Más contenido relacionado La actualidad más candente (20) Similar a 21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria (20) 21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria2. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Definición del universo auditable y valoración de
riesgos de TI
Presentado
por
Mauricio Solano Redondo, Director
– Auditor de sistemas certificado (CISA).
– Certificado en Riesgos y Controles Informáticos (CRISC).
– Certificado en Fundamentos de COBIT 4.1.
– Certificado en Fundamentos de ITIL V3.
1
3. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Agenda
Mitos y realidades del Auditor de T.I.
El proceso de Auditoría de T.I.
Proceso para Análisis de Riesgo.
Evaluación del Riesgo.
Caso para Análisis de Riesgos
Preguntas & Respuestas.
4. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Mitos y realidades del auditor de T.I.
3
5. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Mitos y realidades del Auditor de T.I. en la
evaluación de riesgos
Mitos y
realidades
4
– No es un accesorio!!!.
– No es un requisito regulatorio!!!.
– Es parte de la Auditoria Interna.
– Debe dar valor a la función de la auditoria interna.
– Debe tener la preparación académica y la capacitación
requerida para la gestión que desempeña.
– Debe tener una participación relevante en la elaboración
del análisis de riesgos para establecer el plan de
auditoria o bien hacer por separado pero alineado su
propio análisis de riesgos y el plan de auditoria de T.I.
6. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
El proceso de auditoría de T.I.
5
7. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
El proceso de auditoría de T.I. en la evaluación de
riesgos
Ciclo de
Administración
del riesgo
6
8. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluación de Riesgo
7
9. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluación de riesgo
Evaluación de
Riesgo
8
Evaluación de riesgos
10. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluación de riesgo
Evaluación de
riesgo
Entorno del negocio
Uno de los elementos más importantes que fortalecen el análisis
del riesgo es la definición de los factores que inciden de manera
general en cada uno de los procesos TI.
Los factores más comunes son:
- Gente (recurso humano)
- Herramientas para el manejo de los procesos de TI
- Complejidad de los procesos de TI y de las aplicaciones
- Documentación de los procesos de TI y de las aplicaciones
- Nivel de supervisión y monitoreo de los procesos y practicas de
TI
- Ambiente de control y controles sobre los procesos de TI y de
las aplicaciones
- Efecto en clientes y usuarios de T.I.
9
11. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluación de riesgo
Evaluación de
riesgo
Identificación de
Riesgos
1. Metodología para realizar el inventario de riesgos:
- Analizar el plan estratégico de TI con el fin de listar los
riesgos identificados por la Gerencia de TI.
- Consulta a la Auditoría Interna sobre los riesgos
identificados como parte del proceso de desarrollo del
plan anual.
- Indagación con los miembros del Comité de TI sobre
riesgos de TI percibidos por ellos.
- Entrevistas con jefes funcionales o dueños de procesos
de TI.
- Entrevista con el responsable de riesgos de la Entidad.
- Recopilación de riesgos de TI según bases de datos de
las mejores practicas.
2. Definición del universo de procesos.
10
12. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluación de riesgo
Evaluación de
riesgo
Resultados
1. Análisis de Riesgos:
- Inventario de riesgos de TI: detalle pormenorizado de
riesgos identificados con base en las indagaciones y
entrevistas.
- Universo de procesos: detalle de procesos del área
de TI.
- Mapa de riesgos por procesos del área de TI:
comprende una gráfica de los principales procesos del
Área de TI, priorizados de acuerdo al nivel de
exposición.
- Matriz de riesgos por procesos: documento que
describe cada uno de los riesgos identificados y que
objetivo de TI están amenazando directamente.
- Mapeo de estructura organizativa: corresponde a la
relación de riesgos y los puestos que se ejecutan
dentro del área de TI.
2. Plan Inicial de Auditoria Interna de T.I.: documento que
especifica los objetivos, alcance, programa de ejecución y
recursos requeridos y asignados.
11
13. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluación de riesgo
Evaluación de
riesgo
Controles
Generales del
Computador
Por lo importante que son los controles internos en los ambientes
informáticos proponemos en esta fase el análisis de Diseño,
Implementación y Efectividad Operativa de los CGC, comparando
los resultados con las mejores practicas de la industria financiera.
Los CGC tienen especial importancia por la confianza que estos
aportan a los Entes de Gobierno Corporativo (Comité de Auditoria,
Alta Gerencia y Junta Directiva) sobre el proceso de generación de
los estados financieros y demás información financiera. De igual
manera los controles generales del computador auxilian a mitigar
riesgos tales como los de continuidad del negocio, daño a la
imagen y los de fraude.
