Enterprise Risk Services Riesgos Tecnológicos Llevando a ......estratégicos de la empresa....

© 2013 Galaz, Yamazaki, Ruiz Urquiza, S.C.

Junio, 2013

Enterprise Risk Services – Riesgos Tecnológicos

Llevando a la Auditoría Interna de TI

al siguiente nivel


¿Por qué estamos aquí?

• Entender los factores que están impulsando a

cambiar la Auditoría Interna de TI

• Presentar el Punto de Vista de Deloitte respecto a

la Auditoria Interna de TI

• Conocer sobre las preocupaciones de cada uno

respecto a riesgos de TI

• Crear una comunidad de Auditoría Interna de TI

Enterprise Risk Services 2


¿Quiénes somos? (votación interactiva)

• ¿Cuál es su posición actual?

• ¿Cuántas personas forman el área de Auditoría Interna?

• ¿Su función de Auditoría Interna es local o global?

• ¿Su organización es pública o privada?

• ¿Qué porcentaje de función de Auditoría Interna está enfocada en AI de TI?

• ¿Cuál es su posición referente a la toma de decisiones sobre proyectos de Auditoría

Interna de TI dentro de su organización?



Factores que impulsan el cambio


La importancia de la función de Auditoría Interna

Las expectativas de la función de Auditoría Interna han cambiado y continúan

haciéndolo. Los altos ejecutivos, comités directivos, de riesgos y de auditoría

han aumentado las expectativas respecto a la profundidad y calidad del trabajo

que la función de Auditoría interna ha venido desempeñando en las

organizaciones. También los reguladores globales y locales están aplicando

mayor confianza sobre las funciones de Auditoría Interna, no solamente para

asegurar las reglas de “trabajo limpio” sino también para ser activamente

involucradas en temas relacionados a riesgos estratégicos de alto nivel y temas

asociados al gobierno corporativo.

“Queremos ver que sea tomada seriamente la función de auditoría interna en las

instituciones reguladas por nosotros. Que se tenga un perfil apropiado de

profesionales que permitan potencializar el trabajo realizado”.

Andrew Bailey, deputy governor for prudential regulation at

the Bank of the England and chief executive officer of the UK

Prudential Regulation Authority,

Entrevistado por la Revista Auditoría y Riesgo. Mayo 2012.



Dato personal Dato personal

sensible

Datos

financieros,

datos

patrimoniales

21 de diciembre de 2011

Publicación del reglamento

6 de julio de 2010

Entra en vigor la

LFPDPPP

6 de enero de 2012

Ejercicio de derechos ARCO

Inicia el procedimiento de

protección de derechos

6 de julio de 2011

Designación de Persona o Depto.

de Datos Personales

Avisos de privacidad a los

titulares

18 meses para diseñar e

implementar las medidas

de seguridad

administrativas, técnicas y

físicas

17 de enero 2013 Nuevos

lineamientos para avisos

de privacidad y

autorregulación de la SE

HOY

Existen diversos riesgos derivados del incumplimiento de esta Ley.

Daño severo a la

imagen

Multas de 100 a 640

mil días SMGV

Privación de la

libertad

Nueva regulación de privacidad en México

6 Enterprise Risk Services


Regulares (PCAOB, CNBV) y Calidad de las Auditorías


• El objetivo primario de los

reguladores es promover

la mejora en la calidad de

las auditorías de

compañías públicas

• Auditoría Interna puede

jugar un rol importante en

lograr mejoras en la

calidad

• Auditores externos

pueden confiar en el

trabajo realizado por

Auditoría Interna

Espectativas de los Reguladores

Nivel esperado

Calidad de las

Auditorías

Brecha entre

espectativas


Punto de Vista Deloitte


Introduccion —

Una estrategia de Auditoría Interna de TI, fresca y de altos vuelos

Auditor Interno de Riesgo Inteligente de TI

La función de Auditoría Interna de TI (AI de TI) puede proveer mayor valor a la organización extendiendo sus funciones de supervisión, abordando riesgos tecnológicos relacionados a la operación y estrategia que puedan tener un impacto sobre toda la organización.

