Embed Size (px)
Citation preview
www.isaca.org 11
Auditoría de Gestión de Riesgos de Tecnología
Maricarmen García, CBCP
Pag.1
Sesión # 312
2009CostaRica
www.isaca.org 22Pag.2
Agenda
• Introducción• Estándares y mejores prácticas internacionales• Principios de la Gestión de Riesgos de Tecnología• El proceso de auditoría para la Gestión de Riesgos de Tecnología• Como ejecutar la auditoría de riesgos de Tecnología• Técnicas utilizadas y resultados esperados
www.isaca.org 33Pag.3
Introducción
www.isaca.org 44Pag.4
Estándares y mejores prácticas internacionales
www.isaca.org 55Pag.5
Marcos de referencia
• ISO 31000• BS 31100• Basilea II• AS/NZS 4360• ISO/IEC 27005• ITGI - Risk IT• OCTAVE
• CRAMM• MAGERIT• BS 7799-3• NIST SP800-30• ARMS• UNE 71504• M_o_R
www.isaca.org 66Pag.6
Principios de la gestión de riesgos de tecnología
www.isaca.org 77Pag.7
Principios de la gestión de riesgosISO 31000
La gestión de riesgos:
… crea valor
… es parte integral de los procesos de la organización
… es parte de la toma de decisiones
… atiende la incertidumbre específicamente
… es sistemática, estructurada y oportuna
… se basa en la mejor información disponible
… está adaptada a la organización
… considera factores humanos y culturales
… es transparente e inclusiva
… es dinámica, iterativa y responde al cambio
… facilita la mejora continua
www.isaca.org 88Pag.8
Principios de la gestión de riesgosISACA / ITGI – Risk IT
La gestión de riesgos de Tecnología de Información:
… está conectada a los objetivos del negocio
… alinea la gestión de riesgos del negocio relacionados con TI con la gestión de riesgos organizacional
… busca el balance entre los costos y beneficios de gestionar riesgos
… promueve una comunicación de riesgos de TI justa y abierta
… establece el tono adecuado desde arriba, mientras define y refuerza la responsabilidad personal para operar con niveles de tolerancia aceptables y bien definidos
… es un proceso continuo, parte de las actividades diarias
www.isaca.org 99Pag.9
ISO 31000 (Borrador)
Compromiso de la gerencia
Diseño del marco de referencia
Implementar la gestión de riesgos
Monitorear y revisar
Mejora continua
www.isaca.org 1010Pag.10
ISO 31000 (Borrador)
Establecer el contexto
Identificación riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Com
unicación y consulta
Monitoreo y revisió
n
www.isaca.org 1111Pag.11
BS 31100
Mandato y compromiso
Diseño del marco de referencia
Implementar la gestión de
riesgos
Monitorear y revisar
Mantenimiento y mejora
www.isaca.org 1212Pag.12
BS 31100
Revisar
Identificar
EvaluarResponder
Reportar
www.isaca.org 1313Pag.13
ISO 27005
Establecer el contexto
Identificación riesgos
Estimación de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Aceptación de riesgos
Com
unicación de riesgos
Monitoreo y revisió
n de riesgos
Inicio
Reducir
Retener
EvitarTransf.
www.isaca.org 1414Pag.14
The Risk IT Framework
Habilitar beneficios / valor de TI
Entrega de programas y proyectos de TI
Entrega de operaciones y servicios de TI
Valor del negocio
No Ganar Ganar
Valor del negocio
Perder Preservar
www.isaca.org 1515
Risk Evaluation© 2008 ITGI
Risk IT Foundation
Collect Data
Analyse Risk
Maintain Risk Profile
Risk Response
Articulate Risk
Manage Risk
React to Events
Risk Governance
Establish & Maintain a
Common Risk View
Integrate with ERM
Make Risk-aware Business
Decisions
Communication
Pag.15
The Risk IT Framework
Componentes
www.isaca.org 1616Pag.16
El proceso de auditoría para la gestión de riesgos de
tecnología
www.isaca.org 1717Pag.17
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
www.isaca.org 1818Pag.18
Iniciar la auditoría
• Designar al líder le auditoría• Definir objetivos, alcance y criterios• Determinar factibilidad• Seleccionar equipo de auditoría• Identificar responsables por parte del auditado
www.isaca.org 1919Pag.19
Competencias del auditor de riesgos de tecnología
• Conocimiento y entendimiento de la gestión de riesgos de tecnología.
