Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Este documento fue preparado para GBA 577 Auditoría Avanzada ES, impartido por el profesor
Manson.
Página 1 de 31
Auditoría de TI basado en el riesgo
Página 2 de 31
Auditoría de TI basado en el riesgo
Tabla de contenido
........ 8
Página 3 de 31
Auditoría de TI basado en el riesgo
............................... 22
25
26
Página 4 de 31
Auditoría de TI basado en el riesgo
Resumen
auditoría basado en el riesgo es un tema muy amplio, uno que se puede aplicar a muchas áreas
aplicación del marco de gestión de riesgos de TI puede mejorar la eficiencia de los riesgos de TI
negocio, así como las prácticas eficientes y eficaces de gestión de riesgos de TI auditores de TI
una perspectiva de auditoría basado en el riesgo de la empresa. Además, ofrece una sencilla
programa de auditoría interna de TI, o aquellos que buscan nuevas formas de evaluar los riesgos
de seguridad.
palabras clave: auditoría basado en el riesgo; la gestión de riesgos de TI; MTC; COBIT;
Evaluación de riesgos
Página 5 de 31
Auditoría de TI basado en el riesgo
Introducción
mundo de los negocios de hoy en día está en constante cambio, que es impredecible y volátil, y
parece ser más compleja cada día. Por su propia naturaleza, es lleno de riesgos. La creciente
demanda de transparencia en torno a los riesgos no siempre se ha cumplido, sin embargo, como
lo demuestra la crisis del mercado financiero, donde la mala calidad de los activos subyacentes
riesgo a través de una organización se ha convertido cada vez importante para el éxito y la
a las organizaciones una visión clara de las variables a las que pueden estar expuestos, ya sea
mirando hacia adelante, interno o externo, o retrospectiva. Una buena evaluación del riesgo está
base para determinar las respuestas a los riesgos. Un proceso de evaluación de riesgos sólida,
identificar mejor, evaluar y explotar los riesgos necesarios para los negocios, todo ello
cumplimiento de la normativa. (Una guía práctica para la evaluación de riesgos, PwC, 2008)
sistemas automatizados, gestión se ocupa de los crecientes costos asociados con la realización de
las auditorías de la seguridad del sistema de información interna. A medida que las auditorías de
Página 6 de 31
Auditoría de TI basado en el riesgo
de auditoría. Sin embargo, eso dio a luz los beneficios de costo altamente lucrativos de la
externalización de la función de auditoría del sistema de información. También hay casos en los
auditoría interna de una organización. Sin embargo, los riesgos de TI deben tenerse en cuenta, ya
auditoría basado en el riesgo no sólo debe mejorar la eficiencia y eficacia de la gestión de riesgos
de TI, las operaciones de negocio y generación de informes de riesgo, sino que también pone de
relieve el papel único que juega en la identificación de eventos o incidentes que puedan afectar la
Para identificar los riesgos de TI utilizando la metodología de auditoría basado en el riesgo, los
auditores pueden ayudar a las empresas llevan a cabo una evaluación de riesgos en toda la
empresa. (Lo que todo auditor de TI debe saber sobre el riesgo en evaluación, Tommie W.
Singleton, 2009) Esto también ayudará a identificar los riesgos que son inconsistentes con o en
Página 7 de 31
Auditoría de TI basado en el riesgo
Metodología
Ellos permiten al personal para cumplir con los requisitos reglamentarios, validar que los
controles existentes protegen las funciones de negocio, y determinar cuándo son necesarios
nuevos controles. A diferencia de una auditoría en la que el auditor utiliza una lista de
requiere tener una comprensión de las funciones y objetivos de negocio de la organización - que
sólo se basan en el riesgo, sino que también se basan en los controles internos y operativos, así
como el conocimiento de la empresa o el negocio" (ISACA). Por lo tanto, una auditoría basada
en el riesgo proporciona una evaluación más exhaustiva de riesgo de negocio, y permite a los
gerentes a tomar decisiones informadas sobre la base de su apetito de riesgo. La alineación de las
La evaluación de riesgos es un proceso sistemático para identificar y evaluar los eventos (por
ejemplo, los posibles riesgos y oportunidades) que podrían afectar a la consecución de los
dentro del ambiente interno de una organización (por ejemplo, personas, procesos e
infraestructura). Cuando estos eventos se cruzan con los objetivos de una organización, o se
Página 8 de 31
Auditoría de TI basado en el riesgo
pueden predecir para hacerlo, se convierten en riesgos. Por lo tanto, el riesgo se define como “la
posibilidad de que ocurra un evento y afectar el logro de los objetivos de manera adversa.”
