Professional Documents
Culture Documents
PERÚ 2017
TRABAJO INTERAMERICANO
ÁREA TÉCNICA 9
SISTEMAS Y TI
Ciberdelito:
Nueva visión de Auditor
Interno
DR. CPC CARLOS ALBERTO PASTOR CARRASCO (PERÚ)
VICEPRESIDENTE COMISIÓN TÉCNICA SISTEMAS Y TECNOLOGÍA
23/11/2017 2
Era del Cliente
La fabricación
masiva
Da el poder a las
Empresas
industriales
23/11/2017 4
LA TECNOLOGÍA DIGITAL
VINO PARA QUEDARSE
23/11/2017 5
INTERNET
ha cambiado el mundo
y nuestra sociedad.
Hemos entrado en una
nueva era, …
23/11/2017
La era digital 6
INTERNET
no tiene reglas ni límites,
creando nuevos paradigmas:
en donde la única ley
es la del mas fuerte !
23/11/2017 7
Han emergido nuevos :
• Modos de consumo
• Conceptos económicos
• Tipos de empresas
• Modelos de Negocio
23/11/2017 9
La tecnología ha cambiado todo
23/11/2017 10
Los nuevos actores son empresas
de intermediación que se
interponen entre los profesionales
y los consumidores, ofreciendo un
servicio a ambas partes
aprovechando la tecnología :
las PLATAFORMAS.
23/11/2017 11
Cuestiona tus creencias … Reta a la Realidad
Usuario
Crecimiento
23/11/2017 15
Cuestiona tus creencias… Reta a la realidad
• Zopa es una compañía británica que proporciona
un servicio de intercambio monetario on-line,
permitiendo a la gente que tiene dinero
prestárselo a aquellos que lo solicitan, en lugar
de utilizar las cuentas de ahorro y las
condiciones de préstamos de los bancos
tradicionales.
• El proceso es a veces referido como préstamo
entre particulares.
• El nombre, Zopa, proviene del inglés "zone of
possible agreement (zona de acuerdo posible)" ,
un término de negociación que hace referencia a
la posibilidad de llegar a un acuerdo entre dos
partes.
23/11/2017 16
Cuestiona tus creencias… Reta a la realidad
23/11/2017 17
Estoy en el sector automotriz.
¿Es vender su principal función?
23/11/2017 18
Estoy en el sector automotriz.
¿Es vender su principal función?
23/11/2017 20
Las plataformas de la nueva economía
como :
- Uber (taxis)
23/11/2017 21
“Cuando el ritmo de cambio dentro de la empresa
es superado por el ritmo de cambios fuera, el final
está cerca”
Gerente General de la General Electric Company , desde su asunción en 1981 Jack Welch
hasta su retiro en el 2001, la facturación GE se quintuplicó desde 26.000 millones
23/11/2017 22
a 130.000 millones. Elegido Manager del Siglo en 1999 por la revista Fortune.
https://www.webpagefx.com/internet-real-time/
23/11/2017 23
Los nuevos paradigmas
económicos son :
- acceso permanente
- disponibilidad total
- oferta ilimitada
- pago “on-line”
23/11/2017 24
Este mundo nuevo
es muy atractivo
por un lado,
pero...
… conlleva sus peligros.
23/11/2017 25
El conjunto de nueva
tecnología ofertado por
pocos actores de Internet
ha creado una vinculación
de dependencia,
concentrando los riesgos
23/11/2017 26
CIBERDELITO
23/11/2017 27
Ciberdelito, definición
Delito informático:
“toda conducta, * No se trata de “nuevos
atentatoria de delitos”, sino de nuevas
bienes jurídicos formas de ejecutar las
relevantes, que figuras típicas
suponga el uso de tradicionales.
medios
informáticos en
alguna de sus
fases de
ejecución”.
23/11/2017 28
Diferencias con los delitos
“reales”
• Frecuentemente su tipicidad es poco clara: legalidad
23/11/2017 29
CIBERATAQUES
http://www.norsecorp.com/
23/11/2017 30
Ciberataque 1
• JP Morgan: https://www.youtube.com/watch?v=5E7yhQe9fTc
23/11/2017 31
Ciberataque 2
• Sony – Corea del Norte:
https://www.youtube.com/watch?v=D36e7msySfs
23/11/2017 32
23/11/2017 33
23/11/2017 34
VISIBILIDAD EN TIEMPO REAL EN ATAQUES GLOBALES DE CYBER
23/11/2017 35
El Comercio
23/11/2017 36
Conductores del Ciberdelito
Las fuerzas que impulsan el crecimiento y la eficiencia pueden crear una amplia
superficie de ataque
La tecnología se vuelve permeable
• Internet, cloud, mobile y social son plataformas
principales inherentemente orientadas para
compartir
• Los empleados desean un acceso continuo y en
tiempo real a su información
23/11/2017 41
Ciberseguridad
23/11/2017 42
Activo de Información
23/11/2017 43
Sistema de Información
23/11/2017 44
Seguridad de la Información
23/11/2017 45
Existen documentos que apoyan
la necesidad de que los
auditores internos apliquen sus
conocimientos para gestionar y
comunicar los riesgos
tecnológicos.
