Download Archivo Adjunto

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
page
24
page
25
page
26
page
27
page
28
page
29
page
30
page
31
page
32
page
33
page
34
page
35
page
36
page
37
page
38
page
39
page
40
page
41
page
42
Document related concepts
no text concepts found
Transcript 
AUDITORÍA Y REVISIÓN DE
LA CIBERSEGURIDAD
José Ángel PEÑA IBARRA
CRISC, CGEIT, COBIT 5 Accredited Trainer
CCISA-ALINTEC México
[email protected]
José Ángel Peña Ibarra
– Consultor internacional en Auditoria
de TI, Gobierno, Gestión de riesgos y
seguridad.
– Ha servido a clientes en México,
Estados Unidos, España y varios
países de Latinoamérica.
– Fue socio de PwC en México, a cargo
de los servicios de consultoría al
sector
de
comunicaciones
e
informática.
– Vicepresidente Internacional de
ISACA y del IT Governance Institute,
del 2007 al 2011.
2
CRISC, CGEIT,
COBIT 5 Accredited Trainer
CCISA-ALINTEC México
[email protected]
OBJETIVOS DEL CONFERENCISTA:
– Sensibilizar sobre la importancia de los
riesgos tecnológicos emergentes para el
sector y para la profesión de auditoría.
– Explicar la definición de ciberseguridad.
– Hacer conciencia de la importancia que
tiene el que Todos los auditores internos
conozcan sobre los nuevos riesgos.
– Invitarlos a usar herramientas como las
publicadas por ISACA.
J.A. PEÑA IBARRA
[email protected] 3
CONTENIDO
1. Antecedentes
2. Que es la Ciberseguridad
3. Las tres líneas de defensa
4. El Universo de Auditoría
5. Metas de la Ciberseguridad y
objetivos de auditoría relacionados
6. Investigación Forense
J.A. PEÑA IBARRA
[email protected]
CONTENIDO
1. Antecedentes
2. Que es la Ciberseguridad
3. ¿Cómo afecta al sector financiero?
4. Las tres líneas de defensa
5. El Universo de Auditoría
6. Metas de la Ciberseguridad y
objetivos de auditoría relacionados
7. Investigación Forense
J.A. PEÑA IBARRA
[email protected]
Antecedentes
Ataques a la ciberseguridad
pueden ser el próximo mayor
escándalo en el sector bancario.
James Titcomb, 2014
6
J.A. PEÑA IBARRA
[email protected] 6
SECTOR OBJETIVO DE LOS CIBERATAQUES
– La posición del sector financiero en
el corazón de la economía, lo hace un
objetivo particularmente atractivo.
Sector
Financiero
J.A. PEÑA IBARRA
[email protected] 7
De las mayores preocupaciones para la próximos años:
- Que los datos financieros de los clientes
sean comprometidos a gran escala.
- Que los hackers tumben el sistema
financiero.
J.A. PEÑA IBARRA
[email protected] 8
Aspectos para considerar en el sector financiero:
Internet de las
cosas
Mayor
dependencia en
los dispositivos
conectados
Resiliencia vs
seguridad
Nuevos y más
complejos riesgos
J.A. PEÑA IBARRA
[email protected]
Internet de las Cosas (IoT)
Es una red gigante de “cosas”
interconectadas.
Esto incluye la relación de
personaspersonas
personascosas
J.A. PEÑA IBARRA
[email protected]
cosas-cosas
comunicación “cosas con cosas”
La comunicación de dispositivos
con otros dispositivos, sin intervención
humana,
INCREMENTA EXPONENCIALMENTE
LOS RIESGOS
J.A. PEÑA IBARRA
[email protected] 11
SISTEMAS
BANCARIOS
Modelo de 6 eras de negocio:
1. Análogo
2. Web
Historia
3. E-Business
4. Mercadeo digital
•
Actual
Nexus of Forces (mobile, social, cloud
and information)
Fuente: Gartner, "Hype Cycle for Emerging Technologies, 2014."
