Deloitte Training

Riesgos de tecnologa de
informacin implicaciones
y retos para la auditoria
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Definicin del universo auditable y valoracin de
riesgos de TI
Presentado
por
Mauricio Solano Redondo, Director
Auditor de sistemas certificado (CISA).
Certificado en Riesgos y Controles Informticos (CRISC).
Certificado en Fundamentos de COBIT 4.1.
Certificado en Fundamentos de ITIL V3.
1
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Agenda
Mitos y realidades del Auditor de T.I.
El proceso de Auditora de T.I.
Proceso para Anlisis de Riesgo.
Evaluacin del Riesgo.
Caso para Anlisis de Riesgos
Preguntas & Respuestas.
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Mitos y realidades del auditor de T.I.
3
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Mitos y realidades del Auditor de T.I. en la
evaluacin de riesgos
Mitos y
realidades
4
No es un accesorio!!!.
No es un requisito regulatorio!!!.
Es parte de la Auditoria Interna.
Debe dar valor a la funcin de la auditoria interna.
Debe tener la preparacin acadmica y la capacitacin
requerida para la gestin que desempea.
Debe tener una participacin relevante en la elaboracin
del anlisis de riesgos para establecer el plan de
auditoria o bien hacer por separado pero alineado su
propio anlisis de riesgos y el plan de auditoria de T.I.
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
El proceso de auditora de T.I.
5
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
El proceso de auditora de T.I. en la evaluacin de
riesgos
Ciclo de
Administracin
del riesgo
6
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluacin de Riesgo
7
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluacin de riesgo
Evaluacin de
Riesgo
8
Evaluacin de riesgos
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluacin de riesgo
Evaluacin de
riesgo
Entorno del negocio
Uno de los elementos ms importantes que fortalecen el anlisis
del riesgo es la definicin de los factores que inciden de manera
general en cada uno de los procesos TI.
Los factores ms comunes son:
- Gente (recurso humano)
- Herramientas para el manejo de los procesos de TI
- Complejidad de los procesos de TI y de las aplicaciones
- Documentacin de los procesos de TI y de las aplicaciones
- Nivel de supervisin y monitoreo de los procesos y practicas de
TI
- Ambiente de control y controles sobre los procesos de TI y de
las aplicaciones
- Efecto en clientes y usuarios de T.I.
9
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluacin de riesgo
Evaluacin de
riesgo
Identificacin de
Riesgos
1. Metodologa para realizar el inventario de riesgos:
- Analizar el plan estratgico de TI con el fin de listar los
riesgos identificados por la Gerencia de TI.
- Consulta a la Auditora Interna sobre los riesgos
identificados como parte del proceso de desarrollo del
plan anual.
- Indagacin con los miembros del Comit de TI sobre
riesgos de TI percibidos por ellos.
- Entrevistas con jefes funcionales o dueos de procesos
de TI.
- Entrevista con el responsable de riesgos de la Entidad.
- Recopilacin de riesgos de TI segn bases de datos de
las mejores practicas.
2. Definicin del universo de procesos.
10
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluacin de riesgo
Evaluacin de
riesgo
Resultados
1. Anlisis de Riesgos:
- Inventario de riesgos de TI: detalle pormenorizado de
riesgos identificados con base en las indagaciones y
entrevistas.
- Universo de procesos: detalle de procesos del rea
de TI.
- Mapa de riesgos por procesos del rea de TI:
comprende una grfica de los principales procesos del
rea de TI, priorizados de acuerdo al nivel de
exposicin.
- Matriz de riesgos por procesos: documento que
describe cada uno de los riesgos identificados y que
objetivo de TI estn amenazando directamente.
- Mapeo de estructura organizativa: corresponde a la
relacin de riesgos y los puestos que se ejecutan
dentro del rea de TI.
2. Plan Inicial de Auditoria Interna de T.I.: documento que
especifica los objetivos, alcance, programa de ejecucin y
recursos requeridos y asignados.
11
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluacin de riesgo
Evaluacin de
riesgo
Controles
Generales del
Computador
Por lo importante que son los controles internos en los ambientes
informticos proponemos en esta fase el anlisis de Diseo,
Implementacin y Efectividad Operativa de los CGC, comparando
los resultados con las mejores practicas de la industria financiera.
Los CGC tienen especial importancia por la confianza que estos
aportan a los Entes de Gobierno Corporativo (Comit de Auditoria,
Alta Gerencia y Junta Directiva) sobre el proceso de generacin de
los estados financieros y dems informacin financiera. De igual
manera los controles generales del computador auxilian a mitigar
riesgos tales como los de continuidad del negocio, dao a la
imagen y los de fraude.
