XXXII CONFERENCIA INTERAMERICANA DE CONTABILIDAD

PERÚ 2017
TRABAJO INTERAMERICANO

ÁREA TÉCNICA 9

SISTEMAS Y TI

Área 9.1. Trabajo Interamericano:

Ciberdelito:
Nueva visión de Auditor
Interno
DR. CPC CARLOS ALBERTO PASTOR CARRASCO (PERÚ)
VICEPRESIDENTE COMISIÓN TÉCNICA SISTEMAS Y TECNOLOGÍA

23/11/2017 2
 Era del Cliente

La fabricación
masiva
Da el poder a las
Empresas
industriales

23/11/2017 4
 LA TECNOLOGÍA DIGITAL
VINO PARA QUEDARSE

23/11/2017 5
 INTERNET
ha cambiado el mundo
y nuestra sociedad.
Hemos entrado en una
nueva era, …
23/11/2017
La era digital 6
 INTERNET
no tiene reglas ni límites,
creando nuevos paradigmas:
en donde la única ley
es la del mas fuerte !
23/11/2017 7
 Han emergido nuevos :
• Modos de consumo
• Conceptos económicos
• Tipos de empresas
• Modelos de Negocio

… una nueva Economía

digitalizada,
23/11/2017
desmaterializada. 8
 Impaciente

23/11/2017 9
 La tecnología ha cambiado todo

23/11/2017 10
 Los nuevos actores son empresas
de intermediación que se
interponen entre los profesionales
y los consumidores, ofreciendo un
servicio a ambas partes
aprovechando la tecnología :
las PLATAFORMAS.
23/11/2017 11
 Cuestiona tus creencias … Reta a la Realidad

¿Con cuántos hospedajes cuenta?

23/11/2017 12
23/11/2017 13
 Cuestiona tus creencias… Reta a la realidad
Valor

No dispone de ninguna habitación en propiedad,

pero tiene un valor de US$ 25,000 millones

Usuario

Tiene más de 60 millones de usuarios y más de

dos millones de habitaciones listadas

Crecimiento

Ha multiplicado su tamaño x 350 en los últimos 5

años
23/11/2017 14
 Cuestiona tus creencias… Reta a la realidad

23/11/2017 15
 Cuestiona tus creencias… Reta a la realidad
• Zopa es una compañía británica que proporciona
un servicio de intercambio monetario on-line,
permitiendo a la gente que tiene dinero
prestárselo a aquellos que lo solicitan, en lugar
de utilizar las cuentas de ahorro y las
condiciones de préstamos de los bancos
tradicionales.
• El proceso es a veces referido como préstamo
entre particulares.
• El nombre, Zopa, proviene del inglés "zone of
possible agreement (zona de acuerdo posible)" ,
un término de negociación que hace referencia a
la posibilidad de llegar a un acuerdo entre dos
partes.

23/11/2017 16
 Cuestiona tus creencias… Reta a la realidad

Su tasa de morosidad es del 0.17%, mientras que el

sector se mueve entre el 5 y 10%

Ha prestado más de 500 M de libras desde su

creación, 200 M el último año

Zopa ofrece préstamos entre particulares (P2P)

utilizando algoritmos de gestión de riesgo y
diluyendo los créditos entre varios prestamistas

23/11/2017 17
 Estoy en el sector automotriz.
¿Es vender su principal función?

23/11/2017 18
 Estoy en el sector automotriz.
¿Es vender su principal función?

• Drivy es una plataforma de alquiler de coches,

lanzada en 2010.
• Le permite alquilar vehículos privados o
profesionales cerca de su casa, o alquilar su
propio vehículo para que sea rentable.
• El servicio incluye seguro que cubre alquileres.
• En junio de 2016, Drivy ofrece 38.000 coches
particulares para alquilar a 1 millón de miembros
en Francia, Alemania, España, Austria y Bélgica.
23/11/2017 19
 Estoy en el sector automotriz.
¿Es vender su principal función?
Han alcanzado acuerdos globales para
asegurar cada trayecto, y se paga a través del
porcentaje que cobra el servicio.

