PANEL Tendencias de Auditoría y Riesgos - isaca.org · de Riesgos de TI Aprovechamiento de Data...

7 Octubre 2016

PANEL Tendencias de Auditoría y

Riesgos

7 Octubre 2016

Tendencias globales de Auditoría TI

Arnulfo Espinosa Domínguez CISA, CRISC, Cobit 5 F / I

Presidente ISACA Capítulo Monterrey

[email protected]

PRINCIPALES RETOS DE HOY EN DÍA RELACIONADOS CON AUDITORÍA TI

ISACA MTY ha realizado un…

Ciberseguridad

Y

Privacidad

Tecnologías

emergentes y

disruptivas

Evaluación

Adecuada de

Riesgos de TI

Aprovechamiento

de

Data Analytics

Fortalecimiento

de “soft skills”

de los Auditores

FUNCIÓN DE AUDITORÍA TI DENTRO DE LA DIRECCIÓN DE TI

60% de las compañías cuentan con Auditoría TI.

67% de las organizaciones invitan al Auditor TI a las reuniones del Comité de Auditoría.

20% o más de los reportes de un Depto. de Auditoría, deberían ser de Auditoría de TI.

EVALUANDO RIESGOS DE TI

88%

en latinoamérica y

opinan que COBIT 5 es

el framework en el que

se basan para sus

evaluaciones de riesgos.

* A nivel global más del 60% opinan lo mismo

ACTIVIDADES PLAN DE AUDITORÍA TI

7 octubre 2016

“Casos de uso de big data en auditorías”

Roberto Hernández Rojas Valderrama, CISA, CISM, CGEIT, CRISC, ITIL, PMP, ISO 27001 LA, CFSP Presidente ISACA Capítulo Ciudad de México

Índice

I. Conceptos generales

II. Casos de uso de Big Data en Entidades de Fiscalización Superior

III. Riesgos del Big data

Big Data (5 V´s)

• Terabytes a petabytes (1K TBs)a zettabytes (1B TBs) y más

Volumen (Datos en Reposo)

• Datos en transmisión con milisegundos para analizarlos, detectarlos y responder

Velocidad (datos en Movimiento)

• Estructurado, no estructurado, texto, multimedia

Variedad (datos en muchas formas)

• Integridad de los datos y cómo establecer confianzas en los datos

Veracidad (Datos en duda)

• Diferentes valores para el negocio y para actores maliciosos

Valor (Tipo y valor de los datos)

Data Analytics (Analítica de Datos)

Analítica

Estadística

“Machine Learning”

Descriptiva Predictiva Prescriptivo

Procesamiento de Imágenes

Análisis de Texto

Análisis Geoespacial Análisis de

Opiniones

Analítica de Redes Analítica de

Medios Sociales


Mi red de LinkedIn


Análisis de opiniones


Mercadeo

Casos de Uso Entidad de Fiscalización Superior de la India

IMR (Rango de Mortalidad Infantil) • Identificar los factores más importantes que afectan el IMR • Se inició con análisis de texto de 30 documentos con cerca de un millón de

palabras utilizando KNIME

Análisis de Correlación lineal entre IMR y • Disponibilidad de Buena calidad de agua • Población Rural • Población vulnerable • Defecación abierta • Nivel de alfabetización • Distancia al centro de salud primario

Fuente INTOSAI Working Group on IT Audit, 8th Performance Auditing Seminar on IT Audit Brasilia, Brazil - 28-29 April 2016 - 2016


Se utilizó World Cloud


Distrito IMR Real IMR Predicho

Baran 62 60.2

Nagur 59 61.15

Sikar 56 56.65

Casi una correlación perfecta entre la calidad del agua y el IMR


Casos de Uso Entidad de Fiscalización Superior de Brasil

Calcular la probabilidad del índice de falla en contratos de transferencia de dinero voluntario entre el Gobierno Federal, los estados y municipios 90,000 contratos firmados desde 2008 El TCU (Tribunal de Cuentas de la Unión) había revisado 9,000 contratos • Éxito: Cuando se prueba a cualquier clase de control y no es encuentra

alguna falla relevante. En este caso no se requiere regresar el dinero • Falla: Cuando en cualquier control se encuentra alguna falla relevante,

implica regresar el dinero al garante



Entrenamiento Arboles de decisiones C5.0 (Quinlan, 1993)

