Auditoría de TI basado en el riesgo

Metodología de auditoría basado en el riesgo

Aplicar la gestión de riesgos de TI de la organización

Kun Tao (Quincy)

Cal Poly Pomona

Nota del autor

Este documento fue preparado para GBA 577 Auditoría Avanzada ES, impartido por el profesor

Manson.

Página 1 de 31
 Auditoría de TI basado en el riesgo

Marzo del 2014

Página 2 de 31
 Auditoría de TI basado en el riesgo

Tabla de contenido

Resumen ................................................. .................................................. .......................................

Introducción ................................................. .................................................. .................................

Metodología................................................. .................................................. ................................

metodología de auditoría basado en el riesgo: evaluación del riesgo ..........................................

............................ 6

La gestión de riesgos ............................................... .................................................. .................. 7

Riesgos de TI marco de control .............................................. ..................................................

........ 8

La identificación de los activos ................................................ ..................................................

.................... 13

La determinación de los niveles de criticidad y confidencialidad .............................................

......................... 14

Amenaza e identificación vulnerabilidad .............................................. ........................................

15

El cálculo del riesgo ................................................ ..................................................

....................... dieciséis

universo de auditoría ................................................ ..................................................

......................... 17

plan de auditoría ................................................ ..................................................

................................ 18

Pasos de una metodología de auditoría basado en el riesgo ..........................................

........................................ 19

Fase de preparación................................................ .................................................. ................ 19

Página 3 de 31
 Auditoría de TI basado en el riesgo

fase de evaluación ................................................ .................................................. ................ 19

fase de mitigación ................................................ .................................................. .................. 20

Informes fase ................................................ .................................................. .................. 20

Fase de seguimiento .............................................. .................................................. ....................

20

Análisis de los datos................................................ ..................................................

............................... 22

Conclusiones ................................................. .................................................. ................................

25

Referencias ................................................. .................................................. .................................

26

Página 4 de 31
 Auditoría de TI basado en el riesgo

Resumen

auditoría basado en el riesgo es un tema muy amplio, uno que se puede aplicar a muchas áreas

tales como finanzas y tecnología de la información (TI). En el documento se discutió cómo la

aplicación del marco de gestión de riesgos de TI puede mejorar la eficiencia de los riesgos de TI

y los esfuerzos de gestión de información de riesgos. El documento proporciona una visión

general de la gestión de riesgos de TI y el marco de control, formas de identificar el riesgo de

negocio, así como las prácticas eficientes y eficaces de gestión de riesgos de TI auditores de TI

debe considerar. En este documento también se centra en la evaluación de riesgos de TI desde

una perspectiva de auditoría basado en el riesgo de la empresa. Además, ofrece una sencilla

metodología de auditoría basado en el riesgo para las organizaciones para desarrollar un

programa de auditoría interna de TI, o aquellos que buscan nuevas formas de evaluar los riesgos

de seguridad.

palabras clave: auditoría basado en el riesgo; la gestión de riesgos de TI; MTC; COBIT;

Evaluación de riesgos

Página 5 de 31
 Auditoría de TI basado en el riesgo

Introducción

mundo de los negocios de hoy en día está en constante cambio, que es impredecible y volátil, y

parece ser más compleja cada día. Por su propia naturaleza, es lleno de riesgos. La creciente

demanda de transparencia en torno a los riesgos no siempre se ha cumplido, sin embargo, como

lo demuestra la crisis del mercado financiero, donde la mala calidad de los activos subyacentes

impactó significativamente el valor de las inversiones, la identificación, gestión y explotación de

riesgo a través de una organización se ha convertido cada vez importante para el éxito y la

longevidad de cualquier negocio.

La evaluación de riesgos proporciona un mecanismo para la identificación de los riesgos y

representan oportunidades que representan peligros potenciales. La evaluación de riesgos ofrece

a las organizaciones una visión clara de las variables a las que pueden estar expuestos, ya sea

mirando hacia adelante, interno o externo, o retrospectiva. Una buena evaluación del riesgo está

anclado en el apetito de riesgo definido de la organización y la tolerancia, y proporciona una

base para determinar las respuestas a los riesgos. Un proceso de evaluación de riesgos sólida,

aplicados de manera consistente en toda la organización, faculta a la administración para

identificar mejor, evaluar y explotar los riesgos necesarios para los negocios, todo ello

manteniendo los controles adecuados para garantizar operaciones eficaces y eficientes y

cumplimiento de la normativa. (Una guía práctica para la evaluación de riesgos, PwC, 2008)

A medida que las organizaciones se vuelven más dependientes de tecnologías integradas y

sistemas automatizados, gestión se ocupa de los crecientes costos asociados con la realización de

las auditorías de la seguridad del sistema de información interna. A medida que las auditorías de

TI son un componente crítico del funcionamiento de una organización, la gestión organizacional

a menudo empuja adelante para garantizar el funcionamiento adecuado y eficiente de la función

Página 6 de 31
 Auditoría de TI basado en el riesgo

de auditoría. Sin embargo, eso dio a luz los beneficios de costo altamente lucrativos de la

externalización de la función de auditoría del sistema de información. También hay casos en los

que una auditoría sistemas de información no es la capacidad de la base de la función de

auditoría interna de una organización. Sin embargo, los riesgos de TI deben tenerse en cuenta, ya

que pueden cambiar el entorno de control de la empresa.proceso. (Riesgos de TI: Basado en

COBIT Objetivos y Principios, Fischer, 2009). La implementación de la metodología de

auditoría basado en el riesgo no sólo debe mejorar la eficiencia y eficacia de la gestión de riesgos

de TI, las operaciones de negocio y generación de informes de riesgo, sino que también pone de

relieve el papel único que juega en la identificación de eventos o incidentes que puedan afectar la

capacidad de la organización para lograr su objetivos.

Para identificar los riesgos de TI utilizando la metodología de auditoría basado en el riesgo, los

auditores pueden ayudar a las empresas llevan a cabo una evaluación de riesgos en toda la

empresa. (Lo que todo auditor de TI debe saber sobre el riesgo en evaluación, Tommie W.

