AUDITORÍA

INFORMÁTICA

1
COSO ES UNA ESTRUCTURA (Framework)

TODO UNIDO E INTEGRADO

2
3
 COSO EN LA ERA CIBERNÉTICA

El Comité de Organizaciones Patrocinadoras de la

Comisión Treadway (COSO) ha lanzado COSO en
la era cibernética, un papel de liderazgo de
pensamiento que proporciona orientación sobre
cómo el Marco de Control Interno Integrado
(2013) y el Marco de Gestión Integrada de
Riesgos Empresariales (2004) puede ser de ayuda
eficaz y eficiente al evaluar y gestionar los riesgos
cibernéticos.
4
La gestión de riesgo cibernético en la era de la
tecnología es un factor clave para el control de
los SI;
COSO puede ayudar a gestionar los riesgos
y ejecutar controles cibernéticos;
No importa cuán segura pensemos que esté
la información crítica de la empresa, los
ciber-atacantes encontraran la forma de
perforar la seguridad sin importarles
problemas legales.
5
6
 ESTRUCTURA DEL MARCO COSO 2013

Ir a…
7
8
9
 EVOLUCIÓN DE NEGOCIOS-ERA CYBER

Las organizaciones consideran la forma de

abordar los riesgos cambiantes asociados a la
seguridad cibernética, o bien el COSO 2013 o el
Marco Integrado de Gestión de Riesgo
Empresarial (2004) que proporcionan un enfoque
para gestionar los riesgos.
De hecho, ambos marcos proporcionan
estructuras que conduzcan por caminos similares
de abordar el riesgo cibernético a través de la
lente de COSO.
10
Dado que las empresas se han centrado en la
aplicación del Marco de 2013, aprovechamos el
Marco de 2013 para demostrar cómo COSO
puede ayudar a manejar los riesgos cibernéticos y
controles.
En base a cada uno de los 17 principios de COSO
2013 con un zoom en lo cibernético; el riesgo
cibernético no puede evitarse pero si
administrarse.
11
En 1992, cuando el original COSO I fue lanzado, las
empresas operaban en un entorno muy diferente.
Por ejemplo:
✓ Hubo menos de 14 millones de usuarios de
Internet en todo el mundo en 1992;
✓ Microsoft Internet Explorer 0.4 no existía
✓ Algunos de los teléfonos celulares más populares
fueron "los teléfonos de bolsa."
✓ Teléfono y fax eran las formas predominantes.
12
El número de usuarios de Internet en el mundo crece
un 9,1% y alcanza los 4.388 millones.

13
MAS…
En las últimas dos
décadas, la TI ha
transformado
radicalmente el
funcionamiento de las
empresas hasta el
punto donde existen
empresas en un mundo
principalmente
impulsado cyber-
espacio. Pero, que
generan ciertos riesgos.
14
Los pedidos de los
clientes ahora se
procesan vía Internet
con poca o ninguna
intervención
humana. Los
procesos de negocio
a menudo se
subcontratan a
proveedores de
servicios, que estén
habilitados por redes
15
interconectadas.
Más y más personal de las empresas
trabajan de forma remota o desde
casa, con poca necesidad de entrar
en la oficina.
Se realiza un seguimiento de
inventario en los almacenes
mediante el uso de identificación por
radiofrecuencia (RFID) y casi todos
los bancos ofrecen banca por
Internet a los consumidores.
16
Dado que las empresas y la tecnología han
evolucionado, también lo ha hecho el Marco de
2013. Uno de los conductores fundamentales
detrás de la actualización y publicación del Marco
de 2013 fue la necesidad de abordar cómo las
organizaciones utilizan y dependen de la
evolución de la tecnología con fines de control
interno.

