Control Interno en Ti

Introducción e Importancia
Ing. Paul Ochoa A, MSIA, MBA, CISA, ISO 27001

Introducción
■ Los controles de TI no existen en forma aislada
■ Están sujetos a errores y a invalidaciones de gestión
■ Los controles tienen dos elementos significativos: la

automatización de los controles de negocio y del control de TI
■ Los controles de TI ayudan a la dirección y al gobierno del

negocio, a la vez que proporcionan controles generales y
técnicos sobre las infraestructuras de TI
Ing. Paúl Ochoa A, MSIA, MBA, CISA

Conceptos claves de controles
■ El aseguramiento debe ser proporcionado para los controles de TI
dentro del sistema global de control interno y debe ser continuo
y producir una pista de evidencia fiable y continua.
■ El aseguramiento del auditor es una evaluación independiente y

objetiva prioritaria. Se basa en el entendimiento, examen y
evaluación de los controles claves relacionados con los riesgos
que gestionan, así como la ejecución de pruebas suficientes para
asegurar que los controles se diseñan adecuadamente y
funcionan de forma efectiva y continuada.

Comprensión de los controles de TI
COSO define el control interno como: “Un proceso, efectuado

por el Consejo de Administración, la Dirección y el resto del
personal de una organización, diseñado para proporcionar un
grado de seguridad razonable en cuanto a la consecución de
objetivos dentro de las siguientes categorías:

Comprensión de los controles de TI
1. Efectividad y eficiencia de operaciones. (se centra en los
objetivos básicos de negocio de una entidad, incluyendo metas
de rendimiento, beneficios y salvaguarda de recursos,
afectados en gran medida por el uso de TI).
2. Fiabilidad de los informes financieros. (se relaciona con la
preparación y publicación de estados contables fiables. Los
sistemas de TI suelen producir tales informes y los controles
sobre estos sistemas juegan un papel importante a nivel del
control interno).
3. Cumplimiento de las leyes y regulaciones aplicables. (se ocupa
del cumplimiento de aquellas leyes y regulaciones a las cuales
la entidad está sujeta)”.

Clasificación de Controles
Se aplican a todos los Relacionados
componentes de con el ámbito de
sistemas, procesos y los sistemas de
datos. aplicación • Minimiza el impacto de una
amenaza
• Remediar problemas
• Identificar la causa de un
problema
Controles Correctivos
• Corregir los errores
Controles Detección
Controles Preventivos
Controles de Gobierno • Controles que detecten y
reporten que ha ocurrido un
error, una omisión o un acto
malicioso
Controles de Gestión
• Detectar problemas antes
de que surjan
Controles Técnicos • Impedir que ocurra un error,
una omisión, un acto
malicioso
Clasificación de Controles
Controles vinculados con el

Gobierno Corporativo
(Políticas)
Controles Correctivos
Controles que permitan
Controles Detección
mitigar y gestionar los
Controles Preventivos
Controles de Gobierno
riesgos(Normas, organización
y gestión, controles físicos y
ambientales)
Controles de Gestión
Controles específicos para las
tecnologías usadas dentro de
las infraestructuras de TI,
Controles Técnicos
controles de software,
desarrollo y de aplicación.

Controles de aplicaciones (Flujo
Transacciones)

Controles de aplicaciones (Tipos)
Controles de Entrada
Autorización de Entrada de Datos
Reporte y Manejo de Errores
Controles de Procesamiento
Lógica
Procedimientos de validación y edición de datos
Controles de Salida
Verificación de salida
Distribución
Retención y almacenamiento
Controles de Límite
Protección de información y controles de autorización
Segregación de funciones
Controles de Interfaces
Auditoría
Registros de Auditoría
Información
“La información es un activo que, como otros activos

importantes del negocio, tiene valor para una organización
y, por lo tanto, necesita ser protegido adecuadamente”
ISO 17799:2009

Tipos de Información
▪ Escrita/Impresa
▪ Electrónica
▪ Presentaciones
▪ Enviada por correo
▪ Verbal/Conversaciones

