M. Sc. Miguel Cotaña Mier Lp, Septiembre 2015

GABINETE DE AUDITORIA DE

SISTEMAS

UNIVERSIDAD MAYOR DE SAN ANDRES

FACULTAD DE CIENCIAS ECONÓMICAS Y FINANCIERAS

CARRERA DE CONTADURÍA PÚBLICA

1

2

El Comité de Organizaciones Patrocinadoras de laComisión Treadway (COSO) ha lanzado COSO enla era cibernética, un papel de liderazgo depensamiento que proporciona orientación sobrecómo el Marco de Control Interno Integrado(2013) y el Marco de Gestión Integrada deRiesgos Empresariales (2004) puede ser de ayudaeficaz y eficiente al evaluar y gestionar los riesgoscibernéticos.

COSO EN LA ERA CIBERNÉTICA

3

ESTRUCTURA DEL MARCO COSO 2013

Ir a…

4

5

6

7

Las organizaciones consideran la forma deabordar los riesgos cambiantes asociados a laseguridad cibernética, o bien el COSO 2013 o elMarco Integrado de Gestión de RiesgoEmpresarial (2004) que proporcionan un enfoquepara gestionar los riesgos.De hecho, ambos marcos proporcionanestructuras que conduzcan por caminos similaresde abordar el riesgo cibernético a través de lalente de COSO.

EVOLUCIÓN DE NEGOCIOS-ERA CYBER

8

Dado que las empresas se han centrado en laaplicación del Marco de 2013, aprovechamos elMarco de 2013 para demostrar cómo COSOpuede ayudar a manejar los riesgos cibernéticos ycontroles.En base a cada uno de los 17 principios de COSO2013 con un zoom en lo cibernético; el riesgocibernético no puede evitarse pero siadministrarse.

9

En 1992, cuando el original COSO Ifue lanzado, las empresas operabanen un entorno muy diferente. Porejemplo: Hubo menos de 14 millones de

usuarios de Internet en todo elmundo en 1992;

Microsoft Internet Explorer 0.4 noexistía

Algunos de los teléfonos celularesmás populares fueron "losteléfonos de bolsa."

Teléfono y fax eran las formaspredominantes.

10

En las últimas dosdécadas, la TI hatransformadoradicalmente elfuncionamiento de lasempresas hasta elpunto donde existenempresas en un mundoprincipalmenteimpulsado cyber-espacio. Pero, quegeneran ciertos riesgos.

11

Los pedidos de losclientes ahora seprocesan vía Internetcon poca o ningunaintervenciónhumana. Losprocesos de negocioa menudo sesubcontratan aproveedores deservicios, que esténhabilitados por redesinterconectadas.

12

Más y más personal de las empresastrabajan de forma remota o desdecasa, con poca necesidad de entraren la oficina.Se realiza un seguimiento deinventario en los almacenesmediante el uso de identificación porradiofrecuencia (RFID) y casi todoslos bancos ofrecen banca porInternet a los consumidores.

13

Dado que las empresas y la tecnología hanevolucionado, también lo ha hecho el Marco de2013. Uno de los conductores fundamentalesdetrás de la actualización y publicación del Marcode 2013 fue la necesidad de abordar cómo lasorganizaciones utilizan y dependen de laevolución de la tecnología con fines de controlinterno.

14

El Marco de 2013 ha mejorado en muchosaspectos e incorpora cómo las organizacionesdeben gestionar la innovación de TI teniendo encuenta: La globalización de los mercados y las operaciones; Mayor complejidad de los procesos de negocio; Las exigencias y complejidades en las leyes, normas,

procedimientos y reglamentos; El uso de, y la dependencia de tecnologías en

evolución; y Las expectativas relativas a la prevención y detección

del fraude.

15

Está claro que Internet fue diseñadoprincipalmente para el intercambio deinformación. Pero, no lo protege. En un díacualquiera, hay numerosos informes de prensasobre incidentes cibernéticos significativos.Mientras que los ataques cibernéticos en ciertasindustrias han dominado la cobertura en lasnoticias, todas las industrias son susceptibles alos ataques cibernéticos dependiendo de losmotivos del atacante cibernético

16

17

Las empresas operan en una economía global.Los datos son a menudo compartidos porempresas y la dependencia de una infraestructuraque no está bajo el control. Cuando surge unproblema, la compañía a menudo se haceresponsable de las infracciones de tecnologíafuera de su perímetro. Como las empresas siguenpara tomar ventaja de las nuevas tecnologíaspara llevar a cabo sus operaciones, los atacantescibernéticos se aprovechan de las nuevasvulnerabilidades que permiten a los sistemas deinformación y controles para ser explotados.