- Arquitectura
- Continuidad del Negocio
- Contratacin & Externalizacin
- Recursos Humanos TI
- Seguridad de la Informacin
- Privacidad & Proteccin de Datos
- Gestin de Proyectos
- Gestin de registros
- Gestin de Activos
- Gestin del Cambio
- Gestin del Riesgo TI
- Operaciones
- Seguridad Fsica & Ambiental
- Gestin de Problemas
- Licenciamiento de Tecnologa
- Gobernabilidad de TI
12
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Evaluacin de riesgos
Resultados de
la Evaluacin
de Riesgos
Tabla
MARCI
Los riesgos para cada rea funcional se representan en el modelo de Impacto /
vulnerabilidad. Este modelo se utiliza para ayudar a la auditora y gestin interna
en la determinacin de la respuesta global del riesgo
Areas Funcionales
1) Arquitectura
2) Continuidad del Negocio
3) Contratacin & Externalizacin
4) Recursos Humanos TI
5) Seguridad de la Informacin
6) Privacidad & Proteccin de Datos
7) Gestin de Proyectos
8) Gestin deregistros
9) Gestin de Activos
10) Gestin del Cambio
11) Gestin del Riesgo TI
12) Operaciones
13) Seguridad Fsica & Ambiental
14) Gestin de Problemas
15) Licenciamiento de Tecnologa
16) Gobernabilidad de TI
13
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Resultados de la evaluacin de riesgos
Principales
Riesgos
# rea Funcional de TI Descripcin del Riesgo
1 Seguridad de la
Informacin
Falta de un individuo (ejm., Director de Seguridad de la Informacin) o funcin dedicada al
manejo de la seguridad.
2 Seguridad de la
Informacin
No existe programa para manejar exhaustivamente riesgos cibernticos.
3 Seguridad de la
Informacin
No se emplea un marco de seguridad global a travs de Compaa para identificar, controlar y
mitigar proactivamente los riesgos de seguridad TI.
4 Seguridad de la
Informacin
El equipo de seguridad de la Compaa no tiene visibilidad de las actividades de gestin de
riesgos de seguridad realizadas por los propietarios de las aplicaciones (aplicaciones de
produccin y aplicaciones de soporte / operaciones).
5 Seguridad de la
Informacin
No est claro si las consideraciones de seguridad se incorporarn a las nuevas
implementaciones de aplicaciones.
6 Seguridad de la
Informacin, RRHH,
Contratacin &
Externalizacin
El entrenamiento de Seguridad, para el personal de la Compaa y contratistas / terceros, no
est formalmente definido o entregado consistentemente a travs de la Compaa.
7 Seguridad de la
Informacin
Gestin de Activos
Porttiles heredados y PC no estn actualmente cifrados (encriptados). A medida que
arrendamientos terminan, nuevos porttiles y PC se emiten con el software de encriptacin
adecuado.
8 Proteccin de Privacidad
& Datos
No se ha establecido un programa global de privacidad en la Compaa. La falta de un
programa global de privacidad aumenta el riesgo de incumplimiento con las disposiciones de
privacidad especficas de cada pas.
9 Proteccin de Privacidad
& Datos
Organizaciones / unidades de negocio selectas en la Compaa manejan informacin protegida.
Existe el riesgo de que las prcticas de seguridad y privacidad de estas organizaciones pueda
no estar de acuerdo con normas de seguridad y privacidad.
14
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Resultados de la evaluacin de riesgos
Principales
Riesgos
# Area Funcional de TI Descripcin del Riesgo
10 Contratacin &
Externalizacin
Dada la falta de un esquema de clasificacin de datos de seguridad / privacidad en la
Compaa, junto con la falta de controles formales de fuga de datos o de la tecnologa en la
Compaa, existe el riesgo de que los contratistas y terceros que apoyan Compaa puede
acceder y descargar los datos confidenciales de la Compaa que no estn autorizados para
acceder o descargar para su uso personal.
11 Gestin de Activos Equipo de gestin de activos no tiene visibilidad a las prcticas de gestin de activos (por
ejemplo, el aprovisionamiento, activos jubilados trituracin de, discos duros, desinfeccin)
12 Gestin del Cambio Gestin de cdigo fuente inconsistente.
Cambiar las polticas de gestin, procedimientos y protocolos para aplicaciones de produccin
y la infraestructura no es consistente. La falta de proceso de control de cambio consistente
puede resultar en el rendimiento del sistema degradado y o fallas en los sistemas de produccin
que den lugar a la prdida de negocio.
13 Adquisicion e
Integracin de TI
Existe un riesgo de que las entidades adquiridas por Compaa no estn integradas y dichas
entidades no tienen los adecuados controles de TI en marcha. Adems, para aquellas entidades
que se integran a la Compaa, existe un riesgo de que la integracin no se lleve a cabo de una
manera controlada.
14 Continuidad del
Negocio
Existe un riesgo de que el Plan de Continuidad de Negocios (PCN) que se desarroll en las
oficinas centrales y ahora est en proceso de ser desplegado a las sucursales no se despliegue
correctamente.
15 Tecnologas
Emergentes
Existe el riesgo de que las nuevas tecnologas (por ejemplo, tecnologa basadas en la nube,
aplicaciones de movilidad y dispositivos ) no se desarrollen o se utilicen de una manera
controlada.
15
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Caso para anlisis de riesgo
16
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados
Preguntas?
Contctenos
Mauricio Solano R.
Director
Enterprise Risk Services
Barrio Dent, San Pedro,
3667-1000
San Jos, Costa Rica
Main: +506 2246 5103
Direct: +506 2246 5211
Fax: +506 2246 5207
msolano@deloitte.com
Firma miembro de Deloitte Touche Tohmatsu
17