17
El Marco de 2013 ha mejorado en muchos
aspectos e incorpora cómo las organizaciones
deben gestionar la innovación de TI teniendo en
cuenta:
✓ La globalización de los mercados y las operaciones;
✓ Mayor complejidad de los procesos de negocio;
✓ Las exigencias y complejidades en las leyes, normas,
procedimientos y reglamentos;
✓ El uso de, y la dependencia de tecnologías en
evolución; y
✓ Las expectativas relativas a la prevención y detección
del fraude.
18
Está claro que Internet fue diseñado
principalmente para el intercambio de
información. Pero, no lo protege.
En un día cualquiera, hay numerosos informes de
prensa sobre incidentes cibernéticos
significativos. Mientras que los ataques
cibernéticos en ciertas industrias han dominado la
cobertura en las noticias, todas las industrias son
susceptibles a los ataques cibernéticos
dependiendo de los motivos del atacante
cibernético
19
20
Las empresas operan en una economía global.
Los datos son a menudo compartidos por
empresas y la dependencia de una infraestructura
que no está bajo el control. Cuando surge un
problema, la compañía a menudo se hace
responsable de las infracciones de tecnología
fuera de su perímetro. Como las empresas siguen
para tomar ventaja de las nuevas tecnologías
para llevar a cabo sus operaciones, los atacantes
cibernéticos se aprovechan de las nuevas
vulnerabilidades que permiten a los sistemas de
información y controles para ser explotados. 21
Mientras que las empresas tienen cuidado al
compartir información, tanto interna como
externamente, para proteger sus operaciones de
negocio.
Los atacantes cibernéticos tienen el lujo de
operar en el extremo opuesto del espectro. Ellos
comparten información abiertamente y sin límites,
sin temor a repercusiones legales, a menudo
operan con una gran cantidad de anonimato.
Atacantes aprovechan la tecnología cibernética
para atacar desde prácticamente cualquier lugar y
perforar la seguridad de los datos. 22
23
La protección de todos los datos no será posible,
sin un plan. Porque los procesos y tecnología de
una organización seguirán evolucionando para
apoyar sus operaciones. Cada evolución crea una
oportunidad para la exposición. Además, los
atacantes cibernéticos siguen evolucionando, la
búsqueda de nuevas formas de explotar
debilidades. Como resultado de ello:
La realidad es que el riesgo cibernético
no es algo que se puede evitar; en
cambio, debe ser gestionado. 24
25
26
27
28
29
El uso de un lente de qué datos es
más importante para una
organización, la gerencia debe
invertir en los controles de
seguridad, costo justificado para
proteger sus activos más
importantes.
Mediante la adopción de un
programa a ser seguro, vigilante, y
resistente, las organizaciones
pueden tener más confianza en su
capacidad para aprovechar el valor
de sus inversiones estratégicas. 30
 COMPONENTES DE CONTROL INTERNO

Con el fin de gestionar los riesgos cibernéticos de

una manera segura, las organizaciones pueden
ver su perfil cibernético a través de los
componentes del control interno.
Por ejemplo:
✓ Ambiente de Control ¿La junta directiva
entiende el perfil de riesgo cibernético de la
organización y son informados de cómo la
entidad está gestionando la evolución del
riesgo cibernético?
31
✓ Evaluación de Riesgos ¿Se están evaluado
sus operaciones, informes y objetivos
institucionales para entender cómo los ciber
riesgos podría afectar esos objetivos?
✓ Control de Actividades ¿La entidad ha
desarrollado actividades de control, incluidas
las actividades generales de control sobre TI,
que permiten a la organización gestionar el
riesgo cibernético dentro del nivel de tolerancia
aceptable para la organización?
¿Existen actividades de control a través 32de
políticas y procedimientos formalizados?
✓ Información y Comunicación ¿La
organización ha identificado los requisitos de
información para gestionar el control interno
sobre el riesgo cibernético?
¿La organización ha definido canales de
comunicación internos y externos y los
protocolos que soportan el funcionamiento del
control interno?
¿Cómo la organización administra y comunica
un evento de riesgo cibernético?
33
✓ Monitoreo de Actividades ¿Cómo la
organización selecciona, desarrolla y lleva a
cabo las evaluaciones para determinar el
diseño y la efectividad operativa de los
controles internos que se ocupan de los riesgos
cibernéticos?
¿Cuando se identifican deficiencias, cómo están
estas deficiencias comunicadas y priorizados
para la acción correctiva?
¿Qué está haciendo la organización para
monitorear su perfil de riesgo cibernético? 34
35
Cuando una empresa gestiona el riesgo
cibernético a través de un lente de COSO,
permite a los altos ejecutivos de comunicar mejor
sus objetivos de negocio, su definición de los SI
críticos, y los niveles de tolerancia al riesgo
relacionados. Esto permite, incluido el personal
de TI, para llevar a cabo un análisis detallado de
riesgo cibernético mediante la evaluación de los
SI que tienen más probabilidades de ser el blanco
de los atacantes, los métodos de ataque
probables, y los puntos de explotación
intencional.
36
 INTERRELACIÓN DE COMPONENTES