Singleton, 2009) Esto también ayudará a identificar los riesgos que son inconsistentes con o en

exceso del apetito organizaciones riesgo.

Página 7 de 31
 Auditoría de TI basado en el riesgo

Metodología

Las auditorías son un componente esencial de la estrategia de seguridad de una organización.

Ellos permiten al personal para cumplir con los requisitos reglamentarios, validar que los

controles existentes protegen las funciones de negocio, y determinar cuándo son necesarios

nuevos controles. A diferencia de una auditoría en la que el auditor utiliza una lista de

comprobación y la pluma para determinar el cumplimiento, una auditoría basado en el riesgo

requiere tener una comprensión de las funciones y objetivos de negocio de la organización - que

cavar muy hondo dentro de los sistemas y redes.

"En un enfoque de auditoría basado en el riesgo, los auditores de sistemas de información no

sólo se basan en el riesgo, sino que también se basan en los controles internos y operativos, así

como el conocimiento de la empresa o el negocio" (ISACA). Por lo tanto, una auditoría basada

en el riesgo proporciona una evaluación más exhaustiva de riesgo de negocio, y permite a los

gerentes a tomar decisiones informadas sobre la base de su apetito de riesgo. La alineación de las

decisiones y las prácticas de TI de la empresa con el nivel de riesgo aceptable en una

organización es el conductor para el comienzo de una auditoría basada en el riesgo, y es el

proceso de evaluación de riesgos que ayuda a determinar que el umbral de riesgo.

metodología de auditoría basado en el riesgo: La evaluación de riesgos

La evaluación de riesgos es un proceso sistemático para identificar y evaluar los eventos (por

ejemplo, los posibles riesgos y oportunidades) que podrían afectar a la consecución de los

objetivos, positiva o negativamente. Tales eventos pueden ser identificados en el ambiente

externo (por ejemplo, las tendencias económicas, panorama de la regulación y la competencia) y

dentro del ambiente interno de una organización (por ejemplo, personas, procesos e

infraestructura). Cuando estos eventos se cruzan con los objetivos de una organización, o se

Página 8 de 31
 Auditoría de TI basado en el riesgo

pueden predecir para hacerlo, se convierten en riesgos. Por lo tanto, el riesgo se define como “la

posibilidad de que ocurra un evento y afectar el logro de los objetivos de manera adversa.”

(COSO, Enterprise Marco Gestor de Riesgo Integrado, www.coso.org)

El apetito de riesgo o de riesgo aceptable es la cantidad de exposición al riesgo de que una

empresa está dispuesta a aceptar. La organización debe establecer un umbral para identificar

cuándo y dónde implementar controles para mitigar el riesgo. Este proceso es esencial para

determinar qué controles son buenos para tener frente a las necesarias para proteger las funciones

de negocio. Varias metodologías de gestión de riesgos, como los de la Organización

Internacional de Normalización (ISO) y el Instituto Nacional de Estándares y Tecnología

(NIST), proporcionan una gestión con buenas estimaciones para evaluar el riesgo aceptable. De

alguna manera, las metodologías comúnmente incluyen la identificación de los activos, las

amenazas, las vulnerabilidades y controles.

las estrategias de respuesta a los riesgos

Página 9 de 31
 Auditoría de TI basado en el riesgo

http://www.pwc.com/en_us/us/issues/enterprise-risk gestión / activos / risk_assessment_guide.pdf

Gestión de Riesgos de TI

riesgos de TI es un componente del universo de riesgo global de la empresa. tecnologías y sistemas de

información son una parte importante de la infraestructura de la empresa. La integración y la alineación

de los riesgos de TI y de la empresa o de riesgo de negocio es una necesidad. riesgos de TI es un negocio

de riesgo, específicamente, el riesgo de negocio asociado con el uso, propiedad, operación, la

participación, la influencia y la adopción de TI dentro de una empresa. Se compone de eventos y

condiciones relacionados con TI que potencialmente podrían afectar el negocio.

La vista principal de ello es que de una organización de prestación de operaciones o servicio. En esta

capacidad, los riesgos de TI se refiere a la capacidad de ofrecer los servicios de TI que permiten a la

empresa para llevar a cabo los procesos operativos del día a día. Sin embargo, también corren el riesgo

aborda los procesos de desarrollo de sistemas, adquisición y mantenimiento. Esto se refiere a garantizar la

selección, desarrollo y mantenimiento de los procesos de negocio que operan la generación de ingresos y

la satisfacción de la organización y dirección de las necesidades del negocio de una manera rentable. Por

último, los riesgos de TI se refiere a la capacidad de TI para proporcionar valor y / o beneficio a la

empresa a través de la automatización. Por lo tanto, la evaluación del riesgo puede llevarse a cabo en

varios niveles de la organización. (El riesgo que Marco Extracto, ISACA, 2010)

Los objetivos y los eventos que se trate de determinar el alcance de la evaluación de riesgos para

llevarse a cabo. Los ejemplos de las evaluaciones de riesgos de TI se realizan con frecuencia

incluyen:

- evaluación del riesgo de cumplimiento. La evaluación de los factores de riesgo relativos a

las obligaciones de cumplimiento de la organización, teniendo en cuenta las leyes y

reglamentos, políticas y procedimientos, ética y normas de conducta empresarial, y

contratos, así como normas voluntarias estratégicos y las mejores prácticas en que la

Página 10 de 31
 Auditoría de TI basado en el riesgo

organización se ha comprometido. Este tipo de evaluación se lleva a cabo normalmente

mediante la función de cumplimiento con el aporte de las áreas de negocio.

- evaluación de riesgos de seguridad. La evaluación de posibles infracciones de los activos

y la información física protección y seguridad de una organización. Este considera la

infraestructura, aplicaciones, operaciones, y la gente, y se realiza normalmente por la

función de seguridad de la información de una organización.

