Deloitte Training

Riesgos de tecnologa de
informacin implicaciones
y retos para la auditoria

Definicin del universo auditable y valoracin de

riesgos de TI
Mauricio Solano Redondo, Director
Presentado
por

Auditor de sistemas certificado (CISA).

Certificado en Riesgos y Controles Informticos (CRISC).

Certificado en Fundamentos de COBIT 4.1.

Certificado en Fundamentos de ITIL V3.

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

Agenda
Mitos y realidades del Auditor de T.I.
El proceso de Auditora de T.I.
Proceso para Anlisis de Riesgo.
Evaluacin del Riesgo.
Caso para Anlisis de Riesgos
Preguntas & Respuestas.

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

Mitos y realidades del auditor de T.I.

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

Mitos y realidades del Auditor de T.I. en la

evaluacin de riesgos

Mitos y
realidades

No es un accesorio!!!.

No es un requisito regulatorio!!!.

Es parte de la Auditoria Interna.

Debe dar valor a la funcin de la auditoria interna.

Debe tener la preparacin acadmica y la capacitacin

requerida para la gestin que desempea.

Debe tener una participacin relevante en la elaboracin

del anlisis de riesgos para establecer el plan de
auditoria o bien hacer por separado pero alineado su
propio anlisis de riesgos y el plan de auditoria de T.I.

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

El proceso de auditora de T.I.

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

El proceso de auditora de T.I. en la evaluacin de

riesgos

Ciclo de
Administracin
del riesgo

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

Evaluacin de Riesgo

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

Evaluacin de riesgo
Evaluacin de riesgos

Evaluacin de
Riesgo

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

Evaluacin de riesgo
Uno de los elementos ms importantes que fortalecen el anlisis
del riesgo es la definicin de los factores que inciden de manera
general en cada uno de los procesos TI.

Evaluacin de
riesgo

Los factores ms comunes son:

- Gente (recurso humano)
- Herramientas para el manejo de los procesos de TI

Entorno del negocio

- Complejidad de los procesos de TI y de las aplicaciones

- Documentacin de los procesos de TI y de las aplicaciones
- Nivel de supervisin y monitoreo de los procesos y practicas de
TI
- Ambiente de control y controles sobre los procesos de TI y de
las aplicaciones
- Efecto en clientes y usuarios de T.I.

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

Evaluacin de riesgo

1. Metodologa para realizar el inventario de riesgos:

Evaluacin de
riesgo

Identificacin de
Riesgos

Analizar el plan estratgico de TI con el fin de listar los

riesgos identificados por la Gerencia de TI.

Consulta a la Auditora Interna sobre los riesgos

identificados como parte del proceso de desarrollo del
plan anual.

Indagacin con los miembros del Comit de TI sobre

riesgos de TI percibidos por ellos.

Entrevistas con jefes funcionales o dueos de procesos

de TI.

Entrevista con el responsable de riesgos de la Entidad.

Recopilacin de riesgos de TI segn bases de datos de

las mejores practicas.

2. Definicin del universo de procesos.

10

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

Evaluacin de riesgo

1. Anlisis de Riesgos:

Evaluacin de
riesgo

Inventario de riesgos de TI: detalle pormenorizado de

riesgos identificados con base en las indagaciones y
entrevistas.

Universo de procesos: detalle de procesos del rea

de TI.

Mapa de riesgos por procesos del rea de TI:

comprende una grfica de los principales procesos del
rea de TI, priorizados de acuerdo al nivel de
exposicin.

Matriz de riesgos por procesos: documento que

describe cada uno de los riesgos identificados y que
objetivo de TI estn amenazando directamente.

Mapeo de estructura organizativa: corresponde a la

relacin de riesgos y los puestos que se ejecutan
dentro del rea de TI.

Resultados

2. Plan Inicial de Auditoria Interna de T.I.: documento que

especifica los objetivos, alcance, programa de ejecucin y
recursos requeridos y asignados.

11

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

Evaluacin de riesgo
Por lo importante que son los controles internos en los ambientes
informticos proponemos en esta fase el anlisis de Diseo,
Implementacin y Efectividad Operativa de los CGC, comparando
los resultados con las mejores practicas de la industria financiera.
Los CGC tienen especial importancia por la confianza que estos
aportan a los Entes de Gobierno Corporativo (Comit de Auditoria,
Alta Gerencia y Junta Directiva) sobre el proceso de generacin de
los estados financieros y dems informacin financiera. De igual
manera los controles generales del computador auxilian a mitigar
riesgos tales como los de continuidad del negocio, dao a la
imagen y los de fraude.

