Auditoria de Tecnología Basada en Riesgos 160813 [ESTUDIANTES]x

Copyright 2013 Ing. Ral Gonzlez CarrinAll rights reserved.

AUDITORA DE TECNOLOGA BASADA EN

RIESGOSAgosto, 2013

Auditora de Tecnologa Basada en RiesgosCONTENIDOInicio: Conceptos bsicos

1. Fundamentos de la gestin de riesgos corporativos1.1. Antecedentes: Metodologas de Control Interno1.2. Marcos metodolgicos de gestin de riesgos1.3. Definicin, objetivos y componentes de la gestin de riesgos1.4. Riesgo y Control

2. Gestin de riesgos de TI2.1. Algunos conceptos de Riesgos Tecnolgicos 2.2. Principales marcos para la Administracin de Riesgos de TI2.3. Riesgo Operativo2.4. The Risk intelligence Map2.5. Revisin marco COBIT 4.1 1

Auditora de Tecnologa Basada en RiesgosCONTENIDO

2.6. Metodologa para realizar un anlisis de riesgos de Confidencialidad, Integridad y Disponibilidad2.7. Continuidad del Negocio como parte de la evaluacin de riesgos2.8. Norma PCI2.9. Introduccin a ISO ISO/IEC 38500:2008

3. Estndar internacional de auditora3.1. Norma ISA 315 Identificacin y evaluacin del riesgo de error material a travs del conocimiento y la compresin de la entidad y de su entorno3.2. Controles Generales Relacionados con la Tecnologa3.3. Controles de Aplicacin3.4. Riesgos & Controles en Procesos de Negocios 2

Auditora de Tecnologa Basada en RiesgosCONTENIDO4. Metodologa Auditora de Tecnologas basada en riesgos

3

Conceptos bsicos Auditora:Es un examen objetivo, sistemtico y profesional practicado con posterioridad a la ejecucin de las operaciones o transacciones con el objeto de emitir un informe o diagnstico que derive comentarios, conclusiones y recomendaciones.

Auditora de Tecnologa:Proceso de recoleccin y evaluacin de evidencia para determinar si los SI y los recursos relacionados:

Salvaguardan adecuadamente los activos, Mantienen la integridad de los datos y del sistema, Proveen informacin relevante y confiable, Alcanzan efectivamente los objetivos organizacionales, Utilizan los recursos eficientemente, y Cuentan con controles internos que provean una seguridad razonable de que los objetivos

operacionales y de control sern satisfechos y de que los eventos no deseados sern prevenidos o detectados y corregidos de manera oportuna.

Fuente: ISACA.ORG4

Conceptos bsicos Riesgo:

Es el efecto de la incertidumbre en la consecucin de los objetivos [ISO 31000:2009] Combinacin de la probabilidad (posibilidad) de un evento y su consecuencia (Risk

Management: Vocabulary Guide 73 ISO) La posibilidad que algo suceda y que tenga impacto en el logro de los objetivos

(Australian/New Zealand Standard - 1999) Posibilidad de que suceda algo que tendr impacto en los objetivos. Se mide en trminos

de consecuencias y posibilidad de ocurrencia. (NTC 5254 Gestin del Riesgo) Combinacin de la probabilidad y la(s) consecuencia(s) que ocurra un evento peligroso

especfico.( NTC OHSAS 18001 ) Riesgo es la posibilidad que algn evento ocurra y afecte adversamente el logro de los

objetivos (COSO ERM - 2004) Posibilidad de que ocurra un evento o acto que podra tener un efecto adverso en la

organizacin y sus sistemas de informacin [ISACA] Riesgo Probabilidad de que un evento o accin pueda afectar adversamente la

organizacin o actividad auditada [IIA]

Riesgo Es la exposicin potencial a situaciones que pueden afectar el logro de los objetivos de una organizacin, generar prdidas o mermar potenciales utilidades.[Deloitte] 5

FUNDAMENTOS DE LA GESTIN DE RIESGOS CORPORATIVOS1.1. Antecedentes: Metodologas de Control Interno

6

La incertidumbre implica riesgos y oportunidades.

La administracin de riesgos corporativos permite a la direccin tratar efectivamente a la incertidumbre y sus riesgos y oportunidades asociadas, mejorando as la capacidad de generar valor.

La actualidad

7

En el contexto actual existen dos tendencias sumamente acentuadas: Globalizacin Tecnologa

Si bien ambas tendencias favorecen el crecimiento econmico y las inversiones, tambin implican mayores riesgos, principalmente por la accin de las diferentes variables que interactan.

Contexto

8

Qu es el control interno?:Es un proceso realizado por la Junta Directiva, Administradores y dems personal de la entidad, diseado para proporcionar seguridad razonable mirando el cumplimiento de los objetivos de la organizacin en estas categoras: Promover la efectividad y eficiencia en las operaciones

(incluyendo la salvaguarda de activos).

1.1.1. Control Interno: Evaluacin y Evolucin

Asegurar la razonabilidad de los reportes financieros

Soportar el cumplimiento con las leyes y regulaciones aplicables

9

Evolucin reciente del control interno

10

COSO 2013

1.1.2. Control interno efectivo: Referentes internacionales

COSO I

COSO II

(ERM)

Basilea

Cobit

SOX

IIA

11

Un esquema comprensivo que nos genera:

Una definicin comn de Controles internos Discusin de responsabilidades

Estndares para evaluar el sistema de control interno Un modelo general de control interno

* Internal Control Integrated Framework, Committee of Sponsoring Organizations (COSO) of the Treadway Commission

1.1.3. Generacin del Control Interno

12

El control interno ayuda a una entidad a llegar a donde quiere llegar, evitar trampas y sorpresas que pueden ocurrir en el transcurso.

Proceso continuo. Es un medio no un fin en s

mismo.

Ejecutado por personas. No son solo polticas y manuales.

Proporciona seguridad razonable.

1.1.3. Generacin del Control Interno

13

Control InternoProceso

El control interno no es un evento o una circunstancia, esuna serie de acciones.

Constituye un medio para un fin, es administradomediante la planeacin, ejecucin y monitoreo.

Est entrelazado con las actividades de operacin de unaentidad y ES PARTE DE LA ESENCIA DE UNACOMPAA.

Personal

Es ejecutado por la Junta Directiva, Administradores, ydems personal de la entidad.

La gente debe conocer sus responsabilidades y sus lmitesde autoridad.

14

Control Interno

Seguridad Razonable

Existen limitaciones inherentes a todos los sistemas decontrol interno (juicios humanos en toma de decisiones,fallas humanas-errores y equivocaciones, colusin dedos o ms personas, entre otros).

Objetivos Misin, objetivos y estrategias de la Compaa paraalcanzarlos

15

1.1.4. Responsabilidades frente al sistema de control interno

Organizacin

Sistema de Control Interno

PresidenciaVicepresidencias

Gerenciasreas de Soporte

Dueos de ProcesoTodo el personal de

la organizacin

Junta Directiva Asamblea de Accionistas

Auditora Interna Revisora Fiscal

Responsables del sistema de control interno Responsabilidad de monitorear el sistema de control interno

Riesgos

Comit de

Auditora

16 16

Resumiendo:

Control Interno

Es un proceso que hace parte de los dems sistemas y procesos de la

empresa

Orientado a objetivos es un medio, no un fin en s mismo.

Es concebido y ejecutado por personas de todos los niveles de la

organizacin a travs de sus acciones y palabras.

Proporciona una seguridad razonable, ms que absoluta, de que se lograrn

los objetivos definidos.

17

Commitee of Sponsoring Organizations of the Treadway Commission en 1992 estableci el COSO I (The Internal Control Integrated Framework) Asociacin Contable Estadounidense

Instituto Estadounidense de CPA

Instituto de Ejecutivos Financieros

Instituto de Auditores Internos

Instituto de Contadores Gerenciales

1.1.5. Evaluacin del Control Interno: Mtodo COSO

COSOC comitte (comit)O of (de)S sponsorig (auspiciantes)O organizations (organizaciones)

18

Otros organismos profesionales de los pases industrializados han definido su enfoque sobre el control interno, basados en los criterios definidos en elInforme COSO, como los siguientes:

Criteria of Control (COCO), del Instituto Canadiense de Contadores Certificados (CICA de las siglas del ingls);

Cadbury del Instituto de Contadores del Reino Unido; King del Instituto de Contadores de Australia; Vienot de Francia;Entre los ms difundidos.

Adicionalmente existen regionalmente estos documentos: MICIL Marco Integrado de Control Interno para Latinoamrica (sntesis y

adaptacin de COSO I). CORRE Control de los Recursos y los Riesgos en Ecuador (sntesis de: COSO I,

COSO II (ERM), MICIL).

1.1.6. COSO I Referente para otras metodologas de Implementacin y evaluacin de CI.

19

El control interno se define como un proceso, efectuado por el consejo de administracin, la direccin y el resto de personal de una entidad (todos), diseado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos dentro de las siguientes categoras:

El control interno consta de cinco componentes interrelacionados, que se derivan de como la administracin maneja el ente, y estn integrados a los procesos administrativos.

El control interno, no consiste en un proceso secuencia. Es un proceso multidireccional repetitivo y permanente.

El control interno difiere por ente y tamao y por sus culturas y filosofas de administracin.

1.1.7. COSO I Definicin de Control Interno

20

1.1.8. COSO I Marco Integrado de Control (Framework)

Monitoreo

Informacin &Comunicacin

Actividades de Control

Evaluacin de Riesgos

Ambiente de ControlU

n

i

d

a

d

A

U

n

i

d

a

d

B

P

r

o

c

e

s

o

1

A

c

t

i

v

i

d

a

d

1

Tres categoras de objetivos

C

i

n

c

o

C

o

m

p

o

n

e

n

t

e

s

NIVELES DE LA

ORGANIZACINUnidades-Actividades-Procesos 21

COSO I: Ambiente de Control

Monitoreo




Ambiente de Control

U

n

i

d

a

d

A

U

n

i

d

a

d

B

P

r

o

c

e

s

o

1

A

c

t

i

v

i

d

a

d

1

El Ambiente de Control da el tono de una organizacin influenciando la conciencia

de control de sus empleados, proporcionando disciplina y estructura. Es

el fundamento de los dems componentes del control interno.