Ciclo de la Información
▪ La información puede ser:
– Creada
– Almacenada
– Procesada
– Transmitida
– Utilizada: Para propósitos correctos o

incorrectos
– Destruida, perdida, corrompida

Protección de la Información
La preservación de las propiedades de una información:
1. Confidencialidad
2. Integridad
3. Disponibilidad
Y otras son:
4. Autenticidad
5. Responsabilidad individual (Rendición de cuentas)
6. No-repudio
7. Confiabilidad

Principios de la Seguridad de la
Información
Confidencialidad, integridad y disponibilidad
Estados de información
Contramedidas
Principios de seguridad
El Principio de Confidencialidad
▪ La confidencialidad previene la divulgación de información

a las personas, los recursos y los procesos no autorizados.
▪ Los métodos utilizados para garantizar la confidencialidad

incluyen el cifrado de datos, la autenticación y el control de
acceso.

Principio de integridad de los datos
▪ La integridad es la precisión, uniformidad y confiabilidad

de los datos durante su ciclo de vida.
▪ Los métodos utilizados para garantizar la integridad de los

datos incluyen la función de hash, las comprobaciones de
validación de datos, las comprobaciones de consistencia
de los datos y los controles de acceso.

El principio de disponibilidad
▪ La disponibilidad de los datos es el principio que se
utiliza para describir la necesidad de mantener la
disponibilidad de los sistemas y servicios de información
en todo momento.
▪ Los métodos utilizados para garantizar la disponibilidad

incluyen la redundancia del sistema, las copias de
seguridad del sistema, mayor recuperabilidad del
sistema, mantenimiento del equipo, sistemas operativos
y software actualizados y planes para recuperarse
rápidamente de desastres no planificados.

Funciones de TI
Consejo de Administración u
órgano de gobierno
▪ Concienciar sobre temas claves de TI, como las políticas de
seguridad de la información y de TI, y los conceptos de riesgo
referentes a TI.
▪ Entender la infraestructura y los componentes estratégicos de
TI, así como conocer los proyectos claves de desarrollo y
adquisición de sistemas, y sobre cómo ellos respaldan e
impactan en la estrategia general, los objetivos y presupuestos
▪ Aprobar la estructura de clasificación de la información y de los
respectivos derechos de acceso.
▪ El consejo puede establecer diferentes comités según sea su
relación con la organización

Comité de auditoría
▪ Entender la gestión financiera (función de experto financiero)
y la dependencia de la organización en relación con TI para el
procesamiento y reporte de la información financiera.
▪ Asegurar que los temas de TI sean incluidos en el orden del
día de las reuniones del comité, especialmente el informe del
director de TI.
▪ Asegurar que los controles generales de TI y los controles de
los sistemas de aplicación y procesos involucrados en la
preparación de los estados contables sean evaluados y
probados adecuadamente.
▪ Supervisar la evaluación global de los controles de TI.

Comité de auditoría
▪ Revisar los aspectos de negocio y control en relación a los
nuevos desarrollos o adquisiciones de sistemas.
▪ Examinar los planes de auditoría (internos y externos) y
procurar asegurar que los aspectos de TI sean cubiertos
adecuadamente.
▪ Revisar los resultados de los trabajos de auditoría y
supervisar la solución de los temas presentados.
▪ Comprender los aspectos de TI que impacten en la
supervisión de cuestiones éticas

Comité de Dirección de TI
▪ Dirección General ... responsable de designarlo.
▪ Mecanismo para asegurar que las funciones y actividades de

SI, estén en armonía con misión y objetivos corporativos.
▪ Recomendable que el Presidente del Comité sea miembro

del Consejo de Administración, y que éste entienda los
riesgos y problemas de TI.

Principales funciones:
▪ Revisar planes largo y corto plazo acordes con objetivos
corporativos.
▪ Revisar/Aprobar adquisiciones importantes de Hw/Sw,
dentro de límites aprobados por Junta Directiva.
▪ Aprobar/Monitorear proyectos de alta relevancia, establecer
prioridades, aprobar normas y procedimientos.
▪ Monitorear desempeño de SI y reportar sus actividades a la
Junta Directiva
▪ Revisar y aprobar los planes de outsourcing (total o parcial).

▪ Servir de enlace entre Área de SI y usuarios.
▪ Monitorear situación de planes y proyectos anuales.
▪ Revisar qué recursos y asignación son adecuados en

función de tiempo, personal y equipos.
▪ Tomar decisiones sobre centralización vs descentralización

y asignación de responsabilidades.
▪ Soportar el desarrollo e implementación del programa de

administración de seguridad de la información.