Cada componente está

interrelacionado con los
demás y el proceso de
evaluación de riesgos
debe ser continua y
dinámica e incorpora
información tanto de
fuentes internas y
externas.
37
 EVALUACIÓN DE RIESGOS - COSO

Cada organización se enfrenta a

una variedad de riesgos
cibernéticos de fuentes externas e
internas. Riesgos cibernéticos son
evaluados en contra de la
posibilidad de que un evento
ocurra y afectar negativamente a
la consecución de los objetivos de
la organización.
Actores maliciosos, especialmente
los motivados por las ganancias
financieras, tienden a operar sobre
una base de costo / beneficio. 38
Los autores de los ataques
cibernéticos, y las motivaciones
detrás de sus ataques, generalmente
se dividen en las siguientes
categorías:
✓ Los Estados-nación y espías:
naciones extranjeras hostiles que
buscan la propiedad intelectual y
secretos comerciales para obtener
una ventaja. Los que tratan de
robar secretos de seguridad
nacional o de la propiedad 39

intelectual;
✓ Delincuentes organizados: Los
autores que utilizan herramientas
sofisticadas para robar dinero o
información privada y sensible acerca
de los consumidores de una entidad
(por ejemplo, el robo de identidad).
✓ Los terroristas: Individuos que
buscan utilizar el Internet para lanzar
ataques cibernéticos contra
infraestructuras críticas, incluidas las
instituciones financieras. 40
✓ Hacktivistas: Personas o grupos que quieren
hacer una declaración social o política por el
robo o la publicación de información sensible
de la organización;
✓ Insiders: Personas de confianza dentro de la
organización que vende y comparte la
información sensible de la organización.

41
Los resultados de la evaluación del riesgo
conducen a la asignación de recursos de la
entidad en contra de las actividades de control
que previenen, detectan y gestionan los riesgos
cibernéticos.
Las inversiones también deben ser dirigidas al
proceso de evaluación del riesgo en sí. Una
organización tiene recursos finitos y sus
decisiones de inversión en las actividades de
control debe ser efectuado a la financiación de los
SI que son los más críticos para la entidad.
42
La evaluación de riesgos cibernéticos debe
comenzar primero, por entender de que los SI
son valiosos para la organización. El valor debe
medirse contra el posible impacto de los objetivos
de la entidad.

Principio 6
La organización especifica objetivos con claridad suficiente
para permitir la identificación y evaluación de los riesgos
relacionados con los objetivos.

43
La asignación de un valor a los SI requiere de un
alto grado de colaboración entre las partes
interesadas de negocios y de TI. Debido a que las
organizaciones no son capaces de actuar sobre
todos los riesgos, dado el escaso tiempo, el
presupuesto y los recursos disponibles, la gestión
también deben determinar los niveles de
tolerancia al riesgo aceptables para la
organización y centrar sus esfuerzos para
proteger los SI más críticos.
44
45
Como resultado de aplicar el Principio 6, una
organización debe tener una clara comprensión
de los sistemas críticos para el logro de sus
objetivos de información. Aplicando el principio 7
y el Principio 8 tomar la evaluación del riesgo más
profundo y evaluar la gravedad y la probabilidad
de impactos de riesgo cibernético. Cuando es
conducida por la alta dirección, a través de la
colaboración con las empresas y de TI
interesados, una organización está en condiciones
de evaluar los riesgos que podrían afectar el logro
de sus objetivos a través de la entidad.
46
Para ser eficaz en el proceso de evaluación del
riesgo, las personas que están involucradas
deben tener una comprensión del perfil de riesgo
cibernético de la organización. Esto implica la
comprensión de que los SI son valiosos para los
autores de los ataques cibernéticos, y la
comprensión de cómo es probable que ocurran
estos ataques. Los ataques más costosos tienden
a ser los que están muy dirigidos a una
organización por razones específicas.
47
Independientemente de sus motivos, los
atacantes cibernéticos son implacables y
sofisticados. Ellos realizan ataques a través del
tiempo por la recopilación de información que
exponer las debilidades en los SI y los controles
internos. A través de una cuidadosa evaluación de
los motivos y métodos de ataque probables y las
técnicas, herramientas utilizadas.

48
La organización puede anticipar mejor lo que
podría ocurrir y estar en condiciones de diseñar
controles que son muy eficaces para interrumpir
potenciales ataques cibernéticos.

