Documentos de Académico
Documentos de Profesional
Documentos de Cultura
INFORMÁTICA
1
COSO ES UNA ESTRUCTURA (Framework)
2
3
COSO EN LA ERA CIBERNÉTICA
Ir a…
7
8
9
EVOLUCIÓN DE NEGOCIOS-ERA CYBER
13
MAS…
En las últimas dos
décadas, la TI ha
transformado
radicalmente el
funcionamiento de las
empresas hasta el
punto donde existen
empresas en un mundo
principalmente
impulsado cyber-
espacio. Pero, que
generan ciertos riesgos.
14
Los pedidos de los
clientes ahora se
procesan vía Internet
con poca o ninguna
intervención
humana. Los
procesos de negocio
a menudo se
subcontratan a
proveedores de
servicios, que estén
habilitados por redes
15
interconectadas.
Más y más personal de las empresas
trabajan de forma remota o desde
casa, con poca necesidad de entrar
en la oficina.
Se realiza un seguimiento de
inventario en los almacenes
mediante el uso de identificación por
radiofrecuencia (RFID) y casi todos
los bancos ofrecen banca por
Internet a los consumidores.
16
Dado que las empresas y la tecnología han
evolucionado, también lo ha hecho el Marco de
2013. Uno de los conductores fundamentales
detrás de la actualización y publicación del Marco
de 2013 fue la necesidad de abordar cómo las
organizaciones utilizan y dependen de la
evolución de la tecnología con fines de control
interno.
17
El Marco de 2013 ha mejorado en muchos
aspectos e incorpora cómo las organizaciones
deben gestionar la innovación de TI teniendo en
cuenta:
✓ La globalización de los mercados y las operaciones;
✓ Mayor complejidad de los procesos de negocio;
✓ Las exigencias y complejidades en las leyes, normas,
procedimientos y reglamentos;
✓ El uso de, y la dependencia de tecnologías en
evolución; y
✓ Las expectativas relativas a la prevención y detección
del fraude.
18
Está claro que Internet fue diseñado
principalmente para el intercambio de
información. Pero, no lo protege.
En un día cualquiera, hay numerosos informes de
prensa sobre incidentes cibernéticos
significativos. Mientras que los ataques
cibernéticos en ciertas industrias han dominado la
cobertura en las noticias, todas las industrias son
susceptibles a los ataques cibernéticos
dependiendo de los motivos del atacante
cibernético
19
20
Las empresas operan en una economía global.
Los datos son a menudo compartidos por
empresas y la dependencia de una infraestructura
que no está bajo el control. Cuando surge un
problema, la compañía a menudo se hace
responsable de las infracciones de tecnología
fuera de su perímetro. Como las empresas siguen
para tomar ventaja de las nuevas tecnologías
para llevar a cabo sus operaciones, los atacantes
cibernéticos se aprovechan de las nuevas
vulnerabilidades que permiten a los sistemas de
información y controles para ser explotados. 21
Mientras que las empresas tienen cuidado al
compartir información, tanto interna como
externamente, para proteger sus operaciones de
negocio.
Los atacantes cibernéticos tienen el lujo de
operar en el extremo opuesto del espectro. Ellos
comparten información abiertamente y sin límites,
sin temor a repercusiones legales, a menudo
operan con una gran cantidad de anonimato.
Atacantes aprovechan la tecnología cibernética
para atacar desde prácticamente cualquier lugar y
perforar la seguridad de los datos. 22
23
La protección de todos los datos no será posible,
sin un plan. Porque los procesos y tecnología de
una organización seguirán evolucionando para
apoyar sus operaciones. Cada evolución crea una
oportunidad para la exposición. Además, los
atacantes cibernéticos siguen evolucionando, la
búsqueda de nuevas formas de explotar
debilidades. Como resultado de ello:
La realidad es que el riesgo cibernético
no es algo que se puede evitar; en
cambio, debe ser gestionado. 24
25
26
27
28
29
El uso de un lente de qué datos es
más importante para una
organización, la gerencia debe
invertir en los controles de
seguridad, costo justificado para
proteger sus activos más
importantes.
Mediante la adopción de un
programa a ser seguro, vigilante, y
resistente, las organizaciones
pueden tener más confianza en su
capacidad para aprovechar el valor
de sus inversiones estratégicas. 30
COMPONENTES DE CONTROL INTERNO
intelectual;
✓ Delincuentes organizados: Los
autores que utilizan herramientas
sofisticadas para robar dinero o
información privada y sensible acerca
de los consumidores de una entidad
(por ejemplo, el robo de identidad).
