10 Desafos Crticos

en Auditora de TI en el 2013
Sarah Adams
Ivn Campos. CISA, CRISC, CGEIT, CISSP, ITIL(f)

Technology Risk Services| Security, Privacy & Resiliency


Panorama general
La importancia de los controles de TI contina incrementando en las
organizaciones.
La dependencia de las organizaciones en la tecnologa
incrementa.
Asimismo aumentan los requisitos de cumplimiento regulatorio.
Ahora las deficiencias en los controles de TI pueden tener un impacto
significativo en la organizacin.

Auditoras de TI
Valor
Riesgo
Dnde hemos
estado
Dnde
necesitamos
estar
10 Desafos Crticos para Auditoria de TI en el 2013
sta no pretende de ninguna manera ser una lista completa o exhaustiva.
Estas tendencias pueden variar dependiendo del entorno.
Puede ser un riesgo mayor / menor en funcin de la industria, la
tecnologa, los procesos de negocio, etc.
Esta lista se basa en lo que vemos da a da en el mercado.
La lista pretende hacerlos pensar en sus ambientes de operacin, y si su
procedimientos actuales de auditora estn evaluando estos riesgos.
La tendencias en la lista no tienen un orden particular.

1. Todo avanza hacia el mvil
Tendencia
Las empresas estn migrando del uso de dispositivos mviles para mejorar algunos procesos, hacia
negocios mviles. Esto cambia drsticamente los riesgos y los puntos clave de control.
Riesgo
La falta de gestin de riesgos mviles podra tener un impacto significativo en las operaciones.
Las soluciones an se encuentran en plena evolucin.
Requieren cambios en la arquitectura, impactando controles en otras reas de TI.
Recomendacin
Identificar y evaluar las iniciativas mviles actuales, especficamente aquellas que impactan la
operacin y/o en procesos de cara al cliente.
Evaluar las polticas y procedimientos que no se hayan actualizado para enfrentar riesgos de
seguridad mviles.
Evaluar los procesos de gestin y control de dispositivos mviles (MDM), por ejemplo, la
distribucin de parches y requerimientos de seguridad.
Evaluar el uso de procesos y aplicaciones middleware mvil para identificar posibles riesgos.

2. Seguridad ciberntica
Problema
Importantes requerimientos regulatorios emergentes relacionados a seguridad ciberntica, que a su
vez convergen con las crecientes amenazas en el ciberespacio.

Riesgo
No cumplir con los requisitos regulatorios.
Prdida de datos, negacin de servicio.
Exposicin de la marca.

Recomendacin
Histricamente las actividades de auditora de TI relacionadas con ataques cibernticos se han
limitado a temas puntuales (ej. auditoras de ataque y penetracin). Ahora se requiere realizar
auditoras a controles detallados que abarquen la deteccin, defensa, recuperacin y esquemas de
respuesta ante ataques cibernticos.
3. IPv6
Problema
El protocolo actual de internet ha estado en vigor desde 1970 y la proliferacin de dispositivos ha
agotado la disponibilidad de direcciones IP. Las empresas de telecomunicaciones y el Internet
Engineering Task Force (IETF) han estado presionando para el cambio, que ahora est sobre nosotros.
Y tendr un impacto en la arquitectura y los dispositivos de red.
Riesgo
Prdida en comunicacin de red.
Dispositivos de red que se volvern intiles.
Severos problemas de interconexin y compatibilidad.
Recomendacin
Determinar la preparacin institucional para la implementacin de IPv6. Como mnimo, la organizacin
debera haber iniciado un proceso de evaluacin de riesgos para evaluar el nivel de preparacin para
implementar IPv6 e identificar posibles reas que requieren correccin. Evaluar la estructura de la
organizacin actual y el plan para hacer frente a estos retos, as como determinar si este cambio se
est incorporando en las iniciativas de TI.

4. Big Data
Problema
Todo el mundo est hablando del Big Data, lo que por s mismo es un sin sentido si no se tiene la
capacidad de analizar e interpretar esa cantidad de informacin.

Riesgo
Dificultad para producir informes operativos relevantes para la toma de decisiones (por ejemplo, las
estadsticas web).
La inversin en Big Data no produce resultados por s misma.
Mayor riesgo en el ciclo de vida de los datos (ej. Datos personales).

Recomendacin
Es necesario entender qu mtodos y herramientas se utilizarn y evaluar el riesgo de su uso. Realizar
auditoras detalladas que evalen los riesgos fundamentales en datos, gobierno de datos, la
metodologa estadstica utilizada, y tecnologas utilizadas.
5. Copia de productos
Problema
La proliferacin de la tecnologa de impresin 3D cada vez menos costosa puede tener un fuerte
impacto en las industrias de manufactura y consumo.

Riesgo
Impacto en posicionamiento estratgico.
Impacto en la marca.
Piratera.

Recomendacin
Determine el riesgo de su entorno para determinar si la tecnologa de impresin 3D es una amenaza
potencial para su negocio.
Planee auditoras para evaluar la seguridad de los esquemas de propiedad intelectual, riesgos
estratgicos de la entrada de nuevos competidores, la falta de conciencia o de la organizacin, y los
planes de su organizacin en torno a la impresin 3D.

6. Recursos de Auditora de TI
Problema
La evolucin de los riesgos de TI requiere de un mayor grado de especializacin dentro de la funcin de
auditora de TI y, al mismo tiempo, estos recursos son cada vez ms escasos y costosos.

Riesgo
Fallas en la ejecucin del plan anual de auditora de TI.
Ejecucin de auditoras de TI sin recursos apropiados que resulten en auditoras de baja calidad.
Falta de colaboracin y apoyo de las funcin de TI y unidades de negocio.