Comité de Gestión de Riesgos
▪ Evaluar en qué medida la dirección ha establecido una

gestión de riesgo eficaz de la entidad en la organización.
▪ Estar al tanto y coincidir con la aceptación y tolerancia al
riesgo de la organización.
▪ Tener conciencia del impacto de los riesgos relacionados
con la TI.
▪ Revisar el conjunto de riesgos de la organización, incluidos
los riesgos de TI y contrastarlo con el riesgo asumido por la
organización.

Comité de Gestión de Riesgos
▪ Mantenerse informado sobre los riesgos de TI más

significativos y determinar si las respuestas de la
dirección a los cambios en los riesgos y amenazas es
apropiada.
▪ Supervisar y evaluar todas las actividades realizadas por
la dirección para minimizar todos los riesgos conocidos y
documentados.

Director de TI (CIO, en inglés)
▪ Entender los requerimientos del negocio que implican la necesidad
de implementar TI.
▪ Trabajar conjuntamente con los gerentes del negocio para:
1. Asegurar que la estrategia de TI esté alineada con la del
negocio.
2. Asegurar el cumplimiento (legislativo y normativo).
3. Aprovechar las mejoras de eficiencia en los procesos. Mitigar
los riesgos evaluados.
4. Diseñar, implementar y mantener un marco de control interno
para TI.
▪ Planificar, proveer y controlar los recursos de TI.
▪ Explorar, evaluar, seleccionar e implementar avances tecnológicos
(por ejemplo, las comunicaciones inalámbricas).

Director de TI (CIO, en inglés)
▪ Fomentar la formación del personal de TI con el fin de asegurar
que los niveles de conocimiento y calificación estén permanente
actualizados.
▪ Operar como custodio, al más alto nivel, de los sistemas / datos y
como propietario de los controles de TI.
▪ Medir el rendimiento operativo de TI en relación con el respaldo
que le proporciona a los objetivos del negocio; esto se realiza a
través de las siguientes acciones:
1. Establecer metas.
2. Evaluar los resultados
▪ Desarrollar las medidas necesarias para verificar y confirmar que
la TI presta los servicios y el respaldo esperados por usuarios y
clientes finales, así como por los organismos de control o los
auditores externos e internos
Director de Seguridad de la
Información (CISO, en inglés)
▪ Desarrolla e implementa la política de seguridad de la
información de manera coordinada con el director de
seguridad.
▪ Controla y coordina los recursos de seguridad de la
información, se asegura que se asignen adecuadamente
para alcanzar los objetivos de seguridad de la organización.
▪ Asegura la alineación de los objetivos de seguridad de la
información y de los objetivos de negocio.
▪ Gestiona los riesgos operativos de la información en toda la
organización.
▪ Supervisa la seguridad dentro de la organización de TI.

Director de Seguridad de la
Información (CISO, en inglés)
▪ Proporciona formación y toma de conciencia sobre los
asuntos relacionados con la seguridad de la información y
con nuevas “mejores prácticas”.
▪ Desarrolla políticas de usuarios finales para el uso de TI
conjuntamente con la función de Recursos Humanos.
▪ Coordina los trabajos de seguridad de la información con el
director de riesgos (CRO, en inglés) y el director de TI.
▪ Asesora al presidente, al director de riesgos, al director de
TI y al consejo sobre cuestiones relacionadas con los
riesgos de TI.
▪ Actúa como enlace principal del DEA cuando la auditoría
interna realiza auditorías relacionadas con los controles de
TI.
Estructura Organizacional de TI
CIO (Director
de TI)
Desarrollo Seguridad de
Aplicaciones DBA la Información
Operaciones
Nuevo Administración
Procesamiento
Mantenimiento de Mesa de Ayuda
desarrollo Infraestructura
de Datos

Gobierno de TI
Ing. Paul Ochoa A, MBA, MSIA, CISA, CHFI
¿Lo que Espera el Negocio de TI?
Cumplimiento de
Valor / Costo Regulaciones
Mantener los
sistemas Seguridad
ejecutandose
Administrar Alinear TI con

complejidad el negocio

Definiendo el Gobierno Empresarial de TI
El Gobierno Empresarial o Corporativo es un conjunto de

responsabilidades y prácticas ejercidas por el personal y la
dirección ejecutiva con el objetivo de:
▪ Proveer dirección estratégica.

