ESQUEMAS DE AUDITORÍA EXISTENTES PARA

ADMINISTRAR Y CONTROLAR RIESGOS TECNOLÓGICOS

Por : Norbey Mejía Chica

 AGENDA

1. Fuentes de amenaza
2. Factores claves en la administración
del
Riesgo tecnológico.
3. Responsabilidad en riesgo y control
4. Lista de chequeo para auditaje.
 Fuentes de amenaza

- La fuerza de la naturaleza
- Catástrofes Naturales
- La Mano del Hombre
- Internamente
- Intencionalmente
- Por Descuido o Malos Manejos
- Mala Ingeniería
- Externamente
ADMINISTRACIÓN Y CONTROL DEL RIESGO TECNOLÓGICO

•Dirección de seguridad
Convergencia e •IT
integración
•Proveedor
•Interoperabilidad

FACTORES
CLAVES

• Mapas de • Auditaje
riesgo Administración Seguridad
•Aseguramien
• Mapas de del riesgo informática
to
protección
•Mitigaciones • Plataformas
de seguridad
 ALCANCE Y RESPONSABILIDAD
DEL RIESGO Y EL CONTROL TECNOLÓGICO
ALTA DIRECCION

La Gestión del
PROPIETARIOS DE

Riesgo exige de LOS PROCESOS

Administradores de

responsabilidades
Riesgos

diferenciadas
dentro de la Diseño,
implementación
Organización Análisis y
y mejoramiento
del Control
Seguimiento y
Autoevaluación
Evaluación
Interno del Control
de Riesgos
----- Interno
Aseguramiento
externo
Analizar y evaluar riesgos
Recomendaciones
de tecnología, una tarea
mancomunada
Evaluación y
verificación
AUDITORIA independiente
INTERNA del Control
Interno
AUDITORIA
EXTERNA
VOLVER
COMO SE HACE SEGURIDAD INFORMÁTICA??
 Lista de
Lista de chequeo
chequeo
para auditoría
para auditoría de
de seguridad
seguridad
Preguntas claves...

 Nombre de la Empresa o área en

particular que se analiza.
 Objetivo del negocio.
 Número de empleados.
 Número de personas en el área de
seguridad.
 Cargos en el área de seguridad.
 Procedimientos escritos que se manejan.
 Redes de computador, CCTV y alarmas

instaladas en la Empresa.
 Número de equipos de monitoreo.
 Ubicación de los equipos.
 Número de áreas protegidas.
 Número de usuarios activos y pasivos
 Aplicaciones de seguridad instalada
 Interfases de los componentes de

seguridad.
 Principales proveedores de tecnología de

seguridad.
 Auditorias efectuadas a los sistemas de
seguridad.
 Planes de emergencia y contingencia de
la empresa
 Proyectos futuros de protección y
seguridad.
Algunas preguntas de detalle de la
auditoría…
GRACIAS
 Planeación
 Plan estratégico de seguridad .

 Estrategias que tiene la empresa para

implementar nuevos sistemas de
seguridad:

 Recursos propios.
 Outsorcing
 Combinación de las dos.

 Hay evaluación de riesgos antes de iniciar

el proyecto de implementación de
 Documentación de los recursos.

 Cuál es la documentación que se entrega

con las recursos adquiridos?.

 Verificar el tipo de manuales de operación

de equipos y software de seguridad?

 Existe soporte a través de internet por

parte del proveedor?

 Se suscriben pólizas o contratos de

soporte y mantenimiento?
Estudio de las instalaciones
 Hay presupuestos de seguridad debidamente aprobados ?

 Hay diseños de seguridad antes de las instalaciones de seguridad?

 Existen planos detallados del proyecto?

Arquitectónicos
Hidraúlicos
Eléctricos

 Se han estudiado efectos de seguridad industrial del proyecto?

 La estética prevista con la nueva instalación ha sido tenida en cuenta?

 Existe un procedimiento claro de limpieza y aseo para los computadores?.

Procedimientos de Emergencia.

 Existen claros procedimientos para

mantener estructuras adecuadas de
seguridad en casos de emergencia?.

 Las estrategias para la evacuación de la

instalación han considerado condiciones
especiales de seguridad?.
 Planes de contingencia

 Existen planes de contingencias?.

 Están documentados?.
 Verificar el personal que participa
en la definición del plan de
contingencias?
 Hay planes de continuidad del
negocio claramente establecidos
(BCP) ?