• Riesgos Básicos

‒ Servicios Repetitivos

‒ Enfocados al Cumplimiento

‒ AI IT enfocada la mayor parte de su tiempo en este esfuerzo

• Riesgos Intermedios

‒ Tecnologías maduras en las que no se ha enfocado la atención

‒ Algunos aspectos de cumplimiento

‒ Mayor valor

• Riesgos Avanzados

‒ Nuevas tecnologías

‒ Riesgo de alta visibilidad

‒ Altamente estratégico



Enfoque de AI de TI

Riesgo

Valor

Nivel 1:

Básico

Nivel 2:

Intermedio

Nivel 3:

Avanzado

A

B C

D

E

F

G

H

I J

K

L

M

N O

P

Q



Tomando el vuelo de AI de TI

Nivel 1: Básico

Nivel 2: Intermedio

Nivel 3: Avanzado

Estado Actual Estado Futuro

A la deriva

Flotando

Volando

Valu

e



Nivel 1 – Auditorias Básicas

Perfil de la Auditoría Interna de TI:

El cumplimiento es importante. Los Controles Generales del Computador deben ser

probados para asegurarse que funcionan correctamente.

Eso puede estar bien para algunas empresas, pero si quiere progresar, si usted espera ver

los obstáculos antes de que estén encima, y si desea moverse por delante del resto, será

necesario ver los riesgos de TI de manera diferente... convirtiéndose al Riesgo Inteligente.

Ejemplos de auditorías básicas:

• Controles Generales del Computador

• Segregación de Funciones

• Controles de ERP

• Políticas y procedimientos de TI

• Controles de TI SOX Sec. 404



Nivel 2 – Auditoría Intermedia

Perfil de la Auditoría Interna de TI:

Auditoría Interna de TI trata los problemas más avanzados, como la implementación de

sistemas, temas relacionados con privacidad de la información y evaluación de riesgos de

TI. La función de Auditoría Interna de TI es respetada por el CFO y CIO, y se le mantiene

informada de los cambios importantes en la organización así como de los riesgos de TI

que el cambio puede generar.

Ejemplos de auditorías intermedias:

• Administración de Riesgos Tecnológicos

• Pruebas de penetración y hackeo

• Privacidad

• Planes de Recuperación de Desastres

• Gobierno de TI




Pruebas de hackeo y penetración

• El crecimiento exponencial en el uso de tecnologías ha expuesto a mayores riesgos a

las organizaciones.

• Los hackers, los robos de información y los fraudes a través del uso de tecnología no

son ciencia ficción y suceden todo el tiempo.

Principales incidentes de seguridad en 2011 y 2012

Sitios hackeados

Debilidades en la programación de aplicaciones

Diseño y arquitectura de seguridad


¿Qué tan vulnerable es su

organización a un ataque?



Privacidad y protección de datos

Datos Sensibles:

• Información personal

• Indicadores

• Estrategias

• Secretos comerciales

El impacto de las regulaciones en combinación con la publicidad negativa está

promoviendo que las organizaciones adopten medidas para conocer la información

sensible que mantienen, cómo esta es controlada y cómo prevenir que se fugue.


¿Su empresa está preparada para resguardar y proteger los datos

personales y de negocios?



Planes de recuperación de negocio

Contar con un plan de recuperación de desastres le

permite a las empresas garantizar la continuidad de

su operación de TI ante los diferentes problemas que

puedan suceder.