Tienen más de 850,000 usuarios y 36,000

coches listados, sumando 1.4 millones de
días alquilados

Se estima que un coche particular está en

desuso el 95% del tiempo

23/11/2017 20
 Las plataformas de la nueva economía
como :
- Uber (taxis)

23/11/2017 21
 “Cuando el ritmo de cambio dentro de la empresa
es superado por el ritmo de cambios fuera, el final
está cerca”
Gerente General de la General Electric Company , desde su asunción en 1981 Jack Welch
hasta su retiro en el 2001, la facturación GE se quintuplicó desde 26.000 millones
23/11/2017 22
a 130.000 millones. Elegido Manager del Siglo en 1999 por la revista Fortune.
 https://www.webpagefx.com/internet-real-time/

23/11/2017 23
 Los nuevos paradigmas
económicos son :
- acceso permanente
- disponibilidad total
- oferta ilimitada
- pago “on-line”
23/11/2017 24
 Este mundo nuevo
es muy atractivo
por un lado,
pero...
… conlleva sus peligros.
23/11/2017 25
 El conjunto de nueva
tecnología ofertado por
pocos actores de Internet
ha creado una vinculación
de dependencia,
concentrando los riesgos
23/11/2017 26
 CIBERDELITO

23/11/2017 27
 Ciberdelito, definición
Delito informático:
“toda conducta, * No se trata de “nuevos
atentatoria de delitos”, sino de nuevas
bienes jurídicos formas de ejecutar las
relevantes, que figuras típicas
suponga el uso de tradicionales.
medios
informáticos en
alguna de sus
fases de
ejecución”.

23/11/2017 28
 Diferencias con los delitos
“reales”
• Frecuentemente su tipicidad es poco clara: legalidad

• Son potencialmente muy lesivos (proporción

medios/resultados): bien jurídico

• Suelen ser cometidos a distancia (problemas de

jurisdicción): principio de ubicuidad - territorialidad delitos
de expresión

• Dificultad probatoria (rastros escasos): formas de

cooperación.

23/11/2017 29
 CIBERATAQUES

http://www.norsecorp.com/

23/11/2017 30
 Ciberataque 1
• JP Morgan: https://www.youtube.com/watch?v=5E7yhQe9fTc

23/11/2017 31
 Ciberataque 2
• Sony – Corea del Norte:
https://www.youtube.com/watch?v=D36e7msySfs

23/11/2017 32
23/11/2017 33
23/11/2017 34
 VISIBILIDAD EN TIEMPO REAL EN ATAQUES GLOBALES DE CYBER

23/11/2017 35
 El Comercio

23/11/2017 36
 Conductores del Ciberdelito
Las fuerzas que impulsan el crecimiento y la eficiencia pueden crear una amplia
superficie de ataque
La tecnología se vuelve permeable
• Internet, cloud, mobile y social son plataformas
principales inherentemente orientadas para
compartir
• Los empleados desean un acceso continuo y en
tiempo real a su información

Cambio en los modelos de negocio

• Los modelos de servicio han evolucionado:
outsourcing, offshoring, contratación y mano de
obra remota
Más datos para proteger
• Mayor volumen de datos personales, de cuentas
y de tarjetas de crédito de los clientes, así como
información personal identificable del empleado
y también secretos comerciales de la empresa
• La necesidad de cumplir con los requisitos de
privacidad en una amplia gama de jurisdicciones
Amenaza de actores con varios motivos
• Hackers hacia los países
• Continuamente innovando para subvertir
controles comunes
• A menudo fuera del alcance de aplicación de la
23/11/2017 38
ley de un país
23/11/2017 39
 El mayor problema
de Internet hoy en día
es un problema de riesgos,
la falta seguridad, requiere
¡Ciberseguridad!
23/11/2017 40
 CIBERSEGURIDAD

23/11/2017 41
 Ciberseguridad

Protección de activos de información,

mediante el tratamiento de las amenazas
que ponen en riesgo la información que se
procesa, se almacena y se transporta
mediante los sistemas de información que
se encuentran interconectados”. (ISACA)

23/11/2017 42
 Activo de Información

Es todo aquello que posea valor para la

organización. Por tanto debe protegerse.

