AUDITORÍA Y REVISIÓN DE LA CIBERSEGURIDAD José Ángel PEÑA IBARRA CRISC, CGEIT, COBIT 5 Accredited Trainer CCISA-ALINTEC México japi@ccisa.com.mx

COBIT 5 Accredited Trainer José Ángel Peña Ibarra Consultor internacional en Auditoria de TI, Gobierno, Gestión de riesgos y seguridad. Ha servido a clientes en México, Estados Unidos, España y varios países de Latinoamérica. Fue socio de PwC en México, a cargo de los servicios de consultoría al sector de comunicaciones e informática. Vicepresidente Internacional de ISACA  y del IT Governance Institute, del 2007 al 2011. CRISC, CGEIT, COBIT 5 Accredited Trainer CCISA-ALINTEC México japi@ccisa.com.mx

Explicar la definición de ciberseguridad. Objetivos del conferencista: Sensibilizar sobre la importancia de los riesgos tecnológicos emergentes para el sector y para la profesión de auditoría. Explicar la definición de ciberseguridad. Hacer conciencia de la importancia que tiene el que Todos los auditores internos conozcan sobre los nuevos riesgos. Invitarlos a usar herramientas como las publicadas por ISACA.

Que es la Ciberseguridad Las tres líneas de defensa Contenido Antecedentes Que es la Ciberseguridad Las tres líneas de defensa El Universo de Auditoría Metas de la Ciberseguridad y objetivos de auditoría relacionados Investigación Forense

Que es la Ciberseguridad ¿Cómo afecta al sector financiero? Contenido Antecedentes Que es la Ciberseguridad ¿Cómo afecta al sector financiero? Las tres líneas de defensa El Universo de Auditoría Metas de la Ciberseguridad y objetivos de auditoría relacionados Investigación Forense

Ataques a la ciberseguridad Antecedentes Ataques a la ciberseguridad pueden ser el próximo mayor escándalo en el sector bancario. James Titcomb, 2014 6

SECTOR OBJETIVO DE LOS CIBERATAQUES La posición del sector financiero en el corazón de la economía, lo hace un objetivo particularmente atractivo. Sector Financiero

De las mayores preocupaciones para la próximos años: Que los datos financieros de los clientes sean comprometidos a gran escala. Que los hackers tumben el sistema financiero.

Aspectos para considerar en el sector financiero: Internet de las cosas Mayor dependencia en los dispositivos conectados Resiliencia vs seguridad Nuevos y más complejos riesgos

Internet de las Cosas (IoT) Es una red gigante de “cosas” interconectadas. Esto incluye la relación de personas-personas personas-cosas cosas-cosas

comunicación “cosas con cosas” SISTEMAS BANCARIOS La comunicación de dispositivos con otros dispositivos, sin intervención humana, INCREMENTA EXPONENCIALMENTE LOS RIESGOS

Historia Actual Modelo de 6 eras de negocio: Análogo Web E-Business Mercadeo digital Nexus of Forces (mobile, social, cloud and information) Historia Actual Fuente: Gartner, "Hype Cycle for Emerging Technologies, 2014."

Modelo de 6 eras de negocio: Plateau en 5-10 años más 5. Negocio digital Internet de las Cosas, difuminación de los mundos físico y virtual. Impresión en 3D causa un cambio disruptivo en la cadena de suminstro y manufactura. Moneda digital, “Cryptocurrencies” Fuente: Gartner, "Hype Cycle for Emerging Technologies, 2014."

Modelo de 6 eras de negocio: Plateau en 10 años o más 6. Negocio autónomo Aprovechamiento de tecnologías con capacidades “humanlike” o “human-replacing”. Uso de vehículos autónomos para mover personas o productos. Uso de sistemas cognoscitivos para escribir textos o contestar a clientes. Fuente: Gartner, "Hype Cycle for Emerging Technologies, 2014."

Mayor dependencia en los dispositivos conectados De acuerdo a Gartner, en el 2020 tendremos más de 26 mil millones de dispositivos conectados en la Red. Esto implica un nuevo esquema con muchos retos tecnológicos y operativos. Pero sobre todo, genera una alta dependencia.

Resiliencia versus Seguridad Internet fue concebido pensando en la Resiliencia. No en la seguridad. Hasta ahora, los defensores han ganado la batalla e Internet sigue siendo un medio confiable. Tal vez estamos a una generación de tecnología disruptiva en la que los atacantes finalmente ganen. World Economic Forum, Global Risks 2014, Insight Report

Digital Uno de los Tres grandes riesgos en foco: En el World Economic Forum Report 2014, se indican tres grandes riesgos que pueden afectar a nivel global en un horizonte de 10 años, y uno de ellos es el de: Desinte-gración Digital

Que es la Ciberseguridad Contenido Antecedentes Que es la Ciberseguridad Las tres líneas de defensa El Universo de Auditoría Metas de la Ciberseguridad y objetivos de auditoría relacionados Investigación Forense 18

Que es Ciberseguridad Ciberseguridad incluye todo lo que protege a las organizaciones e individuos de ataques, brechas, e incidentes intencionales. La Ciberseguridad está alineada con la seguridad de la información, que trata toda clase de crímenes, y ataques oportunistas. La Ciberseguridad tiene foco en los Ataques Persistentes Avanzados Fuente: ISACA´s “Transforming Cybersecurity using COBIT 5”

Área de enfoque de la Ciberseguridad Tipos de ataques Te atacan porque: No sofisticados Tienes una vulnerabilidad Sofisticados Tienes información de valor Espionaje Corporativo Alguien busca ganar dinero por tu propiedad intelectual Persistentes Avanzados Por lo que eres, haces o tienes. Fuente: ISACA´s “Transforming Cybersecurity using COBIT 5”