Integridad y Valores ticos.Estructura OrganizativaAutoridad Asignada y Responsabilidad Asumida.Administracin de los Recursos Humanos.Competencia Profesional y Evaluacin del Desempeo Individual.Filosofa y Estilo de la Direccin.Consejo de Administracin y Comits.Rendicin de Cuentas y Transparencia.

22

COSO I: Evaluacin de Riesgos

Monitoreo




Ambiente de Control

U

n

i

d

a

d

A

U

n

i

d

a

d

B

P

r

o

c

e

s

o

1

A

c

t

i

v

i

d

a

d

1

La Valoracin de Riesgos es la identificacin y el anlisis de los riesgos relevantes que puedan afectar la consecucin de los

objetivos. Los continuos cambios de la economa, la industria, las

regulaciones y las condiciones de operacin, requieren mecanismos para identificar, tratar y administrar los riesgos asociados al negocio.

23

COSO I: Actividades de Control

Monitoreo




Ambiente de Control

U

n

i

d

a

d

A

U

n

i

d

a

d

B

P

r

o

c

e

s

o

1

A

c

t

i

v

i

d

a

d

1

Las Actividades de Control ayudan a asegurar que se estn llevando

a cabo las directrices administrativas y tomando las

acciones necesarias para manejar los riesgos hacia la

consecucin de los objetivos de la Entidad. Las actividades de control se dan a todo lo largo y

ancho de la Entidad, en todos los niveles y en todas la funciones.

24

COSO I: Informacin & Comunicacin

Monitoreo




Ambiente de Control

U

n

i

d

a

d

A

U

n

i

d

a

d

B

P

r

o

c

e

s

o

1

A

c

t

i

v

i

d

a

d

1

Los sistemas de Informacin producen reportes, contienen informacin

operacional, financiera y relacionada con el cumplimiento, que hace posible

operar y controlar el negocio, adicionalmente soportar la toma de

decisiones.La Comunicacin efectiva debe fluir en

un sentido amplio, hacia abajo, a lo largo y hacia arriba de la

organizacin, igualmente con las partes externas como clientes,

proveedores, reguladores y accionistas, entre otros.

25

COSO I: Monitoreo

Monitoreo




Ambiente de Control

U

n

i

d

a

d

A

U

n

i

d

a

d

B

P

r

o

c

e

s

o

1

A

c

t

i

v

i

d

a

d

1

El Monitoreo ongoing (ocurre en el curso de las operaciones), las

evaluaciones separadas (supervisin o ejecucin de

trabajos de Auditora) o combinaciones de ambas, deben efectuarse sobre el sistema de control interno, puesto que el monitoreo es un proceso que

valora la calidad del desempeo del sistema de control interno en

el tiempo.

26

COSO I

27

COSO Una frase para recordar

Un buen control interno NO garantiza el xito ...

PERO ... Un mal control interno SI garantiza el

fracaso.

28

FUNDAMENTOS DE LA GESTIN DE RIESGOS CORPORATIVOS1.2. Marcos metodolgicos de gestin de riesgos

2929

1.2.1. Marcos metodolgicos de Gestin de RiesgosA continuacin se lista los principales marcos metodolgicos sobre gestin de riesgos:

Gestin de riesgos corporativos. Estndar AS NZS 4360:1999 de Gestin de Riesgos (Australiano Neozelands 1999) Estndar AS NZS 4360:2004 de Gestin de Riesgos (Australiano Neozelands 2004) COSO ERM /Enterprise Risk Management (2004) Basilea II Gestin de Riesgos en Entidades Financieras (2004) ISO 31000:2009 Gestin de Riesgos Principios y Directrices (2009) ISO 73:2009, el vocabulario de gestin de riesgos ISO/IEC 31010:2009 Risk management -- Risk assessment techniques

Gestin de riesgos de Tecnologa de la Informacin TI. COBIT Control Objectives for Information and related Technology (ISACA) IT Risk (ISACA) ISO 27005 Gestin del Riesgo en la Seguridad de la Informacin MAGERIT - Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin (Gobierno de Espaa) OCTAVE - Operational Critical Threat, Asset and Vulnerability Evaluation - Evaluacin de Amenazas y Vulnerabilidades de

Recursos Crticos Operacionales (Carnegie Mellon University) NIST National Institute of Standards and Technology; Risk Management Guide for Information Technology Systems.

30

1.2.2. COSO II - ERMA raz de los grandes problemas en varias organizaciones empresariales se establecieron nuevas metodologas para lograr mayor compromiso de parte de toda la organizacin desde su junta directiva, administracin y dems personal. [Gobierno Corporativo]

Se cambiaron las reglas de planeacin y evaluaciones de controles internos por la necesidad primaria de lograr una administracin de riesgos habindose completado el COSO I por el ahora llamado COSO II (ERM)

El COSO II (ERM), es reconocido como el estndar para cumplir con la seccin 404 de la ley Sarbanes-Oxley. Seccin 404: Exige al CEO y CFO, anualmente, declarar su responsabilidad de establecer, mantener y evaluar la

estructura de control interno (modelo tipo COSO) y procedimientos de reporte financiero. Exige al Auditor Externo probar la validez de la declaracin de la Gerencia.

31

1.2.2.1 COSO II ERM : Fecha de publicacin En septiembre de 2004 se public la versin en ingls del COSO ERM (Enterprise

Risk Management Integrated Framework.

La traduccin al espaol del COSO ERM fue realizada por la firma auditora PricewaterhouseCoopers PWC y la Federacin Latinoamericana de Auditores Internos FLAI, y fue publicada en diciembre de 2005

32

1.2.2.2 COSO II ERM : AntecedentesCMO SE INICI ERM?

ERM comenz en las empresas de servicios financieros, seguros, servicios pblicos, petrleo, gas, e industrias manufactureras qumicas

Por qu ah? En estas industrias los riesgos estn bien documentados y medidos. Comnmente se utilizan sofisticados modelos estadsticos. Existe entendimiento y supervisin sobre la sensibilidad del mercado y riesgos

33

FUNDAMENTOS DE LA GESTIN DE RIESGOS CORPORATIVOS1.3. Definicin, objetivos y componentes de la gestin de riesgos

3434

1.3.1. COSO ERM Definicin La Gestin de Riesgos Corporativos es un proceso efectuado por la Junta

Directiva, administracin y dems personal, aplicable a la definicin de estrategias en toda la empresa y diseado para identificar eventospotenciales que puedan afectar a la organizacin, administrar sus riesgos dentro del riesgo aceptado y proporcionar una seguridad razonable sobre el logro de los objetivos.

1. ESTRATEGICO (esta categora no inclua COSO I).2. Eficiencia y efectividad de las Operaciones (OPERACIONES).3. Confiabilidad de la Informacin (REPORTES).4. Cumplimiento (CUMPLIMIENTO).

35

1.3.2. COSO ERM Conceptos Fundamentales

36

Conceptos fundamentales:

Un proceso, es un medio para

un fin, no un fin en si mismo.

Efectuado por gente no es

solamente poltica, estudio y

forma, sino que involucra

gente en cada nivel de una

organizacin.

Aplicado en la definicin de la

estrategia

Aplicado a travs de la

administracin en cada nivel y

unidad (incluye asumir el

punto de vista de portafolio de

los riesgos a nivel de la

entidad)

Diseado para identificar los

eventos que potencialmente

afectan la entidad y para

administrar los riesgos dentro

del apetito por los riesgos.

Provee seguridad razonable

para la administracin y para

la junta de una entidad

Orientado al logro de los

objetivos en una o ms

categoras separadas pero al

mismo tiempo se sobreponen

unas con otras.

1.3.3. COSO ERM ComponentesEl COSO - ERM est integrado por ocho componentes:1. Ambiente Interno.2. Establecimiento de Objetivos.3. Identificacin de Eventos.4. Evaluacin de Riesgos.5. Respuesta al Riesgo.6. Actividades de Control.7. Informacin y Comunicacin.8. Supervisin (Monitoreo).

37

1.3.4. COSO I vs COSO II (ERM)COSO (Internal

Control ) Framework

COSO ERM (Enterprise Risk Management)

Framework Vs

Monitoreo




Ambiente de Control

U

n

i

d

a

d

A

U

n

i

d

a

d

B

P

r

o

c

e

s

o

1

A

c

t

i

v

i

d

a

d

1

Se pas de tener 5 a tener 8 componentes

38

1.3.4. COSO I vs COSO II (ERM)Control Interno COSO

Control interno es un proceso ejecutado por el consejo directo, la administracin y otro personal de una entidad, designado para proporcionada seguridad razonable referente al logro de objetivos en las categoras:

1. Efectividad y eficacia de operaciones2. Confiabilidad en reportes financieros3. Cumplimiento con las leyes y

reglamentos aplicables

Administracin de Riesgos Empresariales ERM

La administracin de riesgos empresariales un proceso, ejecutado por el consejo directivo, la administracin y otro personal de una entidad, aplicado en el establecimiento de estrategias en toda la empresa, designado para identificar eventos potenciales que pudieran afectar a la entidad, y administrar los riesgos para mantenerlos dentro de su apetito de riesgo, proporcionar seguridad razonable referente al logro de objetivos.