– Información física y digital

– Software Hardware
– Servicios de información
– Servicios de Comunicaciones
– Servicios de almacenamiento
– Personas
– Imagen

23/11/2017 43
 Sistema de Información

Establecen las aplicaciones,

servicios, activos, etc. y utiliza
otros elementos que faciliten el
manejo de la información.

23/11/2017 44
 Seguridad de la Información

Protección de la información contra

una gran variedad de amenazas con el
fin de asegurar:
• continuidad del negocio,
• minimizar el riesgo; y,
• maximizar el retorno de
inversiones y oportunidades de
negocio.

23/11/2017 45
Existen documentos que apoyan
la necesidad de que los
auditores internos apliquen sus
conocimientos para gestionar y
comunicar los riesgos
tecnológicos.

23/11/2017 46
Roles y responsabilidades del Auditor Interno
 Ciberdelito - Roles y responsabilidades
La gestión eficaz del riesgo es el producto de múltiples capas de defensa. La auditoría interna debe
apoyar la necesidad hacer entender al Directorio de la efectividad de los controles de seguridad
cibernética. Roles y responsabilidades
• Incorporar la toma de decisiones basada en el
riesgo en las operaciones cotidianas e integrar
plenamente la gestión del riesgo en los procesos
1ª línea de defensa operativos
Negocio y funciones de TI • Definir el apetito por el riesgo y aumentar los
riesgos fuera de la tolerancia
• Mitigar los riesgos, según el caso

• Establecer el Gobierno de TI
• Establecer líneas de base de riesgo, políticas y
2da Línea de Defensa estándares
Función de gestión del • Implementar herramientas y procesos
riesgo de información y • Monitorear y pedir acciones, según corresponda
tecnología • Proporcionar supervisión, consulta, controles y
equilibrios, y políticas y estándares a nivel
empresarial

• En forma independiente revisar la efectividad del

programa
3ra Línea de
• Proporcionar confirmación al directorio sobre la
defensa
Auditoria eficacia de la gestión de riesgos
interna • Cumplir los requisitos de las obligaciones de
divulgación, centradas en los riesgos de seguridad
cibernética

Debido a los recientes ciberataques y pérdidas de datos, y las expectativas de los entes reguladores, es fundamental que la Auditoría Interna
comprenda los riesgos cibernéticos y esté preparada para responder a las preguntas y preocupaciones expresadas por el comité de auditoría
y el directorio.
23/11/2017 48
 Gestión de riesgos de ciberseguridad
• Responder
– ¿Cómo la tecnología facilita la consecución de
sus objetivos de negocio?
– ¿Cuál es su tolerancia para sufrir pérdidas
relacionadas con la tecnología?
• Asignar
– Fondos y
– Tiempo de gestión para mitigar el riesgo,
• Los auditores deben entender
– Amenazas que enfrentan y
– Costos en que se incurrirá.

23/11/2017 49
Los auditores internos podemos
ser los “agentes” de la seguridad
con nuestra ética y nuestro
compromiso al servicio de la
Economía
23/11/2017 50
 ¿Qué futuro depara a los
Auditores internos?
El auditor interno debe evaluar los riesgos
de seguridad cibernética
Debe alinear la estrategia de seguridad
cibernética con la estrategia de negocio, y
conseguir la aceptación del directorio en
las inversiones necesarias de
ciberseguridad

23/11/2017 51
Ciberdelito -Enfoque de evaluación
 Ciberdelito -Enfoque de evaluación
Una evaluación de auditoría interna de la seguridad cibernética debe abarcar todos los ámbitos y capacidades
pertinentes, e involucrar a especialistas de la materia cuando sea apropiado