▪ Asegurar que los objetivo son
alcanzados.
▪ Controlar que los riesgos son
manejados de manera
apropiada.
▪ Verificar que los recursos de la
empresa son usados con
responsabilidad.

El Gobierno de TI, definido por El ITGI
El Gobierno Empresarial de TI es:

▪ Una parte integral del gobierno corporativo y
consiste en la dirección, la estructura y los
procesos organizacionales que aseguran que
la Tecnología de la información corporativa
soporta la consecución de la estrategia de la
organización y sus objetivos.
▪ La responsabilidad del Gobierno

Empresarial de TI es de los
ejecutivos y el directorio de la
organización.

Gobierno de TI - Áreas
▪ La alineación estratégica se concentra en garantizar la
vinculación de los planes de negocio y de TI; definiendo,
manteniendo y validando la propuesta de valor de TI; y alineando
operación de TI con operaciones empresariales.
www.itgi.org
www.itgi.org
ADMINISTRACION
DE RECURSOS

▪ La entrega de valor se refiere a ejecutar la propuesta de valor a
través del ciclo de entrega, para asegurar que la TI entrega los
beneficios prometidos con respecto a la estrategia, concentración
y optimización de costos y para proporcionar valor intrínseco de
TI.
www.itgi.org
www.itgi.org
ADMINISTRACION
DE RECURSOS

▪ La Administración de riesgos requiere concienciación de riesgos por
parte de los oficiales corporativos, una comprensión clara del
apetito de riesgo de la empresa, comprensión de los requerimientos
de cumplimiento, transparencia de los riesgos significativos para la
empresa e integración de las responsabilidades de la gestión de
riesgos en la organización.
www.itgi.org
www.itgi.org
ADMINISTRACION
DE RECURSOS

▪ La Administración de recursos se refiere a la inversión óptima en
recursos de TI críticos y a la gestión apropiada de éstos: aplicaciones,
información, infraestructura y personas. Los asuntos clave se
relacionan con la optimización de conocimientos e infraestructura.
www.itgi.org
www.itgi.org
ADMINISTRACION
DE RECURSOS

• La medición de desempeño hace seguimiento y monitorea la
implementación de la estrategia, la finalización de proyectos, el uso de
recursos, el desempeño de procesos y la prestación de servicios,
utilizando, por ejemplo, cuadros de mando integrales que traducen la
estrategia en acciones para alcanzar metas medibles más allá de los
procesos de contabilidad convencionales.
www.itgi.org
www.itgi.org
ADMINISTRACION
DE RECURSOS

Componentes Gobierno de TI
Framework para Gobierno de TI
Métricas para Gobierno de TI Políticas Gobierno de TI
Mecanismos
Componentes
de Gobierno
Operaciones de TI
de TI
CISO
Infraestructura de TI
Procesos Estructuras
Comité de TI
x Área Organizacionales
Seguridad de TI
CIO
Portafolio de TI

Mecanismos
Incluye estándares, políticas y marcos implementados para dirigir,
monitorear y medir el desempeño de TI.
Procesos
Incluye todos los procesos de TI implementados para

proporcionar servicios a la organización (por ejemplo, gestión de
cambios, gestión de la seguridad de la información, desarrollo de
software y gestión de proyectos).
Estructuras Organizacionales
Incluye los roles necesarios y las relaciones de reporte para

permitir que TI satisfaga las necesidades de la organización,
mientras brinda la oportunidad de que los requisitos se traten a
través de una evaluación formal y priorización.

Evaluación Riesgos
Definición de Riesgos
El potencial que una amenaza determinada pueda explotar las

vulnerabilidades de un activo o grupo de activos causando
pérdida o daño a los activos.
Fuente: ISO/IEC PDTR 13335-1
La combinación de la
probabilidad y consecuencia de
un evento.
Fuente: Cobit 5 for Risk

Desarrollo de un Programa de
Administración de Riesgo
Para desarrollar un programa de administración dl riesgo:
▪ Se debe establecer el propósito del programa de

administración de riesgos.
▪ Asignar responsabilidades para el plan de administración

de riesgos.