J.A. PEÑA IBARRA
[email protected]
Modelo de 6 eras de negocio:
5. Negocio digital
•
•
•
Plateau en
5-10 años más
Internet de las Cosas, difuminación de
los mundos físico y virtual.
Impresión en 3D causa un cambio
disruptivo en la cadena de suminstro y
manufactura.
Moneda digital, “Cryptocurrencies”
Fuente: Gartner, "Hype Cycle for Emerging Technologies, 2014."
J.A. PEÑA IBARRA
[email protected]
Modelo de 6 eras de negocio:
6. Negocio autónomo
•
•
•
Plateau en
10 años o más
Aprovechamiento de tecnologías con
capacidades “humanlike” o “humanreplacing”.
Uso de vehículos autónomos para
mover personas o productos.
Uso de sistemas cognoscitivos para
escribir textos o contestar a clientes.
Fuente: Gartner, "Hype Cycle for Emerging Technologies, 2014."
J.A. PEÑA IBARRA
[email protected]
Mayor dependencia en los dispositivos
conectados
De acuerdo a Gartner, en el 2020
tendremos más de 26 mil millones
de dispositivos conectados en la Red.
Esto implica un nuevo esquema
con muchos retos tecnológicos y
operativos.
Pero sobre todo, genera una
alta dependencia.
J.A. PEÑA IBARRA
[email protected]
Resiliencia versus Seguridad
Internet fue concebido
pensando en la Resiliencia.
No en la seguridad.
Hasta ahora, los defensores han
ganado la batalla e Internet sigue
siendo un medio confiable.
Tal vez estamos a una generación de
tecnología disruptiva en la que los
atacantes finalmente ganen.
World Economic Forum, Global Risks 2014, Insight Report
J.A. PEÑA IBARRA
[email protected]
Uno de los Tres grandes riesgos en foco:
En el World Economic Forum
Report 2014, se indican tres
grandes riesgos que pueden
afectar a nivel global en un
horizonte de 10 años, y uno de
ellos es el de:
Desintegración
J.A. PEÑA IBARRA
[email protected]
Digital
CONTENIDO
1. Antecedentes
2. Que es la Ciberseguridad
3. Las tres líneas de defensa
4. El Universo de Auditoría
5. Metas de la Ciberseguridad y
objetivos de auditoría relacionados
6. Investigación Forense
18
J.A. PEÑA IBARRA
[email protected]
Que es Ciberseguridad
Ciberseguridad incluye todo lo que protege a las
organizaciones e individuos de ataques, brechas, e
incidentes intencionales.
La Ciberseguridad está alineada con la seguridad de la
información, que trata toda clase de crímenes, y
ataques oportunistas.
La Ciberseguridad tiene foco en los Ataques
Persistentes Avanzados
Fuente: ISACA´s “Transforming Cybersecurity using COBIT 5”
J.A. PEÑA IBARRA
[email protected]
Área de enfoque de la Ciberseguridad
Te atacan porque:
Tipos de ataques
No sofisticados
• Tienes una vulnerabilidad
Sofisticados
• Tienes información de valor
Espionaje Corporativo
• Alguien busca ganar dinero
por tu propiedad intelectual
Persistentes Avanzados
• Por lo que eres, haces o
tienes.
