auditoría de la banca digital - amazon web...

Auditoría de la

Banca digital

Ing. Luis Murguía Jara

MCE, CIA, CISA, CRMA, CRISC, CCSA, CSX, QAR

La simplicidad es el logro final. Después

que uno ha jugado con una cantidad

grande de notas, es la simplicidad la que

emerge como una recompensa del arte.

Fréderic Chopin

(Varsovia 1810 – París 1849)

Agenda

1. Algunos conceptos y antecedentes de la banca

digital

2. Evolución del enfoque de auditoría a un proceso

basado en TI

3. Modelo de trabajo propuesto para auditar la banca

digital

4. Algunas conclusiones y recomendaciones

Algunos conceptos y antecedentes

de la banca digital

1

“Es el uso de la ciencia en la industria,

ingeniería, etc. para inventar cosas útiles o

para resolver un problema…”

Diccionario Merriam-Webster

Tecnología de la

información

“Dispositivos tecnológicos (hardware y software)

que permiten editar, producir, almacenar,

intercambiar y transmitir datos entre diferentes

sistemas de información que cuentan con

protocolos comunes……”

Juan Cristóbal Cobo (2009), “El concepto de tecnologías de la información.

Benchmarking sobre las definiciones de las TIC en la sociedad del conocimiento”.

Gobierno“La forma en que una organización es

conducida y controlada”. (Ludt, 2009)

¿ Gobierno de

TI ?

1

Eficiencia y control

en las operaciones

y servicios de TI

Eficiencia y control en la

dirección estratégica de la Ti

en la empresa

Liderazgo, estructura organizacional y

procesos necesarios para asegurar que la TI

de la empresa soporta y potencia la

estrategia y objetivos de la organización

1

Requiere una computadora conectada

a Internet

Basta un Smartphone

conectado a Internet

Banca digital versus banca electrónica

1

1Diario Gestión (Perú), Marzo-2018

80% de

empresas

encuestadas (USA,

Europa y Asia)

esperan un ataque

de

ciberseguridaden el 2018

Fuente: Nexus / ISACA

Según la U.S. Office of

Financial Research

(OFR), existen 3 drivers

para entender cómo la

estabilidad financiera

pueda ser impactada

Fuente: The Institute of

International Finance,

Inc.

Amenazas a la

banca móvil

causadas por

un ataque en

internet

Un estudio realizado en el

2017 por CISCO a +3600

empresas de 26 países

reveló que 53% de los

ataques de ciberseguridad

generaron pérdidas por

encima de US$500K

1

Evolución del enfoque de auditoría

a un proceso basado en TI

2

2

2

Usuario Ingeniería Data

Enfoque de n-capas

1

Visión multidimensional

Tercerización

3Modelo de trabajo propuesto para

auditar la banca digital

3

3

Modelo de trabajo propuesto para auditar la banca digital

3

3

Los aspectos de ciberseguridad resultan relevantes

para una auditoría de la banca digital…

Fuente: MetricStream

3

Modelo de trabajo propuesto para auditar la banca digital

3

3

Modelo de trabajo propuesto para auditar la banca digital

Cuatro criterios (ejemplo) que

pueden ser utilizados como llave

principal para analizar matriz de

riesgo (inherente y/o residual)

3

Modelo de trabajo propuesto para auditar la banca digital

3

3

La auditoría a realizar debe

permitir determinar el estado

real del riesgo (Riesgo

Residual)

Riesgo residual = Riesgo inherente –

Control total

Control total = Control primario + Control secundario

3

Modelo de trabajo propuesto para auditar la banca digital

3

3

Modelo de trabajo propuesto para auditar la banca digital

3

3

Un ejemplo de despliegue del plan de trabajo

para las auditorías de TI

3

Un ejemplo de plantilla típica para revisar una

aplicación

4Algunas conclusiones y

recomendaciones

4

• Los riesgos en la banca digital no sólo son de tecnología de información

• Se requiere un buen conocimiento de la infraestructura tecnológica de la empresa y de los riesgos de ciberseguridad, seguridad de la información y marcos de control para TI

• Los riesgos de ciberseguridad pueden incrementarse a partir de riesgos no tecnológicos

• Es recomendable hacer primero una evaluación general de los controles asociados a TI

4• El alcance de una auditoría de la banca digital

debería ser incremental, dependiendo de la complejidad de la infraestructura y tamaño de la organización

• Es recomendable aplicar un enfoque escalar y desagregado en la planificación de las auditorías

• Tomar en cuenta los riesgos derivados de procesos basados en metodologías ágiles

Fin de la presentación

Ing. Luis Murguía Jara

MCE, CIA, CISA, CRISC, CRMA, CCSA, CSX, QAR

Subgerente de Auditoría de Sistemas y Tecnología – Interbank

Lima, Perú

lmurguia@intercorp.com.pe