Proceso de Administración del Riesgo
1. Identificar y clasificar los recursos de información o activos que necesitan
protección.
2. Evaluar las amenazas y vulnerabilidades y la probabilidad de ocurrencia.
3. Una vez que los elementos del riesgos han sido establecidos ellos son
combinados para formar una visión general de los riesgos.
4. Una vez que los riesgos han sido identificados, los controles existentes
pueden ser evaluados o nuevos controles se pueden diseñar para reducir
las vulnerabilidades a un nivel aceptable de riesgo.
5. El nivel de riesgo remanente, una vez que los controles han sido
aplicados, es llamado riesgo residual y puede ser usado por la Gerencia
para identificar áreas en las cuales mas controles son requeridos para
reducciones adicionales de riesgo.

Proceso de Administración del Riesgo
La administración de riesgos de TI necesita operar a múltiples niveles
incluyendo:
▪ Operacional – Los riesgos podrían comprometer la efectividad de

los sistemas de TI y la infraestructura de apoyo.
▪ Proyecto – La administración de riesgos necesita enfocarse en la

habilidad para comprender y gestionar proyectos complejos.
▪ Estratégico – Volver a enfocarse en los riesgos para

consideraciones tales como cuan bien alineada esta la capacidad
de las TI con las estrategias de negocios.

Tratamiento del Riesgo
Opciones disponibles para tratamiento:
▪ Reducción del riesgo
▪ Retención del riesgo (a veces usado el término

“aceptar” el riesgo)
▪ Evitar el riesgo
▪ Transferir el riesgo

Métodos de Análisis de Riesgos
▪ Cualitativo
▪ Semicuantitativo
▪ Cuantitativo
• Probabilidad y Expectativa
• Método de la Perdida Anual Esperada (ALE)

Análisis de Riesgos
Explota
AMENAZAS VULNERABILIDAD
Incrementa Incrementa
Protégé contra Afecta a
CONTROLES RIESGO Activos / Recursos
Satisfecho por
Indica Incrementa Sufre
¿NECESIDADES DE
SEGURIDAD? IMPACTOS

Riesgos Inherentes y Residual
Verificación Financiera del
Cliente
Alto
Monitoreo de situación Pérdidas

Pérdidas financiera del cliente por no
-Alta por no pago Pérdida
Disponibilidad pago de de datos
-Redundancia
de clientes Ajuste de línea de crédito clientes
otorgada
Impacto
Solicitud de
Medio
Garantías
Seguros
Pérdidas
Pérdidas
por no
por no
pago de
Bajo
pago de
clientes
clientes -Respaldos
-Standby
Database
Bajo Medio Alto

Probabilidad
Contenido de la ISO 27005

Matriz de Riesgos
Grupo Identificador Activo Aplicación Valor Confidencialidad Integridad Disponibilidad Riesgo
Información electrónica de Bienes A1 Baso de Datos de Clientes SI 2 2 2 4.75

A2 Base de Datos de Ventas SI 3 3 3 5.5
A3 Archivos de declaraciones SRI SI 1 3 3 0
Bienes de Software ERP JD Edwards
B1 SI 0
B2 Sistema Operativo AIX SI 0
Sistema Operativo Windows 2012
B3
Server
SI -VA –> 0
0
Impacto
B4 Base de datos Oracle SI
Bienes Físicos Servidor IBM Power 8
C1 SI 0
C2
C3
Servidores Blade Lenovo Flex
Almacenamiento IBM V5000
SI
SI
-Efectividad
C4 Switch Core SI Control ->
Cintas de Respaldo
C5
C6 Unidad de Cintas
SI
SI
Probabilidad
C7 Firewall Cisco ASA SI
ANÁLISIS DE RIESGOS
Activo Amenaza Probabilidad Impacto Riesgo
Baso de Datos de Clientes Fuga de información 2 2 4