18

Mientras que las empresas tienen cuidado alcompartir información, tanto interna comoexternamente, para proteger sus operaciones denegocio.Los atacantes cibernéticos tienen el lujo deoperar en el extremo opuesto del espectro. Elloscomparten información abiertamente y sin límites,sin temor a repercusiones legales, a menudooperan con una gran cantidad de anonimato.Atacantes aprovechan la tecnología cibernéticapara atacar desde prácticamente cualquier lugar yperforar la seguridad de los datos.

19

La protección de todos los datos no será posible,sin un plan. Porque los procesos y tecnología deuna organización seguirán evolucionando paraapoyar sus operaciones. Cada evolución crea unaoportunidad para la exposición. Además, losatacantes cibernéticos siguen evolucionando, labúsqueda de nuevas formas de explotardebilidades. Como resultado de ello:

La realidad es que el riesgo cibernético

no es algo que se puede evitar; en

cambio, debe ser gestionado.

20

21

22

23

24

25

El uso de un lente de qué datos esmás importante para unaorganización, la gerencia debeinvertir en los controles deseguridad, costo justificado paraproteger sus activos másimportantes.Mediante la adopción de unprograma a ser seguro, vigilante, yresistente, las organizacionespueden tener más confianza en sucapacidad para aprovechar el valorde sus inversiones estratégicas.

26

Con el fin de gestionar los riesgos cibernéticos deuna manera segura, las organizaciones puedenver su perfil cibernético a través de loscomponentes del control interno.Por ejemplo: Ambiente de Control ¿La junta directiva

entiende el perfil de riesgo cibernético de laorganización y son informados de cómo laentidad está gestionando la evolución delriesgo cibernético?

COMPONENTES DE CONTROL INTERNO

27

Evaluación de Riesgos ¿Se están evaluadosus operaciones, informes y objetivosinstitucionales para entender cómo los ciberriesgos podría afectar esos objetivos?

Control de Actividades ¿La entidad hadesarrollado actividades de control, incluidaslas actividades generales de control sobre TI,que permiten a la organización gestionar elriesgo cibernético dentro del nivel de toleranciaaceptable para la organización?¿Existen actividades de control a través depolíticas y procedimientos formalizados?

28

Información y Comunicación ¿Laorganización ha identificado los requisitos deinformación para gestionar el control internosobre el riesgo cibernético?¿La organización ha definido canales decomunicación internos y externos y losprotocolos que soportan el funcionamiento delcontrol interno?¿Cómo la organización administra y comunicaun evento de riesgo cibernético?

29

Monitoreo de Actividades ¿Cómo laorganización selecciona, desarrolla y lleva acabo las evaluaciones para determinar eldiseño y la efectividad operativa de loscontroles internos que se ocupan de los riesgoscibernéticos?¿Cuando se identifican deficiencias, cómo estánestas deficiencias comunicadas y priorizadospara la acción correctiva?¿Qué está haciendo la organización paramonitorear su perfil de riesgo cibernético?

30

31

Cuando una empresa gestiona el riesgocibernético a través de un lente de COSO,permite a los altos ejecutivos de comunicar mejorsus objetivos de negocio, su definición de los SIcríticos, y los niveles de tolerancia al riesgorelacionados. Esto permite, incluido el personalde TI, para llevar a cabo un análisis detallado deriesgo cibernético mediante la evaluación de losSI que tienen más probabilidades de ser el blancode los atacantes, los métodos de ataqueprobables, y los puntos de explotaciónintencional.

32

Cada componente estáinterrelacionado con losdemás y el proceso deevaluación de riesgosdebe ser continua ydinámica e incorporainformación tanto defuentes internas yexternas.