Recomendacin
Generar una estrategia de largo plazo para la obtencin y desarrollo de recursos de auditora de TI, por
separado a la planificacin tradicional de los recursos de auditora interna . Considerar opciones
innovadoras como planes de rotacin del departamento de TI (dentro y fuera). Definir programas de
certificacin e inversin en capacitacin en temas emergentes (por ejemplo, CGEIT) o capacitacin
especializada (por ejemplo, servicios en la nube, seguridad ciberntica). Considere mtodos de
compensacin alternativos (por ejemplo, bonos de retencin o programas sabticos / rotacin).
7. Gestin de servicios de TI
Problema
Proliferacin de proveedores de TI, potencialmente contratados y administrado por otros
departamentos de la empresa. Uso de proveedores pequeos o menos maduros.

Riesgo
Entrega de servicios pobre o inadecuada.
Aumento en gastos.
Gestin del desempeo por debajo de lo ptimo.

Recomendacin
Identificar proveedores de servicios de TI, ms all del Departamento de TI. Auditar las relaciones
actuales contra las normas y procedimientos de la empresa, prestando atencin especial a los
proveedores gestionados por unidades de negocio que no sean de TI. Tambin evaluar las funciones
internas de TI que operan en un modelo de entrega de servicios bajo costo.



8. End User Computing(EUCs)
Problema
Aumento significativo en la evaluacin e importancia prestada a hojas de clculo y otros de sistemas de
usuario final por los auditores y reguladores. EUCs no controlados que aun afectan estados financieros
y operaciones de negocios.

Riesgo
Prdida de datos crticos.
Informacin financiera o de informe de gestin potencialmente inexacta.
Exposicin a sanciones regulatorias o multas.

Recomendacin
Llevar a cabo una profunda auditora de EUCs evaluando la determinacin de la criticidad, modelo de
gobierno, el uso de aceleradores tcnicos, y la estructura de programacin. Una auditora basada en el
cumplimiento de polticas y/o control de acceso puede ser insuficiente.
9. Gestin de la cartera de proyectos
Problema
Aumento de gastos en proyectos de TI, con nfasis proyectos de unidades de negocio que no son de TI
gastando dinero en TI. Rpido desarrollo y despliegue de tecnologas por unidades de negocio que
no cuentan con los mecanismos de control de los proyectos tradicionales y los requisitos de seguridad
y control.

Riesgo
Los proyectos fracasan o no cumplen con los objetivos.
Los proyectos tienen xito, pero no proporcionan una seguridad adecuada, auditora y control (para
proyectos de desarrollo).

Recomendacin
Realizar auditoras de Gestin de Proyectos. Evaluar las polticas y procedimientos corporativos de
gestin de proyectos . Considerar el uso de nuevas herramientas para el anlisis predictivo de
proyectos, as como procesos de verificacin y validacin independientes. Incluir proyectos
administrados por las unidades de negocio que no son de TI.

10. Cambios regulatorios
Problema
Las nuevas tecnologas crean nuevos riesgos y leyes, reforzado por una nueva ola de requisitos
regulatorios de seguridad y auditora de TI especficos o generales por industria.

Riesgo
Multas regulatorias, censuras o sanciones.
Impacto en la marca.
Litigios.

Recomendacin
Realizar un inventario de los requisitos regulatorios para los controles de TI actuales. Desarrollar un
diagrama RACI para determinar responsabilidades actuales ante requisitos regulatorios. Mapear las
pruebas de los controles actuales a los requerimientos y determinar las brechas existentes. Identifique
oportunidades para prueba una, cumple muchas
Comentarios finales
Es necesario entender lo que puede ser relevante en su entorno tcnico y de
negocios.
Aseguren que la evaluacin de riesgos y el universo auditado en realidad
tratan aspectos relevantes.
No caminen solos- comunicarse con la administracin y el comit de auditora
es importante.
Planeen cuidadosamente los requerimientos de recursos
Tener cuidado de no subestimar.


Preguntas
Sarah Adams
saraadams@deloittemx.com


Ivn Campos Osorio.
CISA, CRISC, CGEIT, CISSP, ITIL(f)
icampos@deloittemx.com



Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas miembro, cada una de ellas como una entidad legal nica e
independiente. Conozca en www.deloitte.com/mx/conozcanos la descripcin detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.
Deloitte presta servicios profesionales de auditora, impuestos, consultora y asesora financiera, a clientes pblicos y privados de diversas industrias. Con una red global de firmas miembro en ms de 150 pases,
Deloitte brinda capacidades de clase mundial y servicio de alta calidad a sus clientes, aportando la experiencia necesaria para hacer frente a los retos ms complejos de los negocios. Cuenta con alrededor de
200,000 profesionales, todos comprometidos a ser el modelo de excelencia.
Tal y como se usa en este documento, Deloitte significa Galaz, Yamazaki, Ruiz Urquiza, S.C., la cual tiene el derecho legal exclusivo de involucrarse en, y limita sus negocios a, la prestacin de servicios de
auditora, consultora fiscal, asesora financiera y otros servicios profesionales en Mxico, bajo el nombre de Deloitte.
Esta publicacin slo contiene informacin general y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas afiliadas (en conjunto la Red Deloitte), presta asesora o servicios
por medio de esta publicacin. Antes de tomar cualquier decisin o medida que pueda afectar sus finanzas o negocio, debe consultar a un asesor profesional calificado. Ninguna entidad de la Red Deloitte, ser
responsable de prdidas que pudiera sufrir cualquier persona o entidad que consulte esta publicacin.