Baso de Datos de Clientes Introducción de falsa información 3 3 9
Baso de Datos de Clientes Alteración de la información 2 2 4
Baso de Datos de Clientes
- Fallas en la Corrupción de la información- Uso protocolos 1 2 2
Base de Datos de Ventas
Base de Datos de Ventas configuración
Fuga de información
inseguros→ NIST
Introducción de falsa información
1
3
1
3
1
9
Base de Datos de Ventas Alteración de la informaciónSP 800-52, 800- 2 3 6
Base de Datos de Ventas → CIS Corrupción de la información 3 -Errores
2 en6
57, OWASP
mantenimiento y
actualización de
programas →
Patch
Management
Evaluación de controles de TI
Preguntas claves
▪ ¿Qué queremos indicar por controles de TI?
▪ ¿Por qué necesitamos los controles de TI?
▪ ¿Quién es responsable de los controles de TI?
▪ ¿Cuándo es apropiado aplicar controles de TI?
▪ ¿Dónde se aplican exactamente los controles de TI?
▪ ¿Cómo realizamos las evaluaciones de los controles de TI?

Estructura de auditoría de TI

Modelo Coso para Controles de TI
Marco Integrado de Control Interno
(COSO)
En 1992 el Committee of Sponsoring Organizations of the Treadway

Commission (COSO) publicó Marco Integrado de Control Interno (el marco
original).
En 2013 COSO presenta la versión actualizada de Control Interno – Marco
Integrado
Es reconocido como el marco líder para diseñar, implementar y desarrollar

el control interno y evaluar su efectividad.

Sponsors COSO

Concepto de Control Interno
El control interno es un proceso llevado a cabo por el

Consejo de Administración, la Dirección y el resto de
personal, diseñado para proporcionar un grado de
seguridad razonable en la consecución de objetivos
relacionados con las operaciones, la información y el
cumplimiento

Objetivos del Control Interno
Operativos
▪ Efectividad y eficiencia de las operaciones
▪ Rendimiento financiero y operativo
▪ Protección de activos frente a pérdidas
De Información
▪ Información financiera y no financiera, interna y externa
▪ Confiabilidad
▪ Oportunidad
▪ Transparencia
De Cumplimiento
▪ Leyes y regulaciones

Componentes del Control Interno
1 Conjunto de normas, procesos y estructuras

Entorno de Control que operan en una organización
2 Proceso de identificación y valoración de los

Evaluación de Riesgos riesgos con impacto potencial en los objetivos
3
Actividades de Control Acciones establecidas para mitigar los riesgos
4 Difusión de la información relevante, tanto

Información y Comunicación
interna como externamente
5
Actividades de Supervisión Evaluaciones realizadas para verificar el
cumplimiento de requisitos

Relación entre Objetivos y
Componentes
Marca la pauta de funcionamiento de
Unidad Operativa
la Organización Entorno de Control
Función
Riesgos externos e internos Evaluación de Riesgos
A nivel de Entidad
División
Políticas y procedimientos Actividades de Control
Necesaria para desarrollar, gestionar y Información y Comunicación

controlar sus operaciones
Necesaria para mantener el adecuado
funcionamiento del sistema
Supervisión
Modelo COSO

Modelo COSO para controles de la
tectología
VIGILANCIA O SUPERVISIÓN
INFORMACIÓN Y COMUNICACIÓN
ACTIVIDADES DE CONTROL
EVALUACIÓN DE RIESGOS
ENTORNO DE CONTROL

tecnología
•Métricas mensuales del
rendimiento de la tecnología.
INFORMACIÓN Y COMUNICACIÓN •Análisis del rendimiento del
control y costes de la tecnología.
• Evaluaciones periódicas de la
gestión de la tecnología.
•Auditoría interna de la
tecnología de la empresa.
•Auditoría interna de las áreas
de alto riesgo.
ENTORNO DE CONTROL

tecnología
INFORMACIÓN Y COMUNICACIÓN
• Comunicaciones corporativas
periódicas (Intranet, correos
electrónicos, reuniones, correos).
• Conocimiento de las mejores
prácticas de la tecnología en
curso.
• Capacitación en seguridad y TI.
•Mesa de ayuda para consultas y
resolución de problemas en curso
ENTORNO DE CONTROL