INTERRELACIÓN DE COMPONENTES

33

Cada organización se enfrenta auna variedad de riesgoscibernéticos de fuentes externas einternas. Riesgos cibernéticos sonevaluados en contra de laposibilidad de que un eventoocurra y afectar negativamente ala consecución de los objetivos dela organización.Actores maliciosos, especialmentelos motivados por las gananciasfinancieras, tienden a operar sobreuna base de costo / beneficio.

EVALUACIÓN DE RIESGOS - COSO

34

Los autores de los ataquescibernéticos, y las motivacionesdetrás de sus ataques, generalmentese dividen en las siguientescategorías: Los Estados-nación y espías:

naciones extranjeras hostiles quebuscan la propiedad intelectual ysecretos comerciales para obteneruna ventaja. Los que tratan derobar secretos de seguridadnacional o de la propiedadintelectual;

35

Delincuentes organizados: Losautores que utilizan herramientassofisticadas para robar dinero oinformación privada y sensible acercade los consumidores de una entidad(por ejemplo, el robo de identidad).

Los terroristas: Individuos quebuscan utilizar el Internet para lanzarataques cibernéticos contrainfraestructuras críticas, incluidas lasinstituciones financieras.

36

Hacktivistas: Personas o grupos que quierenhacer una declaración social o política por elrobo o la publicación de información sensiblede la organización;

Insiders: Personas de confianza dentro de laorganización que vende y comparte lainformación sensible de la organización.

37

Los resultados de la evaluación del riesgoconducen a la asignación de recursos de laentidad en contra de las actividades de controlque previenen, detectan y gestionan los riesgoscibernéticos.Las inversiones también deben ser dirigidas alproceso de evaluación del riesgo en sí. Unaorganización tiene recursos finitos y susdecisiones de inversión en las actividades decontrol debe ser efectuado a la financiación de losSI que son los más críticos para la entidad.

38

La evaluación de riesgos cibernéticos debecomenzar primero, por entender de que los SIson valiosos para la organización. El valor debemedirse contra el posible impacto de los objetivosde la entidad.

Principio 6

La organización especifica objetivos con claridad suficiente

para permitir la identificación y evaluación de los riesgos

relacionados con los objetivos.

39

La asignación de un valor a los SI requiere de unalto grado de colaboración entre las partesinteresadas de negocios y de TI. Debido a que lasorganizaciones no son capaces de actuar sobretodos los riesgos, dado el escaso tiempo, elpresupuesto y los recursos disponibles, la gestióntambién deben determinar los niveles detolerancia al riesgo aceptables para laorganización y centrar sus esfuerzos paraproteger los SI más críticos.

40

41

Como resultado de aplicar el Principio 6, unaorganización debe tener una clara comprensiónde los sistemas críticos para el logro de susobjetivos de información. Aplicando el principio 7y el Principio 8 tomar la evaluación del riesgo másprofundo y evaluar la gravedad y la probabilidadde impactos de riesgo cibernético. Cuando esconducida por la alta dirección, a través de lacolaboración con las empresas y de TIinteresados, una organización está en condicionesde evaluar los riesgos que podrían afectar el logrode sus objetivos a través de la entidad.

42

Para ser eficaz en el proceso de evaluación delriesgo, las personas que están involucradasdeben tener una comprensión del perfil de riesgocibernético de la organización. Esto implica lacomprensión de que los SI son valiosos para losautores de los ataques cibernéticos, y lacomprensión de cómo es probable que ocurranestos ataques. Los ataques más costosos tiendena ser los que están muy dirigidos a unaorganización por razones específicas.

43

Independientemente de sus motivos, losatacantes cibernéticos son implacables ysofisticados. Ellos realizan ataques a través deltiempo por la recopilación de información queexponer las debilidades en los SI y los controlesinternos. A través de una cuidadosa evaluación delos motivos y métodos de ataque probables y lastécnicas, herramientas utilizadas.

44

La organización puede anticipar mejor lo quepodría ocurrir y estar en condiciones de diseñarcontroles que son muy eficaces para interrumpirpotenciales ataques cibernéticos.

45

Las evaluaciones de riesgos cibernéticos songeneralmente el reflejo de la situación actual dela organización, el proceso debe ser a la vezdinámico e iterativo y considerar los cambios deamenazas internas y externas que podríandesencadenar la necesidad de cambiar la formade gestionar sus riesgos cibernéticos.Innovaciones comerciales y tecnológicas sonadoptadas por las organizaciones en su búsquedapara el crecimiento, la innovación y laoptimización de costes.

