LOS AUDITORES, LAS POLÍTICAS DE SI/TI Y EL CUMPLIMIENTO

A través de las políticas las organizaciones buscan:

 Formalizas aspectos de sus culturas

 Lo que se espera del miembro del personal
 Como se trata el incumplimiento

Las políticas se entregan:

 De forma manual
 Intranet

Complicaciones de las políticas

 Aumentan la complejidad cuando existen mayor número de empleados.

 Los empleados acepten cumplir las políticas.
 No es bueno contar con muchas políticas.
 No debe de haber políticas que entren en conflicto con la cultura organizacional ya que
la administración perdería credibilidad.

Que abarca las políticas:

 Recursos Humanos
 Área legal
 Auditores

Portafolio de políticas:

El articulo examina asuntos normativos a los servicios de Sistemas de Información y Datos:

 No divulgación de la información de la empresa

 Uso personal de los recursos de información de la empresa.
 Uso de medios sociales.
 Seguridad de información.
 El portafolio solo debe tener aquello que tiene valor y un propósito claro.

Enfoque 1 del auditor:

Evaluar el alcance de las políticas emitidas y revisar sus parámetros claves.

 Alcance del portafolio frente a los riesgos que impacte su credibilidad,

confidencialidad e integridad de los SSD.
 Vigencia de la política, cuando fue revisado por última vez.
 Difusión (ya sea por escrito, intranet, revisando uso y acceso).
 Mecanismos para monitorear el cumplimiento.
Enfoque 2 del auditor

Evaluar el grado de compromiso para cumplir con las políticas.

El grado de cómo está registrado en la carpeta del personal.

Enfoque 3 del auditor

Evaluar en que medida se monitorean las políticas y cuales de ellas se cumplen.

El incumplimiento es un hecho en la conduta humana.

Un enfoque equilibrado de la politicas podría considerar 3 dominios:

La zona gris

Trabajo personal

Largas pausas en el almuerzo

Zona verde

Personas que hacen su trabajo y nada mas q eso

Zona roja

Actividades prohibidas

Enfoque 4 del auditor

Determinar hasta qué punto la organización realiza un seguimiento a las nuevas tecnologías
que podrían tener un impacto en la organización e introducir un nuevo riesgo.

Revisar consecuencias de la adopción de una tecnología.

Conclusión

Tener políticas puede ser un requisito obligatorio, pero si bien es necesario, no se puede
asegurar su cumplimiento.

Los auditores deben alentar y apoyar a los emisores de la política y haciendo seguimiento
sobre las medidas adoptadas

GESTION DE RIESGOS DE TERCEROS

El modelo de negocio de una empresa era grande que administraba y controlaba directamente
sus recursos.

En la ultimas décadas de siglo 20, la externalziacion surgio como una maniobra estratégica
para:

 Reducir y controlar costos.

 Mejorar el enfoque de la empresa que es cliente.
 Incrementar los recursos internos para otros fines
 Compartir riesgos y recompensas con el proveedor.
Los lideres empresariales han reconocido que la subcontratación es esencial para mantenerse
comptetitivos.

Con el tiempo a medida que un cliente se vuelva mas dependiente de un proveedor, la

posibilidad de riesgos también aumenta.

Metodología de la TPRM

Cualquier programa de gestión de riesgos es tridimensional dado que:

 Incorpora personas
 Procesos
 Tecnología

Cada uno de ellos es importante para el objetivo del TPRM (Gestion de riesgos de terceros).

Las empresas clientes consideran al proveedor como un objetivo a ser evaluado al momento
de incorporarlo, para esto:

Establece disposiciones contractuales.

Conjugar el portafolio de riesgos del proveedor con el del acuerdo.

Preparse para un monitoreo dinamico.

Implmenetar y utilizar enfoques de monitoreo tanto tradicionales