auditoría de la banca digital
TRANSCRIPT
![Page 1: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/1.jpg)
Auditoría de la
Banca digital
Ing. Luis Murguía Jara
MCE, CIA, CISA, CRMA, CRISC, CCSA, CSX, QAR
![Page 2: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/2.jpg)
La simplicidad es el logro final. Después
que uno ha jugado con una cantidad
grande de notas, es la simplicidad la que
emerge como una recompensa del arte.
Fréderic Chopin
(Varsovia 1810 – París 1849)
![Page 3: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/3.jpg)
Agenda
1. Algunos conceptos y antecedentes de la banca
digital
2. Evolución del enfoque de auditoría a un proceso
basado en TI
3. Modelo de trabajo propuesto para auditar la banca
digital
4. Algunas conclusiones y recomendaciones
![Page 4: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/4.jpg)
Algunos conceptos y antecedentes
de la banca digital
1
![Page 5: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/5.jpg)
“Es el uso de la ciencia en la industria,
ingeniería, etc. para inventar cosas útiles o
para resolver un problema…”
Diccionario Merriam-Webster
![Page 6: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/6.jpg)
Tecnología de la
información
“Dispositivos tecnológicos (hardware y software)
que permiten editar, producir, almacenar,
intercambiar y transmitir datos entre diferentes
sistemas de información que cuentan con
protocolos comunes……”
Juan Cristóbal Cobo (2009), “El concepto de tecnologías de la información.
Benchmarking sobre las definiciones de las TIC en la sociedad del conocimiento”.
![Page 7: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/7.jpg)
Gobierno“La forma en que una organización es
conducida y controlada”. (Ludt, 2009)
¿ Gobierno de
TI ?
1
![Page 8: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/8.jpg)
Eficiencia y control
en las operaciones
y servicios de TI
Eficiencia y control en la
dirección estratégica de la Ti
en la empresa
Liderazgo, estructura organizacional y
procesos necesarios para asegurar que la TI
de la empresa soporta y potencia la
estrategia y objetivos de la organización
1
![Page 9: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/9.jpg)
Requiere una computadora conectada
a Internet
Basta un Smartphone
conectado a Internet
Banca digital versus banca electrónica
1
![Page 10: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/10.jpg)
1Diario Gestión (Perú), Marzo-2018
80% de
empresas
encuestadas (USA,
Europa y Asia)
esperan un ataque
de
ciberseguridaden el 2018
Fuente: Nexus / ISACA
Según la U.S. Office of
Financial Research
(OFR), existen 3 drivers
para entender cómo la
estabilidad financiera
pueda ser impactada
Fuente: The Institute of
International Finance,
Inc.
![Page 11: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/11.jpg)
Amenazas a la
banca móvil
causadas por
un ataque en
internet
Un estudio realizado en el
2017 por CISCO a +3600
empresas de 26 países
reveló que 53% de los
ataques de ciberseguridad
generaron pérdidas por
encima de US$500K
1
![Page 12: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/12.jpg)
Evolución del enfoque de auditoría
a un proceso basado en TI
2
![Page 13: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/13.jpg)
2
![Page 14: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/14.jpg)
2
Usuario Ingeniería Data
Enfoque de n-capas
![Page 15: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/15.jpg)
1
Visión multidimensional
Tercerización
![Page 16: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/16.jpg)
3Modelo de trabajo propuesto para
auditar la banca digital
![Page 17: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/17.jpg)
3
![Page 18: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/18.jpg)
3
Modelo de trabajo propuesto para auditar la banca digital
![Page 19: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/19.jpg)
3
![Page 20: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/20.jpg)
![Page 21: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/21.jpg)
3
Los aspectos de ciberseguridad resultan relevantes
para una auditoría de la banca digital…
Fuente: MetricStream
![Page 22: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/22.jpg)
3
Modelo de trabajo propuesto para auditar la banca digital
![Page 23: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/23.jpg)
3
![Page 24: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/24.jpg)
3
Modelo de trabajo propuesto para auditar la banca digital
Cuatro criterios (ejemplo) que
pueden ser utilizados como llave
principal para analizar matriz de
riesgo (inherente y/o residual)
![Page 25: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/25.jpg)
3
Modelo de trabajo propuesto para auditar la banca digital
![Page 26: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/26.jpg)
3
![Page 27: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/27.jpg)
3
La auditoría a realizar debe
permitir determinar el estado
real del riesgo (Riesgo
Residual)
Riesgo residual = Riesgo inherente –
Control total
Control total = Control primario + Control secundario
![Page 28: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/28.jpg)
3
Modelo de trabajo propuesto para auditar la banca digital
![Page 29: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/29.jpg)
3
![Page 30: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/30.jpg)
3
Modelo de trabajo propuesto para auditar la banca digital
![Page 31: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/31.jpg)
3
![Page 32: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/32.jpg)
3
Un ejemplo de despliegue del plan de trabajo
para las auditorías de TI
![Page 33: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/33.jpg)
3
Un ejemplo de plantilla típica para revisar una
aplicación
![Page 34: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/34.jpg)
4Algunas conclusiones y
recomendaciones
![Page 35: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/35.jpg)
4
• Los riesgos en la banca digital no sólo son de tecnología de información
• Se requiere un buen conocimiento de la infraestructura tecnológica de la empresa y de los riesgos de ciberseguridad, seguridad de la información y marcos de control para TI
• Los riesgos de ciberseguridad pueden incrementarse a partir de riesgos no tecnológicos
• Es recomendable hacer primero una evaluación general de los controles asociados a TI
![Page 36: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/36.jpg)
4• El alcance de una auditoría de la banca digital
debería ser incremental, dependiendo de la complejidad de la infraestructura y tamaño de la organización
• Es recomendable aplicar un enfoque escalar y desagregado en la planificación de las auditorías
• Tomar en cuenta los riesgos derivados de procesos basados en metodologías ágiles
![Page 37: Auditoría de la Banca digital](https://reader030.vdocuments.site/reader030/viewer/2022012013/61587fd3ecf98c357f2e9dcc/html5/thumbnails/37.jpg)
Fin de la presentación
Ing. Luis Murguía Jara
MCE, CIA, CISA, CRISC, CRMA, CCSA, CSX, QAR
Subgerente de Auditoría de Sistemas y Tecnología – Interbank
Lima, Perú