Controles D Seguridad

IMPLEMENTACIN
CONTROLES DE TI Y
SEGURIDAD

KPMG Advisory Services

Agosto 2, 2012
2
2012 KPMG International Cooperative (KPMG International), a Swiss entity. Member firms of the KPMG network of
independent firms are affiliated with KPMG International. KPMG International provides no client services. No member firm has
any authority to obligate or bind KPMG International or any other member firm third parties, nor does KPMG International have
any such authority to obligate or bind any member firm. All rights reserved. FOR INTERNAL USE ONLY
CONTENIDO
1. 1. Objetivo
2. 2. Antecedentes
3. Factores de riesgos
1. 4. reas de control y seguridad
2. 5. Marcos de Control aplicables
COBIT
NIST
3. 6. Autoevaluacin de Nivel de control
4. 7. Preguntas

3
OBJETIVO
Nuestros objetivos son abordar los elementos importantes del gobierno de la empresa (riesgo, control y
valor), trabajando en los siguientes tpicos:

Alineacin estratgica,
Explicar los factores de riesgos mas relevantes.
Explicar los controles de TI desde una perspectiva a nivel ejecutivo
Verificacin de la existencia de controles que permitan administrar de
forma adecuada el proceso.
Describir las funciones y responsabilidades organizativas para asegurar
que se enfoca adecuadamente el tratamiento de los controles de TI
dentro del sistema global de controles internos.
Definiciones
5
CONTENIDO
1. 1. Objetivo
2. 2. Antecedentes
COBIT
NIST
4. 7. Preguntas

JUSTIFICACION
La creciente complejidad de los entornos de TI.
Infraestructuras de TI fragmentadas.
Existe una brecha en la comunicacin entre los administradores de TI y los del
negocio.
Se percibe que los costos de TI estn fuera de control.
ROI de la inversiones de TI.
Se ha incrementado la dependencia sobre la informacin y los sistemas que la
entregan.
Un incremento en las vulnerabilidades y un amplio espectro de amenazas tales
como las cyberamenazas y el fraude electrnico.
La necesidad de cumplir con regulaciones.
El potencial que tienen las tecnologas para cambiar las prcticas del negocio,
crear nuevas oportunidades y reducir los costos.

Las organizaciones exitosas, entienden y administran
los riesgos asociados a la implementacin de nuevas
tecnologas.
Retos de las reas de TI
Mantener la operacin de TI en marcha
Administrar y controlar la complejidad
Entregar valor
Optimizar costos
Alinear a TI con el negocio
Proveer mejores niveles de seguridad
Asegurar el cumplimiento regulatorio
Normalmente, los siguientes problemas pueden surgir debido a una falla tcnica:
Interrupciones en los procesos crticos de negocio, como el procesamiento de
rdenes.
El personal administrativo no es capaz de manejar bitcoras, correo o
documentos.
Los clientes se ven imposibilitados de contactar los centros de llamadas (call
centers)
Los problemas anteriores pueden dar como resultado prdidas para el negocio, reducir
las ganancias y daar la reputacin de la organizacin.
Mantener la operacin de TI en marcha
Los problemas tpicos que surgen debido a estas complejidades son:
Mantener las competencias tcnicas
Adaptarse a los cambios rpidos y nuevos desarrollos
Administrar las relaciones externas y los proveedores de servicios
Administrar infraestructuras tcnicas diversas

Administrar y controlar la complejidad
Dadas las inversiones significativas que se hacen en TI y la importancia estratgica de los
proyectos de TI , las organizaciones necesitan asegurarse que TI provee valor. En la mayora
de los proyectos de TI que exceden las expectativas presupuestarias de fechas lmite, los
problemas tpicos son:
Requerimientos pobremente definidos
Sistemas muy complejos de implementar
Subestimacin del esfuerzo requerido
Pobre administracin de proyectos
Entregar Valor
Normalmente, las razones de que existan gastos elevados son:
Los costos asociados con los activos de TI no fueron comprendidos.
Los presupuestos operativos se incrementan debido a licenciamiento complejo,
mantenimiento y contratos de tercerizacin (outsourcing).
Hacen falta recursos con destrezas.
Se incurre en grandes prdidas financieras debido a proyectos fallidos.
No existe coordinacin entre los gastos de TI de las unidades de negocio y de los
departamentos centrales de TI.
Optimizar costos
En la mayora de las organizaciones, la brecha entre lo que esperan los usuarios y lo que TI
puede brindar contina existiendo debido a las siguientes razones :
Requerimientos del negocio pobremente definidos
Incapacidad para establecer prioridades
Complejidad de los proyectos
Falta de compromiso en los patrocinadores del negocio
Falta de conductores del negocio claros para las soluciones
Brechas de comunicacin entre el negocio y TI
Alinear a TI con el negocio
Desafortunadamente, el deseo de tener la informacin disponible en forma rpida por medio
del uso de la tecnologa acarrea riesgos de seguridad. Estos riesgos han aumentado debido
a diversos factores :
El uso de Internet y redes, que expone los sistemas internos al mundo.
Virus y hackers.
El creciente mal uso de la informacin.
Las complejidades tcnicas de los ambientes de TI y los problemas de seguridad
asociados.
Conciencia pobre sobre los problemas de seguridad en los usuarios de las
computadoras

