Servicios profesionales

SERVICIOS ESPECIALIZADOS EN AUDITORÍA DE TIC, GESTIÓN DE RIESGOS Y SEGURIDAD DE TIC.

AUDISIS ofrece siete (7)
tipos de Servicios Profesionales

Especializados en Auditoría a Tecnologías de la Información y Comunicaciones (TIC), Auditoría Interna a Sistemas de Gestión, Gestión de Riesgos y Seguridad en TIC.

AUDITORÍA A TECNOLOGÍA DE INFORMACIÓN (Basada en estándares de ISACA, IIA y NIAs)

“Es una especialidad de la auditoría que de manera independiente y objetiva revisa, verifica y evalúa los procesos de la Infraestructura de TIC, la Gestión de Servicios de TIC y las Aplicaciones de Computador en funcionamiento que soportan las operaciones de negocio y de apoyo administrativo de las Empresas, con la finalidad de proveer razonable confianza a la Gerencia y a otras partes interesadas, respecto a que los controles internos establecidos proveen seguridad razonable, eficiencia, eficacia, se cumplen las normas legales y regulatorias aplicables, reducen a niveles tolerables los riesgos del negocio y aseguran la satisfacción de los objetivos y necesidades de la organización”.

Según ISACA (Information Systems Audit and Control Association), la Auditoría de Sistemas de Información es:

“Toda auditoría que comprenda la revisión y evaluación de todos o parte de los aspectos de los sistemas automatizados de procesamiento de información, incluyendo los procesos no automatizados relacionados y las interfaces entre ellos.”

Servicios Profesionales de Auditoría TIC ofrecidos por AUDISIS.

  1. Auditorías a la Infraestructura de los Servicios de TIC (también llamada “Auditoria de Controles Generales de TIC”).
  2. Auditoría a ERPs y Aplicaciones de Computador (de Negocios o de Soporte Administrativo) en estado de Producción o funcionamiento.
  3. Auditoría al Desarrollo de Sistemas.
  4. Outsourcing de Auditoría de Sistemas para Auditorías Internas, Firmas de Auditores Financieros y Revisorías Fiscales.
  5. Auditorías de Cumplimiento de Normas sobre seguridad de la información y Ciberseguridad establecidas por Organismos de Supervisión y Vigilancia del Estado.
  6. Auditorías de Cumplimiento de Normas sobre Protección de datos personales – Habeas Data – establecidas por la leyes y Organismos de Supervisión y Vigilancia del Estado.
  7. Implantación de Técnicas de Auditoría Asistidas por Computador (CAATs) a la medida de las necesidades de la Empresa, utilizando el software IDEA.
  8. Auditoría de TIC a Procesos Electorales para Elección de Dignatarios de Corporaciones Públicas, presidente y vicepresidente de la Republica.
  9. Auditoría a Procesos de Votación Electrónica en Asambleas de Accionistas o de Asociados en Empresas y de dignatarios a Concejos Directivos y Rector en Universidades.
  10. Asesoría para Implantar la Auditoria de Sistemas como función permanente dentro de las Empresas.
  11. Selección de Auditores de Sistemas.
  12. Servicios de Peritaje y Auxiliares de la Justicia en Asuntos relacionados con TIC
  13. Formación y Entrenamiento de Auditores de TIC.

AUDITORÍA INTERNA A SISTEMAS DE GESTIÓN (Basada en ISO 19011)

“Conjunto de elementos de una organización interrelacionados o que interactúan para establecer políticas, objetivos y procesos (3.24) para lograr estos objetivos”

Un sistema de gestión puede tratar una sola disciplina o varias disciplinas, por ejemplo, gestión de la calidad, gestión financiera o gestión ambiental. Los elementos del sistema de gestión establecen la estructura de la organización, los roles y las responsabilidades, la planificación, la operación, las políticas, las prácticas, las reglas, las creencias, los objetivos y los procesos para lograr esos objetivos.