• Servicios críticos en la empresa y periodo de

tiempo de recuperación para dichos servicios

• Prevenir, mitigar o evitar los escenarios originados

por fallas de los sistemas

• Minimizar las consecuencias económicas y

reputaciones

• Reducir los costos asociados a la interrupción


Evitar pérdidas

millonarias como

resultado de la

interrupción de las

Tecnologías de la

Información y

Comunicaciones que

soportan los procesos

críticos del negocio

como resultado de

una contingencia o

desastre

¿Sabe como reaccionar a tiempo

en caso de un desastre natural o social?



Administración de Riesgos Tecnológicos

• Nuevas tecnologías nuevos retos a las

organizaciones en administración de riesgos de TI

• Conocer los riesgos que asechan para estar

preparados en su administración

• Prevenir, detectar y remediar los riesgos

• Transparencia para informar a los órganos de

gobierno


¿Sabe cómo impactan los

riesgos de TI a las actividades

operativas diarias?

Conocer y administrar los riesgos le proveen un nivel de confianza a

la dirección e inversionistas de que su negocio está siendo

debidamente resguardado



Gobierno de TI

• Contar con una metodología para identificar riesgos, evaluarlos y administrarlos

• El gobierno de TI siendo un gobierno del negocio con soporte de TI

• Alinear objetivos de TI con estratégicos de la organización


¿Entiende el rol que desempeñan las Tecnologías de Información

(TI) para apoyar las estrategias de su negocio

y obtener el mayor beneficio de ellas?


Nivel 3 – Auditoría Avanzada

Perfil de Auditoría Interna de TI:

Auditoría Interna de TI aborda los riesgos de tecnologías nuevas o emergentes de una

manera proactiva, apoyando a la alta dirección en sus esfuerzos por cumplir los objetivos

estratégicos de la empresa. Auditoría Interna de TI está generando valor con su trabajo,

aplicando los principios de Inteligencia de Riesgos “Risk Intelligence” en las diferentes

áreas de la organización. La Auditoría Interna de TI aborda los riesgos tecnológicos antes

de que éstos se conviertan en un problema.

Ejemplos de auditorías avanzadas:

• Tecnología móvil

• Ciberterrorismo

• Redes Sociales

• Medios de pago

• Cómputo en la Nube

• Gobierno Riesgo y Cumplimiento



¿Sabe que el malware para

dispositivos móviles se

encuentra en aumento?


Tecnología móvil

Con mayor frecuencia, los empleados de las organizaciones utilizan sus propios

dispositivos móviles o tabletas para actividades profesionales, incrementando la necesidad

de controles específicos para la protección de información.

Principales Riesgos :

• Fuga de información

• Virus / malware

• Destrucción de información

Efectos en las organizaciones:

• Daño de imagen

• Reputación

• Credibilidad


¿Su empresa está preparada para las nuevas modalidades de

comunicación laboral?



Ciber Terrorismo

• El crimen organizado y los grupos de activistas ahora forman parte del problema

• Saber qué hacer en caso de ataque

• Capacidad para correlacionar eventos


¿Su organización es capaz de identificar

oportunamente un ataque?



Redes Sociales

Las redes sociales ofrecen grandes beneficios para compartir

contenidos, mantener conversaciones, colaborar, y construir

comunidades entre empleados, clientes, y socios comerciales. Si

su organización ya utiliza estas tecnologías, se han hecho las

siguientes preguntas:

• ¿Cuentan con una estrategia formal que defina su uso y

beneficios esperados?

• ¿Los usuarios están conscientes de las posibles implicaciones

en cuanto a la privacidad de datos, derechos de autor, daños a

la reputación o a la marca, hostigamiento, y otros riesgos de

seguridad a los que están expuestos cuando las utilizan?


Ante la falta de una estrategia adecuada, un marco de gobierno, y medidas

de seguridad robustas, el uso de estas tecnologías de redes sociales

también puede representar un riesgo importante para su organización.



Medios de Pago

Todos los bancos y empresas relacionadas con medios

de pago son un objetivo atractivo de la cyber

delincuencia

Nuevas presiones para asegurar:

• Confidencialidad de los datos y transacciones con

las tarjetas bancarias

• Transacciones a través de medios móviles e Internet.

