21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
TRANSCRIPT
Deloitte TrainingRiesgos de tecnología de
información implicaciones
y retos para la auditoria
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Definición del universo auditable y valoración de
riesgos de TI
Presentado
por
Mauricio Solano Redondo, Director
– Auditor de sistemas certificado (CISA).
– Certificado en Riesgos y Controles Informáticos (CRISC).
– Certificado en Fundamentos de COBIT 4.1.
– Certificado en Fundamentos de ITIL V3.
1
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
AgendaMitos y realidades del Auditor de T.I.
El proceso de Auditoría de T.I.
Proceso para Análisis de Riesgo.
Evaluación del Riesgo.
Caso para Análisis de Riesgos
Preguntas & Respuestas.
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Mitos y realidades del auditor de T.I.
3
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Mitos y realidades del Auditor de T.I. en la
evaluación de riesgos
Mitos y
realidades
4
– No es un accesorio!!!.
– No es un requisito regulatorio!!!.
– Es parte de la Auditoria Interna.
– Debe dar valor a la función de la auditoria interna.
– Debe tener la preparación académica y la capacitaciónrequerida para la gestión que desempeña.
– Debe tener una participación relevante en la elaboracióndel análisis de riesgos para establecer el plan deauditoria o bien hacer por separado pero alineado supropio análisis de riesgos y el plan de auditoria de T.I.
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
El proceso de auditoría de T.I.
5
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
El proceso de auditoría de T.I. en la evaluación de
riesgos
Ciclo de
Administración
del riesgo
6
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluación de Riesgo
7
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluación de riesgo
Evaluación de
Riesgo
8
Evaluación de riesgos
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluación de riesgo
Evaluación de
riesgo
Entorno del negocio
Uno de los elementos más importantes que fortalecen el análisisdel riesgo es la definición de los factores que inciden de manerageneral en cada uno de los procesos TI.
Los factores más comunes son:
- Gente (recurso humano)
- Herramientas para el manejo de los procesos de TI
- Complejidad de los procesos de TI y de las aplicaciones
- Documentación de los procesos de TI y de las aplicaciones
- Nivel de supervisión y monitoreo de los procesos y practicas deTI
- Ambiente de control y controles sobre los procesos de TI y delas aplicaciones
- Efecto en clientes y usuarios de T.I.
9
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluación de riesgo
Evaluación de
riesgo
Identificación de Riesgos
1. Metodología para realizar el inventario de riesgos:
- Analizar el plan estratégico de TI con el fin de listar losriesgos identificados por la Gerencia de TI.
- Consulta a la Auditoría Interna sobre los riesgosidentificados como parte del proceso de desarrollo delplan anual.
- Indagación con los miembros del Comité de TI sobreriesgos de TI percibidos por ellos.
- Entrevistas con jefes funcionales o dueños de procesosde TI.
- Entrevista con el responsable de riesgos de la Entidad.
- Recopilación de riesgos de TI según bases de datos delas mejores practicas.
2. Definición del universo de procesos.
10
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluación de riesgo
Evaluación de
riesgo
Resultados
1. Análisis de Riesgos:
- Inventario de riesgos de TI: detalle pormenorizado deriesgos identificados con base en las indagaciones yentrevistas.
- Universo de procesos: detalle de procesos del áreade TI.
- Mapa de riesgos por procesos del área de TI:comprende una gráfica de los principales procesos delÁrea de TI, priorizados de acuerdo al nivel deexposición.
- Matriz de riesgos por procesos: documento quedescribe cada uno de los riesgos identificados y queobjetivo de TI están amenazando directamente.
- Mapeo de estructura organizativa: corresponde a larelación de riesgos y los puestos que se ejecutandentro del área de TI.
2. Plan Inicial de Auditoria Interna de T.I.: documento queespecifica los objetivos, alcance, programa de ejecución yrecursos requeridos y asignados.
11
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluación de riesgo
Evaluación de
riesgo
Controles Generales delComputador
Por lo importante que son los controles internos en los ambientesinformáticos proponemos en esta fase el análisis de Diseño,Implementación y Efectividad Operativa de los CGC, comparandolos resultados con las mejores practicas de la industria financiera.Los CGC tienen especial importancia por la confianza que estosaportan a los Entes de Gobierno Corporativo (Comité de Auditoria,Alta Gerencia y Junta Directiva) sobre el proceso de generación delos estados financieros y demás información financiera. De igualmanera los controles generales del computador auxilian a mitigarriesgos tales como los de continuidad del negocio, daño a laimagen y los de fraude.
