SlideShare una empresa de Scribd logo

Presentacion Cybersecurity Bank 2019

Descargar como PPTX, PDF
TAR Security
TAR Security

Este documento presenta los aspectos negativos recurrentes en las auditorías y destaca la importancia de las auditorías. Explica que una auditoría es un proceso sistemático e independiente para obtener evidencias y evaluar el cumplimiento mediante criterios objetivos. También describe las etapas de una auditoría, incluida la planificación, ejecución, informe y seguimiento, así como el enfoque basado en evidencias. La conclusión es que las auditorías son aliadas necesarias para evitar riesgos, cumplir con la ley y medir el rendim

Tecnología
1 de 21
AUDITORIA DE CUMPLIMIENTO ¿Obligación o Necesidad? Israel Araoz Severiche iaraoz@tarsecurity.com LA ISO/IEC 27001 – LE ISO 22301 – CFHI - CEH Profesional en seguridad de la información
Agenda • 9 Aspectos negativos recurrentes en una auditoria • Auditoria (Definición) • Proceso de auditoria • Enfoque basado en envidencias • Conclusiones
¿Recuerdan cómo fue su primera auditoria?
Imaginemos… Auditor Auditado Primer auditoria en el sector financiero….. Primer semana de trabajo…..
Imaginemos… Hablamos el mismo idioma, pero es muy posible que las palabras tengan un sentido distinto, por tal motivo es importante dominar el vocabulario básico.
9 Aspectos negativos recurrentes…. • Recursos económicos limitados (Normalmente a la propuesta de menor precio). • Planificación de auditoria no adecuada del programa de auditoria. • Alta dirección poco involucrada en la gestión de seguridad de la información.
9 Aspectos negativos recurrentes…. • Revisión solo documental, no se reproduce el resultado de una actividad. • Desconocimiento del equipo auditor sobre conceptos específicos, técnicas de auditoria y otros. • Desconocimiento del negocio, la normativa deben ser adaptadas al negocio, no el negocio a la normativa
9 Aspectos negativos recurrentes…. • Falta de implementación de métricas por parte de la empresa para medir la efectividad del control. • Ver al auditor como un enemigo, entrando en una competencia de conocimiento. • Documentación innecesaria desconocimiento de los reglamentos, normativas de cumplimiento
Permitiendo materializar… • Incumplimiento normativo / Legal • Sanciones económicas • Manipulación informática indebida (CPP) • Ciberataques • Fuga de información • Acceso no autorizado a información, servicios tecnológicos. • Ataques de Malware
Causando • Perdida de reputación e imagen. • Impacto a nivel financiero • Impacto a nivel legal
La auditoria es nuestra aliada, la necesitamos
Definición : Auditoria • Proceso sistemático, independiente y documentado para obtener evidencias, evaluando de forma objetiva con el fin de determinar el grado que cumplen los criterios de auditoria.
Proceso de auditoría Ejecución InformeSeguimiento Planificación • Objetivos , criterios y alcance de la auditoria. • Roles y responsabilidades de cada integrante del equipo auditor • Programa de trabajo , actividades a realizar de forma detalladas
Proceso de auditoría Ejecución InformeSeguimiento Planificación • Reunion de inicio. • Presentación de los involucrados • Confirmar el plan • Canales formales de comunicación • Recolección de información • Análisis de la informacion
Proceso de auditoría Ejecución InformeSeguimiento Planificación • Hallazgos de auditoria • Redacción de los hallazgos de auditoria • Redacción de informe de no conformidad
Proceso de auditoría • Actividades planificadas con tiempos y recursos asignados. • Actividades implementadas fuera de tiempo Ejecución InformeSeguimiento Planificación
Enfoque con base en evidencias Evidencia Documental Evidencia Técnica Evidencia Confirmativa Evidencia Analítica Evidencia Matemática
Proceso de mejora continua Antecedentes antes de contratar Implementar código de ética Evaluación continua sobre los auditores Capacitaciones, generación de conciencia Procedimientos y políticas de trabajo con base en estándares y mejores practicas
Conclusiones • No basta con tener un documento que diga “Informe de auditoria” • Es necesario establecer criterios de calidad para los informes de auditoria. • Se debe evaluar el resultado del trabajo y al auditor. • Planificar la auditoria, establece un tiempo prudente para la ejecución de la auditoria.
Conclusiones • Evitar riesgos asociadas a los procesos del negocio, recursos humanos y tecnológicos. • Cumplimiento Legal / Normativo • Se debe implementar métricas, para medir si el control cumple con el objetivo del mismo. • Objetivos de tecnología de la información alineados al negocio
¿Preguntas?

