- Principios de la gestión de riesgos de tecnología
- El proceso de auditoría para la gestión de
riesgos de tecnología
- Técnicas utilizadas y resultados esperados de la
planificación y ejecución de las auditorías de
gestión de riesgos
- Estándares y mejores prácticas internacionales
incluyendo ISO 27005, ISO 31000, Risk IT de
ISACA y regulaciones locales de países
latinoamericanos.
- Como ejecutar en la práctica una auditoría de
riesgos de tecnología
RETO MES DE ABRIL .............................docx
Latin cacs isaca 2009- 312 - auditoría de la gestión de riesgos de tecnología-maricarmen garcia
1. www.isaca.org 1
1
Auditoría de Gestión de Riesgos de
Tecnología
Maricarmen García, CBCP
Pag.1
Sesión # 312
2009
Costa
Rica
2. www.isaca.org 2
2Pag.2
Agenda
• Introducción
• Estándares y mejores prácticas internacionales
• Principios de la Gestión de Riesgos de Tecnología
• El proceso de auditoría para la Gestión de Riesgos de Tecnología
• Como ejecutar la auditoría de riesgos de Tecnología
• Técnicas utilizadas y resultados esperados
7. www.isaca.org 7
7Pag.7
Principios de la gestión de riesgos
ISO 31000
La gestión de riesgos:
… crea valor
… es parte integral de los procesos de la organización
… es parte de la toma de decisiones
… atiende la incertidumbre específicamente
… es sistemática, estructurada y oportuna
… se basa en la mejor información disponible
… está adaptada a la organización
… considera factores humanos y culturales
… es transparente e inclusiva
… es dinámica, iterativa y responde al cambio
… facilita la mejora continua
8. www.isaca.org 8
8Pag.8
Principios de la gestión de riesgos
ISACA / ITGI – Risk IT
La gestión de riesgos de Tecnología de Información:
… está conectada a los objetivos del negocio
… alinea la gestión de riesgos del negocio relacionados con TI con la
gestión de riesgos organizacional
… busca el balance entre los costos y beneficios de gestionar riesgos
… promueve una comunicación de riesgos de TI justa y abierta
… establece el tono adecuado desde arriba, mientras define y refuerza
la responsabilidad personal para operar con niveles de tolerancia
aceptables y bien definidos
… es un proceso continuo, parte de las actividades diarias
9. www.isaca.org 9
9Pag.9
ISO 31000 (Borrador)
Compromiso de la
gerencia
Diseño del marco de
referencia
Implementar la
gestión de riesgos
Monitorear y revisar
Mejora continua
10. www.isaca.org 10
10Pag.10
ISO 31000 (Borrador)
Establecer el contexto
Identificación riesgos
Análisis de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Comunicaciónyconsulta
Monitoreoyrevisión
13. www.isaca.org 13
13Pag.13
ISO 27005
Establecer el contexto
Identificación riesgos
Estimación de riesgos
Evaluación de riesgos
Tratamiento de riesgos
Aceptación de riesgos
Comunicaciónderiesgos
Monitoreoyrevisiónderiesgos
Inicio
ReducirRetenerEvitarTransf.
14. www.isaca.org 14
14Pag.14
The Risk IT Framework
Habilitar beneficios / valor de TI
Entrega de programas y
proyectos de TI
Entrega de operaciones y
servicios de TI
Valor del negocio
No Ganar Ganar
Valor del negocio
Perder Preservar
17. www.isaca.org 17
17Pag.17
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
18. www.isaca.org 18
18Pag.18
Iniciar la auditoría
• Designar al líder le auditoría
• Definir objetivos, alcance y criterios
• Determinar factibilidad
• Seleccionar equipo de auditoría
• Identificar responsables por parte del auditado
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
19. www.isaca.org 19
19Pag.19
Competencias del auditor
de riesgos de tecnología
• Conocimiento y entendimiento de la gestión de riesgos de
tecnología.
