Gestión de Riesgos Tecnológicos y Auditoría de TI en el marco de la transformación Digital
Alejandro Delgado G.
CISA, CISM, ISO27001LA, ISO22301LA
Socio & Director Comercial AUDISEC -GlobalSUITE
2
Carlos Villamizar R.
CISA, CISCM, CGEIT, CRISC, ISO27001LA, ISO22301 LI
Dir. Operaciones GlobalSUITE Colombia
3
About Us
4
+ 15.000Usuarios
95%Fidelización
> 1.000Clientes
22 Partners
> 15 Países
Taking a step beyond GRC
Rastreabilidad
Centralización
Automatización
Monitoreo
Business Continuity
Legal & Compliance
Critical Infrastructure
Protection
ISO Management
System
Risk Management
Data Protection Service Management
Audit Management
Information Security
5
Resumen de la presentación¡¡Objetivo Conseguido!!
Conclusiones
Lecciones aprendidas
Modelo MUC y 3LD
Comentaremos el modelo de las
tres líneas de defensa y el modelo
unificado de controles.
Automatización del Modelo
Veremos cómo optimizar y
automatizar este modelo.
Auditoría actual
Comentaremos cómo vemos la
ejecución de las auditorías en las
empresas actualmente.
6
Introducción
7https://www.youtube.com/watch?v=QyYxs9m6vNk
Introducción
8
Introducción
GRC es el término genérico que se utilizapara integrar tres áreas deresponsabilidad:
Gobierno: Garantizar los mecanismos paralograr que el personal siga las políticas yprocesos establecidos
Riesgo: administración de los riesgos paraque lleguen a niveles aceptables
Cumplimiento: Monitoreo de las políticas /procedimientos / regulaciones paragarantizar que se cumplen
9Fuente: OCEG: Compliance & Ethical Group
Información demográfica:
205 encuestados.Industria:30%: servicios financieros70%: Otros
Rol de GRC: 44%: líderes autodenominados de estrategia de GRC40%: participa en el desarrollo de la estrategia GRC.
Rol de GRC: 28% de gestión de riesgos, 17% de cumplimiento / ética,14% TI, 13% auditoría, 6% corporativo, 5% GRC centralizado
10
Principales Hallazgos:
La adopción de GRC está aumentando50% informan que la utilización es buena o excelente, en comparación con el 35% en 2016
La preferencia se está desplazando hacia la nube.45% prefirió soluciones SaaS en comparación con el 31% en 2016; solo el 30% prefiere modelo OnPremise en lugar del 39% en 2016
La mayoría planea mudarse a una única plataforma de GRC o una solución central de GRC en una arquitectura federada.De cara al futuro, el 70% prefiere una única plataforma de GRC o una solución central de GRC que integre otras soluciones.
La inversión en GRC aumenta y se convierte en una decisión a nivel empresarial.El 71% reportó que el gasto aumentará o seguirá igual.
11
Nivel de alineación y utilización
Alineamiento Organizacional de tecnologías GRC Utilización de tecnologías GRC existentes
12
Objetivos al adquirir tecnologías GRC
2016
1 - Mejorar el análisis y la visibilidad de GRC
2 - Mejorar la consistencia de la información de GRC
3 - Reducir la complejidad de GRC
4 - Requisitos de cumplimiento normativo
5 - Reducir los riesgos en la organización.
6 - Mejorar el desempeño en la organización.
7 - Bajar o evitar los costos de GRC
8 - Aumentar la fiabilidad de GRC
2019
1 - Mejorar el análisis y la visibilidad de GRC
2 - Mejorar la consistencia de la información de GRC
3 - Requisitos de cumplimiento normativo
4 - Mejorar el desempeño en la organización.
5 - Reducir los riesgos en la organización.
6 - Reducir la complejidad de GRC
7 - Bajar o evitar los costos de GRC
8 - Aumentar la fiabilidad de GRC
13
¿Qué funciones influyen en la decisión de compra de GRC?
14
Auditoría Actual: Ficción o realidad ?
Carl tiene muy difícil hacer bien su trabajo!!!
