Lenin Espinosa CISA CRISC MSI CPA



Documentos relacionados
Lenin Espinosa CISA CRISC MSI CPA

XITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO

RESOLUCIÓN DEL SUPERINTENDENTE SUGEF-R

CURSO TALLER. Implementador Norma ISO sobre Gestión de Seguridad de la Información

CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO

AUDITORÍA AL GOBIERNO DE TI USANDO COBIT 5. Visión General

UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES

Evaluaciones de calidad de la función de auditoría interna según los estándares internacionales del IIA

SISTEMA DE GESTIÓN DE RIESGOS

Sistema de Administración del Riesgos Empresariales

Ing. Nicolás Serrano

PROCEDIMIENTO DE AUDITORIAS INTERNAS

Basado en la ISO 27001:2013. Seguridad de la Información

sobre SIGEA Consultora de referencia en ISO 27001

SOLUCIONES TECNOLÓGICAS FLEXIBLES PARA LAS NECESIDADES DE SU NEGOCIO

Su aliado Estratégico. José E. Quintero Forero CISM, CRISC

IV. NORMATIVA Norma ISO 9001:2008. Sistemas de Gestión de la Calidad Requisitos

Securing Movile Devices: using Cobit 5 on BYOD. Alfonso Mateluna Concha CISA CISM CRISC CISSP alfonso_mateluna@yahoo.com

CAS-CHILE S.A. DE I. 2013

PROGRAMA DE ASIGNATURA

CAPÍTULO VI CONCLUSIONES Y RECOMENDACIONES

NORMAS GENERALES PARA LA AUDITORÍA DE SISTEMAS DE INFORMACIÓN

El Banco Central de la República Argentina

Riesgo operativo: la visión del supervisor.

PROCEDIMIENTO PARA EVALUACIONES INDEPENDIENTES REALIZADAS POR LA OFICINA DE CONTROL INTERNO CÓDIGO DEL PROCEDIMIENTO: VERSIÓN No. 6.0.

RESPUESTAS DEL PETI (Plan Estratégico de Tecnologías de Información) 1. En los TDR se especifica en el punto 7. CARACTERÍSTICAS DE LA DOCUMENTACIÓN

Cómo afrontar con éxito la Certif icación ISO 27001:2005. Valencia, octubre Juan Carlos Serrano Antón

NORMA ISO DE RIESGOS CORPORATIVOS

FASE I CONOCIEMIENTO MODELO ESTANDAR DE CONTROL INTERNO MECI CAPACITACION

COBIT 5. Niveles de Capacidad Desafío de formalización de procesos Costos y Beneficios. A/P Cristina Borrazás, CISA, CRISC, PMP

La Gestión del Negocio por Procesos hoy. Presentada por: SELVINO, Pablo y PEREYRA, Ariel

Sistema de Gestión Integral con PAS 99, ISO 9001, ISO 27001, ISO

Security Health Check

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)

Mestrado em Tecnologia da Informação. Segurança da Informação

Implementando COBIT. Por: Víctor Julio Zúñiga.MBA

PLANEACIÓN DE UNA AUDITORÍA DE ESTADOS FINANCIEROS ISA 300

Administración de Riesgos. Reglas Prudenciales en Materia de Administración de Riesgos

Proceso: AI2 Adquirir y mantener software aplicativo

INSTITUCIÓN EDUCATIVA LA ESPERANZA AUDITORIAS INTERNAS. CÓDIGO: A1-IN01 VERSIÓN: 1 PÁGINA 1 de 6

Cómo organizar el Departamento de Seguridad

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Auditorías Proactivas del Gobierno de TI

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

Enterprise Risk Management

Los Estándares Internacionales de Auditoría llegaron: Está usted preparado? Gabriel Jaime López Díez Abril 8 de 2014

XXII CONGRESO NACIONAL Tribunales de Cuentas. Órganos y organismos Públicos De Control Externo de la República Argentina

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

3. Procedimiento administrativo para la realización de auditorías a sistemas de medición de la calidad del aire.

Pruebas de Intrusión de Aplicación

Cómo hacer del cumplimiento del Control Interno una ventaja competitiva en la Organización ARTURO LARA 2013

Seguridad de la Información & Norma ISO27001

PROCESO SEGUIMIENTO INSTITUCIONAL PROCEDIMIENTO DE AUDITORÍAS INTERNAS DE LOS SISTEMAS DE GESTIÓN. Norma NTC ISO 15189:2009. Norma NTC ISO 5906:2012

TALLER DE BUENAS PRÁCTICAS PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Soluciones Integrales que brindan Calidad, Seguridad y Confianza

COSO II: Enterprise Risk Management Primera Parte

IT Project Portfolio Management y su vinculación con la Estrategia Corporativa

Cobit 5 para riesgos. Metodología. Una visión general Pablo Caneo G.