¿Su organización se encuentra preparada contra los

ataques del cyber crimen?


Robo de Identidad y Fraude

cada vez más común

La concientización del cliente

de medios de pago es

imprescindible para la

disminución del fraude.



Cómputo en la nube

Principales interrogantes que se han generado:

• ¿Sabe qué tan segura se encontrará su información?

• ¿Quién tendrá acceso a ella?

• ¿Cómo se garantizará su disponibilidad, integridad y confidencialidad?

• ¿Cómo se mitigará el riesgo de puntos únicos de falla?


“Cloud computing” no es seguro por su naturaleza misma, por lo que es de gran

relevancia definir una estrategia para saber cómo se enfocarán los esfuerzos del

equipo de Auditoría Interna de TI para evaluar los controles relacionados a los riesgos

existentes.



Gobierno, Riesgo y Cumplimiento

• Un modelo de gestión de Gobierno Riesgo y Cumplimiento permite:

• Asignar responsabilidades puntuales y coordinar esfuerzos

• Comunicar e integrar la información

• Perspectiva general de los riesgos

• Identificar oportunidades locales y globales de la compañía

• Mejores bases para toma de decisiones.


¿Usted conoce los riesgos principales que afectan a su organización? ¿Sabe

cuáles son las regulaciones a las que debe dar cumplimiento? ¿Cuenta con

órganos de gobierno corporativo robustos?


¿Qué considera riesgoso?


¿En qué nivel de AI de TI se encuentra su organización?


Estado Actual Estado Futuro

Nivel 1

Nivel 2

Nivel 3 Avanzado

Ayudando a mitigar riesgos originados de las nuevas tecnologías

Anticipando a los riesgos que traen consigo

Intermedio

Generando valor en la organización

Enfocando el esfuerzo en tecnologías con cierto nivel de madurez

Básico

Cumplimiento / Auditorías Repetitivas

Bajo riesgo y bajo valor a la organización


Queremos saber tu experiencia (votación interactiva)


• ¿Su organización cuenta con una estrategia de

Auditoría Interna de TI como la presentada el día de

hoy?

• ¿En qué nivel se encuentran las revisiones de su área

de Auditoría Interna de TI (Básico, Intermedio,

Avanzado)?

• ¿En su organización se realiza alguna actividad

relacionada a AI de TI diferente a la expuesta el día de

hoy?


Construyendo una comunidad


Siguientes pasos

1. Estaría interesado en participar en una comunidad de Auditores Internos de TI

2. ¿Con qué frecuencia le gustaría realizar dichas reuniones?

3. ¿Qué temas a abordar?

4. ¿Quién sería el anfitrión, quién presentaría?

5. Fecha de la siguiente reunión



Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas

miembro, cada una de ellas como una entidad legal única e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripción detallada

de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.

Deloitte presta servicios profesionales de auditoría, impuestos, consultoría y asesoría financiera, a clientes públicos y privados de diversas

industrias. Con una red global de firmas miembro en más de 150 países, Deloitte brinda capacidades de clase mundial y servicio de alta calidad a

sus clientes, aportando la experiencia necesaria para hacer frente a los retos más complejos de los negocios. Los aproximadamente 182,000

profesionales de la firma están comprometidos con la visión de ser el modelo de excelencia.

Esta publicación es únicamente para distribución y uso interno del personal de Deloitte Touche Tohmatsu Limited, sus firmas miembro y sus

respectivas afiliadas (en conjunto la “Red Deloitte”). Ninguna entidad de la Red Deloitte será responsable de la pérdida que pueda sufrir cualquier

persona que consulte esta publicación.


Enterprise Risk Services Riesgos Tecnológicos Llevando a ......estratégicos de la empresa....

Documents

Transcript of Enterprise Risk Services Riesgos Tecnológicos Llevando a ......estratégicos de la empresa....