gestión de riesgos tecnológicos y auditoría de ti en el … · 12 objetivos al adquirir...
TRANSCRIPT
![Page 1: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/1.jpg)
Gestión de Riesgos Tecnológicos y Auditoría de TI en el marco de la transformación Digital
![Page 2: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/2.jpg)
Alejandro Delgado G.
CISA, CISM, ISO27001LA, ISO22301LA
Socio & Director Comercial AUDISEC -GlobalSUITE
2
![Page 3: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/3.jpg)
Carlos Villamizar R.
CISA, CISCM, CGEIT, CRISC, ISO27001LA, ISO22301 LI
Dir. Operaciones GlobalSUITE Colombia
3
![Page 4: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/4.jpg)
About Us
4
+ 15.000Usuarios
95%Fidelización
> 1.000Clientes
22 Partners
> 15 Países
Taking a step beyond GRC
Rastreabilidad
Centralización
Automatización
Monitoreo
![Page 5: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/5.jpg)
Business Continuity
Legal & Compliance
Critical Infrastructure
Protection
ISO Management
System
Risk Management
Data Protection Service Management
Audit Management
Information Security
5
![Page 6: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/6.jpg)
Resumen de la presentación¡¡Objetivo Conseguido!!
Conclusiones
Lecciones aprendidas
Modelo MUC y 3LD
Comentaremos el modelo de las
tres líneas de defensa y el modelo
unificado de controles.
Automatización del Modelo
Veremos cómo optimizar y
automatizar este modelo.
Auditoría actual
Comentaremos cómo vemos la
ejecución de las auditorías en las
empresas actualmente.
6
Introducción
![Page 7: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/7.jpg)
7https://www.youtube.com/watch?v=QyYxs9m6vNk
Introducción
![Page 8: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/8.jpg)
8
Introducción
GRC es el término genérico que se utilizapara integrar tres áreas deresponsabilidad:
Gobierno: Garantizar los mecanismos paralograr que el personal siga las políticas yprocesos establecidos
Riesgo: administración de los riesgos paraque lleguen a niveles aceptables
Cumplimiento: Monitoreo de las políticas /procedimientos / regulaciones paragarantizar que se cumplen
![Page 9: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/9.jpg)
9Fuente: OCEG: Compliance & Ethical Group
Información demográfica:
205 encuestados.Industria:30%: servicios financieros70%: Otros
Rol de GRC: 44%: líderes autodenominados de estrategia de GRC40%: participa en el desarrollo de la estrategia GRC.
Rol de GRC: 28% de gestión de riesgos, 17% de cumplimiento / ética,14% TI, 13% auditoría, 6% corporativo, 5% GRC centralizado
![Page 10: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/10.jpg)
10
Principales Hallazgos:
La adopción de GRC está aumentando50% informan que la utilización es buena o excelente, en comparación con el 35% en 2016
La preferencia se está desplazando hacia la nube.45% prefirió soluciones SaaS en comparación con el 31% en 2016; solo el 30% prefiere modelo OnPremise en lugar del 39% en 2016
La mayoría planea mudarse a una única plataforma de GRC o una solución central de GRC en una arquitectura federada.De cara al futuro, el 70% prefiere una única plataforma de GRC o una solución central de GRC que integre otras soluciones.
La inversión en GRC aumenta y se convierte en una decisión a nivel empresarial.El 71% reportó que el gasto aumentará o seguirá igual.
![Page 11: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/11.jpg)
11
Nivel de alineación y utilización
Alineamiento Organizacional de tecnologías GRC Utilización de tecnologías GRC existentes
![Page 12: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/12.jpg)
12
Objetivos al adquirir tecnologías GRC
2016
1 - Mejorar el análisis y la visibilidad de GRC
2 - Mejorar la consistencia de la información de GRC
3 - Reducir la complejidad de GRC
4 - Requisitos de cumplimiento normativo
5 - Reducir los riesgos en la organización.
6 - Mejorar el desempeño en la organización.
7 - Bajar o evitar los costos de GRC
8 - Aumentar la fiabilidad de GRC
2019
1 - Mejorar el análisis y la visibilidad de GRC
2 - Mejorar la consistencia de la información de GRC
3 - Requisitos de cumplimiento normativo
4 - Mejorar el desempeño en la organización.
5 - Reducir los riesgos en la organización.
6 - Reducir la complejidad de GRC
7 - Bajar o evitar los costos de GRC
8 - Aumentar la fiabilidad de GRC
![Page 13: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/13.jpg)
13
¿Qué funciones influyen en la decisión de compra de GRC?
![Page 14: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/14.jpg)
14
Auditoría Actual: Ficción o realidad ?
![Page 15: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/15.jpg)
Carl tiene muy difícil hacer bien su trabajo!!!
Perfil de Carl:Tareas de Carl
Conocimientos de Auditoría 92%
Conocimiento IT 92%
Eficiencia 100%
Perspectiva de Negocio 88%
Papeles de trabajo
Evidencias
Controles
Riesgos
Gestión de los Equipos
…
…
15
200%
![Page 16: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/16.jpg)
16
Esta es la realidad de las auditorías!!!