Recomendados

TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA)
TAR Security
 
Auditor interno. actividades del auditor interno
Auditor interno. actividades del auditor internoAuditor interno. actividades del auditor interno
Auditor interno. actividades del auditor interno
123 aprende
 
Auditor interno. Nombramiento del líder auditor
Auditor interno. Nombramiento del líder auditorAuditor interno. Nombramiento del líder auditor
Auditor interno. Nombramiento del líder auditor
123 aprende
 
Ser Auditor Interno ISO. Parte XVIII. Cualidades personales y conocimientos d...
Ser Auditor Interno ISO. Parte XVIII. Cualidades personales y conocimientos d...Ser Auditor Interno ISO. Parte XVIII. Cualidades personales y conocimientos d...
Ser Auditor Interno ISO. Parte XVIII. Cualidades personales y conocimientos d...
123 aprende
 
Planeacion auditoria 2
Planeacion auditoria 2Planeacion auditoria 2
Planeacion auditoria 2
olga7arias4
 
Auditor interno. procedimientos y recursos
Auditor interno. procedimientos y recursosAuditor interno. procedimientos y recursos
Auditor interno. procedimientos y recursos
123 aprende
 
Ser auditor interno. los hallazgos y cómo plasmarlos
Ser auditor interno. los hallazgos y cómo plasmarlosSer auditor interno. los hallazgos y cómo plasmarlos
Ser auditor interno. los hallazgos y cómo plasmarlos
123 aprende
 
Presentación 4
Presentación 4Presentación 4
Presentación 4
Overallhealth En Salud
 

Recomendados

TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA) TARSecurity : Análisis de Impacto al Negocio (BIA)
TARSecurity : Análisis de Impacto al Negocio (BIA)
TAR Security
 
Auditor interno. actividades del auditor interno
Auditor interno. actividades del auditor internoAuditor interno. actividades del auditor interno
Auditor interno. actividades del auditor interno
123 aprende
 
Auditor interno. Nombramiento del líder auditor
Auditor interno. Nombramiento del líder auditorAuditor interno. Nombramiento del líder auditor
Auditor interno. Nombramiento del líder auditor
123 aprende
 
Ser Auditor Interno ISO. Parte XVIII. Cualidades personales y conocimientos d...
Ser Auditor Interno ISO. Parte XVIII. Cualidades personales y conocimientos d...Ser Auditor Interno ISO. Parte XVIII. Cualidades personales y conocimientos d...
Ser Auditor Interno ISO. Parte XVIII. Cualidades personales y conocimientos d...
123 aprende
 
Planeacion auditoria 2
Planeacion auditoria 2Planeacion auditoria 2
Planeacion auditoria 2
olga7arias4
 
Auditor interno. procedimientos y recursos
Auditor interno. procedimientos y recursosAuditor interno. procedimientos y recursos
Auditor interno. procedimientos y recursos
123 aprende
 
Ser auditor interno. los hallazgos y cómo plasmarlos
Ser auditor interno. los hallazgos y cómo plasmarlosSer auditor interno. los hallazgos y cómo plasmarlos
Ser auditor interno. los hallazgos y cómo plasmarlos
123 aprende
 
Presentación 4
Presentación 4Presentación 4
Presentación 4
Overallhealth En Salud
 
Ser auditor interno. cómo recopilar y verificar información
Ser auditor interno. cómo recopilar y verificar informaciónSer auditor interno. cómo recopilar y verificar información
Ser auditor interno. cómo recopilar y verificar información
123 aprende
 