Evaluacin de
riesgo

Controles
Generales del
Computador

12

Arquitectura
Continuidad del Negocio
Contratacin & Externalizacin
Recursos Humanos TI
Seguridad de la Informacin
Privacidad & Proteccin de Datos
Gestin de Proyectos
Gestin de registros
Gestin de Activos
Gestin del Cambio
Gestin del Riesgo TI
Operaciones
Seguridad Fsica & Ambiental
Gestin de Problemas
Licenciamiento de Tecnologa
Gobernabilidad de TI
2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

Evaluacin de riesgos
Los riesgos para cada rea funcional se representan en el modelo de Impacto /
vulnerabilidad. Este modelo se utiliza para ayudar a la auditora y gestin interna
en la determinacin de la respuesta global del riesgo

Resultados de
la Evaluacin
de Riesgos
Tabla
MARCI

Areas Funcionales
1) Arquitectura
2) Continuidad del Negocio
3) Contratacin & Externalizacin
4) Recursos Humanos TI
5) Seguridad de la Informacin
6) Privacidad & Proteccin de Datos
7) Gestin de Proyectos
8) Gestin deregistros
9) Gestin de Activos
10) Gestin del Cambio
11) Gestin del Riesgo TI
12) Operaciones
13) Seguridad Fsica & Ambiental
14) Gestin de Problemas
15) Licenciamiento de Tecnologa
16) Gobernabilidad de TI

13

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

Resultados de la evaluacin de riesgos

Principales
Riesgos

14

rea Funcional de TI

Descripcin del Riesgo

Seguridad de la
Informacin

Falta de un individuo (ejm., Director de Seguridad de la Informacin) o funcin dedicada al

manejo de la seguridad.

Seguridad de la
Informacin

No existe programa para manejar exhaustivamente riesgos cibernticos.

Seguridad de la
Informacin

No se emplea un marco de seguridad global a travs de Compaa para identificar, controlar y

mitigar proactivamente los riesgos de seguridad TI.

Seguridad de la
Informacin

El equipo de seguridad de la Compaa no tiene visibilidad de las actividades de gestin de

riesgos de seguridad realizadas por los propietarios de las aplicaciones (aplicaciones de
produccin y aplicaciones de soporte / operaciones).

Seguridad de la
Informacin

No est claro si las consideraciones de seguridad se incorporarn a las nuevas

implementaciones de aplicaciones.

Seguridad de la
Informacin, RRHH,
Contratacin &
Externalizacin

El entrenamiento de Seguridad, para el personal de la Compaa y contratistas / terceros, no

est formalmente definido o entregado consistentemente a travs de la Compaa.

Seguridad de la
Informacin
Gestin de Activos

Porttiles heredados y PC no estn actualmente cifrados (encriptados). A medida que

arrendamientos terminan, nuevos porttiles y PC se emiten con el software de encriptacin
adecuado.

Proteccin de Privacidad
& Datos

No se ha establecido un programa global de privacidad en la Compaa. La falta de un

programa global de privacidad aumenta el riesgo de incumplimiento con las disposiciones de
privacidad especficas de cada pas.

Proteccin de Privacidad
& Datos

Organizaciones / unidades de negocio selectas en la Compaa manejan informacin protegida.

Existe el riesgo de que las prcticas de seguridad y privacidad de estas organizaciones pueda
no estar de acuerdo con normas de seguridad y privacidad.

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

Resultados de la evaluacin de riesgos

Principales
Riesgos

15

Area Funcional de TI

Descripcin del Riesgo

10

Contratacin &
Externalizacin

Dada la falta de un esquema de clasificacin de datos de seguridad / privacidad en la

Compaa, junto con la falta de controles formales de fuga de datos o de la tecnologa en la
Compaa, existe el riesgo de que los contratistas y terceros que apoyan Compaa puede
acceder y descargar los datos confidenciales de la Compaa que no estn autorizados para
acceder o descargar para su uso personal.

11

Gestin de Activos

Equipo de gestin de activos no tiene visibilidad a las prcticas de gestin de activos (por
ejemplo, el aprovisionamiento, activos jubilados trituracin de, discos duros, desinfeccin)

12

Gestin del Cambio

Gestin de cdigo fuente inconsistente.

Cambiar las polticas de gestin, procedimientos y protocolos para aplicaciones de produccin
y la infraestructura no es consistente. La falta de proceso de control de cambio consistente
puede resultar en el rendimiento del sistema degradado y o fallas en los sistemas de produccin
que den lugar a la prdida de negocio.

13

Adquisicion e
Integracin de TI

Existe un riesgo de que las entidades adquiridas por Compaa no estn integradas y dichas
entidades no tienen los adecuados controles de TI en marcha. Adems, para aquellas entidades
que se integran a la Compaa, existe un riesgo de que la integracin no se lleve a cabo de una
manera controlada.

14

Continuidad del
Negocio

Existe un riesgo de que el Plan de Continuidad de Negocios (PCN) que se desarroll en las
oficinas centrales y ahora est en proceso de ser desplegado a las sucursales no se despliegue
correctamente.

15

Tecnologas
Emergentes

Existe el riesgo de que las nuevas tecnologas (por ejemplo, tecnologa basadas en la nube,
aplicaciones de movilidad y dispositivos) no se desarrollen o se utilicen de una manera
controlada.

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

Caso para anlisis de riesgo

16

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados

Preguntas?

Contctenos
Barrio Dent, San Pedro,
3667-1000
San Jos, Costa Rica
Mauricio Solano R.
Director
Enterprise Risk Services

Main: +506 2246 5103

Direct: +506 2246 5211
Fax:
+506 2246 5207
msolano@deloitte.com

Firma miembro de Deloitte Touche Tohmatsu

17

2013 Deloitte & Touche, S.A. Todos los Derechos Reservados