Embed Size (px)
Citation preview
7 Octubre 2016
PANEL Tendencias de Auditoría y
Riesgos
7 Octubre 2016
Tendencias globales de Auditoría TI
Arnulfo Espinosa Domínguez CISA, CRISC, Cobit 5 F / I
Presidente ISACA Capítulo Monterrey
PRINCIPALES RETOS DE HOY EN DÍA RELACIONADOS CON AUDITORÍA TI
ISACA MTY ha realizado un…
Ciberseguridad
Y
Privacidad
Tecnologías
emergentes y
disruptivas
Evaluación
Adecuada de
Riesgos de TI
Aprovechamiento
de
Data Analytics
Fortalecimiento
de “soft skills”
de los Auditores
FUNCIÓN DE AUDITORÍA TI DENTRO DE LA DIRECCIÓN DE TI
60% de las compañías cuentan con Auditoría TI.
67% de las organizaciones invitan al Auditor TI a las reuniones del Comité de Auditoría.
20% o más de los reportes de un Depto. de Auditoría, deberían ser de Auditoría de TI.
EVALUANDO RIESGOS DE TI
88%
en latinoamérica y
opinan que COBIT 5 es
el framework en el que
se basan para sus
evaluaciones de riesgos.
* A nivel global más del 60% opinan lo mismo
ACTIVIDADES PLAN DE AUDITORÍA TI
7 octubre 2016
“Casos de uso de big data en auditorías”
Roberto Hernández Rojas Valderrama, CISA, CISM, CGEIT, CRISC, ITIL, PMP, ISO 27001 LA, CFSP Presidente ISACA Capítulo Ciudad de México
Índice
I. Conceptos generales
II. Casos de uso de Big Data en Entidades de Fiscalización Superior
III. Riesgos del Big data
Big Data (5 V´s)
• Terabytes a petabytes (1K TBs)a zettabytes (1B TBs) y más
Volumen (Datos en Reposo)
• Datos en transmisión con milisegundos para analizarlos, detectarlos y responder
Velocidad (datos en Movimiento)
• Estructurado, no estructurado, texto, multimedia
Variedad (datos en muchas formas)
• Integridad de los datos y cómo establecer confianzas en los datos
Veracidad (Datos en duda)
• Diferentes valores para el negocio y para actores maliciosos
Valor (Tipo y valor de los datos)
Data Analytics (Analítica de Datos)
Analítica
Estadística
“Machine Learning”
Descriptiva Predictiva Prescriptivo
Procesamiento de Imágenes
Análisis de Texto
Análisis Geoespacial Análisis de
Opiniones
Analítica de Redes Analítica de
Medios Sociales
Data Analytics (Analítica de Datos)
Mi red de LinkedIn
Data Analytics (Analítica de Datos)
Análisis de opiniones
Data Analytics (Analítica de Datos)
Mercadeo
Casos de Uso Entidad de Fiscalización Superior de la India
IMR (Rango de Mortalidad Infantil) • Identificar los factores más importantes que afectan el IMR • Se inició con análisis de texto de 30 documentos con cerca de un millón de
palabras utilizando KNIME
Análisis de Correlación lineal entre IMR y • Disponibilidad de Buena calidad de agua • Población Rural • Población vulnerable • Defecación abierta • Nivel de alfabetización • Distancia al centro de salud primario
Fuente INTOSAI Working Group on IT Audit, 8th Performance Auditing Seminar on IT Audit Brasilia, Brazil - 28-29 April 2016 - 2016
Casos de Uso Entidad de Fiscalización Superior de la India
Se utilizó World Cloud
Casos de Uso Entidad de Fiscalización Superior de la India
Distrito IMR Real IMR Predicho
Baran 62 60.2
Nagur 59 61.15
Sikar 56 56.65
Casi una correlación perfecta entre la calidad del agua y el IMR
Fuente INTOSAI Working Group on IT Audit, 8th Performance Auditing Seminar on IT Audit Brasilia, Brazil - 28-29 April 2016 - 2016
Casos de Uso Entidad de Fiscalización Superior de Brasil
Calcular la probabilidad del índice de falla en contratos de transferencia de dinero voluntario entre el Gobierno Federal, los estados y municipios 90,000 contratos firmados desde 2008 El TCU (Tribunal de Cuentas de la Unión) había revisado 9,000 contratos • Éxito: Cuando se prueba a cualquier clase de control y no es encuentra
alguna falla relevante. En este caso no se requiere regresar el dinero • Falla: Cuando en cualquier control se encuentra alguna falla relevante,
implica regresar el dinero al garante
Fuente INTOSAI Working Group on IT Audit, 8th Performance Auditing Seminar on IT Audit Brasilia, Brazil - 28-29 April 2016 - 2016
Casos de Uso Entidad de Fiscalización Superior de Brasil
Entrenamiento Arboles de decisiones C5.0 (Quinlan, 1993)
Prueba Exactitud 90%
Falso x 4.5%