46

Sin embargo, estas innovaciones también creanexposición a nuevos riesgos cibernéticos. Porejemplo, la adopción continua de tecnologías demedios sociales Web, móvil, nube, y se haincrementado la posibilidad de explotación porparte de los autores de los ataques cibernéticos.Del mismo modo, la subcontratación, ladeslocalización, y la contratación de terceros hanexpuesto las organizaciones a las vulnerabilidadescibernéticas potenciales.

47

La evaluación de los cambios que podrían tenerun impacto en el sistema de control interno debeincluir consideraciones sobre los cambios en elpersonal. Rotación de personal en los nivelesoperacionales de la organización puede tener unimpacto significativo en la capacidad de laorganización para llevar a cabo eficazmente susresponsabilidades de control que se han diseñadopara minimizar los impactos potenciales de losataques cibernéticos.

48

Las evaluaciones de riesgo deben actualizarse deforma continua para proteger sus SI más críticos.Como la información se genera a partir delmonitoreo vigilante del panorama de lasamenazas cambiantes y el proceso de evaluaciónde riesgos, altos ejecutivos y otrosinteresados deben compartir y discutir estainformación para tomar decisiones informadassobre cómo proteger mejor a la organizacióncontra la exposición a los riesgos cibernéticos.

49

Las actividades de control son las accionesrealizadas por los individuos dentro de laorganización que contribuya a asegurar lasdirectivas de la administración son seguidos conel fin de mitigar los riesgos para el logro de losobjetivos. Estas actividades de control deben serdocumentados en las políticas para ayudar aasegurar que el control de las actividades sellevan a cabo constantemente en toda laorganización.

ACTIVIDADES DE CONTROL

50

El control cubreexactamente el riesgo

RIESGO

CONTROL

Situación ideal

El control excede elriesgo

RIESGO

CONTROL

Sobrecontrol

El control no cubre elriesgo

RIESGO

CONTROL

Mitigar, eliminar,transferir o asumir

Riesgoremanente

51

52

Lamentablemente, los riesgos cibernéticos no sepueden evitar, pero estos riesgos se puedengestionar a través de un cuidadoso diseño y laaplicación de controles adecuados.Debido a que la exposición al riesgo cibernéticopuede venir de muchos puntos de entrada, tantointernos como externos a la organización, loscontroles preventivos y de detección deben serdesplegados para mitigar los riesgos cibernéticos.

53

Controles preventivos bien diseñadas pueden detener losataques de intrusos fuera del entorno de TI.Controles preventivos adicionales también pueden serdesplegados para actuar como obstáculos para frenar alos intrusos.Incluso cuando se producen las hazañas, los controlespueden permitir una detección oportuna de lasinfracciones, que permitirá tomar acciones correctivas yevaluar los daños potenciales tan pronto como seaposible. Después de las medidas correctivas, esimportante evaluar la causa fundamental para mejorarsus controles para evitar o detectar hazañas similaresque puedan ocurrir en el futuro.

54

ACTIVIDADES DE CONTROL

Principio 10

La organización selecciona y desarrolla actividades de control que

contribuyan a la mitigación de los riesgos para el logro de los objetivos a

niveles aceptables.

Principio 11

La organización selecciona y desarrolla actividades de control generales

sobre la tecnología para apoyar el logro de los objetivos.

Principio 12

La organización implementa las actividades de control a través de

políticas que establecen lo que se espera y los procedimientos que

ponen las políticas en acción.

55

Si bien el Marco 2013 proporciona principios ypuntos de interés para las actividades de control.Cada organización es manejada por diferentespersonas con habilidades y experiencias tambiéndistintas. Al evaluar si la organización ha diseñadoe implementado los controles adecuados paramitigar los riesgos cibernéticos, es útil paracomparar las actividades de control de las normasy los marcos que están alineados con la gestiónde riesgos cibernéticos.

56

Es recomendable utilizar referencias yantecedentes sobre las normas y marcos quepueden proporcionar asistencia adicional a lasorganizaciones en la evaluación de la suficienciade los controles con el fin de ser seguro,vigilante, y resistente:

COBIT; Itil; Magerit; ISO; NIST.