- Tecnología de la información de evaluación de riesgos. Evaluación del potencial de la

tecnología de los fallos del sistema y el retorno de la organización sobre las inversiones

en tecnología de la información. Esta evaluación podría considerar factores tales como la

capacidad de procesamiento, control de acceso, protección de datos y el delito

cibernético. Esto se realiza normalmente por especialistas de riesgo y de gobierno de

tecnología de información de una organización.

- evaluación de los riesgos del proyecto. La evaluación de los factores de riesgo asociados

con la entrega o ejecución de un proyecto, teniendo en cuenta las partes interesadas, las

dependencias, líneas de tiempo, costo y otras consideraciones clave. Esto se realiza

normalmente por los equipos de gestión de proyectos.

(Una guía práctica para la evaluación de riesgos, PwC, 2008)

Riesgos de TI Marco de Control

Sistemas de Información de Auditoría y Control Association (ISACA) 's Objetivos de Control

para el marco de Tecnología Relacionada (COBIT) la información y el uso de aplicación general

y aceptado las buenas prácticas. COBIT es un marco para la gestión de las TI y el apoyo

conjunto de herramientas que permite a los administradores para cerrar la brecha entre los

Página 11 de 31
 Auditoría de TI basado en el riesgo

requisitos de control, las cuestiones técnicas y riesgo de negocio. COBIT permite el desarrollo de

políticas claras y buenas prácticas para el control de TI en toda la empresa. El objetivo de control

COBIT debe identificarse para cada paso de auditoría / garantía en la sección. COBIT

proporciona objetivos de control en profundidad y sugirió prácticas de control en cada nivel.

Como se describe en la siguiente sección Resumen Ejecutivo, los riesgos de TI soportes de

gestión y procesos de negocio unidades e incluye las funciones principales de negocios con la

organización de TI.

Los procesos de COBIT principales asociados con la gestión de riesgos son PO9 para evaluar y

gestionar los riesgos de TI, y ME4.5 Proporcionar Gobierno -. La gestión del riesgo (Auditoría

de Gestión de Riesgos de TI / Programa de Aseguramiento, ISACA, 2012)

Figura 1 - Control COBIT Objetivo

PO9 Evaluar y Administrar los Riesgos
PO9.1 Gestión de Riesgo Marco-Establecer un marco de gestión de riesgos de TI que está
alineado con el marco de gestión de riesgos de la organización (de la empresa).
PO9.2 Establecimiento de Riesgo Contexto-Establecer el contexto en el que se aplica el
marco de evaluación de riesgos para asegurar resultados adecuados.
PO9.3 Identificación de eventos-Identificar eventos (una importante amenaza real que
explota una vulnerabilidad significativa aplicable) con un potencial impacto negativo
en los objetivos o las operaciones de la empresa.
Riesgo PO9.4 Evaluación-Evaluar de forma recurrente la probabilidad y el impacto de los
riesgos identificados, utilizando métodos cualitativos y cuantitativos. La probabilidad
y el impacto asociado con el riesgo inherente y residual debe determinarse de forma
individual, por categoría y para toda la cartera.
Respuesta PO-9.5 Desarrollar el riesgo y mantener un proceso de respuesta a los riesgos
diseñado para asegurar que los controles rentables mitigar la exposición a riesgos de
manera continua.
PO9.6 Mantenimiento y Monitoreo de una acción de Plan-Riesgo prioridades y planificar

Página 12 de 31
 Auditoría de TI basado en el riesgo

las actividades de control en todos los niveles para implementar las respuestas a los
riesgos identificados como necesarios, incluyendo la identificación de costos, los
beneficios y la responsabilidad de la ejecución. Obtener la aprobación de las acciones
y la aceptación de cualquier riesgo residual, y asegurarse de que las acciones
comprometidas son propiedad del propietario (s) proceso afectado. Supervisar la
ejecución de los planes, e informar sobre cualquier desviación a la alta dirección.

ME4 Proporcionar Gobierno

ME4.5 Gestor de Riesgo trabajo con la junta para definir el apetito de la empresa de los
riesgos de TI y obtener una seguridad razonable de que los riesgos de TI prácticas de
manejo son apropiadas para garantizar que el riesgo de TI real no supere el riesgo
aceptado por la junta. Integrar las responsabilidades de gestión de riesgos en la
organización, asegurando que el negocio y TI evaluar periódicamente e informar los
riesgos relacionados con TI y su impacto y que la posición de riesgo de TI de la
empresa es transparente para todos los interesados.
(Consulte COBIT 4.1 para los objetivos de control en su totalidad Consulte de ISACA Prácticas

de Control de COBIT:. Orientación para lograr los Objetivos de Control para el Gobierno de TI

exitosa, 2007)

Muchas organizaciones han adoptado varios marcos a nivel empresarial, incluyendo el COSO

marco de control interno (COSO). La importancia del marco de control se ha mejorado debido a

los requisitos reglamentarios por parte de la Comisión de Valores de Estados Unidos (SEC)

según las indicaciones de la Ley Sarbanes-Oxley de 2002 y la legislación similar en otros países.

Las empresas buscan integrar los elementos del marco de control utilizados por el equipo de

auditoría en general / garantía en la auditoría de TI y un marco de garantía. Desde COSO es

ampliamente utilizado, ha sido seleccionada para su inclusión en el programa de auditoría de TI.