tecnología
VIGILANCIA O SUPERVISIÓN • Comité examinador de la
gestión de cambios.
• Comparación de las iniciativas
INFORMACIÓN Y COMUNICACIÓN de tecnología con los planes y el
retorno de la inversión.
• Documentación y aprobación
ACTIVIDADES DE CONTROL de planes de TI y arquitecturas de
sistemas.
• Cumplimiento de las normas de
EVALUACIÓN DE RIESGOS seguridad física y de la
información.
• Adhesión a la evaluación de
ENTORNO DE CONTROL riesgos para continuidad del
negocio.
• Impulsar el cumplimiento de las
normas de tecnología.
tecnología
• Riesgos de TI incluidos en la
INFORMACIÓN Y COMUNICACIÓN evaluación global de los riesgos
corporativos.
• TI integrada en las
ACTIVIDADES DE CONTROL evaluaciones de riesgo del
negocio.
• Diferenciación de los controles
EVALUACIÓN DE RIESGOS de TI para áreas/funciones de
alto riesgo del negocio.
• Evaluación de la auditoría
ENTORNO DE CONTROL interna de TI.
• Evaluación de la seguridad de
la TI.

tecnología
• Alinear de manera descendente

INFORMACIÓN Y COMUNICACIÓN los controles de TI y seguridad
considerados importantes.
• Política global de tecnología y
ACTIVIDADES DE CONTROL política de seguridad de la
información.
• Comité de Gobierno Corporativo
de Tecnología.
• Comité de Normas y
Arquitectura de Tecnología.
ENTORNO DE CONTROL
• Representación completa de
todas las unidades del negocio.

Cuestionario

Resumen

Seguimiento

Control Interno en Ti

Cargado por

Información del documento

Descripción original:

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Control Interno en Ti

Cargado por

Copyright:

Formatos disponibles

Introducción e Importancia

Ing. Paul Ochoa A, MSIA, MBA, CISA, ISO 27001

■ Están sujetos a errores y a invalidaciones de gestión

■ Los controles tienen dos elementos significativos: la

■ Los controles de TI ayudan a la dirección y al gobierno del

Ing. Paúl Ochoa A, MSIA, MBA, CISA

■ El aseguramiento del auditor es una evaluación independiente y

Ing. Paúl Ochoa A, MSIA, MBA, CISA

COSO define el control interno como: “Un proceso, efectuado

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Controles vinculados con el

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Ing. Paúl Ochoa A, MSIA, MBA, CISA

“La información es un activo que, como otros activos

Ing. Paúl Ochoa A, MSIA, MBA, CISA

▪ Enviada por correo

Ing. Paúl Ochoa A, MSIA, MBA, CISA

– Utilizada: Para propósitos correctos o

– Destruida, perdida, corrompida

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Ing. Paúl Ochoa A, MSIA, MBA, CISA

▪ La confidencialidad previene la divulgación de información

▪ Los métodos utilizados para garantizar la confidencialidad

Ing. Paúl Ochoa A, MSIA, MBA, CISA

▪ La integridad es la precisión, uniformidad y confiabilidad

▪ Los métodos utilizados para garantizar la integridad de los

Ing. Paúl Ochoa A, MSIA, MBA, CISA

▪ Los métodos utilizados para garantizar la disponibilidad

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Ing. Paúl Ochoa A, MSIA, MBA, CISA

▪ Dirección General ... responsable de designarlo.

▪ Mecanismo para asegurar que las funciones y actividades de

▪ Recomendable que el Presidente del Comité sea miembro

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Ing. Paúl Ochoa A, MSIA, MBA, CISA

▪ Revisar qué recursos y asignación son adecuados en

▪ Tomar decisiones sobre centralización vs descentralización

▪ Soportar el desarrollo e implementación del programa de

Ing. Paúl Ochoa A, MSIA, MBA, CISA

▪ Evaluar en qué medida la dirección ha establecido una

Ing. Paúl Ochoa A, MSIA, MBA, CISA

▪ Mantenerse informado sobre los riesgos de TI más

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Administrar Alinear TI con

Ing. Paúl Ochoa A, MSIA, MBA, CISA

El Gobierno Empresarial o Corporativo es un conjunto de

▪ Proveer dirección estratégica.

Ing. Paúl Ochoa A, MSIA, MBA, CISA

El Gobierno Empresarial de TI es:

▪ La responsabilidad del Gobierno

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Ing. Paúl Ochoa A, MSIA, MBA, CISA

Métricas para Gobierno de TI Políticas Gobierno de TI