La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

AUDITORÍA Y REVISIÓN DE LA CIBERSEGURIDAD

Publicada porLorena Núñez Sánchez Modificado hace 8 años

Presentaciones similares

Presentación del tema: "AUDITORÍA Y REVISIÓN DE LA CIBERSEGURIDAD"— Transcripción de la presentación:

1 AUDITORÍA Y REVISIÓN DE LA CIBERSEGURIDAD
José Ángel PEÑA IBARRA CRISC, CGEIT, COBIT 5 Accredited Trainer CCISA-ALINTEC México

2 COBIT 5 Accredited Trainer
José Ángel Peña Ibarra Consultor internacional en Auditoria de TI, Gobierno, Gestión de riesgos y seguridad. Ha servido a clientes en México, Estados Unidos, España y varios países de Latinoamérica. Fue socio de PwC en México, a cargo de los servicios de consultoría al sector de comunicaciones e informática. Vicepresidente Internacional de ISACA  y del IT Governance Institute, del 2007 al 2011. CRISC, CGEIT, COBIT 5 Accredited Trainer CCISA-ALINTEC México

3 Explicar la definición de ciberseguridad.
Objetivos del conferencista: Sensibilizar sobre la importancia de los riesgos tecnológicos emergentes para el sector y para la profesión de auditoría. Explicar la definición de ciberseguridad. Hacer conciencia de la importancia que tiene el que Todos los auditores internos conozcan sobre los nuevos riesgos. Invitarlos a usar herramientas como las publicadas por ISACA.

4 Que es la Ciberseguridad Las tres líneas de defensa
Contenido Antecedentes Que es la Ciberseguridad Las tres líneas de defensa El Universo de Auditoría Metas de la Ciberseguridad y objetivos de auditoría relacionados Investigación Forense

5 Que es la Ciberseguridad ¿Cómo afecta al sector financiero?
Contenido Antecedentes Que es la Ciberseguridad ¿Cómo afecta al sector financiero? Las tres líneas de defensa El Universo de Auditoría Metas de la Ciberseguridad y objetivos de auditoría relacionados Investigación Forense

6 Ataques a la ciberseguridad
Antecedentes Ataques a la ciberseguridad pueden ser el próximo mayor escándalo en el sector bancario. James Titcomb, 2014 6

7 SECTOR OBJETIVO DE LOS CIBERATAQUES
La posición del sector financiero en el corazón de la economía, lo hace un objetivo particularmente atractivo. Sector Financiero

8 De las mayores preocupaciones para la próximos años:
Que los datos financieros de los clientes sean comprometidos a gran escala. Que los hackers tumben el sistema financiero.

9 Aspectos para considerar en el sector financiero:
Internet de las cosas Mayor dependencia en los dispositivos conectados Resiliencia vs seguridad Nuevos y más complejos riesgos

10 Internet de las Cosas (IoT)
Es una red gigante de “cosas” interconectadas. Esto incluye la relación de personas-personas personas-cosas cosas-cosas

11 comunicación “cosas con cosas”
SISTEMAS BANCARIOS La comunicación de dispositivos con otros dispositivos, sin intervención humana, INCREMENTA EXPONENCIALMENTE LOS RIESGOS

12 Historia Actual Modelo de 6 eras de negocio: Análogo Web E-Business
Mercadeo digital Nexus of Forces (mobile, social, cloud and information) Historia Actual Fuente: Gartner, "Hype Cycle for Emerging Technologies, 2014."

13 Modelo de 6 eras de negocio:
Plateau en 5-10 años más 5. Negocio digital Internet de las Cosas, difuminación de los mundos físico y virtual. Impresión en 3D causa un cambio disruptivo en la cadena de suminstro y manufactura. Moneda digital, “Cryptocurrencies” Fuente: Gartner, "Hype Cycle for Emerging Technologies, 2014."

14 Modelo de 6 eras de negocio:
Plateau en 10 años o más 6. Negocio autónomo Aprovechamiento de tecnologías con capacidades “humanlike” o “human-replacing”. Uso de vehículos autónomos para mover personas o productos. Uso de sistemas cognoscitivos para escribir textos o contestar a clientes. Fuente: Gartner, "Hype Cycle for Emerging Technologies, 2014."

15 Mayor dependencia en los dispositivos conectados
De acuerdo a Gartner, en el 2020 tendremos más de 26 mil millones de dispositivos conectados en la Red. Esto implica un nuevo esquema con muchos retos tecnológicos y operativos. Pero sobre todo, genera una alta dependencia.