Planeamiento de auditoria
Planeamiento de auditoriaPlaneamiento de auditoria
Planeamiento de auditoria
Briiyiithh Campoz
 
Auditor interno. Definiendo el programa de auditoría
Auditor interno. Definiendo el programa de auditoríaAuditor interno. Definiendo el programa de auditoría
Auditor interno. Definiendo el programa de auditoría
123 aprende
 
Presentación5
Presentación5Presentación5
Presentación5
Overallhealth En Salud
 
Auditor interno. Responsabilidades
Auditor interno. ResponsabilidadesAuditor interno. Responsabilidades
Auditor interno. Responsabilidades
123 aprende
 
Auditor interno. Gestionar auditorias internas
Auditor interno. Gestionar auditorias internasAuditor interno. Gestionar auditorias internas
Auditor interno. Gestionar auditorias internas
123 aprende
 
SAS A33 ppt141202
SAS A33 ppt141202SAS A33 ppt141202
SAS A33 ppt141202
Steelmood
 
Ser Auditor Interno ISO. Parte XVI. El seguimiento de la auditoría.
Ser Auditor Interno ISO. Parte XVI. El seguimiento de la auditoría.Ser Auditor Interno ISO. Parte XVI. El seguimiento de la auditoría.
Ser Auditor Interno ISO. Parte XVI. El seguimiento de la auditoría.
123 aprende
 
Habilidades del auditor
Habilidades del auditorHabilidades del auditor
Habilidades del auditor
JABERO241
 
Nias nagas presentar
Nias nagas presentarNias nagas presentar
Nias nagas presentar
Chikytaty
 
Gestion de calidad (gps)
Gestion de calidad (gps)Gestion de calidad (gps)
Gestion de calidad (gps)
Anibal Ulibarri
 
Pres agil vs tradicional
Pres agil vs tradicionalPres agil vs tradicional
Pres agil vs tradicional
Oscar Ferreira
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria Informática
Willian Yanza Chavez
 
Sustentación
SustentaciónSustentación
Sustentación
Leidy de Jesús Vizcaíno Roa
 
Presentación3 de auditoría
Presentación3 de auditoríaPresentación3 de auditoría
Presentación3 de auditoría
Robertoojo
 
Diapositivas control intern
Diapositivas control internDiapositivas control intern
Diapositivas control intern
Daniela Tapasco
 
Diapositivas control intern
Diapositivas control internDiapositivas control intern
Diapositivas control intern
Cindysole
 
Ser auditor interno ISO. Parte XVII. Las competencias del auditor de SGC.
Ser auditor interno ISO. Parte XVII. Las competencias del auditor de SGC.Ser auditor interno ISO. Parte XVII. Las competencias del auditor de SGC.
Ser auditor interno ISO. Parte XVII. Las competencias del auditor de SGC.
123 aprende
 
Uribe_Argueta_Humberto_Yahair_Lauriansce_proyecto parte 1.docx
Uribe_Argueta_Humberto_Yahair_Lauriansce_proyecto parte 1.docxUribe_Argueta_Humberto_Yahair_Lauriansce_proyecto parte 1.docx
Uribe_Argueta_Humberto_Yahair_Lauriansce_proyecto parte 1.docx
YahairArgueta
 
Ser auditor interno. La importancia de la comunicación
Ser auditor interno. La importancia de la comunicaciónSer auditor interno. La importancia de la comunicación
Ser auditor interno. La importancia de la comunicación
123 aprende
 
7. auditoría del sig
7. auditoría del sig7. auditoría del sig
7. auditoría del sig
Pablo Adolfo Molinero Durand
 
04. TECNICAS DE AUDITORIA ISO22000-TUV .pdf
04. TECNICAS DE AUDITORIA ISO22000-TUV .pdf04. TECNICAS DE AUDITORIA ISO22000-TUV .pdf
04. TECNICAS DE AUDITORIA ISO22000-TUV .pdf
HENRYCORTES11
 

