AUDITORÍA Y REVISIÓN DE LA CIBERSEGURIDAD José Ángel PEÑA IBARRA CRISC, CGEIT, COBIT 5...

AUDITORÍA Y REVISIÓN DE LA CIBERSEGURIDAD

José Ángel PEÑA IBARRACRISC, CGEIT, COBIT 5 Accredited Trainer

CCISA-ALINTEC Mé[email protected]

José Ángel Peña Ibarra– Consultor internacional en Auditoria

de TI, Gobierno, Gestión de riesgos y seguridad.

– Ha servido a clientes en México, Estados Unidos, España y varios países de Latinoamérica.

– Fue socio de PwC en México, a cargo de los servicios de consultoría al sector de comunicaciones e informática.

– Vicepresidente Internacional de ISACA y del IT Governance Institute, del 2007 al 2011.

2

CRISC, CGEIT, COBIT 5 Accredited Trainer

CCISA-ALINTEC Mé[email protected]

J.A. PEÑA [email protected]

OBJETIVOS DEL CONFERENCISTA:– Sensibilizar sobre la importancia de los riesgos

tecnológicos emergentes para el sector y para la profesión de auditoría.

– Explicar la definición de ciberseguridad.

– Hacer conciencia de la importancia que tiene el que Todos los auditores internos conozcan sobre los nuevos riesgos.

– Invitarlos a usar herramientas como las publicadas por ISACA.

3


1. Antecedentes

2. Que es la Ciberseguridad

3. Las tres líneas de defensa

4. El Universo de Auditoría

5. Metas de la Ciberseguridad y

objetivos de auditoría relacionados

6. Investigación Forense

CONTENIDO


1. Antecedentes


3. ¿Cómo afecta al sector financiero?






CONTENIDO


pueden ser el próximo mayor escándalo en el sector bancario.

6

Ataques a la ciberseguridad

Antecedentes

James Titcomb, 2014

6


SECTOR OBJETIVO DE LOS CIBERATAQUES

– La posición del sector financiero en el corazón de la economía, lo hace un objetivo particularmente atractivo.

7

Sector Financiero


- Que los datos financieros de los clientes sean comprometidos a gran escala.

- Que los hackers tumben el sistema financiero.

8

De las mayores preocupaciones para la próximos años:


Internet de las cosas

Mayor dependencia en los dispositivos

conectados

Resiliencia vs seguridad

Nuevos y más complejos

riesgos

Aspectos para considerar en el sector financiero:


Internet de las Cosas (IoT)


La comunicación de dispositivoscon otros dispositivos, sin intervenciónhumana,INCREMENTA EXPONENCIALMENTELOS RIESGOS

11

comunicación “cosas con cosas”

SISTEMASBANCARIOS

http://www.google.com.mx/url?sa=i&rct=j&q=&esrc=s&frm=1&source=images&cd=&cad=rja&uact=8&ved=0CAcQjRw&url=http://www.telemundo47.com/fotos/fotos-de-la-evolucion-del-telefono-celular-movil-270787821.html&ei=3gZIVZCJIITFsAWd9ICgBQ&bvm=bv.92291466,d.b2w&psig=AFQjCNEigzgm6hcRa9gaGFTZzDrobR-yVQ&ust=1430870096229752


1. Análogo

2. Web

3. E-Business

4. Mercadeo digital• Nexus of Forces (mobile, social, cloud and

information)

Modelo de 6 eras de negocio:

Fuente: Gartner, "Hype Cycle for Emerging Technologies, 2014."

Historia

Actual


5. Negocio digital• Internet de las Cosas, difuminación de los

mundos físico y virtual.• Impresión en 3D causa un cambio

disruptivo en la cadena de suminstro y manufactura.

• Moneda digital, “Cryptocurrencies”


Plateau en5-10 años más



6. Negocio autónomo• Aprovechamiento de tecnologías con

capacidades “humanlike” o “human-replacing”.

• Uso de vehículos autónomos para mover personas o productos.

• Uso de sistemas cognoscitivos para escribir textos o contestar a clientes.


Plateau en10 años o más



De acuerdo a Gartner, en el 2020 tendremos más de 26 mil millones de dispositivos conectados en la Red.

Mayor dependencia en los dispositivos conectados

Esto implica un nuevo esquema con muchos retos tecnológicos y operativos.

Pero sobre todo, genera una alta dependencia.


Internet fue concebido pensando en la Resiliencia.

Resiliencia versus Seguridad

No en la seguridad.

Hasta ahora, los defensores han ganado la batalla e Internet sigue siendo un medio confiable.

Tal vez estamos a una generación de tecnología disruptiva en la que los atacantes finalmente ganen.World Economic Forum, Global Risks 2014, Insight Report


En el World Economic Forum Report 2014, se indican tres grandes riesgos que pueden afectar a nivel global en un horizonte de 10 años, y uno de ellos es el de:

Uno de los Tres grandes riesgos en foco:

Desinte-gración

Digital


1. Antecedentes







CONTENIDO

18


Ciberseguridad incluye todo lo que protege a las organizaciones e individuos de ataques, brechas, e incidentes intencionales.

La Ciberseguridad está alineada con la seguridad de la información, que trata toda clase de crímenes, y ataques oportunistas.

