4
Dia 3 rediseño de procesos mejoramiento continuo v4Dia 3 rediseño de procesos mejoramiento continuo v4
Dia 3 rediseño de procesos mejoramiento continuo v4
 
Seguridad de la informacion
Seguridad de la informacionSeguridad de la informacion
Seguridad de la informacion
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit Metodologia
 
Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019Familia ISO 27000 a enero 2019
Familia ISO 27000 a enero 2019
 
Sgsi presentacion
Sgsi presentacionSgsi presentacion
Sgsi presentacion
 
Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo Presentación sistema de gestión de riesgo
Presentación sistema de gestión de riesgo
 
Principios de la gestión de riesgos
Principios de la gestión de riesgosPrincipios de la gestión de riesgos
Principios de la gestión de riesgos
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
Lista De VerificacióN De Riesgos Nueva
Lista De VerificacióN De Riesgos NuevaLista De VerificacióN De Riesgos Nueva
Lista De VerificacióN De Riesgos Nueva
 
Magerit
MageritMagerit
Magerit
 
Guía del PMBOK® > Gestión de Riesgos
Guía del PMBOK® > Gestión de RiesgosGuía del PMBOK® > Gestión de Riesgos
Guía del PMBOK® > Gestión de Riesgos
 
Que es sox comercio exterior (4)
Que es sox comercio exterior (4)Que es sox comercio exterior (4)
Que es sox comercio exterior (4)
 
ISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de Riesgos
 
Tema 4 auditoría del sistema de gestión de la calidad
Tema 4 auditoría del sistema de gestión de la calidadTema 4 auditoría del sistema de gestión de la calidad
Tema 4 auditoría del sistema de gestión de la calidad
 
PLAN DE AUDITORIA INTERNA ISO 45001
PLAN DE AUDITORIA INTERNA ISO 45001PLAN DE AUDITORIA INTERNA ISO 45001
PLAN DE AUDITORIA INTERNA ISO 45001
 
INDICADORES DE GESTIÓN
INDICADORES DE GESTIÓNINDICADORES DE GESTIÓN
INDICADORES DE GESTIÓN
 
ISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOSISO 31000: GESTIÓN DE RIESGOS
ISO 31000: GESTIÓN DE RIESGOS
 
Norma iso 17799
Norma iso 17799Norma iso 17799
Norma iso 17799
 
Iso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestionIso 14 sistema integrado de gestion
Iso 14 sistema integrado de gestion
 

Destacado

Guia 2 beneficios y riesgos de la tecnologia
Guia 2 beneficios y riesgos de la tecnologiaGuia 2 beneficios y riesgos de la tecnologia
Guia 2 beneficios y riesgos de la tecnologia
Claudia150499
 
PRÓS Y CONTRAS DE LAS TICs
PRÓS Y CONTRAS DE LAS TICsPRÓS Y CONTRAS DE LAS TICs
PRÓS Y CONTRAS DE LAS TICs
Javi Peká
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
simondavila
 
IDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSIDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOS
YENNYS3125
 
Agentes fisicos, quimicos y biologicos
Agentes fisicos, quimicos y biologicosAgentes fisicos, quimicos y biologicos
Agentes fisicos, quimicos y biologicos
Q'aqya Wayra
 

Destacado (20)

Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
Resume Ejecutivo Marco de Riesgos de Ti 18 10-2013
 
Manual administracion riesgo
Manual administracion riesgoManual administracion riesgo
Manual administracion riesgo
 
Análisis de Riesgo, Opciones Reales y Presupuesto Capital
Análisis de Riesgo, Opciones Reales y Presupuesto CapitalAnálisis de Riesgo, Opciones Reales y Presupuesto Capital
Análisis de Riesgo, Opciones Reales y Presupuesto Capital
 
Tecnologia de la Informacion y Comunicacion: Riesgos y Oportunidades
Tecnologia de la Informacion y Comunicacion: Riesgos y OportunidadesTecnologia de la Informacion y Comunicacion: Riesgos y Oportunidades
Tecnologia de la Informacion y Comunicacion: Riesgos y Oportunidades
 
Guia 2 beneficios y riesgos de la tecnologia
Guia 2 beneficios y riesgos de la tecnologiaGuia 2 beneficios y riesgos de la tecnologia
Guia 2 beneficios y riesgos de la tecnologia
 