Proveer mejores niveles de seguridad
Las regulaciones que gobiernan las operaciones del negocio tienen
impacto sobre los sistemas de TI. La funcin de TI necesita estar
consciente de los requerimientos regulatorios nacionales e internacionales
que se relacionan, por ejemplo, con:
Gobierno corporativo y reportes financieros
Privacidad y seguridad
Asegurar el cumplimiento regulatorio
BUENAS PRACTICAS
ISO 27000 COBIT/ITIL OTRAS
REGULACIN LOCAL (014, 052, 049, entre otras)
REGULACIN INTERNACIONAL (SOX, BASILEA,
entre otros)
13
Tareas prioritarias de los rganos Internos
Junta Directiva

Estrategias, Polticas y Estructura del SCI
Estrategias de Gestin de Riesgos
Cdigo de Buen Gobierno y tica de la organizacin
Informacin y procesos de comunicacin que permitan conocer
en los niveles adecuados los informes de los rganos de control
y tomar las decisiones pertinentes, reportando a la Asamblea de
Accionistas el resultado de la evaluacin del SCI.
Comit de Auditora
Supervisar la operacin eficaz del Sistema de Control Interno
Gestin de Riesgos y Controles
Preparacin y revelacin de la Informacin
Gestin de la Tecnologa
Valorar cultura de control interno
Liderar actividades Auditora Interna (riesgos, operacin)
Comunicacin con Revisores Fiscales
Informe peridico actividades a Junta Directiva
Evaluar desempeo del Comit de Auditora y su paulatina
profesionalizacin
Determinar el Reglamento del Comit
Representante Legal
Implementar las Estrategias y Polticas del SCI
Establecer y mantener la informacin y revelacin
Proveer la informacin requerida por los rganos de control,
internos y externos
Verificar la operacin de los controles
Informar a la Junta Directiva sobre la operacin del SCI, Gestin
de riesgo y sobre deficiencias significativas en el control de la
Entidad, incluyendo fraudes.
La integracin del Sistema de Control Interno en las compaas, implica el fortalecimiento en cada rea de:
Auditora Interna
Efectuar evaluacin detallada de la efectividad del SCI (Gestin
Riesgos, Informacin, Administrativos, Financieros y TI)
Verificar la eficacia y suficiencia de los controles
Probar transacciones y procedimientos
Contribuir a la mejora de los procesos de gestin de riesgos,
control y gobierno de la Entidad
Proponer al Comit de Auditoria el Plan Anual

14
Revisoria Fiscal
Evaluar la razonabilidad del sistema de control interno

Tareas prioritarias de los rganos Internos
TI
Implementar soluciones
Soportar la automatizacin de controles
Tener mayor conciencia de control
Apoyar a la organizacin en las diferentes iniciativas
Prepararse para auditorias internas y externas
15
CONTENIDO
1. 1. Objetivo
2. 2. Antecedentes
COBIT
NIST
4. 7. Preguntas

Qu es riesgo?
Riesgo (R) es un concepto
que mide el nivel de
exposicin que tiene un
activo (A) ante una
amenaza (AM) que a
su vez explota una
vulnerabilidad (V)
R=A x AM x V
Evaluacin de riesgos de TI
La primera fase de nuestra revisin es identificar y evaluar los riesgos inherentes.
ITRM agrupa los riesgos de TI en ocho categoras:
La dependencia de los sistemas de TI - Mientras ms dependiente sea una organizacin de los recursos de TI, mayor es la posible
prdida financiera, ya sean directa o de reputacin . Esta categora est determinada por el grado de automatizacin, la cantidad de
tecnologa, los procesos misionales soportados por TI, y la sofisticacin de TI.