La Ciberseguridad tiene foco en los Ataques Persistentes Avanzados

Que es Ciberseguridad

Fuente: ISACA´s “Transforming Cybersecurity using COBIT 5”


•Tienes una vulnerabilidadNo sofisticados

•Tienes información de valorSofisticados•Alguien busca ganar dinero por tu propiedad intelectual

Espionaje Corporativo

•Por lo que eres, haces o tienes. Persistentes Avanzados

Tipos de ataques Te atacan porque:

Área de enfoque de la Ciberseguridad



1. Antecedentes







CONTENIDO

21


– La Ciberseguridad debe ser revisada frecuentemente, evaluando la efectividad y diseño de los controles

• Las revisiones incluyen un rango que va desde evaluaciones informales hasta auditorías completas de todos los arreglos de ciberseguridad de la empresa

• Esto se hace a través de tres líneas de defensa

Líneas de defensa de la Ciberseguridad


Tercera línea: Auditoría Interna

Segunda línea: Administración de Riesgos

Primera línea: Administració

n

23

Líneas de defensa de la Ciberseguridad

• Pruebas de control interno• Cumplimiento Ciberseguridad• Investigaciones fórenses

• Evaluación formal de riesgos• Análisis de impacto al negocio• Riesgos emergentes

• Autoevaluaciones de control• Pruebas de penetración• Pruebas técnicas/funcionales



1. Antecedentes







CONTENIDO

24


– El Universo de Auditoría incluye todos los conjuntos de controles, prácticas de auditoría y provisiones de GRC, a nivel empresa.

• En algunos casos, el Universo de Auditoría puede incluir partes de terceros, cuando contractualmente se definen privilegios de auditoría.

El Universo de Auditoría


– Esfera de control corporativa vs. Esfera de control Privado: Uso de dispositivos privados y aplicaciones no estándares de la empresa, pueden estar protegidos por leyes de privacidad.

• Infraestructura interna de TI vs. Infraestructura externa de TI. En Home office, las actividades de auditoría están restringidas, también en el caso de algunos ISPs y proveedores de servicios de nube y tercerización.

Restricciones en el Universo de Auditoría


Restricciones en el Universo de Auditoría

• Soberanía corporativa, vs. Disposiciones legales. Las leyes en casos de seguridad nacional o de interés publico, pueden restringir actividades de auditoría e investigación forense.

• Y en ocasiones pueden incluso obligar a realizar auditorías, revisiones o investigaciones, que no estaban consideradas en el plan de la empresa.


Fronteras en el Universo de Auditoría



1. Antecedentes







CONTENIDO

29


– Los objetivos de auditoría para ciberseguridad van desde revisiones de la governanza de alto nivel, hasta investigaciones técnicas profundas

• Se deben evaluar las amenazas, vulnerabilidades y riesgos asociados.

Metas de la Ciberseguridad y objetivos de auditoría relacionados


– Los objetivos de auditoría se deben alinear con las metas de cyberseguridad

Metas de la Ciberseguridad y objetivos de auditoría relacionados

• En la página siguiente se muestra la figura 47 del capítulo 5 de “Transforming Cybersecurity using COBIT 5”


Metas de la Ciberseguridad y objetivos de auditoría relacionados Source: Transforming Cybersecurity using COBIT 5, Cap 5, Fig 47


Metas de la Ciberseguridad y objetivos de auditoría relacionadosSource: Transforming Cybersecurity using COBIT 5, Cap 5, Fig 47


1. Antecedentes







CONTENIDO

35


• En el contexto de la auditoría, investigaciones forenses relacionadas con la Ciberseguridad, son una categoría especial de revisiones.

• La investigación forense en auditoría, se enfoca en una situación especifica.

Investigación Forense

https://revistadigitalmontemayor.wordpress.com/2011/11/10/intranet-corporativa-la-herramienta-de-centralizacion-de-informacion/


• Verificación de un incidente de ciberseguridad.

• Análisis de la naturaleza, extensión y éxito de un ataque.

Diversos escenarios requieren diferentes enfoques de Investigación

• Investigación de ataques en proceso.


– Si un ataque ha sido descubierto después de que ha sido completado, los pasos de auditoría cubren los niveles físico y lógico

• Los objetivos son establecer que ha pasado, y asegurar la evidencia.

Investigación Ex Post

• Se debe congelar la infraestructura afectada, lo mas que sea posible, y aislarla de la interacción con otras partes.

(la operación puede afectar el seguimiento de la investigación).


– Si un ataque ha sido descubierto mientras está sucediendo, se deben tratar de establecer:

• Identidad del atacante, la fuente y dirección potencial de lo que se está haciendo, y la “huella” o “footprint” que se está formando.

Investigación en tiempo real

• Dependiendo de la complejidad del ataque, algunas organizaciones pueden decidir no contener inmediatamente el ataque, para obtener mayor información del mismo.


• Mantener la ciberseguridad es vital para las instituciones del sector financiero.

• Las tres líneas de defensa tienen responsabilidades y tareas especificas cada una, y deben trabajar coordinadamente

Resumen

• Las revisiones de auditoría, tomarán como una base principal el conocimiento de los riesgos de ciberseguridad.

• Los objetivos de auditoría deben estar alineados con las metas de la ciberseguridad


Nota: Fuente principal de esta presentación

42

¡Muchas Gracias por su atención!

JOSÉ ÁNGEL PEÑA [email protected]

AUDITORÍA Y REVISIÓN DE LA CIBERSEGURIDAD José Ángel PEÑA IBARRA CRISC, CGEIT, COBIT 5...

Documents

Transcript of AUDITORÍA Y REVISIÓN DE LA CIBERSEGURIDAD José Ángel PEÑA IBARRA CRISC, CGEIT, COBIT 5...