El control interno debe proponer una nueva visión asociada a detectar las brechas en la gestión y estandarización de las nuevas tecnologías, para asegurar a la organización no solo el cumplir con requisitos de cumplimiento, sino también con aspectos de ciberseguridad y seguridad de la información que aseguren su negocio.
Reviví nuestra charla donde presentamos las pautas para crear un entorno auditable en la organización que brinde alternativas al programa de control interno respecto de la seguridad de la información y ciberseguridad para la protección del negocio.
Accedé al video desde aquí: https://youtu.be/951TfFWM-vk
#auditoría #conferencia #Forum2023 #audit
#Ciberseguridad #Seguridad #Informatica #Tecnologia #Digital #Riesgo
BDO Argentina
https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universo
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOS
1. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
25º Encuentro Anual
AUDITORIA EN EMPRESAS
2. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
3. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Fabián Descalzo (fdescalzo@bdoargentina.com)
Socio y DPO de BDO en Argentina del Departamento de Aseguramiento de
Procesos Informáticos (API). Posee 30 años de experiencia en el área de gestión
e implementación de Gobierno de Seguridad de la Información, Gobierno de TI,
Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para
el cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compañías de primer nivel de diferentes áreas de negocio.
Docente en la Universidad Argentina de la Empresa – UADE, del Instituto
Tecnológico Buenos Aires (ITBA), en la Universidad Nacional de Río Negro y
Docente en Sistemas de Gestión IT, Seguridad de la Información y Auditoría IT
para TÜV Rheinland.
Autoridad del Comité de Seguridad Patrimonial y Seguridad de la Información en
AmCham Argentina, Miembro Titular del Comité Directivo y Presidente de la
Comisión de Educación de ISACA Buenos Aires Chapter, Miembro de la Asociación
Latinoamericana de Privacidad, de la Asociación Argentina de Ética y Compliance,
y del Comité Científico del IEEE (Institute of Electrical and Electronics Engineers)
4. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
“La Dirección debe
comprender y
abordar la
ciberseguridad como
un riesgo estratégico
y empresarial, no
solo como un riesgo
de TI”
5. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
1900 1951
W. Edwards Deming
Luego de la 2da guerra mundial, prolifera la
cultura de calidad japonesa y de sus productos a
nivel mundial
2000
Primeros ataques desde Internet
Procesos distribuidos, internet y crecimiento dependencia
tecnológica, Proveedores, dispositivos extraíbles
Transformación
digital (Industria 4.0)
2020
Ataques a red corporativa
Ataques a defensa, tecnología mobile, fraude online,
riesgos internos, privacidad, IoT, Teletrabajo
Sistema de Producción
Toyota (TPS)
Just In Time,
Kanban, PDCA
Surge por la necesidad de las
empresas de adaptarse al cambio en
las demandas de sus clientes
Reportó que hay más de 6.500.000
usuarios de billeteras virtuales en el
país. Las personas multiplicaron el
uso de este tipo de plataformas en
un rango de entre 120 y 800%
2025
80 % de los procesos de
negocio serán automatizados
PREVIO A LA PANDEMIA, GARTNER ESTIMABA QUE EN
2020 EL 60% DE LOS NEGOCIOS DIGITALES SUFRIRÁN
GRANDES FALLOS DE SEGURIDAD
6. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
7. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Más del 80% de los CEOs
Canadienses mencionana
los ciberataques como una
de las amenazas principales
para el potencial
crecimiento de su empresa
Fuente: Informe de amenazas 2022
de BlackBerry
8. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
9. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
10. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
“En la actualidad, los negocios tienen 15 veces más probabilidades de tener un
ciberataque que de sufrir un incendio o un robo.“
Fuente: FORBES Argentina + World Economic Forum
Se filtraron los datos de más de 300 mil
cuentas de Mercado Libre. La compañía
reconoció que hubo un acceso no autorizado
al repositorio de su código fuente
Los ciberdelincuentes clonaron la voz del
director de un banco de Hong Kong, para
autorizar la transferencia de US$35 millones a
cuentas fraudulentas.
https://www.forbesargentina.com/money/ciberseguros-cuales-
son-riesgos-nuevas-oportunidades-ofrece-industria-n17136
Durante 2022, el país sufrió más de 3.200 millones de intentos de ciberataques. Esto
incluyó tanto a empresas privadas como a organismos estatales
11. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
El incremento del uso de canales digitales y compras a través de canales
e-commerce o marketplace fueron las dos variables que propiciaron los
ciberataques
De un total de 240.100
víctimas, 92.199 personas
sufrieron fraudes a través
de sus tarjetas bancarias, y
28.863 personas sufrieron
estafas bancarias
Más del 50% de los
ataques
informáticos fueron
contra los clientes
bancarios
A nivel mundial, el 61% de
los bancos incrementan su
presupuesto en respuesta a
ataques informáticos
Cada 39 segundos hay un ataque
informático, situación que se acrecentó a
partir del 2020, año en que se empezaron a
incrementar las transacciones virtuales,
como consecuencia del confinamiento por la
pandemia del Covid 19.