Dependencia del personal de TI: En esta categora de riesgo la organizacin puede sufrir una prdida debido a la rotacin o ausencia de
personal altamente competente en temas de TI.

Dependencia de Terceros: Existe el riesgo de que la organizacin sufra una prdida a causa de su dependencia de terceros, como
outsourcing, co-sourcing, proveedores y contratistas. Esta categora depende del nivel de participacin de terceros.

Confiabilidad de TI: Los riesgos pueden materializarse a partir del procesamiento inadecuado o incoherente de la informacin del
negocio. Esto ocasiona que deban realizarse procesos de rectifcacin de la informacin, ya que el resultado del procesamiento es poco
confiable.

Enfoque de Negocio de las Funciones de TI y los procesos: Existe el riesgo de que las necesidades del negocio y de los usuarios no
sean suplidas por TI o que la tecnologa de informacin disponible no se integre apropiadamente con el enfoque del negocio, la
estrategia y los planes futuros. El enfoque del negocio est determinado por los procesos de negocio, satisfaccin del usuario y la
conciencia gerencial.

Activos de Informacin La propia naturaleza de los datos y la informacin (los "activos de informacin"), mantenida por la organizacin,
puede resultar en una prdida (por ejemplo, la piratera o el robo), y est determinado por el tipo de datos , perfil de pblico y la
motivacin para el fraude.

Cambios en TI: Riesgo de prdidas debido al grado de cambio en el entorno de TI, las reas evaluadas incluyen el grado y la complejidad
de los cambios

Entorno legislativo y regulatorio Existe el riesgo de que la falta de cumplimiento de la legislacin relativa a la elaboracin,
almacenamiento y uso de la informacin, conduzca a una prdida financiera o de reputacin de la organizacin. Esto podra venir a travs
de la censura por una autoridad reguladora, las multas o escndalos pblicos.

FACTORES DE RIESGOS
Metodologa
Valoracin de riesgos de TI

En nuestra valoracin de riesgos, realizamos un estudio de los escenarios de riesgo bajo los siguientes criterios:
Dependencia de TI
Descripcin del riesgo
Describe el impacto de las perdidas de parte de la infraestructura
de TI.
Impacto:
Naturaleza de los procesos
del negocio.
Grado de automatizacin.
Clases de contratos de
venta.

Probabilidad:
Numero de procesos de
negocio.
Cantidad de TI
Nivel de sofisticacin
Cambios en
TI
IT
Reliability
Dependencia
de los
funcionarios
Activos
De
Informacin
Dependencia de
Terceros
Dependencia
de TI
Confiabilidad de
TI
Cumplimiento
legal
19
Metodologa
Dependencia de Terceros
Descripcin del riesgo
Hay un riesgo que la organizacin sufra perdidas por su
dependencia de terceras partes tales como outsources/co-
sources, proveedores, contratistas y consultores
Impacto:
Naturaleza de los procesos
Tamao y reputacin de los
terceros.

Probabilidad:
Nivel de involucramiento en
la organizacin.
Numero de terceros
involucrados.
Cambios en
TI
Dependencia
de los
funcionarios
Activos
De
Informacin
Cumplimiento
legal
Dependencia
de TI
Dependencia
de TI
Confiabilidad
de TI
Dependencia de
Terceros
Valoracin de riesgos de TI
20
CONTENIDO
1. 1. Objetivo
2. 2. Antecedentes
COBIT
NIST
4. 7. Preguntas

Metodologa

considera 7 reas de control:
Administracin
de TI
Seguridad
Fsica
Seguridad
De La
Informacin
Continuidad
De
Negocio
Administracin
de
Cambios
Desarrollo
de
Sistemas
Aseguramiento
Del
Control
Estas se asimilan a los 4 dominios de Control del modelo Cobit
Planeacin y
Organizacin
Adquisicin e
Implementacin
Entrega y Soporte Monitoreo
Metodologa
Administracin
de TI
Seguridad
Fsica
Seguridad
De La
Informacin
Continuidad
De
Negocio
Administracin
de
Cambios
Desarrollo
de
Sistemas
Aseguramiento
Del
Control
Metodologa
Administracin
de TI
Seguridad
Fsica
Seguridad
De La
Informacin
Continuidad
De
Negocio
Administracin
de
Cambios
Desarrollo
de
Sistemas
Aseguramiento
Del
Control
Metodologa
Administracin
de TI
Seguridad
Fsica
Seguridad
De La
Informacin
Continuidad
De
Negocio
Administracin
de
Cambios
Desarrollo
de
Sistemas
Aseguramiento
Del
Control
Metodologa
Administracin
de TI
Seguridad
Fsica
Seguridad
De La
Informacin
Continuidad
De
Negocio
Administracin
de
Cambios
Desarrollo
de
Sistemas
Aseguramiento
Del
Control
Metodologa
Administracin
de TI
Seguridad
Fsica
Seguridad
De La
Informacin
Continuidad
De
Negocio
Administracin
de
Cambios
Desarrollo
de
Sistemas
Aseguramiento
Del
Control
Seguridad de la Informacin y Seguridad Informtica
La seguridad de la informacin no es un problema netamente tcnico.

