AUDITORÍA Y REVISIÓN DE LA CIBERSEGURIDAD
José Ángel PEÑA IBARRACRISC, CGEIT, COBIT 5 Accredited Trainer
CCISA-ALINTEC Mé[email protected]
José Ángel Peña Ibarra– Consultor internacional en Auditoria
de TI, Gobierno, Gestión de riesgos y seguridad.
– Ha servido a clientes en México, Estados Unidos, España y varios países de Latinoamérica.
– Fue socio de PwC en México, a cargo de los servicios de consultoría al sector de comunicaciones e informática.
– Vicepresidente Internacional de ISACA y del IT Governance Institute, del 2007 al 2011.
2
CRISC, CGEIT, COBIT 5 Accredited Trainer
CCISA-ALINTEC Mé[email protected]
J.A. PEÑA [email protected]
OBJETIVOS DEL CONFERENCISTA:– Sensibilizar sobre la importancia de los riesgos
tecnológicos emergentes para el sector y para la profesión de auditoría.
– Explicar la definición de ciberseguridad.
– Hacer conciencia de la importancia que tiene el que Todos los auditores internos conozcan sobre los nuevos riesgos.
– Invitarlos a usar herramientas como las publicadas por ISACA.
3
J.A. PEÑA [email protected]
1. Antecedentes
2. Que es la Ciberseguridad
3. Las tres líneas de defensa
4. El Universo de Auditoría
5. Metas de la Ciberseguridad y
objetivos de auditoría relacionados
6. Investigación Forense
CONTENIDO
J.A. PEÑA [email protected]
1. Antecedentes
2. Que es la Ciberseguridad
3. ¿Cómo afecta al sector financiero?
4. Las tres líneas de defensa
5. El Universo de Auditoría
6. Metas de la Ciberseguridad y
objetivos de auditoría relacionados
7. Investigación Forense
CONTENIDO
J.A. PEÑA [email protected]
pueden ser el próximo mayor escándalo en el sector bancario.
6
Ataques a la ciberseguridad
Antecedentes
James Titcomb, 2014
6
J.A. PEÑA [email protected]
SECTOR OBJETIVO DE LOS CIBERATAQUES
– La posición del sector financiero en el corazón de la economía, lo hace un objetivo particularmente atractivo.
7
Sector Financiero
J.A. PEÑA [email protected]
- Que los datos financieros de los clientes sean comprometidos a gran escala.
- Que los hackers tumben el sistema financiero.
8
De las mayores preocupaciones para la próximos años:
J.A. PEÑA [email protected]
Internet de las cosas
Mayor dependencia en los dispositivos
conectados
Resiliencia vs seguridad
Nuevos y más complejos
riesgos
Aspectos para considerar en el sector financiero:
J.A. PEÑA [email protected]
Internet de las Cosas (IoT)
J.A. PEÑA [email protected]
La comunicación de dispositivoscon otros dispositivos, sin intervenciónhumana,INCREMENTA EXPONENCIALMENTELOS RIESGOS
11
comunicación “cosas con cosas”
SISTEMASBANCARIOS
J.A. PEÑA [email protected]
1. Análogo
2. Web
3. E-Business
4. Mercadeo digital• Nexus of Forces (mobile, social, cloud and
information)
Modelo de 6 eras de negocio:
Fuente: Gartner, "Hype Cycle for Emerging Technologies, 2014."
Historia
Actual
J.A. PEÑA [email protected]
5. Negocio digital• Internet de las Cosas, difuminación de los
mundos físico y virtual.• Impresión en 3D causa un cambio
disruptivo en la cadena de suminstro y manufactura.
• Moneda digital, “Cryptocurrencies”
Modelo de 6 eras de negocio:
Plateau en5-10 años más
Fuente: Gartner, "Hype Cycle for Emerging Technologies, 2014."
J.A. PEÑA [email protected]
6. Negocio autónomo• Aprovechamiento de tecnologías con
capacidades “humanlike” o “human-replacing”.
• Uso de vehículos autónomos para mover personas o productos.
• Uso de sistemas cognoscitivos para escribir textos o contestar a clientes.
Modelo de 6 eras de negocio:
Plateau en10 años o más
Fuente: Gartner, "Hype Cycle for Emerging Technologies, 2014."
J.A. PEÑA [email protected]
De acuerdo a Gartner, en el 2020 tendremos más de 26 mil millones de dispositivos conectados en la Red.