39

Monitoreo




Ambiente de Control

U

n

i

d

a

d

A

U

n

i

d

a

d

B

P

r

o

c

e

s

o

1

A

c

t

i

v

i

d

a

d

1

1.3.5. COSO II ERM : Componentes

40

AMBIENTE INTERNO

Estableciendo el Tono de la organizacin, para influenciar la conciencia de control de su gente

Integridad y valores ticos

Estilo y filosofa de la administracin

Estructura Organizacional

Asignacin de autoridad y

responsabilidad

Polticas y prcticas de recurso humano

Junta Directiva Comit de Auditora

Compromiso hacia la competencia (habilidades y

conocimientos)

Factores que afectan el ambiente interno:


41

AMBIENTE INTERNO

Principales consideraciones con relacin a TI:

TI se ve como una organizacin separada y por ende tiene un ambiente de control diferente

La complejidad de TI tambin afecta el control interno Mayor nfasis

La Tecnologa puede introducir nuevos riesgos o aumentar algunos lo cual puede requerir nuevas actividades de control

Se requiere conocimiento especializado. Confianza en proveedores crticos La propiedad de los Controles de TI puede

no ser clara


42

FORMULACION DE OBJETIVOS

Corresponde a un proceso para definir objetivos y que estos apoyen y estn de acuerdo con la misin de la entidad y sean consistentes con su inters por los riesgos.

Objetivos estratgicosObjetivos relacionadosObjetivos seleccionadosRiesgo aceptadoTolerancia al riesgo

El establecimiento de objetivos es un requisito previo para el control interno Efectivo.


43

IDENTIFICACION DE EVENTOS

Eventos con impacto negativo tanto internos como externos que afectan el logro de los objetivos, distinguiendo entre riesgos y oportunidades:

Factores de influencia estrategia y objetivosMetodologas y tcnicasAcontecimientos independientesCategoras de acontecimientosRiesgos y Oportunidades

Se tienen eventos a nivel :1. A nivel de la entidad2. A nivel de actividad

Evento: Incidente o suceso generado por una fuente interna o externa, que afecta a la aplicacin de una estrategia o el alcance de cualquier objetivo.


44

EVALUACION DEL RIESGO

Incluye todas las actividades desarrolladas por laadministracin relacionadas con la evaluacin yaseguramiento de los procesos y riesgos financieros.

Administrando los riesgos de la organizacin:

Establecimiento de metas y objetivos- Factores crticos de xito- Plan estratgico- Anlisis de competitividad

Identificacin y anlisis de riesgos- Nivel entidad: Penetrantes- Nivel de actividad (proceso)- Anlisis y cuantificacin de riesgos


45

RESPUESTA AL RIESGO

Corresponde a la seleccin ms apropiada para cubrir los riesgos desarrollando un conjunto de acciones para alinear los riesgos con las tolerancias de riesgos de la entidad y el inters o apetito por los mismos

Evaluacin de posibles respuestas (mitigar, transferir, aceptar, evitar)

Seleccin de respuesta

Manejo del cambio


46

RESPUESTA AL RIESGO

Mitigar

Implementar

controles

(mitigar/reducir)

Por ejemplo.

Definir,

implementar

controles

apropiados para

reducir la

probabilidad o el

impacto del

riesgo

Transferir

Compartir,

asociacin con

alguien.

Por ejemplo,

compartir el

riesgo con socios

o transferirlo

mediante

cobertura de

seguro, acuerdo

contractual u

otros medios.

Aceptar

Monitorear

Reconocer

formalmente la

existencia del

riesgo y

monitorearlo.

Evitar

Eliminar

Por ejemplo,

donde sea

factible, escoger

no implementar

ciertas actividades

o procesos que

generen un riesgo

(es decir, eliminar

el riesgo al

eliminar la causa)


47

RESPUESTA AL RIESGO

Mitigar

Transferir Evitar

Aceptar

Riesgo(Alto)

Riesgo(Medio)

Riesgo (medio)

Bajo (Riesgo)

Baja

Alta

Alta

IMPACTO

PROBABILIDAD


48


Los riesgos de TI son penetrantes a toda la organizacin, cuentas y procesos.

A nivel de entidad: Un sub-comit de planeacin de TI el cual

debera responder por el plan de implementacin de controles de TI, su seguimiento e integracin con el plan global de la organizacin.

Evaluacin de los riesgos de TI

A nivel de actividades : Evaluacin de riesgos como parte de

metodologas de desarrollo, y control de cambios en Infraestructura y operaciones.

RESPUESTA AL RIESGO


49

ACTIVIDADES DE CONTROL

Las Actividades de Control son las polticas y losprocedimientos que ayudan a asegurar que seestn llevando a cabo las directivas administrativasnecesarias para manejar los riesgos.

Las actividades de control deben estarincorporadas en las operaciones del negocio.

Las actividades de control estn ligadas a laevaluacin de riesgos, ya que stas sirven comomedio para que el riesgo sea administradoapropiadamente.

Enfocadas a la prevencin, deteccin ycorreccin.


50


La informacin confiable es la base de la generacin de Estados Financieros

Existen dos grandes grupos de actividades de control:

Aplican a la mayora o todas las aplicaciones de sistemas y ayudan a asegurar su continuidad y operacin adecuada.

Controles generales relacionados con la

tecnologa

Incluyen pasos computarizados con la aplicacin de software y manuales de procedimientos relacionados para controlar el procesamiento de varios tipos de transacciones.

Controles de Aplicacin

ACTIVIDADES DE CONTROL

Controles generales relacionados con la tecnologa

51

Marco de referencia COBIT

Prestacin de Servicio y Soporte

Recursos de TIDatos, Aplicaciones

Tecnologa, Instalaciones, Recurso Humano

Req. InformacinEfectividad, Eficiencia,

Confidencialidad, Integridad, Disponibilidad,

Cumplimiento, Confiabilidad

CobiT Planeacin y Organizacin

Adquisicin eImplementacin

Seguimiento

1. Seguimiento de los procesos2. Evaluar lo adecuado del control Interno3. Obtener aseguramiento independiente4. Proveer una auditora independiente

1. Identificacin de soluciones2. Adquisicin y mantenimiento de SW aplicativo3. Adquisicin y mantenimiento arquitectura TI4. Desarrollo y mantenimiento de Procedimientos de TI5. Instalacin y Acreditacin de sistemas6. Administracin de Cambios

1. Definir un plan estratgico de TI2. Definir la arquitectura de informacin3. Determinar la direccin tecnolgica4. Definir la organizacin y relaciones de TI5. Manejo de la inversin en TI6. Comunicacin de la directrices

Gerenciales7. Administracin del Recurso Humano8. Asegurar el cumplir requerimientos

externos9. Evaluacin de Riesgos

10. Administracin de Proyectos11. Administracin de Calidad

1.Definicin del nivel de servicio2.Admistracin del servicio de terceros3.Adm. de la capacidad y el desempeo4.Asegurar el servicio continuo5.Garantizar la seguridad del sistema6.Identificacin y asignacin de costos7.Capacitacin de usuarios8.Soporte a los clientes de TI9.Admistracin de la configuracin

10.Administracin de problemas e incidentes11.Administracin de datos12.Administracin de Instalaciones13.Administracin de Operaciones

Tomar en consideracin que ahora se tiene COBIT 5

Controles de aplicacin

52

Son los controles embebidos en los programas para prevenir o detectartransacciones no autorizadas.

Combinadas con controles manuales contribuyen al aseguramiento de laintegridad, validez y registro adecuado de la informacin.

Algunos Ejemplos: Balanceo de transacciones (reconciliaciones detectando errores en la

entrada de datos) Dgitos de chequeo Listas predefinidas (Precios, Materiales, Proveedores) Limites de rangos o de valores.

Relacin : Controles Generales Relacionados con la Tecnologay Controles de aplicacin

53

La relacin entre los controles de aplicacin y los controles generales relacionados con la tecnologa es tal que los Controles Generales son normalmente necesarios para soportar el funcionamiento de los controles de aplicacin, y ambos son normalmente necesarios para asegurar el procesamiento completo y preciso de informacin.

Centro de datos y operaciones de red.

Adquisicin, cambios y mantenimiento de aplicaciones.

Cambios en los programas.

Seguridad de accesos.

Adquisicin, desarrollo y mantenimiento de programas (sistemas)


54

INFORMACION Y COMUNICACION

Informacin y Comunicacin representa el proceso por medio del cual se asegura que la informacin relevante es identificada y comunicada de manera adecuada y oportuna a todo el personal de la entidad.


55

El Monitoreo es el proceso que evala la calidad del desarrollo del Control Interno en el tiempo, mediante una evaluacin continua de los controles, tomando las acciones correctivas necesarias. Monitoreo Ongoing

Actividades regulares de la administracin Corroboracin de informacin (interna vs externa) Estructura organizacional apropiada Actividades de supervisin de las funciones de

control Verificacin de informacin Informacin de auditores (externos e internos) Reuniones peridicas Auto control

Evaluaciones Separadas Efectividad del Sistema de Control Interno Efectividad de los procedimientos ongoing

Informacin de deficienciasOngoing: trmino tcnico que significa estar actualmente en proceso, en continuo movimiento, hacia delante

MONITOREO

Permite a la Direccin de la empresa poseer una visin global del riesgo y accionarlos planes para su correcta gestin.

Posibilita la priorizacin de los objetivos, riesgos clave del negocio, y de loscontroles implantados, lo que permite su adecuada gestin. Toma de decisionesms segura, facilitando la asignacin del capital.

Alinea los objetivos del Grupo con los objetivos de las diferentes unidades denegocio, as como los riesgos asumidos y los controles puestos en accin.

Permite dar soporte a las actividades de planificacin estratgica y control interno.

Permite cumplir con los nuevos marcos regulatorios y demanda de nuevasprcticas de Gobierno Corporativo.

Fomenta que la gestin de riesgos pase a formar parte de la cultura del Grupo.

Beneficios COSO ERM

56

Reducir sorpresas y prdidas operativas

Proveer respuestas integradas a riesgos mltiples.

Aprovechar las oportunidades

La gestin de riesgos proporciona rigor para identificar los riesgos y seleccionarentre las posibles alternativas de respuestas a ellos: mitigar, transferir, aceptar oevitar.