Fase IV: Evaluación de las

Fases

Fase II: Comprender Fase III: Evaluación del

Fase I: Planificación y alcance deficiencias y
el estado actual riesgo
recomendaciones
Actividades clave
Entregables

23/11/2017 53
 Ciberdelito -Enfoque de evaluación
Una evaluación de auditoría interna de la seguridad cibernética debe abarcar todos los ámbitos y capacidades
pertinentes, e involucrar a especialistas de la materia cuando sea apropiado

Fase IV: Evaluación de las

Fases

Fase II: Comprender Fase III: Evaluación del

Fase I: Planificación y alcance deficiencias y
el estado actual riesgo
recomendaciones

Actividades:
• Identificar actores internos y
externos: TI, Cumplimiento,
Legal, Riesgo, etc.
• Entender la misión y los
objetivos de la organización
Actividades clave

• Identificar los requisitos de la

industria y el panorama
regulatorio
• Realizar perfiles de riesgo
sectoriales (revisar informes de
la industria, noticias,
tendencias, vectores de riesgo)
• Identificar los sistemas y los
activos dentro del alcance
• Identificar proveedores y la
participación de terceros

Entregable:
Entregables

• Objetivos y alcance de la
evaluación
• Marco de calificaciones de
evaluación de capacidades
23/11/2017 54
 Ciberdelito -Enfoque de evaluación
Una evaluación de auditoría interna de la seguridad cibernética debe abarcar todos los ámbitos y capacidades
pertinentes, e involucrar a especialistas de la materia cuando sea apropiado
Fases
Fase I: Planificación y alcance
Actividades:
• Identificar actores internos y
externos: TI, Cumplimiento,
Legal, Riesgo, etc.
• Entender la misión y los
objetivos de la organización
Actividades clave
• Identificar los requisitos de la
industria y el panorama
regulatorio
• Realizar perfiles de riesgo
sectoriales (revisar informes de
la industria, noticias,
tendencias, vectores de riesgo)
• Identificar los sistemas y los
activos dentro del alcance
• Identificar proveedores y la
participación de terceros
Entregable:
Entregables
• Objetivos y alcance de la
evaluación
• Marco de calificaciones de
evaluación de capacidades
23/11/2017
Fase IV: Evaluación de las
Fase II: Comprender Fase III: Evaluación del
deficiencias y
el estado actual riesgo
recomendaciones
Actividades:
• Realizar entrevistas y talleres
para entender el perfil actual
• Realizar recorridos de los
sistemas y procesos para
entender los controles
existentes
• Comprender el empleo de
terceros, incluyendo revisiones
de los informes
• Revisar las políticas y
procedimientos pertinentes,
incluidos el entorno de
seguridad, los planes
estratégicos y la gobierno de TI,
tanto para los interesados
internos como externos
• Revisar autoevaluaciones
• Revisión de auditorías previas
Entregable:
• Comprensión del entorno y
estado actual
55
 Ciberdelito -Enfoque de evaluación
Una evaluación de auditoría interna de la seguridad cibernética debe abarcar todos los ámbitos y capacidades
pertinentes, e involucrar a especialistas de la materia cuando sea apropiado
Fases
Fase I: Planificación y alcance
Actividades:
• Identificar actores internos y
externos: TI, Cumplimiento,
Legal, Riesgo, etc.
• Entender la misión y los
objetivos de la organización
Actividades clave
• Identificar los requisitos de la
industria y el panorama
regulatorio
• Realizar perfiles de riesgo
sectoriales (revisar informes de
la industria, noticias,
tendencias, vectores de riesgo)
• Identificar los sistemas y los
activos dentro del alcance
• Identificar proveedores y la
participación de terceros
Entregable:
Entregables
• Objetivos y alcance de la
evaluación
• Marco de calificaciones de
evaluación de capacidades
23/11/2017
Fase II: Comprender
el estado actual
Actividades:
• Realizar entrevistas y talleres