Prueba Exactitud 90%

Falso x 4.5%

Falso 5.5%




Trabajo integrado de auditoría • 10 Estados • 51 Contratos • Exactitud del modelo: 81%

Casos de Uso Entidad de Fiscalización Superior de EUA


Utilizar analítica de datos para identificar disparidad de géneros en concesión de subvenciones de investigación En 2014 en EUA las universidades recibieron cerca de $25 billones de USD en fondos federales para investigación en Ciencia, Tecnología, Ingeniería y Matemáticas (STEM) Algunos estudios muestran que las mujeres frecuentemente están subrepresentadas en los campos de STEM



Fuente de Datos Descripción

Bases de datos de agencias Registro de las aplicaciones y subvenciones concedidas por seis agencias

Encuesta a los que recibieron un doctorado (SDR)

Encuesta dela NSF de aquellos que recibieron un doctorado en ciencias, ingeniería o salud de una institución de EUA

Base de datos de nombres de seguridad social Registro de nombres asociados con los número de seguridad social y el género reportado


Información de investigadores Recolectada


Rangos de concesión de subvenciones

Riesgos del Big Data

Fuente Enabling Big Data by Removing Security and Compliance Barriers, SANS Institute, Abril 2015

PII

Re

gist

ros

de

neg

oci

o

Re

gist

ros

de

em

ple

ado

s

Pro

pie

dad

Inte

lect

ual

Dat

os

Tra

nsa

ccio

nal

es

Info

rmac

ión

de

tarj

eta

de

créd

ito

Re

gist

ros

Clín

ico

s

Info

rmac

ión

de

Ciu

dad

ano

s

Re

gist

ros

de

estu

dia

nte

s

Otr

os

Segu

rid

ad N

acio

nal

Ambas

No estructurada

Estructurada

Sensibilidad de la información

Riesgos del Big Data

Fuente Enabling Big Data by Removing Security and Compliance Barriers, SANS Institute, Abril 2015

Regulaciones aplicables

HIPAA

PCI

SOX

FISMA

GLBA

EU Directiva de protección de datos

EURO-SOX

PIPEDA (Canada)

FERPA

FDA Title 21 CFR Part 11

Locales / Estatales

Otras

7 Octubre 2016

Auditoría en SCADA/ICS

Gabriela Reynaga Vargas CRISC, GRCP, COBIT 5 F, COBIT 5 ACCREDITED TRAINER

Consejera Independiente Certificada

Directora IT Audit & Governance

[email protected]

mailto:[email protected]

SCADA/ICS

• Administra • Ordena • Dirige Regula • Controla

SCADA/ICS

Salud

Manufactura

Alimentos

Transporte Energía

Seguridad

Financiero

Antes y ahora

ISA 88 ISA 95 ISA 99

Vulnerabilidades (solo algunas)

o Mal diseño de las redes o Administración relacionados a los ICS o Problemas de Infraestructura Tecnológica o Falta de Antivirus Integral o Falta de documentación de los procesos o Sistemas antiguos o Sistemas diseñados sin considerar la seguridad

¿En qué nos basamos?

¿Qué hemos encontrado?

1. Falta de Políticas y procedimientos de cyberseguridad 2. Falta de documentación SOP, WIP 3. Falta de software antivirus 4. Administración de parches en los sistemas 5. IT shadow 6. Definición de responsabilidades de administración de los sistemas 7. Equipos y sistemas obsoletos 8. Redes de negocios y de manufactura sin segmentar 9. Autenticación de usuarios 10. Password que nunca han cambiado o expuestos 11. Falta de monitoreo de las IP’s 12. Falta de administración de los accesos remotos 13. Falta de auditoría a los sistemas desde el punto de vista de seguridad 14. Falta de respaldos y pruebas de recuperación 15. Seguridad física de los equipos

7 Octubre 2016

Panel con 3 Presidentes

ISACA Monterrey Presidente

Arnulfo Espinosa

“Tendencias de Auditoría y Riesgos”

ISACA México Presidente

Roberto Hernández

Moderador

David Hernández

ISACA Guadalajara Presidente

Gabriela Reynaga

PANEL Tendencias de Auditoría y Riesgos - isaca.org · de Riesgos de TI Aprovechamiento de Data...

Documents

Transcript of PANEL Tendencias de Auditoría y Riesgos - isaca.org · de Riesgos de TI Aprovechamiento de Data...