Documentos de Académico
Documentos de Profesional
Documentos de Cultura
▪ Ciberseguridad
▪ Definición de ciberseguridad
▪ Defensa en profundidad
▪ Defensa ofensiva
▪ Defensa ampliada
▪ Resiliencia
▪ Ciberauditoria
▪ El porqué de la ciberauditoria
▪ Sinergia Auditoria Interna y Seguridad Informática
▪ Desafíos de Auditoria Interna
▪ Marcos de referencia
2
CIBERSEGURIDAD
Definición: Ciberseguridad es el conjunto de: herramientas, políticas, conceptos de seguridad, salvaguardas de seguridad, guías, enfoques de
gestión de riesgo, acciones, entrenamiento, mejores prácticas, garantías y tecnologías que pueden ser utilizadas para proteger el ambiente
cibernético, la organización y los activos de los usuarios. Dentro de la organización y los activos de los usuarios están incluídos: dispositivos
conectados, personal, infraestructura, aplicaciones, servicios, sistema de telecomunicaciones y la totalidad de la información transmitida y/o
almacenada en el ambiente cibernético.
La ciberseguridad se esfuerza en asegurar el éxito y el mantenimiento de las propiedades de seguridad de la organización y los activos contra
los riesgo relevantes de seguridad en el ambiente cibernético.
Fuente: www.itu.int
CIBERSEGURIDAD
Fuente: http://www.informationisbeautiful.net
DEFENSA EN PROFUNDIDAD
5
DEFENSA EN PROFUNDIDAD
Fuente: http://opensecuritytraining.info/
DEFENSA EN PROFUNDIDAD
Eslabones en la cadena de Seguridad: Gestión, Operación y Controles Técnicos
▪ … o Seguridad Ofensiva?
“Los buenos guerreros hacen que los adversarios vengan a ellos, y de ningún
modo se dejan atraer fuera de su fortaleza.”
“No persigas a los enemigos cuando finjan una retirada, ni ataques tropas
expertas.”
▪ Seguridad de la Información
➢ La protección de la información y sus sistemas del acceso no autorizado,
uso, divulgación, interrupción, modificación o destrucción, en función de
mantener la confidencialidad, integridad y disponibilidad.
▪ Riesgo
➢ Medir el alcance de compromiso de una entidad cuando se vea
amenazado por una circunstancia o evento potencial, generalmente en
función de: los impactos adversos que surgirían si se produce dicho
acontecimiento, y la probabilidad de ocurrencia del mismo.
Hybrid Controls
Hybrid Controls
RISK
MANAGEMENT
FRAMEWORK
(RMF)
Enfoque de
gestión de COMMON CONTROLS
Elementos
riesgos tácticos Security Controls Inherited by Organizational Information Systems operativos en
toda la empresa
Security
Security Plan of Action and
Assessment
Plan Milestones
Report
▪ Todas las organizaciones han sufrido algún tipo de compromiso o brecha de seguridad; aún con
un alto nivel de control y protección (FBI, NASA, CIA, Hacking Team, etc.).
▪ Las nuevas tecnologías y su rápida evolución (dispositivos móviles, servicios en la nube, etc.)
ponen en jaque los métodos tradicionales de Ciberseguridad (Defensa Perimetral y Defensa en
Profundidad), perdiendo su alto grado de efectividad.
18
CIBERSEGURIDAD Y RESILIENCIA
Desafíos
▪ Que las organizaciones cuenten con un alto nivel de resistencia frente a una amplia gama de amenazas
existentes, desconocidas o aún no desarrolladas.
▪ Comunicar dentro de las organizaciones la necesidad de comprender los ciclos de “resiliencia” para que
colaboren con las Gerencias de Auditoría y Seguridad Informática en la mejora de la experiencia de respuesta
ante amenazas.
19
CIBERSEGURIDAD Y RESILIENCIA
Resiliencia
▪ Cambio del foco asumiendo que el concepto de seguridad 100% no es real y modelar un
ecosistema tecnológico resistente a las amenazas.
▪ Identificación de los procesos/datos críticos a través de los análisis de riesgo, enfocando en ellos
los esfuerzos de ciberseguridad.
20
CIBERSEGURIDAD Y RESILIENCIA
Factores claves
21
CIBERSEGURIDAD Y RESILIENCIA
Ciclo de Resiliencia
Post-disrupcción
Pre-disrupcción
▪ Disrupción: rápida reacción ante eventos
amenazantes liderando una respuesta efectiva
Resistir
que minimice el impacto. Adaptar
22
23
CIBERAUDITORIA
Sinergia Auditoria Interna y Seguridad Informática
24
25
Fuente: Encuesta realizada por Protiviti sobre Capacidades y Necesidades de la Auditoria Interna para 2016 -
www.protiviti.com\IASurvey
CIBERAUDITORIA
Por qué utilizar un framework?
Cybersecurity Framework
ISA/IEC 62443
26
Fuente: Encuesta Global sobre Seguridad de la Información realizada por PWC para 2016 - www.pwc.com/ar
CIBERAUDITORIA
NIST – Marco de referencia para
ciberseguridad
▪ No depende de una tecnología
en particular
▪ Es adaptable a distintos tipos
de organización
▪ Es gratuito
▪ Si bien es un marco general,
enuncia objetivos de control
particulares que permiten
medir el estado de situación
27
Fuente: https://www.nist.gov/cyberframework
NIST- CIBERSEGURIDAD
28
▪ Las nuevas tecnologías son cada vez más parte integrante de los procesos,
aportando oportunidades para eficientizarlos pero a su vez introduciendo
nuevos escenarios de riesgos que los auditores no pueden ignorar. Esto
genera un cambio de perfil en el auditor y en la Auditoria en su conjunto…
▪ Migrar al concepto de ciberauditoria implica no solo ingresar en la evaluación
continua de los riesgos que introducen las nuevas tecnologías sino también
estar atentos a aquellos aspectos en nuestra labor en donde podamos aplicarlas
para la mejora continua.
▪ En este nuevo escenario no es mejor quien no se cae nunca, sino quien mas
rápido se levanta. Y en este sentido la convergencia e interacción entre las áreas
de Seguridad Informática y la Auditoría Interna, son aspectos claves para
brindar a las organizaciones mejores herramientas para prevenir y minimizar el
impacto en el negocio de posibles incidentes.
34
Muchas gracias
35