- Arquitectura- Continuidad del Negocio- Contratación & Externalización- Recursos Humanos TI- Seguridad de la Información- Privacidad & Protección de Datos- Gestión de Proyectos- Gestión de registros- Gestión de Activos- Gestión del Cambio- Gestión del Riesgo TI- Operaciones- Seguridad Física & Ambiental- Gestión de Problemas- Licenciamiento de Tecnología- Gobernabilidad de TI
12
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluación de riesgos
Resultados de
la Evaluación
de Riesgos –
Tabla
MARCI
Los riesgos para cada área funcional se representan en el modelo de Impacto / vulnerabilidad. Este modelo se utiliza para ayudar a la auditoría y gestión interna
en la determinación de la respuesta global del riesgo
Areas Funcionales
1) Arquitectura
2) Continuidad del Negocio
3) Contratación & Externalización
4) Recursos Humanos TI
5) Seguridad de la Información
6) Privacidad & Protección de Datos
7) Gestión de Proyectos
8) Gestión deregistros
9) Gestión de Activos
10) Gestión del Cambio
11) Gestión del Riesgo TI
12) Operaciones
13) Seguridad Física & Ambiental
14) Gestión de Problemas
15) Licenciamiento de Tecnología
16) Gobernabilidad de TI
13
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Resultados de la evaluación de riesgos
Principales
Riesgos
# Área Funcional de TI Descripción del Riesgo
1 Seguridad de la Información
Falta de un individuo (ejm., Director de Seguridad de la Información) o función dedicada almanejo de la seguridad.
2 Seguridad de la Información
No existe programa para manejar exhaustivamente riesgos cibernéticos.
3 Seguridad de la Información
No se emplea un marco de seguridad global a través de Compañía para identificar, controlar y mitigar proactivamente los riesgos de seguridad TI.
4 Seguridad de la Información
El equipo de seguridad de la Compañía no tiene visibilidad de las actividades de gestión de riesgos de seguridad realizadas por los propietarios de las aplicaciones (aplicaciones de producción y aplicaciones de soporte / operaciones).
5 Seguridad de la Información
No está claro si las consideraciones de seguridad se incorporarán a las nuevas implementaciones de aplicaciones.
6 Seguridad de la Información, RRHH,Contratación & Externalización
El entrenamiento de Seguridad, para el personal de la Compañía y contratistas / terceros, no está formalmente definido o entregado consistentemente a través de la Compañía.
7 Seguridad de la InformaciónGestión de Activos
Portátiles heredados y PC no están actualmente cifrados (encriptados). A medida que arrendamientos terminan, nuevos portátiles y PC se emiten con el software de encriptación adecuado.
8 Protección de Privacidad & Datos
No se ha establecido un programa global de privacidad en la Compañía. La falta de un programa global de privacidad aumenta el riesgo de incumplimiento con las disposiciones de privacidad específicas de cada país.
9 Protección de Privacidad & Datos
Organizaciones / unidades de negocio selectas en la Compañía manejan información protegida. Existe el riesgo de que las prácticas de seguridad y privacidad de estas organizaciones pueda no estar de acuerdo con normas de seguridad y privacidad.
14
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Resultados de la evaluación de riesgos
Principales
Riesgos
# Area Funcional de TI Descripción del Riesgo
10 Contratación & Externalización
Dada la falta de un esquema de clasificación de datos de seguridad / privacidad en la Compañía, junto con la falta de controles formales de fuga de datos o de la tecnología en la Compañía, existe el riesgo de que los contratistas y terceros que apoyan Compañía puede acceder y descargar los datos confidenciales de la Compañía que no están autorizados para acceder o descargar para su uso personal.
11 Gestión de Activos Equipo de gestión de activos no tiene visibilidad a las prácticas de gestión de activos (por ejemplo, el aprovisionamiento, activos jubilados trituración de, discos duros, desinfección)
12 Gestión del Cambio Gestión de código fuente inconsistente.Cambiar las políticas de gestión, procedimientos y protocolos para aplicaciones de producción y la infraestructura no es consistente. La falta de proceso de control de cambio consistente puede resultar en el rendimiento del sistema degradado y o fallas en los sistemas de producción que den lugar a la pérdida de negocio.
13 Adquisicion e Integración de TI
Existe un riesgo de que las entidades adquiridas por Compañía no están integradas y dichas entidades no tienen los adecuados controles de TI en marcha. Además, para aquellas entidades que se integran a la Compañía, existe un riesgo de que la integración no se lleve a cabo de una manera controlada.
14 Continuidad del Negocio
Existe un riesgo de que el Plan de Continuidad de Negocios (PCN) que se desarrolló en lasoficinas centrales y ahora está en proceso de ser desplegado a las sucursales no se despliegue correctamente.
15 Tecnologías Emergentes
Existe el riesgo de que las nuevas tecnologías (por ejemplo, tecnología basadas en la nube, aplicaciones de movilidad y dispositivos ) no se desarrollen o se utilicen de una manera controlada.
15
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Caso para análisis de riesgo
16
© 2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
¿Preguntas?
Contáctenos
Mauricio Solano R.DirectorEnterprise Risk Services
Barrio Dent, San Pedro, 3667-1000 San José, Costa Rica
Main: +506 2246 5103 Direct: +506 2246 5211 Fax: +506 2246 [email protected]
Firma miembro de Deloitte Touche Tohmatsu
17