La norma ISO 19011: 2018 define Auditoría así: “Proceso sistemático, independiente y documentado para obtener evidencias objetivas (3.8) y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría (3.7)”.

Las auditorías internas según ISO 19011, denominadas en algunos casos auditorías de primera parte, se realizan por, o en nombre de la propia organización.

Nótese que este concepto difiere significativamente de la definición de Auditoría Interna según estándares del Instituto de Auditores Internos (IIA), el cual dice: “Es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización, ayudando a cumplir sus objetivos al aportar un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno corporativo”.

La Auditoría Interna de Sistemas de Gestión permite a las organizaciones evaluar el estado de cumplimiento de requisitos de normas de gestión (ISO 9001, ISO 45001, ISO/IEC 27001, ISO 22301, ISO 14001 y Decreto 1072 de 2015 para el SG-SST); además de revisar su nivel de madurez del sistema y los posibles riesgos asociados a los procesos y la efectividad de los controles. De manera general, uno de los principales beneficios de realizar estas auditorías internas es permitir a los principales responsables de la organización tomar decisiones con base en la situación de su sistema de gestión, a fin de realizar ciertas reorientaciones, en caso de ser necesario, hacia la consecución de sus objetivos previstos.

Servicios de Auditoría Interna en Sistemas de Gestión ofrecidos por AUDISIS.

  1. Auditoría Interna al Sistema de Gestión de Seguridad de la Información – SGSI, ISO 27001.
  2. Auditoría Interna al Sistema de Gestión de Continuidad del Negocio (BCP) – ISO 22301.
  3. Auditoría Interna de Sistemas de Gestión ISO 9001, ISO 14000, iS0 45000.
  4. Auditoría ISO de Sistemas de Gestión Integrados.
  5. Consultoría para obtener Certificación ISO.
  6. Auditoria al SG – SST.
  7. Formación Auditores Internos ISO.

CONSULTORÍA Y ASESORIA EN GESTIÓN DE RIESGOS (Basada en marcos de referencia ISO 31000, COSO 2017 y Basilea)

Según ISO 31000,  riesgo es “el efecto de la incertidumbre en los objetivos» y  un efecto es una desviación positiva o negativa de lo que se esperaba. Las desviaciones positivas o eventos positivos se denominan  oportunidades. Las desviaciones negativas o eventos negativos  se denominan amenazas y se refieren a eventos accidentales o intencionales que pueden causar daño a uno o más activos y obstaculizar el logro de los objetivos de la organización.   

Según ISO 31000, la Gestión del Riesgo (traducción del inglés risk management) es el conjunto de actividades  y métodos coordinados utilizados para dirigir una organización y controlar los muchos riesgos que pueden afectar su  capacidad para lograr sus objetivos.

El objetivo de la gestión de riesgos es reducir diferentes riesgos inherentes de un ámbito preseleccionado, a un nivel aceptable por la sociedad. Puede referirse a numerosos tipos de amenazas causadas por actos de la naturaleza, el medio ambiente, la tecnología, el diseño de los procesos, los seres humanos, las organizaciones y la política. Por otro lado, involucra todos los recursos disponibles de los seres humanos o, en particular, de una entidad de manejo de riesgos (persona, grupo de trabajo, organización).

La gestión de riesgos es un enfoque estructurado para manejar la incertidumbre relativa a eventos negativos que pueden obstaculizar el logro de los objetivos de la organización, a través de una secuencia de actividades humanas que incluyen la identificación, el análisis y la evaluación de riesgo, para luego establecer las estrategias de su tratamiento utilizando recursos gerenciales. Las estrategias incluyen transferir el riesgo a otra parte, evitar el riesgo (esto es, reducir su probabilidad o impacto a 0), reducir el impacto negativo del riesgo y aceptar algunas o todas las consecuencias de un riesgo particular mediante una decisión informada.