Más contenido relacionado

La actualidad más candente

Ser Auditor Interno ISO. Parte XVI. El seguimiento de la auditoría.
Ser Auditor Interno ISO. Parte XVI. El seguimiento de la auditoría.Ser Auditor Interno ISO. Parte XVI. El seguimiento de la auditoría.
Ser Auditor Interno ISO. Parte XVI. El seguimiento de la auditoría.
123 aprende
 
Habilidades del auditor
Habilidades del auditorHabilidades del auditor
Habilidades del auditor
JABERO241
 
Nias nagas presentar
Nias nagas presentarNias nagas presentar
Nias nagas presentar
Chikytaty
 
Diapositivas control intern
Diapositivas control internDiapositivas control intern
Diapositivas control intern
Cindysole
 
Ser auditor interno ISO. Parte XVII. Las competencias del auditor de SGC.
Ser auditor interno ISO. Parte XVII. Las competencias del auditor de SGC.Ser auditor interno ISO. Parte XVII. Las competencias del auditor de SGC.
Ser auditor interno ISO. Parte XVII. Las competencias del auditor de SGC.
123 aprende
 
Uribe_Argueta_Humberto_Yahair_Lauriansce_proyecto parte 1.docx
Uribe_Argueta_Humberto_Yahair_Lauriansce_proyecto parte 1.docxUribe_Argueta_Humberto_Yahair_Lauriansce_proyecto parte 1.docx
Uribe_Argueta_Humberto_Yahair_Lauriansce_proyecto parte 1.docx
YahairArgueta
 

La actualidad más candente (20)

Ser auditor interno. cómo recopilar y verificar información
Ser auditor interno. cómo recopilar y verificar informaciónSer auditor interno. cómo recopilar y verificar información
Ser auditor interno. cómo recopilar y verificar información
 
Planeamiento de auditoria
Planeamiento de auditoriaPlaneamiento de auditoria
Planeamiento de auditoria
 
Auditor interno. Definiendo el programa de auditoría
Auditor interno. Definiendo el programa de auditoríaAuditor interno. Definiendo el programa de auditoría
Auditor interno. Definiendo el programa de auditoría
 
Presentación5
Presentación5Presentación5
Presentación5
 
Auditor interno. Responsabilidades
Auditor interno. ResponsabilidadesAuditor interno. Responsabilidades
Auditor interno. Responsabilidades
 
Auditor interno. Gestionar auditorias internas
Auditor interno. Gestionar auditorias internasAuditor interno. Gestionar auditorias internas
Auditor interno. Gestionar auditorias internas
 
SAS A33 ppt141202
SAS A33 ppt141202SAS A33 ppt141202
SAS A33 ppt141202
 
Ser Auditor Interno ISO. Parte XVI. El seguimiento de la auditoría.
Ser Auditor Interno ISO. Parte XVI. El seguimiento de la auditoría.Ser Auditor Interno ISO. Parte XVI. El seguimiento de la auditoría.
Ser Auditor Interno ISO. Parte XVI. El seguimiento de la auditoría.
 
Habilidades del auditor
Habilidades del auditorHabilidades del auditor
Habilidades del auditor
 
Nias nagas presentar
Nias nagas presentarNias nagas presentar
Nias nagas presentar
 
Gestion de calidad (gps)
Gestion de calidad (gps)Gestion de calidad (gps)
Gestion de calidad (gps)
 
Pres agil vs tradicional
Pres agil vs tradicionalPres agil vs tradicional
Pres agil vs tradicional
 
Procesos de Auditoria Informática
Procesos de Auditoria InformáticaProcesos de Auditoria Informática
Procesos de Auditoria Informática
 
Sustentación
SustentaciónSustentación
Sustentación
 
Presentación3 de auditoría
Presentación3 de auditoríaPresentación3 de auditoría
Presentación3 de auditoría
 
Diapositivas control intern
Diapositivas control internDiapositivas control intern
Diapositivas control intern
 
Diapositivas control intern
Diapositivas control internDiapositivas control intern
Diapositivas control intern
 
Ser auditor interno ISO. Parte XVII. Las competencias del auditor de SGC.
Ser auditor interno ISO. Parte XVII. Las competencias del auditor de SGC.Ser auditor interno ISO. Parte XVII. Las competencias del auditor de SGC.
Ser auditor interno ISO. Parte XVII. Las competencias del auditor de SGC.
 