El marco de control interno COSO original contenía cinco componentes. En 2004, se revisó

COSO como el Enterprise Risk Management (ERM) Marco Integrado y se extendió a ocho

componentes. Un proceso de evaluación de riesgos sólida es la base de un programa eficaz de

Página 13 de 31
 Auditoría de TI basado en el riesgo

gestión de riesgos de la empresa. Constituye un componente clave del marco integrado de

gestión de riesgos para empresas y guías de aplicación correspondientes publicadas por el

Comité de Organizaciones Patrocinadoras en 2004 (COSO ERM). Es importante reconocer las

interrelaciones entre la evaluación de riesgos y los demás componentes de la gestión del riesgo

empresarial, tales como las actividades de control y seguimiento y comprender los principios y

medidas que ayudan a asegurar la pertinencia y eficacia de una evaluación de riesgos. Constituye

un componente clave del marco integrado de gestión de riesgos para empresas y guías de

aplicación correspondientes publicadas por el Comité de Organizaciones Patrocinadoras en 2004

(COSO ERM). Es importante reconocer las interrelaciones entre la evaluación de riesgos y los

demás componentes de la gestión del riesgo empresarial, tales como las actividades de control y

seguimiento y comprender los principios y medidas que ayudan a asegurar la pertinencia y

eficacia de una evaluación de riesgos. Constituye un componente clave del marco integrado de

gestión de riesgos para empresas y guías de aplicación correspondientes publicadas por el

Comité de Organizaciones Patrocinadoras en 2004 (COSO ERM). Es importante reconocer las

interrelaciones entre la evaluación de riesgos y los demás componentes de la gestión del riesgo

empresarial, tales como las actividades de control y seguimiento y comprender los principios y

medidas que ayudan a asegurar la pertinencia y eficacia de una evaluación de riesgos.

Enterprise Risk Management (ERM) trabaja con organizaciones para proporcionar sistemas

completos o parciales de información, funciones del departamento de auditoría para el

cumplimiento de los sistemas internos de auditoría, capacitación técnica y asistencia especiales

sobre una base de proyecto por proyecto. equipo de auditores de sistemas internos de

información de ERM ayuda a las organizaciones a centrarse en los sistemas de información

crítica corre el riesgo de que el impacto de la línea de fondo de sus operaciones. Las

Página 14 de 31
 Auditoría de TI basado en el riesgo

organizaciones que interpretan vigorosamente los resultados de su proceso de evaluación de

riesgos establecen una base para el establecimiento de un programa de ERM efectivo y están

mejor situadas para aprovechar las oportunidades que se presenten. marco de ERM puede ayudar

a las organizaciones a mejorar sus esfuerzos de gestión de riesgos de TI:

- Alinear la estrategia apetito por el riesgo y el riesgo de la compañía.

- La mejora de las decisiones de respuesta al riesgo.

- La reducción de sorpresas y pérdidas operacionales.

- Para identificar y gestionar múltiples y toda la empresa riesgos.

La principal diferencia entre los dos marcos es el enfoque adicional en el MTC y la integración

en el modelo de decisión de negocios. MTC está en proceso de ser adoptada por las grandes

empresas. Los dos marcos se comparan en la figura 2.

Figura 2 -Comparación del control interno COSO y ERM marcos integrados

Marco de Control Interno
Ambiente de Control: El ambiente de control
establece el tono de una organización, que
influye en la conciencia de control de su gente. de cómo se ve y se dirigió a la gente de una
Es la base para todos los otros componentes
del control interno, proporcionando disciplina
y estructura. factores del entorno de control
incluyen la integridad, los valores éticos, el
estilo operativo de la administración, la
delegación de los sistemas de autoridad, así
como los procesos para la gestión y el
desarrollo de las personas en la organización.
Marco integrado MTC
Ambiente Interno: El ambiente interno abarca
el tono de una organización, y establece la base
entidad, incluyendo la filosofía de gestión de
riesgos y el apetito por el riesgo, la integridad
y los valores éticos, y el entorno en el que
operan riesgo.
La fijación de objetivos: los objetivos deben
existir antes de la administración puede
identificar eventos potenciales que afectan a su
rendimiento. la gestión de riesgos de la
empresa asegura que la gestión ha puesto en
marcha un proceso para establecer objetivos y
que los objetivos elegidos apoyar y alinear con
la misión de la entidad y son consistentes con
su apetito por el riesgo.

Página 15 de 31
 Auditoría de TI basado en el riesgo

Figura 2 -Comparación del control interno COSO y ERM marcos integrados

Marco de Control Interno Marco integrado MTC
La identificación de eventos: Los eventos
internos y externos que afectan el logro de los
objetivos de la entidad debe ser identificado,
distinguiendo entre los riesgos y
oportunidades. Oportunidades se canalizan de
vuelta a los procesos de estrategia u objetivo
de establecimiento de la administración.
Evaluación de Riesgos: Cada entidad se Evaluación de riesgos: se analizan los riesgos,
enfrenta a una variedad de riesgos de fuentes teniendo en cuenta la probabilidad e impacto,
externas e internas que deben ser evaluados. como base para determinar cómo podrían ser
Una condición previa para la evaluación del manejados. Las áreas de riesgo son evaluados
riesgo es el establecimiento de objetivos y, por sobre una base inherente y residual.
lo tanto, la evaluación de riesgos es la
identificación y análisis de riesgos pertinentes
para la consecución de los objetivos asignados.
La evaluación de riesgos es un requisito previo
para la determinación de cómo se deben
manejar los riesgos.
Respuesta a los Riesgos: Gestión de riesgo
selecciona las respuestas de evitar, aceptar,
reducir o reparto de riesgos y el desarrollo de
un conjunto de acciones para alinear los
riesgos con las tolerancias al riesgo de la
entidad y el apetito de riesgo.
Control de Actividades: Las actividades de Actividades de control: políticas y
control son las políticas y procedimientos que procedimientos establecidos y ejecutados para
ayudan a asegurar las directivas de gestión se ayudar a asegurar el riesgo respuestas se llevan
llevan a cabo. Ellos ayudan a garantizar que se a cabo de manera efectiva.
toman las medidas necesarias para hacer frente
a los riesgos para la consecución de los
objetivos de la entidad. Las actividades de
control se producen en toda la organización, a
todos los niveles y en todas las funciones.
Incluyen una serie de actividades tan diversas
como aprobaciones, autorizaciones,
verificaciones, conciliaciones, revisiones de
desempeño operativo, la seguridad de los
activos y segregación de funciones.