Algunas veces, el manejo de riesgos se centra en la contención de riesgos generados por causas físicas o legales (por ejemplo, desastres naturales o incendios, accidentes, muerte o demandas). Otras veces, la gestión de riesgos enfatiza en aspectos operacionales como son las personas, los procesos y las fallas tecnológicas. Por otra parte, la gestión de riesgo financiero se enfoca en los riesgos que pueden ser manejados usando instrumentos financieros y comerciales.

La administración de riesgo empresarial o Enterprise Risk Management (ERM, por sus siglas en inglés) es un proceso realizado por el consejo directivo de una entidad, la administración y el personal de dicha entidad. Se aplica en el establecimiento de estrategias de toda la empresa, diseñada para identificar eventos potenciales que puedan afectar a la entidad y administrar los riesgos para proporcionar una seguridad e integridad razonable referente al logro de objetivos.

Servicios Profesionales en Gestión de Riesgos ofrecidos por AUDISIS.

  1. Implantar la Gestión de Riesgos Operacionales en los Procesos y Servicios de Tecnología de Información.
  2. Implantar la Gestión de riesgos de Seguridad de la Información (ISO 27001) y Ciberseguridad (ISO 27032).
  3. Construir matrices de riesgo para los procesos de la cadena de valor de la Empresa, procesos de TI y Aplicaciones de Computador de Negocio o de Soporte Administrativo.
  4. Implantar el Sistema de Administración de Riesgos Operacionales (SARO) en los procesos de la Cadena de Valor de la Empresa.
  5. Implantar el Sistema de Administración de Riesgos de Lavado de Activos y Financiación del Terrorismo (SARLAFT, SAGRILAFT, SIPLAFT y SIPLA) en las operaciones de negocio de la organización.
  6. Implantar el Sistema de Gestión de Seguridad y Salud en el Trabajo (SG-SST).
  7. Auditoría de Cumplimiento a la Operación de los sistemas de Gestión de Riesgos SARO y SARLAFT / SAGRILAFT.
  8. Formación y Entrenamiento en Gestión de Riesgos.
  9. «Formación y entrenamiento en Auditoria a Sistemas Gestión de Riesgos SARO Y SARLAFT.

CONSULTORÍA EN CONTROL INTERNO DE TECNOLOGIA DE INFORMACION (TI), SEGURIDAD DE LA INFORMACION Y CIBERSEGURIDAD.

El control interno en TI tiene dos grandes componentes: a) Controles Generales de TI (ITGC) y b) Controles Específicos ó Controles de Aplicaciones de Computador de Negocios y soporte administrativo.

Los Controles Generales de TI (ITGC) ó controles en la infraestructura de TI se definen como el conjunto de políticas y procedimientos establecidos por el área de TI de la empresa para asegurar continuamente la confidencialidad, la integridad y la disponibilidad de sus recursos, servicios y datos de TI.

La Gerencia de TI de la Empresa debe proveer procesos de soporte y prestación de servicios, desarrollo de sistemas y la infraestructura de TI, como servicio común para toda la empresa (es decir, redes, bases de datos, sistemas operativos y almacenamiento). Los controles aplicados a todas estas actividades de servicio de TI se conocen como controles generales de TI. La operación formal de estos controles generales es necesaria para asegurar la confiabilidad a los controles internos que se implantan en las aplicaciones de computador (o sistemas ERPs). Por ejemplo, una deficiente administración de cambios en el área de TI podría poner en riesgo (por accidente o de forma deliberada) la confiabilidad de las verificaciones automáticas de integridad de la información.

Las Aplicaciones de Computador son programas de computador desarrollados en la empresa (in house) o adquiridos a terceros, con las cuales se procesa la información de las operaciones del CORE DEL NEGOCIO y de soporte administrativo de las empresas. Por ejemplo: facturación, nómina, cartera, ventas, cuentas por pagar, compras, activos fijos, inventarios, comisiones, mantenimiento de vehículos, historias clínicas, laboratorio clínico, producción, etc.