57

Por ejemplo, la filosofía principal de la norma ISO27001 se basa en la gestión de riesgos: investigardónde están los riesgos y luego tratarlossistemáticamente.Las medidas de seguridad (o controles) que se van aimplementar se presentan, por lo general, bajo laforma de políticas, procedimientos e implementacióntécnica (por ejemplo, software y equipos).

58

METODOLOGIA DE GESTIÓN DE RIEGOS: Magerit

59

60

61

Generar y comunicar información relevante y de calidadpara gestionar los riesgos y controles cibernéticos. Losprincipios:

1. Identificación, información de calidad;2. Definir cómo la información debe ser

comunicada internamente;3. Definir cómo la organización debe comunicar a

partes externas.Si bien todos los puntos de enfoque debe serconsiderado al aplicar el Marco de 2013, ciertos puntosde enfoque son de vital importancia en el contexto de losriesgos cibernéticos y controles.

INFORMACIÓN Y COMUNICACIÓN

62

Los controles establecidos dentro de unaorganización Dan lugar a los requisitos deinformación de la organización. Esta informaciónpodría ser en forma de informes, datos utilizadosen el análisis de control o diagramas dedescripción que demuestran una visión de altonivel de la estructura empresarial.La identificación de las necesidades deinformación crítica para el control interno y elanálisis de riesgos cibernéticos relacionados seentreteje con el proceso de evaluación de riesgos.

REQUISITOS DE INFORMACIÓN

63

En última instancia, la empresa necesita paraidentificar sus SI, determinar su valor, yprotegerlos contra los ataques cibernéticos através de la implementación de las actividades decontrol que sean acordes con el valor de los SI.Para lograr este resultado final, los negocios y deTI interesados deben llegar inicialmente a unacomprensión común de los más altos niveles de laestructura de la empresa, incluyendo proveedoresexternos de servicios, y los objetivos de negociorelacionados y sub-objetivos que son importantespara la organización.

64

Usando esta información como base, unaorganización puede extender su evaluación deriesgos para comprender mejor los SI que estenexpuestos, junto con los posibles atacantes ymétodos de ataque.Una vez que la evaluación de riesgos se hacompletado, esta información es comunicada a laorganización para hacer frente a tales riesgos.Es importante documentar formalmente losrequisitos de información (y el análisis de losriesgos relacionados y su respuesta)

65

Las empresas pueden recoger terabytes de datosdel registro relacionadas con sus SI.Centros de operaciones de seguridad puedengenerar una enorme cantidad de alertas sobreuna base diaria, que van desde decenas de milesde millones de eventos.Para estar alerta con respecto a los riesgoscibernéticos, se vuelve de vital importancia paratransformar datos en información significativa,procesable que tiene integridad.

PROCESAR DATOS RELEVANTES

66

Identificar posibles eventoscibernéticos es difícil para muchasorganizaciones. Con los volúmenesmasivos de datos que se generan apartir de diversas fuentes, durantedías, semanas y meses, puede serextremadamente difícil.Además, exploits cibernéticos no seidentifican a menudo a través de laobservación de un solo evento.

67

En el diseño de las actividades de controlcibernéticos, los cuales dependen de lainformación, se debe considerar la calidad de lainformación utilizada para ejecutar dichasactividades de control.Debe haber una clara responsabilidad y rendiciónde cuentas por la calidad de la información quese apoya en la adhesión a las expectativas degobierno de datos que protegen los datos y lainformación de acceso o cambio no autorizado.

68

La capacidad de una organizaciónpara generar y utilizar,información de calidad relevantepara apoyar el funcionamientodel control interno depende de lagobernabilidad de datos.La calidad de la informaciónmejora el sistema general de laorganización del control interno ytambién ayuda a mejorar loscontroles internos cibernéticos.

69

Atributos de Calidad de información Extractado del Marco 2013

Accesibles: La información es fácil de obtener por los que la

necesitan. Los usuarios saben lo que está disponible y en qué

parte del SI, la información es accesible.

Exactitud: Los SI incluyen controles de validación que se ocupan

de la exactitud e integridad, incluyendo los procedimientos de

resolución necesaria de excepción.

