21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria

Deloitte TrainingRiesgos de tecnología de

información implicaciones

y retos para la auditoria

© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

Definición del universo auditable y valoración de

riesgos de TI

Presentado

por

Mauricio Solano Redondo, Director

– Auditor de sistemas certificado (CISA).

– Certificado en Riesgos y Controles Informáticos (CRISC).

– Certificado en Fundamentos de COBIT 4.1.

– Certificado en Fundamentos de ITIL V3.

1


AgendaMitos y realidades del Auditor de T.I.

El proceso de Auditoría de T.I.

Proceso para Análisis de Riesgo.

Evaluación del Riesgo.

Caso para Análisis de Riesgos

Preguntas & Respuestas.


Mitos y realidades del auditor de T.I.

3


Mitos y realidades del Auditor de T.I. en la

evaluación de riesgos

Mitos y

realidades

4

– No es un accesorio!!!.

– No es un requisito regulatorio!!!.

– Es parte de la Auditoria Interna.

– Debe dar valor a la función de la auditoria interna.

– Debe tener la preparación académica y la capacitaciónrequerida para la gestión que desempeña.

– Debe tener una participación relevante en la elaboracióndel análisis de riesgos para establecer el plan deauditoria o bien hacer por separado pero alineado supropio análisis de riesgos y el plan de auditoria de T.I.


El proceso de auditoría de T.I.

5


El proceso de auditoría de T.I. en la evaluación de

riesgos

Ciclo de

Administración

del riesgo

6


Evaluación de Riesgo

7


Evaluación de riesgo

Evaluación de

Riesgo

8

Evaluación de riesgos



Evaluación de

riesgo

Entorno del negocio

Uno de los elementos más importantes que fortalecen el análisisdel riesgo es la definición de los factores que inciden de manerageneral en cada uno de los procesos TI.

Los factores más comunes son:

- Gente (recurso humano)

- Herramientas para el manejo de los procesos de TI

- Complejidad de los procesos de TI y de las aplicaciones

- Documentación de los procesos de TI y de las aplicaciones

- Nivel de supervisión y monitoreo de los procesos y practicas deTI

- Ambiente de control y controles sobre los procesos de TI y delas aplicaciones

- Efecto en clientes y usuarios de T.I.

9



Evaluación de

riesgo

Identificación de Riesgos

1. Metodología para realizar el inventario de riesgos:

- Analizar el plan estratégico de TI con el fin de listar losriesgos identificados por la Gerencia de TI.

- Consulta a la Auditoría Interna sobre los riesgosidentificados como parte del proceso de desarrollo delplan anual.

- Indagación con los miembros del Comité de TI sobreriesgos de TI percibidos por ellos.

- Entrevistas con jefes funcionales o dueños de procesosde TI.

- Entrevista con el responsable de riesgos de la Entidad.

- Recopilación de riesgos de TI según bases de datos delas mejores practicas.

2. Definición del universo de procesos.

10



Evaluación de

riesgo

Resultados

1. Análisis de Riesgos:

- Inventario de riesgos de TI: detalle pormenorizado deriesgos identificados con base en las indagaciones yentrevistas.

- Universo de procesos: detalle de procesos del áreade TI.

- Mapa de riesgos por procesos del área de TI:comprende una gráfica de los principales procesos delÁrea de TI, priorizados de acuerdo al nivel deexposición.

- Matriz de riesgos por procesos: documento quedescribe cada uno de los riesgos identificados y queobjetivo de TI están amenazando directamente.

- Mapeo de estructura organizativa: corresponde a larelación de riesgos y los puestos que se ejecutandentro del área de TI.

2. Plan Inicial de Auditoria Interna de T.I.: documento queespecifica los objetivos, alcance, programa de ejecución yrecursos requeridos y asignados.

11



Evaluación de

riesgo

Controles Generales delComputador

Por lo importante que son los controles internos en los ambientesinformáticos proponemos en esta fase el análisis de Diseño,Implementación y Efectividad Operativa de los CGC, comparandolos resultados con las mejores practicas de la industria financiera.Los CGC tienen especial importancia por la confianza que estosaportan a los Entes de Gobierno Corporativo (Comité de Auditoria,Alta Gerencia y Junta Directiva) sobre el proceso de generación delos estados financieros y demás información financiera. De igualmanera los controles generales del computador auxilian a mitigarriesgos tales como los de continuidad del negocio, daño a laimagen y los de fraude.

