ESQUEMAS DE AUDITORÍA EXISTENTES PARA ADMINISTRAR Y CONTROLAR RIESGOS TECNOLÓGICOS

Por : Norbey Mejía Chica

AGENDAAGENDA

1.1. Fuentes de amenazaFuentes de amenaza

2.2. Factores claves en la Factores claves en la administración deladministración del

Riesgo tecnológico.Riesgo tecnológico.

3.3. Responsabilidad en riesgo y Responsabilidad en riesgo y controlcontrol

4.4. Lista de chequeo para auditaje.Lista de chequeo para auditaje.

Fuentes de amenazaFuentes de amenaza

-- La fuerza de la naturalezaLa fuerza de la naturaleza- Catástrofes Naturales- Catástrofes Naturales

-- La Mano del HombreLa Mano del Hombre- Internamente- Internamente

- Intencionalmente- Por Descuido o Malos Manejos- Mala Ingeniería

- Externamente- Externamente

ADMINISTRACIÓN Y CONTROL DEL RIESGO TECNOLÓGICO

FACTORES CLAVES

•Dirección de seguridad

•IT

•Proveedor

•Interoperabilidad

Convergencia e integración

• Mapas de riesgo

• Mapas de protección

•Mitigaciones

Administración del riesgo

• Auditaje

•Aseguramiento

• Plataformas de seguridad

Seguridadinformática

ALCANCE Y RESPONSABILIDADDEL RIESGO Y EL CONTROL TECNOLÓGICO

La Gestión del Riesgo exige de responsabilidades diferenciadas dentro de la Organización

Analizar y evaluar riesgos de tecnología, una tarea

mancomunada

PROPIETARIOS DELOS PROCESOS

AUDITORIAINTERNA

Análisis yEvaluaciónde Riesgos

Seguimiento yAutoevaluación

del ControlInterno

Diseño,implementacióny mejoramiento

del ControlInterno

-----Aseguramiento

externo

Evaluación yverificación

independientedel Control

Interno

ALTA DIRECCION

Recomendaciones

Administradores deRiesgos

AUDITORIAEXTERNA

VOLVER

COMO SE HACE SEGURIDAD INFORMÁTICA??

Lista de chequeo Lista de chequeo

para auditoría de seguridadpara auditoría de seguridad

Lista de chequeo Lista de chequeo

para auditoría de seguridadpara auditoría de seguridad

Nombre de la Empresa o área en

particular que se analiza.

Objetivo del negocio.

Número de empleados.

Número de personas en el área de

seguridad.

Cargos en el área de seguridad.

Procedimientos escritos que se manejan.

Preguntas

claves...

Redes de computador, CCTV y

alarmas instaladas en la

Empresa.

Número de equipos de monitoreo.

Ubicación de los equipos.

Número de áreas protegidas.

Número de usuarios activos y

pasivos

Aplicaciones de seguridad

instalada

Interfases de los componentes de

seguridad.

Principales proveedores de

tecnología de seguridad.

Auditorias efectuadas a los

sistemas de seguridad.

Planes de emergencia y

contingencia de la empresa

Proyectos futuros de protección y

seguridad.

Algunas preguntas de detalle de la Algunas preguntas de detalle de la auditoría…auditoría…

GRACIASGRACIAS

Planeación

Plan estratégico de seguridad .

Estrategias que tiene la empresa para implementar nuevos sistemas de seguridad:

Recursos propios. Outsorcing Combinación de las dos.

Hay evaluación de riesgos antes de iniciar el proyecto de implementación de seguridad?

Documentación de los recursos.

Cuál es la documentación que se entrega con las recursos adquiridos?.

Verificar el tipo de manuales de operación de equipos y software de seguridad?

Existe soporte a través de internet por parte del proveedor?

Se suscriben pólizas o contratos de soporte y mantenimiento?

Estudio de las instalacionesEstudio de las instalaciones

Hay presupuestos de seguridad debidamente aprobados ?

Hay diseños de seguridad antes de las instalaciones de seguridad?

Existen planos detallados del proyecto?ArquitectónicosHidraúlicosEléctricos

Se han estudiado efectos de seguridad industrial del proyecto?

La estética prevista con la nueva instalación ha sido tenida en cuenta?

Existe un procedimiento claro de limpieza y aseo para los computadores?.

Procedimientos de Emergencia.

Existen claros procedimientos para mantener estructuras adecuadas de seguridad en casos de emergencia?.

Las estrategias para la evacuación de la instalación han considerado condiciones especiales de seguridad?.

Planes de contingencia

Existen planes de contingencias?.

Están documentados?. Verificar el personal que

participa en la definición del plan de contingencias?

Hay planes de continuidad del negocio claramente establecidos (BCP) ?