- Arquitectura
- Continuidad del Negocio
- Contratación & Externalización
- Recursos Humanos TI
- Seguridad de la Información
- Privacidad & Protección de Datos
- Gestión de Proyectos
- Gestión de registros
- Gestión de Activos
- Gestión del Cambio
- Gestión del Riesgo TI
- Operaciones
- Seguridad Física & Ambiental
- Gestión de Problemas
- Licenciamiento de Tecnología
- Gobernabilidad de TI
12
14. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluación de riesgos
Resultados de
la Evaluación
de Riesgos –
Tabla
MARCI
Los riesgos para cada área funcional se representan en el modelo de Impacto /
vulnerabilidad. Este modelo se utiliza para ayudar a la auditoría y gestión interna
en la determinación de la respuesta global del riesgo
Areas Funcionales
1) Arquitectura
2) Continuidad del Negocio
3) Contratación & Externalización
4) Recursos Humanos TI
5) Seguridad de la Información
6) Privacidad & Protección de Datos
7) Gestión de Proyectos
8) Gestión deregistros
9) Gestión de Activos
10) Gestión del Cambio
11) Gestión del Riesgo TI
12) Operaciones
13) Seguridad Física & Ambiental
14) Gestión de Problemas
15) Licenciamiento de Tecnología
16) Gobernabilidad de TI
13
15. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Resultados de la evaluación de riesgos
Principales
Riesgos
# Área Funcional de TI Descripción del Riesgo
1 Seguridad de la
Información
Falta de un individuo (ejm., Director de Seguridad de la Información) o función dedicada al
manejo de la seguridad.
2 Seguridad de la
Información
No existe programa para manejar exhaustivamente riesgos cibernéticos.
3 Seguridad de la
Información
No se emplea un marco de seguridad global a través de Compañía para identificar, controlar y
mitigar proactivamente los riesgos de seguridad TI.
4 Seguridad de la
Información
El equipo de seguridad de la Compañía no tiene visibilidad de las actividades de gestión de
riesgos de seguridad realizadas por los propietarios de las aplicaciones (aplicaciones de
producción y aplicaciones de soporte / operaciones).
5 Seguridad de la
Información
No está claro si las consideraciones de seguridad se incorporarán a las nuevas
implementaciones de aplicaciones.
6 Seguridad de la
Información, RRHH,
Contratación &
Externalización
El entrenamiento de Seguridad, para el personal de la Compañía y contratistas / terceros, no
está formalmente definido o entregado consistentemente a través de la Compañía.
7 Seguridad de la
Información
Gestión de Activos
Portátiles heredados y PC no están actualmente cifrados (encriptados). A medida que
arrendamientos terminan, nuevos portátiles y PC se emiten con el software de encriptación
adecuado.
8 Protección de Privacidad
& Datos
No se ha establecido un programa global de privacidad en la Compañía. La falta de un
programa global de privacidad aumenta el riesgo de incumplimiento con las disposiciones de
privacidad específicas de cada país.
9 Protección de Privacidad
& Datos
Organizaciones / unidades de negocio selectas en la Compañía manejan información protegida.
Existe el riesgo de que las prácticas de seguridad y privacidad de estas organizaciones pueda
no estar de acuerdo con normas de seguridad y privacidad.
14
16. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Resultados de la evaluación de riesgos
Principales
Riesgos
# Area Funcional de TI Descripción del Riesgo
10 Contratación &
Externalización
Dada la falta de un esquema de clasificación de datos de seguridad / privacidad en la
Compañía, junto con la falta de controles formales de fuga de datos o de la tecnología en la
Compañía, existe el riesgo de que los contratistas y terceros que apoyan Compañía puede
acceder y descargar los datos confidenciales de la Compañía que no están autorizados para
acceder o descargar para su uso personal.
11 Gestión de Activos Equipo de gestión de activos no tiene visibilidad a las prácticas de gestión de activos (por
ejemplo, el aprovisionamiento, activos jubilados trituración de, discos duros, desinfección)
12 Gestión del Cambio Gestión de código fuente inconsistente.
Cambiar las políticas de gestión, procedimientos y protocolos para aplicaciones de producción
y la infraestructura no es consistente. La falta de proceso de control de cambio consistente
puede resultar en el rendimiento del sistema degradado y o fallas en los sistemas de producción
que den lugar a la pérdida de negocio.
13 Adquisicion e
Integración de TI
Existe un riesgo de que las entidades adquiridas por Compañía no están integradas y dichas
entidades no tienen los adecuados controles de TI en marcha. Además, para aquellas entidades
que se integran a la Compañía, existe un riesgo de que la integración no se lleve a cabo de una
manera controlada.
14 Continuidad del
Negocio
Existe un riesgo de que el Plan de Continuidad de Negocios (PCN) que se desarrolló en las
oficinas centrales y ahora está en proceso de ser desplegado a las sucursales no se despliegue
correctamente.
15 Tecnologías
Emergentes
Existe el riesgo de que las nuevas tecnologías (por ejemplo, tecnología basadas en la nube,
aplicaciones de movilidad y dispositivos) no se desarrollen o se utilicen de una manera
controlada.
15
17. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Caso para análisis de riesgo
16
18. © 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
¿Preguntas?
Contáctenos
Mauricio Solano R.
Director
Enterprise Risk Services
Barrio Dent, San Pedro,
3667-1000
San José, Costa Rica
Main: +506 2246 5103
Direct: +506 2246 5211
Fax: +506 2246 5207
msolano@deloitte.com
Firma miembro de Deloitte Touche Tohmatsu
17