• Experiencia y conocimiento en tecnología de información.
• Conocimiento de requerimientos legales y regulatorios relativos a
gestión de riesgos de tecnología.
• Habilidades y entrenamiento en gestión de riesgos.
• Conocimiento de herramientas y software para la gestión de
riesgos.
• Conocimiento de estándares y mejores prácticas para la gestión de
riesgos de tecnología.
20. www.isaca.org 20
20Pag.20
Definir el criterio de auditoría
• Leyes
• Regulaciones
• Contratos
• Acuerdos de Niveles de servicio
• Estatutos
• Normatividad interna
• Estándares internacionales
• Otras mejores prácticas
21. www.isaca.org 21
21Pag.21
Definir el criterio de auditoría
ISO 31000
IEC/DIS 31010
BS 31100
ISO/IEC 27005
Risk IT
Basilea II
OCTAVE
NIST SP800-30
AS/NZS 4360
M_o_R
CRAMM
MAGERIT
TRA Working Guide
BS 7799-3
ARMS
UNE 71504
ERM Coso
Leyes
Metodología Interna
Regulaciones
22. www.isaca.org 22
22Pag.22
Conducir revisión preliminar
• Revisar documentos relevantes asociados con
la gestión de riesgos de tecnología, incluyendo
registros y su adecuación con el criterio de
auditoría.
• Ejemplos:
• Política de gestión de riesgos de tecnología
• Metodología de gestión de riesgos de tecnología
• Reportes de análisis y evaluación de riesgos
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
23. www.isaca.org 23
23Pag.23
Desarrollar plan de auditoría
• Preparar plan de auditoría
• Asignar trabajo a miembros del equipo
• Preparar documentos de trabajo
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
24. www.isaca.org 24
24Pag.24
Elementos a revisar
• Entendimiento de la organización
• Revisar y evaluar:
• Consideración de aspectos del contexto externo de la organización.
• Consideración de aspectos del contexto interno de la organización
25. www.isaca.org 25
25Pag.25
Elementos a revisar
• Política de gestión de riesgos
• Revisar y evaluar:
• Compromiso y objetivos de la organización, respecto a la gestión de
riesgos de TI.
• Liga entre la política de gestión de riesgos y otras políticas de la
organización.
• Responsabilidades respecto a la gestión de riesgos de tecnología.
• Manejo de conflictos de interés.
• Apetito de riesgo de la organización.
• Procesos, métodos y herramientas para la gestión de riesgos de
tecnología.
• La forma en que el desempeño de la gestión de riesgos será medido y
reportado.
26. www.isaca.org 26
26Pag.26
Elementos a revisar
• Integración dentro de los procesos organizacionales
• Revisar y evaluar:
• Integración de la gestión de riesgos de tecnología en
las practicas y procesos de la organización,
• Particularmente:
• Desarrollo de políticas.
• Planeación.
• Procesos de gestión de cambios.
27. www.isaca.org 27
27Pag.27
Elementos a revisar
• Responsabilidad
• Revisar y evaluar:
• Definición y formalización de responsabilidades y autoridades.
• Especificación de responsabilidades para el desarrollo,
implementación y mantenimiento del marco de referencia.
• Especificación de “propietarios” de riesgo para implementar
tratamiento del riesgo, mantenimiento de controles y reporte de
información relevante.
• Niveles apropiados de reconocimiento, sanción.
28. www.isaca.org 28
28Pag.28
Elementos a revisar
• Recursos asignados
• Revisar y evaluar:
• Recursos asignados.
• Gente (habilidades, experiencia, competencias).
• Procesos y procedimientos documentados.
• Sistemas de gestión de información y
conocimiento.
29. www.isaca.org 29
29Pag.29
Elementos a revisar
• Mecanismos de comunicación y reporte
• Revisar y evaluar:
• Comunicación de riesgos.
• Información disponible en los niveles apropiados de
la organización.
• Procesos de consulta con las partes interesadas.