Beneficios COSO ERM

57

COSO ERM no garantiza que la entidad ser exitosa y lograr todos sus objetivos Limitaciones:

Cambios en polticas o programas del Gobierno Competencia Condiciones econmicas Malas decisiones Errores y equivocaciones Gerentes incompetentes Omisin o debilitamiento de control interno, colusin, ignorar el ERM

ERM no refleja una adecuada relacin costo-beneficio. Transgregacin Gerencial: Un gerente puede eludir intencionalmente las prcticas

establecidas debido a fines inadecuados (inobservancia gerencial a las polticas oprocedimientos prescritos).

Colusin: Dos o ms personas pueden colaborar para quebrar controles(confabulacin).

Limitaciones de COSO ERM

58

Es un cralo-todo con el que se pueden tomar decisiones basados en informacin100% confiable y basada en informacin sin margen de error.

Slo sirve para catalogar o tomar un inventario de todos los riesgos que afectan auna organizacin.

Con l, las auditoras sern infalibles.

ERS es sobre seguros

Es un proceso independiente y aislado del resto de la organizacin

Cuesta demasiado implementarlo

Mitos sobre COSO ERM

59

El paso 14 de mayo del 2013, se public la actualizacin de COSO I. No ha sido una labor breve, El Committe ha efectuado las siguientes etapas:

2010. Evaluacin y encuestas a las partes interesadas.

2011. Diseo y estructura marco actualizado

2012. Exposicin pblica, evaluacin y mejoras 2013. Finalizacin.

De los 5 componentes de Control Interno no varan con respecto al Marco Original publicado en el 1992, sin embargo, los principios y puntos de enfoque han sufridos cambios claves en cada uno de los componentes, esto a fin de mejorar y facilitar la implantacin y mantenimiento. A continuacin se detallan los cambios: Se aplica un enfoque basado en 17 principios Aclara la necesidad de establecer los objetivos estratgicos como condicin previa a la fijacin de los objetivos de

Control Interno. Refleja la relevancia incrementada de la Tecnologa de Informacin. Fortalece los conceptos de Gobierno Corporativo. Ampla el objetivo de reporte financiero, pasando a ser reporte en general. Fortalece la consideracin de las expectativas contra el fraude

Considera los diferentes modelos de negocio y estructuras organizacionales.

1.3.6. Nuevo marco de Control Interno COSO 2013

Ral Gonzlez Carrin CISA , IA ISO27001 , ABCP , COBIT , MASIE60

A continuacin se detalla los 17 principios con los que se implementa un adecuado Control Interno, relacionndolos con sus correspondientes elementos:

Entorno de Control1. La Organizacin ha de demostrar su compromiso con la integridad y los valores ticos.2. El Consejo de Administracin debe demostrar independencia en la gestin y ejercer la supervisin del

desarrollo y ejecucin del control interno.3. La alta direccin debe establecer, con la supervisin del Consejo de Administracin: la estructura,

lneas de reporting, autoridad y responsabilidad en la consecucin de objetivos.4. En sinfona con los objetivos, la Organizacin debe demostrar su compromiso para atraer, desarrollar,

y retener personas competentes.

5. En la consecucin de los objetivos, la Organizacin debe disponer de personas responsables para atender sus responsabilidades de Control Interno.



Evaluacin de Riesgos6. La Organizacin ha de especificar los objetivos con suficiente claridad para permitir la identificacin y

evaluacin de riesgos relacionados.7. La Organizacin debe identificar y evaluar sus riesgos.8. La Organizacin gestionar el riesgo de fraude.9. La Organizacin debe identificar y evaluar los cambios importantes que podran impactar en el Sistema

de Control Interno.

Actividades de Control10. La Organizacin ha de seleccionar y desarrollar actividades de control que contribuyan a la mitigacin

de los riesgos para el logro de sus objetivos.11. La Organizacin seleccionar y desarrollar Controles Generales sobre la Tecnologa de la

Informacin.

12. La Organizacin implementa sus actividades de control a travs de polticas y procedimientos adecuados.



Informacin y Comunicacin13. La Organizacin ha de generar la informacin relevante para respaldar el funcionamiento de los otros

componentes del Control Interno.14. La Organizacin compartir internamente la informacin, incluyendo los objetivos y responsabilidades

para el control interno, necesaria para respaldar el funcionamiento de los otros componentes del Control Interno.

15. La Organizacin comunicar externamente las materias que afecten al funcionamiento de los otros componentes de Control Interno.

Actividad de Monitoreo15. La Organizacin llevar a cabo evaluaciones continuas e individuales, con el fin de comprobar si los

componentes del control interno estn presentes y estn funcionando.

16. La Organizacin evala y comunica las deficiencias del control interno.



Se destaca que para la evaluacin de riesgos se ha incluido los conceptos de: velocidad y persistencia de los riesgos como criterios para evaluar la criticidad de los mismos: Velocidad del riesgo: rapidez con la que impacta un riesgo en la organizacin una vez se ha

materializado , es decir, hace referencia al ritmo con el que se espera que la entidad experimente el impacto.

Persistencia de un riesgo: duracin del impacto despus de que el riesgo se ha materializado.

Modificacin de Roles y Responsabilidades de los participantes del proceso (CEO , CFO, tipos de Comits por Campos de Accin, Otros participantes a parte de los Auditores Externos Medio Ambiente, Comercio Justo, Seguridad Laboral, Proveedores Externos).

El nuevo COSO no nos obligar a introducir cambios inesperados en los procedimientos de Control Interno aplicables en las Organizaciones, pues lo que esta nueva edicin representa la materializacin formal de los cambios que evolutivamente se haban observado necesarios introducir para hacer eficientes el Control Interno de nuestras empresas, sin olvidar la inter-relacin que existe entre el denominado COSO II (ERM) y el COSO I, que ahora se ve explcitamente reconocida.



FUNDAMENTOS DE LA GESTIN DE RIESGOS CORPORATIVOS1.4. Riesgo y Control

65

1.4.1. Riesgo

Cualquier asunto que podra evitar

alcanzar los objetivos

66

1.4.1. Riesgo (cont)En el sentido ms amplio significa:

Exposicin a la adversidad

frente a un resultado esperado o deseado

67

1.4.1. Riesgo (cont)Segn Glosario:

Riesgo Es la posibilidad de que ocurra un acontecimiento que tenga un impacto en el alcance de los objetivos. El riesgo se mide en trminos de consecuencias y probabilidad.

Riesgo Residual Son los riesgos que permanecen despus de que la Direccin haya realizado sus acciones para reducir el impacto y la probabilidad de un acontecimiento adverso, incluyendo las actividades de control en respuesta de un riesgo.

Interpretacin acadmicaEs una medida de incertidumbre que involucra el logro de los objetivos institucionales, lo que incluye las consecuencias y probabilidad de que un evento negativo ocurra.

68

1.4.1. Riesgo (cont)Segn diccionario.

Es la posibilidad o proximidad de un peligro o contratiempo // cada uno de los hechosdesafortunados que puede cubrir un seguro // conjunto de circunstancias que puedendisminuir el beneficio empresarial// estar expuesto a que se frustre el resultado deseado o a padecer alguna desgracia.

El riesgo es por si mismo una condicin de la existencia, es inherente a cualquier recurso o actividad; por ello el riesgo no se crea ni se destruye; solo se transforma

69

1.4.1. Riesgo (cont)El problema como contingencia del riesgo

La gama de riesgos que se enfrentan en una entidad depende, entre otros, de los siguientes factores:

El volumen de los recursos. La complejidad de las actividades. Estructura organizativa. Magnitud de recursos y productos. Giro de la empresa. Nivel de tecnificacin alcanzado. Lapso y momento evolutivo de la entidad. Marco competitivo nacional e internacional. La velocidad con que se desenvuelve la entidad.

70

1.4.1. Riesgo (cont)DIFERENCIAS ENTRE PROBLEMAS Y RIESGOS

Caractersticas Problema Riesgos

Latencia en el tiempo Temporal Permanente

Controles insuficientemente aplicados Detectivos y correctivos Preventivos

Posibilidad de medicin Ms cuantificable Menos cuantificable

Existencia Real Posible

Elemento generadorAgentes externos e

internosPor naturaleza

Asignacin de prioridad a su estudio y

tratamiento

De acuerdo a

emergencia

Segn experiencia e

intuicin

Posibilidad de anlisis para

identificacin de causas y

repercusiones

Mayor Menor

Evidencia Existente Inexistente

Momento de aparicin Presente Futuro

71

1.4.1. Riesgo (cont)RIESGOS AGRUPADOS POR NIVEL JERRQUICO

Hechos / Causas Riesgos / Efectos

Directivo

Indecisin Estancamiento de la entidad

Desconocimiento del entorno Sanciones legales

Desconocimiento de la entidad Inaplicabilidad de directrices

Imprecisin organizativa Conflicto interfuncional

Gerencial

Descoordinacin Ineficiencia

Desvaloracin Desmotivacin

Irresponsabilidad Fuga de recursos

Desinformacin econmica Incosteabilidad

Especialista

Desactualizacin Inaplicabilidad

Desestandarizacin Discontinuidad

Descalificacin Inoperabilidad

Desorientacin Incompatibilidad

Incompetencia Incosteabilidad

Operativo

Desacato Conflicto operativo

Desconocimiento Errores

Deshosnetidad Fraude

Desinters Merma

Desobligacin Accidentes72

APETITO DE RIESGO: nivel de riesgo que una organizacin est preparada para aceptar, tolerar o soportar en un momento determinado de tiempo (cuantitativo o cualitativo).

EVALUACIN DE RIESGOS: actividades para determinar el nivel de exposicin de un proceso frente a sus riesgos. Esto con el propsito de desarrollar estrategias de mitigacin, a travs de la instauracin y fortalecimiento de controles. Los riesgos pueden ser operacionales, estratgicos, de reporte, regulatorios o cumplimiento y de gobierno.

1.4.2. Riesgo Algunos conceptos

73

ADMINISTRACIN DEL RIESGO: La cultura, procesos yestructuras para administrar efectivamente eventos potencialmentenegativos. (Como no es posible eliminarlos totalmente, el objetivo esreducirlos a un nivel aceptable).