• Experiencia y conocimiento en tecnología de información.• Conocimiento de requerimientos legales y regulatorios relativos a
gestión de riesgos de tecnología.• Habilidades y entrenamiento en gestión de riesgos.• Conocimiento de herramientas y software para la gestión de
riesgos.• Conocimiento de estándares y mejores prácticas para la gestión de
riesgos de tecnología.
www.isaca.org 2020Pag.20
Definir el criterio de auditoría
•Leyes•Regulaciones•Contratos•Acuerdos de Niveles de servicio•Estatutos•Normatividad interna•Estándares internacionales•Otras mejores prácticas
www.isaca.org 2121Pag.21
Definir el criterio de auditoría
ISO 31000IEC/DIS 31010
BS 31100
ISO/IEC 27005
Risk IT
Basilea IIOCTAVE
NIST SP800-30
AS/NZS 4360
M_o_R
CRAMMMAGERIT
TRA Working Guide
BS 7799-3ARMS
UNE 71504
ERM Coso
Leyes
Metodología Interna
Regulaciones
www.isaca.org 2222Pag.22
Conducir revisión preliminar
• Revisar documentos relevantes asociados con la gestión de riesgos de tecnología, incluyendo registros y su adecuación con el criterio de auditoría.
• Ejemplos:• Política de gestión de riesgos de tecnología• Metodología de gestión de riesgos de tecnología• Reportes de análisis y evaluación de riesgos
www.isaca.org 2323Pag.23
Desarrollar plan de auditoría
• Preparar plan de auditoría
• Asignar trabajo a miembros del equipo
• Preparar documentos de trabajo
www.isaca.org 2424Pag.24
Elementos a revisar
• Entendimiento de la organización• Revisar y evaluar:
• Consideración de aspectos del contexto externo de la organización.
• Consideración de aspectos del contexto interno de la organización
www.isaca.org 2525Pag.25
Elementos a revisar
• Política de gestión de riesgos• Revisar y evaluar:
• Compromiso y objetivos de la organización, respecto a la gestión de riesgos de TI.
• Liga entre la política de gestión de riesgos y otras políticas de la organización.
• Responsabilidades respecto a la gestión de riesgos de tecnología.• Manejo de conflictos de interés.• Apetito de riesgo de la organización.• Procesos, métodos y herramientas para la gestión de riesgos de
tecnología.• La forma en que el desempeño de la gestión de riesgos será medido y
reportado.
www.isaca.org 2626Pag.26
Elementos a revisar
• Integración dentro de los procesos organizacionales
• Revisar y evaluar:• Integración de la gestión de riesgos de tecnología en
las practicas y procesos de la organización,• Particularmente:
• Desarrollo de políticas.• Planeación.• Procesos de gestión de cambios.
www.isaca.org 2727Pag.27
Elementos a revisar
• Responsabilidad• Revisar y evaluar:
• Definición y formalización de responsabilidades y autoridades.• Especificación de responsabilidades para el desarrollo,
implementación y mantenimiento del marco de referencia.• Especificación de “propietarios” de riesgo para implementar
tratamiento del riesgo, mantenimiento de controles y reporte de información relevante.
• Niveles apropiados de reconocimiento, sanción.
www.isaca.org 2828Pag.28
Elementos a revisar
• Recursos asignados• Revisar y evaluar:
• Recursos asignados.• Gente (habilidades, experiencia, competencias).• Procesos y procedimientos documentados.• Sistemas de gestión de información y
conocimiento.
www.isaca.org 2929Pag.29
Elementos a revisar
• Mecanismos de comunicación y reporte• Revisar y evaluar:
• Comunicación de riesgos.• Información disponible en los niveles apropiados de
la organización.• Procesos de consulta con las partes interesadas.
www.isaca.org 3030Pag.30
Elementos a revisar
• Implementación de la Gestión de Riesgos de Tecnología• Revisar y evaluar:
• Definición de un tiempo y estrategia adecuados para la implementación de la gestión de riesgos
• Aplicación de la política y procesos de gestión de riesgos.• Cumplimiento con requerimientos legales y regulatorios.
www.isaca.org 3131Pag.31
Elementos a revisar
• Implementación de la Gestión de Riesgos de Tecnología (Continuación).
