Dilema del Auditor ante las (in)seguridades de Dispositivos Móviles (BYOD): Enfrentarlos o Desentenderse? Lenin Espinosa www.theiia.org
Lenin Espinosa Máster en Sistemas de Información Tecnológico de Monterrey, México Certificaciones CISA y CRISC de ISACA Conferencista en el LATIN CACS/ISRM Puerto Rico 2011 Conferencista en el LATIN CACS/ISRM Bogotá 2012 Ex-Director de Educación e instructor de ISACA Capítulo Quito, Ecuador Trabajó 16 años en Deloitte y 4 años en Price Waterhouse Coopers Socio de la firma Auditores de Sistemas Cía. Ltda., que brinda servicios de: Auditoría de Sistemas, Auditoría Forense y Auditorías Anti Fraude Gestión de riesgos de tecnología de información Evaluación e implantación de seguridades con ISO 27001, 27002 y 27005 Planes de continuidad del negocio y recuperación de desastres BCP y DRP Entre sus principales clientes está Banco Pichincha, el banco más grande de Ecuador y entre los 18 más grandes de Latinoamérica
Audiencia Cuántos son Auditores de Sistemas? Cuántos no son Auditores pero son de Tecnología de Información? Cuántos son Auditores pero no de Sistemas? Y el resto?
Hipótesis / Premisa Las líneas que separan las especializaciones dentro de la Auditoría Interna están desapareciendo.
Megatendencias en Tecnologías de Información Cloud Computing Big Data Dispositivos Móviles (BYOD) Redes Sociales Privacidad
Cloud Computing El pago se basa en el consumo y puede variar en el tiempo El cliente no se ocupa de la infraestructura informática El proveedor se adapta a las necesidades del cliente con contratos flexibles Varios usuarios comparten los medios y recursos informáticos IaaS / SaaS / PaaS / BPaaS Cloud Público Cloud Privado (Interno) Cloud de Comunidad Cloud Híbrido Reduce la inversión en hardware y software Facilidad para incrementar la capacidad IT requerida
Big Data Digitalización de la información y del procesamiento Grandes volúmenes de datos de toda variedad, estructurados y no estructurados, tales como: texto, voz, video, mediciones de sensores, GPS, mapas, celulares, redes sociales, transacciones del negocio Abarca 3 dimensiones: Volumen, Velocidad y Variedad El 90% de los datos del mundo se han creado los últimos 2 años (2.5 trillones de bytes diario) El tamaño va más allá de la capacidad del software para capturar, gestionar y procesar la información en tiempos eficientes Internet: en 1 minuto se transfirieron 639,800 gigabytes entre computadoras, se enviaron 204 millones de correos y se descargaron más de 47,000 aplicaciones; el 2015 se duplicarán estos números Nuevos procesadores y software para manipular grandes volúmenes de datos
Dispositivos Móviles Smarthpones,Tablets, PCs, PDAs, etc Revolucionar la forma en que los empleados y la empresa trabajan Pensar más allá del correo electrónico Balance entre Beneficios y Riesgos Reinvensión de la Informática Descubrir nuevas maneras de ayudar al negocio Equilibrar el uso vs la seguridad (no usuarios contra informáticos)
Dispositivos Móviles Bring your Own Device (BYOD) Política Corporativa: Permitir o No Permitir? Originado por la gran masificación de celulares y tablets, el desarrollo de nuevas conexiones, la optimización de la velocidad de Internet, etc Los empleados deciden los dispositivos de comunicaciones y procesamiento de información con que trabajar (PCs, tablets, smartphones, PDAs, etc) Lo traen y lo llevan a su casa Se conectan a la red corporativa para tener acceso a recursos de la empresa (correo, bases de datos y archivos en servidores) así como datos y aplicaciones personales Tema polémico que genera acérrimos defensores y detractores Principal punto de atención en la agenda de los responsables de seguridad corporativos (Implica un gran cambio en la forma de gestionar la seguridad) Ahorro de costos empresariales Aumenta o reduce la productividad del empleado?
La última gran megatendecia Internet of Everything (IoE)
Dilema del Auditor
Riesgos de Dispositivos Móviles Uno de los 3 principales riesgos de IT Complejidad para los encargados de IT Fuga y pérdida de información confindencial Almacenar claves de acceso a sistemas de la compañía Acceso no autorizado a la red corporativa Pérdida de datos importantes Ataques, Virus, Malware Uso del dispositivo por Terceros Infecciones de malware desde los dispositivos hacia la red corporativa Robo del dispositivo Pérdida u olvido Costo de los incidentes
Seguridad de Dispositivos Concienciación del personal Móviles Cuidado con las aplicaciones que se instalan que pueden estar infectadas con código malicioso Tener antivirus instalado Evitar propagación de virus y malware Control de contenidos Medidas de carácter tecnológico (Antivirus, DLP, VPN, Firewall, IDS, IPS, etc) Medidas de control de acceso a la red (NAC) ayudan a monitorear cómo se utilizan los recursos de red compartidos Tipos de dispositivos y aplicaciones permitidos a utilizar América Latina: Sistemas de Administración de Claves (44%); Encriptación (42%) y Remote Wipe Capability (23%)
Seguridad de Dispositivos Móviles Back Up de datos y agenda de contactos Instalar software para cifrar la información Controlar las conexiones a la red corporativa para identificar quién, cómo y a qué lugar específico de la red se conecta. Borrado seguro de la información en forma remota Convenio de seguridad con los empleados específico para dispositivos móviles Ejecutivos de IT consideran que los riesgos son mayores que los beneficios y aumentó 16% para el 2012 en América Latina (IT Risk/Reward Barometer 2012 ISACA) Política de Gestión de Dispositivos Móviles Política de Seguridad de Dispositivos Móviles
Política de Seguridad de Dispositivos Móviles El grado o nivel en que está permitido utilizar estos dispositivos Quienes pueden utilizar estos dispositivos Qué tipos de dispositivos y aplicaciones se permite utilizar Naturaleza de la información que está permitido accesar Medidas de seguridad Educación al personal en beneficios y riesgos Control de Acceso a la Red Cifrado de Datos Prevención de Pérdida de Datos
Gestión de Riesgos en Dispositivos Móviles Inventario de los activos de información (datos) Clasificación de la Información: Datos sensibles con mayores niveles de protección Información que puede accederse por fuera de la red corporativa Información que se debe restringir el acceso Educación y concientización a todos los niveles de la organización
Criterios del Auditor Inventario Extensión de uso Quiénes y en qué Perfiles de Usuarios Evaluación de Riesgos Controles y Seguridades Políticas de Gestión y Seguridad Incidentes
Programa de Auditoría Programa Basado en Riesgos Gestión de Riesgos de Seguridad de dispositivos móviles Inventario de controles para dispositivos móviles Eficacia operativa de los controles Política de Gestión de dispositivos móviles Política de seguridad de dispositivos móviles Mejores prácticas en seguridad de dispositivos móviles
Informe de Auditoría El Negocio Los Riesgos El Costo Los Beneficios Las Expectativas La Audiencia Los Involucrados Los Afectados Los Riesgos de Auditoría
Preguntas y Respuestas Espacio para atender preguntas de los participantes Fin de la conferencia