Un enfoque orientado exclusivamente a la seguridad informtica se puede
representar mediante esta imagen:
31/07/2012 27 Seguridad de la Informacin Conceptos Bsicos

Riesgos de seguridad comunes en el entorno organizacional
29
Ambiente corporativo tradicional
Polticas de seguridad de la
informacin
desactualizadas.
Falta de clasificacin de la
informacin.
Falta de mecanismos de
cifrado de informacin.
Ausencia de mecanismos
de proteccin para la
informacin confidencial
almacenada en recursos
compartidos.
Uso de contraseas dbiles.
Asignacin inadecuada de
permisos.
Debilidades en la
configuracin de los
sistemas.
Falta de segregacin de
redes.
Informacin fsica expuesta.
No disponibilidad de sitios
de almacenamiento seguros
(Fsicos y lgicos).
Debilidades en los controles
de acceso fsico y lgico.
Ausencia de controles para
proteger la informacin que
es manejada por terceros.
Infeccin de virus
informticos.
Falta de tcnicas seguras
para la eliminacin y borrado
de informacin.
Obtencin no autorizada de
informacin.
Infraestructura
Interna
Infraestructura expuesta
en Internet
Tercero/visit
ante

Seguridad de la Informacin Ambiente Tradicional
Evolucin de los ataques informticos Vs Conocimiento tcnico requerido
31/07/2012 30 Seguridad de la Informacin Conceptos Bsicos
Hijacking de Sesiones
Falsificacin de paquetes
1990
1980
Identificacin de contraseas
(Prueba Error)
Autorreplicacin de Cdigo
Cracking de contraseas
Explotacin de
Vulnerabilidades
Conocidas
Inhabilitacin de
Auditoras
Back Doors
Sweepers
Sniffers
Diagnstico no detectable
Conocimiento Tcnico
Requerido
Alto
Bajo
2000
Anatoma de un ataque
7/31/2012 31
Reconocimient
o
Escane
o
Obtencin de
Acceso
Mantenimiento
del Acceso
Eliminaci
n de
Rastros
Reconocimiento
Etapa en la que se recopila y se analiza informacin
relacionada con el objetivo final.
Escaneo
Identificacin de vulnerabilidades especficas que
puedan ser explotadas para el logro del objetivo.
Hacking
tico
Obtencin de Acceso
Explotacin de vulnerabilidades detectadas para lograr el
acceso a los sistemas.
Mantenimiento del Acceso
Conservar el acceso obtenido para facilitar el escaneo y
explotacin de otros sistemas objetivo.
Eliminacin de rastros
Eliminar los rastros de las actividades ejecutadas
relacionadas con el ataque sobre los sistemas.
Seguridad de la Informacin Anatoma de un ataque
Riesgos de Seguridad Externos (desde Internet)
33
En qu consiste un ataque desde internet?
Atacante ubicado en
Internet, sin conocimiento
de la infraestructura
tecnolgica del cliente
ABC
Servicios que presta por
Internet el cliente ABC,
Web, Correo electrnico,
transferencia de archivos

Infraestructura del cliente
ABC, expuesta hacia Internet
Caso 1 Cross Site Scripting
objetivo: Obtener las credenciales de acceso de clientes
7/31/2012 34
1. Portal Web Objetivo de la prueba.
2. Se detecta una pgina dinmica con
debilidades en su cdigo, lo cual permite
presentar pginas desfiguradas o puede
ser utilizada por un atacante para capturar
credenciales de acceso (Usuario y
contrasea) de clientes que ingresen a la
pgina.
1
2
7/31/2012 35
1. Se modifica el
cdigo y se
presenta al usuario
una pgina falsa en
un servidor ajeno
de la organizacin,
el cual captura las
credenciales de
acceso.
2. El sitio aparenta
ser legtimo.
3. Los datos
capturados seran
enviados a otro
servidor ajeno.
Caso 1 Cross Site Scripting
7/31/2012 36
Caso 2 Recursos compartidos
1. Portal Web Objetivo
de la prueba.
2. Es posible obtener
acceso a los recursos
compartidos del
servidor de la
organizacin los
cuales no contaban
con niveles
adecuados de
proteccin.
3. Acceso a informacin
relacionada
confidencial.
4. En los diferentes
directorios es posible
creacin y
eliminacin de
archivos
confidenciales.
1
3
4

