Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Control Interno en Ti
Control Interno en Ti
Controles Correctivos
• Corregir los errores
Controles Detección
Controles Preventivos
Controles de Gobierno • Controles que detecten y
reporten que ha ocurrido un
error, una omisión o un acto
malicioso
Controles de Gestión
• Detectar problemas antes
de que surjan
Controles Técnicos • Impedir que ocurra un error,
una omisión, un acto
malicioso
Ing. Paúl Ochoa A, MSIA, MBA, CISA
Clasificación de Controles
Controles Correctivos
Controles que permitan
Controles Detección
mitigar y gestionar los
Controles Preventivos
Controles de Gobierno
riesgos(Normas, organización
y gestión, controles físicos y
ambientales)
Controles de Gestión
Controles específicos para las
tecnologías usadas dentro de
las infraestructuras de TI,
Controles Técnicos
controles de software,
desarrollo y de aplicación.
ISO 17799:2009
▪ Electrónica
▪ Presentaciones
▪ Verbal/Conversaciones
– Almacenada
– Procesada
– Transmitida
1. Confidencialidad
2. Integridad
3. Disponibilidad
Y otras son:
4. Autenticidad
5. Responsabilidad individual (Rendición de cuentas)
6. No-repudio
7. Confiabilidad
Contramedidas
Principios de seguridad
Ing. Paúl Ochoa A, MSIA, MBA, CISA
El Principio de Confidencialidad
CIO (Director
de TI)
Desarrollo Seguridad de
Aplicaciones DBA la Información
Operaciones
Nuevo Administración
Procesamiento
Mantenimiento de Mesa de Ayuda
desarrollo Infraestructura
de Datos
Cumplimiento de
Valor / Costo Regulaciones
Mantener los
sistemas Seguridad
ejecutandose
www.itgi.org
www.itgi.org
ADMINISTRACION
DE RECURSOS
www.itgi.org
www.itgi.org
ADMINISTRACION
DE RECURSOS
www.itgi.org
www.itgi.org
ADMINISTRACION
DE RECURSOS
www.itgi.org
www.itgi.org
ADMINISTRACION
DE RECURSOS
www.itgi.org
www.itgi.org
ADMINISTRACION
DE RECURSOS
Mecanismos
Componentes
de Gobierno
Operaciones de TI
de TI
CISO
Infraestructura de TI
Procesos Estructuras
Comité de TI
x Área Organizacionales
Seguridad de TI
CIO
Portafolio de TI
Estructuras Organizacionales
La combinación de la
probabilidad y consecuencia de
un evento.
Fuente: Cobit 5 for Risk
3. Una vez que los elementos del riesgos han sido establecidos ellos son
combinados para formar una visión general de los riesgos.
4. Una vez que los riesgos han sido identificados, los controles existentes
pueden ser evaluados o nuevos controles se pueden diseñar para reducir
las vulnerabilidades a un nivel aceptable de riesgo.
5. El nivel de riesgo remanente, una vez que los controles han sido
aplicados, es llamado riesgo residual y puede ser usado por la Gerencia
para identificar áreas en las cuales mas controles son requeridos para
reducciones adicionales de riesgo.
▪ Evitar el riesgo
▪ Transferir el riesgo
▪ Cualitativo
▪ Semicuantitativo
▪ Cuantitativo
• Probabilidad y Expectativa
AMENAZAS VULNERABILIDAD
Incrementa Incrementa
Protégé contra Afecta a
Satisfecho por
Indica Incrementa Sufre
¿NECESIDADES DE
SEGURIDAD? IMPACTOS
Solicitud de
Medio
Garantías
Seguros
Pérdidas
Pérdidas
por no
por no
pago de
Bajo
pago de
clientes
clientes -Respaldos
-Standby
Database
ANÁLISIS DE RIESGOS
Activo Amenaza Probabilidad Impacto Riesgo
De Información
▪ Información financiera y no financiera, interna y externa
▪ Confiabilidad
▪ Oportunidad
▪ Transparencia
De Cumplimiento
▪ Leyes y regulaciones
3
Actividades de Control Acciones establecidas para mitigar los riesgos
5
Actividades de Supervisión Evaluaciones realizadas para verificar el
cumplimiento de requisitos
Unidad Operativa
la Organización Entorno de Control
Función
Riesgos externos e internos Evaluación de Riesgos
A nivel de Entidad
División
Políticas y procedimientos Actividades de Control
Modelo COSO
VIGILANCIA O SUPERVISIÓN
INFORMACIÓN Y COMUNICACIÓN
ACTIVIDADES DE CONTROL
EVALUACIÓN DE RIESGOS
ENTORNO DE CONTROL
INFORMACIÓN Y COMUNICACIÓN
• Comunicaciones corporativas
periódicas (Intranet, correos
electrónicos, reuniones, correos).
ACTIVIDADES DE CONTROL
• Conocimiento de las mejores
prácticas de la tecnología en
curso.
EVALUACIÓN DE RIESGOS
• Capacitación en seguridad y TI.
•Mesa de ayuda para consultas y
resolución de problemas en curso
ENTORNO DE CONTROL
• Riesgos de TI incluidos en la
INFORMACIÓN Y COMUNICACIÓN evaluación global de los riesgos
corporativos.
• TI integrada en las
ACTIVIDADES DE CONTROL evaluaciones de riesgo del
negocio.
• Diferenciación de los controles
EVALUACIÓN DE RIESGOS de TI para áreas/funciones de
alto riesgo del negocio.
• Evaluación de la auditoría
ENTORNO DE CONTROL interna de TI.
• Evaluación de la seguridad de
la TI.