Página 16 de 31
 Auditoría de TI basado en el riesgo

Figura 2 -Comparación del control interno COSO y ERM marcos integrados

Marco de Control Interno Marco integrado MTC
La información y la comunicación: sistemas de se identifica la información relevante,
información juegan un papel clave en los capturados y comunicados en un marco de
sistemas de control interno, ya que producen tiempo y forma que las personas puedan llevar
informes, incluida la información operativa, a cabo sus responsabilidades: Información y
financiera y relacionada con el cumplimiento Comunicación. La comunicación efectiva se
que hacen posible el funcionamiento y el produce también en un sentido más amplio,
control de la empresa. En un sentido más que fluye hacia abajo, al otro lado y hasta la
amplio, la comunicación eficaz debe garantizar entidad.
que la información fluye hacia abajo, al otro
lado y hasta la organización. La comunicación
efectiva debe garantizarse también con las
partes externas, tales como clientes,
proveedores, reguladores y accionistas.
Monitoreo: Sistemas de control interno deben Monitoreo: La totalidad de la gestión de
ser monitoreados-un proceso que evalúa la riesgos corporativos se supervisa y se hagan
calidad del desempeño del sistema en el modificaciones que sean necesarias. El
tiempo. Esto se logra a través de actividades de monitoreo se realiza a través de las actividades
vigilancia en curso o evaluaciones de gestión en curso, evaluaciones separadas o
independientes. deficiencias de control interno ambos.
detectadas a través de estas actividades de
monitoreo deben ser reportados aguas arriba y
las acciones correctivas deben tomarse
medidas para asegurar la mejora continua del
sistema.
(Información para la figura 2 se obtuvo de la página web de COSO, www.coso.org)

El marco original de control interno COSO aborda las necesidades del profesional de auditoría y

aseguramiento de: ambiente de control, evaluación de riesgos, actividades de control,

información y comunicación, y monitoreo. Como tal, ISACA ha elegido para utilizar el modelo

de cinco componentes para estos programas de auditoría de TI.

La identificación de los activos

Las organizaciones no pueden proteger lo que no son conscientes de, por lo que deben identificar

todos los activos, con un claro enfoque en los más críticos. Una vez que se obtiene una lista

completa de los activos, la organización debe categorizar el uso de algunos taxonomía, o criterios

Página 17 de 31
 Auditoría de TI basado en el riesgo

de categorización. En un sentido básico, los activos pueden ser categorizados y evaluaron de la

siguiente manera.

Tipo: información, hardware, software, servicios, etc.

Valor: valor a los negocios y la competencia
Complejidad: sobrecarga anormal, compatibilidad, o requisitos operativos
período de funcionamiento, la historia y la vida útil proyectada
Años:
ruptura

La determinación de los niveles de criticidad y confidencialidad

Una vez que los activos se clasifican, el siguiente paso es asignar niveles de criticidad y

confidencialidad. los niveles de criticidad y confidencialidad sirven para dictar los controles

específicos para grupos de activos, en base a los requisitos de confidencialidad, integridad y

disponibilidad. Los criterios a continuación ofrece un enfoque sencillo a la asignación de niveles

de criticidad y confidencialidad de los activos.

los niveles de criticidad en base a los requisitos de integridad y disponibilidad

Nivel de
nivel de protección Definición Ejemplos
criticidad

un servidor de comercio

vital para el sostenimiento de las de acciones de una

1 Alto
operaciones comerciales empresa de comercio de

acciones

importante para el apoyo a las
2 Medio
operaciones comerciales
un servidor de correo de
una empresa de comercio
de acciones

Página 18 de 31
 Auditoría de TI basado en el riesgo

necesaria para el día a día las
3 BASIC
operaciones comerciales
un servidor de impresión
para una compañía de
comercio de acciones

niveles de clasificación en base a los requisitos de confidencialidad

Nivel de criticidad Definición Ejemplos

divulgación no autorizada podría tener secretos comerciales, código

Confidencial
graves consecuencias para la empresa fuente, etc.

divulgación no autorizada podría afectar los datos del personal,

Privado
a la imagen de la empresa información financiera, etc.

ningún impacto negativo hacia la

Público nuevos servicios, etc.
empresa

Amenaza y la vulnerabilidad de identificación

Después de identificar, clasificar y asignar niveles de criticidad de los activos, el siguiente paso

es identificar sus amenazas y vulnerabilidades. Las amenazas se producen debido a las

vulnerabilidades. Las vulnerabilidades son debilidades en las personas, procesos y tecnología, y

son explotados por amenazas. Por ejemplo, el software malicioso o malware es una amenaza que

puede explotar la vulnerabilidad de tener sistemas no parcheado. Otra amenaza potencial es un

cabo negro, que puede explotar la falta de tener generadores. Las amenazas se clasifican por

negocios, técnica, física y administrativa. Es importante que las organizaciones no sólo sean

conscientes de sus amenazas y vulnerabilidades, pero también entienden ellos para determinar el

nivel de riesgo que suponen y las contramedidas necesarias.

Página 19 de 31
 Auditoría de TI basado en el riesgo

El cálculo del riesgo

El cálculo del riesgo es esencial para determinar el mejor uso de los recursos. Una fórmula

simple para el cálculo del riesgo es, Riesgo = Valor del Activo x Amenaza x vulnerabilidad.

valor del activo es mayor que su coste inicial, se aplica el valor de un activo aumenta a medida

que los recursos, y como competidores valoran. Los recursos se aplican a los activos en el

desarrollo, prueba, operación y mantenimiento. Además, la información dentro de un activo es

de valor. Por ejemplo, un servidor Web que acepta la información del cliente, si la base de datos

que contiene la información del cliente se ve comprometida, su pérdida puede ocasionar

sanciones legales y daños a la reputación. Además, la pérdida de secretos comerciales puede

causar una disminución de la cuota de mercado y en una ventaja competitiva. Por lo tanto, el

valor del activo debe tener en cuenta todos los factores que afectan su valor.