30. www.isaca.org 30
30Pag.30
Elementos a revisar
• Implementación de la Gestión de Riesgos de Tecnología
• Revisar y evaluar:
• Definición de un tiempo y estrategia adecuados para la
implementación de la gestión de riesgos
• Aplicación de la política y procesos de gestión de riesgos.
• Cumplimiento con requerimientos legales y regulatorios.
31. www.isaca.org 31
31Pag.31
Elementos a revisar
• Implementación de la Gestión de Riesgos de Tecnología
(Continuación).
• Revisar y evaluar:
• Toma de decisiones justificada y documentada.
• Resguardo de información.
• Sesiones de entrenamiento.
• Comunicación y consulta con partes interesadas.
32. www.isaca.org 32
32Pag.32
Elementos a revisar
• Monitoreo y revisión
• Revisar y evaluar:
• Establecimiento de medidores de desempeño.
• Medición periódica del proceso.
• Revisión de que tan apropiados son la política, el
marco de referencia y el plan de gestión de riesgos.
• Reporte de riesgos.
• Revisión de la efectividad.
33. www.isaca.org 33
33Pag.33
Elementos a revisar
• Criterio de riesgo
• Revisar y evaluar si son considerados factores como:
• Naturaleza y tipos de consecuencias.
• Definición de “probabilidad / posibilidad”.
• Líneas de tiempo para probabilidad / posibilidad y/o
consecuencias.
• Como será determinado el nivel de riesgo.
• El nivel en el que el riesgo es aceptable o tolerable.
• Nivel de riesgo que requiere tratamiento.
• Si las combinaciones de riesgos se considerarán.
34. www.isaca.org 34
34Pag.34
Elementos a revisar
• Identificación de riesgos.
• Revisar y evaluar si la organización identifica:
• Fuentes de riesgo.
• Áreas de impacto.
• Eventos y sus causas.
• Consecuencias potenciales.
• Vulnerabilidades
• Amenazas
35. www.isaca.org 35
35Pag.35
Elementos a revisar
• Análisis de riesgos
• Revisar y evaluar si la organización:
• Considera las causas y fuentes del riesgo.
• Consecuencias positivas y negativas.
• Probabilidad / posibilidad de ocurrencia.
• Factores que afectan las consecuencias o la
probabilidad / posibilidad.
36. www.isaca.org 36
36Pag.36
Elementos a revisar
• Evaluación de riesgos
• Revisar y evaluar si la organización:
• Compara el nivel de riesgos obtenido en le etapa de
análisis con el criterio establecido.
• Da tratamiento a los riesgos que no cumplen con
el(los) criterio(s) de aceptación.
37. www.isaca.org 37
37Pag.37
Elementos a revisar
• Tratamiento de riesgos
• Revisar y evaluar si la organización:
• Selecciona e implementa mecanismos para la
modificación de los riesgos que no cumplen con el
criterio de aceptación.
38. www.isaca.org 38
38Pag.38
Elementos a revisar
• Registros del proceso
• Revisar y evaluar si la organización:
• Cuenta con mecanismos para el registro de
actividades de gestión de tecnología..
• Considera estos registros para la mejora del proceso
de gestión de riesgos de tecnología.
39. www.isaca.org 39
39Pag.39
Ejecutar auditoría
• Reunión de inicio
• Comunicación durante la auditoría
• Roles y responsabilidades
• Recolectar y verificar información
• Documentar hallazgos
• Preparar conclusiones de la auditoría
• Reunión de cierre
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
40. www.isaca.org 40
40Pag.40
Preparar aprobar y
distribuir informe de
auditoría
• Preparar reporte de auditoría
• Aprobación
• Distribución
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría
41. www.isaca.org 41
41Pag.41
Seguimiento (Si aplica)
Completar la auditoría
Preparar, aprobar y distribuir el reporte de auditoría
Ejecutar auditoría
Desarrollar plan de auditoría
Conducir revisión preliminar (documental)
Iniciar la auditoría