Los controles internos en las aplicaciones de computador se conocen con el nombre de controles de aplicación o Controles Específicos y se refieren a aquellos controles que regulan el ingreso (entrada), procesamiento y salidas de los datos en las actividades automatizadas de los procesos del modelo de operación de la empresa. Ejemplos: dígito de autoverificación, test de validez de códigos, verificación visual, test para datos numéricos, test de datos obligatorios, perfiles autorización, autenticación de usuarios, edición de imágenes antes y después de cambios procesados, entre otros. Todos estos controles ayudan a asegurar integridad, consistencia, precisión, validez, autorización, edición, segregación automática de funciones incompatibles. El diseño e implementación de los controles de aplicación automatizados son responsabilidad de TI, con base en los requerimientos de negocio definidos, usando los criterios que deben ser satisfechos por la información de negocios (eficacia, eficiencia, integridad, confidencialidad, disponibilidad, confiabilidad y cumplimiento de las normas legales y regulatorias). La responsabilidad operacional de administrar y operar los controles de aplicación no es de TI, sino de los propietarios o responsables de los procesos de negocio.

La Seguridad de la Información.

La norma ISO/IEC 27001:2022, Seguridad de la información, ciberseguridad y protección de la privacidad”, especifica los requisitos para establecer, implementar, mantener, monitorear y mejorar continuamente un SGSI (Sistema de Gestión de Seguridad de la Información).

La seguridad de la información, que suele abreviarse como InfoSec, es un conjunto de procedimientos y herramientas de seguridad que protegen ampliamente la información confidencial de la empresa frente al uso indebido, acceso no autorizado, interrupción o destrucción. InfoSec comprende la seguridad física y del entorno, el control de acceso y la ciberseguridad. Suele incluir tecnologías como agente de seguridad de acceso a la nube (CASB), herramientas de engaño, detección y respuesta en el punto de conexión (EDR) y pruebas de seguridad para DevOps (DevSecOps), entre otras.

Los tres pilares ó tríada CIA de la seguridad de la información, CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD conforman las piedras angulares de una protección de la información sólida, que crean la base de la infraestructura de seguridad de la empresa. La tríada CIA ofrece estos tres conceptos como principios guía a la hora de implementar un plan InfoSec.

Confidencialidad

La privacidad es uno de los componentes principales de InfoSec. Las organizaciones deben tomar medidas que permitan únicamente el acceso de usuarios autorizados a la información. El cifrado de datos, la autenticación multifactor y la prevención de pérdida de datos son algunas de las herramientas que pueden emplear las empresas para ayudar a garantizar la confidencialidad de los datos.

Integridad

Las empresas deben mantener la integridad de los datos a lo largo de todo su ciclo de vida. Las empresas con un sistema de InfoSec bien establecido reconocen la importancia de que los datos sean precisos y fiables y no permiten que los usuarios no autorizados accedan a ellos, los alteren o interfieran de cualquier otro modo en ellos. Las herramientas como los permisos de archivos, la administración de identidades y los controles de acceso de usuario ayudan a garantizar la integridad de datos.

Disponibilidad

InfoSec implica un mantenimiento continuo del hardware físico y la actualización habitual del sistema para garantizar que los usuarios autorizados disponen de acceso fiable y coherente a los datos que necesiten.

La Ciberseguridad

La ciberseguridad es la práctica de proteger equipos, redes, aplicaciones de software, sistemas críticos y datos de posibles amenazas digitales ó ciberamenazas. Las organizaciones tienen la responsabilidad de proteger los datos para mantener la confianza del cliente y cumplir la normativa. Utilizan medidas y herramientas de ciberseguridad para proteger los datos confidenciales del acceso no autorizado, así como para evitar interrupciones en las operaciones empresariales debido a una actividad de red no deseada. Las organizaciones implementan la ciberseguridad al optimizar la defensa digital entre las personas, los procesos y las tecnologías.

La ISO/IEC 27032:2023 es un estándar internacional que se enfoca en la ciberseguridad y la protección de la información en un mundo cada vez más conectado. Proporciona directrices para garantizar la seguridad de la información en redes y sistemas de información. Esta norma se aplica a organizaciones de todos los sectores y ayuda a gestionar los riesgos asociados con las amenazas cibernéticas.

