Agenda
• De lo local al exterior.
• Del papel individual a los nuevos estándares.
• Robos físicos a robos de electrónicos.
• Continuidad de operaciones.
• Algunas fallas administrativas comunes.
• ¿Qué hacer ante este entorno?
• ¿Qué sigue? Los controles emergentes.
Las 5 principales deficiencias TI por tipo de control
1. Control de acceso (aplicaciones)
2. Configuración administrativa (mínimos, máximos)
3. Administración de la seguridad (servidores, base
de datos)
4. Continuidad de operaciones (pérdida de datos y
cortes en el servicio)
5. Segregación de funciones (perfiles de usuarios)
Fuente US Government Accounting Office 2009
Escenario de redes locales interacciones al exterior
de forma manual
Comprador
Recibo
Requisitor
Pagador
Contador
TI
Orden de
compra en
papel
Proveedor
1. Riesgos compras equivocadas
2. Proveedores intermediarios
Escenario con mala configuración de permisos
Comprador
Recibo
Requisitor
Pagador
Contador
TI
Orden de
compra en
papel
Proveedor
1. Riesgos compras equivocadas
2. Proveedores intermediarios
3. Compras falsas
Escenario de inadecuada actualización de permisos
Nuevo
promo
Compradory permiso anterior
de recibo
Recibo
Requisitor
Pagador
Contador
TI
cambio de puesto Orden de
compra en
papel
Proveedor
1. Riesgos compras equivocadas
2. Proveedores intermediarios
3. Compras falsas
4. Compras en colusión con proveedores
Escenario de interacciones
Comprador
Recibo
Requisitor
Pagador
Contador
TI
Nube
Proveedor
Orden de compraelectrónica y aceptación
del proveedor
Facturas
Pagos
1. Riesgos compras equivocadas
2. Proveedores intermediarios
3. Compras falsas
4. Compras en colusión con proveedores
5. Robo de información
6. Trasferencias a cuentas distintas del proveedor
Del papel individual a los nuevos
estándares Homologar los protocolos de comunicación
mejora la explotación de la información
Evolución de los controles
Taxonom ías
validaciones
Servicios
Idioma
Conectividad de punto a punto
Memos
contratos fi rmados
fi rmas autógrafas para autorización
Control de accesos y procesos
Controles externos
sujetos a verificación
Controles manuales
Controles de aplicación
Controles generales y
control sobre los controles
de terceros
Se sumaron
Se sumaron
Fraudes más populares
• Robo de identidades
• Robo de información bancaria
• Robo de información estratégica (fórmulas, clientes, proveedores
etc.)
• Autorizaciones de operaciones inexistentes
• Alteraciones de parámetros (mínimos, máximos, tablas)
• Intercepción de información
• Falsificación digital
• Destrucción de evidencia
• Entre muchos mas…
Existen muchos cyber crimes diariamente
1. Engaño a un periódico haciéndolo creer
que tenia buenas credenciales bancarias.
2. Inserto anuncios que llevaban a los clientes
a sitios para infectarlos con virus.
3. Vendía la solución antivirus en 48 dólares
por persona.
Que pasa si….
• No hay internet.
• Se pierden mis bases de datos.
• Si requiero modificar o actualizar mis aplicaciones o equipo.
• Si se pierde el suministro eléctrico.
• Si personal clave de TI renuncia, fallece o enferma gravemente.
• Si quiero migrar a otra plataforma más moderna para estar en
posición competitiva.
• Si mis sistemas son atacados y tengo pérdida o fuga de datos
sumamente confidenciales.
• ¿Hay leyes que puedo estar infringiendo? ¿Puedo pagar las
multas?
Al final ¿Cuánto dinero pierdo?
Algunas fallas administrativas comunes
La tecnología responde a los requerimientos de negocio y no al revés.
Proyectos que involucran tecnología
• Las empresas no se cercioran de que la tecnología es adecuada a
los procesos de la empresa, a veces intentan instaurar los
procesos de negocio por medio de la tecnología cuando realmente
es al revés.
• Las empresas subestiman la inversión de tiempo y dinero para
terminar el proyecto. Salen muchos extras.
• El resultado no es el esperado y se hacen nuevos proyectos para
salvar la inversión inicial.
• No hacen la evaluación del proyecto para determinar el valor
presente del mismo.
Operar la tecnología
• Capacitación inadecuada del personal así como poco interés del
mismo.
• Falta de manuales y guías de consulta disponibles a usuarios y
técnicos.
• Uso parcial de las funcionalidades de aplicaciones o
infraestructura.
• Mantenimiento inadecuado a errores, disfuncionalidades o
solicitudes de usuarios.
• Problemas de seguridad.
Medidas básicas de control
• En cualquier inversión en tecnología pide
asesoría de un tercero sin conflicto de
interés, el que vende y el que sugiere la
compra están en posición de conflicto de
interés, el primero siempre el segundo a
veces.
Implementar controles en base a riesgos
• Establecer los riesgos que implica la
adquisición de tecnologías de información
por expertos en el tema, siempre
contestando cuatro preguntas básicas:
– ¿Cuál es el objetivo y de que eventos
negativos me puede impedir obtenerlo?
– ¿Qué impacto económico tiene el evento
en la empresa?
– ¿Cuál es la probabilidad de que suceda?
– ¿Cómo responder adecuadamente
riesgo?
Implementar controles en base a riesgos de fraude
• Investigar sobre fraudes utilizando
tecnologías (cambian, hay modas), tanto
internos como externos, y establecer los
riesgos de acceso, proceso, sabotaje
entre otros. Después implementar las
medidas de control y seguridad
necesarias.
Aprende administrar el cambio e implementar por
proyectos
• Los proyectos de nuevas tecnologías, la
implementación de controles así como el
monitoreo de controles, debe usarse
personal capacitado para planear e
implementar en base a la técnica de
administración de proyectos, así como
administrar el cambio dentro de la
organización como factor de éxito para
cumplir con el requerimiento de negocios.
Políticas y procedimientos y plan de cumplimiento
• Tener políticas y procedimientos formales
que dicten claramente las reglas de
operación. Los riesgos se fijan top-down
pero se administran bottom-up.
• Implementar en base a políticas y
procedimientos siempre es mejor y más
económico.
Tener un programa de continuidad de negocio
• Identificar eventos que pueden detener el
negocio en marcha y hacer un plan que
permita superarlos exitosamente al
menor costo posible.
Implementar un plan de monitoreo continuo
• Ningún programa de control interno
funciona exitosamente si no existe un
programa de monitoreo que lo mantenga
vigente y en continua adaptación a las
cambiantes realidades de la
organización.
Los controles emergentes en evolución
• Controles biométricos.
• Controles auto correctores de errores .
• Controles que vigilan acciones físicas (movimientos predefinidos).
• Reconocimiento de video inteligente.
• Alertas e indicadores que activan otros controles.
• Controles satelitales (ubicación, instalaciones).
• Tomadores de notas escritas y voz que se almacenan en bases de
datos.
¡Gracias! C.P.C. Arturo Lara
Ave. Jose Vasconcelos 638 A Col Valle del
Campestre, San Pedro Garcia Nuevo Leon 66250 México.
Telefonos:
+ 52 (81) 838 77428
+ 52 (81) 838 74463