1.4.2. Riesgo Algunos conceptos

74

1.4.3. Riesgo Tipos

75

RIESGO INHERENTE: nivel de riesgo propio de la actividad, sin tener en cuenta el efecto de los controles.

Fallas

Efecto en los

recursos

Riesgo

Inherente

1.4.3. Riesgo Tipos

76

RIESGO RESIDUAL: nivel resultante del riesgo despus de aplicar los controles.

Riesgo Inherente

Controles

Riesgo

Residual

1.4.4. Control

77

CONTROL: mecanismo que permite atenuar el riesgo inherente, con el fin de disminuir la probabilidad de ocurrencia y/o el impacto en caso de que dicho riesgo se materialice.

Caractersticas de los controles:

Estn embebidos en las operacionesdel negocio.

Estn enfocadas en prevencin,deteccin o correccin.

Pueden ser manuales o automticos.

Ejemplos: backups, mecanismos de seguridad, planes de evacuacin.

1.4.5. Control - Tipos

78

Se disean para cumplir varias funciones:

Preventivos: Anticipan eventos no deseados antes de quesucedan.Detectivos: Identifican los eventos en el momento en quese presentan.Correctivos: Aseguran que las acciones correctivas seantomadas para revertir un evento no deseado.

1.4.5.1 Control - Preventivo

79

Son ms rentables

Deben quedar incorporados en los sistemas

Evitan costos de correccin o reproceso

1.4.5.2 Control - Detectivo

80

Son ms costosos que los preventivos

Miden la efectividad de los preventivos

Algunos errores no pueden ser evitados en la etapapreventiva

Incluyen revisiones y comparaciones (registro dedesempeo)

Conciliaciones, confirmaciones, conteos fsicos deinventarios, anlisis de variaciones, tcnicasautomatizadas,

Lmites de transacciones, passwords, edicin dereportes y auditora interna.

1.4.5.3 Control - Correctivo

81

Acciones y procedimientos de correccin (larecurrencia)

Documentacin y reportes que informan a laGerencia, supervisando los asuntos hasta queson corregidos o solucionados

1.4.6. Control: Manual | Automtico

82

Manuales: Controles que son efectuados fuera de cualquier aplicativo de TI (ej.: Control manual de acceso al centro de cmputo)

Automticos: Controles automticos encontrados en todos los tipos de ambientes, sin tener en cuenta la plataforma tecnolgica, el aplicativo o sistema que est siendo usado (ej.: validaciones, clculo, interfaz entre aplicaciones, reportes, accesos).

1.4.7. Riesgo y Control Visin del RiesgoPasado

El monitoreo de riesgo es un funcin exclusiva de los auditores internos.

El riesgo es un factor negativo a ser controlado

Los riesgos son administrador en forma aislada.

La medicin de riesgos es subjetiva

Las funciones de administracin de riesgos no estn estructuradas y son divergentes.

La revisin de riesgos se realiza peridicamente por auditora interna.

Presente y futuro El monitoreo de riesgo es responsabilidad

de todos.

El riesgo puede considerarse tambin como una oportunidad.

Los riesgos son administrados a travs de un proceso integrado.

El riesgo es casi siempre cuantificado.

La administracin de riesgos es implementada dentro de una estructura integrada.

La revisin de riesgos acontece a travs de auto evaluacin constante.

83

1.4.8. Riesgo y Control Metodologa de Gestin de Riesgos

84Fuente: COSO ERM

1.4.9. Derivados del Proceso de Administracin de Riesgos1. Mapa de Procesos (vinculado con los objetivos corporativos)

2. Inventario de Riesgos (general y detallado por procesos).

3. Anlisis sobre Impacto Probabilidad (votacin).

4. Mapa de Riesgos.

5. Matriz de Administracin de Riesgos (controles a implementarse para: evitar, reducir, compartir o aceptar el riesgo)

85

1.4.10. Mapa de Procesos Ejemplo de una compaa que lleva una red de pagos

86Fuente: Deloitte.

1.4.11. Mapa de Procesos Ejemplo de una compaa comercial

87Fuente: Deloitte.

1.4.12. Mapa de Procesos Ejemplo de una compaa minera

88

Adquisicin de Productos y

Servicios

Produccin y explotacin de

minas

-

Medio ambiente salud y seguridad industrial

Procesos de

gerenciamiento y

soporte

Jurdica fiscal y tributaria

Tecnologa

Tesorera

Contabilidad y reportes financieros

Recursos humanos

Administracin de inventarios y

control de produccin

Logstica y fletes

Ventas y facturacin

Activos fijos e inversiones

Planeacin estrategicaProcesosestrategico

Procesos CORE

Fuente: Deloitte.

1.4.13. Mapa de Procesos Ejemplo de una empresa de microfinanzas

89

1.4.14. Inventario de Riesgos Ejemplo de una compaa que lleva una red de pagos

90Fuente: Deloitte.

1.4.15. Inventario de Riesgos Ejemplo de una empresa de microfinanzas

91

1.4.16. Modelo de Riesgos: Fuente Protiviti.

92

1.4.17. Modelo de Riesgos: The Risk MapDeloitte & Touche

93Fuente: Deloitte.

1.4.18. Categoras de Riesgos del IIA.

94Fuente: IIA

1.4.18. Categoras de Riesgos del IIA.

95Fuente: IIA

1.4.19. Categoras de Riesgos: Fuente Deloitte & Touche

96Fuente: Deloitte.

1.4.20. Procesos de votacin - ProbabilidadEjemplo de criterios para definir la PROBABILIDAD de ocurrencia

Criterio Descripcin

5. Esperado En la ausencia de cualquier control puede ocurrir desfalco o errores severos en el ao o periodo.

4. Muy Probable En la ausencia de cualquier control, es muy probable que ocurra desfalco o errores por lo menos una vez al ao o periodo.

3. Probable En la ausencia de cualquier control, es probable que ocurra desfalco o errores por lo menos una vez al ao o periodo

2. No ProbableEn la ausencia de cualquier control, es baja la probabilidad de que el desfalco o errores ocurran por lo menos una vez al ao o periodo.

1. Leve En la ausencia de cualquier control, no se espera el desfalco o los errores en los prximos 1-2 aos o periodo.

97Fuente: Deloitte.

1.4.21. Procesos de votacin - ImpactoEjemplo de criterios para determinar el IMPACTO

Criterio Duracin Regulaciones y requerimientos estatutarios Fraude

5. Crtico Impacto potencialmente irreparable

Inhabilitado para cumplir con las regulaciones y requisitos estatutarios. Prdida de concesin y/o prdida del negocio.

El fraude a nivel ejecutivo tiene un impacto material directo a la organizacin y tambin al declive del precio accionario, el deterioro de la reputacin, el impacto legal y regulatorio, etc.

4. Significativo Recuperable a largo plazo

Significativos esfuerzos sonnecesarios para cumplir con regulaciones y requisitos estatutarios. Las multas son materiales y acarrean el deterioro de la reputacin.

El fraude por lo empleados, agentes, vendedores u otras personas tiene un impacto directo a la organizacin o a las unidades comerciales deteriorando la reputacin, impacto legal y regulatorio, etc.

3. Alto Recuperable a corto plazoMuchos recursos son necesarios para cumplir regulaciones y requisitos estatutarios. Gran distraccin para la organizacin.

No es potencialmente susceptible al fraude

2. Moderado Temporal

Algunos recursos son necesarios para cumplir regulaciones y requisitos estatutarios. Gran distraccin para la organizacin.

No es potencialmente susceptible al fraude

1. Bajo Impacto limitado No es potencialmente susceptible al fraude

98Fuente: Deloitte.

1.4.22. Procesos de votacin - EvaluacinEvaluacin

A Esperado 5

B Muy Probable 4

C Probable 3

D No Probable 2

E Leve 1

Probabilidad de ocurrencia

F Crtico 5

G Significativo 4

H Alto 3

I Moderado 2

J Bajo 1

Impacto

Actividad Calificacin

B x F 1 20

A x H 2 15

C x I 3 6

D x J 4 2

D x F 5 10

C x F 6 15

99http://www.sivagroup.co/

1.4.22. Procesos de votacin - Evaluacin1. Tormenta de ideas sobre riesgos y oportunidades2. Identificar de raz las causas y las correlaciones3. La mejor forma es tener sesiones de facilitacin4. Calcular el impacto del riesgo usando la misma medida de los objetivos5. Calcular los escenarios mnimo, mximo y probable6. Preparar un programa de riesgo7. Priorizar riesgos y oportunidades basados en su valor ponderado8. Identificar los riesgos clave que requieren atencin estratgica

Tormenta de ideas

Peso/Clculo

Priorizar

100Fuente: Deloitte.

1.4.23. Mapa de riesgos

Bajo impactoAlta probabilidad

Alto impactoBaja probabilidad

Alto impacto

Alta probabilidad

Bajo impactoBaja probabilidad

Riesgo (Alto)

Riesgo(Medio)

Riesgo (medio)

Bajo (Riesgo)

Baja

Alta

Alta

IMPACTO

PROBABILIDAD

101

1.4.23. Mapa de riesgos

102

1

1 52 3 4

2

3

4

5

Probabilidad

I

m

p

a

c

t

o

Riesgos clave

Posibilidad de que la magnitud del Riesgo afecte el cumplimiento de los objetivos o la eficacia de las estrategias de la compaa

Nivel de exposicin para que un riesgo se materialice, considerando la estructura de control actual de la compaa

Riesgos no aceptables

1.4.24. Matriz de riesgos Ejemplo de una empresa de microfinanzas

103

1.4.25. Matriz de riesgos Ejemplo de una empresa de comercial


1.4.26. Matriz de riesgos Ejemplo de una compaa que lleva una red de pagos


1.4.27. Mapa de riesgos Ejemplo de un mapa de riesgos IIA

Fuente: IIA106

1.4.27. Mapa de riesgos Ejemplo de un mapa de riesgos IIA

Fuente: IIA107

1.4.27. Mapa de riesgos Ejemplo de un mapa de riesgos de seguridad de la informacin


1.4.27. Mapa de riesgos Ejemplo de un mapa de riesgos corporativos


1.4.27. Mapa de riesgos Ejemplo de un mapa de riesgos de continuidad


2. GESTIN DE RIESGOS DE TI2.1. Algunos conceptos de Riesgos Tecnolgicos

111

Riesgo tecnolgico: Su medicin como prioridad para el aseguramiento del negocio

El empleo de la tecnologa es una de las decisiones ms comunes en la eleccin de estrategias, incrementando la dependencia al uso de informacin electrnica dentro de las organizaciones.