La ISO/IEC 27032:2023 no solo es una herramienta esencial para fortalecer la ciberseguridad de una organización, sino que también ofrece una serie de beneficios tangibles y estratégicos. Desde una mayor resiliencia ante amenazas hasta la mejora de la imagen de la empresa y el cumplimiento de regulaciones, esta norma desempeña un papel fundamental en la protección de la información y los activos digitales, al tiempo que contribuye al éxito a largo plazo de la organización en un entorno empresarial cada vez más digital y conectado.

Actualmente, la implementación de medidas de seguridad digital se debe a que hay más dispositivos conectados que personas, y los atacantes son cada vez más creativos.

Servicios Profesionales de Control Interno, Seguridad de la Informacion y Ciberseguridad ofertados por AUDISIS:

  1. Implantar Políticas, Normas y Procedimientos de Control Interno en Tecnología de Información (TI).
  2. Acompañamiento para Implantar los Sistemas de Gestión de Seguridad de la Información (SGSI) basada en la Norma ISO 27001 y de Ciberseguridad (ISO 27032).
  3. Realización de Pruebas de Vulnerabilidad / Ethical Hacking.
  4. Acompañamiento para Elaborar e Implantar el Plan de Continuidad del Negocio – BCP – basado en la norma ISO 22301.
  5. Acompañamiento para Diseñar e Implantar programas de prevención y detección de fraudes (programa antifraude) y anticorrupción a la medida de las organizaciones.
  6. Acompañamiento para Diseñar e implantar Controles en procesos de la infraestructura de Tecnología de Información y nuevas aplicaciones de computador, basado en identificación y análisis de riesgos inherentes críticos.
  7. Formación y Entrenamiento en Control Interno y Seguridad de TIC.

CONSULTORIA EN DISEÑO Y EVALUACION DE CONTROL INTERNO EN TI Y PROCESOS DE NEGOCIO.

El enfoque proactivo y preventivo de los controles debería prevalecer sobre el enfoque Reactivo o A posteriori. Esto significa que los controles deberían diseñarse para anticiparse a la ocurrencia de los eventos de riesgo, más que orientarse a detectar la ocurrencia de errores e irregularidades después que estas ocurren, cuando lo único que puede hacerse es establecer los controles como una reacción a hechos ocurridos (Ex post Facto) o como remedio para que estos no vuelvan a presentarse.

Los controles internos deberían diseñarse antes de iniciar la operación de los procesos y proyectos de la Empresa, durante las fases de planeación y construcción, no después, cuando los procesos están en operación y se detecta la ocurrencia de errores, irregularidades o después que se presentan desastres por actos de la naturaleza o provocados por terceros. Por consiguiente, los controles deberían diseñarse e implantarse para reducir la posibilidad de que se materialicen los eventos de riesgo o para reducir su impacto si no pueden evitarse, es decir, para que actúen antes de que los riesgos ocurran.

El diseño de los controles debería realizarse con base en las políticas de operación de la Empresa [1] y en el análisis de los eventos de riesgo inherentes negativos que puedan presentarse en el desarrollo de sus operaciones, con el propósito de reducir la severidad de los riesgos a nivel aceptable o tolerable, de tal manera que los controles establecidos aseguren razonablemente la consecución de los objetivos esperados y evidencien su efectividad para la gestión adecuada de los riesgos.

Servicios de Diseño y Evaluación de Controles Internos ofrecidos por AUDISIS.

  1. Implantación de estándares de diseño de controles internos en procesos de negocio y TI.
  2. Evaluación del diseño y efectividad de controles internos existentes.
  3. Acompañamiento en diseño e implantación de Controles, Basado en Análisis de Riesgos, para Procesos de la Cadena de Valor o del modelo de operación de la Empresa y TI.
  4. Acompañamiento en identificación de necesidades de control e implantación de controles requeridos en nuevos productos, servicios y sistemas de información automatizados.
  5. Formación y Entrenamiento en Diseño e Implantación de Controles en procesos de negocio y TI.