para entender el perfil actual
• Realizar recorridos de los
sistemas y procesos para
entender los controles
existentes
• Comprender el empleo de
terceros, incluyendo revisiones
de los informes
• Revisar las políticas y
procedimientos pertinentes,
incluidos el entorno de
seguridad, los planes
estratégicos y la gobierno de TI,
tanto para los interesados
internos como externos
• Revisar autoevaluaciones
• Revisión de auditorías previas
Entregable:
• Comprensión del entorno y
estado actual
Fase IV: Evaluación de las
Fase III: Evaluación del
deficiencias y
riesgo
recomendaciones
Actividades:
• Lista de documentos de los
riesgos potenciales en todas las
capacidades consideradas en el
estudio
• Colaborar con los especialistas
en la materia y la dirección
para estratificar los riesgos
emergentes y documentar el
impacto potencial
• Evaluar la probabilidad y el
impacto de los riesgos
• Priorizar los riesgos en función
de los objetivos, las
capacidades y el apetito de
riesgo de la organización
• Revisar y validar los resultados
de la evaluación del riesgo con
la gestión e identificar la
criticidad
Entregable:
• Clasificación priorizada de
riesgos
• Resultados de la evaluación
de capacidades
56
 Ciberdelito -Enfoque de evaluación
Una evaluación de auditoría interna de la seguridad cibernética debe abarcar todos los ámbitos y capacidades
pertinentes, e involucrar a especialistas de la materia cuando sea apropiado
Fases
Fase I: Planificación y alcance
Actividades:
• Identificar actores internos y
externos: TI, Cumplimiento,
Legal, Riesgo, etc.
• Entender la misión y los
objetivos de la organización
Actividades clave
• Identificar los requisitos de la
industria y el panorama
regulatorio
• Realizar perfiles de riesgo
sectoriales (revisar informes de
la industria, noticias,
tendencias, vectores de riesgo)
• Identificar los sistemas y los
activos dentro del alcance
• Identificar proveedores y la
participación de terceros
Entregable:
Entregables
• Objetivos y alcance de la
evaluación
• Marco de calificaciones de
evaluación de capacidades
23/11/2017
Fase II: Comprender
el estado actual
Actividades:
• Realizar entrevistas y talleres
para entender el perfil actual
• Realizar recorridos de los
sistemas y procesos para
entender los controles
existentes
• Comprender el empleo de
terceros, incluyendo revisiones
de los informes
• Revisar las políticas y
procedimientos pertinentes,
incluidos el entorno de
seguridad, los planes
estratégicos y la gobierno de TI,
tanto para los interesados
internos como externos
• Revisar autoevaluaciones
• Revisión de auditorías previas
Entregable:
• Comprensión del entorno y
estado actual
Fase III: Evaluación del
riesgo
Actividades:
• Lista de documentos de los
riesgos potenciales en todas las
capacidades consideradas en el
estudio
• Colaborar con los especialistas
en la materia y la dirección
para estratificar los riesgos
emergentes y documentar el
impacto potencial
• Evaluar la probabilidad y el
impacto de los riesgos
• Priorizar los riesgos en función
de los objetivos, las
capacidades y el apetito de
riesgo de la organización
• Revisar y validar los resultados
de la evaluación del riesgo con
la gestión e identificar la
criticidad
Entregable:
• Clasificación priorizada de
riesgos
• Resultados de la evaluación
de capacidades
Fase IV: Evaluación de las
deficiencias y
recomendaciones
Actividades:
• Documentar los resultados de
la evaluación de la capacidad y
elaborar un cuadro de mando
integral
• Revisar los resultados de la
evaluación con los stakeholders
• Identificar las brechas
existentes y evaluar la
gravedad potencial
• Análisis del mapa de madurez
• Recomendaciones
documentadas
• Desarrollar un plan multianual
de auditoría de TI y