Falso 5.5%
Fuente INTOSAI Working Group on IT Audit, 8th Performance Auditing Seminar on IT Audit Brasilia, Brazil - 28-29 April 2016 - 2016
Casos de Uso Entidad de Fiscalización Superior de Brasil
Fuente INTOSAI Working Group on IT Audit, 8th Performance Auditing Seminar on IT Audit Brasilia, Brazil - 28-29 April 2016 - 2016
Trabajo integrado de auditoría • 10 Estados • 51 Contratos • Exactitud del modelo: 81%
Casos de Uso Entidad de Fiscalización Superior de EUA
Fuente INTOSAI Working Group on IT Audit, 8th Performance Auditing Seminar on IT Audit Brasilia, Brazil - 28-29 April 2016 - 2016
Utilizar analítica de datos para identificar disparidad de géneros en concesión de subvenciones de investigación En 2014 en EUA las universidades recibieron cerca de $25 billones de USD en fondos federales para investigación en Ciencia, Tecnología, Ingeniería y Matemáticas (STEM) Algunos estudios muestran que las mujeres frecuentemente están subrepresentadas en los campos de STEM
Casos de Uso Entidad de Fiscalización Superior de EUA
Fuente INTOSAI Working Group on IT Audit, 8th Performance Auditing Seminar on IT Audit Brasilia, Brazil - 28-29 April 2016 - 2016
Fuente de Datos Descripción
Bases de datos de agencias Registro de las aplicaciones y subvenciones concedidas por seis agencias
Encuesta a los que recibieron un doctorado (SDR)
Encuesta dela NSF de aquellos que recibieron un doctorado en ciencias, ingeniería o salud de una institución de EUA
Base de datos de nombres de seguridad social Registro de nombres asociados con los número de seguridad social y el género reportado
Casos de Uso Entidad de Fiscalización Superior de EUA
Información de investigadores Recolectada
Casos de Uso Entidad de Fiscalización Superior de EUA
Rangos de concesión de subvenciones
Riesgos del Big Data
Fuente Enabling Big Data by Removing Security and Compliance Barriers, SANS Institute, Abril 2015
PII
Re
gist
ros
de
neg
oci
o
Re
gist
ros
de
em
ple
ado
s
Pro
pie
dad
Inte
lect
ual
Dat
os
Tra
nsa
ccio
nal
es
Info
rmac
ión
de
tarj
eta
de
créd
ito
Re
gist
ros
Clín
ico
s
Info
rmac
ión
de
Ciu
dad
ano
s
Re
gist
ros
de
estu
dia
nte
s
Otr
os
Segu
rid
ad N
acio
nal
Ambas
No estructurada
Estructurada
Sensibilidad de la información
Riesgos del Big Data
Fuente Enabling Big Data by Removing Security and Compliance Barriers, SANS Institute, Abril 2015
Regulaciones aplicables
HIPAA
PCI
SOX
FISMA
GLBA
EU Directiva de protección de datos
EURO-SOX
PIPEDA (Canada)
FERPA
FDA Title 21 CFR Part 11
Locales / Estatales
Otras
7 Octubre 2016
Auditoría en SCADA/ICS
Gabriela Reynaga Vargas CRISC, GRCP, COBIT 5 F, COBIT 5 ACCREDITED TRAINER
Consejera Independiente Certificada
Directora IT Audit & Governance
SCADA/ICS
• Administra • Ordena • Dirige Regula • Controla
SCADA/ICS
Salud
Manufactura
Alimentos
Transporte Energía
Seguridad
Financiero
Antes y ahora
ISA 88 ISA 95 ISA 99
Vulnerabilidades (solo algunas)
o Mal diseño de las redes o Administración relacionados a los ICS o Problemas de Infraestructura Tecnológica o Falta de Antivirus Integral o Falta de documentación de los procesos o Sistemas antiguos o Sistemas diseñados sin considerar la seguridad
¿En qué nos basamos?
¿Qué hemos encontrado?
1. Falta de Políticas y procedimientos de cyberseguridad 2. Falta de documentación SOP, WIP 3. Falta de software antivirus 4. Administración de parches en los sistemas 5. IT shadow 6. Definición de responsabilidades de administración de los sistemas 7. Equipos y sistemas obsoletos 8. Redes de negocios y de manufactura sin segmentar 9. Autenticación de usuarios 10. Password que nunca han cambiado o expuestos 11. Falta de monitoreo de las IP’s 12. Falta de administración de los accesos remotos 13. Falta de auditoría a los sistemas desde el punto de vista de seguridad 14. Falta de respaldos y pruebas de recuperación 15. Seguridad física de los equipos
7 Octubre 2016
Panel con 3 Presidentes
ISACA Monterrey Presidente
Arnulfo Espinosa
“Tendencias de Auditoría y Riesgos”
ISACA México Presidente
Roberto Hernández
Moderador
David Hernández
ISACA Guadalajara Presidente
Gabriela Reynaga