Atacant
e
Firewall
mal
configu
rado
Infraestructura
del cliente
7/31/2012 37
1. Portal Web Objetivo
de la prueba. En esta
aplicacin, el campo
Usuario permite la
inyeccin de cdigo
SQL.
2. Se obtiene acceso
remoto al sistemas,
se ejecutan
comandos y se crea
un usuario KPMG,
con privilegios de
administracin.
3. Se obtiene acceso a
informacin
confidencial de la
organizacin
Caso 3 Inyeccin de cdigo SQL (Lenguaje de base de datos)
objetivo: Acceso al servidor y a informacin confidencial de la
organizacin
1
3
2

Riesgos de seguridad internos (red interna)

En qu consiste un ataque interno?
7/31/2012 39
Equipo del
consultor que
realiza las
pruebas
Equipo con
vulnerabilidades
de nivel medio
Equipo con
vulnerabilidades
de nivel alto

Bases de datos ORACLE
Acceso a bases de datos
7/31/2012 40 Seguridad de la Informacin Anatoma de un ataque
Red Windows
Acceso a servidores
Red Windows
Informacin sensible en estaciones de trabajo
7/31/2012 42

Servidor AS400
Acceso al servicio FTP
Seguridad de Activos de Informacin
Segmentacin de redes
Redes Inalmbricas
Identificacin y evaluacin
Ingeniera Social

47
En qu consiste las pruebas de Ingeniera Social?
Atacante Interno o Externo
del cliente ABC
Herramientas

Caso 1 Phising a funcionarios de la alta direccin de entidad financiera
objetivo: Obtener las credenciales de acceso a le red corporativa
7/31/2012 49
Caso 1 Phising a funcionarios de la alta direccin de entidad financiera
objetivo: Obtener las credenciales de acceso a le red corporativa
(continuacin)
7/31/2012 50
Caso 2 Acceso fsico no autorizado
objetivo: Obtener acceso fsico a las instalaciones sin autorizacin previa
1. Acceso no autorizado a las
instalaciones de la
organizacin
3. Pruebas de de conexin
identificando que era posible
conectarse a red interna y a
los servidores crticos de la
organizacin.
2. Durante el
recorrido a las
instalaciones es
posible obtener
acceso a reas
restingidas de la
organizacin.
1
2
3
7/31/2012 51
Caso 2 Acceso fsico no autorizado
objetivo: Obtener acceso fsico a las instalaciones sin autorizacin previa

1. Acceso no
autorizado a las
instalaciones de la
organizacin.
2. Estacin de trabajo
desatendida
3. Acceso a
informacin
confidencial
expuesta en los
puntos de
impresin.
4. Equipo porttil no
asegurado, guaya
de seguridad con la
contrasea
habilidata
1 2
3 4
Caso 3 Escritorio limpio
objetivo: Obtener acceso a informacin confidencial no protegida
7/31/2012 52
informacin disponible en el
puesto de trabajo
Credenciales de acceso (Usuario y contrasea ) anotados en Post-it,
agendas, cuadernos y correos impresos disponibles en los puestos de
trabajo.
7/31/2012 53
Memoria USB con
informacin de
nmina sin
proteccin
Informacin disponible en
medios digitales

Caso 3 Escritorio limpio
objetivo: Obtener acceso a informacin confidencial no protegida
(Continuacin)
54
CONTENIDO
1. 1. Objetivo
2. 2. Antecedentes
COBIT
NIST
4. 7. Preguntas