Currectitud: Los datos recogidos proviene de fuentes actuales y se

reunieron en la frecuencia necesaria.

Protegido: El acceso a la información sensible está restringido al

personal autorizado. Categorización de datos (por ejemplo, en

secreto, confidencial y superior) compatible con la protección de

la información.

Información retenida está disponible durante un período

prolongado de tiempo para apoyar las investigaciones e

inspecciones por partes externas.

70

Suficiente: Datos extraños se elimina para evitar la ineficiencia,

mal uso o mala interpretación.

Oportuna: La información está disponible en el SI cuando sea

necesario. Información oportuna ayuda con la identificación

temprana de eventos, tendencias y cuestiones.

Válido: La información se obtiene de fuentes autorizadas, se

reunieron de acuerdo con los procedimientos prescritos, y

representa los acontecimientos que ocurrieron.

Verificable: La información es apoyada por la evidencia de la

fuente. Gestión establece las políticas de gestión de la información

con la clara responsabilidad y rendición de cuentas por la calidad

de la información.

Principio 14

La organización comunica internamente la información, incluidos los objetivos

y responsabilidades de control interno, necesarios para apoyar el

funcionamiento de los controles internos.

71

A todo el personal….Ser seguro, vigilante, y resistente es unaresponsabilidad de la organización, donde cadaindividuo desempeña un papel en la protecciónde los SI. Mientras que cierto personal dentro dela organización tendrán funciones explícitas parala gestión de riesgos cibernéticos y los controles,cada persona dentro de la organización debeestar alerta cuando se trata de proteger los SI.Un plan de comunicación debe ser desarrollado yejecutado para elevar la conciencia sobre elpersonal acerca de los riesgos cibernéticos ycontroles.

COMUNICAR LA INF. DE CONTROL INT.

72

La comunicación puede ayudar a fortalecer lo quea menudo puede ser el eslabón más débil delcontrol interno - personas - debido a la naturalezahumana.Piense en las consecuencias de la curiosidadhumana:

¿Qué hacen las personas cuando reciben uncorreo electrónico de lo que se piensa que esun compañero de trabajo, cliente, proveedor uotro socio de negocios de confianza?

73

La comunicación puede ayudar a fortalecer lo quea menudo puede ser el eslabón más débil delcontrol interno - personas - debido a la naturalezahumana.Piense en las consecuencias de la curiosidadhumana:

¿Qué hacen las personas cuando reciben uncorreo electrónico de lo que se piensa que esun compañero de trabajo, cliente, proveedor uotro socio de negocios de confianza?

74

Las claves para el eficaz ambiente de control yseguimiento de riesgos cibernéticos, incluyen: Tono Claro desde la parte superior con respecto a la

importancia de proteger los SI; Un programa de evaluaciones en curso y por separado para

evaluar el diseño, operación y eficacia de los controles queestán destinadas a reducir las exposiciones potenciales;

Asistencia y participación de profesionales de riesgocibernéticos cualificado;

Monitoreo apropiado de los riesgos cibernéticos y los controlesrelacionados con los proveedores de servicios externalizados;

La comunicación apropiada y oportuna de las deficienciascibernéticos.

CLAVES DE CONTROL Y SEGUIMIENTO

75

La clave para utilizar el Marco de 2013 paragestionar el riesgo cibernético es identificar los SIde valor y llevar a cabo las evaluaciones deriesgos para los activos.

CLAVES DE CONTROL Y SEGUIMIENTO

Identificar sistemas críticos Identificar dónde están los SI Entender los riesgos asociados

a los SI.

• Identificar la información en

base a los objetivos del negocio

utilizando como guía:

Políticas Corporativas

Normas de la industria (por

ejemplo, ISO)

Requisitos Reglamentarios

Objetivos de negocio

Propiedad Intelectual

Finanzas

Datos de Empleado, Cliente

• Identificar cómo se recopila

información, almacena y

distribuye la información

• Identificar sistemas y

aplicaciones propietarios de los

activos de información

• Crear flujos de datos para

entender cómo la información

se mueve dentro de los

procesos de negocio, sistemas y

aplicaciones.