- Arquitectura- Continuidad del Negocio- Contratación & Externalización- Recursos Humanos TI- Seguridad de la Información- Privacidad & Protección de Datos- Gestión de Proyectos- Gestión de registros- Gestión de Activos- Gestión del Cambio- Gestión del Riesgo TI- Operaciones- Seguridad Física & Ambiental- Gestión de Problemas- Licenciamiento de Tecnología- Gobernabilidad de TI

12


Evaluación de riesgos

Resultados de

la Evaluación

de Riesgos –

Tabla

MARCI

Los riesgos para cada área funcional se representan en el modelo de Impacto / vulnerabilidad. Este modelo se utiliza para ayudar a la auditoría y gestión interna

en la determinación de la respuesta global del riesgo

Areas Funcionales

1) Arquitectura

2) Continuidad del Negocio

3) Contratación & Externalización

4) Recursos Humanos TI

5) Seguridad de la Información

6) Privacidad & Protección de Datos

7) Gestión de Proyectos

8) Gestión deregistros

9) Gestión de Activos

10) Gestión del Cambio

11) Gestión del Riesgo TI

12) Operaciones

13) Seguridad Física & Ambiental

14) Gestión de Problemas

15) Licenciamiento de Tecnología

16) Gobernabilidad de TI

13


Resultados de la evaluación de riesgos

Principales

Riesgos

# Área Funcional de TI Descripción del Riesgo

1 Seguridad de la Información

Falta de un individuo (ejm., Director de Seguridad de la Información) o función dedicada almanejo de la seguridad.


No existe programa para manejar exhaustivamente riesgos cibernéticos.


No se emplea un marco de seguridad global a través de Compañía para identificar, controlar y mitigar proactivamente los riesgos de seguridad TI.


El equipo de seguridad de la Compañía no tiene visibilidad de las actividades de gestión de riesgos de seguridad realizadas por los propietarios de las aplicaciones (aplicaciones de producción y aplicaciones de soporte / operaciones).


No está claro si las consideraciones de seguridad se incorporarán a las nuevas implementaciones de aplicaciones.

6 Seguridad de la Información, RRHH,Contratación & Externalización

El entrenamiento de Seguridad, para el personal de la Compañía y contratistas / terceros, no está formalmente definido o entregado consistentemente a través de la Compañía.

7 Seguridad de la InformaciónGestión de Activos

Portátiles heredados y PC no están actualmente cifrados (encriptados). A medida que arrendamientos terminan, nuevos portátiles y PC se emiten con el software de encriptación adecuado.

8 Protección de Privacidad & Datos

No se ha establecido un programa global de privacidad en la Compañía. La falta de un programa global de privacidad aumenta el riesgo de incumplimiento con las disposiciones de privacidad específicas de cada país.

9 Protección de Privacidad & Datos

Organizaciones / unidades de negocio selectas en la Compañía manejan información protegida. Existe el riesgo de que las prácticas de seguridad y privacidad de estas organizaciones pueda no estar de acuerdo con normas de seguridad y privacidad.

14


Resultados de la evaluación de riesgos

Principales

Riesgos

# Area Funcional de TI Descripción del Riesgo

10 Contratación & Externalización

Dada la falta de un esquema de clasificación de datos de seguridad / privacidad en la Compañía, junto con la falta de controles formales de fuga de datos o de la tecnología en la Compañía, existe el riesgo de que los contratistas y terceros que apoyan Compañía puede acceder y descargar los datos confidenciales de la Compañía que no están autorizados para acceder o descargar para su uso personal.

11 Gestión de Activos Equipo de gestión de activos no tiene visibilidad a las prácticas de gestión de activos (por ejemplo, el aprovisionamiento, activos jubilados trituración de, discos duros, desinfección)

12 Gestión del Cambio Gestión de código fuente inconsistente.Cambiar las políticas de gestión, procedimientos y protocolos para aplicaciones de producción y la infraestructura no es consistente. La falta de proceso de control de cambio consistente puede resultar en el rendimiento del sistema degradado y o fallas en los sistemas de producción que den lugar a la pérdida de negocio.

13 Adquisicion e Integración de TI

Existe un riesgo de que las entidades adquiridas por Compañía no están integradas y dichas entidades no tienen los adecuados controles de TI en marcha. Además, para aquellas entidades que se integran a la Compañía, existe un riesgo de que la integración no se lleve a cabo de una manera controlada.

14 Continuidad del Negocio

Existe un riesgo de que el Plan de Continuidad de Negocios (PCN) que se desarrolló en lasoficinas centrales y ahora está en proceso de ser desplegado a las sucursales no se despliegue correctamente.

15 Tecnologías Emergentes

Existe el riesgo de que las nuevas tecnologías (por ejemplo, tecnología basadas en la nube, aplicaciones de movilidad y dispositivos ) no se desarrollen o se utilicen de una manera controlada.

15


Caso para análisis de riesgo

16


¿Preguntas?

Contáctenos

Mauricio Solano R.DirectorEnterprise Risk Services

Barrio Dent, San Pedro, 3667-1000 San José, Costa Rica

Main: +506 2246 5103 Direct: +506 2246 5211 Fax: +506 2246 [email protected]

Firma miembro de Deloitte Touche Tohmatsu

17

21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria

Technology