empresa está dispuesta a aceptar. La organización debe establecer un umbral para identificar
cuándo y dónde implementar controles para mitigar el riesgo. Este proceso es esencial para
determinar qué controles son buenos para tener frente a las necesarias para proteger las funciones
(NIST), proporcionan una gestión con buenas estimaciones para evaluar el riesgo aceptable. De
alguna manera, las metodologías comúnmente incluyen la identificación de los activos, las
Página 9 de 31
Auditoría de TI basado en el riesgo
Gestión de Riesgos de TI
La vista principal de ello es que de una organización de prestación de operaciones o servicio. En esta
capacidad, los riesgos de TI se refiere a la capacidad de ofrecer los servicios de TI que permiten a la
empresa para llevar a cabo los procesos operativos del día a día. Sin embargo, también corren el riesgo
aborda los procesos de desarrollo de sistemas, adquisición y mantenimiento. Esto se refiere a garantizar la
selección, desarrollo y mantenimiento de los procesos de negocio que operan la generación de ingresos y
la satisfacción de la organización y dirección de las necesidades del negocio de una manera rentable. Por
empresa a través de la automatización. Por lo tanto, la evaluación del riesgo puede llevarse a cabo en
varios niveles de la organización. (El riesgo que Marco Extracto, ISACA, 2010)
Los objetivos y los eventos que se trate de determinar el alcance de la evaluación de riesgos para
llevarse a cabo. Los ejemplos de las evaluaciones de riesgos de TI se realizan con frecuencia
incluyen:
contratos, así como normas voluntarias estratégicos y las mejores prácticas en que la
Página 10 de 31
Auditoría de TI basado en el riesgo
tecnología de los fallos del sistema y el retorno de la organización sobre las inversiones
- evaluación de los riesgos del proyecto. La evaluación de los factores de riesgo asociados
con la entrega o ejecución de un proyecto, teniendo en cuenta las partes interesadas, las
y aceptado las buenas prácticas. COBIT es un marco para la gestión de las TI y el apoyo
conjunto de herramientas que permite a los administradores para cerrar la brecha entre los
Página 11 de 31
Auditoría de TI basado en el riesgo
requisitos de control, las cuestiones técnicas y riesgo de negocio. COBIT permite el desarrollo de
políticas claras y buenas prácticas para el control de TI en toda la empresa. El objetivo de control
COBIT debe identificarse para cada paso de auditoría / garantía en la sección. COBIT
gestión y procesos de negocio unidades e incluye las funciones principales de negocios con la
organización de TI.
Los procesos de COBIT principales asociados con la gestión de riesgos son PO9 para evaluar y
gestionar los riesgos de TI, y ME4.5 Proporcionar Gobierno -. La gestión del riesgo (Auditoría
Página 12 de 31
Auditoría de TI basado en el riesgo
las actividades de control en todos los niveles para implementar las respuestas a los
riesgos identificados como necesarios, incluyendo la identificación de costos, los
beneficios y la responsabilidad de la ejecución. Obtener la aprobación de las acciones
y la aceptación de cualquier riesgo residual, y asegurarse de que las acciones
comprometidas son propiedad del propietario (s) proceso afectado. Supervisar la
ejecución de los planes, e informar sobre cualquier desviación a la alta dirección.
de Control de COBIT:. Orientación para lograr los Objetivos de Control para el Gobierno de TI
exitosa, 2007)
Muchas organizaciones han adoptado varios marcos a nivel empresarial, incluyendo el COSO
marco de control interno (COSO). La importancia del marco de control se ha mejorado debido a
los requisitos reglamentarios por parte de la Comisión de Valores de Estados Unidos (SEC)
según las indicaciones de la Ley Sarbanes-Oxley de 2002 y la legislación similar en otros países.