![Page 17: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/17.jpg)
SITUACIÓN ACTUAL
Obligación de hacer análisis de riesgos IT y auditorías
Cada vez más normativa va en esa línea
17
![Page 18: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/18.jpg)
Obligación de hacer análisis de riesgos IT y auditoríasCada vez más normativa va en esa línea
COSODAFP
22301
CE 007
SOX
27001
14001
9001
AUDITORÍA
GDPR
PCI
NIST
18
![Page 19: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/19.jpg)
Se nos plantea un problema de “racionalización”
19
![Page 20: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/20.jpg)
Se nos plantea un problema de “racionalización”
Pensemos en el siguiente ejemplo:• 1 riesgo• 4 controles• 6 normativas que comparten el riesgo y los controles• 6 auditores que se ocupan de las auditorías internas
20
![Page 21: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/21.jpg)
Racionalizar riesgos y controles
Control DControl A Control B Control CRiesgo
21
![Page 22: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/22.jpg)
Racionalizar riesgos y controles
Control DControl A Control B Control CRiesgo
22
![Page 23: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/23.jpg)
Racionalizar riesgos y controles
Control DControl A Control B Control CRiesgo
23
![Page 24: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/24.jpg)
24 revisiones de un riesgo
Y solo hay 4 controles y 1 riesgos!!!!!!!!
144 revisiones de controles
24
![Page 25: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/25.jpg)
25
![Page 26: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/26.jpg)
26
![Page 27: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/27.jpg)
Racionalizar riesgos y controles
Los controles son comunesRevisión de la asociación riesgo -> controles partiendo
de un MODELO UNIFICADO DE CONTROLES Y UN
MODELO UNIFICADO DE AUDITORÍA.
• Un control se revisa una vez
• Un riesgos se revisa como máximo tantas veces como
normativas haya.Riesgo
Control DControl A Control B Control C
27
![Page 28: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/28.jpg)
6 revisiones de un riesgo
1 revisión de control
28
![Page 29: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/29.jpg)
29
![Page 30: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/30.jpg)
Surge la necesidad de automatizary usar herramientas
Realizar “a mano” estas tareasresulta casi imposible en
organizaciones de cierto tamaño, además de poco productivo.
30
![Page 31: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/31.jpg)
31
![Page 32: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/32.jpg)
Responsabilidad DelegadaEs la clave del modelo de 3LD
1ª Línea
3ª Línea
2ª Línea
CONSEJO/ALTA DIRECCIÓN
Conocedora de los controles de
seguridad de su departamento, cómo
funcionan y cómo de eficaces son. Su
opinion sobre cómo mejorar es clave.
Departamento de riesgos legales, de
seguridad de la información, de riesgos,
experto en la materia, conocedor de
metodologías y nuevas herramientas.
Asesora a la primera línea con
conocimientos técnicos y jurídicos más
profundos.
Auditoría Interna: revisa el trabajo
realizados por las otras dos líneas y
aporta valor con la propuesta de
mejoras. Debe haber auditores legales y
técnicas.
Revisa los resultados del modelo y
aprueba o propone cambios en función
de las necesidades del negocio.
32
![Page 33: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/33.jpg)
TRAZABILIDAD
AUTOMATIZACIÓN
CENTRALIZACIÓN
3ª línea: 3 factores clave
33
![Page 34: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/34.jpg)
¿Por qué automatizar?
Software
GRC
Auditorías más complejas
Ya no se trata solo de revisar
balances, cláusulas y
contratos.
Auditoría de Riesgos
Hay que revisar análisis de
riesgos de muchas naturalezas
distintas.
Recolección de evidencias
Hay que buscar evidencias de
la eficacia de los controles
implantados.
Coordinación del equipo
Suele ser necesario un equipo
de varias personas, con sus
tareas asociadas que requieren
de gran coordinación.
![Page 35: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/35.jpg)
¿Qué queremos?Conseguir los Objetivos Estratégicos
32.38%
2007 2008 2009 2010 2011 2012 2013 2014 2015
Y que la función de auditoría ayude a ello.
Aportando valor.
35
![Page 36: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/36.jpg)
Conclusiones
Método más completo
Cada área experta hace su
propia revisión.
Más eficaz
Los esfuerzos se racionalizan
Es novedoso
Aún son pocas las empresas
que tienen modelos unificados
de controles y 3 líneas de
defense.
Automatizar
Son tareas complejas que
requieren herramientas de
apoyo para mejorar la
productividad.
36
![Page 37: Gestión de Riesgos Tecnológicos y Auditoría de TI en el … · 12 Objetivos al adquirir tecnologías GRC 2016 1 - Mejorar el análisis y la visibilidad de GRC 2 - Mejorar la consistencia](https://reader030.vdocuments.site/reader030/viewer/2022013009/5e9ae1d993977a370a188319/html5/thumbnails/37.jpg)
Gracias!Alejandro Delgado / Carlos Villamizar
+57 315 817 31 19
www.globalsuite.es