Cómo hacer que el CEO nos invite a cenar a su casa. SI como Unidad de Negocio

Plan de Calidad PLAN DE CALIDAD PARA EL PROYECTO SISTEMA DE GESTIÓN DE LA CALIDAD REQUISITOS CONTRACTUALES NORMATIVIDAD TECNICA

Gestión de la Seguridad de Activos Intelectuales

Integrando un BCMS a las prácticas de gestión de la empresa: nuevo enfoque y normativa

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

CENTRAL DE INVERSIONES S.A. INFORME DE EVALUACIÓN DEL SISTEMA DE CONTROL INTERNO. Fecha de corte diciembre de 2015

CONTENIDOS: CONTROL INTERNO CONTROL INTERNO INFORMATICO CONTROL INTERNO Y LA AUDITORIA COBIT AUDITORIA DE SISTEMAS

Quién ganara la Liga MX?

Sistemas de Gestión de Seguridad de la Información. Ana Cecilia Vargas Alonso Castro Mattei

La seguridad integral

SUITE COBIT 5 Beneficios

José Ángel Peña Ibarra, CGEIT, CRISC

CURSO TALLER Norma ISO sobre Gestión de Seguridad de la Información

Esquema Nacional de Seguridad

Desarrollando Software de Calidad

Sesión Guía para Instructores de Discusión. Análisis de Peligros Ocultos. Peligros de Maquinaria

Cómo hacer coexistir el ENS con otras normas ya

Gestión de Costes y Calidad del Servicio de Transporte por Carretera (Online)

JOSÉ ÁNGEL PEÑA IBARRA, CGEIT, CRISC SALOMÓN RICO, CISA, CISM, CGEIT

I INTRODUCCIÓN. 1.1 Objetivos

Teléfono: Telefax:

Seguridad Informática

CONGRESO SECTORIAL DINTEL DATA CENTERS ISO 27001, ISO e ISO para asegurar la Eficiencia, Disponibilidad y Seguridad en CPDs.

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

PROCEDIMIENTO GESTIÓN DE CAMBIO

BOLETIN INFORMATVO PROTOCOLO DE SEGURIDAD IMPLEMENTADO POR SEGURIDAD DOSSI Y CIA LTDA

La gestión del riesgo digital: conocimiento y mitigación

Su éxito en el mercado lo es todo en el proceso.

Lista de documentación obligatoria requerida por ISO/IEC (Revisión 2013)

Ethical Hacking and Countermeasures

La Seguridad de la Información en la Gestión del Negocio Financiero

Continuidad de Negocio Tomando conciencia para estar preparado y para ayudar a tus clientes

El Sistema de Gestión de la Seguridad de la Información: Calidad de la Seguridad. Antonio Villalón Huerta

CERTIFICACIONES PROFESIONALES INTERNACIONALES QUE CONTRIBUYEN A DEMOSTRAR LA COMPETENCIA DE LOS AUDITORES INTERNOS

RECOMENDACIONES. HALLAZGOS Objetivos especifico Justificación/Norma ANEXO

El diagnóstico basado en CobiT Noviembre 2013

Julio César Ardita 17 de Diciembre de 2013 Asunción - Paraguay

Tu computadora estará infectada? Modos de reconocer algunos síntomas comunes de infecciones

PROCEDIMIENTO-04 Versión: 1 ISO 9001:2008 Página 1 de 6

Transcripción:

Gestión de Riesgos de TI y su Aplicación en una Metodología de Auditoría de Sistemas Basada en Riesgos Lenin Espinosa CISA CRISC MSI CPA Auditor de Sistemas Consultor en IT Banco Pichincha, Banco Rumiñahui y otros

Agenda Gestión de Riesgos de IT Metodología de Auditoría de Sistemas Enfoque de Riesgos

Agenda Gestión de Riesgos de IT Metodología de Auditoría de Sistemas Enfoque de Riesgos

Qué es Riesgo?

Cuál es el Riesgo?

