Gestión de Riesgos Tecnológicos y Auditoría de TI en el marco de la transformación Digital

Alejandro Delgado G.

CISA, CISM, ISO27001LA, ISO22301LA

Socio & Director Comercial AUDISEC -GlobalSUITE

2

Carlos Villamizar R.

CISA, CISCM, CGEIT, CRISC, ISO27001LA, ISO22301 LI

Dir. Operaciones GlobalSUITE Colombia

3

About Us

4

+ 15.000Usuarios

95%Fidelización

> 1.000Clientes

22 Partners

> 15 Países

Taking a step beyond GRC

Rastreabilidad

Centralización

Automatización

Monitoreo

Business Continuity

Legal & Compliance

Critical Infrastructure

Protection

ISO Management

System

Risk Management

Data Protection Service Management

Audit Management

Information Security

5

Resumen de la presentación¡¡Objetivo Conseguido!!

Conclusiones

Lecciones aprendidas

Modelo MUC y 3LD

Comentaremos el modelo de las

tres líneas de defensa y el modelo

unificado de controles.

Automatización del Modelo

Veremos cómo optimizar y

automatizar este modelo.

Auditoría actual

Comentaremos cómo vemos la

ejecución de las auditorías en las

empresas actualmente.

6

Introducción

7https://www.youtube.com/watch?v=QyYxs9m6vNk

Introducción

8

Introducción

GRC es el término genérico que se utilizapara integrar tres áreas deresponsabilidad:

Gobierno: Garantizar los mecanismos paralograr que el personal siga las políticas yprocesos establecidos

Riesgo: administración de los riesgos paraque lleguen a niveles aceptables

Cumplimiento: Monitoreo de las políticas /procedimientos / regulaciones paragarantizar que se cumplen

9Fuente: OCEG: Compliance & Ethical Group

Información demográfica:

205 encuestados.Industria:30%: servicios financieros70%: Otros

Rol de GRC: 44%: líderes autodenominados de estrategia de GRC40%: participa en el desarrollo de la estrategia GRC.

Rol de GRC: 28% de gestión de riesgos, 17% de cumplimiento / ética,14% TI, 13% auditoría, 6% corporativo, 5% GRC centralizado

10

Principales Hallazgos:

La adopción de GRC está aumentando50% informan que la utilización es buena o excelente, en comparación con el 35% en 2016

La preferencia se está desplazando hacia la nube.45% prefirió soluciones SaaS en comparación con el 31% en 2016; solo el 30% prefiere modelo OnPremise en lugar del 39% en 2016

La mayoría planea mudarse a una única plataforma de GRC o una solución central de GRC en una arquitectura federada.De cara al futuro, el 70% prefiere una única plataforma de GRC o una solución central de GRC que integre otras soluciones.

La inversión en GRC aumenta y se convierte en una decisión a nivel empresarial.El 71% reportó que el gasto aumentará o seguirá igual.

11

Nivel de alineación y utilización

Alineamiento Organizacional de tecnologías GRC Utilización de tecnologías GRC existentes

12

Objetivos al adquirir tecnologías GRC

2016

1 - Mejorar el análisis y la visibilidad de GRC

2 - Mejorar la consistencia de la información de GRC

3 - Reducir la complejidad de GRC

4 - Requisitos de cumplimiento normativo

5 - Reducir los riesgos en la organización.

6 - Mejorar el desempeño en la organización.

7 - Bajar o evitar los costos de GRC

8 - Aumentar la fiabilidad de GRC

2019

1 - Mejorar el análisis y la visibilidad de GRC

2 - Mejorar la consistencia de la información de GRC

3 - Requisitos de cumplimiento normativo

4 - Mejorar el desempeño en la organización.

5 - Reducir los riesgos en la organización.

6 - Reducir la complejidad de GRC

7 - Bajar o evitar los costos de GRC

8 - Aumentar la fiabilidad de GRC

13

¿Qué funciones influyen en la decisión de compra de GRC?

14

Auditoría Actual: Ficción o realidad ?

Carl tiene muy difícil hacer bien su trabajo!!!