Fuente: ISACA´s “Transforming Cybersecurity using COBIT 5”
J.A. PEÑA IBARRA
[email protected]
CONTENIDO
1. Antecedentes
2. Que es la Ciberseguridad
3. Las tres líneas de defensa
4. El Universo de Auditoría
5. Metas de la Ciberseguridad y
objetivos de auditoría relacionados
6. Investigación Forense
21
J.A. PEÑA IBARRA
[email protected]
Líneas de defensa de la Ciberseguridad
– La Ciberseguridad debe ser revisada
frecuentemente, evaluando la efectividad y
diseño de los controles
• Las revisiones incluyen un rango que va
desde
evaluaciones
informales
hasta
auditorías completas de todos los arreglos
de ciberseguridad de la empresa
• Esto se hace a través de tres
líneas de defensa
J.A. PEÑA IBARRA
[email protected]
Líneas de defensa de la Ciberseguridad
Tercera línea:
Auditoría
Interna
• Pruebas de control interno
• Cumplimiento Ciberseguridad
• Investigaciones fórenses
Segunda línea:
Administración
de Riesgos
• Evaluación formal de riesgos
• Análisis de impacto al negocio
• Riesgos emergentes
Primera línea:
Administración
• Autoevaluaciones de control
• Pruebas de penetración
• Pruebas técnicas/funcionales
Fuente: ISACA´s “Transforming
Cybersecurity using COBIT 5”
J.A. PEÑA IBARRA
[email protected] 23
CONTENIDO
1. Antecedentes
2. Que es la Ciberseguridad
3. Las tres líneas de defensa
4. El Universo de Auditoría
5. Metas de la Ciberseguridad y
objetivos de auditoría relacionados
6. Investigación Forense
24
J.A. PEÑA IBARRA
[email protected]
El Universo de Auditoría
– El Universo de Auditoría incluye todos los
conjuntos de controles, prácticas de
auditoría y provisiones de GRC, a nivel
empresa.
• En algunos casos, el Universo de Auditoría
puede incluir partes de terceros, cuando
contractualmente se definen privilegios de
auditoría.
J.A. PEÑA IBARRA
[email protected]
Restricciones en el Universo de Auditoría
– Esfera de control corporativa vs. Esfera de
control Privado: Uso de dispositivos privados y
aplicaciones no estándares de la empresa,
pueden estar protegidos por leyes de privacidad.
• Infraestructura
interna
de
TI
vs.
Infraestructura externa de TI. En Home office,
las actividades de auditoría están restringidas,
también en el caso de algunos ISPs y
proveedores de servicios de nube y
tercerización.
J.A. PEÑA IBARRA
[email protected]
Restricciones en el Universo de Auditoría
• Soberanía corporativa, vs. Disposiciones
legales. Las leyes en casos de seguridad
nacional o de interés publico, pueden restringir
actividades de auditoría e investigación forense.
• Y en ocasiones pueden incluso obligar a
realizar auditorías, revisiones o investigaciones,
que no estaban consideradas en el plan de la
empresa.
J.A. PEÑA IBARRA
[email protected]
Fronteras en el Universo de Auditoría
Fuente: ISACA´s “Transforming
J.A. PEÑA IBARRACybersecurity using COBIT 5”
[email protected]
CONTENIDO
1. Antecedentes
2. Que es la Ciberseguridad
3. Las tres líneas de defensa
4. El Universo de Auditoría
5. Metas de la Ciberseguridad y
objetivos de auditoría relacionados
6. Investigación Forense
29
J.A. PEÑA IBARRA
[email protected]
Metas de la Ciberseguridad y objetivos
de auditoría relacionados
– Los
objetivos
de
auditoría
para
ciberseguridad van desde revisiones de la
governanza
de
alto
nivel,
hasta
investigaciones técnicas profundas
• Se
deben
evaluar
las
amenazas,
vulnerabilidades y riesgos asociados.
J.A. PEÑA IBARRA
[email protected]
Metas de la Ciberseguridad y objetivos
de auditoría relacionados
– Los objetivos de auditoría se deben alinear
con las metas de cyberseguridad
• En la página siguiente se muestra la figura 47 del
capítulo 5 de “Transforming Cybersecurity using
COBIT 5”
J.A. PEÑA IBARRA
[email protected]
Metas de la Ciberseguridad y objetivos de auditoría
Source: Transforming Cybersecurity using COBIT 5, Cap 5, Fig 47
relacionados
J.A. PEÑA IBARRA
[email protected]
Metas de la Ciberseguridad y objetivos de auditoría
Source: Transforming Cybersecurity using COBIT 5, Cap 5, Fig 47
relacionados
J.A. PEÑA IBARRA
[email protected]
Metas de la Ciberseguridad y objetivos de auditoría
relacionados Source: Transforming Cybersecurity using COBIT 5, Cap 5, Fig 47
J.A. PEÑA IBARRA
[email protected]
CONTENIDO
1. Antecedentes
2. Que es la Ciberseguridad
3. Las tres líneas de defensa
4. El Universo de Auditoría
5. Metas de la Ciberseguridad y
objetivos de auditoría relacionados
6. Investigación Forense
35
J.A. PEÑA IBARRA
[email protected]
Investigación Forense
• En
el
contexto
de
la
auditoría,
investigaciones forenses relacionadas con la
Ciberseguridad, son una categoría especial
de revisiones.
