El Marco de Seguridad Informática bajo una Estrategia Digital

Transcripción

1 El Marco de Seguridad Informática bajo una Estrategia Digital Fernando Conesa Socio EY Advisory, Financial Services Francisco Cornejo Gerente EY Advisory, Financial Services 1 y 2 de septiembre de 2016 Buenos Aires Argentina

2 Las especies que sobreviven no son las más fuertes, ni las más rápidas, ni las más inteligentes; sino aquellas que se adaptan mejor al cambio Charles Darwin ( ) 2 1 y 2 de septiembre de 2016 Buenos Aires Argentina

3 El cambio constante de las nuevas tecnologías y la revolución digital actual nos plantea la necesidad de actualizar permanentemente nuestros enfoques y procedimientos de Auditoría Interna. Hoy en día, el cambio está llegando a gran velocidad y va a seguir avanzando. Esta velocidad está cambiando todo el entorno de negocios, sus riesgos asociados, y por ende la función de Auditoría Interna. Actualmente la mayoría de las organizaciones del mundo no están trabajando para adelantarse a la curva exponencial de innovaciones; sino que están luchando para mantenerse al día. Auditoría interna enfrenta un desafío muy importante, y para adaptarse correctamente al mundo rápidamente cambiante de hoy deberá convertirse en un asesor de confianza de una organización preparada para el crecimiento. 3 1 y 2 de septiembre de 2016 Buenos Aires Argentina

4 La no adecuación o la adecuación ineficiente respecto de estos cambios, genera un impacto en las organizaciones de hoy en día. 4 1 y 2 de septiembre de 2016 Buenos Aires Argentina

5 Estos cambios, traen aparejado nuevos riesgos relacionados al ámbito de Seguridad de la Información. Facilidad de acceso a los datos Fuga de información Nuevas infraestructuras Auditoría Interna Multiplicidad de puntos de compromiso Bajo nivel de seguridad en proveedores Fraude Informático 5 1 y 2 de septiembre de 2016 Buenos Aires Argentina

6 6 1 y 2 de septiembre de 2016 Buenos Aires Argentina

7 7 1 y 2 de septiembre de 2016 Buenos Aires Argentina

8 Servicios de Internet que permiten a los usuarios formar redes y compartir información, puntos de vista, opiniones, fotos, etc. entre ellos y el público en general, lo cual presenta desafíos y oportunidades únicas a las empresas. Las oportunidades que generan las Redes Sociales, también traen aparejados riesgos significativos. Filtración de información confidencial de la empresa de forma inadvertida por medio de empleados Ataques relacionados a la reputación de la compañía Acceso multiplataforma a nuevos Virus, malware, Cross-site scripting y phishing 8 1 y 2 de septiembre de 2016 Buenos Aires Argentina

9 Preguntas clave 9 1 y 2 de septiembre de 2016 Buenos Aires Argentina

10 Para poder gestionar los Riesgos relacionados, la función de Auditoría Interna debe considerar: Cómo enfrentarlos?, Cómo controlarlos? Asegurarse que la organización entienda el riesgo que traen aparejadas las redes sociales. Evaluar el diseño de las políticas y procedimientos para gestionar las redes sociales dentro de la organización. Evaluar el programa de concientización y capacitación en redes sociales y 2 de septiembre de 2016 Buenos Aires Argentina

11 11 1 y 2 de septiembre de 2016 Buenos Aires Argentina

12 Los Dispositivos Móviles están cada vez más posicionados dentro de las empresas, ya sea la solución Bring Your Own Device (BYOD) o dispositivos corporativos; se otorgan a los empleados acceso a las herramientas y servicios para poder realizar su labor diaria. Sin embargo, una gran parte de las actividades de BYOD sigue presentando nuevos desafíos: Gestión de la seguridad dada la diversidad de dispositivos, sistemas operativos y vulnerabilidades de cada uno Potencial pérdida o fuga de información Robo del dispositivo debido a su tamaño La delgada línea entre la privacidad y el monitoreo debido al uso personal y corporativo del dispositivo 12 1 y 2 de septiembre de 2016 Buenos Aires Argentina

13 Preguntas clave 13 1 y 2 de septiembre de 2016 Buenos Aires Argentina

14 Para poder gestionar los Riesgos relacionados, la función de Auditoría Interna debe considerar: Cómo enfrentarlos?, Cómo controlarlos? Identificar los riesgos en la configuración del dispositivo móvil y la identificación de la vulnerabilidad a través de la accesibilidad a la red interna y la configuración de las políticas de los mismos. Evaluar la arquitectura de red, la implementación de políticas, la gestión de dispositivos perdidos o robados. Realizar una revisión de aplicaciones móviles utilizando diferentes estrategias de prueba, explorar en busca de vulnerabilidades utilizando diversas herramientas y verificar manualmente los resultados del análisis y 2 de septiembre de 2016 Buenos Aires Argentina