ciberseguridad
Entregable:
• Análisis de madurez
• BSC
• Recomendaciones de
Corrección
• Plan de auditoría de
seguridad cibernética
57
 Ciberdelito -Enfoque de evaluación
Una evaluación de auditoría interna de la seguridad cibernética debe abarcar todos los ámbitos y capacidades
pertinentes, e involucrar a especialistas de la materia cuando sea apropiado
Fases
Fase I: Planificación y alcance
Actividades:
• Identificar actores internos y
externos: TI, Cumplimiento,
Legal, Riesgo, etc.
• Entender la misión y los
objetivos de la organización
Actividades clave
• Identificar los requisitos de la
industria y el panorama
regulatorio
• Realizar perfiles de riesgo
sectoriales (revisar informes de
la industria, noticias,
tendencias, vectores de riesgo)
• Identificar los sistemas y los
activos dentro del alcance
• Identificar proveedores y la
participación de terceros
Entregable:
Entregables
• Objetivos y alcance de la
evaluación
• Marco de calificaciones de
evaluación de capacidades
23/11/2017
Fase II: Comprender
el estado actual
Actividades:
• Realizar entrevistas y talleres
para entender el perfil actual
• Realizar recorridos de los
sistemas y procesos para
entender los controles
existentes
• Comprender el empleo de
terceros, incluyendo revisiones
de los informes
• Revisar las políticas y
procedimientos pertinentes,
incluidos el entorno de
seguridad, los planes
estratégicos y la gobierno de TI,
tanto para los interesados
internos como externos
• Revisar autoevaluaciones
• Revisión de auditorías previas
Entregable:
• Comprensión del entorno y
estado actual
Fase III: Evaluación del
riesgo
Actividades:
• Lista de documentos de los
riesgos potenciales en todas las
capacidades consideradas en el
estudio
• Colaborar con los especialistas
en la materia y la dirección
para estratificar los riesgos
emergentes y documentar el
impacto potencial
• Evaluar la probabilidad y el
impacto de los riesgos
• Priorizar los riesgos en función
de los objetivos, las
capacidades y el apetito de
riesgo de la organización
• Revisar y validar los resultados
de la evaluación del riesgo con
la gestión e identificar la
criticidad
Entregable:
• Clasificación priorizada de
riesgos
• Resultados de la evaluación
de capacidades
Fase IV: Evaluación de las
deficiencias y
recomendaciones
Actividades:
• Documentar los resultados de
la evaluación de la capacidad y
elaborar un cuadro de mando
integral
• Revisar los resultados de la
evaluación con los stakeholders
• Identificar las brechas
existentes y evaluar la
gravedad potencial
• Análisis del mapa de madurez
• Recomendaciones
documentadas
• Desarrollar un plan multianual
de auditoría de TI y
ciberseguridad
Entregable:
• Análisis de madurez
• BSC
• Recomendaciones de
Corrección
• Plan de auditoría de
seguridad cibernética
58
 Elementos fundamentales
de la ciberseguridad
Capacidad de un sistema para
Poder utilizarse
Ejecutar acciones
Permitir el acceso de
entidades autorizadas (Ningún
acceso ilícito)
Demostrar las acciones
23/11/2017
Objetivos de la seguridad Medios de seguridad
• Disponibilidad • Dimensionamiento
• Perdurabilidad • Redundancia
• Procedimientos de
explotación y copia de
• Continuidad seguridad
• Confianza
• Seguridad de funcionamiento • Concepción
• Fiabilidad • Prestaciones
• Perdurabilidad • Ergonomía
• Continuidad • Calidad de servicio
• Exactitud • Mantenimiento operacional
• Confidencialidad (preservación del • Control de acceso
secreto) • Autenticación
• Control de errores
• Integridad (ninguna modificación) • Control de coherencia
• Encriptación
• No rechazo • Certificación
• Autenticidad (ninguna duda) • Grabación, rastreo
• Ninguna contestación • Firma electrónica
• Mecanismos de prueba
59
Muchas Gracias