Calcular un valor de amenaza requiere mirar su pérdida estimada proyectada (PL) y la tasa anual

de ocurrencia (ARO). PL es el porcentaje expuesto por el activo si se produce la amenaza. Es

decir, si el malware compromete la base de datos que contiene la información del cliente y se

prevé la pérdida de datos 50%, entonces PL es del 50%. a continuación, nos fijamos en ARO de

la amenaza mediante la determinación de la frecuencia se proyecta una amenaza a ocurrir dentro

de un solo año. En este caso, la proyección puede ser una tasa anual de ocurrencia de una vez

cada dos años, o 0.50. Esto haría que nuestro cálculo amenaza 0,25 (PL x ARO). (Hariharan,

2010)

El último cálculo antes de determinar el nivel de riesgo es la deficiencia (DL). DL es la cantidad

de deficiente protección dada controles ya existentes. Es decir, si la tecnología antimalware

existente en el lugar para proteger la base de datos de la empresa es 80% efectiva, entonces hay

un nivel de deficiencia de 20%. Usando esta figura, junto con el valor de los activos y los

Página 20 de 31
 Auditoría de TI basado en el riesgo

cálculos de amenaza, podemos calcular el riesgo. En este ejemplo, vamos a usar $ 1.000.000 de

que el valor de la base de datos. En tales como caso, el riesgo = $ 1000000 x 0,25 x 20% = $

50.000. Bajo este escenario, podemos justificar una inversión de hasta $ 50.000 para proteger la

base de datos críticos.

El proceso de evaluación de riesgos permite a los equipos de auditoría para dar prioridad a los

compromisos basados en el riesgo, sin perder el foco en los activos críticos que afectan

significativamente a las operaciones comerciales. Este proceso de evaluación de riesgos es, junto

con la clasificación de riesgos en el universo de auditoría. Recuerde, estos ejercicios requieren

algunas estimaciones, ya que cada ataque o amenaza vector es diferente.

universo de auditoría

El universo de auditoría incluye todas las entidades de auditoría potenciales y procesos que

pueden ser aplicados por el equipo de auditoría. En esencia, el universo de auditoría incluye a las

personas, procesos y tecnología que impulsan los objetivos de negocio de la organización.

Ejemplos de áreas potenciales dentro del universo de auditoría incluyen la infraestructura,

aplicaciones, procesos, arquitecturas, cumplimiento de normas, marcos, políticas y protección

fronteriza. Junto con la determinación del riesgo en términos monetarios, otra forma es mediante

la valoración de riesgo utilizando una tabla de riesgo.

La clasificación de riesgos es el proceso de usar el juicio para anotar las entidades de auditoría.

La tabla de clasificación de riesgo se calcula utilizando una escala de calificación preocupación y

el valor asignado a cada área de riesgo. Por ejemplo, la siguiente tabla se refiere a las

aplicaciones Web como una zona de alto riesgo. La complejidad de las aplicaciones Web tabla

enumera como preocupantes, que tiene un grado de preocupación de los tres. El valor asignado a

Página 21 de 31
 Auditoría de TI basado en el riesgo

la complejidad es 1,75; por lo tanto, de 1,75 x 3 = 5,25, el valor de riesgo para las aplicaciones

Web complejidad.

Teniendo en cuenta los criterios de clasificación, el 20% superior de las entidades de auditoría se

considera de alto riesgo y debe ser auditado en ese año. De acuerdo con esta tabla, todas las

aplicaciones y servidores web deben ser auditados este año. Una tabla más completa

clasificación de riesgo podría clasificar las aplicaciones web específicas, o incluso cada PCI DSS

(PCI DSS) Requisito como su propia entidad auditable. El nivel de detalle en el listado de

entidades depende del tamaño del universo de auditoría y los recursos disponibles para llevar a

cabo una evaluación de riesgos en la clasificación de profundidad. La evaluación del riesgo anual

y el proceso de clasificación determina el plan de auditoría.

plan de auditoría

El plan de auditoría se describen los programa de auditoría, el alcance, objetivos y recursos

anuales necesarios para iniciar los trabajos de auditoría. El plan de auditoría se ha creado usando

resultados de la evaluación del riesgo y clasificación de riesgo. La evaluación del riesgo

realmente impulsa este proceso, ya que ayuda a que el equipo de auditoría a identificar los

niveles de deficiencia, debilidades sin dirección, y las áreas de interés. Además de los criterios de

clasificación de riesgo que se muestran en la tabla anterior, otros criterios posibles son recientes

actualización de la tecnología, las recientes fusiones, adquisiciones recientes, las nuevas

regulaciones, etc. El plan de auditoría define los roles y responsabilidades, la metodología del

equipo de auditoría, la logística y las medidas de rendimiento. En esencia, el plan de auditoría

sirve como la hoja de ruta con la aprobación de la gestión para el equipo de auditoría para

comenzar la realización de auditorías.

Página 22 de 31
 Auditoría de TI basado en el riesgo

Pasos de una metodología de auditoría basado en el riesgo

Después del proceso anual de la identificación y clasificación de riesgo, y el desarrollo del plan

de auditoría, el equipo auditor puede comenzar la auditoría. El proceso de auditoría implica un

proceso por etapas, basado en el riesgo de cinco pasos que incluye la preparación, evaluación y

mitigación, la presentación de informes y seguimiento. Cada fase se explica a continuación.

Preparation phase Assessment phase Mitigation phase Reporting phase Follow-up phase

fase 1. Preparación

La fase de preparación consiste en la planificación compromiso individual antes de cada

auditoría en el plan de auditoría. Durante esta fase, el equipo de auditoría revisa anteriores

documentos de trabajo, los resultados de evaluación de riesgos, y define el alcance y los

objetivos del trabajo individual. El equipo va a escuchar las preocupaciones de gestión y sus

operadores y luego comparar esa información con sus resultados de la evaluación. El enfoque del

equipo de auditoría es entender los objetivos de negocio y funciones de la empresa para hacer la

evaluación más informada.

2. Fase de evaluación

La fase de evaluación consiste en sistemas de análisis y proceso, identificando vulnerabilidades y

preocupaciones que documentan. Durante esta fase, el auditor puede usar una lista de

verificación, pero dependerá en gran medida de la experiencia y el juicio para interpretar los

resultados e identificar anomalías menos notables. Durante esta fase, es importante colaborar con

los operadores para validar la importancia del riesgo. Ciertos hallazgos "libro de texto" pueden

parecer significativa al principio, pero pueden estar en su lugar por una buena razón, como

Página 23 de 31
 Auditoría de TI basado en el riesgo

requisitos operativos específicos para ciertas aplicaciones. Por lo tanto, es importante para

validar ciertos resultados antes de causar demasiado revuelo enumerándolo tan significativo en el

informe final.