Risma aja
Risma ajaRisma aja
Risma aja
 
Risk optimization management inside it governance
Risk optimization management inside it governanceRisk optimization management inside it governance
Risk optimization management inside it governance
 
PRÓS Y CONTRAS DE LAS TICs
PRÓS Y CONTRAS DE LAS TICsPRÓS Y CONTRAS DE LAS TICs
PRÓS Y CONTRAS DE LAS TICs
 
AI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgosAI03 Analis y gestion de riesgos
AI03 Analis y gestion de riesgos
 
Mod4 trabajo final
Mod4 trabajo finalMod4 trabajo final
Mod4 trabajo final
 
Risk Management - Sep 07
Risk Management - Sep 07Risk Management - Sep 07
Risk Management - Sep 07
 
Desarrollo de Habilidades en el uso de la Tecnología, la Información y la com...
Desarrollo de Habilidades en el uso de la Tecnología, la Información y la com...Desarrollo de Habilidades en el uso de la Tecnología, la Información y la com...
Desarrollo de Habilidades en el uso de la Tecnología, la Información y la com...
 
Enterprise Cloud Risk And Security
Enterprise Cloud Risk And SecurityEnterprise Cloud Risk And Security
Enterprise Cloud Risk And Security
 
Modelos de Costes para la Gestión de Servicios TI
Modelos de Costes para la Gestión de Servicios TIModelos de Costes para la Gestión de Servicios TI
Modelos de Costes para la Gestión de Servicios TI
 
Plan Estrategico de TI
Plan Estrategico de TIPlan Estrategico de TI
Plan Estrategico de TI
 
Ensayo "Abuso de las tecnologias"
Ensayo "Abuso de las tecnologias"Ensayo "Abuso de las tecnologias"
Ensayo "Abuso de las tecnologias"
 
Clase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidadesClase riesgos-amenazas-vulnerabilidades
Clase riesgos-amenazas-vulnerabilidades
 
IDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOSIDENTIFICACION Y EVALUACION DE RIESGOS
IDENTIFICACION Y EVALUACION DE RIESGOS
 
Agentes fisicos, quimicos y biologicos
Agentes fisicos, quimicos y biologicosAgentes fisicos, quimicos y biologicos
Agentes fisicos, quimicos y biologicos
 
Riesgos potenciales sobre el uso de las tic's
Riesgos potenciales sobre el uso de las tic'sRiesgos potenciales sobre el uso de las tic's
Riesgos potenciales sobre el uso de las tic's
 

Similar a 21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria

Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
Martin Miranda
 
It Risk Management
It Risk ManagementIt Risk Management
It Risk Management
nosfidel
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptx
Danny Israel Ligua Heras
 
Seguridad Informatica, Governanza De Ti Y Cobit
Seguridad Informatica, Governanza De Ti Y CobitSeguridad Informatica, Governanza De Ti Y Cobit
Seguridad Informatica, Governanza De Ti Y Cobit
YAMJ2010
 
1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion
cmardones
 

Similar a 21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria (20)

Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Auditoría y seguridad informática
Auditoría y seguridad informáticaAuditoría y seguridad informática
Auditoría y seguridad informática
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
9b gob-ti-inst-financieras-f.ferrer.o-1
9b gob-ti-inst-financieras-f.ferrer.o-19b gob-ti-inst-financieras-f.ferrer.o-1
9b gob-ti-inst-financieras-f.ferrer.o-1
 
Creando una estrategia de Gobierno y Protección de Datos
Creando una estrategia de Gobierno y Protección de DatosCreando una estrategia de Gobierno y Protección de Datos
Creando una estrategia de Gobierno y Protección de Datos
 
segunda-sesion.pptx
segunda-sesion.pptxsegunda-sesion.pptx
segunda-sesion.pptx
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Gobierno de it seguridad de la informacion v.1.1
Gobierno de it seguridad de la informacion v.1.1Gobierno de it seguridad de la informacion v.1.1
Gobierno de it seguridad de la informacion v.1.1
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
It Risk Management
It Risk ManagementIt Risk Management
It Risk Management
 
Organizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptxOrganizacion del departamento de auditoria informatica.pptx
Organizacion del departamento de auditoria informatica.pptx
 