✓ Los terroristas: Individuos que
buscan utilizar el Internet para lanzar
ataques cibernéticos contra
infraestructuras críticas, incluidas las
instituciones financieras. 40
✓ Hacktivistas: Personas o grupos que quieren
hacer una declaración social o política por el
robo o la publicación de información sensible
de la organización;
✓ Insiders: Personas de confianza dentro de la
organización que vende y comparte la
información sensible de la organización.
41
Los resultados de la evaluación del riesgo
conducen a la asignación de recursos de la
entidad en contra de las actividades de control
que previenen, detectan y gestionan los riesgos
cibernéticos.
Las inversiones también deben ser dirigidas al
proceso de evaluación del riesgo en sí. Una
organización tiene recursos finitos y sus
decisiones de inversión en las actividades de
control debe ser efectuado a la financiación de los
SI que son los más críticos para la entidad.
42
La evaluación de riesgos cibernéticos debe
comenzar primero, por entender de que los SI
son valiosos para la organización. El valor debe
medirse contra el posible impacto de los objetivos
de la entidad.
Principio 6
La organización especifica objetivos con claridad suficiente
para permitir la identificación y evaluación de los riesgos
relacionados con los objetivos.
43
La asignación de un valor a los SI requiere de un
alto grado de colaboración entre las partes
interesadas de negocios y de TI. Debido a que las
organizaciones no son capaces de actuar sobre
todos los riesgos, dado el escaso tiempo, el
presupuesto y los recursos disponibles, la gestión
también deben determinar los niveles de
tolerancia al riesgo aceptables para la
organización y centrar sus esfuerzos para
proteger los SI más críticos.
44
45
Como resultado de aplicar el Principio 6, una
organización debe tener una clara comprensión
de los sistemas críticos para el logro de sus
objetivos de información. Aplicando el principio 7
y el Principio 8 tomar la evaluación del riesgo más
profundo y evaluar la gravedad y la probabilidad
de impactos de riesgo cibernético. Cuando es
conducida por la alta dirección, a través de la
colaboración con las empresas y de TI
interesados, una organización está en condiciones
de evaluar los riesgos que podrían afectar el logro
de sus objetivos a través de la entidad.
46
Para ser eficaz en el proceso de evaluación del
riesgo, las personas que están involucradas
deben tener una comprensión del perfil de riesgo
cibernético de la organización. Esto implica la
comprensión de que los SI son valiosos para los
autores de los ataques cibernéticos, y la
comprensión de cómo es probable que ocurran
estos ataques. Los ataques más costosos tienden
a ser los que están muy dirigidos a una
organización por razones específicas.
47
Independientemente de sus motivos, los
atacantes cibernéticos son implacables y
sofisticados. Ellos realizan ataques a través del
tiempo por la recopilación de información que
exponer las debilidades en los SI y los controles
internos. A través de una cuidadosa evaluación de
los motivos y métodos de ataque probables y las
técnicas, herramientas utilizadas.
48
La organización puede anticipar mejor lo que
podría ocurrir y estar en condiciones de diseñar
controles que son muy eficaces para interrumpir
potenciales ataques cibernéticos.
49
Las evaluaciones de riesgos cibernéticos son
generalmente el reflejo de la situación actual de
la organización, el proceso debe ser a la vez
dinámico e iterativo y considerar los cambios de
amenazas internas y externas que podrían
desencadenar la necesidad de cambiar la forma
de gestionar sus riesgos cibernéticos.
Innovaciones comerciales y tecnológicas son
adoptadas por las organizaciones en su búsqueda
para el crecimiento, la innovación y la
optimización de costes.
50
Sin embargo, estas innovaciones también crean
exposición a nuevos riesgos cibernéticos. Por
ejemplo, la adopción continua de tecnologías de
medios sociales Web, móvil, nube, y se ha
incrementado la posibilidad de explotación por
parte de los autores de los ataques cibernéticos.
Del mismo modo, la subcontratación, la
deslocalización, y la contratación de terceros han
expuesto las organizaciones a las vulnerabilidades
cibernéticas potenciales.
51
La evaluación de los cambios que podrían tener
un impacto en el sistema de control interno debe
incluir consideraciones sobre los cambios en el
personal. Rotación de personal en los niveles
operacionales de la organización puede tener un
impacto significativo en la capacidad de la
organización para llevar a cabo eficazmente sus
responsabilidades de control que se han diseñado
para minimizar los impactos potenciales de los
ataques cibernéticos.