• La investigación forense en auditoría, se
enfoca en una situación especifica.
J.A. PEÑA IBARRA
[email protected]
Diversos escenarios requieren
diferentes enfoques de Investigación
• Verificación de un incidente de
ciberseguridad.
• Análisis de la naturaleza, extensión y éxito de
un ataque.
• Investigación de ataques en proceso.
J.A. PEÑA IBARRA
[email protected]
Investigación Ex Post
– Si un ataque ha sido descubierto después de
que ha sido completado, los pasos de
auditoría cubren los niveles físico y lógico
• Los objetivos son establecer que ha pasado,
y asegurar la evidencia.
• Se debe congelar la infraestructura afectada,
lo mas que sea posible, y aislarla de la
interacción con otras partes.
(la operación puede afectar el seguimiento de la
investigación).
J.A. PEÑA IBARRA
[email protected]
Investigación en tiempo real
– Si un ataque ha sido descubierto mientras
está sucediendo, se deben tratar de
establecer:
• Identidad del atacante, la fuente y dirección
potencial de lo que se está haciendo, y la
“huella” o “footprint” que se está formando.
• Dependiendo de la complejidad del ataque,
algunas organizaciones pueden decidir no
contener inmediatamente el ataque, para
obtener mayor información del mismo.
J.A. PEÑA IBARRA
[email protected]
Resumen
• Mantener la ciberseguridad es vital para las
instituciones del sector financiero.
• Las tres líneas de defensa tienen
responsabilidades y tareas especificas cada
una, y deben trabajar coordinadamente
• Las revisiones de auditoría, tomarán como
una base principal el conocimiento de los
riesgos de ciberseguridad.
• Los objetivos de auditoría deben estar
alineados con las metas de la ciberseguridad
J.A. PEÑA IBARRA
[email protected]
Nota: Fuente principal de esta presentación
J.A. PEÑA IBARRA
[email protected]
¡Muchas Gracias
por su atención!
JOSÉ ÁNGEL PEÑA IBARRA
[email protected]
42
Related documents
hp-zeed-security - Fadrell Grupo Tecnológico
hp-zeed-security - Fadrell Grupo Tecnológico
Ciberataques Estamos Preparados
Ciberataques Estamos Preparados
Accenture - El estado de la ciberseguridad y la confianza en lo
Accenture - El estado de la ciberseguridad y la confianza en lo
Untitled
Untitled
Desarrollo de estrategias de ciberseguridad nacional y protección
Desarrollo de estrategias de ciberseguridad nacional y protección
Guía actualizada para futuros peritos informáticos. Últimas
Guía actualizada para futuros peritos informáticos. Últimas
programacion-2017-campamento-de-desarrollo-1024
programacion-2017-campamento-de-desarrollo-1024
Estado de la Gobernanza de Internet en El Salvador
Estado de la Gobernanza de Internet en El Salvador
estado del analisis forense digital en colombia diego alejandro
estado del analisis forense digital en colombia diego alejandro
Jun 24, 2014 12:19:28 PM - Tecnológico de Monterrey
Jun 24, 2014 12:19:28 PM - Tecnológico de Monterrey
Extrafinanciamiento en POS
Extrafinanciamiento en POS
NdP- Jornada cPPP Ciberseguridad plataforma eSEC
NdP- Jornada cPPP Ciberseguridad plataforma eSEC
comunicado de prensa con más de 500 participantes
comunicado de prensa con más de 500 participantes
HYPE México Media KIT
HYPE México Media KIT
Conferencia Internacional - IIA Colombia Instituto de Auditores
Conferencia Internacional - IIA Colombia Instituto de Auditores