CONSULTORÍA EN INFORMÁTICA FORENSE.

El cómputo forense, también llamado informática forense, computación forense, análisis forense digital o examen forense digital es la aplicación de técnicas científicas y analíticas especializadas a infraestructuras tecnológicas que permiten identificar, preservar, analizar y presentar datos válidos dentro de un proceso legal.

La informática forense se refiere a un conjunto de procedimientos y técnicas metodológicas para identificar, recolectar, preservar, extraer, interpretar, documentar y presentar las evidencias de los equipos de computación, de manera que estas evidencias sean aceptables durante un procedimiento legal o administrativo en un juzgado.

La informática es una parte vital en la investigación forense en el ámbito digital, pues está específicamente focalizada en los delitos cometidos mediante dispositivos de computación, como redes, ordenadores y medios de almacenamiento digital, especialmente en aquellos casos que involucran a la tecnología como fuente o víctima de un delito.

La informática forense es esencial para:

  • Asegurar la integridad y disponibilidad de la infraestructura de red cuando sucede un incidente de ciberseguridad o ataque informático.
  • Identificar y obtener evidencias de los cibercrímenes de manera apropiada.
  • Asegurar la protección adecuada de los datos y el cumplimiento regulatorio.
  • Proteger a las organizaciones para que no vuelvan a suceder en el futuro los incidentes ocurridos.
  • Ayudar en la protección de crímenes online, como abusos, bullying
  • Minimizar las pérdidas tangibles o intangibles de las organizaciones o individuos relativas a incidentes de seguridad.
  • Soportar el proceso judicial de enjuiciamiento de los criminales.

INTERVENTORIA A PROYECTOS DE TIC Y DE AUDITORIA TIC.

La interventoría a Contratos de TIC consiste en el seguimiento técnico que sobre el cumplimiento de contratos realice AUDISIS, cuando sea contratada para tal fin por Entidades Estatales, porque el seguimiento del contrato supone conocimiento especializado en la materia, o cuando la complejidad o la extensión del mismo lo justifiquen. No obstante, lo anterior cuando la entidad lo encuentre justificado y acorde a la naturaleza del contrato principal, podrá contratar el seguimiento administrativo, técnico, financiero, contable, jurídico del objeto o contrato dentro de la interventoría.

La Interventoría de Proyectos de TIC se refiere a la prestación de servicios profesionales de aseguramiento de la calidad y/o auditoría técnica, para acompañar y asesorar las actividades de supervisión, vigilancia y control del desarrollo de proyectos de Tecnología de información (TI), en los cuales se considera necesario y conveniente el apoyo de una “veeduría imparcial” que interactúe permanentemente con áreas administrativas, financieras y de gestión de la empresa y con los terceros involucrados en los proyectos. Este acompañamiento se denomina “Interventoría de proyectos”.

“La interventoría en proyectos de tecnología de información es el conjunto de herramientas, procesos y procedimientos que soportan la gestión de la Empresa para asegurar a los implicados (Stakeholders) de un proyecto de tecnología en particular, que las especificaciones requeridas en su diseño y/o construcción y/o implantación están siendo logradas dentro de los estándares de calidad previstos, en el cronograma base establecido y con los costos presupuestados para tal efecto”.

Más información

email: audisis@audisis.com | gerenciageneral@audisis.com

Tel: (+57) 601 255 67 17 | (+57) 601 347 00 22

Móvil: (+57) 310 254 31 08 | (+57) 317 372 23 57 | (+57) 310 269 01 75

 

Contáctenos

Déjanos tus datos para agendar una reunión y presentarte como AUDISIS brindará soluciones estratégicas para tu empresa.

People Who Love Our Place

A descriptive paragraph that tells clients how good you are and proves that you are the best choice that they’ve made.