49
Las evaluaciones de riesgos cibernéticos son
generalmente el reflejo de la situación actual de
la organización, el proceso debe ser a la vez
dinámico e iterativo y considerar los cambios de
amenazas internas y externas que podrían
desencadenar la necesidad de cambiar la forma
de gestionar sus riesgos cibernéticos.
Innovaciones comerciales y tecnológicas son
adoptadas por las organizaciones en su búsqueda
para el crecimiento, la innovación y la
optimización de costes.
50
Sin embargo, estas innovaciones también crean
exposición a nuevos riesgos cibernéticos. Por
ejemplo, la adopción continua de tecnologías de
medios sociales Web, móvil, nube, y se ha
incrementado la posibilidad de explotación por
parte de los autores de los ataques cibernéticos.
Del mismo modo, la subcontratación, la
deslocalización, y la contratación de terceros han
expuesto las organizaciones a las vulnerabilidades
cibernéticas potenciales.
51
La evaluación de los cambios que podrían tener
un impacto en el sistema de control interno debe
incluir consideraciones sobre los cambios en el
personal. Rotación de personal en los niveles
operacionales de la organización puede tener un
impacto significativo en la capacidad de la
organización para llevar a cabo eficazmente sus
responsabilidades de control que se han diseñado
para minimizar los impactos potenciales de los
ataques cibernéticos.
52
Las evaluaciones de riesgo deben actualizarse de
forma continua para proteger sus SI más críticos.
Como la información se genera a partir del
monitoreo vigilante del panorama de las
amenazas cambiantes y el proceso de evaluación
de riesgos, altos ejecutivos y otros
interesados ​deben compartir y discutir esta
información para tomar decisiones informadas
sobre cómo proteger mejor a la organización
contra la exposición a los riesgos cibernéticos.
53
 ACTIVIDADES DE CONTROL

Las actividades de control son las acciones

realizadas por los individuos dentro de la
organización que contribuya a asegurar las
directivas de la administración son seguidos con
el fin de mitigar los riesgos para el logro de los
objetivos. Estas actividades de control deben ser
documentados en las políticas para ayudar a
asegurar que el control de las actividades se
llevan a cabo constantemente en toda la
organización.
54
El control cubre El control excede el El control no cubre el
exactamente el riesgo riesgo riesgo

R C Sobre C R Riesgo
remanente
I O control
O I
E N R N E C
T I T O
S E S N
R R T
G O
S
O G R
G O
O L O L O L

Situación ideal Mitigar, eliminar,

transferir o asumir55
56
Lamentablemente, los riesgos cibernéticos no se
pueden evitar, pero estos riesgos se pueden
gestionar a través de un cuidadoso diseño y la
aplicación de controles adecuados.
Debido a que la exposición al riesgo cibernético
puede venir de muchos puntos de entrada, tanto
internos como externos a la organización, los
controles preventivos y de detección deben ser
desplegados para mitigar los riesgos cibernéticos.
57
Controles preventivos bien diseñadas pueden detener los
ataques de intrusos fuera del entorno de TI.
Controles preventivos adicionales también pueden ser
desplegados para actuar como obstáculos para frenar a
los intrusos.
Incluso cuando se producen las hazañas, los controles
pueden permitir una detección oportuna de las
infracciones, que permitirá tomar acciones correctivas y
evaluar los daños potenciales tan pronto como sea
posible. Después de las medidas correctivas, es
importante evaluar la causa fundamental para mejorar
sus controles para evitar o detectar hazañas similares
que puedan ocurrir en el futuro. 58
ACTIVIDADES DE CONTROL
Principio 10
La organización selecciona y desarrolla actividades de control que
contribuyan a la mitigación de los riesgos para el logro de los objetivos a
niveles aceptables.
Principio 11
La organización selecciona y desarrolla actividades de control generales
sobre la tecnología para apoyar el logro de los objetivos.
Principio 12
La organización implementa las actividades de control a través de
políticas que establecen lo que se espera y los procedimientos que
ponen las políticas en acción. 59
Si bien el Marco 2013 proporciona principios y
puntos de interés para las actividades de control.
Cada organización es manejada por diferentes
personas con habilidades y experiencias también
distintas. Al evaluar si la organización ha diseñado
e implementado los controles adecuados para
mitigar los riesgos cibernéticos, es útil para
comparar las actividades de control de las normas
y los marcos que están alineados con la gestión
de riesgos cibernéticos.
60
Es recomendable utilizar referencias y
antecedentes sobre las normas y marcos que
pueden proporcionar asistencia adicional a las
organizaciones en la evaluación de la suficiencia
de los controles con el fin de ser seguro,
vigilante, y resistente:
✓ COBIT;
✓ Itil;
✓ Magerit;
✓ ISO;
✓ NIST. 61
Por ejemplo, la filosofía principal de la norma ISO
27001 se basa en la gestión de riesgos: investigar
dónde están los riesgos y luego tratarlos
sistemáticamente.
Las medidas de seguridad (o controles) que se van a
implementar se presentan, por lo general, bajo la
forma de políticas, procedimientos e implementación
técnica (por ejemplo, software y equipos).