16 Resiliencia versus Seguridad
Internet fue concebido pensando en la Resiliencia. No en la seguridad. Hasta ahora, los defensores han ganado la batalla e Internet sigue siendo un medio confiable. Tal vez estamos a una generación de tecnología disruptiva en la que los atacantes finalmente ganen. World Economic Forum, Global Risks 2014, Insight Report

17 Digital Uno de los Tres grandes riesgos en foco:
En el World Economic Forum Report 2014, se indican tres grandes riesgos que pueden afectar a nivel global en un horizonte de 10 años, y uno de ellos es el de: Desinte-gración Digital

18 Que es la Ciberseguridad
Contenido Antecedentes Que es la Ciberseguridad Las tres líneas de defensa El Universo de Auditoría Metas de la Ciberseguridad y objetivos de auditoría relacionados Investigación Forense 18

19 Que es Ciberseguridad Ciberseguridad incluye todo lo que protege a las organizaciones e individuos de ataques, brechas, e incidentes intencionales. La Ciberseguridad está alineada con la seguridad de la información, que trata toda clase de crímenes, y ataques oportunistas. La Ciberseguridad tiene foco en los Ataques Persistentes Avanzados Fuente: ISACA´s “Transforming Cybersecurity using COBIT 5”

20 Área de enfoque de la Ciberseguridad
Tipos de ataques Te atacan porque: No sofisticados Tienes una vulnerabilidad Sofisticados Tienes información de valor Espionaje Corporativo Alguien busca ganar dinero por tu propiedad intelectual Persistentes Avanzados Por lo que eres, haces o tienes. Fuente: ISACA´s “Transforming Cybersecurity using COBIT 5”

21 Las tres líneas de defensa
Contenido Antecedentes Que es la Ciberseguridad Las tres líneas de defensa El Universo de Auditoría Metas de la Ciberseguridad y objetivos de auditoría relacionados Investigación Forense 21

22 Esto se hace a través de tres líneas de defensa
Líneas de defensa de la Ciberseguridad La Ciberseguridad debe ser revisada frecuentemente, evaluando la efectividad y diseño de los controles Las revisiones incluyen un rango que va desde evaluaciones informales hasta auditorías completas de todos los arreglos de ciberseguridad de la empresa Esto se hace a través de tres líneas de defensa

23 Líneas de defensa de la Ciberseguridad
Tercera línea: Auditoría Interna Segunda línea: Administración de Riesgos Primera línea: Administración Pruebas de control interno Cumplimiento Ciberseguridad Investigaciones fórenses Evaluación formal de riesgos Análisis de impacto al negocio Riesgos emergentes Autoevaluaciones de control Pruebas de penetración Pruebas técnicas/funcionales Fuente: ISACA´s “Transforming Cybersecurity using COBIT 5”

24 El Universo de Auditoría
Contenido Antecedentes Que es la Ciberseguridad Las tres líneas de defensa El Universo de Auditoría Metas de la Ciberseguridad y objetivos de auditoría relacionados Investigación Forense 24

25 El Universo de Auditoría
El Universo de Auditoría incluye todos los conjuntos de controles, prácticas de auditoría y provisiones de GRC, a nivel empresa. En algunos casos, el Universo de Auditoría puede incluir partes de terceros, cuando contractualmente se definen privilegios de auditoría.

26 Restricciones en el Universo de Auditoría
Esfera de control corporativa vs. Esfera de control Privado: Uso de dispositivos privados y aplicaciones no estándares de la empresa, pueden estar protegidos por leyes de privacidad. Infraestructura interna de TI vs. Infraestructura externa de TI. En Home office, las actividades de auditoría están restringidas, también en el caso de algunos ISPs y proveedores de servicios de nube y tercerización.

27 Restricciones en el Universo de Auditoría
Soberanía corporativa, vs. Disposiciones legales. Las leyes en casos de seguridad nacional o de interés publico, pueden restringir actividades de auditoría e investigación forense. Y en ocasiones pueden incluso obligar a realizar auditorías, revisiones o investigaciones, que no estaban consideradas en el plan de la empresa.

28 Fronteras en el Universo de Auditoría
Fuente: ISACA´s “Transforming Cybersecurity using COBIT 5”

29 Metas de la Ciberseguridad y objetivos de auditoría relacionados
Contenido Antecedentes Que es la Ciberseguridad Las tres líneas de defensa El Universo de Auditoría Metas de la Ciberseguridad y objetivos de auditoría relacionados Investigación Forense 29

30 Metas de la Ciberseguridad y objetivos de auditoría relacionados
Los objetivos de auditoría para ciberseguridad van desde revisiones de la governanza de alto nivel, hasta investigaciones técnicas profundas Se deben evaluar las amenazas, vulnerabilidades y riesgos asociados.

31 Metas de la Ciberseguridad y objetivos de auditoría relacionados
Los objetivos de auditoría se deben alinear con las metas de cyberseguridad En la página siguiente se muestra la figura 47 del capítulo 5 de “Transforming Cybersecurity using COBIT 5”

32 Metas de la Ciberseguridad y objetivos de auditoría relacionados
Source: Transforming Cybersecurity using COBIT 5, Cap 5, Fig 47

33 Metas de la Ciberseguridad y objetivos de auditoría relacionados
Source: Transforming Cybersecurity using COBIT 5, Cap 5, Fig 47

34 Metas de la Ciberseguridad y objetivos de auditoría relacionados
Source: Transforming Cybersecurity using COBIT 5, Cap 5, Fig 47

35 Investigación Forense
Contenido Antecedentes Que es la Ciberseguridad Las tres líneas de defensa El Universo de Auditoría Metas de la Ciberseguridad y objetivos de auditoría relacionados Investigación Forense 35

36 Investigación Forense
En el contexto de la auditoría, investigaciones forenses relacionadas con la Ciberseguridad, son una categoría especial de revisiones. La investigación forense en auditoría, se enfoca en una situación especifica.

