Scribd Logo
Загрузить

Добро пожаловать в Scribd!

  • Presentación Profesor Pablo Valdivia

    Загружено:

    Eucam
    42 просмотров18 страниц
    Presentación de Riesgo Tecnológico

    Авторское право

    © © All Rights Reserved

    Доступные форматы

    PDF, TXT или читайте онлайн в Scribd

    Этот документ был вам полезен?

    Это неприемлемый материал?

    Пожаловаться на этот документ
    Presentación de Riesgo Tecnológico

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    42 просмотров18 страниц

    Presentación Profesor Pablo Valdivia

    Загружено:

    Eucam
    Presentación de Riesgo Tecnológico

    Авторское право:

    © All Rights Reserved
    Скачайте в формате PDF, TXT или читайте онлайн в Scribd
    Отметить как неприемлемый контент
    из 18

    AUDITORA RIESGO

    TECNOLGICO

    Profesor: Pablo Valdivia P.

    NDICE

    INTRODUCCIN.
    GOBIERNO
    INFRAESTRUCTURA.
    INFORMACIN Y BASES DE DATOS.
    SEGURIDAD.
    CONTINUIDAD DE NEGOCIO.
    CONCLUSIN GENERAL.

    Introduccin

    Automatizacin de los procesos operativos y contables.


    La globalizacin.
    Internet.
    El crecimiento de las transacciones electrnicas.
    Banca mvil.
    Aumento del riesgo del auditor financiero y/u operativo:
    S(e) = R(c)*R(d)

    Introduccin
    Riesgo Tecnolgico es el potencial de que una determinada
    amenaza tecnolgica pueda explotar las vulnerabilidades de
    un activo y causar prdidas o daos a la empresa, es decir:

    Alto
    I
    M
    P
    A
    C
    T
    O

    Exposicin/Riesgo
    Inaceptables
    Medio
    Exposicin/Riesgo
    Aceptables
    Bajo
    Bajo

    Medio
    Probabilidad de ocurrencia

    Alto

    Introduccin
    La auditora de sistemas o de riesgo tecnolgico, es el proceso
    de recoger, agrupar y evaluar evidencias para determinar si un
    sistema o proceso informatizado:
    Salvaguarda los activos.
    Mantiene un adecuado control de acceso.

    Mantiene la integridad de los datos.


    Asegura la disponibilidad de sus funcionalidades.
    Lleva a cabo eficazmente los objetivos de la organizacin.

    Introduccin
    ARCHIVO
    EXTERNO

    ARCHIVOS
    INTERNOS

    BASES DE
    DATOS

    ARCHIVO 1

    Proceso 1
    ARCHIVO 2

    ARCHIVO 3

    Infraestructura/Servidores

    Gobierno Riesgo Tecnolgico.


    Existe una estructura organizativa adecuada?

    Existe una correcta estructura de comits?

    Se ha definido una matriz de riesgo?

    Se ha definido el apetito de riesgo?

    Se han definido polticas, estndares y procedimientos de gestin de riesgos?

    Infraestructura.
    Internet

    Acceso
    Remoto

    FIREWALL

    VPN
    PROXY

    IDS/IPS

    DMZ

    ROUTER/GATEWAY

    Red
    Interna

    Servidor Central

    Infraestructura.
    Se gestiona la obsolescencia tecnolgica?

    Existen
    proyectos
    obsolescencia?

    asociados

    Se ha definido el apetito de riesgo para la


    obsolescencia?

    Existe una correcta administracin de los


    accesos remotos?
    Cul es la configuracin de seguridad del
    equipo que se conecta en forma remota?

    Infraestructura.
    Existe una poltica que norme la
    habilitacin de acceso a VPN?
    Existe procedimiento de altas y bajas
    de usuarios de la VPN?
    Cules son los privilegios otorgados a
    los usuarios de la VPN?

    Informacin y bases de datos.


    Existe una metodologa de gestin de los datos?

    Se ha clasificado la informacin?

    Se ha habilitado DLP (Data Loss Prevention) en bases criticas?

    Existe controles o restricciones de uso para medios de


    almacenamiento externo?

    Seguridad
    Existe un correcto gobierno de seguridad?
    Seguridad
    Instalaciones

    Existe un plan director de seguridad?


    Seguridad
    Infraestructura

    Existe evaluaciones externas de seguridad (risk assessment)?


    Seguridad
    Aplicaciones

    Existe un rea de estudios de evolucin de la ciberseguridad?

    Existe un proceso de actualizacin de las polticas, estndares y


    procedimientos de seguridad?

    Continuidad de Negocio
    Existe un gobierno de continuidad?

    Existe una matriz de riesgos y procesos?

    Se ha definido un BIA (Business Impact Analysis)?

    Se ha definido los registros crticos?

    Se ha definido el punto de recuperacin (Recovery Point Objective) y el


    tiempo de recuperacin (Recovery Time Objective)?
    Se ha definido las estrategias de contingencia (Hot Site, cold site y warm
    site?

    Continuidad de Negocio
    Punto Objetivo de Recuperacin

    Tiempo Objetivo de Recuperacin

    Interrupcin
    4 24
    horas
    Copias de respaldo en
    cinta.
    Envo de registros

    1 4 horas

    0 1 hora

    Copias de respaldo en Espejamiento


    disco.
    datos.
    Replicas con demora.
    Replicas en
    Envo de registros.
    real

    0 1 hora

    de Clustering
    activo
    tiempo

    1 4 horas

    activo- Clustering
    pasivo
    Hot standby

    activo-

    4 24
    horas
    Cold standby

    Continuidad de Negocio.
    Costo

    Tiempo fuera
    de servicio
    Estrategia de
    recuperacin
    Costo Total

    Mnimo

    Tiempo

    CONCLUSIN GENERAL
    Dada la evolucin tecnolgica de la infraestructura, sistemas y
    aplicaciones que soportan la operativa de los negocios es
    importante que las divisiones de auditora interna cuenten con un
    rea especfica para revisar el Riesgo Tecnolgico.
    Entre los programas que dicha rea debe desarrollar, podemos
    sealar:
    Auditora de la explotacin: Revisar los controles sobre las
    actividades que se necesitan ejecutar para actualizar la
    informacin de los sistemas.
    Auditora del Desarrollo: Revisar los procedimientos que
    permitan garantizar que el desarrollo de sistemas de informacin
    se ha llevado a cabo segn los principios metodolgicos.

    CONCLUSIN GENERAL
    Auditora de Bases de Datos: Revisar las actividades de
    control y gestin de la informacin y cambios sobre las bases
    de datos que soportan las aplicaciones.

    Auditoras de Aplicaciones o Procesos: Evaluar el nivel de


    control y funcionalidades de las aplicaciones que soportan los
    procesos de negocio.
    Auditora de Seguridad: Revisar el correcto cumplimiento de
    las polticas, estndares y procedimientos de seguridad.
    Auditora de Continuidad: Validar que la Sociedad cuenta con
    estrategias de continuidad que permiten mantener la
    operatividad de sus negocios ante la ocurrencias de fallos que
    pudiesen afectar sus procesos.

    AUDITORA RIESGOS
    TECNOLGICOS

    Profesor: Pablo Valdivia P.

    Вам также может понравиться