Post on 14-Dec-2015
description
ÍNDICE
• INTRODUCCIÓN.• GOBIERNO• INFRAESTRUCTURA.• INFORMACIÓN Y BASES DE DATOS.• SEGURIDAD.• CONTINUIDAD DE NEGOCIO.• CONCLUSIÓN GENERAL.
• Automatización de los procesos operativos y contables.
• La globalización.
• Internet.
• El crecimiento de las transacciones electrónicas.
• Banca móvil.
• Aumento del riesgo del auditor financiero y/u operativo:
S(e) = R(c)*R(d)
Introducción
• Riesgo Tecnológico es el potencial de que una determinadaamenaza tecnológica pueda explotar las vulnerabilidades deun activo y causar pérdidas o daños a la empresa, es decir:
Introducción
Bajo Medio AltoProbabilidad de ocurrencia
Bajo
Medio
Alto
I
M
P
A
C
T
O
Exposición/Riesgo
Inaceptables
Exposición/Riesgo
Aceptables
• La auditoría de sistemas o de riesgo tecnológico, es el procesode recoger, agrupar y evaluar evidencias para determinar si unsistema o proceso informatizado:
• Salvaguarda los activos.
• Mantiene un adecuado control de acceso.
• Mantiene la integridad de los datos.
• Asegura la disponibilidad de sus funcionalidades.
• Lleva a cabo eficazmente los objetivos de la organización.
Introducción
Introducción
Proceso 1ARCHIVO 1
ARCHIVO 2
ARCHIVO 3
ARCHIVOS
INTERNOS
ARCHIVO
EXTERNO
Infraestructura/Servidores
BASES DE
DATOS
Gobierno Riesgo Tecnológico.
Existe una estructura organizativa adecuada?
Existe una correcta estructura de comités?
Se ha definido una matriz de riesgo?
Se ha definido el apetito de riesgo?
Se han definido políticas, estándares y procedimientos de gestión de riesgos?
Infraestructura.
ROUTER/GATEWAY
DMZ
IDS/IPS
Servidor Central
FIREWALL
PROXY
Acceso
Remoto
Internet
VPN
Red
Interna
Infraestructura.
Se gestiona la obsolescencia tecnológica?
Existen proyectos asociados a
obsolescencia?
Se ha definido el apetito de riesgo para la
obsolescencia?
Existe una correcta administración de los
accesos remotos?
Cuál es la configuración de seguridad del
equipo que se conecta en forma remota?
Infraestructura.
Existe una política que norme la
habilitación de acceso a VPN?
Existe procedimiento de altas y bajas
de usuarios de la VPN?
Cuáles son los privilegios otorgados a
los usuarios de la VPN?
Información y bases de datos.
Existe una metodología de gestión de los datos?
Se ha clasificado la información?
Se ha habilitado DLP (Data Loss Prevention) en bases criticas?
Existe controles o restricciones de uso para medios dealmacenamiento externo?
Seguridad
Seguridad Instalaciones
Seguridad Infraestructura
Seguridad Aplicaciones
Existe un correcto gobierno de seguridad?
Existe un plan director de seguridad?
Existe evaluaciones externas de seguridad (risk assessment)?
Existe un área de estudios de evolución de la ciberseguridad?
Existe un proceso de actualización de las políticas, estándares yprocedimientos de seguridad?
Continuidad de NegocioExiste un gobierno de continuidad?
Existe una matriz de riesgos y procesos?
Se ha definido un BIA (Business Impact Analysis)?
Se ha definido los registros críticos?
Se ha definido el punto de recuperación (Recovery Point Objective) y eltiempo de recuperación (Recovery Time Objective)?
Se ha definido las estrategias de contingencia (Hot Site, cold site y warmsite?
Continuidad de Negocio
0 – 1 hora
Tiempo Objetivo de RecuperaciónPunto Objetivo de Recuperación
4 – 24
horas1 – 4 horas 0 – 1 hora
Interrupción
1 – 4 horas4 – 24
horas
• Copias de respaldo en
cinta.
• Envío de registros
• Copias de respaldo en
disco.
• Replicas con demora.
• Envío de registros.
• Espejamiento de
datos.
• Replicas en tiempo
real
• Clustering activo-
activo
• Clustering activo-
pasivo
• Hot standby
• Cold standby
Continuidad de Negocio.
Tiempo
Costo
Tiempo fuera
de servicio
Estrategia de
recuperación
Costo Total
Mínimo
Dada la evolución tecnológica de la infraestructura, sistemas yaplicaciones que soportan la operativa de los negocios esimportante que las divisiones de auditoría interna cuenten con unárea específica para revisar el Riesgo Tecnológico.
Entre los programas que dicha área debe desarrollar, podemosseñalar:•Auditoría de la explotación: Revisar los controles sobre lasactividades que se necesitan ejecutar para actualizar lainformación de los sistemas.
•Auditoría del Desarrollo: Revisar los procedimientos quepermitan garantizar que el desarrollo de sistemas de informaciónse ha llevado a cabo según los principios metodológicos.
CONCLUSIÓN GENERAL
• Auditoría de Bases de Datos: Revisar las actividades decontrol y gestión de la información y cambios sobre las basesde datos que soportan las aplicaciones.
• Auditorías de Aplicaciones o Procesos: Evaluar el nivel decontrol y funcionalidades de las aplicaciones que soportan losprocesos de negocio.
• Auditoría de Seguridad: Revisar el correcto cumplimiento delas políticas, estándares y procedimientos de seguridad.
• Auditoría de Continuidad: Validar que la Sociedad cuenta conestrategias de continuidad que permiten mantener laoperatividad de sus negocios ante la ocurrencias de fallos quepudiesen afectar sus procesos.
CONCLUSIÓN GENERAL