• Analizar los inventarios de

activos y flujos de datos para

identificar los riesgos de control

• Evaluar los probables autores

de los ataques cibernéticos y sus

métodos de ataque probables

• Identificar los controles para

hacer frente a los riesgos

identificados en función del

perfil de riesgo del proceso,

sistema o aplicación.

76

Muchos de los riesgos que enfrenta laorganización hoy en día están relacionados con TIComo resultado de ello, los auditores internosestán prestando mucha atención a áreas como laseguridad cibernética, la privacidad de datos y lasredes sociales. Estas áreas y otros relacionadoscon la tecnología tienen el potencial de ofrecerreveses devastadores para una empresa.Auditoría interna puede ayudar a manejar 10principales riesgos tecnológicos:

GESTIÓN DE PRINCIPALES RIESGOS

77

Ciberseguridad. Las actividades de auditoríainterna relacionados con la ciberseguridad,puede incluir la realización de análisis devulnerabilidades y pruebas de penetración; laverificación de que los ejercicios de simulaciónrelacionados con el plan de gestión de crisis de laorganización se llevan a cabo; y la realización deuna auditoría de la arquitectura de red paradeterminar el cumplimiento de las políticas yprocedimientos de la red.

78

Seguridad de la información. Lasorganizaciones están centrando ahora en unadefensa en capas de información crítica, en lugarde una sola capa de protección contra elperímetro de la red. Las actividades de auditoríainterna pueden incluir la realización de análisis devulnerabilidades de la red interna; revisar elproceso de revisión de control de acceso; y el usode terceros para llevar a cabo ataques simuladosy los resultados de auditoría.

79

Proyectos de desarrollo de sistemasde TI. La auditoría interna puede llevar a caboauditorías de cada aspecto del ciclo de vida dedesarrollo de sistemas; participar en auditorías deproyectos con equipos de auditoría deproveedores y de calidad; y llevar a caboauditorías de la metodología de gestión deproyectos de la organización.

80

El gobierno de TI. Funciones de auditoríainterna pueden incluir la evaluación de parte de laalta gerencia de la organización; la realización deauditorías periódicas para determinar laalineación de la función de TI con las prioridadesestratégicas; y la revisión de la eficacia de TI enla gestión del rendimiento de los recursos.

81

Servicios de TI externalizados. Los auditoresinternos pueden participar al principio del ciclo deoutsourcing, al asegurar que el contrato inicialaborda temas importantes, incluyendo lasupervisión, seguimiento, auditoría yseguridad. La auditoría interna también se puedepreguntar cómo se vigila el cumplimiento delcontrato.

82

Uso de los medios sociales. Funciones deauditoría interna pueden incluir jugar un papel deconsultoría como las organizaciones a definir,comunicar, supervisar y hacer cumplir un mediode comunicación. Una auditoría de los medios decomunicación social puede ser incluido en el plananual de auditoría interna.

83

La informática móvil. Casi la mitad de losencuestados realizan poca o ninguna seguridadpara el uso de los dispositivos móviles. Auditoríainterna puede llevar a cabo una auditoría delproceso de inventario de los dispositivos móviles,lleve a cabo una auditoría de cómo se gestionanlos dispositivos perdidos o robados, y verifiqueque la información sensible está encriptada o noalmacenados en los dispositivos móviles.

84

Habilidades de TI entre losauditores internos. Muchos departamentos deauditoría interna se esfuerzan por desarrollar ymantener las habilidades necesarias para auditarTI. La comprensión de la tecnología utilizada enla organización y la identificación de la falta decapacidades puede ayudar a desarrollar laauditoría interna y/o subcontratar estashabilidades.

85

Las tecnologías emergentes. La auditoríainterna puede proporcionar orientación sobre losrequisitos de riesgo y control cuando se estánevaluando nuevas tecnologías.Junta y conocimiento de la tecnología delcomité de auditoría. Experiencia en TI limitadaen un consejo de administración puede plantearproblemas de gobernanza. La auditoría internapuede ser el conducto principal para traerconciencia tecnología al comité de la junta y laauditoría.

86

Asociación de auditores externos. Chilehttp://aechile.cl/category/gobcorporativo-coso/

COSO IN THE CYBER AGEhttp://aechile.cl/wp-content/uploads/2015/01/COSO-in-the-Cyber-Age_FULL_r11-11.pdf

REFERENCIAS