Seguridad Informatica, Governanza De Ti Y Cobit
Seguridad Informatica, Governanza De Ti Y CobitSeguridad Informatica, Governanza De Ti Y Cobit
Seguridad Informatica, Governanza De Ti Y Cobit
 
Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1
 
Infosecu
InfosecuInfosecu
Infosecu
 
Seguridad
SeguridadSeguridad
Seguridad
 
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICs
 
1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion
 
Resume ejecutivo marco risk it 18 10-2013-
Resume ejecutivo marco risk it 18 10-2013-Resume ejecutivo marco risk it 18 10-2013-
Resume ejecutivo marco risk it 18 10-2013-
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 

Más de CincoC

Why uem-is-the-key-to-enterprise-it-security
Why uem-is-the-key-to-enterprise-it-securityWhy uem-is-the-key-to-enterprise-it-security
Why uem-is-the-key-to-enterprise-it-security
CincoC
 
Cliente servidor
Cliente servidorCliente servidor
Cliente servidor
CincoC
 
Eficiencia en motores_electricos
Eficiencia en motores_electricosEficiencia en motores_electricos
Eficiencia en motores_electricos
CincoC
 
Manual de-sql-2000-server
Manual de-sql-2000-serverManual de-sql-2000-server
Manual de-sql-2000-server
CincoC
 

Más de CincoC (15)

Curso python-para-principiantes
Curso python-para-principiantesCurso python-para-principiantes
Curso python-para-principiantes
 
16 pf-preguntas
16 pf-preguntas16 pf-preguntas
16 pf-preguntas
 
Giving directions wave
Giving directions waveGiving directions wave
Giving directions wave
 
Why uem-is-the-key-to-enterprise-it-security
Why uem-is-the-key-to-enterprise-it-securityWhy uem-is-the-key-to-enterprise-it-security
Why uem-is-the-key-to-enterprise-it-security
 
Saber electrónica
Saber electrónicaSaber electrónica
Saber electrónica
 
Ejercicios plc
Ejercicios plcEjercicios plc
Ejercicios plc
 
Arduino y labview
Arduino y labviewArduino y labview
Arduino y labview
 
Microsoft azure pass how to
Microsoft azure pass how toMicrosoft azure pass how to
Microsoft azure pass how to
 
Fuente sin transformador
Fuente sin transformadorFuente sin transformador
Fuente sin transformador
 
Tutorial labview
Tutorial labviewTutorial labview
Tutorial labview
 
Ejemplo gpib labview
Ejemplo gpib labviewEjemplo gpib labview
Ejemplo gpib labview
 
Romper clave elastix
Romper clave elastixRomper clave elastix
Romper clave elastix
 
Cliente servidor
Cliente servidorCliente servidor
Cliente servidor
 
Eficiencia en motores_electricos
Eficiencia en motores_electricosEficiencia en motores_electricos
Eficiencia en motores_electricos
 
Manual de-sql-2000-server
Manual de-sql-2000-serverManual de-sql-2000-server
Manual de-sql-2000-server
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 

Último (11)

Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 

21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria

  • 1. Deloitte Training Riesgos de tecnología de información implicaciones y retos para la auditoria
  • 2. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Definición del universo auditable y valoración de riesgos de TI Presentado por Mauricio Solano Redondo, Director – Auditor de sistemas certificado (CISA). – Certificado en Riesgos y Controles Informáticos (CRISC). – Certificado en Fundamentos de COBIT 4.1. – Certificado en Fundamentos de ITIL V3. 1
  • 3. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Agenda Mitos y realidades del Auditor de T.I. El proceso de Auditoría de T.I. Proceso para Análisis de Riesgo. Evaluación del Riesgo. Caso para Análisis de Riesgos Preguntas & Respuestas.
  • 4. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Mitos y realidades del auditor de T.I. 3
  • 5. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Mitos y realidades del Auditor de T.I. en la evaluación de riesgos Mitos y realidades 4 – No es un accesorio!!!. – No es un requisito regulatorio!!!. – Es parte de la Auditoria Interna. – Debe dar valor a la función de la auditoria interna. – Debe tener la preparación académica y la capacitación requerida para la gestión que desempeña. – Debe tener una participación relevante en la elaboración del análisis de riesgos para establecer el plan de auditoria o bien hacer por separado pero alineado su propio análisis de riesgos y el plan de auditoria de T.I.
  • 6. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados El proceso de auditoría de T.I. 5
  • 7. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados El proceso de auditoría de T.I. en la evaluación de riesgos Ciclo de Administración del riesgo 6
  • 8. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Evaluación de Riesgo 7
  • 9. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Evaluación de riesgo Evaluación de Riesgo 8 Evaluación de riesgos
  • 10. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Evaluación de riesgo Evaluación de riesgo Entorno del negocio Uno de los elementos más importantes que fortalecen el análisis del riesgo es la definición de los factores que inciden de manera general en cada uno de los procesos TI. Los factores más comunes son: - Gente (recurso humano) - Herramientas para el manejo de los procesos de TI - Complejidad de los procesos de TI y de las aplicaciones - Documentación de los procesos de TI y de las aplicaciones - Nivel de supervisión y monitoreo de los procesos y practicas de TI - Ambiente de control y controles sobre los procesos de TI y de las aplicaciones - Efecto en clientes y usuarios de T.I. 9
  • 11. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Evaluación de riesgo Evaluación de riesgo Identificación de Riesgos 1. Metodología para realizar el inventario de riesgos: - Analizar el plan estratégico de TI con el fin de listar los riesgos identificados por la Gerencia de TI. - Consulta a la Auditoría Interna sobre los riesgos identificados como parte del proceso de desarrollo del plan anual. - Indagación con los miembros del Comité de TI sobre riesgos de TI percibidos por ellos. - Entrevistas con jefes funcionales o dueños de procesos de TI. - Entrevista con el responsable de riesgos de la Entidad. - Recopilación de riesgos de TI según bases de datos de las mejores practicas. 2. Definición del universo de procesos. 10
  • 12. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Evaluación de riesgo Evaluación de riesgo Resultados 1. Análisis de Riesgos: - Inventario de riesgos de TI: detalle pormenorizado de riesgos identificados con base en las indagaciones y entrevistas. - Universo de procesos: detalle de procesos del área de TI. - Mapa de riesgos por procesos del área de TI: comprende una gráfica de los principales procesos del Área de TI, priorizados de acuerdo al nivel de exposición. - Matriz de riesgos por procesos: documento que describe cada uno de los riesgos identificados y que objetivo de TI están amenazando directamente. - Mapeo de estructura organizativa: corresponde a la relación de riesgos y los puestos que se ejecutan dentro del área de TI. 2. Plan Inicial de Auditoria Interna de T.I.: documento que especifica los objetivos, alcance, programa de ejecución y recursos requeridos y asignados. 11
  • 13. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Evaluación de riesgo Evaluación de riesgo Controles Generales del Computador Por lo importante que son los controles internos en los ambientes informáticos proponemos en esta fase el análisis de Diseño, Implementación y Efectividad Operativa de los CGC, comparando los resultados con las mejores practicas de la industria financiera. Los CGC tienen especial importancia por la confianza que estos aportan a los Entes de Gobierno Corporativo (Comité de Auditoria, Alta Gerencia y Junta Directiva) sobre el proceso de generación de los estados financieros y demás información financiera. De igual manera los controles generales del computador auxilian a mitigar riesgos tales como los de continuidad del negocio, daño a la imagen y los de fraude. - Arquitectura - Continuidad del Negocio - Contratación & Externalización - Recursos Humanos TI - Seguridad de la Información - Privacidad & Protección de Datos - Gestión de Proyectos - Gestión de registros - Gestión de Activos - Gestión del Cambio - Gestión del Riesgo TI - Operaciones - Seguridad Física & Ambiental - Gestión de Problemas - Licenciamiento de Tecnología - Gobernabilidad de TI 12