37 Diversos escenarios requieren diferentes enfoques de Investigación
Verificación de un incidente de ciberseguridad. Análisis de la naturaleza, extensión y éxito de un ataque. Investigación de ataques en proceso.

38 Investigación Ex Post Si un ataque ha sido descubierto después de que ha sido completado, los pasos de auditoría cubren los niveles físico y lógico Los objetivos son establecer que ha pasado, y asegurar la evidencia. Se debe congelar la infraestructura afectada, lo mas que sea posible, y aislarla de la interacción con otras partes. (la operación puede afectar el seguimiento de la investigación).

39 Investigación en tiempo real
Si un ataque ha sido descubierto mientras está sucediendo, se deben tratar de establecer: Identidad del atacante, la fuente y dirección potencial de lo que se está haciendo, y la “huella” o “footprint” que se está formando. Dependiendo de la complejidad del ataque, algunas organizaciones pueden decidir no contener inmediatamente el ataque, para obtener mayor información del mismo.

40 Resumen Mantener la ciberseguridad es vital para las instituciones del sector financiero. Las tres líneas de defensa tienen responsabilidades y tareas especificas cada una, y deben trabajar coordinadamente Las revisiones de auditoría, tomarán como una base principal el conocimiento de los riesgos de ciberseguridad. Los objetivos de auditoría deben estar alineados con las metas de la ciberseguridad

41 Nota: Fuente principal de esta presentación

42 ¡Muchas Gracias por su atención! JOSÉ ÁNGEL PEÑA IBARRA

Descargar ppt "AUDITORÍA Y REVISIÓN DE LA CIBERSEGURIDAD"

Presentaciones similares

Archivo de Publicaciones Periódicas Electrónicas.

Archivo de Publicaciones Periódicas Electrónicas.
COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.

COBIT INTEGRANTES : OLMARY GUTIERREZ LORENA MEDINA.
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
Control Interno Informático. Concepto

Control Interno Informático. Concepto
Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.

Herramientas y metodologías de éxito para el manejo de proyectos TIC: Caso PYME CREATIVA Noviembre 2008.
DESARROLLO DE LA CARRERA PROFESIONAL EN LAS ORGANIZACIONES

DESARROLLO DE LA CARRERA PROFESIONAL EN LAS ORGANIZACIONES
Comprimido ARCHIformativo

Comprimido ARCHIformativo
INSTITUTO TECNOLÓGICO de Chihuahua II ESPECIALIDADES Reunión de Trabajo Viernes 20 de Abril de 2012.

INSTITUTO TECNOLÓGICO de Chihuahua II ESPECIALIDADES Reunión de Trabajo Viernes 20 de Abril de 2012.
¿QUÉ ES LA ESTRATEGIA? La determinación de los objetivos y metas de largo plazo de una empresa, la adopción de cursos de acción, y la asignación de.

¿QUÉ ES LA ESTRATEGIA? La determinación de los objetivos y metas de largo plazo de una empresa, la adopción de cursos de acción, y la asignación de.
La auditoria ambiental bajo el enfoque de la ISO y 26000

La auditoria ambiental bajo el enfoque de la ISO y 26000
Organizaciones, administración y la empresa en red.

Organizaciones, administración y la empresa en red.
Segunda Jornada Nacional de Seguridad Informática ACIS 2002

Segunda Jornada Nacional de Seguridad Informática ACIS 2002
GOBERNABILIDAD DE PROYECTOS

GOBERNABILIDAD DE PROYECTOS
Medición, Análisis y Mejora

Medición, Análisis y Mejora
AUDITORIA DE SISTEMAS DE INFORMACIÓN

AUDITORIA DE SISTEMAS DE INFORMACIÓN
medio INterno de las empresas

medio INterno de las empresas
NIA 240 EQUIPO #3 NUÑEZ JIMENES JOSE GUADALPE

NIA 240 EQUIPO #3 NUÑEZ JIMENES JOSE GUADALPE
De la Industria Maquiladora de Exportación en México

De la Industria Maquiladora de Exportación en México
Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.

Electivo Integración Normas de Calidad, Seguridad, Medio Ambiente y Riesgos en la Gestión de la Empresa. Profesor : Fernando Vargas Gálvez Ingeniero Civil.
GESTION NIVELES DE SERVICIO.

GESTION NIVELES DE SERVICIO.

Presentaciones similares

Anuncios Google