29/10/2018

1

“Orden dada no supervisada no sirve para nada”

La auditoría de la ciberseguridad deinfraestructuras críticas como elemento clave

para la prevención

Gabriela Reynaga VargasCRISC, CISA, GRCP, COBIT 5 ACCREDITED TRAINER, CONSEJERA INDEPENDIENTE CERTIFICADA

CEO Holistics GRC

Member of ISACA Board of Directors

Member of the GFCE Advisory Board

29/10/2018

2

Las tres líneas de defensa

Encuesta de Benchmarking de Auditoría de TI 2018: ISACA & Protiviti

• La mayoría de los planes de auditoría para 2018 se han visto impactados por los temas de ciberseguridad.

• Una de cada cinco organizaciones no incluye la ciberseguridad en sus planes de auditoría

• La falta de recursos calificados: personas, habilidades y / o herramientas de auditoría.

Esas deficiencias deben abordarse con urgencia.

29/10/2018

3

Encuesta de benchmarking de auditoría de TI 2018La importancia creciente de la auditoría de TI

Al menos la mitad de todas las organizaciones encuestadas tienen un director de auditoría de TI dedicado

Reuniones periódicas con líderes empresariales:

• identificación oportuna del riesgo

• transmitir el valor de los equipos de auditoría

“El auditor es tu amigo”

¿Por qué auditamos?

Se debe proporcionar a los organismos de gobierno corporativo y a la alta dirección o a la autoridad un

aseguramiento comprensivo basado en el más alto nivel de independencia y objetividad dentro de la

organización.

29/10/2018

4

Gobierno corporativo

*Código de mejores prácticas del consejo coordinador empresarial

IT / OTAudit

Componentes de las Infraestructuras críticas

Proceso Infraestructura Gente

• Principios• Políticas• Marcos de

referencia• Cumplimiento

regulatorio

SCADA/ICS• PLC• HMI• DCS• RTU• Historian• Redes• Telecomm

• Board / Consejo / Autoridad

• Internos• Externos

29/10/2018

5

Proceso de auditoría de ciberseguridad basado enriesgos

Entrega de reportes

Evaluación de resultados

Ejecución de Pruebas

Diseño de pruebas

Entendimiento de los procesos /sistemas críticos / cumplimiento regularorio

Implementación de mejoras

Resultados más comunes

1. Mal diseño de las redes2. Administración relacionada a los ICS (documentación,

actualización, etc., SOPs)3. Falta de identificación de sistemas críticos4. Falta de Antivirus Integral5. Falta de planes de sucesión para la administración de los

sistemas6. Sistemas antiguos que no se pueden actualizar7. Falta de propiedad de la responsabilidad8. Uso de proveedores externos (Contratos, SLAs, OLAs)9. Seguridad de Datos y aplicaciones, respaldos10. Monitoreo, auditorías internas y externas

29/10/2018

6

¿En qué nos basamos?

LAS QUE APLIQUEN DE ACUERDO A:- SECTOR- PAIS- NORMAS

Perfil del auditor de ciberseguridad de Infraestructuras Críticas

- Hard skills- Riesgos

- Control Interno

- IT/OT

- Propósito de la organización

- Certificaciones aplicables

- Soft skills

29/10/2018

7

Las tres líneas de defensa

Un amigo es alguien que te dice lo que debes escuchar no lo que quieres escuchar

Ergo

“El auditor es tu amigo”

29/10/2018

8

Gabriela Reynaga VargasCRISC, CISA, GRCP, COBIT 5 F, COBIT 5 ACCREDITED TRAINER

Consejera Independiente Certificada CEO Holistics GRC

Member of ISACA Board of DirectorsMember of the GFCE Advisory Board

@gabyreynagagabriela.reynaga@holisticsgrc.com

+ 52 1 33 1247 9958