  • 14. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Evaluación de riesgos Resultados de la Evaluación de Riesgos – Tabla MARCI Los riesgos para cada área funcional se representan en el modelo de Impacto / vulnerabilidad. Este modelo se utiliza para ayudar a la auditoría y gestión interna en la determinación de la respuesta global del riesgo Areas Funcionales 1) Arquitectura 2) Continuidad del Negocio 3) Contratación & Externalización 4) Recursos Humanos TI 5) Seguridad de la Información 6) Privacidad & Protección de Datos 7) Gestión de Proyectos 8) Gestión deregistros 9) Gestión de Activos 10) Gestión del Cambio 11) Gestión del Riesgo TI 12) Operaciones 13) Seguridad Física & Ambiental 14) Gestión de Problemas 15) Licenciamiento de Tecnología 16) Gobernabilidad de TI 13
  • 15. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Resultados de la evaluación de riesgos Principales Riesgos # Área Funcional de TI Descripción del Riesgo 1 Seguridad de la Información Falta de un individuo (ejm., Director de Seguridad de la Información) o función dedicada al manejo de la seguridad. 2 Seguridad de la Información No existe programa para manejar exhaustivamente riesgos cibernéticos. 3 Seguridad de la Información No se emplea un marco de seguridad global a través de Compañía para identificar, controlar y mitigar proactivamente los riesgos de seguridad TI. 4 Seguridad de la Información El equipo de seguridad de la Compañía no tiene visibilidad de las actividades de gestión de riesgos de seguridad realizadas por los propietarios de las aplicaciones (aplicaciones de producción y aplicaciones de soporte / operaciones). 5 Seguridad de la Información No está claro si las consideraciones de seguridad se incorporarán a las nuevas implementaciones de aplicaciones. 6 Seguridad de la Información, RRHH, Contratación & Externalización El entrenamiento de Seguridad, para el personal de la Compañía y contratistas / terceros, no está formalmente definido o entregado consistentemente a través de la Compañía. 7 Seguridad de la Información Gestión de Activos Portátiles heredados y PC no están actualmente cifrados (encriptados). A medida que arrendamientos terminan, nuevos portátiles y PC se emiten con el software de encriptación adecuado. 8 Protección de Privacidad & Datos No se ha establecido un programa global de privacidad en la Compañía. La falta de un programa global de privacidad aumenta el riesgo de incumplimiento con las disposiciones de privacidad específicas de cada país. 9 Protección de Privacidad & Datos Organizaciones / unidades de negocio selectas en la Compañía manejan información protegida. Existe el riesgo de que las prácticas de seguridad y privacidad de estas organizaciones pueda no estar de acuerdo con normas de seguridad y privacidad. 14
  • 16. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Resultados de la evaluación de riesgos Principales Riesgos # Area Funcional de TI Descripción del Riesgo 10 Contratación & Externalización Dada la falta de un esquema de clasificación de datos de seguridad / privacidad en la Compañía, junto con la falta de controles formales de fuga de datos o de la tecnología en la Compañía, existe el riesgo de que los contratistas y terceros que apoyan Compañía puede acceder y descargar los datos confidenciales de la Compañía que no están autorizados para acceder o descargar para su uso personal. 11 Gestión de Activos Equipo de gestión de activos no tiene visibilidad a las prácticas de gestión de activos (por ejemplo, el aprovisionamiento, activos jubilados trituración de, discos duros, desinfección) 12 Gestión del Cambio Gestión de código fuente inconsistente. Cambiar las políticas de gestión, procedimientos y protocolos para aplicaciones de producción y la infraestructura no es consistente. La falta de proceso de control de cambio consistente puede resultar en el rendimiento del sistema degradado y o fallas en los sistemas de producción que den lugar a la pérdida de negocio. 13 Adquisicion e Integración de TI Existe un riesgo de que las entidades adquiridas por Compañía no están integradas y dichas entidades no tienen los adecuados controles de TI en marcha. Además, para aquellas entidades que se integran a la Compañía, existe un riesgo de que la integración no se lleve a cabo de una manera controlada. 14 Continuidad del Negocio Existe un riesgo de que el Plan de Continuidad de Negocios (PCN) que se desarrolló en las oficinas centrales y ahora está en proceso de ser desplegado a las sucursales no se despliegue correctamente. 15 Tecnologías Emergentes Existe el riesgo de que las nuevas tecnologías (por ejemplo, tecnología basadas en la nube, aplicaciones de movilidad y dispositivos) no se desarrollen o se utilicen de una manera controlada. 15
  • 17. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados Caso para análisis de riesgo 16
  • 18. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados ¿Preguntas? Contáctenos Mauricio Solano R. Director Enterprise Risk Services Barrio Dent, San Pedro, 3667-1000 San José, Costa Rica Main: +506 2246 5103 Direct: +506 2246 5211 Fax: +506 2246 5207 msolano@deloitte.com Firma miembro de Deloitte Touche Tohmatsu 17