Dependiendo del sistema, red, o proceso a ser auditados, existen algunos controles de línea de

base que pueden ser evaluados contra. Por ejemplo, algunos de estos controles incluyen

inventariar dispositivos autorizados y no autorizados, defensa frontera, seguridad de

aplicaciones, protección contra el malware, prevención de pérdida de datos, control de cuentas,

control inalámbrico y capacidades de recuperación de datos. Además de auditoría contra los

controles de línea de base, es importante garantizar los controles están en el lugar que permite

funciones de negocios.

3. Fase de Mitigación

La fase de mitigación implica el desarrollo de los controles adecuados para mitigar el riesgo.

Este proceso consiste en la socialización de los requisitos con la empresa y el desarrollo de

planes de mitigación. Mientras que algunos controles pueden tomar semanas o meses para poner

en práctica, otros pueden ser rectificados en el acto. Esta fase consiste en documentar los

posibles controles y las medidas adoptadas por los operadores para mitigar los riesgos en el

lugar.

fase 4. Reporting

En la fase de información, el equipo de auditoría proporciona un informe completo a la gestión

delineando sus hallazgos. El grupo compartirá los planes de mitigación para los controles en

curso, y resumirá los resultados más significativos. Esta fase implica el desarrollo de un resumen

ejecutivo con información clave para los administradores a tomar decisiones de seguridad. El

Página 24 de 31
 Auditoría de TI basado en el riesgo

resumen ejecutivo es una descripción de alto nivel que explica "en pocas palabras" la postura de

seguridad de la organización y los próximos pasos necesarios para fortalecer sus controles.

5. Fase de Seguimiento

En la fase de seguimiento, el equipo de auditoría corresponde y trabaja con la empresa para

garantizar los controles se implementan. En un entorno con recursos limitados, la empresa puede

carecer de la habilidad establece la adopción de ciertos mecanismos de control. Por lo tanto, los

auditores pueden proporcionar información sobre la aplicación de diversos controles, y

continuarán el seguimiento para garantizar su aplicación. Es importante que el equipo de

auditoría para tener un proceso para el seguimiento de las implementaciones de mitigación o

corrección vencidas o próximas. El equipo debe crear un sistema de seguimiento que contiene un

panel de control fácil de seguir que ofrece el estado de las implementaciones y sus fechas de

vencimiento.

Página 25 de 31
 Auditoría de TI basado en el riesgo

Análisis de los datos

estudio de caso hipotético --- La implementación de una metodología de auditoría basado en el

riesgo

Sobre la base de la introducción y demostración anterior, entendemos lo que basado en los

riesgos de auditoría de TI en la evaluación de riesgos se trata, de dejar que un hipotético

escenario que trae todo junto. En este caso, caminamos a través de en un nivel alto. Esta empresa

acepta tarjetas de crédito dentro de sus 100 tiendas en Estados Unidos, ya través de comercio

electrónico utilizando su tienda en línea.

Compañía identificó todos los activos y los clasifica por tipo, valor y complejidad. Se utilizó la

tabla de clasificación de riesgo por debajo de clasificar el riesgo utilizando los criterios

enumerados.

Los Los
controles hallazgos Las Los cambios
Entidad de Complejida
existentes y de preocupacion de personal / Riesg
Auditoría d
Cumplimien auditoría es de gestión Sistema o
potencial (1,75)
to anteriores (1,5) (1,0)
(2,0) (1,5)
Plan de
Bajo Moderar Bajo Bajo Bajo
contingenci 9.5
(2,0) (3,5) (1,5) (1,5) (1,0)
a
Servidores Moderar Alto Alto Alto Alto
21.25
web (4,0) (5,25) (4.5) (4.5) (3.0)
Aplicaciones Alto Alto Alto Alto Alto
23.25
web (6,0) (5,25) (4.5) (4.5) (3.0)
Sistema de
Moderar Bajo Bajo Bajo Bajo
bases de 9.75
(4,0) (2,0) (1,5) (1,5) (1,0)
datos
El
Moderar Moderar Bajo Bajo Bajo
cumplimient 11.5
(4,0) (3,5) (1,5) (1,5) (1,0)
o PCI DSS
Cumplimien
Moderar Moderar Moderar Bajo Bajo
to de la 13
(4,0) (3,5) (3,0) (1,5) (1,0)
norma ISO

Página 26 de 31
 Auditoría de TI basado en el riesgo

27001
Compañía
de
Bajo Bajo Bajo Bajo Bajo
cumplimient 9.25
(2,0) (2,0) (1,5) (1,5) (1,0)
o de
políticas
Los Alto Alto Bajo Bajo Moderar
15.25
cortafuegos (6,0) (5.25) (1,5) (1,5) (2,0)
Moderar Moderar Bajo Bajo Bajo
routers 11.5
(4,0) (3,5) (1,5) (1,5) (1,0)
Clasificación de preocupación: preocupación Baja (1); preocupación moderada (2); Alta
preocupación (3)
Clasificación de riesgo: Top 25% = Alto Riesgo (auditoría 100% de entidades); Siguiente 50% =
Moderado riesgo (auditoría 50% de entidades); Bottom 10% = Bajo Riesgo (auditoría 10% de
entidades)

Después de la clasificación de unas pocas entidades de auditoría dentro de su universo de

auditoría, la empresa encontró que sus principales preocupaciones son los firewalls corporativos

y el cumplimiento de PCI DSS. En concreto, se refiere a la exigencia de "Construir y mantener

un entorno seguro" PCI DSS, ya que recientemente perdió a su administrador del cortafuegos

primario. La compañía clasifica sus cortafuegos como confidencial (que requieren controles

estrictos para evitar el acceso no autorizado), con un nivel de criticidad 1 (que requiere un alto

nivel de protección para el sostenimiento vital de las operaciones comerciales). Dentro de su plan

de auditoría, el equipo auditor decide centrarse mucho esfuerzo hacia sus firewalls corporativos y

el requisito de PCI DSS anteriormente.