La tecnologa deja de ser un miembro pasivo y se convierte en un elemento importante para la operacin de los negocios.

2.1.1. Riesgos Tecnolgicos - Antecedentes

112

2.1.2 Relacin de la tecnologa con los procesos de negocio

Para tener mayor claridad la relacin del riesgo tecnolgico con el negocio, se observa el flujo existente en la figura, en la que se detallan los vnculos directos entre los componentes de la tecnologa, los procesos, el logro de objetivos, el cumplimiento de metas y hasta la satisfaccin de los stakeholders.

Fuente: Gustavo A. Sols Montes, (CobiT User Convention-CobiT y la administracin de riesgos). 113

2.1.3. Riesgos Tecnolgicos La tecnologa se vuelve parte de la operacin y su funcionamiento no puede

aislarse de los dems elementos del proceso.

Todos los integrantes en conjunto tienen un solo objetivo.

Sin embargo, como en todo proceso, existe el factor llamado riesgo

El riesgo est presente en la tecnologa y como se puede observar en la siguiente figura 2, est inmerso dentro de la operacin del negocio.

114

2.1.4. Distribucin de los riesgos Riesgo Tecnolgicos


2.1.5. Riesgo tecnolgico Definicin Riesgo tecnolgico: es aquella posibilidad de que ocurra un evento relacionado con la tecnologa y que afecte adversamente el logro de los objetivos del negocio.

116

Existen algunas guas o bases que se pueden utilizar sobre los riesgos tecnolgicos, como la que proporciona el ITGI (Information Technology GovernanceInstitute). Aunque: Depende de las caractersticas de cada una de las

compaas, El tipo de tecnologa que est utilizando. Procesos a los que sta est relacionada dentro de

la operacin.

(sin ser stos los nicos existentes, ya que dependen de la operacin de cada empresa y de la constante

innovacin tecnolgica que existe).

Controles automticos

Controles Generales Relacionados con la

Tecnologa

Fuente: Deloitte & Touche

2.1.6. Afectacin de la tecnologa con el ambiente de control

117

2.1.8 Tipo de eventos de riesgos con los aspectos de tecnologa relacionados (ejemplos)

Tipo de evento Aspecto de TIFraude Interno Manipulacin deliberada de los programas

Uso no autorizado de funciones para modificacin de programas.Manipulacin deliberada de las instrucciones del sistemaManipulacin deliberada del hardwareCambios deliberados a los sistemas y aplicaciones por medio de accesos internos no autorizados.Uso indebido de software no autorizado o sin licenciaEvasin interna de los privilegios de acceso

118


Tipo de evento Aspecto de TIFraude externo Cambios deliberados a los sistemas y aplicaciones mediante

accesos externos no autorizadosObtencin de acceso por parte de intrusos hacia documentos fsicos o electrnicosEvasin externa de los privilegios de acceso Intercepcin de los canales de comunicacinContraseas comprometidasVirus

Contratacin y lugar de trabajo

Divulgacin de informacin sensitiva hacia terceros por parte de los empleadosAdministracin de proveedores

119


Tipo de evento Aspecto de TIDao a activos fsicos

Daos intencionales o accidentales a la infraestructura fsica de tecnologa de informacin

Interrupcin del negocio y fallas en los sistemas

Mal funcionamiento de hardware o softwareFallas en las comunicacionesSabotaje de los empleadosPrdida de personal clave de tecnologaDestruccin de archivos de datos o softwareRobo de software o informacin sensitivaVirus computacionalesFallas en los respaldos de informacinAtaques para denegar el servicioErrores en la configuracin

120


Tipo de evento Aspecto de TIAdministracinde procesos, ejecucin y entrega

Errores en la manipulacin de datos electrnicos Estaciones de trabajo sin atencinErrores al realizar cambios

Entradas de datos incompletas a las transacciones del sistemaErrores de entrada o salida de datosErrores de programacin o de pruebasErrores de operacinErrores de procesamiento manual

Fuente: ISACA, The IT Dimension of Basel II

121

La decisin de incorporar tecnologa en los procesos del negocio, trae consigo la decisin de administrar el

riesgo tecnolgico correspondiente

quien no arriesga, no gana

2.1.9. Administracin de riesgos

122

2.1.9. Administracin de riesgos Existen dos factores que no deben pasarse por alto al hablar de riesgo:

impacto (efectos que pueda tener para el negocio); y, probabilidad (posibilidad de que ocurra el evento);

La combinacin de estos factores proporcionarn un panorama sobre las consecuencias que pudiera llegar a sufrir el negocio.

Anlisis de riesgos. Es la etapa en la que se recopila la informacin acerca de la exposicin de la operacin al riesgo tecnolgico, con el fin de tomar decisiones y administrar los riesgos de forma apropiada.

123

2.1.10. Proceso de administracin de riesgo


2.1.11. Tratamiento de riesgo

125

2.1.12. Efecto esperado de las acciones de tratamiento


2.1.13. Medicin de un riesgo tecnolgico Para medir un riesgo tecnolgico es importante:

Cualitativo: magnitud de las consecuencias relacionadas con el riesgo Cuantitativo: cantidad de ocurrencias relacionadas con el riesgo

Con cada una se puede hacer la medicin y determinar los valores que proporcionen la severidad del impacto y la probabilidad de ocurrencia.

Con la administracin del riesgo se podr dar un tratamiento a cada uno de los casos que se presenten, con base en su impacto y probabilidad.

Sin embargo, hay que preguntar:

quin va a medir los riesgos tecnolgicos? Y de quin es la responsabilidad?

127

2.1.13. Medicin de un riesgo tecnolgicoLa participacin de los stakeholders dentro de la medicin

del riesgo tecnolgico debe ser una prioridad para el negocio?

Quiz la respuesta sera, si se trata de riesgos de tecnologa, que la responsabilidad es de las reas de Tecnologas de Informacin (TI); aunque, surge otra pregunta cmo va a determinar el personal de TI la magnitud del impacto al proceso de negocio y a los objetivos de la empresa?, porque a pesar de formar parte de la operacin, no conforma todo el proceso.

Por eso la participacin de los stakeholders dentro de la medicin del riesgo tecnolgico debe ser una prioridad para el negocio, con la finalidad de identificarcon claridad los riesgos, las consecuencias, las actividades requeridas para su administracin, as como medir y determinar la prdida (en nmeros), en caso de que se materialice el riesgo.

128

Importancia de la participacin de los stakeholders:

Encuesta realizada por el ITGI a 200 profesionales de TI, en 14 pases (incluyendo el continente americano), de la totalidad de encuestados:

Slo en 37% de las compaas, los stakeholders de las unidades de negocio participan en el proceso de

administracin de riesgos tecnolgicos.

2.1.13. Medicin de un riesgo tecnolgico

129

2. GESTIN DE RIESGOS DE TI2.2. Principales marcos para la Administracin de Riesgos de TI

130

2.2. Principales marcos para la Administracin de Riesgos de TI COBIT Control Objectives for Information and related Technology (ISACA).

ISO 27005 Gestin del Riesgo en la Seguridad de la Informacin.

AS/NZS 4360 [Australia/Estndares Nueva Zelanda]

IT Risk (ISACA).

MAGERIT - Metodologa de Anlisis y Gestin de Riesgos de los Sistemas de Informacin (Gobierno de Espaa).

OCTAVE - Operational Critical Threat, Asset and Vulnerability Evaluation - Evaluacin de Amenazasy Vulnerabilidades de Recursos Crticos Operacionales (Carnegie MellonUniversity).

NIST National Institute of Standards and Technology; Risk Management Guide for InformationTechnology Systems.

131

2. GESTIN DE RIESGOS DE TI2.3. Riesgo Operativo

132

El riesgo operativo es la posibilidad de ocurrencia de prdidas financieras por eventos derivados de fallas o insuficiencias en los procesos, personas, tecnologa de informacin y por eventos externos.

El riesgo operativo incluye el riesgo legal en los trminos establecidos en la norma. (fallas o deficiencias en el cumplimiento de las disposiciones legales)

El riesgo operativo no trata sobre la posibilidad de prdidas originadas en cambios inesperados en el entorno poltico, econmico y social.

2.3. Riesgo OperativoQu es?

Resolucin No JB-2005-834 de 20 de octubre del 2005133

Con el propsito de que se minimice la probabilidad de incurrir en prdidas financieras atribuibles al riesgo operativo, deben ser adecuadamente administrados los siguientes aspectos, los cuales se interrelacionan entre s:

2.3. Riesgo OperativoFactores del Riesgo Operativo

Procesos Personas

Tecnologa de Informacin Eventos Externos

Factores de Riesgo

Definir criterios

Identificar riesgos

Analizar riesgos

Evaluar riesgos

Mitigar riesgos

Monito

rear y

Revisa

r

Com

unica

r y

Consulta

r

Etapas de la Administracin del Riesgo Operativo

134Resolucin No JB-2005-834 de 20 de octubre del 2005

Con el objeto de garantizar la optimizacin de los recursos y la estandarizacin de las actividades, las instituciones controladas deben contar con procesos definidos de conformidad con la estrategia y las polticas adoptadas, que debern ser agrupados de la siguiente manera:

Procesos gobernantes o estratgicos.

Procesos productivos, fundamentales u operativos.

Procesos habilitantes, de soporte o apoyo.