15 15 1 y 2 de septiembre de 2016 Buenos Aires Argentina

16 Los servicios en la nube permiten a las organizaciones de TI despojarse de sus complejas estructuras internas, lo que les permite centrarse en la estrategia en lugar de las operaciones y responder rápidamente a las cambiantes condiciones del mercado. La nube está evolucionando rápidamente y presenta riesgos y desafíos que a menudo se pasan por alto o no se entienden completamente. Riesgos de Infraestructura y arquitectura Riesgos de interoperabilidad Riesgos regulatorios y de cumplimiento Riesgos de continuidad de negocio Gestión de los proveedores de la nube Alineación y governance de la estrategia 16 1 y 2 de septiembre de 2016 Buenos Aires Argentina

17 Preguntas clave 17 1 y 2 de septiembre de 2016 Buenos Aires Argentina

18 Para poder gestionar los Riesgos relacionados, la función de Auditoría Interna debe considerar: Cómo enfrentarlos?, Cómo controlarlos? Determinar si las políticas y controles que se han desarrollado para apoyar la implementación de la estrategia son apropiados. Evaluar las prácticas y procedimientos de seguridad de la información del proveedor de la nube. Evaluar la capacidad del proveedor de la nube para satisfacer o exceder el SLA acordado en el contrato y 2 de septiembre de 2016 Buenos Aires Argentina

19 19 1 y 2 de septiembre de 2016 Buenos Aires Argentina

20 La manera en que las empresas utilizan y dependen de sus sistemas de información está cambiando a un ritmo que nunca hemos visto antes, con un mayor uso de la tecnología móvil, la nube y las redes sociales. Las empresas buscan encontrar el equilibrio entre las tecnologías y un mejor acceso a los datos, con la necesidad de proteger esos datos de individuos maliciosos: Atacantes internos Atacantes oportunistas Atacantes avanzados capaces de eludir controles robustos implementados en grandes organizaciones 20 1 y 2 de septiembre de 2016 Buenos Aires Argentina

21 1,755 Participantes 88% de los encuestados dijo que la función de seguridad informática no satisface completamente las necesidades de su organización. 67 Países 20% de los encuestados no puede estimar el daño financiero relacionado a cyber incidentes en los últimos 12 meses. de los encuestados han tenido incidentes de seguridad significativos que no son descubiertos por su SOC. 25 Industrias 36% de los encuestados describen que no serían capaces de detectar un ataque sofisticado. 7% de las organizaciones indica que tiene una respuesta a incidentes robusta, que incluye a terceras partes y agentes de seguridad integrados con su función de gestión de amenazas y vulnerabilidades. *Fuente: Encuesta Global de Seguridad de la Información EY y 2 de septiembre de 2016 Buenos Aires Argentina

22 Principales amenazas identificadas 47% Ciber-ataques para robar información financiera 46% Phishing 45% Malware Prioridades de la seguridad de la información 67% 51% 48% Prevención de perdida o filtración de datos Gestión de identidades y accesos Gestión de respuesta ante incidentes *Fuente: Encuesta Global de Seguridad de la Información EY y 2 de septiembre de 2016 Buenos Aires Argentina

23 Preguntas clave 23 1 y 2 de septiembre de 2016 Buenos Aires Argentina

24 Para poder gestionar los Riesgos relacionados, la función de Auditoría Interna debe considerar: Cómo enfrentarlos?, Cómo controlarlos? Evaluar el programa de seguridad de la información de la organización utilizando un marco alineado con los estándares, regulaciones y prácticas líderes. Adoptar la mentalidad, herramientas y técnicas de un atacante, realizar pruebas para determinar si los activos clave del negocio están en riesgo. Revisar los procesos de administración de acceso a los sistemas y la forma en que el acceso está controlado. Evaluar la forma en la que empresa ha identificado, definido y clasificado sus datos, incluidos los mecanismos de protección de datos y 2 de septiembre de 2016 Buenos Aires Argentina

25 25 1 y 2 de septiembre de 2016 Buenos Aires Argentina

26 Internet de las cosas se puede definir como una red física de objetos que contienen embebidas tecnologías para comunicarse, sentir o interactuar consigo mismas o el entorno exterior que generan grandes resultados y conveniencia en la experiencia del usuario final. Esto abre un nuevo campo con nuevos desafíos: Vanguardia del rápido cambio del negocio y sus riesgos asociados Identificar la mayor parte de puntos de acceso Correcta administración de seguridad en todos los dispositivos involucrados 26 1 y 2 de septiembre de 2016 Buenos Aires Argentina

27 La velocidad de los cambios tecnológicos generan una constante modificación de los riesgos del negocio. Esta situación debe ser afrontada por los gestores del negocio pero también tiene un impacto directo en el trabajo de AI. Facilidad de acceso a los datos Fuga de información Nuevas infraestructuras Auditoría Interna Multiplicidad de puntos de compromiso Bajo nivel de Seguridad en proveedores Fraude Informático 27 1 y 2 de septiembre de 2016 Buenos Aires Argentina

28 Muchas Gracias por su atención! 28 1 y 2 de septiembre de 2016 Buenos Aires Argentina

29 Preguntas y Respuestas Fernando Conesa fernando.conesa@ar.ey.com Francisco Cornejo francisco.cornejo@ar.ey.com 29 1 y 2 de septiembre de 2016 Buenos Aires Argentina