Lenin Espinosa CISA CRISC MSI CPA

Transcripción

1 Gestión de Riesgos de TI y su Aplicación en una Metodología de Auditoría de Sistemas Basada en Riesgos Lenin Espinosa CISA CRISC MSI CPA Auditor de Sistemas Consultor en IT Banco Pichincha, Banco Rumiñahui y otros

2 Agenda Gestión de Riesgos de IT Metodología de Auditoría de Sistemas Enfoque de Riesgos

3 Agenda Gestión de Riesgos de IT Metodología de Auditoría de Sistemas Enfoque de Riesgos

4 Qué es Riesgo?

5 Cuál es el Riesgo?

6 Riesgo es Todo lo malo que puede pasar y no queremos que pase, y Todo lo bueno que quisiéramos que pase y puede que no pase Logro de Objetivos

7 MURPHYOLOGÍA BÁSICA Si algo puede salir mal, saldrá mal. 1. Nada es tan fácil como parece. 2. Todo lleva más tiempo del que usted piensa. 3. Si existe la posibilidad de que varias cosas vayan mal, la que cause más perjuicios será la única que vaya mal. 4. Si usted intuye que hay cuatro posibilidades de que una gestión vaya mal y las evita, aparecerá espontáneamente una quinta posibilidad. 5. Cuando las cosas se dejan a su aire, suelen ir de mal en peor. 6. En cuanto se ponga a hacer algo, se dará cuenta de que hay otra cosa que debería hb haber hechoh antes. 7. Cualquier solución entraña nuevos problemas. 8. Es inútil hacer cualquier cosa a prueba de tontos, porque los tontos son muy ingeniosos. 9. La naturaleza siempre está de parte de la imperfección oculta. 10. Sonría. Mañana puede ser peor Murphy era un optimista.

8 Qué es Gestión de Riesgos? Procurar que no pase lo que no queremos que pase Que si pasa nos afecte lo mínimo Procurar que pase lo que queremos que pase Que si no pasa no sea al 0%

9 Qué es Gestión de Riesgos? + Medidas Preventivas EVENTO Riesgo Bruto Riesgo Inherente IMPACTO EVENTO Riesgo Objetivo EVENTO Riesgo Neto Zona de Confort Riesgo Real Sensación de Riesgo PROBABILIDAD + Medida as Reactivas

10 Marcos para la Gestión de Riesgos COSO ERM BS31100 ISO AS/NZS 4360:2004 NIST MAGERIT ISO 27005: RISK IT ISACA

11 COSO ERM

12 ISO 27005:2008

13 Risk IT de ISACA Risk IT Framework Risk IT Practitioner Guide

14 Dominios de Risk IT

15 Procesos de Risk IT

16 Marco de Risk IT Detallado

17

18

19

20

21

22

23

24

25

26 Alcance Gestión de Riesgos de IT Metodología de Auditoría de Sistemas Enfoque de Riesgos

27 Agenda Gestión de Riesgos de IT Metodología de Auditoría de Sistemas Enfoque de Riesgos

28 Metodología de Auditoría de Sistemas

29 Metodología de Auditoría de Sistemas

30 IT Assurance Guide

31 Índice de Estándares de Auditoría de SI Los Estándares o Normas de Auditoría de SI y su fecha de vigencia son: S1 Estatuto de auditoría, Enero 2005 S2 Independencia, Enero 2005 S3 Ética y Normas Profesionales, Enero 2005 S4 Competencia Profesional, Enero 2005 S5 Planeación, Enero 2005 S6 Ejecución del Trabajo de Auditoría, Enero 2005 S7 Reporte, Enero 2005 S8 Actividades de Seguimiento, Enero 2005 S9 Irregularidades y Actos Ilegales, Septiembre 2005 S10 Gobierno de TI, Septiembre 2005 S11 Uso de Evaluación de Riesgos en la Planeación de Auditoría, Noviembre 2005 S12 Materialidad de Auditoría, Julio 2006 S13 Uso del Trabajo de Otros Expertos, Julio 2006 S14 Evidencia de Auditoría, Julio 2006 S15 Controles de TI, Febrero 2008 S16 Comercio electrónico, Febrero 2008

32 Las Guías de Auditoría de SI y su fecha de vigencia son:

33 Las Guías de Auditoría de SI y su fecha de vigencia son: Cont

34 Índice de Procedimientos de Auditoría de Sistemas Los Procedimientos i de Auditoría de SI y su fecha de vigencia i son: P1 Valoración de Riesgos de SI, Julio 2002 P2 Firmas Digitales, Julio 2002 P3 Detección de Intrusos, Agosto 2003 P4 Virus y Otros Códigos Maliciosos, Agosto 2003 P5 Autoevaluación de Riesgo de Control, Agosto 2003 P6 Firewalls, Agosto 2003 P7 Irregularidades y Actos Ilegales, Noviembre 2003 P8 Valoración de la Seguridad-Prueba de Penetración y Análisis de Vulnerabilidades, Septiembre 2004 P9 Evaluación de Controles de Administración sobre las Metodologías de Encriptación, Enero 2005 P10 Control de Cambios sobre las Aplicaciones de Negocio, Octubre 2006 P11 Transferencia electrónica de fondos (EFT), Mayo de 2007

35 Consideraciones para un enfoque basado en Riesgos Tendencias Mejores Prácticas Normativa Profesionalismo Cultura Organizacional Gobierno Corporativo

36 Metodología de Auditoría Interna de Sistemas

37

38

39

40

41

42

43

44

45

46

47

48 Agenda Gestión de Riesgos de IT Metodología de Auditoría de Sistemas Enfoque de Riesgos

49 Enfoque Clásico de la A de S Focalizado en: Controles Cumplimiento Conformidad

50

51

52

53

54 Procesos de Risk IT

55 Controles vs. Riesgos

56 Gracias Lenin Espinosa, CISA, CRISC, MSI, CPA