Las empresas buscan integrar los elementos del marco de control utilizados por el equipo de
El marco de control interno COSO original contenía cinco componentes. En 2004, se revisó
COSO como el Enterprise Risk Management (ERM) Marco Integrado y se extendió a ocho
interrelaciones entre la evaluación de riesgos y los demás componentes de la gestión del riesgo
empresarial, tales como las actividades de control y seguimiento y comprender los principios y
medidas que ayudan a asegurar la pertinencia y eficacia de una evaluación de riesgos. Constituye
un componente clave del marco integrado de gestión de riesgos para empresas y guías de
(COSO ERM). Es importante reconocer las interrelaciones entre la evaluación de riesgos y los
demás componentes de la gestión del riesgo empresarial, tales como las actividades de control y
eficacia de una evaluación de riesgos. Constituye un componente clave del marco integrado de
interrelaciones entre la evaluación de riesgos y los demás componentes de la gestión del riesgo
empresarial, tales como las actividades de control y seguimiento y comprender los principios y
Enterprise Risk Management (ERM) trabaja con organizaciones para proporcionar sistemas
sobre una base de proyecto por proyecto. equipo de auditores de sistemas internos de
crítica corre el riesgo de que el impacto de la línea de fondo de sus operaciones. Las
Página 14 de 31
Auditoría de TI basado en el riesgo
riesgos establecen una base para el establecimiento de un programa de ERM efectivo y están
mejor situadas para aprovechar las oportunidades que se presenten. marco de ERM puede ayudar
La principal diferencia entre los dos marcos es el enfoque adicional en el MTC y la integración
en el modelo de decisión de negocios. MTC está en proceso de ser adoptada por las grandes
Página 15 de 31
Auditoría de TI basado en el riesgo
Página 16 de 31
Auditoría de TI basado en el riesgo
El marco original de control interno COSO aborda las necesidades del profesional de auditoría y
información y comunicación, y monitoreo. Como tal, ISACA ha elegido para utilizar el modelo
Las organizaciones no pueden proteger lo que no son conscientes de, por lo que deben identificar
todos los activos, con un claro enfoque en los más críticos. Una vez que se obtiene una lista
completa de los activos, la organización debe categorizar el uso de algunos taxonomía, o criterios
Página 17 de 31
Auditoría de TI basado en el riesgo
siguiente manera.
Una vez que los activos se clasifican, el siguiente paso es asignar niveles de criticidad y
confidencialidad. los niveles de criticidad y confidencialidad sirven para dictar los controles
un servidor de comercio
acciones
un servidor de correo de
importante para el apoyo a las
2 Medio una empresa de comercio
operaciones comerciales
de acciones
Página 18 de 31
Auditoría de TI basado en el riesgo
un servidor de impresión
necesaria para el día a día las
3 BASIC para una compañía de
operaciones comerciales
comercio de acciones
Después de identificar, clasificar y asignar niveles de criticidad de los activos, el siguiente paso
son explotados por amenazas. Por ejemplo, el software malicioso o malware es una amenaza que
cabo negro, que puede explotar la falta de tener generadores. Las amenazas se clasifican por
negocios, técnica, física y administrativa. Es importante que las organizaciones no sólo sean
conscientes de sus amenazas y vulnerabilidades, pero también entienden ellos para determinar el
Página 19 de 31
Auditoría de TI basado en el riesgo
El cálculo del riesgo es esencial para determinar el mejor uso de los recursos. Una fórmula
simple para el cálculo del riesgo es, Riesgo = Valor del Activo x Amenaza x vulnerabilidad.
valor del activo es mayor que su coste inicial, se aplica el valor de un activo aumenta a medida
que los recursos, y como competidores valoran. Los recursos se aplican a los activos en el
de valor. Por ejemplo, un servidor Web que acepta la información del cliente, si la base de datos
causar una disminución de la cuota de mercado y en una ventaja competitiva. Por lo tanto, el
valor del activo debe tener en cuenta todos los factores que afectan su valor.