Perfil de Carl:Tareas de Carl
Conocimientos de Auditoría 92%
Conocimiento IT 92%
Eficiencia 100%
Perspectiva de Negocio 88%
Papeles de trabajo
Evidencias
Controles
Riesgos
Gestión de los Equipos
…
…
15
200%
16
Esta es la realidad de las auditorías!!!
SITUACIÓN ACTUAL
Obligación de hacer análisis de riesgos IT y auditorías
Cada vez más normativa va en esa línea
17
Obligación de hacer análisis de riesgos IT y auditoríasCada vez más normativa va en esa línea
COSODAFP
22301
CE 007
SOX
27001
14001
9001
AUDITORÍA
GDPR
PCI
NIST
18
Se nos plantea un problema de “racionalización”
19
Se nos plantea un problema de “racionalización”
Pensemos en el siguiente ejemplo:• 1 riesgo• 4 controles• 6 normativas que comparten el riesgo y los controles• 6 auditores que se ocupan de las auditorías internas
20
Racionalizar riesgos y controles
Control DControl A Control B Control CRiesgo
21
Racionalizar riesgos y controles
Control DControl A Control B Control CRiesgo
22
Racionalizar riesgos y controles
Control DControl A Control B Control CRiesgo
23
24 revisiones de un riesgo
Y solo hay 4 controles y 1 riesgos!!!!!!!!
144 revisiones de controles
24
25
26
Racionalizar riesgos y controles
Los controles son comunesRevisión de la asociación riesgo -> controles partiendo
de un MODELO UNIFICADO DE CONTROLES Y UN
MODELO UNIFICADO DE AUDITORÍA.
• Un control se revisa una vez
• Un riesgos se revisa como máximo tantas veces como
normativas haya.Riesgo
Control DControl A Control B Control C
27
6 revisiones de un riesgo
1 revisión de control
28
29
Surge la necesidad de automatizary usar herramientas
Realizar “a mano” estas tareasresulta casi imposible en
organizaciones de cierto tamaño, además de poco productivo.
30
31
Responsabilidad DelegadaEs la clave del modelo de 3LD
1ª Línea
3ª Línea
2ª Línea
CONSEJO/ALTA DIRECCIÓN
Conocedora de los controles de
seguridad de su departamento, cómo
funcionan y cómo de eficaces son. Su
opinion sobre cómo mejorar es clave.
Departamento de riesgos legales, de
seguridad de la información, de riesgos,
experto en la materia, conocedor de
metodologías y nuevas herramientas.
Asesora a la primera línea con
conocimientos técnicos y jurídicos más
profundos.
Auditoría Interna: revisa el trabajo
realizados por las otras dos líneas y
aporta valor con la propuesta de
mejoras. Debe haber auditores legales y
técnicas.
Revisa los resultados del modelo y
aprueba o propone cambios en función
de las necesidades del negocio.
32
TRAZABILIDAD
AUTOMATIZACIÓN
CENTRALIZACIÓN
3ª línea: 3 factores clave
33
¿Por qué automatizar?
Software
GRC
Auditorías más complejas
Ya no se trata solo de revisar
balances, cláusulas y
contratos.
Auditoría de Riesgos
Hay que revisar análisis de
riesgos de muchas naturalezas
distintas.
Recolección de evidencias
Hay que buscar evidencias de
la eficacia de los controles
implantados.
Coordinación del equipo
Suele ser necesario un equipo
de varias personas, con sus
tareas asociadas que requieren
de gran coordinación.
¿Qué queremos?Conseguir los Objetivos Estratégicos
32.38%
2007 2008 2009 2010 2011 2012 2013 2014 2015
Y que la función de auditoría ayude a ello.
Aportando valor.
35
Conclusiones
Método más completo
Cada área experta hace su
propia revisión.
Más eficaz
Los esfuerzos se racionalizan
Es novedoso
Aún son pocas las empresas
que tienen modelos unificados
de controles y 3 líneas de
defense.
Automatizar
Son tareas complejas que
requieren herramientas de
apoyo para mejorar la
productividad.
36
Gracias!Alejandro Delgado / Carlos Villamizar
+57 315 817 31 19
www.globalsuite.es