62
METODOLOGIA DE GESTIÓN DE RIEGOS: Magerit

63
64
65
 INFORMACIÓN Y COMUNICACIÓN

Generar y comunicar información relevante y de calidad

para gestionar los riesgos y controles cibernéticos. Los
principios:
1. Identificación, información de calidad;
2. Definir cómo la información debe ser
comunicada internamente;
3. Definir cómo la organización debe comunicar a
partes externas.
Si bien todos los puntos de enfoque debe ser
considerado al aplicar el Marco de 2013, ciertos puntos
de enfoque son de vital importancia en el contexto de los
riesgos cibernéticos y controles.

66
 REQUISITOS DE INFORMACIÓN

Los controles establecidos dentro de una

organización Dan lugar a los requisitos de
información de la organización. Esta información
podría ser en forma de informes, datos utilizados
en el análisis de control o diagramas de
descripción que demuestran una visión de alto
nivel de la estructura empresarial.
La identificación de las necesidades de
información crítica para el control interno y el
análisis de riesgos cibernéticos relacionados se
entreteje con el proceso de evaluación de riesgos.
67
En última instancia, la empresa necesita para
identificar sus SI, determinar su valor, y
protegerlos contra los ataques cibernéticos a
través de la implementación de las actividades de
control que sean acordes con el valor de los SI.
Para lograr este resultado final, los negocios y de
TI interesados ​deben llegar inicialmente a una
comprensión común de los más altos niveles de la
estructura de la empresa, incluyendo proveedores
externos de servicios, y los objetivos de negocio
relacionados y sub-objetivos que son importantes 68
para la organización.
Usando esta información como base, una
organización puede extender su evaluación de
riesgos para comprender mejor los SI que esten
expuestos, junto con los posibles atacantes y
métodos de ataque.
Una vez que la evaluación de riesgos se ha
completado, esta información es comunicada a la
organización para hacer frente a tales riesgos.
Es importante documentar formalmente los
requisitos de información (y el análisis de los
riesgos relacionados y su respuesta) 69
 PROCESAR DATOS RELEVANTES

Las empresas pueden recoger terabytes de datos

del registro relacionadas con sus SI.
Centros de operaciones de seguridad pueden
generar una enorme cantidad de alertas sobre
una base diaria, que van desde decenas de miles
de millones de eventos.
Para estar alerta con respecto a los riesgos
cibernéticos, se vuelve de vital importancia para
transformar datos en información significativa,
procesable que tiene integridad.
70
Identificar posibles eventos
cibernéticos es difícil para muchas
organizaciones. Con los volúmenes
masivos de datos que se generan a
partir de diversas fuentes, durante
días, semanas y meses, puede ser
extremadamente difícil.
Además, exploits cibernéticos no se
identifican a menudo a través de la
observación de un solo evento.
71
En el diseño de las actividades de control
cibernéticos, los cuales dependen de la
información, se debe considerar la calidad de la
información utilizada para ejecutar dichas
actividades de control.
Debe haber una clara responsabilidad y rendición
de cuentas por la calidad de la información que
se apoya en la adhesión a las expectativas de
gobierno de datos que protegen los datos y la
información de acceso o cambio no autorizado.
72
La capacidad de una organización
para generar y utilizar,
información de calidad relevante
para apoyar el funcionamiento
del control interno depende de la
gobernabilidad de datos.
La calidad de la información
mejora el sistema general de la
organización del control interno y
también ayuda a mejorar los
controles internos cibernéticos. 73
Atributos de Calidad de información Extractado del Marco 2013
✓ Accesibles: La información es fácil de obtener por los que la
necesitan. Los usuarios saben lo que está disponible y en qué
parte del SI, la información es accesible.
✓ Exactitud: Los SI incluyen controles de validación que se ocupan
de la exactitud e integridad, incluyendo los procedimientos de
resolución necesaria de excepción.
✓ Currectitud: Los datos recogidos proviene de fuentes actuales y se
reunieron en la frecuencia necesaria.
✓ Protegido: El acceso a la información sensible está restringido al
personal autorizado. Categorización de datos (por ejemplo, en
secreto, confidencial y superior) compatible con la protección de
la información.
✓ Información retenida está disponible durante un período
prolongado de tiempo para apoyar las investigaciones e
74
inspecciones por partes externas.
✓ Suficiente: Datos extraños se elimina para evitar la ineficiencia,
mal uso o mala interpretación.
✓ Oportuna: La información está disponible en el SI cuando sea
necesario. Información oportuna ayuda con la identificación
temprana de eventos, tendencias y cuestiones.
✓ Válido: La información se obtiene de fuentes autorizadas, se
reunieron de acuerdo con los procedimientos prescritos, y
representa los acontecimientos que ocurrieron.
✓ Verificable: La información es apoyada por la evidencia de la
fuente. Gestión establece las políticas de gestión de la información
con la clara responsabilidad y rendición de cuentas por la calidad
de la información.
Principio 14
La organización comunica internamente la información, incluidos los objetivos
y responsabilidades de control interno, necesarios para apoyar el
funcionamiento de los controles internos. 75
 COMUNICAR LA INF. DE CONTROL INT.