55
MARCOS DE CONTROL
56
MARCOS DE CONTROL
Este dominio cubre la estrategia y las tcticas, y tiene que ver
con identificar la manera en que TI pueda contribuir de la mejor
manera al logro de los objetivos del negocio. Adems, la
realizacin de la visin estratgica requiere ser planeada,
comunicada y administrada desde diferentes perspectivas. Para
terminar, adems se debe implantar una estructura organizacional
y tecnolgica apropiada.
Este dominio cubre las siguientes preguntas de la gerencia de
forma tpica:
Estn alineadas las estrategias de TI y del negocio?
La empresa est alcanzando un uso ptimo de sus recursos?
Entienden todas las personas dentro de la organizacin los objetivos de la TI?
Se entienden y administran los riesgos de la TI?
Es apropiada la calidad de los sistemas de TI para las necesidades del negocio?
57
MARCOS DE CONTROL
Para llevar a cabo la estrategia de TI, Las soluciones
de TI se deben identificar, desarrollar o adquirir, as
como implantar e integrar hacia dentro del proceso de
negocio. Adems, el cambio y el mantenimiento de
los sistemas existentes est cubierto por este dominio
para garantizar que las soluciones sigan satisfaciendo
los objetivos del negocio.
Este dominio, por lo general, cubre los siguientes
cuestionamientos de la gerencia:
Es probable que los nuevos proyectos generen soluciones que satisfagan las
necesidades del negocio?
Es probable que los nuevos proyectos sean entregados en tiempo y dentro
del presupuesto?
Trabajarn de forma adecuada los nuevos sistemas al ser implantados?
Se harn los cambios sin desestabilizar las operaciones actuales del negocio?
58
MARCOS DE CONTROL
Este dominio cubre la entrega en s de los servicios
requeridos, lo que incluye la prestacin del servicio, la
administracin de la seguridad y de la continuidad, el
soporte a usuarios, la administracin de datos y de las
instalaciones operacionales.
Por lo general cubre las siguientes preguntas de la
gerencia:
Se estn entregando los servicios de TI de acuerdo con las prioridades del
negocio?
Estn optimizados los costos de TI?
Es capaz la fuerza de trabajo de utilizar los sistemas de TI de manera
productiva y segura?
Estn implantadas de forma adecuada la confidencialidad, la integridad y la
disponibilidad?
59
MARCOS DE CONTROL
Todos los procesos de TI deben evaluarse de forma regular en el tiempo
en cuanto a su calidad y cumplimiento de los requerimientos de control.
Este dominio abarca la administracin del desempeo, la vigilancia del
control interno, el cumplimiento regulatorio y la aplicacin del gobierno.
Por lo general abarca las siguientes preguntas de la gerencia:
Se mide el desempeo de la TI para detectar los problemas antes de
que sea demasiado tarde?
Garantiza la gerencia que los controles internos sean efectivos y
eficientes?
Puede ligarse el desempeo de la TI hacia atrs con las metas del
negocio?
Se miden y reportan los riesgos, el control, el cumplimiento y el
desempeo?
60
MARCOS DE CONTROL SEGURIDAD
61
62
63
64
65
66
67
67
reas de
TI
Integrarse dentro de los procesos de administracin de riesgos de la administracin
Conocer sobre los modelos de control
Implementar los controles necesarios
Implementar los estndares necesarios
Desarrollar y mantener un programa de aseguramiento de calidad (incluye evaluaciones
internas y externas)
Planificacin anual y alineacin con el negocio
Presentar un informe al cierre de cada ejercicio de su gestin
Establecer un proceso de seguimiento
Fortalecer sus actividades de reporte a la alta gerencia
Implementar buenas practicas (COBIT,ITIL, ISO 27000, entre otras)
Capacitar a su personal sobre control interno informtico.
Fortalecer la segregacin de funciones en los diferentes sistemas
Conocer de GRC, IAM, entre otros
Focalizarse y dar respuesta a cualquier requerimiento regulatorio
Trabajar con un enfoque preventivo y a largo plazo
Conclusiones para las reas de TI
A ttulo de conclusin .
Cuenta la Organizacin con un sistema de Control Interno?

El sistema de Control Interno est en una etapa inicial, intermedia o madura?

Existe una cultura desplegada en la Organizacin sobre Control Interno?

Que est haciendo la Organizacin para generar sinergias e integrar los diferentes marcos
de cumplimiento? Los elementos de Gobierno, Riesgo y Cumplimiento?

El sistema de informacin actual soporta el Sistema de Control Interno?

Soporta el Sistema de Control Interno los Objetivos Estratgicos?

69

Victor Vsquez
Gerente
KPMG Advisory Services Ltda. Colombia.
Tel: +57 1 618 8127 3156073733
vavazquez@kpmg.com

Controles D Seguridad

Transféré par

Informations du document

Description originale:

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Controles D Seguridad

Transféré par

Droits d'auteur :

Formats disponibles

IMPLEMENTACIN

Vous aimerez peut-être aussi