Perfil de Carl:Tareas de Carl

Conocimientos de Auditoría 92%

Conocimiento IT 92%

Eficiencia 100%

Perspectiva de Negocio 88%

Papeles de trabajo

Evidencias

Controles

Riesgos

Gestión de los Equipos

…

…

15

200%

16

Esta es la realidad de las auditorías!!!

SITUACIÓN ACTUAL

Obligación de hacer análisis de riesgos IT y auditorías

Cada vez más normativa va en esa línea

17

Obligación de hacer análisis de riesgos IT y auditoríasCada vez más normativa va en esa línea

COSODAFP

22301

CE 007

SOX

27001

14001

9001

AUDITORÍA

GDPR

PCI

NIST

18

Se nos plantea un problema de “racionalización”

19

Se nos plantea un problema de “racionalización”

Pensemos en el siguiente ejemplo:• 1 riesgo• 4 controles• 6 normativas que comparten el riesgo y los controles• 6 auditores que se ocupan de las auditorías internas

20

Racionalizar riesgos y controles

Control DControl A Control B Control CRiesgo

21

Racionalizar riesgos y controles

Control DControl A Control B Control CRiesgo

22

Racionalizar riesgos y controles

Control DControl A Control B Control CRiesgo

23

24 revisiones de un riesgo

Y solo hay 4 controles y 1 riesgos!!!!!!!!

144 revisiones de controles

24

25

26

Racionalizar riesgos y controles

Los controles son comunesRevisión de la asociación riesgo -> controles partiendo

de un MODELO UNIFICADO DE CONTROLES Y UN

MODELO UNIFICADO DE AUDITORÍA.

• Un control se revisa una vez

• Un riesgos se revisa como máximo tantas veces como

normativas haya.Riesgo

Control DControl A Control B Control C

27

6 revisiones de un riesgo

1 revisión de control

28

29

Surge la necesidad de automatizary usar herramientas

Realizar “a mano” estas tareasresulta casi imposible en

organizaciones de cierto tamaño, además de poco productivo.

30

31

Responsabilidad DelegadaEs la clave del modelo de 3LD

1ª Línea

3ª Línea

2ª Línea

CONSEJO/ALTA DIRECCIÓN

Conocedora de los controles de

seguridad de su departamento, cómo

funcionan y cómo de eficaces son. Su

opinion sobre cómo mejorar es clave.

Departamento de riesgos legales, de

seguridad de la información, de riesgos,

experto en la materia, conocedor de

metodologías y nuevas herramientas.

Asesora a la primera línea con

conocimientos técnicos y jurídicos más

profundos.

Auditoría Interna: revisa el trabajo

realizados por las otras dos líneas y

aporta valor con la propuesta de

mejoras. Debe haber auditores legales y

técnicas.

Revisa los resultados del modelo y

aprueba o propone cambios en función

de las necesidades del negocio.

32

TRAZABILIDAD

AUTOMATIZACIÓN

CENTRALIZACIÓN

3ª línea: 3 factores clave

33

¿Por qué automatizar?

Software

GRC

Auditorías más complejas

Ya no se trata solo de revisar

balances, cláusulas y

contratos.

Auditoría de Riesgos

Hay que revisar análisis de

riesgos de muchas naturalezas

distintas.

Recolección de evidencias

Hay que buscar evidencias de

la eficacia de los controles

implantados.

Coordinación del equipo

Suele ser necesario un equipo

de varias personas, con sus

tareas asociadas que requieren

de gran coordinación.

¿Qué queremos?Conseguir los Objetivos Estratégicos

32.38%

2007 2008 2009 2010 2011 2012 2013 2014 2015

Y que la función de auditoría ayude a ello.

Aportando valor.

35

Conclusiones

Método más completo

Cada área experta hace su

propia revisión.

Más eficaz

Los esfuerzos se racionalizan

Es novedoso

Aún son pocas las empresas

que tienen modelos unificados

de controles y 3 líneas de

defense.

Automatizar

Son tareas complejas que

requieren herramientas de

apoyo para mejorar la

productividad.

36

Gracias!Alejandro Delgado / Carlos Villamizar

+57 315 817 31 19

cvillamizar@globalsuitesolutions.com

www.globalsuite.es