Mayor dependencia en los dispositivos conectados
Esto implica un nuevo esquema con muchos retos tecnológicos y operativos.
Pero sobre todo, genera una alta dependencia.
J.A. PEÑA [email protected]
Internet fue concebido pensando en la Resiliencia.
Resiliencia versus Seguridad
No en la seguridad.
Hasta ahora, los defensores han ganado la batalla e Internet sigue siendo un medio confiable.
Tal vez estamos a una generación de tecnología disruptiva en la que los atacantes finalmente ganen.World Economic Forum, Global Risks 2014, Insight Report
J.A. PEÑA [email protected]
En el World Economic Forum Report 2014, se indican tres grandes riesgos que pueden afectar a nivel global en un horizonte de 10 años, y uno de ellos es el de:
Uno de los Tres grandes riesgos en foco:
Desinte-gración
Digital
J.A. PEÑA [email protected]
1. Antecedentes
2. Que es la Ciberseguridad
3. Las tres líneas de defensa
4. El Universo de Auditoría
5. Metas de la Ciberseguridad y
objetivos de auditoría relacionados
6. Investigación Forense
CONTENIDO
18
J.A. PEÑA [email protected]
Ciberseguridad incluye todo lo que protege a las organizaciones e individuos de ataques, brechas, e incidentes intencionales.
La Ciberseguridad está alineada con la seguridad de la información, que trata toda clase de crímenes, y ataques oportunistas.
La Ciberseguridad tiene foco en los Ataques Persistentes Avanzados
Que es Ciberseguridad
Fuente: ISACA´s “Transforming Cybersecurity using COBIT 5”
J.A. PEÑA [email protected]
•Tienes una vulnerabilidadNo sofisticados
•Tienes información de valorSofisticados•Alguien busca ganar dinero por tu propiedad intelectual
Espionaje Corporativo
•Por lo que eres, haces o tienes. Persistentes Avanzados
Tipos de ataques Te atacan porque:
Área de enfoque de la Ciberseguridad
Fuente: ISACA´s “Transforming Cybersecurity using COBIT 5”
J.A. PEÑA [email protected]
1. Antecedentes
2. Que es la Ciberseguridad
3. Las tres líneas de defensa
4. El Universo de Auditoría
5. Metas de la Ciberseguridad y
objetivos de auditoría relacionados
6. Investigación Forense
CONTENIDO
21
J.A. PEÑA [email protected]
– La Ciberseguridad debe ser revisada frecuentemente, evaluando la efectividad y diseño de los controles
• Las revisiones incluyen un rango que va desde evaluaciones informales hasta auditorías completas de todos los arreglos de ciberseguridad de la empresa
• Esto se hace a través de tres líneas de defensa
Líneas de defensa de la Ciberseguridad
J.A. PEÑA [email protected]
Tercera línea: Auditoría Interna
Segunda línea: Administración de Riesgos
Primera línea: Administració
n
23
Líneas de defensa de la Ciberseguridad
• Pruebas de control interno• Cumplimiento Ciberseguridad• Investigaciones fórenses
• Evaluación formal de riesgos• Análisis de impacto al negocio• Riesgos emergentes
• Autoevaluaciones de control• Pruebas de penetración• Pruebas técnicas/funcionales
Fuente: ISACA´s “Transforming Cybersecurity using COBIT 5”
J.A. PEÑA [email protected]
1. Antecedentes
2. Que es la Ciberseguridad
3. Las tres líneas de defensa
4. El Universo de Auditoría
5. Metas de la Ciberseguridad y
objetivos de auditoría relacionados
6. Investigación Forense
CONTENIDO
24
J.A. PEÑA [email protected]
– El Universo de Auditoría incluye todos los conjuntos de controles, prácticas de auditoría y provisiones de GRC, a nivel empresa.
• En algunos casos, el Universo de Auditoría puede incluir partes de terceros, cuando contractualmente se definen privilegios de auditoría.
El Universo de Auditoría
J.A. PEÑA [email protected]
– Esfera de control corporativa vs. Esfera de control Privado: Uso de dispositivos privados y aplicaciones no estándares de la empresa, pueden estar protegidos por leyes de privacidad.
• Infraestructura interna de TI vs. Infraestructura externa de TI. En Home office, las actividades de auditoría están restringidas, también en el caso de algunos ISPs y proveedores de servicios de nube y tercerización.
