El documento presenta un marco de trabajo para la gestión de riesgos de TI llamado Risk IT. Risk IT define riesgo de TI y permite integrar la gestión de riesgos de TI en la gestión de riesgos organizacional. Además, ayuda a identificar riesgos y debilidades de TI para que los auditores puedan determinar los controles necesarios para mitigarlos.
2. Es un modelo completo que define buenas
prácticas y:
◦ Proporciona orientación en el diseño, realización y
reporte de auditorías.
◦ Define términos y conceptos específicos para el
aseguramiento de TI
◦ Establece los estándares que definan los requerimientos
para los profesionales de la auditoria relacionados a
roles y responsabilidades
Conocimientos y habilidades
Diligencia, conducta y reporte
Yuvenny
3. Estándar: debe ser cumplido
Directrices: Proveen una guía
para actuar
Herramientas: Proveen un ejemplo o
“plantilla” de acción.
Yuvenny
4. Generales:
◦ Los principios guía por los que operan los
profesionales de aseguramiento de TI
◦ Aplican para la realización de todas la asignaciones
◦ Se ocupan de:
ética
Independencia
Objetividad
Debido cuidado
Conocimiento
competencia
Yuvenny
5. Desempeño:
◦ Se refieren a la realización de la asignación:
Planificación y supervisión
Alcance, riesgo y materialidad
Movilización de recursos
Gestión de supervisión y asignaciones
Evidencias de auditoria y aseguramiento
Puesta en práctica de juicio profesional
Reportes
◦ Se refiere a los tipos de reportes, medios de
comunicación y la información comunicada.
Kemuel
6. Proporcionan al auditor información y
dirección sobre un área de auditoria o
aseguramiento.
Ayudan a clarificar la relación entre las
actividades e iniciativas de la empresa y las
asumidas por TI
Se centran en ayudar para la planificación,
ejecución, pruebas y reportes de auditorías o
aseguramientos sobre los procesos de TI
Kemuel
7. Proporcionan información específica sobre
diversa metodologías, herramientas y
plantillas, incluyendo información sobre si
aplicación o uso.
Las herramientas y técnicas están
directamente vinculadas están directamente
vinculadas con directrices específicas.
Kemuel
8. Evaluación de Riesgos
de SI
Firmas Digitales
Detección de Intrusos
Virus y otros códigos
maliciosos
Auto-evaluación del
control de riesgos
Firewalls
Irregularidades y actos
ilegales
Evaluación de la
seguridad – Pruebas de
penetración y análisis
de vulnerabilidades
Evaluación de los
controles de gestión
sobre las metodologías
de encriptación
Control de Cambios de
aplicación del negocio
Transferencia
Electrónica de Datos
Kemuel
9. Es parte de la planificación de auditoria
Ayuda a identificar riesgos y debilidades
par que el auditor puede determinar los
controles necesarios para mitigarlos
Yorka
10. El auditor de SI a menudo está centrado
en asuntos de alto riesgo asociados con:
• Confiabilidad
• Confidencialidad
• Disponibilidad
• Integridad
Yorka
11. El Auditor de SI debe tener una comprensión
clara de:
◦ El propósito y la naturaleza del negocio
◦ Una buena visión general de los procesos de
negocio
◦ La dependencia en tecnología
◦ Los riesgos que supone el uso de TI y como
impactan en el logro de las metas y objetivos de
negocio
Yorka
12. Es un marco de trabajo para ayudar a las
empresas a gestionar sus riesgos de TI
Riesgo (según ISO):
“Potencial de que una amenaza determinada
exploté las vulnerabilidades de uno o más
activos y por consiguiente produzca danos o
perdidas a la organización.”
Yorka
13. Risk IT Explica el riesgo de la informacion y
permite:
◦ Integrar la gestión de riesgo de TI en la gestión de
riesgos organizacional
◦ Tomar decisiones bien informadas acerca de la
magnitud, tolerancia y aversión al riesgo de la
empresa.
◦ Comprender como responder al riesgo.
Yorka