• Revisar y evaluar:
• Toma de decisiones justificada y documentada.• Resguardo de información.• Sesiones de entrenamiento.• Comunicación y consulta con partes interesadas.
www.isaca.org 3232Pag.32
Elementos a revisar
• Monitoreo y revisión• Revisar y evaluar:
• Establecimiento de medidores de desempeño.• Medición periódica del proceso.• Revisión de que tan apropiados son la política, el
marco de referencia y el plan de gestión de riesgos.• Reporte de riesgos.• Revisión de la efectividad.
www.isaca.org 3333Pag.33
Elementos a revisar
• Criterio de riesgo• Revisar y evaluar si son considerados factores como:
• Naturaleza y tipos de consecuencias.• Definición de “probabilidad / posibilidad”.• Líneas de tiempo para probabilidad / posibilidad y/o
consecuencias.• Como será determinado el nivel de riesgo.• El nivel en el que el riesgo es aceptable o tolerable.• Nivel de riesgo que requiere tratamiento.• Si las combinaciones de riesgos se considerarán.
www.isaca.org 3434Pag.34
Elementos a revisar
• Identificación de riesgos.• Revisar y evaluar si la organización identifica:
• Fuentes de riesgo.• Áreas de impacto.• Eventos y sus causas.• Consecuencias potenciales.• Vulnerabilidades• Amenazas
www.isaca.org 3535Pag.35
Elementos a revisar
• Análisis de riesgos• Revisar y evaluar si la organización:
• Considera las causas y fuentes del riesgo.• Consecuencias positivas y negativas.• Probabilidad / posibilidad de ocurrencia.• Factores que afectan las consecuencias o la
probabilidad / posibilidad.
www.isaca.org 3636Pag.36
Elementos a revisar
• Evaluación de riesgos• Revisar y evaluar si la organización:
• Compara el nivel de riesgos obtenido en le etapa de análisis con el criterio establecido.
• Da tratamiento a los riesgos que no cumplen con el(los) criterio(s) de aceptación.
www.isaca.org 3737Pag.37
Elementos a revisar
• Tratamiento de riesgos• Revisar y evaluar si la organización:
• Selecciona e implementa mecanismos para la modificación de los riesgos que no cumplen con el criterio de aceptación.
www.isaca.org 3838Pag.38
Elementos a revisar
• Registros del proceso• Revisar y evaluar si la organización:
• Cuenta con mecanismos para el registro de actividades de gestión de tecnología..
• Considera estos registros para la mejora del proceso de gestión de riesgos de tecnología.
www.isaca.org 3939Pag.39
Ejecutar auditoría
• Reunión de inicio• Comunicación durante la auditoría• Roles y responsabilidades• Recolectar y verificar información• Documentar hallazgos• Preparar conclusiones de la auditoría• Reunión de cierre
www.isaca.org 4040Pag.40
Preparar aprobar y distribuir informe de
auditoría
• Preparar reporte de auditoría
• Aprobación
• Distribución
www.isaca.org 4141Pag.41
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
www.isaca.org 4242Pag.42
Técnicas utilizadas y resultados esperados
www.isaca.org 4343Pag.43
Técnicas utilizadasy resultados esperados
• Revisión documental.
• Entrevista.
• Observación directa.
• Cuestionario.
• Muestreo.
www.isaca.org 4444Pag.44
Preguntas?
2008 Santiago Chile
www.isaca.org 4646
Bogotá, ColombiaMarzo, 2010
Te esperamos!
www.isaca.org 4747
International Conference 2010
Cancún,
México 6 al 9 de Junio de
2010
Te esperamos!