Uribe_Argueta_Humberto_Yahair_Lauriansce_proyecto parte 1.docx
Uribe_Argueta_Humberto_Yahair_Lauriansce_proyecto parte 1.docxUribe_Argueta_Humberto_Yahair_Lauriansce_proyecto parte 1.docx
Uribe_Argueta_Humberto_Yahair_Lauriansce_proyecto parte 1.docx
 
Ser auditor interno. La importancia de la comunicación
Ser auditor interno. La importancia de la comunicaciónSer auditor interno. La importancia de la comunicación
Ser auditor interno. La importancia de la comunicación
 

Similar a Presentacion Cybersecurity Bank 2019

Procesos de auditoría
Procesos de auditoríaProcesos de auditoría
Procesos de auditoría
Uro Cacho
 
Auditorías externas autoevaluación 11-08-2012
Auditorías externas autoevaluación 11-08-2012Auditorías externas autoevaluación 11-08-2012
Auditorías externas autoevaluación 11-08-2012
GOPPASUDD
 
Auditorías externas y autoevaluación (MY)
Auditorías externas y autoevaluación (MY)Auditorías externas y autoevaluación (MY)
Auditorías externas y autoevaluación (MY)
diplomadostmumayor
 
Procesos de auditoría
Procesos de auditoríaProcesos de auditoría
Procesos de auditoría
Uro Cacho
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en Sistemas
Barbara brice?
 
pptcursoauditorinterno-230208162931-b10d8fa9 (1).pdf
pptcursoauditorinterno-230208162931-b10d8fa9 (1).pdfpptcursoauditorinterno-230208162931-b10d8fa9 (1).pdf
pptcursoauditorinterno-230208162931-b10d8fa9 (1).pdf
rafael442748
 
Tecnicas de auditorias - Althviz.ppt
Tecnicas de auditorias - Althviz.pptTecnicas de auditorias - Althviz.ppt
Tecnicas de auditorias - Althviz.ppt
ssuser537dd8
 
Sistema de auditorias
Sistema de auditoriasSistema de auditorias
Sistema de auditorias
Miza9304
 
Planeacion auditoria 2
Planeacion auditoria 2Planeacion auditoria 2
Planeacion auditoria 2
olga7arias4
 

Similar a Presentacion Cybersecurity Bank 2019 (20)

7. auditoría del sig
7. auditoría del sig7. auditoría del sig
7. auditoría del sig
 
04. TECNICAS DE AUDITORIA ISO22000-TUV .pdf
04. TECNICAS DE AUDITORIA ISO22000-TUV .pdf04. TECNICAS DE AUDITORIA ISO22000-TUV .pdf
04. TECNICAS DE AUDITORIA ISO22000-TUV .pdf
 
AUDITORIA FINANCIERA
AUDITORIA FINANCIERAAUDITORIA FINANCIERA
AUDITORIA FINANCIERA
 
Auditoria del sig
Auditoria del sigAuditoria del sig
Auditoria del sig
 
Procesos de auditoría
Procesos de auditoríaProcesos de auditoría
Procesos de auditoría
 
Presentación AI 19011.pptx
Presentación AI 19011.pptxPresentación AI 19011.pptx
Presentación AI 19011.pptx
 
Auditorías externas autoevaluación 11-08-2012
Auditorías externas autoevaluación 11-08-2012Auditorías externas autoevaluación 11-08-2012
Auditorías externas autoevaluación 11-08-2012
 
Cómo sacar el máximo rendimiento de un proceso auditor
Cómo sacar el máximo rendimiento de un proceso auditorCómo sacar el máximo rendimiento de un proceso auditor
Cómo sacar el máximo rendimiento de un proceso auditor
 
Auditorías internas
Auditorías internasAuditorías internas
Auditorías internas
 
Auditorías externas y autoevaluación (MY)
Auditorías externas y autoevaluación (MY)Auditorías externas y autoevaluación (MY)
Auditorías externas y autoevaluación (MY)
 