A todo el personal….
Ser seguro, vigilante, y resistente es una
responsabilidad de la organización, donde cada
individuo desempeña un papel en la protección
de los SI. Mientras que cierto personal dentro de
la organización tendrán funciones explícitas para
la gestión de riesgos cibernéticos y los controles,
cada persona dentro de la organización debe
estar alerta cuando se trata de proteger los SI.
Un plan de comunicación debe ser desarrollado y
ejecutado para elevar la conciencia sobre el
personal acerca de los riesgos cibernéticos y76
controles.
La comunicación puede ayudar a fortalecer lo que
a menudo puede ser el eslabón más débil del
control interno - personas - debido a la naturaleza
humana.
Piense en las consecuencias de la curiosidad
humana:
¿Qué hacen las personas cuando reciben un
correo electrónico de lo que se piensa que es
un compañero de trabajo, cliente, proveedor u
otro socio de negocios de confianza?
77
La comunicación puede ayudar a fortalecer lo que
a menudo puede ser el eslabón más débil del
control interno - personas - debido a la naturaleza
humana.
Piense en las consecuencias de la curiosidad
humana:
¿Qué hacen las personas cuando reciben un
correo electrónico de lo que se piensa que es
un compañero de trabajo, cliente, proveedor u
otro socio de negocios de confianza?
78
 CLAVES DE CONTROL Y SEGUIMIENTO

Las claves para el eficaz ambiente de control y

seguimiento de riesgos cibernéticos, incluyen:
✓ Tono Claro desde la parte superior con respecto a la
importancia de proteger los SI;
✓ Un programa de evaluaciones en curso y por separado para
evaluar el diseño, operación y eficacia de los controles que
están destinadas a reducir las exposiciones potenciales;
✓ Asistencia y participación de profesionales de riesgo
cibernéticos cualificado;
✓ Monitoreo apropiado de los riesgos cibernéticos y los controles
relacionados con los proveedores de servicios externalizados;
✓ La comunicación apropiada y oportuna de las deficiencias
cibernéticos.
79
 CLAVES DE CONTROL Y SEGUIMIENTO

La clave para utilizar el Marco de 2013 para

gestionar el riesgo cibernético es identificar los SI
de valor y llevar a cabo las evaluaciones de
riesgos para los activos.
Identificar sistemas críticos Identificar dónde están los SI Entender los riesgos asociados
a los SI.
• Identificar la información en • Identificar cómo se recopila • Analizar los inventarios de
base a los objetivos del negocio información, almacena y activos y flujos de datos para
utilizando como guía: distribuye la información identificar los riesgos de control
✓ Políticas Corporativas • Identificar sistemas y • Evaluar los probables autores
✓ Normas de la industria (por aplicaciones propietarios de los de los ataques cibernéticos y sus
ejemplo, ISO) activos de información métodos de ataque probables
✓ Requisitos Reglamentarios • Crear flujos de datos para • Identificar los controles para
✓ Objetivos de negocio entender cómo la información hacer frente a los riesgos
✓ Propiedad Intelectual se mueve dentro de los identificados en función del
✓ Finanzas procesos de negocio, sistemas y perfil de riesgo del proceso,
80
✓ Datos de Empleado, Cliente aplicaciones. sistema o aplicación.
 GESTIÓN DE PRINCIPALES RIESGOS