Las tres líneas de defensa Contenido Antecedentes Que es la Ciberseguridad Las tres líneas de defensa El Universo de Auditoría Metas de la Ciberseguridad y objetivos de auditoría relacionados Investigación Forense 21

Esto se hace a través de tres líneas de defensa Líneas de defensa de la Ciberseguridad La Ciberseguridad debe ser revisada frecuentemente, evaluando la efectividad y diseño de los controles Las revisiones incluyen un rango que va desde evaluaciones informales hasta auditorías completas de todos los arreglos de ciberseguridad de la empresa Esto se hace a través de tres líneas de defensa

Líneas de defensa de la Ciberseguridad Tercera línea: Auditoría Interna Segunda línea: Administración de Riesgos Primera línea: Administración Pruebas de control interno Cumplimiento Ciberseguridad Investigaciones fórenses Evaluación formal de riesgos Análisis de impacto al negocio Riesgos emergentes Autoevaluaciones de control Pruebas de penetración Pruebas técnicas/funcionales Fuente: ISACA´s “Transforming Cybersecurity using COBIT 5”

El Universo de Auditoría Contenido Antecedentes Que es la Ciberseguridad Las tres líneas de defensa El Universo de Auditoría Metas de la Ciberseguridad y objetivos de auditoría relacionados Investigación Forense 24

El Universo de Auditoría El Universo de Auditoría incluye todos los conjuntos de controles, prácticas de auditoría y provisiones de GRC, a nivel empresa. En algunos casos, el Universo de Auditoría puede incluir partes de terceros, cuando contractualmente se definen privilegios de auditoría.

Restricciones en el Universo de Auditoría Esfera de control corporativa vs. Esfera de control Privado: Uso de dispositivos privados y aplicaciones no estándares de la empresa, pueden estar protegidos por leyes de privacidad. Infraestructura interna de TI vs. Infraestructura externa de TI. En Home office, las actividades de auditoría están restringidas, también en el caso de algunos ISPs y proveedores de servicios de nube y tercerización.

Restricciones en el Universo de Auditoría Soberanía corporativa, vs. Disposiciones legales. Las leyes en casos de seguridad nacional o de interés publico, pueden restringir actividades de auditoría e investigación forense. Y en ocasiones pueden incluso obligar a realizar auditorías, revisiones o investigaciones, que no estaban consideradas en el plan de la empresa.

Fronteras en el Universo de Auditoría Fuente: ISACA´s “Transforming Cybersecurity using COBIT 5”

Metas de la Ciberseguridad y objetivos de auditoría relacionados Contenido Antecedentes Que es la Ciberseguridad Las tres líneas de defensa El Universo de Auditoría Metas de la Ciberseguridad y objetivos de auditoría relacionados Investigación Forense 29

Metas de la Ciberseguridad y objetivos de auditoría relacionados Los objetivos de auditoría para ciberseguridad van desde revisiones de la governanza de alto nivel, hasta investigaciones técnicas profundas Se deben evaluar las amenazas, vulnerabilidades y riesgos asociados.

Metas de la Ciberseguridad y objetivos de auditoría relacionados Los objetivos de auditoría se deben alinear con las metas de cyberseguridad En la página siguiente se muestra la figura 47 del capítulo 5 de “Transforming Cybersecurity using COBIT 5”

Metas de la Ciberseguridad y objetivos de auditoría relacionados Source: Transforming Cybersecurity using COBIT 5, Cap 5, Fig 47

Metas de la Ciberseguridad y objetivos de auditoría relacionados Source: Transforming Cybersecurity using COBIT 5, Cap 5, Fig 47

Metas de la Ciberseguridad y objetivos de auditoría relacionados Source: Transforming Cybersecurity using COBIT 5, Cap 5, Fig 47

Investigación Forense Contenido Antecedentes Que es la Ciberseguridad Las tres líneas de defensa El Universo de Auditoría Metas de la Ciberseguridad y objetivos de auditoría relacionados Investigación Forense 35

Investigación Forense En el contexto de la auditoría, investigaciones forenses relacionadas con la Ciberseguridad, son una categoría especial de revisiones. La investigación forense en auditoría, se enfoca en una situación especifica.

Diversos escenarios requieren diferentes enfoques de Investigación Verificación de un incidente de ciberseguridad. Análisis de la naturaleza, extensión y éxito de un ataque. Investigación de ataques en proceso.

Investigación Ex Post Si un ataque ha sido descubierto después de que ha sido completado, los pasos de auditoría cubren los niveles físico y lógico Los objetivos son establecer que ha pasado, y asegurar la evidencia. Se debe congelar la infraestructura afectada, lo mas que sea posible, y aislarla de la interacción con otras partes. (la operación puede afectar el seguimiento de la investigación).

Investigación en tiempo real Si un ataque ha sido descubierto mientras está sucediendo, se deben tratar de establecer: Identidad del atacante, la fuente y dirección potencial de lo que se está haciendo, y la “huella” o “footprint” que se está formando. Dependiendo de la complejidad del ataque, algunas organizaciones pueden decidir no contener inmediatamente el ataque, para obtener mayor información del mismo.

Resumen Mantener la ciberseguridad es vital para las instituciones del sector financiero. Las tres líneas de defensa tienen responsabilidades y tareas especificas cada una, y deben trabajar coordinadamente Las revisiones de auditoría, tomarán como una base principal el conocimiento de los riesgos de ciberseguridad. Los objetivos de auditoría deben estar alineados con las metas de la ciberseguridad

Nota: Fuente principal de esta presentación

¡Muchas Gracias por su atención! JOSÉ ÁNGEL PEÑA IBARRA japi@ccisa.com.mx