2.3. Riesgo OperativoFactores del Riesgo Operativo [Procesos]


2.3. Riesgo OperativoFactores del Riesgo Operativo [Procesos]Ejemplo de una compaa comercial


2.3. Riesgo OperativoFactores del Riesgo Operativo [Procesos]Ejemplo de una compaa minera

Adquisicin de Productos y

Servicios

Produccin y explotacin de

minas

-

Medio ambiente salud y seguridad industrial

Procesos de

gerenciamiento y soporte

Jurdica fiscal y tributaria

Tecnologa

Tesorera

Contabilidad y reportes financieros

Recursos humanos

Administracin de inventarios y

control de produccin

Logstica y fletes Ventas y facturacin

Activos fijos e inversiones

Planeacin estrategicaProcesosestrategico

Procesos CORE


Las polticas deben referirse por lo menos a: 1. diseo claro de los procesos.2. descripcin en secuencia lgica y ordenada

de las actividades, tareas, y controles; 3. determinacin de los responsables de los

procesos.4. difusin y comunicacin de los procesos.5. actualizacin y mejora continua.

Las instituciones controladas debern mantener inventarios actualizados de los procesos existentes, que cuenten, como mnimo con la siguiente

informacin: tipo de proceso (gobernante, productivo y de

apoyo), nombre del proceso, responsable, productos y servicios que genera el proceso, clientes internos y externos, fecha de aprobacin, fecha de actualizacin, adems de sealar si se trata de un proceso

crtico.

2.3. Riesgo OperativoFactores del Riesgo Operativo [Procesos]


Identificar apropiadamente las fallas o insuficiencias asociadas al factor personas, tales como:

falta de personal adecuado, negligencia, error humano, nepotismo de conformidad con las disposiciones legales vigentes, inapropiadas relaciones interpersonales y ambiente laboral desfavorable, falta de especificaciones claras en los trminos de contratacin del personal, entre otros.

Se deber definir formalmente polticas, procesos y procedimientos que contemplen:Procesos de incorporacinProcesos de permanenciaProcesos de desvinculacin

2.3. Riesgo OperativoFactores del Riesgo Operativo [Personas]


Contar con la tecnologa de informacin que garantice la captura, procesamiento, almacenamiento y transmisin de la informacin de manera oportuna y confiable;

Evitar interrupciones del negocio; y,

Lograr que la informacin, inclusive aquella bajo la modalidad de servicios provistos por terceros, sea ntegra, confidencial y est disponible para una apropiada toma de decisiones.

2.3. Riesgo OperativoFactores del Riesgo Operativo [Tecnologa de Informacin]


Se debe definir formalmente polticas, procesos y procedimientos que aseguren la adecuada planificacin y administracin de la tecnologa de informacin, se debe considerar al menos lo siguiente:

Soporte adecuadamente los requerimientos de operacin actuales y futuros de la entidad.Satisfagan los requerimientos de la entidad.Que el sistema de administracin de seguridad satisfaga las necesidades de la entidad para salvaguardar la informacin contra el uso, revelacin y modificacin no autorizados, as como daos y prdidas.Garantizar la continuidad de las operaciones.Garantizar que el proceso de adquisicin, desarrollo, implementacin y mantenimiento de las aplicaciones satisfagan los objetivos del negocio.Garantizar que la infraestructura tecnolgica que soporta las operaciones, sea administrada, monitoreada y documentada de forma adecuada.Seguridad en canales electrnicosCajeros automticosPuntos de ventaBanca electrnicaBanca mvilSistemas de audito respuestasCorresponsales no bancarios

2.3. Riesgo OperativoFactores del Riesgo Operativo [Tecnologa de Informacin]


En la administracin del riesgo operativo, las instituciones controladas deben considerar la posibilidad de prdidas derivadas de la ocurrencia de eventos ajenos a su control, tales como:

fallas en los servicios pblicos, ocurrencia de desastres naturales, atentados y otros actos delictivos,

Los cuales pudieran alterar el desarrollo normal de sus actividades. Para el efecto, deben contar con planes de contingencia y de continuidad del negocio.

2.3. Riesgo OperativoFactores del Riesgo Operativo [Eventos Externos]


2.3. Riesgo OperativoFactores del Riesgo Operativo [Resumen]

Personas

Tecnologa de informacin

Procesos

Inversin en TecnologaDesarrollo de sistemas

Seguridad en los sistemasCapacidad/Fallas

Fraude de empleados

Leyes laboralesFalta de personal

clave

Tasas o plazos Procesamiento de

transaccionesDocumentacin

ProveedoresDesastres naturales

Atentados

Internos Eventos Externos


El diseo del proceso de administracin de riesgo operativo deber permitir

2.3. Riesgo OperativoAdministracin del riesgo operativo

Identificar Medir Controlar Monitorear

Exposiciones


2. GESTIN DE RIESGOS DE TI2.4. The Risk intelligence Map

146

2.4. The Risk intelligence Map

El Risk Intelligence Map es una recopilacin de situaciones (QUE) que pueden existir en una organizacin, pueden existir ms.

La estructura del Risk intelligence Map se deriva de COSO ERM. 147Fuente: Deloitte.


148

Fuente: Deloitte.


149

Fuente: Deloitte.

2. GESTIN DE RIESGOS DE TI2.5. Revisin marco COBIT 4.1

150

Evolucin

151Fuente: ISACA.ORG

Relacin entre marcos y normas


Dnde encaja COBIT?


Procesos de Tecnologa de la Informacin -COBIT COBIT establece los procesos de gestin de la Tecnologa de la Informacin.

Estos procesos permiten realizar todas las actividades necesarias para lograr efectividad y eficiencia en las operaciones de Tecnologa de la Informacin.

Adicionalmente, provee un modelo de madurez para identificar la situacin de la Gestin de Tecnologa de la Informacin.

154

Marco de Trabajo COBIT El Marco de Trabajo COBIT fue creado con las siguientes caractersticas

principales: Enfocado al Negocio Orientado a Procesos Basado en Controles Dirigido por Mediciones

COBIT es el acrnimo de Control Objectives for Information and related Technology.

155

COBIT: Premisa El marco de trabajo COBIT est basado en la premisa que la tecnologa de la

informacin debe entregar la informacin que la empresa requiera, para alcanzar sus objetivos.

El Marco de Trabajo COBIT ayuda a alinear la tecnologa de la informacin con el negocio, enfocndose en los requerimientos de informacin del negocio y organizando los recursos de TI. COBIT provee el marco de referencia y la gua para implementar el gobierno de TI


COBIT: Principio El Principio del Marco de Trabajo COBIT; es unir las expectativas que la alta

direccin tiene de tecnologa con las responsabilidades administrativas. El objetivo, es facilitar el Gobierno de TI para entregar valor mientras se administran sus riesgos tecnolgicos.


Marco de Trabajo COBIT 4.1 Como Marco de referencia de control y gobierno para TI, COBIT se enfoca en dos

reas claves: Proveyendo la informacin requerida para soportar los objetivos y requerimientos

de la organizacin. Tratando la informacin como resultado de la aplicacin combinada de recursos

relacionados con TI que necesitan ser administrados por procesos De TI.

Procesos de TI

Requerimientos de la organizacin

Enfoque de control

Consideraciones

Criterios de informacinEfectividadEficienciaConfidencialidadIntegridadDisponibilidadConformidadConfiabilidad


Cubo COBIT 4.1 COBIT describe el ciclo de vida de TI con la ayuda de cuatro dominios:

Planear y Organizar Adquirir e Implementar Entrega y Soporte Monitorear y Evaluar

Procesos son series de actividades con lmites de control naturales. Existen 34 procesos a travs de cuatro dominios. Estos procesos especifican lo que el negocio necesita para cumplir sus objetivos. La entrega de informacin es controlada por los 34 procesos de TI.

Actividades son acciones que son requeridas para alcanzar resultados medibles. Incluso, las actividades tienen ciclos de vida e incluyen muchas tareas discretas.


COBIT 4.1


Cubo COBIT 4.1: Dominios de TIPlanear y Organizar(PO) Objetivos:

Formular estrategias y tcticas Identificar como la TI puede contribuir a alcanzar los objetivos de la

organizacin. Planear, comunicar y administrar la realizacin de la visin estratgica. Implementar la infraestructura organizacional y tecnolgica.

Enfoque: Estn la TI y la organizacin estratgicamente alineados? Est logrando la organizacin un ptimo uso de sus recursos? Todo mundo en la organizacin entiende los objetivos de TI? Los riesgos de TI estn siendo entendidos y administrados? La calidad de los sistemas de TI es apropiada para las necesidades de

la organizacin?

161

Cubo COBIT 4.1: Dominios de TIAdquirir e Implementar (AI) Objetivos:

Identificar, desarrollar o adquirir, implementar e integrar las soluciones de TI.

Cambios y mantenimiento de los sistemas existentes. Enfoque:

Los nuevos proyectos entregarn soluciones que satisfagan las necesidades de negocio?

Los nuevos proyectos se entregarn a tiempo y dentro del presupuesto?

Funcionarn los nuevos sistemas apropiadamente cuando se implementen?

Los cambios sern hechos sin afectar las actuales operaciones de negocios?

162

Cubo COBIT 4.1: Dominios de TIEntrega y Soporte (DS) Objetivos:

El proceso de entrega de los servicios requeridos. La administracin de la Seguridad, continuidad, datos e instalaciones

operativas. Servicio de soporte para usuarios.

Enfoque: Los servicios de TI son entregados de acuerdo a las prioridades

institucionales? Los costos de TI estn optimizados? La fuerza laboral es capaz de utilizar los sistemas TI de forma

productiva y segura? Son adecuadas la confidencialidad, integridad y disponibilidad de los

sistemas?