Auditoria de calidad
Auditoria de calidadAuditoria de calidad
Auditoria de calidad
 
Procesos de auditoría
Procesos de auditoríaProcesos de auditoría
Procesos de auditoría
 
Auditores internos 2022.pdf
Auditores internos 2022.pdfAuditores internos 2022.pdf
Auditores internos 2022.pdf
 
Fases de la Auditoría en Sistemas
Fases de la Auditoría en SistemasFases de la Auditoría en Sistemas
Fases de la Auditoría en Sistemas
 
pptcursoauditorinterno-230208162931-b10d8fa9 (1).pdf
pptcursoauditorinterno-230208162931-b10d8fa9 (1).pdfpptcursoauditorinterno-230208162931-b10d8fa9 (1).pdf
pptcursoauditorinterno-230208162931-b10d8fa9 (1).pdf
 
PPT Curso Auditor Interno.pptx
PPT Curso Auditor Interno.pptxPPT Curso Auditor Interno.pptx
PPT Curso Auditor Interno.pptx
 
Tecnicas de auditorias - Althviz.ppt
Tecnicas de auditorias - Althviz.pptTecnicas de auditorias - Althviz.ppt
Tecnicas de auditorias - Althviz.ppt
 
Auditoria interna en iso 9001 como herramienta de mejora continua
Auditoria interna en iso 9001 como herramienta de mejora continuaAuditoria interna en iso 9001 como herramienta de mejora continua
Auditoria interna en iso 9001 como herramienta de mejora continua
 
Sistema de auditorias
Sistema de auditoriasSistema de auditorias
Sistema de auditorias
 
Planeacion auditoria 2
Planeacion auditoria 2Planeacion auditoria 2
Planeacion auditoria 2
 

Último

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 

Último (15)

Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 

Presentacion Cybersecurity Bank 2019

  • 1. AUDITORIA DE CUMPLIMIENTO ¿Obligación o Necesidad? Israel Araoz Severiche iaraoz@tarsecurity.com LA ISO/IEC 27001 – LE ISO 22301 – CFHI - CEH Profesional en seguridad de la información
  • 2. Agenda • 9 Aspectos negativos recurrentes en una auditoria • Auditoria (Definición) • Proceso de auditoria • Enfoque basado en envidencias • Conclusiones
  • 3. ¿Recuerdan cómo fue su primera auditoria?
  • 4. Imaginemos… Auditor Auditado Primer auditoria en el sector financiero….. Primer semana de trabajo…..
  • 5. Imaginemos… Hablamos el mismo idioma, pero es muy posible que las palabras tengan un sentido distinto, por tal motivo es importante dominar el vocabulario básico.
  • 6. 9 Aspectos negativos recurrentes…. • Recursos económicos limitados (Normalmente a la propuesta de menor precio). • Planificación de auditoria no adecuada del programa de auditoria. • Alta dirección poco involucrada en la gestión de seguridad de la información.
  • 7. 9 Aspectos negativos recurrentes…. • Revisión solo documental, no se reproduce el resultado de una actividad. • Desconocimiento del equipo auditor sobre conceptos específicos, técnicas de auditoria y otros. • Desconocimiento del negocio, la normativa deben ser adaptadas al negocio, no el negocio a la normativa
  • 8. 9 Aspectos negativos recurrentes…. • Falta de implementación de métricas por parte de la empresa para medir la efectividad del control. • Ver al auditor como un enemigo, entrando en una competencia de conocimiento. • Documentación innecesaria desconocimiento de los reglamentos, normativas de cumplimiento
  • 9. Permitiendo materializar… • Incumplimiento normativo / Legal • Sanciones económicas • Manipulación informática indebida (CPP) • Ciberataques • Fuga de información • Acceso no autorizado a información, servicios tecnológicos. • Ataques de Malware
  • 10. Causando • Perdida de reputación e imagen. • Impacto a nivel financiero • Impacto a nivel legal
  • 11. La auditoria es nuestra aliada, la necesitamos
  • 12. Definición : Auditoria • Proceso sistemático, independiente y documentado para obtener evidencias, evaluando de forma objetiva con el fin de determinar el grado que cumplen los criterios de auditoria.
  • 13. Proceso de auditoría Ejecución InformeSeguimiento Planificación • Objetivos , criterios y alcance de la auditoria. • Roles y responsabilidades de cada integrante del equipo auditor • Programa de trabajo , actividades a realizar de forma detalladas
  • 14. Proceso de auditoría Ejecución InformeSeguimiento Planificación • Reunion de inicio. • Presentación de los involucrados • Confirmar el plan • Canales formales de comunicación • Recolección de información • Análisis de la informacion
  • 15. Proceso de auditoría Ejecución InformeSeguimiento Planificación • Hallazgos de auditoria • Redacción de los hallazgos de auditoria • Redacción de informe de no conformidad
  • 16. Proceso de auditoría • Actividades planificadas con tiempos y recursos asignados. • Actividades implementadas fuera de tiempo Ejecución InformeSeguimiento Planificación
  • 17. Enfoque con base en evidencias Evidencia Documental Evidencia Técnica Evidencia Confirmativa Evidencia Analítica Evidencia Matemática
  • 18. Proceso de mejora continua Antecedentes antes de contratar Implementar código de ética Evaluación continua sobre los auditores Capacitaciones, generación de conciencia Procedimientos y políticas de trabajo con base en estándares y mejores practicas
  • 19. Conclusiones • No basta con tener un documento que diga “Informe de auditoria” • Es necesario establecer criterios de calidad para los informes de auditoria. • Se debe evaluar el resultado del trabajo y al auditor. • Planificar la auditoria, establece un tiempo prudente para la ejecución de la auditoria.
  • 20. Conclusiones • Evitar riesgos asociadas a los procesos del negocio, recursos humanos y tecnológicos. • Cumplimiento Legal / Normativo • Se debe implementar métricas, para medir si el control cumple con el objetivo del mismo. • Objetivos de tecnología de la información alineados al negocio