Calcular un valor de amenaza requiere mirar su pérdida estimada proyectada (PL) y la tasa anual
decir, si el malware compromete la base de datos que contiene la información del cliente y se
prevé la pérdida de datos 50%, entonces PL es del 50%. a continuación, nos fijamos en ARO de
de un solo año. En este caso, la proyección puede ser una tasa anual de ocurrencia de una vez
cada dos años, o 0.50. Esto haría que nuestro cálculo amenaza 0,25 (PL x ARO). (Hariharan,
2010)
existente en el lugar para proteger la base de datos de la empresa es 80% efectiva, entonces hay
un nivel de deficiencia de 20%. Usando esta figura, junto con el valor de los activos y los
Página 20 de 31
Auditoría de TI basado en el riesgo
cálculos de amenaza, podemos calcular el riesgo. En este ejemplo, vamos a usar $ 1.000.000 de
que el valor de la base de datos. En tales como caso, el riesgo = $ 1000000 x 0,25 x 20% = $
50.000. Bajo este escenario, podemos justificar una inversión de hasta $ 50.000 para proteger la
El proceso de evaluación de riesgos permite a los equipos de auditoría para dar prioridad a los
compromisos basados en el riesgo, sin perder el foco en los activos críticos que afectan
significativamente a las operaciones comerciales. Este proceso de evaluación de riesgos es, junto
universo de auditoría
El universo de auditoría incluye todas las entidades de auditoría potenciales y procesos que
pueden ser aplicados por el equipo de auditoría. En esencia, el universo de auditoría incluye a las
fronteriza. Junto con la determinación del riesgo en términos monetarios, otra forma es mediante
La clasificación de riesgos es el proceso de usar el juicio para anotar las entidades de auditoría.
el valor asignado a cada área de riesgo. Por ejemplo, la siguiente tabla se refiere a las
aplicaciones Web como una zona de alto riesgo. La complejidad de las aplicaciones Web tabla
enumera como preocupantes, que tiene un grado de preocupación de los tres. El valor asignado a
Página 21 de 31
Auditoría de TI basado en el riesgo
la complejidad es 1,75; por lo tanto, de 1,75 x 3 = 5,25, el valor de riesgo para las aplicaciones
Web complejidad.
Teniendo en cuenta los criterios de clasificación, el 20% superior de las entidades de auditoría se
considera de alto riesgo y debe ser auditado en ese año. De acuerdo con esta tabla, todas las
aplicaciones y servidores web deben ser auditados este año. Una tabla más completa
clasificación de riesgo podría clasificar las aplicaciones web específicas, o incluso cada PCI DSS
(PCI DSS) Requisito como su propia entidad auditable. El nivel de detalle en el listado de
entidades depende del tamaño del universo de auditoría y los recursos disponibles para llevar a
cabo una evaluación de riesgos en la clasificación de profundidad. La evaluación del riesgo anual
plan de auditoría
anuales necesarios para iniciar los trabajos de auditoría. El plan de auditoría se ha creado usando
realmente impulsa este proceso, ya que ayuda a que el equipo de auditoría a identificar los
niveles de deficiencia, debilidades sin dirección, y las áreas de interés. Además de los criterios de
clasificación de riesgo que se muestran en la tabla anterior, otros criterios posibles son recientes
regulaciones, etc. El plan de auditoría define los roles y responsabilidades, la metodología del
sirve como la hoja de ruta con la aprobación de la gestión para el equipo de auditoría para
Página 22 de 31
Auditoría de TI basado en el riesgo
Después del proceso anual de la identificación y clasificación de riesgo, y el desarrollo del plan
proceso por etapas, basado en el riesgo de cinco pasos que incluye la preparación, evaluación y
Preparation phase Assessment phase Mitigation phase Reporting phase Follow-up phase
fase 1. Preparación
auditoría en el plan de auditoría. Durante esta fase, el equipo de auditoría revisa anteriores
objetivos del trabajo individual. El equipo va a escuchar las preocupaciones de gestión y sus
operadores y luego comparar esa información con sus resultados de la evaluación. El enfoque del
equipo de auditoría es entender los objetivos de negocio y funciones de la empresa para hacer la
2. Fase de evaluación
preocupaciones que documentan. Durante esta fase, el auditor puede usar una lista de
verificación, pero dependerá en gran medida de la experiencia y el juicio para interpretar los
resultados e identificar anomalías menos notables. Durante esta fase, es importante colaborar con
los operadores para validar la importancia del riesgo. Ciertos hallazgos "libro de texto" pueden
parecer significativa al principio, pero pueden estar en su lugar por una buena razón, como
Página 23 de 31
Auditoría de TI basado en el riesgo
requisitos operativos específicos para ciertas aplicaciones. Por lo tanto, es importante para
validar ciertos resultados antes de causar demasiado revuelo enumerándolo tan significativo en el
informe final.
