Gestión de Riesgos de TI y su Aplicación en una Metodología de Auditoría de Sistemas Basada en Riesgos Lenin Espinosa CISA CRISC MSI CPA Auditor de Sistemas Consultor en IT Banco Pichincha, Banco Rumiñahui y otros
Agenda Gestión de Riesgos de IT Metodología de Auditoría de Sistemas Enfoque de Riesgos
Agenda Gestión de Riesgos de IT Metodología de Auditoría de Sistemas Enfoque de Riesgos
Qué es Riesgo?
Cuál es el Riesgo?
Riesgo es Todo lo malo que puede pasar y no queremos que pase, y Todo lo bueno que quisiéramos que pase y puede que no pase Logro de Objetivos
MURPHYOLOGÍA BÁSICA Si algo puede salir mal, saldrá mal. 1. Nada es tan fácil como parece. 2. Todo lleva más tiempo del que usted piensa. 3. Si existe la posibilidad de que varias cosas vayan mal, la que cause más perjuicios será la única que vaya mal. 4. Si usted intuye que hay cuatro posibilidades de que una gestión vaya mal y las evita, aparecerá espontáneamente una quinta posibilidad. 5. Cuando las cosas se dejan a su aire, suelen ir de mal en peor. 6. En cuanto se ponga a hacer algo, se dará cuenta de que hay otra cosa que debería hb haber hechoh antes. 7. Cualquier solución entraña nuevos problemas. 8. Es inútil hacer cualquier cosa a prueba de tontos, porque los tontos son muy ingeniosos. 9. La naturaleza siempre está de parte de la imperfección oculta. 10. Sonría. Mañana puede ser peor Murphy era un optimista.
Qué es Gestión de Riesgos? Procurar que no pase lo que no queremos que pase Que si pasa nos afecte lo mínimo Procurar que pase lo que queremos que pase Que si no pasa no sea al 0%
Qué es Gestión de Riesgos? + Medidas Preventivas EVENTO Riesgo Bruto Riesgo Inherente IMPACTO EVENTO Riesgo Objetivo EVENTO Riesgo Neto Zona de Confort Riesgo Real Sensación de Riesgo PROBABILIDAD + Medida as Reactivas
Marcos para la Gestión de Riesgos COSO ERM BS31100 ISO 31000 AS/NZS 4360:2004 NIST MAGERIT ISO 27005:2008 2008 RISK IT ISACA
COSO ERM
ISO 27005:2008
Risk IT de ISACA Risk IT Framework Risk IT Practitioner Guide
Dominios de Risk IT
Procesos de Risk IT
Marco de Risk IT Detallado
Alcance Gestión de Riesgos de IT Metodología de Auditoría de Sistemas Enfoque de Riesgos
Agenda Gestión de Riesgos de IT Metodología de Auditoría de Sistemas Enfoque de Riesgos
Metodología de Auditoría de Sistemas
Metodología de Auditoría de Sistemas
IT Assurance Guide
Índice de Estándares de Auditoría de SI Los Estándares o Normas de Auditoría de SI y su fecha de vigencia son: S1 Estatuto de auditoría, Enero 2005 S2 Independencia, Enero 2005 S3 Ética y Normas Profesionales, Enero 2005 S4 Competencia Profesional, Enero 2005 S5 Planeación, Enero 2005 S6 Ejecución del Trabajo de Auditoría, Enero 2005 S7 Reporte, Enero 2005 S8 Actividades de Seguimiento, Enero 2005 S9 Irregularidades y Actos Ilegales, Septiembre 2005 S10 Gobierno de TI, Septiembre 2005 S11 Uso de Evaluación de Riesgos en la Planeación de Auditoría, Noviembre 2005 S12 Materialidad de Auditoría, Julio 2006 S13 Uso del Trabajo de Otros Expertos, Julio 2006 S14 Evidencia de Auditoría, Julio 2006 S15 Controles de TI, Febrero 2008 S16 Comercio electrónico, Febrero 2008
Las Guías de Auditoría de SI y su fecha de vigencia son:
Las Guías de Auditoría de SI y su fecha de vigencia son: Cont
Índice de Procedimientos de Auditoría de Sistemas Los Procedimientos i de Auditoría de SI y su fecha de vigencia i son: P1 Valoración de Riesgos de SI, Julio 2002 P2 Firmas Digitales, Julio 2002 P3 Detección de Intrusos, Agosto 2003 P4 Virus y Otros Códigos Maliciosos, Agosto 2003 P5 Autoevaluación de Riesgo de Control, Agosto 2003 P6 Firewalls, Agosto 2003 P7 Irregularidades y Actos Ilegales, Noviembre 2003 P8 Valoración de la Seguridad-Prueba de Penetración y Análisis de Vulnerabilidades, Septiembre 2004 P9 Evaluación de Controles de Administración sobre las Metodologías de Encriptación, Enero 2005 P10 Control de Cambios sobre las Aplicaciones de Negocio, Octubre 2006 P11 Transferencia electrónica de fondos (EFT), Mayo de 2007
Consideraciones para un enfoque basado en Riesgos Tendencias Mejores Prácticas Normativa Profesionalismo Cultura Organizacional Gobierno Corporativo
Metodología de Auditoría Interna de Sistemas
Agenda Gestión de Riesgos de IT Metodología de Auditoría de Sistemas Enfoque de Riesgos
Enfoque Clásico de la A de S Focalizado en: Controles Cumplimiento Conformidad
Procesos de Risk IT
Controles vs. Riesgos
Gracias Lenin Espinosa, CISA, CRISC, MSI, CPA lpespino@pichincha.com lespinosa@auditoresdesistemas.com.ec 593 9 835 9063