23/11/2017 46
Roles y responsabilidades del Auditor Interno
Ciberdelito - Roles y responsabilidades
La gestión eficaz del riesgo es el producto de múltiples capas de defensa. La auditoría interna debe
apoyar la necesidad hacer entender al Directorio de la efectividad de los controles de seguridad
cibernética. Roles y responsabilidades
• Incorporar la toma de decisiones basada en el
riesgo en las operaciones cotidianas e integrar
plenamente la gestión del riesgo en los procesos
1ª línea de defensa operativos
Negocio y funciones de TI • Definir el apetito por el riesgo y aumentar los
riesgos fuera de la tolerancia
• Mitigar los riesgos, según el caso
• Establecer el Gobierno de TI
• Establecer líneas de base de riesgo, políticas y
2da Línea de Defensa estándares
Función de gestión del • Implementar herramientas y procesos
riesgo de información y • Monitorear y pedir acciones, según corresponda
tecnología • Proporcionar supervisión, consulta, controles y
equilibrios, y políticas y estándares a nivel
empresarial
Debido a los recientes ciberataques y pérdidas de datos, y las expectativas de los entes reguladores, es fundamental que la Auditoría Interna
comprenda los riesgos cibernéticos y esté preparada para responder a las preguntas y preocupaciones expresadas por el comité de auditoría
y el directorio.
23/11/2017 48
Gestión de riesgos de ciberseguridad
• Responder
– ¿Cómo la tecnología facilita la consecución de
sus objetivos de negocio?
– ¿Cuál es su tolerancia para sufrir pérdidas
relacionadas con la tecnología?
• Asignar
– Fondos y
– Tiempo de gestión para mitigar el riesgo,
• Los auditores deben entender
– Amenazas que enfrentan y
– Costos en que se incurrirá.
23/11/2017 49
Los auditores internos podemos
ser los “agentes” de la seguridad
con nuestra ética y nuestro
compromiso al servicio de la
Economía
23/11/2017 50
¿Qué futuro depara a los
Auditores internos?
El auditor interno debe evaluar los riesgos
de seguridad cibernética
Debe alinear la estrategia de seguridad
cibernética con la estrategia de negocio, y
conseguir la aceptación del directorio en
las inversiones necesarias de
ciberseguridad
23/11/2017 51
Ciberdelito -Enfoque de evaluación
Ciberdelito -Enfoque de evaluación
Una evaluación de auditoría interna de la seguridad cibernética debe abarcar todos los ámbitos y capacidades
pertinentes, e involucrar a especialistas de la materia cuando sea apropiado
23/11/2017 53
Ciberdelito -Enfoque de evaluación
Una evaluación de auditoría interna de la seguridad cibernética debe abarcar todos los ámbitos y capacidades
pertinentes, e involucrar a especialistas de la materia cuando sea apropiado
Actividades:
• Identificar actores internos y
externos: TI, Cumplimiento,
Legal, Riesgo, etc.
• Entender la misión y los
objetivos de la organización
Actividades clave
Entregable:
Entregables
• Objetivos y alcance de la
evaluación
• Marco de calificaciones de
evaluación de capacidades
23/11/2017 54
Ciberdelito -Enfoque de evaluación
Una evaluación de auditoría interna de la seguridad cibernética debe abarcar todos los ámbitos y capacidades
pertinentes, e involucrar a especialistas de la materia cuando sea apropiado
Actividades: Actividades:
• Identificar actores internos y • Realizar entrevistas y talleres
externos: TI, Cumplimiento, para entender el perfil actual
Legal, Riesgo, etc. • Realizar recorridos de los
• Entender la misión y los sistemas y procesos para
objetivos de la organización entender los controles
Actividades clave
Entregable: Entregable:
Entregables
• Identificar los requisitos de la existentes en la materia y la dirección evaluación con los stakeholders
industria y el panorama • Comprender el empleo de para estratificar los riesgos • Identificar las brechas
regulatorio terceros, incluyendo revisiones emergentes y documentar el existentes y evaluar la
• Realizar perfiles de riesgo de los informes impacto potencial gravedad potencial
sectoriales (revisar informes de • Revisar las políticas y • Evaluar la probabilidad y el • Análisis del mapa de madurez
la industria, noticias, procedimientos pertinentes, impacto de los riesgos • Recomendaciones
tendencias, vectores de riesgo) incluidos el entorno de • Priorizar los riesgos en función documentadas
• Identificar los sistemas y los seguridad, los planes de los objetivos, las • Desarrollar un plan multianual
activos dentro del alcance estratégicos y la gobierno de TI, capacidades y el apetito de de auditoría de TI y
• Identificar proveedores y la tanto para los interesados riesgo de la organización ciberseguridad
participación de terceros internos como externos • Revisar y validar los resultados
• Revisar autoevaluaciones de la evaluación del riesgo con
• Revisión de auditorías previas la gestión e identificar la
criticidad Entregable:
• Análisis de madurez
Entregable: Entregable: Entregable: • BSC
Entregables
• Identificar los requisitos de la existentes en la materia y la dirección evaluación con los stakeholders
industria y el panorama • Comprender el empleo de para estratificar los riesgos • Identificar las brechas
regulatorio terceros, incluyendo revisiones emergentes y documentar el existentes y evaluar la
• Realizar perfiles de riesgo de los informes impacto potencial gravedad potencial
sectoriales (revisar informes de • Revisar las políticas y • Evaluar la probabilidad y el • Análisis del mapa de madurez
la industria, noticias, procedimientos pertinentes, impacto de los riesgos • Recomendaciones
tendencias, vectores de riesgo) incluidos el entorno de • Priorizar los riesgos en función documentadas
• Identificar los sistemas y los seguridad, los planes de los objetivos, las • Desarrollar un plan multianual
activos dentro del alcance estratégicos y la gobierno de TI, capacidades y el apetito de de auditoría de TI y
• Identificar proveedores y la tanto para los interesados riesgo de la organización ciberseguridad
participación de terceros internos como externos • Revisar y validar los resultados
• Revisar autoevaluaciones de la evaluación del riesgo con
• Revisión de auditorías previas la gestión e identificar la
criticidad Entregable:
• Análisis de madurez
Entregable: Entregable: Entregable: • BSC
Entregables
23/11/2017 59
Muchas Gracias