AUDITORÍA RIESGO TECNOLÓGICO

Profesor: Pablo Valdivia P.

ÍNDICE

• INTRODUCCIÓN.• GOBIERNO• INFRAESTRUCTURA.• INFORMACIÓN Y BASES DE DATOS.• SEGURIDAD.• CONTINUIDAD DE NEGOCIO.• CONCLUSIÓN GENERAL.

• Automatización de los procesos operativos y contables.

• La globalización.

• Internet.

• El crecimiento de las transacciones electrónicas.

• Banca móvil.

• Aumento del riesgo del auditor financiero y/u operativo:

S(e) = R(c)*R(d)

Introducción

• Riesgo Tecnológico es el potencial de que una determinadaamenaza tecnológica pueda explotar las vulnerabilidades deun activo y causar pérdidas o daños a la empresa, es decir:

Introducción

Bajo Medio AltoProbabilidad de ocurrencia

Bajo

Medio

Alto

I

M

P

A

C

T

O

Exposición/Riesgo

Inaceptables

Exposición/Riesgo

Aceptables

• La auditoría de sistemas o de riesgo tecnológico, es el procesode recoger, agrupar y evaluar evidencias para determinar si unsistema o proceso informatizado:

• Salvaguarda los activos.

• Mantiene un adecuado control de acceso.

• Mantiene la integridad de los datos.

• Asegura la disponibilidad de sus funcionalidades.

• Lleva a cabo eficazmente los objetivos de la organización.

Introducción

Introducción

Proceso 1ARCHIVO 1

ARCHIVO 2

ARCHIVO 3

ARCHIVOS

INTERNOS

ARCHIVO

EXTERNO

Infraestructura/Servidores

BASES DE

DATOS

Gobierno Riesgo Tecnológico.

Existe una estructura organizativa adecuada?

Existe una correcta estructura de comités?

Se ha definido una matriz de riesgo?

Se ha definido el apetito de riesgo?

Se han definido políticas, estándares y procedimientos de gestión de riesgos?

Infraestructura.

ROUTER/GATEWAY

DMZ

IDS/IPS

Servidor Central

FIREWALL

PROXY

Acceso

Remoto

Internet

VPN

Red

Interna

Infraestructura.

Se gestiona la obsolescencia tecnológica?

Existen proyectos asociados a

obsolescencia?

Se ha definido el apetito de riesgo para la

obsolescencia?

Existe una correcta administración de los

accesos remotos?

Cuál es la configuración de seguridad del

equipo que se conecta en forma remota?

Infraestructura.

Existe una política que norme la

habilitación de acceso a VPN?

Existe procedimiento de altas y bajas

de usuarios de la VPN?

Cuáles son los privilegios otorgados a

los usuarios de la VPN?

Información y bases de datos.

Existe una metodología de gestión de los datos?

Se ha clasificado la información?

Se ha habilitado DLP (Data Loss Prevention) en bases criticas?

Existe controles o restricciones de uso para medios dealmacenamiento externo?

Seguridad

Seguridad Instalaciones

Seguridad Infraestructura

Seguridad Aplicaciones

Existe un correcto gobierno de seguridad?

Existe un plan director de seguridad?

Existe evaluaciones externas de seguridad (risk assessment)?

Existe un área de estudios de evolución de la ciberseguridad?

Existe un proceso de actualización de las políticas, estándares yprocedimientos de seguridad?

Continuidad de NegocioExiste un gobierno de continuidad?

Existe una matriz de riesgos y procesos?

Se ha definido un BIA (Business Impact Analysis)?

Se ha definido los registros críticos?

Se ha definido el punto de recuperación (Recovery Point Objective) y eltiempo de recuperación (Recovery Time Objective)?

Se ha definido las estrategias de contingencia (Hot Site, cold site y warmsite?

Continuidad de Negocio

0 – 1 hora

Tiempo Objetivo de RecuperaciónPunto Objetivo de Recuperación

4 – 24

horas1 – 4 horas 0 – 1 hora

Interrupción

1 – 4 horas4 – 24

horas

• Copias de respaldo en

cinta.

• Envío de registros

• Copias de respaldo en

disco.

• Replicas con demora.

• Envío de registros.

• Espejamiento de

datos.

• Replicas en tiempo

real

• Clustering activo-

activo

• Clustering activo-

pasivo

• Hot standby

• Cold standby

Continuidad de Negocio.

Tiempo

Costo

Tiempo fuera

de servicio

Estrategia de

recuperación

Costo Total

Mínimo

Dada la evolución tecnológica de la infraestructura, sistemas yaplicaciones que soportan la operativa de los negocios esimportante que las divisiones de auditoría interna cuenten con unárea específica para revisar el Riesgo Tecnológico.

Entre los programas que dicha área debe desarrollar, podemosseñalar:•Auditoría de la explotación: Revisar los controles sobre lasactividades que se necesitan ejecutar para actualizar lainformación de los sistemas.

•Auditoría del Desarrollo: Revisar los procedimientos quepermitan garantizar que el desarrollo de sistemas de informaciónse ha llevado a cabo según los principios metodológicos.

CONCLUSIÓN GENERAL

• Auditoría de Bases de Datos: Revisar las actividades decontrol y gestión de la información y cambios sobre las basesde datos que soportan las aplicaciones.

• Auditorías de Aplicaciones o Procesos: Evaluar el nivel decontrol y funcionalidades de las aplicaciones que soportan losprocesos de negocio.

• Auditoría de Seguridad: Revisar el correcto cumplimiento delas políticas, estándares y procedimientos de seguridad.

• Auditoría de Continuidad: Validar que la Sociedad cuenta conestrategias de continuidad que permiten mantener laoperatividad de sus negocios ante la ocurrencias de fallos quepudiesen afectar sus procesos.

CONCLUSIÓN GENERAL

AUDITORÍA RIESGOS TECNOLÓGICOS

Profesor: Pablo Valdivia P.