Muchos de los riesgos que enfrenta la

organización hoy en día están relacionados con TI
Como resultado de ello, los auditores internos
están prestando mucha atención a áreas como la
seguridad cibernética, la privacidad de datos y las
redes sociales. Estas áreas y otros relacionados
con la tecnología tienen el potencial de ofrecer
reveses devastadores para una empresa.
Auditoría interna puede ayudar a manejar 10
principales riesgos tecnológicos:
81
Ciberseguridad. Las actividades de auditoría
interna relacionados con la ciberseguridad,
puede incluir la realización de análisis de
vulnerabilidades y pruebas de penetración; la
verificación de que los ejercicios de simulación
relacionados con el plan de gestión de crisis de la
organización se llevan a cabo; y la realización de
una auditoría de la arquitectura de red para
determinar el cumplimiento de las políticas y
procedimientos de la red.
82
Seguridad de la información. Las
organizaciones están centrando ahora en una
defensa en capas de información crítica, en lugar
de una sola capa de protección contra el
perímetro de la red. Las actividades de auditoría
interna pueden incluir la realización de análisis de
vulnerabilidades de la red interna; revisar el
proceso de revisión de control de acceso; y el uso
de terceros para llevar a cabo ataques simulados
y los resultados de auditoría.
83
Proyectos de desarrollo de sistemas
de TI. La auditoría interna puede llevar a cabo
auditorías de cada aspecto del ciclo de vida de
desarrollo de sistemas; participar en auditorías de
proyectos con equipos de auditoría de
proveedores y de calidad; y llevar a cabo
auditorías de la metodología de gestión de
proyectos de la organización.

84
El gobierno de TI. Funciones de auditoría
interna pueden incluir la evaluación de parte de la
alta gerencia de la organización; la realización de
auditorías periódicas para determinar la
alineación de la función de TI con las prioridades
estratégicas; y la revisión de la eficacia de TI en
la gestión del rendimiento de los recursos.

85
Servicios de TI externalizados. Los auditores
internos pueden participar al principio del ciclo de
outsourcing, al asegurar que el contrato inicial
aborda temas importantes, incluyendo la
supervisión, seguimiento, auditoría y
seguridad. La auditoría interna también se puede
preguntar cómo se vigila el cumplimiento del
contrato.

86
Uso de los medios sociales. Funciones de
auditoría interna pueden incluir jugar un papel de
consultoría como las organizaciones a definir,
comunicar, supervisar y hacer cumplir un medio
de comunicación. Una auditoría de los medios de
comunicación social puede ser incluido en el plan
anual de auditoría interna.

87
La informática móvil. Casi la mitad de los
encuestados realizan poca o ninguna seguridad
para el uso de los dispositivos móviles. Auditoría
interna puede llevar a cabo una auditoría del
proceso de inventario de los dispositivos móviles,
lleve a cabo una auditoría de cómo se gestionan
los dispositivos perdidos o robados, y verifique
que la información sensible está encriptada o no
almacenados en los dispositivos móviles.
88
Habilidades de TI entre los
auditores internos. Muchos departamentos de
auditoría interna se esfuerzan por desarrollar y
mantener las habilidades necesarias para auditar
TI. La comprensión de la tecnología utilizada en
la organización y la identificación de la falta de
capacidades puede ayudar a desarrollar la
auditoría interna y/o subcontratar estas
habilidades.
89
Las tecnologías emergentes. La auditoría
interna puede proporcionar orientación sobre los
requisitos de riesgo y control cuando se están
evaluando nuevas tecnologías.
Junta y conocimiento de la tecnología del
comité de auditoría. Experiencia en TI limitada
en un consejo de administración puede plantear
problemas de gobernanza. La auditoría interna
puede ser el conducto principal para traer
conciencia tecnología al comité de la junta y la
auditoría. 90
 REFERENCIAS

Asociación de auditores externos. Chile

http://aechile.cl/category/gobcorporativo-coso/

COSO IN THE CYBER AGE

http://aechile.cl/wp-content/uploads/2015/01/COSO-in-the-
Cyber-Age_FULL_r11-11.pdf

91