Notas del editor

  1. Recuerdo mi primer auditoria, primer semana en el trabajo y llegó la auditora, con un algunos procedimientos impresos ya marcados las actividades y registros que debería solicitarme Comenzó a preguntar, puedes mostrarme tu plan de seguridad de la información…. Abrí mi Project donde ya tenía mis actividades, recursos asignados y tiempos para cumplir con la actividad…, lo primero que me comentó fue, Israel eso no es un plan, a lo que pregunte, para mi si lo es…
  2. La realidad es que para las unidades de TI, Riesgos, Operaciones , OSI los presupuestos anuales son reducidos, por lo tanto obliga a escoger una oferta de menor valor. Al no planificar y tomar en cuenta el tiempo establecido para ejecutar, revisar y presentar los resultados de la auditoria,, más el envío del informe a las entidades fiscalizadoras, generamos presión al auditor o equipo de auditores para realizar la auditoria, causando una revisión superficial, generando informes de auditorias generales Por lo general los directores son personas muy ocupadas, por lo tanto es difícil ubicarlos y fácilmente excluidos de las reuniones. El rol de la alta dirección es un factor clave, más allá de ser una contraparte, la al dirección comunica de forma vertical a todas las unidades de negocio los lineamientos claros y la decisión de implementar y mantener una gestión de seguridad de la información.
  3. En muchos casos nosotros como auditores externos exigimos a las empresas o medimos a todas a las empresas como la misma vara, es importante tomar en cuenta las estructuras organizativas, la naturaleza y tamaño de la empresa
  4. En el enfoque basado en evidencias, debemos tomar en cuenta los tipo de evidencias que existen Documental : Cualquier documento : políticas, procedimientos, informes, registros de eventos , actas de reuniones Técnica : resultados de un prueba técnica , por ejemplo análisis de prueba de intrusión a la red. Confirmativa : Registros recogidos y guardados por un tercero (proveedor de resguardo de cintas de Backup) Analítica : Analizar los datos y sus variaciones para identificar posibles desviaciones (Análisis sobre los logs de acceso a la red) Matemática : Cálculos matemáticos ejecutados por el auditor (Cantidad de licencias compradas contra cantidad de licencias en producción y en stock )