Riesgo es Todo lo malo que puede pasar y no queremos que pase, y Todo lo bueno que quisiéramos que pase y puede que no pase Logro de Objetivos

MURPHYOLOGÍA BÁSICA Si algo puede salir mal, saldrá mal. 1. Nada es tan fácil como parece. 2. Todo lleva más tiempo del que usted piensa. 3. Si existe la posibilidad de que varias cosas vayan mal, la que cause más perjuicios será la única que vaya mal. 4. Si usted intuye que hay cuatro posibilidades de que una gestión vaya mal y las evita, aparecerá espontáneamente una quinta posibilidad. 5. Cuando las cosas se dejan a su aire, suelen ir de mal en peor. 6. En cuanto se ponga a hacer algo, se dará cuenta de que hay otra cosa que debería hb haber hechoh antes. 7. Cualquier solución entraña nuevos problemas. 8. Es inútil hacer cualquier cosa a prueba de tontos, porque los tontos son muy ingeniosos. 9. La naturaleza siempre está de parte de la imperfección oculta. 10. Sonría. Mañana puede ser peor Murphy era un optimista.

Qué es Gestión de Riesgos? Procurar que no pase lo que no queremos que pase Que si pasa nos afecte lo mínimo Procurar que pase lo que queremos que pase Que si no pasa no sea al 0%

Qué es Gestión de Riesgos? + Medidas Preventivas EVENTO Riesgo Bruto Riesgo Inherente IMPACTO EVENTO Riesgo Objetivo EVENTO Riesgo Neto Zona de Confort Riesgo Real Sensación de Riesgo PROBABILIDAD + Medida as Reactivas

Marcos para la Gestión de Riesgos COSO ERM BS31100 ISO 31000 AS/NZS 4360:2004 NIST MAGERIT ISO 27005:2008 2008 RISK IT ISACA

COSO ERM

ISO 27005:2008

Risk IT de ISACA Risk IT Framework Risk IT Practitioner Guide

Dominios de Risk IT

Procesos de Risk IT

Marco de Risk IT Detallado

Alcance Gestión de Riesgos de IT Metodología de Auditoría de Sistemas Enfoque de Riesgos

Agenda Gestión de Riesgos de IT Metodología de Auditoría de Sistemas Enfoque de Riesgos

Metodología de Auditoría de Sistemas

Metodología de Auditoría de Sistemas

IT Assurance Guide

Índice de Estándares de Auditoría de SI Los Estándares o Normas de Auditoría de SI y su fecha de vigencia son: S1 Estatuto de auditoría, Enero 2005 S2 Independencia, Enero 2005 S3 Ética y Normas Profesionales, Enero 2005 S4 Competencia Profesional, Enero 2005 S5 Planeación, Enero 2005 S6 Ejecución del Trabajo de Auditoría, Enero 2005 S7 Reporte, Enero 2005 S8 Actividades de Seguimiento, Enero 2005 S9 Irregularidades y Actos Ilegales, Septiembre 2005 S10 Gobierno de TI, Septiembre 2005 S11 Uso de Evaluación de Riesgos en la Planeación de Auditoría, Noviembre 2005 S12 Materialidad de Auditoría, Julio 2006 S13 Uso del Trabajo de Otros Expertos, Julio 2006 S14 Evidencia de Auditoría, Julio 2006 S15 Controles de TI, Febrero 2008 S16 Comercio electrónico, Febrero 2008

Las Guías de Auditoría de SI y su fecha de vigencia son:

Las Guías de Auditoría de SI y su fecha de vigencia son: Cont

Índice de Procedimientos de Auditoría de Sistemas Los Procedimientos i de Auditoría de SI y su fecha de vigencia i son: P1 Valoración de Riesgos de SI, Julio 2002 P2 Firmas Digitales, Julio 2002 P3 Detección de Intrusos, Agosto 2003 P4 Virus y Otros Códigos Maliciosos, Agosto 2003 P5 Autoevaluación de Riesgo de Control, Agosto 2003 P6 Firewalls, Agosto 2003 P7 Irregularidades y Actos Ilegales, Noviembre 2003 P8 Valoración de la Seguridad-Prueba de Penetración y Análisis de Vulnerabilidades, Septiembre 2004 P9 Evaluación de Controles de Administración sobre las Metodologías de Encriptación, Enero 2005 P10 Control de Cambios sobre las Aplicaciones de Negocio, Octubre 2006 P11 Transferencia electrónica de fondos (EFT), Mayo de 2007

Consideraciones para un enfoque basado en Riesgos Tendencias Mejores Prácticas Normativa Profesionalismo Cultura Organizacional Gobierno Corporativo

Metodología de Auditoría Interna de Sistemas

Agenda Gestión de Riesgos de IT Metodología de Auditoría de Sistemas Enfoque de Riesgos

Enfoque Clásico de la A de S Focalizado en: Controles Cumplimiento Conformidad

Procesos de Risk IT

Controles vs. Riesgos

Gracias Lenin Espinosa, CISA, CRISC, MSI, CPA lpespino@pichincha.com lespinosa@auditoresdesistemas.com.ec 593 9 835 9063

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback