enfrentando el desafío - la auditoría interna ante un panorama volátil de riesgos

Enfrentando el desafíoLa Auditoría Interna ante un panorama volátil de riesgos

Jorge AcostaSocio Líder de Consultoría

Setiembre de 2014

1Presentando a Pepe

2 Los riesgos

3 Tareas de la Auditoría Interna

4 Co

nte

nid

o

Presentandoa Pepe

Enfrentando el desafíoSetiembre de 2014

Página 4

un Gerente de una empresa de reconocido prestigio

1

2

3

4

Libro de caras

Pepe

Pepe …

¡Tengo mi Piñaphone 9, que salió hace 15 días al mercado, con el correo y apps de mi empresa instalados!

¡Logré tercerizar los servicios de TI y así generar ahorros… los correos de la compañía están en la Nube!

¡Reduje los costos al poner los programas de pedidos y ventas en la nube! Di acceso a todos mis empleados desde sus smartphones!

¡Ganaré un concurso del Estado para un proyecto que representará el 40% de mi facturación!

¡ESTOY FELIZ!


Página 5

Es domingo en la mañana, y Pepe…

Recibe una llamada al teléfono fijo del Gerente de Ventas con malas noticias…

Para colmo de males…

“Pepeleaks,lobby en compras

del Estado”

2

4

La cuenta de correo de Pepe fue hackeada y accedieron a 5000 correos, uno de ellos de su “socio estratégico”.

El celular no funciona y el proveedor no recibe reclamos por ser domingo.

3

1

Pepe

Pedidos perdidos en la nube, debido a una falla en los sistemas.

En el Acuerdo de Servicios del proveedor tercerizado no existe una cláusula que solucione el problema.


Página 6

¿Qué pasó?

Pepe no contempló 7 riesgos que hoy enfrenta una organización:


Página 7

… y Auditoría Interna

La función de Auditoría Interna debe:

Su función de Auditoría Interna debe estar preparada para responder lo siguiente:

¿Puede esas brechas de seguridad revisadas pasar en nuestra compañía?

¿Nuestros proveedores han adoptado nuestra cultura ética y cumplen con las leyes y regulaciones?

¿Con qué rapidez podemos responder a los desastres naturales u otras interrupciones en el negocio?

¿Nuestros empleados entienden los riesgos del uso de las redes sociales?

Focalizarse en las actividades básicas y centrales.1

2

Ser capaz de “mirar a la vuelta de la esquina”. 3

Adoptar el rol de asesor en la organización.

Realizar múltiples actividades de forma simultánea.4

Los

riesgos


Página 9


Página 10

1. Redes sociales

Ingreso a redes sociales 72%

de los adultos que utilizan internet entran a páginas de redes sociales(con potencial un impacto negativo en la marca de una empresa).Fuente: Pew Research Center’s Internet & American Life Project, Agosto 2013.

Facebook 12.4 MMde usuarios de Facebook en el Perú.Fuente: Gestión, Enero 2014.

“75% de los millennials utiliza su móvil para conectarse a plataformas sociales, básicamente a Facebook y a Whats-App.”

Fuente: El Comercio, Abril 2014.

Conexión a Internet 38.2%

de peruanos se conectan a internet diariamente.

Fuente: El Comercio, Mayo 2014.

Twitter y Linkdin 500 MM

de Tweets mundiales al día.

259 MMde miembros en Linkdin en el mundo. Fuente: Richard Holt, “Twitter in Numbers,” Telegraph, Marzo 2013.


Página 11

Riesgos de redes sociales

Divulgación de información sensible

Hackers que descifran datos confidenciales

Plataformas con mayor acceso a virus

Softwaremalicioso

Suplantación de identidad en la web

Secuencias de comandos cruzados

1. Redes sociales


Página 12

Evaluación de riesgos en las redes sociales

Colaborar con el área de sistemas de información para la evaluación de las actividades en las redes sociales dentro de la empresa.

Trabajar con los proveedores de servicios clave buscando fortalecer la administración de riesgos en la organización.

Evaluar las amenazas a la seguridad de la información a través del uso de las redes sociales.

Respuestas de Auditoría

1. Redes sociales

Preguntas asociadas

¿La organización comprende los riesgos relacionados con las

redes sociales?

¿Los procesos de mitigación son adecuados y ágiles?

Aspectos Clave a considerar durante la auditoría:


Página 13

Auditoría del gobierno de las redes sociales Evaluar el diseño de las políticas y

procedimientos para administrar las redes sociales dentro de la organización.

Revisar las políticas y procedimientos con respecto a las prácticas líderes.

Evaluar el programa de capacitación en redes sociales.


1. Redes sociales

Preguntas asociadas

¿Existe un proceso de gobierno para redes sociales dentro de la empresa? ¿Incluye a las principales áreas funcionales?

¿Existen políticas sobre redes sociales?

¿Cuán bien conocidas por los empleados son las políticas sobre redes sociales?



Página 14

Auditoría de actividades en las redes sociales Revisar las actividades en las redes sociales de la

organización y a sus usuarios, con respecto a las políticas, procedimientos y capacitación implementadas.


1. Redes sociales

Preguntas asociadas

¿Qué acciones correctivas se necesita implementar en función de la actividad?

¿El programa de capacitación proporciona un entrenamiento adecuado para los usuarios?



Página 15


Página 16

2. Dispositivos móviles

Teléfonos inteligentes 5.5 MM

de teléfonos inteligentes están operativos en el Perú y la mayoría de ellos es usada por jóvenes de entre 20 y 29 años.


Población “Smart” 20% mundo


18% Perú


“Tablets” 1.2 MMde unidades, es la proyección de ventas de tablets en el Perú para el 2014.

Fuente: El Comercio, Febrero 2014.

Memoria USB 561 MM

De unidades, es el tamaño de mercado proyectado para las memorias USB hacia el 2018.

Fuente: www.mynewsdesk.com, Diciembre 2013.


Página 17


Permitir el acceso a los empleados a procesos empresariales nuevos o más eficientes (p.e. soporte de campo móvil).

Mejorar la productividad

Acceso a los empleados

Nuevos negocios

Extendiendo el alcance del uso de las aplicaciones existentes (p.e. hojas de trabajo móviles).

Apuntar a nuevos mercados u ofrecer nuevos productos/servicios a los clientes (p.e. aplicaciones de comercio móvil).

¿Qué es lo que impulsan los sistemas de información móviles?


Página 18


Riesgos deDispositivos

móviles

Pérdida potencial de información importante

Mayor seguridad debido a la gama de dispositivos y vulnerabilidades de los

sistemas

Robo de un dispositivo móvil debido a su pequeño tamaño

Privacidad y monitoreo entre el uso personal y

empresarial del dispositivo

Cumplimiento con las regulaciones de

privacidad


Página 19


Revisión de la configuración del dispositivo móvil

Identificar los riesgos y vulnerabilidades de la configuración actual del dispositivo móvil.

Evaluar las plataformas de clientes, la arquitectura de la red de soporte, implementación de políticas, manejo de dispositivos perdidos o robados e identificación de vulnerabilidades a través de la accesibilidad de la red y la configuración de las políticas.

Respuestas de AuditoríaPreguntas asociadas

¿Cómo ha implementado la organización la política “traiga su propio dispositivo” (BYOD por sus siglas en inglés)?

¿Se han implementado políticas / estrategias móviles apropiadas?

¿Cómo detectan dispositivos no autorizados?

¿Los parámetros de configuración son seguros y parametrizados de acuerdo con las políticas?



Página 20


Evaluación de caja negra (“black-box”) de las aplicaciones móviles

Realizar una auditoría utilizando diferentes estrategias de pruebas front-end: analizar vulnerabilidades utilizando diversas herramientas y verificar manualmente los resultados del análisis.

Intentar explotar las vulnerabilidades identificadas en las aplicaciones web móviles.


¿Qué vulnerabilidades pueden ser explotadas con éxito?

¿Cuál es la respuesta cuando se explotan?, ¿Existe conocimiento de que ha ocurrido una intrusión?



Página 21


Evaluación de caja gris (“gray-box”) de las aplicaciones móviles

Combinar las revisiones de código fuente tradicionales (pruebas de caja blanca – “White-box”) con técnicas de pruebas front-end (caja negra – “black-box”) para identificar áreas críticas de funcionalidad y síntomas de malas prácticas comunes.

Cada uno de estos puntos (“hotspots”) en el código deben ser enlazados con la instancia en vivo de la aplicación donde las técnicas de explotación manual pueden verificar la existencia de una vulnerabilidad de seguridad.


¿Cuán sólido es el código fuente asociado con las aplicaciones móviles utilizadas dentro de la organización?

¿Qué vulnerabilidades pueden explotarse dentro del código?



Página 22


Página 23

3. Sistemas de información en la nube

Operación en la nube 50%

de las empresas del Perú que facturan más de US$ 40 millones ya tienen por lo menos un servicio u operación en la nube.

Fuente: Gestión, Febrero 2014.

Estimación 2015 $200MM

Es lo que se prevé que el referido mercado llegue a hacer negocios.

Fuente: Gestión, Febrero 2014.

Factores clave :

• Agilidad empresarial

• Pagar por lo utilizado versus instalar y ser propietario

• Ahorro de costos

• Plataformas innovadoras para el crecimiento

• Utilización de infraestructura

• Inversión pública

• Estudio de mercado

• Seguridad

• Esfuerzos de estandarización

• Riesgos de pérdida de información


Página 24


Riesgos deinformaciónen la nube

Riesgos de infraestructura y arquitectura

Riesgos de estándares e inoperabilidad

Riesgos regulatorios y de cumplimiento

Gobierno sobre el proveedor de

servicios de nube

Alineamiento de estrategias y gobierno

Riesgos de continuidad del

negocio


Página 25

Estrategia y gobierno de los sistemas de información en la nube

Evaluar la estrategia de la organización para el uso de sistemas de información en la nube.

Determinar si se han desarrollado políticas y controles apropiados para brindar soporte al despliegue de la estrategia.

Evaluar el alineamiento de la estrategia con los objetivos generales de la empresa y el nivel de aprestamiento que debe adoptarse dentro de la empresa.


¿Existe una estrategia entorno al uso de proveedores de servicios de sistemas de información en la nube?

¿Existen políticas de soporte a seguir cuando se utiliza un proveedor de servicios de sistemas de información en la nube?




Página 26

Seguridad y privacidad en la nube

Evaluar las prácticas y procedimientos de seguridad de la información del proveedor de servicios de sistemas de información en la nube. Esto puede ser una revisión de los informes SOC 1, 2 y / o 3 -como el SSAE 116-, una revisión de los acuerdos de nivel de servicios de seguridad y / o una auditoría “in situ” del proveedor.

Determinar si la Gerencia de Sistemas de Información trabajó para negociar requerimientos de seguridad en el marco de su contrato con el proveedor.

Revisar los procedimientos para evaluaciones de seguridad periódicas del / de los proveedor(es) de servicios, y determinar qué medidas de seguridad interna se han tomado para proteger la información y datos de la empresa.


¿Se ha realizado una evaluación de impacto sobre las operaciones del negocio para los servicios que se desplazan a la nube?

¿Su organización tiene protocolos de autenticación seguros para los usuarios que trabajan en la nube?




Página 27

Evaluar el servicio del proveedor de sistemas de información en la nube

Evaluar la capacidad del proveedor de satisfacer o sobrepasar los acuerdos de nivel de servicios establecidos en el contrato.

Las áreas de consideración deben incluir Tecnología, Legal, Gobierno, Cumplimiento, Seguridad y Privacidad.

Asimismo, evaluar qué planes de contingencia existen en caso de desperfectos, acuerdos de responsabilidad, soporte extendido, y la inclusión de otros términos y condiciones como parte de los contratos de servicio, así como la gestión y modularidad de la disponibilidad, incidentes y capacidad.


¿Qué acuerdos de nivel de servicio están implementados para el tiempo de disponibilidad real, resolución de problemas y servicio general?

¿El proveedor de servicios ha satisfecho o sobrepasado los acuerdos de nivel de servicio? ¿Qué problemas han tenido?




Página 28


Página 29

4. Seguridad de sistemas de información

Función de seguridad 83%

Reportaron que su función de seguridad de información no satisfacía plenamente las necesidades de la organización.

Incidentes de seguridad 31%

Reportaron que el número de incidentes de seguridad dentro desu organización se había incrementado en por lo menos5% durante el último año.

Necesidad presupuestaria 65%

Citaron necesidades presupuestarias como su obstáculo número uno para la entrega de valor al negocio.

Encuesta global de EY sobre Seguridad de la Información, 2013

(“Under ciber-attack”)


Página 30


¿Cómo reforzar los controles de seguridad de la información?

Identificar las “joyas de la corona” y establecer controles diferenciales.1

2

Fortalecer y complicar los controles.3

Implementar un adecuado balance de controles preventivos y detectivos.


Página 31

Evaluación del programa de seguridad de la información

Evaluar el programa de seguridad de la información de la organización utilizando un marco alineado con estándares generalmente aceptados.

Proporcionar una imagen clara de cómo está preparada la empresa para proteger los activos de información clave de ésta.


¿Cuán bien se ha adaptado la empresa al panorama cambiante de las amenazas, tanto en el mundo de hoy como en el futuro desconocido?

¿La estrategia de seguridad de la información de la empresa es apropiada para proteger sus activos de información crítica?




Página 32

Evaluación de la ciber-amenaza

Adoptando la mentalidad, herramientas y técnicas de un atacante malicioso, haga las pruebas para determinar si los activos de información clave de la empresa corren riesgos.

Enfocarse en activos de información y negocios o “trofeos”, no en la tecnología, en un cambio notable de las pruebas históricas de “ataque y penetración”.

Identificar cuales son las alertas que generan las intrusiones y su priorización.



Preguntas asociadas

¿Qué vulnerabilidades existen?, ¿se ha detectado aprovechamiento de estas vulnerabilidades?

¿La información sobre las amenazas internas y externas está considerada en las prácticas de seguridad?

Cuando se detecta una intrusión, ¿el tiempo de respuesta de la organización es apropiado?



Página 33

Evaluación de gestión de identidades y accesos

Revisar los procesos de la empresa para regir quien tiene acceso a los sistemas y cómo se controla dicho acceso.

Enfocarse en el proceso de otorgamiento de accesos, fiscalización y certificación, gestión de roles / reglas y reportes y analítica.



Preguntas asociadas

¿La empresa está otorgando apropiadamente el acceso a usuarios internos y externos?

¿Está siendo controlado el acceso a las cuentas privilegiadas?

¿La empresa está en capacidad de identificar y reaccionar aaccesos inapropiados o no autorizados?



Página 34

Evaluación de la protección de datos

Evaluar la manera en que la empresa ha identificado, definido y clasificado sus datos, incluyendo los mecanismos de protección de datos.



Preguntas asociadas

¿La empresa está protegiendo sus activos de información clave a lo largo del ciclo de vida completo de los datos (es decir, datos en reposo, en uso, en movimiento)?

¿La empresa está cumpliendo con sus requerimientos regulatorios para proteger datos?



Página 35


Página 36

5. Gestión de riesgos de procesos tercerizados

Riesgos deprocesos

tercerizados

Daño a la marca y reputación

Riesgos de servicios y productos

Riesgos de operación y de

cadena de abastec.

Responsabilidad legal / obligaciones

contractuales

Uso inapropiado de secretos comerciales

Seguridad de la información y

privacidad


Página 37

Programa general de gestión de riesgos de procesos tercerizados

Evaluar la consistencia del programa implementado para manejar el riesgo de procesos ejecutados por terceros en la organización.

Incluir los criterios del proceso de evaluación de riesgos, propiedad del programa, roles y responsabilidades de los diversos gerentes / departamentos, protocolos de comunicación, autoridades de aprobación, protocolos de exención, políticas y procedimientos, incluyendo difusión y capacitación, y un programa de monitoreo en curso.


¿Cuán consistente es el proceso global de gestión de riesgos de proveedores de servicios de procesos tercerizados?

¿La propiedad, roles y responsabilidades están claramente entendidos?




Página 38

Proceso de gestión de contratos

Auditar la propiedad del proceso y las responsabilidades de control y fiscalización; el proceso general para la firma de nuevos contratos y para renovar contratos existentes; y el proceso de cumplimiento, incluyendo la política legal, regulatoria y de empresa.

Revisión de los Acuerdo de Nivel Servicio


¿La organización tiene un proceso bien comunicado para mantener y administrar contratos?

¿Se ha establecido las métricas y criterios para las revisiones periódicas?




Página 39

Programa de gestión de proveedores de servicios de procesos tercerizados

Incluir revisiones del sitio del proveedor, según sea lo apropiado, en relación con la política de seguridad; privacidad y gestión de datos (p.e., fuga y protección); seguridad del personal; control de accesos; seguridad física y medioambiental; desarrollo y mantenimiento de sistemas; evaluación de contratos y / o cumplimiento con contratos, acuerdos sobre estándares o nivel de servicio; evaluación financiera; mapeo y evaluación de proceso, riesgo y control; cumplimiento con leyes y regulaciones; y planificación de contingencias / continuidad del negocio.


¿La organización tiene un proceso exhaustivo que es comunicado internamente y a los proveedores?

¿Se ha desarrollado criterios y métricas que identifiquen temprano problemas potenciales?




Página 40


Página 41

6. Anti-corrupción

Corrupción 40%de los países encuestados; es decir, más de la mitad de los encuestados, indicaron que la corrupción estaba generalizada.

Fuente: 13° Encuesta Mundial sobre el Fraude de EY, 2014.

Política Anti soborno 1de cada 5empresas

aún no cuenta con una política antisoborno / anticorrupción.


Debida diligencia anti corrupción

Menos del 1/3de las empresas encuestadas indicaron que están llevando a cabo la debida diligencia anticorrupción como parte de sus procesos de fusión y adquisición


Sistema de denuncias 43%

de empresas peruanas NO cuenta con él.

45%

Fuente: Estudio sobre el riesgo de fraude en el Perú, Enero 2014.


de empresas en el mundo NO cuenta con él.

Línea Ética


Página 42

6. Anti-corrupción

22%de las empresas víctimas de fraude en los últimos cinco años, sufrieron pérdidas de más de $100,000 por evento.

81% de los casos de fraude fueron perpetuados por el propio personal.

Fuente: Estudio sobre el riesgo de fraude en el Perú, Enero 2014.

83%de los encuestados no se siente seguro respecto de la suficiencia y efectividad de sus controles anti-fraude.

67%de encuestados cuya organización sufrió eventos de fraude, cree que estos eventos pueden volver a suceder.

55%de las organizaciones fueron víctimas de fraude

45%de las organizaciones defraudadas sufrieron más de un caso de fraude por año

Fraude


Página 43

6. Anti-corrupción

Riesgos deFraude y

corrupción

Pérdida de proveedores clave por tener una relación de soborno

Pérdida de clientes clave e ingresos

asociados

Pagos impropios

Terceros que realizan pagos

impropios y tienen conductas

inapropiadas


Página 44

Evaluación del programa anticorrupción

Evaluar el proceso que la gerencia ha implementado para calificar y aceptar a proveedores.

Centrarse en los controles para verificar que las políticas y procedimientos de la empresa están implementados y son seguidos de manera consistente.

Enfocarse en la estrategia de la empresa para rastrear y gestionar al proveedor en las localidades con alto riesgo. Esto incluirá una revisión de la aceptación del proveedor y un proceso periódico de revisión de la continuación del proveedor.


6. Anti-corrupción

Preguntas asociadas

¿En qué mercados con alto riesgo opera la organización?

¿Quién está involucrado en el proceso y cuáles son los controles implementados?

¿Cuál es el proceso para aceptar nuevos proveedores?



Página 45

Evaluación de la protección de datos

Revisar la posición de la empresa respecto al cumplimiento de las regulaciones y normas anticorrupción.

Emprender una revisión detallada de la política, procedimientos y controles internos implementados para seguir cumpliendo.

Revisar los programas de capacitación y educación para los empleados y terceros, así como el enfoque de la empresa para seguir al día con las leyes y regulaciones aplicables.


¿Quién es el propietario y responsable del cumplimiento de las regulaciones y normas anticorrupción?

¿Cuál es el proceso de la organización para la evaluación de riesgos de los países / áreas en los cuales opera?

6. Anti-corrupción



Página 46

Auditoría de denuncias internas

Centrarse en el programa de cumplimiento de la empresa, con un énfasis en las políticas, procedimientos y controles internos del programa.

Revisar la “hotline” de denuncias internas o línea ética, la respuesta de la gerencia sobre nuevas acusaciones y el procedimiento para seguir problemas potenciales identificados hasta su culminación.

También centrarse en los controles implementados para verificar el anonimato del denunciante interno.


6. Anti-corrupción

Preguntas asociadas

¿Quién es el propietario y responsable del programa de cumplimiento de la empresa?

¿Cuál es el proceso para que un denunciante interno proporcione información a la empresa?

¿Qué controles han sido implementados para verificar que el programa promueva la confidencialidad de aquellos que contactan la “hotline” de denuncias internas o línea ética?



Página 47


Página 48

7. Gestión de continuidad de negocio

BCM

Políticas claras entendidas por los

empleados

Plan de recuperación de desastres

Gobierno del programa

Plan de crisis


Página 49

Integración y gobierno del programa de continuidad del negocio

Evaluar el plan general de continuidad del negocio de la organización, incluyendo el gobierno del programa, las políticas, evaluaciones de riesgos, análisis de impacto en el negocio, evaluación del vendedor / tercero, estrategia / plan, pruebas, mantenimiento, gestión de cambios y capacitación / toma de consciencia.


¿La organización ha implementado un plan holístico de continuidad del negocio?

¿El plan ha sido probado y comunicado apropiadamente?

¿Cómo se compara el plan con las prácticas de vanguardia?




Página 50

Recuperación de desastres

Evaluar la capacidad de tecnología de la información de recuperar efectivamente los sistemas y reanudar el desempeño normal de los sistemas en el caso de una perturbación o desastre.


¿Los planes de recuperación de desastres están alineados con planes de continuidad del negocio más amplios?

¿Están incluidos los sistemas críticos? ¿Están definidos?

¿Las pruebas dan la seguridad que los sistemas puedan ser efectivamente recuperados?




Página 51

Gestión de crisis

Revisar los planes de gestión de crisis de la organización, incluyendo el plan / estrategia general, protección de activos, seguridad del personal, métodos de comunicación, relaciones públicas, pruebas, mantenimiento, gestión de cambios y capacitación / toma de consciencia.


¿Los planes de gestión de crisis están alineados con planes de continuidad del negocio más amplios?

¿Los planes han sido bien comunicados y probados?



Tareas de la Auditoría Interna


Página 53

Tareas de la Auditoría Interna

Lista de actividades que la función de Auditoría Interna debiera ejecutar:

Actividades de la Auditoría

Interna

Aplicar una evaluación de riesgos dinámica y un plan de auditoría flexible.

Incluir información de la Gerencia y relacionarla directamente con la estrategia y la gestión de riesgos de la empresa.

Incorporar el análisis de datos en el proceso de la auditoría.

Identificar los controles redundantes o ineficaces y recomendar mejoras y ahorros de costos.

Realizar proyectos de asesoría que incluyan proactivamente el diseño de los controles y la eficiencia y eficacia de los procesos.

Coordinar los objetivos, el alcance y la cronología de los reportes al Directorio y Gerencia, con las otras funciones de riesgos y cumplimiento. Buscar el mayor valor en el trabajo de otras funciones de auditoría y cumplimiento.

Enfrentando el desafíoLa Auditoría Interna ante un panorama volátil de riesgos

Jorge AcostaSocio Líder de Consultoría

Setiembre de 2014

enfrentando el desafío - la auditoría interna ante un panorama volátil de riesgos

Business