52
Las evaluaciones de riesgo deben actualizarse de
forma continua para proteger sus SI más críticos.
Como la información se genera a partir del
monitoreo vigilante del panorama de las
amenazas cambiantes y el proceso de evaluación
de riesgos, altos ejecutivos y otros
interesados deben compartir y discutir esta
información para tomar decisiones informadas
sobre cómo proteger mejor a la organización
contra la exposición a los riesgos cibernéticos.
53
ACTIVIDADES DE CONTROL
R C Sobre C R Riesgo
remanente
I O control
O I
E N R N E C
T I T O
S E S N
R R T
G O
S
O G R
G O
O L O L O L
62
METODOLOGIA DE GESTIÓN DE RIEGOS: Magerit
63
64
65
INFORMACIÓN Y COMUNICACIÓN
66
REQUISITOS DE INFORMACIÓN
A todo el personal….
Ser seguro, vigilante, y resistente es una
responsabilidad de la organización, donde cada
individuo desempeña un papel en la protección
de los SI. Mientras que cierto personal dentro de
la organización tendrán funciones explícitas para
la gestión de riesgos cibernéticos y los controles,
cada persona dentro de la organización debe
estar alerta cuando se trata de proteger los SI.
Un plan de comunicación debe ser desarrollado y
ejecutado para elevar la conciencia sobre el
personal acerca de los riesgos cibernéticos y76
controles.
La comunicación puede ayudar a fortalecer lo que
a menudo puede ser el eslabón más débil del
control interno - personas - debido a la naturaleza
humana.
Piense en las consecuencias de la curiosidad
humana:
¿Qué hacen las personas cuando reciben un
correo electrónico de lo que se piensa que es
un compañero de trabajo, cliente, proveedor u
otro socio de negocios de confianza?
77
La comunicación puede ayudar a fortalecer lo que
a menudo puede ser el eslabón más débil del
control interno - personas - debido a la naturaleza
humana.
Piense en las consecuencias de la curiosidad
humana:
¿Qué hacen las personas cuando reciben un
correo electrónico de lo que se piensa que es
un compañero de trabajo, cliente, proveedor u
otro socio de negocios de confianza?
78
CLAVES DE CONTROL Y SEGUIMIENTO
84
El gobierno de TI. Funciones de auditoría
interna pueden incluir la evaluación de parte de la
alta gerencia de la organización; la realización de
auditorías periódicas para determinar la
alineación de la función de TI con las prioridades
estratégicas; y la revisión de la eficacia de TI en
la gestión del rendimiento de los recursos.
85
Servicios de TI externalizados. Los auditores
internos pueden participar al principio del ciclo de
outsourcing, al asegurar que el contrato inicial
aborda temas importantes, incluyendo la
supervisión, seguimiento, auditoría y
seguridad. La auditoría interna también se puede
preguntar cómo se vigila el cumplimiento del
contrato.
86
Uso de los medios sociales. Funciones de
auditoría interna pueden incluir jugar un papel de
consultoría como las organizaciones a definir,
comunicar, supervisar y hacer cumplir un medio
de comunicación. Una auditoría de los medios de
comunicación social puede ser incluido en el plan
anual de auditoría interna.
87
La informática móvil. Casi la mitad de los
encuestados realizan poca o ninguna seguridad
para el uso de los dispositivos móviles. Auditoría
interna puede llevar a cabo una auditoría del
proceso de inventario de los dispositivos móviles,
lleve a cabo una auditoría de cómo se gestionan
los dispositivos perdidos o robados, y verifique
que la información sensible está encriptada o no
almacenados en los dispositivos móviles.
88
Habilidades de TI entre los
auditores internos. Muchos departamentos de
auditoría interna se esfuerzan por desarrollar y
mantener las habilidades necesarias para auditar
TI. La comprensión de la tecnología utilizada en
la organización y la identificación de la falta de
capacidades puede ayudar a desarrollar la
auditoría interna y/o subcontratar estas
habilidades.
89
Las tecnologías emergentes. La auditoría
interna puede proporcionar orientación sobre los
requisitos de riesgo y control cuando se están
evaluando nuevas tecnologías.
Junta y conocimiento de la tecnología del
comité de auditoría. Experiencia en TI limitada
en un consejo de administración puede plantear
problemas de gobernanza. La auditoría interna
puede ser el conducto principal para traer
conciencia tecnología al comité de la junta y la
auditoría. 90
REFERENCIAS
91