Dependiendo del sistema, red, o proceso a ser auditados, existen algunos controles de línea de
base que pueden ser evaluados contra. Por ejemplo, algunos de estos controles incluyen
controles de línea de base, es importante garantizar los controles están en el lugar que permite
funciones de negocios.
3. Fase de Mitigación
La fase de mitigación implica el desarrollo de los controles adecuados para mitigar el riesgo.
planes de mitigación. Mientras que algunos controles pueden tomar semanas o meses para poner
en práctica, otros pueden ser rectificados en el acto. Esta fase consiste en documentar los
posibles controles y las medidas adoptadas por los operadores para mitigar los riesgos en el
lugar.
fase 4. Reporting
delineando sus hallazgos. El grupo compartirá los planes de mitigación para los controles en
curso, y resumirá los resultados más significativos. Esta fase implica el desarrollo de un resumen
ejecutivo con información clave para los administradores a tomar decisiones de seguridad. El
Página 24 de 31
Auditoría de TI basado en el riesgo
resumen ejecutivo es una descripción de alto nivel que explica "en pocas palabras" la postura de
seguridad de la organización y los próximos pasos necesarios para fortalecer sus controles.
5. Fase de Seguimiento
garantizar los controles se implementan. En un entorno con recursos limitados, la empresa puede
carecer de la habilidad establece la adopción de ciertos mecanismos de control. Por lo tanto, los
corrección vencidas o próximas. El equipo debe crear un sistema de seguimiento que contiene un
panel de control fácil de seguir que ofrece el estado de las implementaciones y sus fechas de
vencimiento.
Página 25 de 31
Auditoría de TI basado en el riesgo
riesgo
escenario que trae todo junto. En este caso, caminamos a través de en un nivel alto. Esta empresa
acepta tarjetas de crédito dentro de sus 100 tiendas en Estados Unidos, ya través de comercio
Compañía identificó todos los activos y los clasifica por tipo, valor y complejidad. Se utilizó la
tabla de clasificación de riesgo por debajo de clasificar el riesgo utilizando los criterios
enumerados.
Los Los
controles hallazgos Las Los cambios
Entidad de Complejida
existentes y de preocupacion de personal / Riesg
Auditoría d
Cumplimien auditoría es de gestión Sistema o
potencial (1,75)
to anteriores (1,5) (1,0)
(2,0) (1,5)
Plan de
Bajo Moderar Bajo Bajo Bajo
contingenci 9.5
(2,0) (3,5) (1,5) (1,5) (1,0)
a
Servidores Moderar Alto Alto Alto Alto
21.25
web (4,0) (5,25) (4.5) (4.5) (3.0)
Aplicaciones Alto Alto Alto Alto Alto
23.25
web (6,0) (5,25) (4.5) (4.5) (3.0)
Sistema de
Moderar Bajo Bajo Bajo Bajo
bases de 9.75
(4,0) (2,0) (1,5) (1,5) (1,0)
datos
El
Moderar Moderar Bajo Bajo Bajo
cumplimient 11.5
(4,0) (3,5) (1,5) (1,5) (1,0)
o PCI DSS
Cumplimien
Moderar Moderar Moderar Bajo Bajo
to de la 13
(4,0) (3,5) (3,0) (1,5) (1,0)
norma ISO
Página 26 de 31
Auditoría de TI basado en el riesgo
27001
Compañía
de
Bajo Bajo Bajo Bajo Bajo
cumplimient 9.25
(2,0) (2,0) (1,5) (1,5) (1,0)
o de
políticas
Los Alto Alto Bajo Bajo Moderar
15.25
cortafuegos (6,0) (5.25) (1,5) (1,5) (2,0)
Moderar Moderar Bajo Bajo Bajo
routers 11.5
(4,0) (3,5) (1,5) (1,5) (1,0)
Clasificación de preocupación: preocupación Baja (1); preocupación moderada (2); Alta
preocupación (3)
Clasificación de riesgo: Top 25% = Alto Riesgo (auditoría 100% de entidades); Siguiente 50% =
Moderado riesgo (auditoría 50% de entidades); Bottom 10% = Bajo Riesgo (auditoría 10% de
entidades)
auditoría, la empresa encontró que sus principales preocupaciones son los firewalls corporativos
un entorno seguro" PCI DSS, ya que recientemente perdió a su administrador del cortafuegos
primario. La compañía clasifica sus cortafuegos como confidencial (que requieren controles
estrictos para evitar el acceso no autorizado), con un nivel de criticidad 1 (que requiere un alto
