ESQUEMAS DE AUDITORÍA EXISTENTES PARA ADMINISTRAR Y CONTROLAR RIESGOS TECNOLÓGICOS
Por : Norbey Mejía Chica
AGENDAAGENDA
1.1. Fuentes de amenazaFuentes de amenaza
2.2. Factores claves en la Factores claves en la administración deladministración del
Riesgo tecnológico.Riesgo tecnológico.
3.3. Responsabilidad en riesgo y Responsabilidad en riesgo y controlcontrol
4.4. Lista de chequeo para auditaje.Lista de chequeo para auditaje.
Fuentes de amenazaFuentes de amenaza
-- La fuerza de la naturalezaLa fuerza de la naturaleza- Catástrofes Naturales- Catástrofes Naturales
-- La Mano del HombreLa Mano del Hombre- Internamente- Internamente
- Intencionalmente- Por Descuido o Malos Manejos- Mala Ingeniería
- Externamente- Externamente
ADMINISTRACIÓN Y CONTROL DEL RIESGO TECNOLÓGICO
FACTORES CLAVES
•Dirección de seguridad
•IT
•Proveedor
•Interoperabilidad
Convergencia e integración
• Mapas de riesgo
• Mapas de protección
•Mitigaciones
Administración del riesgo
• Auditaje
•Aseguramiento
• Plataformas de seguridad
Seguridadinformática
ALCANCE Y RESPONSABILIDADDEL RIESGO Y EL CONTROL TECNOLÓGICO
La Gestión del Riesgo exige de responsabilidades diferenciadas dentro de la Organización
Analizar y evaluar riesgos de tecnología, una tarea
mancomunada
PROPIETARIOS DELOS PROCESOS
AUDITORIAINTERNA
Análisis yEvaluaciónde Riesgos
Seguimiento yAutoevaluación
del ControlInterno
Diseño,implementacióny mejoramiento
del ControlInterno
-----Aseguramiento
externo
Evaluación yverificación
independientedel Control
Interno
ALTA DIRECCION
Recomendaciones
Administradores deRiesgos
AUDITORIAEXTERNA
VOLVER
COMO SE HACE SEGURIDAD INFORMÁTICA??
Lista de chequeo Lista de chequeo
para auditoría de seguridadpara auditoría de seguridad
Lista de chequeo Lista de chequeo
para auditoría de seguridadpara auditoría de seguridad
Nombre de la Empresa o área en
particular que se analiza.
Objetivo del negocio.
Número de empleados.
Número de personas en el área de
seguridad.
Cargos en el área de seguridad.
Procedimientos escritos que se manejan.
Preguntas
claves...
Redes de computador, CCTV y
alarmas instaladas en la
Empresa.
Número de equipos de monitoreo.
Ubicación de los equipos.
Número de áreas protegidas.
Número de usuarios activos y
pasivos
Aplicaciones de seguridad
instalada
Interfases de los componentes de
seguridad.
Principales proveedores de
tecnología de seguridad.
Auditorias efectuadas a los
sistemas de seguridad.
Planes de emergencia y
contingencia de la empresa
Proyectos futuros de protección y
seguridad.
Algunas preguntas de detalle de la Algunas preguntas de detalle de la auditoría…auditoría…
GRACIASGRACIAS
Planeación
Plan estratégico de seguridad .
Estrategias que tiene la empresa para implementar nuevos sistemas de seguridad:
Recursos propios. Outsorcing Combinación de las dos.
Hay evaluación de riesgos antes de iniciar el proyecto de implementación de seguridad?
Documentación de los recursos.
Cuál es la documentación que se entrega con las recursos adquiridos?.
Verificar el tipo de manuales de operación de equipos y software de seguridad?
Existe soporte a través de internet por parte del proveedor?
Se suscriben pólizas o contratos de soporte y mantenimiento?
Estudio de las instalacionesEstudio de las instalaciones
Hay presupuestos de seguridad debidamente aprobados ?
Hay diseños de seguridad antes de las instalaciones de seguridad?
Existen planos detallados del proyecto?ArquitectónicosHidraúlicosEléctricos
Se han estudiado efectos de seguridad industrial del proyecto?
La estética prevista con la nueva instalación ha sido tenida en cuenta?
Existe un procedimiento claro de limpieza y aseo para los computadores?.
Procedimientos de Emergencia.
Existen claros procedimientos para mantener estructuras adecuadas de seguridad en casos de emergencia?.
Las estrategias para la evacuación de la instalación han considerado condiciones especiales de seguridad?.
Planes de contingencia
Existen planes de contingencias?.
Están documentados?. Verificar el personal que
participa en la definición del plan de contingencias?
Hay planes de continuidad del negocio claramente establecidos (BCP) ?