Durante la fase de preparación, los auditores encuentran que el ex administrador del servidor de

seguridad raramente documentado cambios firewall, no se había actualizado la topología de red

en varios meses, y dejó sin entrenamiento personal subalterno. Con el fin de proteger los datos de

comercio electrónico y evitar sanciones reglamentarias, el equipo de auditoría se compromete a

realizar una limpieza completa del conjunto de reglas del cortafuegos cada uno. Se pretende

Página 27 de 31
 Auditoría de TI basado en el riesgo

evaluar el ingreso y filtrado de salida, incluyendo la documentación de cada regla, y todas las

permitidas y bloqueadas puertos, protocolos y servicios.

Durante la fase de evaluación, el equipo de auditoría considera que los cortafuegos utilizados

dentro de la empresa están en su punto final de su vida útil y cerca de su final de apoyo por parte

del vendedor. Esto fue sólo una de las muchas conclusiones, pero el más significativo que

requiere atención inmediata. El equipo de auditoría trabajó con la administración para determinar

el valor de los activos de firewall y los costos necesarios para actualizarlos. En la fase de

mitigación, el grupo determina que el riesgo de no sustitución de los cortafuegos corporativos es

demasiado costoso.

Compañía valuó sus servidores de seguridad de empresa en $ 1.500.000. Sin embargo, las

circunstancias "al final de su apoyo" aumentan los cálculos de amenazas y vulnerabilidad a 0,4 y

0,7, respectivamente, por lo que el nivel de riesgo $ 420.000. Esto se debió a un aumento de la

amenaza (pérdida y proyectada tasa anual de ocurrencia) una vez que el soporte del proveedor se

ha ido, y un aumento en la deficiencia vez que se pierde el soporte del proveedor. La Compañía

establece un presupuesto de $ 400,000 para cubrir los contratos de mantenimiento, formación,

pruebas y despliegue del nuevo producto de firewall. Posteriormente, el grupo decide invertir un

adicional de $ 20.000 a contratar a una empresa externa para probar y validar la efectividad de

sus controles.

En la fase de información, el equipo de auditoría resume las preocupaciones de cortafuegos

corporativo y PCI DSS con el equipo de gestión. Cubren los próximos pasos necesarios para

comenzar las mejoras de firewall y el seguimiento de fechas clave. Para proporcionar puntos

positivos, informan algunas de las deficiencias en la arquitectura de servidor de seguridad

existente que los administradores eran capaces de corregir en el acto. Un área en particular era la

Página 28 de 31
 Auditoría de TI basado en el riesgo

regla de "denegación predeterminada" en el cortafuegos. Además, se cubrió otras áreas

encontradas durante la auditoría, incluyendo el uso de un servidor de autenticación de

dispositivos de la infraestructura y los cambios en el plan de contingencia.

Página 29 de 31
 Auditoría de TI basado en el riesgo

conclusiones

Este documento pone de relieve las áreas centrales de una auditoría basada en el riesgo aplicada

para la gestión de riesgos de TI y evaluación. Desde el proceso de clasificación de evaluación de

riesgos y el riesgo, para evaluar y documentar los resultados, es importante adoptar un enfoque

basado en el riesgo enfocado en capacitar a los objetivos de negocio. Es importante que el equipo

de auditoría a ser conscientes de la cantidad de estimación utilizado en el proceso de

clasificación de riesgos de TI. Los auditores de TI deben ser realistas en sus análisis de amenazas

y riesgos en el entorno de TI, y el uso de los números medibles cuando sea posible. El uso de

este enfoque sobre una base regular permite a las organizaciones para lograr la seguridad TI de la

empresa. Lo más importante, esta evaluación eficaz del riesgo Produce una visión hacia el

futuro, no sólo permite a las organizaciones para evitar los riesgos de TI, sino que proporciona

una mayor y más significativo claridad en torno a los riesgos de TI que hacen cara. Armado con

este conocimiento y perspectiva, las organizaciones están mucho mejor posicionados para tomar

el derecho de los riesgos de TI, y pueden manejar mejor cuando lo hacen. A la larga, las

organizaciones pueden cambiar de posición continuamente a sí mismos para aprovechar las

oportunidades a largo plazo son más propensos a superar sus objetivos de negocio, y esta

capacidad se llevará al éxito en el entorno empresarial en constante cambio de hoy duradera.

Página 30 de 31
 Auditoría de TI basado en el riesgo

referencias

1. Comité de Organizaciones Patrocinadoras, Marco Gestor de Riesgo Empresarial

Integrada, www.coso.org

2. Prácticas de Control de COBIT de ISACA: Orientación para alcanzar los objetivos de

control para Gobierno de TI con éxito, 2ª edición, publicada en 2007

3. Gestión de Riesgo de auditoría / Programa de Aseguramiento, ISACA, 2012

4. Disponibilidad Evaluación de Riesgos - Un enfoque cuantitativo, Hariharan, ISACA

Diario vol 1, 2010

5. Riesgos de TI: Basado en COBIT Objetivos y Principios, Fischer, Urs; ISACA, Journal

vol. 4, 2009

6. Lo que todo auditor de TI debe saber sobre la auditoría de seguridad de la información,

Singleton, Tommie W .; ISACA, Journal vol. 2, 2007

7. Fundamentos de auditoría de TI: Lo que todo auditor de TI debe saber sobre el riesgo en

evaluación, Tommie W. Singleton, ISACA Diario vol. 6, 2009

8. Guía de aseguramiento de TI: El uso de COBIT para el control de buena práctica, el

Gobierno de TI Institute (ITGITM), www.itgi.org

9. Una guía práctica para arriesgar evaluación- cómo los principios basados en la evaluación

de riesgos permite a las organizaciones a tomar los riesgos correctos,

PricewaterhouseCoopers, 2008

Página 31 de 31