Restricciones en el Universo de Auditoría
J.A. PEÑA [email protected]
Restricciones en el Universo de Auditoría
• Soberanía corporativa, vs. Disposiciones legales. Las leyes en casos de seguridad nacional o de interés publico, pueden restringir actividades de auditoría e investigación forense.
• Y en ocasiones pueden incluso obligar a realizar auditorías, revisiones o investigaciones, que no estaban consideradas en el plan de la empresa.
J.A. PEÑA [email protected]
Fronteras en el Universo de Auditoría
Fuente: ISACA´s “Transforming Cybersecurity using COBIT 5”
J.A. PEÑA [email protected]
1. Antecedentes
2. Que es la Ciberseguridad
3. Las tres líneas de defensa
4. El Universo de Auditoría
5. Metas de la Ciberseguridad y
objetivos de auditoría relacionados
6. Investigación Forense
CONTENIDO
29
J.A. PEÑA [email protected]
– Los objetivos de auditoría para ciberseguridad van desde revisiones de la governanza de alto nivel, hasta investigaciones técnicas profundas
• Se deben evaluar las amenazas, vulnerabilidades y riesgos asociados.
Metas de la Ciberseguridad y objetivos de auditoría relacionados
J.A. PEÑA [email protected]
– Los objetivos de auditoría se deben alinear con las metas de cyberseguridad
Metas de la Ciberseguridad y objetivos de auditoría relacionados
• En la página siguiente se muestra la figura 47 del capítulo 5 de “Transforming Cybersecurity using COBIT 5”
J.A. PEÑA [email protected]
Metas de la Ciberseguridad y objetivos de auditoría relacionados Source: Transforming Cybersecurity using COBIT 5, Cap 5, Fig 47
J.A. PEÑA [email protected]
Metas de la Ciberseguridad y objetivos de auditoría relacionados Source: Transforming Cybersecurity using COBIT 5, Cap 5, Fig 47
J.A. PEÑA [email protected]
Metas de la Ciberseguridad y objetivos de auditoría relacionadosSource: Transforming Cybersecurity using COBIT 5, Cap 5, Fig 47
J.A. PEÑA [email protected]
1. Antecedentes
2. Que es la Ciberseguridad
3. Las tres líneas de defensa
4. El Universo de Auditoría
5. Metas de la Ciberseguridad y
objetivos de auditoría relacionados
6. Investigación Forense
CONTENIDO
35
J.A. PEÑA [email protected]
• En el contexto de la auditoría, investigaciones forenses relacionadas con la Ciberseguridad, son una categoría especial de revisiones.
• La investigación forense en auditoría, se enfoca en una situación especifica.
Investigación Forense
J.A. PEÑA [email protected]
• Verificación de un incidente de ciberseguridad.
• Análisis de la naturaleza, extensión y éxito de un ataque.
Diversos escenarios requieren diferentes enfoques de Investigación
• Investigación de ataques en proceso.
J.A. PEÑA [email protected]
– Si un ataque ha sido descubierto después de que ha sido completado, los pasos de auditoría cubren los niveles físico y lógico
• Los objetivos son establecer que ha pasado, y asegurar la evidencia.
Investigación Ex Post
• Se debe congelar la infraestructura afectada, lo mas que sea posible, y aislarla de la interacción con otras partes.
(la operación puede afectar el seguimiento de la investigación).
J.A. PEÑA [email protected]
– Si un ataque ha sido descubierto mientras está sucediendo, se deben tratar de establecer:
• Identidad del atacante, la fuente y dirección potencial de lo que se está haciendo, y la “huella” o “footprint” que se está formando.
Investigación en tiempo real
• Dependiendo de la complejidad del ataque, algunas organizaciones pueden decidir no contener inmediatamente el ataque, para obtener mayor información del mismo.
J.A. PEÑA [email protected]
• Mantener la ciberseguridad es vital para las instituciones del sector financiero.
• Las tres líneas de defensa tienen responsabilidades y tareas especificas cada una, y deben trabajar coordinadamente
Resumen
• Las revisiones de auditoría, tomarán como una base principal el conocimiento de los riesgos de ciberseguridad.
• Los objetivos de auditoría deben estar alineados con las metas de la ciberseguridad
J.A. PEÑA [email protected]
Nota: Fuente principal de esta presentación