nivel de protección para el sostenimiento vital de las operaciones comerciales). Dentro de su plan
de auditoría, el equipo auditor decide centrarse mucho esfuerzo hacia sus firewalls corporativos y
Durante la fase de preparación, los auditores encuentran que el ex administrador del servidor de
en varios meses, y dejó sin entrenamiento personal subalterno. Con el fin de proteger los datos de
realizar una limpieza completa del conjunto de reglas del cortafuegos cada uno. Se pretende
Página 27 de 31
Auditoría de TI basado en el riesgo
evaluar el ingreso y filtrado de salida, incluyendo la documentación de cada regla, y todas las
Durante la fase de evaluación, el equipo de auditoría considera que los cortafuegos utilizados
dentro de la empresa están en su punto final de su vida útil y cerca de su final de apoyo por parte
del vendedor. Esto fue sólo una de las muchas conclusiones, pero el más significativo que
requiere atención inmediata. El equipo de auditoría trabajó con la administración para determinar
el valor de los activos de firewall y los costos necesarios para actualizarlos. En la fase de
demasiado costoso.
Compañía valuó sus servidores de seguridad de empresa en $ 1.500.000. Sin embargo, las
circunstancias "al final de su apoyo" aumentan los cálculos de amenazas y vulnerabilidad a 0,4 y
0,7, respectivamente, por lo que el nivel de riesgo $ 420.000. Esto se debió a un aumento de la
amenaza (pérdida y proyectada tasa anual de ocurrencia) una vez que el soporte del proveedor se
ha ido, y un aumento en la deficiencia vez que se pierde el soporte del proveedor. La Compañía
pruebas y despliegue del nuevo producto de firewall. Posteriormente, el grupo decide invertir un
adicional de $ 20.000 a contratar a una empresa externa para probar y validar la efectividad de
sus controles.
corporativo y PCI DSS con el equipo de gestión. Cubren los próximos pasos necesarios para
comenzar las mejoras de firewall y el seguimiento de fechas clave. Para proporcionar puntos
existente que los administradores eran capaces de corregir en el acto. Un área en particular era la
Página 28 de 31
Auditoría de TI basado en el riesgo
Página 29 de 31
Auditoría de TI basado en el riesgo
conclusiones
Este documento pone de relieve las áreas centrales de una auditoría basada en el riesgo aplicada
riesgos y el riesgo, para evaluar y documentar los resultados, es importante adoptar un enfoque
basado en el riesgo enfocado en capacitar a los objetivos de negocio. Es importante que el equipo
clasificación de riesgos de TI. Los auditores de TI deben ser realistas en sus análisis de amenazas
y riesgos en el entorno de TI, y el uso de los números medibles cuando sea posible. El uso de
este enfoque sobre una base regular permite a las organizaciones para lograr la seguridad TI de la
empresa. Lo más importante, esta evaluación eficaz del riesgo Produce una visión hacia el
futuro, no sólo permite a las organizaciones para evitar los riesgos de TI, sino que proporciona
una mayor y más significativo claridad en torno a los riesgos de TI que hacen cara. Armado con
este conocimiento y perspectiva, las organizaciones están mucho mejor posicionados para tomar
el derecho de los riesgos de TI, y pueden manejar mejor cuando lo hacen. A la larga, las
oportunidades a largo plazo son más propensos a superar sus objetivos de negocio, y esta
Página 30 de 31
Auditoría de TI basado en el riesgo
referencias
Integrada, www.coso.org
5. Riesgos de TI: Basado en COBIT Objetivos y Principios, Fischer, Urs; ISACA, Journal
vol. 4, 2009
7. Fundamentos de auditoría de TI: Lo que todo auditor de TI debe saber sobre el riesgo en
9. Una guía práctica para arriesgar evaluación- cómo los principios basados en la evaluación
PricewaterhouseCoopers, 2008
Página 31 de 31