View
5
Download
0
Category
Preview:
Citation preview
Auditoría de la
Banca digital
Ing. Luis Murguía Jara
MCE, CIA, CISA, CRMA, CRISC, CCSA, CSX, QAR
La simplicidad es el logro final. Después
que uno ha jugado con una cantidad
grande de notas, es la simplicidad la que
emerge como una recompensa del arte.
Fréderic Chopin
(Varsovia 1810 – París 1849)
Agenda
1. Algunos conceptos y antecedentes de la banca
digital
2. Evolución del enfoque de auditoría a un proceso
basado en TI
3. Modelo de trabajo propuesto para auditar la banca
digital
4. Algunas conclusiones y recomendaciones
Algunos conceptos y antecedentes
de la banca digital
1
“Es el uso de la ciencia en la industria,
ingeniería, etc. para inventar cosas útiles o
para resolver un problema…”
Diccionario Merriam-Webster
Tecnología de la
información
“Dispositivos tecnológicos (hardware y software)
que permiten editar, producir, almacenar,
intercambiar y transmitir datos entre diferentes
sistemas de información que cuentan con
protocolos comunes……”
Juan Cristóbal Cobo (2009), “El concepto de tecnologías de la información.
Benchmarking sobre las definiciones de las TIC en la sociedad del conocimiento”.
Gobierno“La forma en que una organización es
conducida y controlada”. (Ludt, 2009)
¿ Gobierno de
TI ?
1
Eficiencia y control
en las operaciones
y servicios de TI
Eficiencia y control en la
dirección estratégica de la Ti
en la empresa
Liderazgo, estructura organizacional y
procesos necesarios para asegurar que la TI
de la empresa soporta y potencia la
estrategia y objetivos de la organización
1
Requiere una computadora conectada
a Internet
Basta un Smartphone
conectado a Internet
Banca digital versus banca electrónica
1
1Diario Gestión (Perú), Marzo-2018
80% de
empresas
encuestadas (USA,
Europa y Asia)
esperan un ataque
de
ciberseguridaden el 2018
Fuente: Nexus / ISACA
Según la U.S. Office of
Financial Research
(OFR), existen 3 drivers
para entender cómo la
estabilidad financiera
pueda ser impactada
Fuente: The Institute of
International Finance,
Inc.
Amenazas a la
banca móvil
causadas por
un ataque en
internet
Un estudio realizado en el
2017 por CISCO a +3600
empresas de 26 países
reveló que 53% de los
ataques de ciberseguridad
generaron pérdidas por
encima de US$500K
1
Evolución del enfoque de auditoría
a un proceso basado en TI
2
2
2
Usuario Ingeniería Data
Enfoque de n-capas
1
Visión multidimensional
Tercerización
3Modelo de trabajo propuesto para
auditar la banca digital
3
3
Modelo de trabajo propuesto para auditar la banca digital
3
3
Los aspectos de ciberseguridad resultan relevantes
para una auditoría de la banca digital…
Fuente: MetricStream
3
Modelo de trabajo propuesto para auditar la banca digital
3
3
Modelo de trabajo propuesto para auditar la banca digital
Cuatro criterios (ejemplo) que
pueden ser utilizados como llave
principal para analizar matriz de
riesgo (inherente y/o residual)
3
Modelo de trabajo propuesto para auditar la banca digital
3
3
La auditoría a realizar debe
permitir determinar el estado
real del riesgo (Riesgo
Residual)
Riesgo residual = Riesgo inherente –
Control total
Control total = Control primario + Control secundario
3
Modelo de trabajo propuesto para auditar la banca digital
3
3
Modelo de trabajo propuesto para auditar la banca digital
3
3
Un ejemplo de despliegue del plan de trabajo
para las auditorías de TI
3
Un ejemplo de plantilla típica para revisar una
aplicación
4Algunas conclusiones y
recomendaciones
4
• Los riesgos en la banca digital no sólo son de tecnología de información
• Se requiere un buen conocimiento de la infraestructura tecnológica de la empresa y de los riesgos de ciberseguridad, seguridad de la información y marcos de control para TI
• Los riesgos de ciberseguridad pueden incrementarse a partir de riesgos no tecnológicos
• Es recomendable hacer primero una evaluación general de los controles asociados a TI
4• El alcance de una auditoría de la banca digital
debería ser incremental, dependiendo de la complejidad de la infraestructura y tamaño de la organización
• Es recomendable aplicar un enfoque escalar y desagregado en la planificación de las auditorías
• Tomar en cuenta los riesgos derivados de procesos basados en metodologías ágiles
Fin de la presentación
Ing. Luis Murguía Jara
MCE, CIA, CISA, CRISC, CRMA, CCSA, CSX, QAR
Subgerente de Auditoría de Sistemas y Tecnología – Interbank
Lima, Perú
lmurguia@intercorp.com.pe
Recommended