163

Cubo COBIT 4.1: Dominios de TIMonitorear and Evaluar (ME) Objetivos:

Administracin del Desempeo Monitoreo del Control Interno Garantizar el cumplimiento regulatorio Proveer gobierno de TI

Enfoque: El desempeo de TI es medido para detectar problemas antes que sea

demasiado tarde? La administracin asegura que los controles sean efectivos y

eficientes? Puede vincularse el desempeo de TI a las metas de negocio? Los riesgos, controles, incumplimientos y desempeo son medidos y

reportados?164

Modelo de Madurez de COBIT

0 El proceso no es realizado. 1 El proceso es realizado sin planificacin. 2 El proceso se realiza siguiendo un patrn regular. 3 El proceso est documentado y comunicado. 4 El proceso es monitoreado y medido. 5 Las prcticas lderes son seguidas y automatizadas.

165

Nivel de Documentacin y Concientizacin

N

i

v

e

l

d

e

E

f

e

c

t

i

v

i

d

a

d

y

C

u

m

p

l

i

m

i

e

n

t

o

Grado de Supervisin de la GerenciaNivel de Confianza en los ControlesSofisticacin de las Actividades de Monitoreo

Estado empresarial actual

Estndar internacional

Mejor prctica en la industria

Estrategia empresarial

COBIT 5


Principales diferencias entre COBIT 4.1 y COBIT 5

Existe un nuevo Dominio (ahora son 5), que se enfoca en aspectos de Gobierno de TI, denominado EDM Evaluar, Dirigir & Monitorear y que cubre el antiguo proceso ME4 de COBIT 4.

La cantidad de procesos se ha incrementado de 34 a 37

Si bien los objetivos de control que corresponden a cada proceso de COBIT 4, se mantienen mayoritariamente dentro del mismo Dominio, existen excepciones como las siguientes:

PO10 Administrar los proyectos, pas al Dominio BAI. AI5 Procurar recursos de IT, pas al Dominio APO. DS1 Definir y Administrar los niveles de servicio, pas al Dominio APO. DS2 Administrar los servicios de Terceros, pas al Dominio APO. DS3 Administrar el desempeo y la capacidad, pas al Dominio BAI. DS6 Identificar y asignar costos, pas al Dominio APO. DS7 Educar y Entrenar a los usuarios, pas al Dominio APO.

En el dominio APO Administrar, Planear y Organizar, se observa mayor reorganizacin interna de los objetivos de control, es decir que un antiguo proceso de COBIT 4, ahora puede estar distribuido como parte de hasta 5 procesos del mismo dominio en COBIT 5.

El proceso DS12 Administrar el Ambiente Fsico ahora forma parte del DSS5 Gestionar los Servicios de Seguridad

Existen nuevos procesos cuyo contenido es en su mayora producto de COBIT 5, como mencionamos EDM1 Definir el Framework para el Gobierno APO1 Definir el Framework para el Administracin APO4 Gestionar Innovacin APO13 Gestionar Seguridad (tambin hay un Proceso DSS05 Gestionar los Servicios de Seguridad) BAI8 Gestin del Conocimiento


COBIT 5: Principios

COBIT 5 permite que la informacin y la tecnologa relacionada pueda ser gobernada y administrada de manera integral para toda la empresa, teniendo en cuenta los intereses relacionados con TI de las partes interesadas internas y externas.

Los 5 principios de COBIT y los facilitadores son de carcter genrico y til para las empresas de todos los tamaos, ya sea comercial, sin fines de lucro o en el sector pblico.


2. GESTIN DE RIESGOS DE TI2.6. Metodologa para realizar un anlisis de riesgos de Confidencialidad, Integridad y Disponibilidad

169

Objetivos

Brindar los conceptos bsicos relacionados con el anlisis de riesgos de los activos de informacin electrnica

Presentar la Metodologa de Anlisis de Riesgos

170

La seguridad informtica no es un esfuerzode una sola vez

IT Governance Institute, 2005

171

2.6.1. Conceptos bsicos Activo de informacin : en medio electrnico, magntico, ptico, papel u otro que

almacena o procesa informacin

172

2.6.1. Conceptos bsicosInventario de activos de informacin electrnica: Existen diferentes enfoques para obtener un inventario de activos de informacin Especficamente nos interesa un inventario que permita relacionar:

Proceso de la compaa Activo de la informacin Tipo de activo Dueo Nivel de impacto por prdida de:

Confidencialidad Integridad Disponibilidad

173

2.6.2. Metodologa de Anlisis de RiesgosEnfoque normativo

Las actividades a realizar se han definido con base en el estndar ISO27001:2005

Porqu basarse en este estndar?

Conocer el nivel de seguridad existente en la informacin de la compaa

Tener suficientes elementos para abordar inversiones futuras siguiendo no slo criterios de capacidad sino tambin de seguridad.

Provee un modelo para establecer y administrar un sistema de gestin de la seguridad de la informacin (ISMS) efectivo

174

2.6.2. Metodologa de Anlisis de RiesgosEnfoque normativo

175

PHVAPDCA

2.6.2. Metodologa de Anlisis de RiesgosEnfoque normativoPLAN: Establecer el ISMS: Definir el alcance del ISMS Definir una poltica de ISMS Definir un enfoque de anlisis de riesgos Identificar los riesgos Analizar y evaluar los riesgos Identificar y evaluar las opciones de tratamiento de riesgos Seleccionar los objetivos de control y los controles para el tratamiento de riesgos Obtener la aprobacin del riesgo residual Autorizar la implementacin y operacin del ISMS Preparar una declaracin de aplicabilidad

Actividades de Anlisis de Riesgos que permiten identificar los requerimientos de seguridad de la informacin del negocio

176ISMS: Information Security Management System

2.6.2. Metodologa de Anlisis de RiesgosLa metodologa La metodologa de evaluacin de riesgos es la siguiente:

FASE I:

Identificar y calificar los activos de informacin

FASE II:

Identificar y evaluar los riesgos

FASE III:

Identificar y seleccionar

alternativas de tratamiento de los

riesgos


2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacin

Esta fase se realiza por procesos de negocio de la compaa.

Mediante la realizacin de entrevistas con los dueos de la informacin se ejecutan las siguientes actividades:

Obtener entendimiento de los procesos Identificar la informacin necesaria para el desarrollo de los

procesos y la informacin generada por las actividades que componen los procesos.

Identificar los activos de informacin que almacenan o procesan la informacin identificada.

Determinar el nivel cualitativo (o cuantitativo) de impacto asociado a la Confidencialidad, Integridad y Disponibilidad para cada activo.

178

2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacin Se califica el nivel de impacto por prdida de confidencialidad, integridad y

disponibilidad para cada uno de los criterios:

Financiero prdidas econmicas para la

compaa.

Eficiencia del procesoReejecucin o ejecucin lenta de los procesos de

negocio.

Servicio al cliente Afectacin de la imagen o de la calidad del servicio a los clientes de la compaa.

179

2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacin Los dueos de la informacin califican el nivel de impacto en una escala de 1 a 5,

siendo: 5 la calificacin ms alta (mayor impacto) 1 la calificacin ms baja (menor impacto)

Las calificaciones se promedian y se obtiene una calificacin nica por activo

Nivel de Impacto (1-5)

Activo Confidencialidad promedio

Integridad promedio

Disponibilidad promedio

Calificacin promedio

Activo 1 4.33 1.33 3 2.89

Activo 2 2.33 4 4 3.11

Activo n 3.33 5 3.67 4.00

180


La calificacin numrica se convierte a una escala de Alto, Medio yBajo

Las calificaciones de los activos de informacin electrnica puedeasimilarse como un fenmeno que sigue un modelo normal dedistribucin de probabilidad.

182

2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacinCon base en este hecho se clasifican los activos:

: Media: Desviacin estndar

Para cada uno de los activos que obtienen una clasificacin de impacto Alto seejecutan las Fases II y III de la metodologa que se definen en lminas siguientes.

Clasificacin Calificacin de impacto

Alto Mayor o igual a +

Medio Mayor a

Menor a +

Bajo Menor o igual a -

183

2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacinCuestionario identificacin de activos


2.6.2. Metodologa de Anlisis de RiesgosFASE I: Identificar y calificar activos de informacin Formulario 1 - Inventario de Activos de informacin por proceso con clasificacin

188

2.6.2. Metodologa de Anlisis de RiesgosLa metodologa La siguiente fase es Identificar y evaluar los riesgos:

FASE I:

Identificar y calificar los activos de informacin

FASE II:

Identificar y evaluar los riesgos

FASE III:

Identificar y seleccionar

alternativas de tratamiento de los

riesgos

189

2.6.2. Metodologa de Anlisis de RiesgosFASE II: Identificar y evaluar los riesgos

El primer objetivo de esta etapa es la identificacin de vulnerabilidades que pueden ser explotadas por una fuente de amenaza para cada uno de los activos de informacin.

Para la identificacin de vulnerabilidades del sistema se define y aplica de una lista de chequeo de requerimientos de seguridad.

El tipo de vulnerabilidad varia dependiendo de la naturaleza del activo.

190

2.6.2. Metodologa de Anlisis de RiesgosFASE II: Identificar y evaluar los riesgos

Lista de Chequeo de Controles: Contiene los estndares bsicos de seguridad y se utiliza para evaluar e identificar sistemticamente las vulnerabilidades asociadas a los activos. Son controles relacionados con:

Seguridad administrativa Seguridad operativa Seguridad tcnica

Es esencial mantener actualizadas las listas de chequeo para reflejar cambios en el ambiente de control de una organizacin.

191

2.6.2. Metodologa de Anlisis de RiesgosFASE II: Identificar y evaluar los riesgos La valoracin del impacto de una vulnerabilidad se realiza utilizando la siguiente

clasificacin:

Nivel Definicin

Alto La explotacin de la vulnerabilidad (1) puede causar una prdida, de alto costo, de importantes activos y/o recursos tangibles (2) puede violar, daar o impedir significativamente la misin, la reputacin o los intereses de la organizacin (3) puede causar muerte de personas o lesiones severas.

Medio (1) puede causar la prdida costosa de los activos y/o recursos tangibles

Auditoria de Tecnología Basada en Riesgos 160813 [ESTUDIANTES]x

Documents

Transcript of Auditoria de Tecnología Basada en Riesgos 160813 [ESTUDIANTES]x