FUENTE: ESET Security
12. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
IoT
Internet of Things
IT
Information Technology
OT
Operational Technology
Colaboradores
Externos
Cliente
VECTORES DE FRAUDE
Colaboradores
Seguridad
digital
13. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
LOS ESPECIALISTAS DE FRAUDE IDENTIFICAN UN CICLO DE 12- 18 MESES DESDE LA FUGA DE UN DATO HASTA LA
REALIZACION DEL FRAUDE
1.Fuga de datos
Top 8 de causas :
i. Credenciales débiles
ii. Vulnerabilidades de
aplicaciones
iii. Malware, ingeniería social
iv. Malospermisos de datos
v. Insider
vi. Ataque físico
vii. Configuración incorrecta
2. Venta
La data es vendida en el Darkweb a
especialistas en ingeniería de datos y
análisis
3. Enriquecimiento
Los criminales combinan la información con otras fuentes de datos (ej. Redes sociales)
4. Pruebas
ej.. probar que la
tarjeta de crédito
funciona, mirar ratings
de crédito, etc..
5. Segmentación
Segmentar data en factores como calidad,
completitud, riqueza, etc.
6. Monetización
Empacado y vendido en la Darkweb a
especialistas de fraude
7. Despliegue
Especialistas de fraude utilizan
los datos para…
Pedir dinero
prestado
Declarar
impuestos
Reclamar
beneficios
sociales
Crear billeteras
móviles
Hacer reclamos
de seguros
Vender activos
de las victimas
Desocupar
cuentas
bancarias
Usar/vender
puntos de
lealtad
bienes y
servicios
Comprar Solicitar
documentosde
identidad
Crear tarjetas
falsas
Políticas de
efectivo
Usode cuentas
Retail/Telco
Clonación/
cambio de SIM
card
Crear cuentas
de
Telco/Bancos
8. Reutilizar
Los datos se reutilizan combinándose con fraudes
pasados
Fuente: Hernán Carrascal
14. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Definiciones y ámbito de aplicación
Proporcionalidad
Gobernanza y mantenimiento de registros
Fase previa a la externalización
Acuerdos de subcontratación
Seguridad de los datos
Derechos de acceso, auditoría e información
Subcontratación
Respuesta a incidentes y planes de continuidad del negocio
Auditoría participar
desdeel inicio
Favorece a construir
un entorno auditable
Favorece a construir controles
eficientes y eficaces
15. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
16. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
17. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
18. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
19. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
20. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Inversión en
estrategias de
ciberseguridad
Áreas de auditoría
y control interno
Mitigación de
riesgos y seguridad
de la información
21. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Organización
CIO
Aplicaciones
Arquitectura IT
Infraestructura
y operaciones
IT
CISO
Arquitectura
de seguridad
Seguridad y
gestión del
riesgo
Auditoría
Auditoría de
procesos
Auditoría de IT
y Seguridad
Gestión del Fraude
Monitoreo y
control
Investigaciones
22. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Estrategia de ciberseguridad
IAM CIAM
Cliente
Colaboradores
Gestión de la
identidad
Gestión de
riesgos
Gestión de
Accesos
Gestión de la
Trazabilidad
23. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
24. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
“Los directores deben
comprender las
implicancias de los
riesgos cibernéticos en
relación con las
circunstancias
específicas de su
empresa.”
25. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
26. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
27. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Fuentes:
1. The Institute of Internal Auditors (IIA) - The OnRisk 2022
2. OEA - Manual de supervisión de riesgos cibernéticos para juntas corporativas 2022
CIBERSEGURIDAD: Organizaciones suficientemente
preparadas para gestionar ciberamenazas que podrían
causar interrupciones, daños a la reputación y daños
económicos.
CULTURA: Si las organizaciones entienden, monitorear
y administrar el tono, los incentivos y las acciones que
impulsan el comportamiento deseado frente a la
ciberseguridad y seguridad de la información.
INNOVACIÓN DISRUPTIVA: Si las organizaciones están
preparadas para adaptarse y/o capitalizar la
disrupción.
PRINCIPALES riesgos que afectarána las organizaciones
(sin importarsu tamaño) en 2022
Principios sobre riesgos al
negocio relacionados con
ciberseguridad, y como
enfrentarlos
(actualización y gestión
del riesgo de
ciberseguridad en toda la
empresa, implicancias
legales, discutir en las
juntas estos riesgos, así
como el presupuesto y
recursos para mitigarlos)
Manual de supervisión de riesgos cibernéticospara
juntas corporativas
28. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
29. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Entender
el
contexto
30. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
31. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
CONTROLES
DE
CIBERSEGURIDAD
Factor Humano
32. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Auditorías de ciberseguridad según el objetivo
Auditorías forenses
Auditorías web
Auditorías de código
Hacking ético
Análisis de vulnerabilidades
Auditoría de redes
Auditorías de ciberseguridad según la
información proporcionada (test de
penetración)
Auditorías de
ciberseguridad
33. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
HERRAMIENTAS DE GESTIÓN DE
PROCESOS DE AUDITORÍA
Herramientas de gestión
documental
Software de gestión de auditoría
Herramientas de reconocimiento
óptico de caracteres (OCR)
Herramientas de analítica
Herramientas de reportes
Herramientas de muestreo
Herramientas de tratamiento de la
información y circularizaciones
Herramientas de análisis de redes
sociales
Herramientas de automatización
(minería de procesos, contratos,
segregación, etc.)
Herramientas de control de
inventario
TENDENCIAS
Cloud
Social media
Analytics
AI & RPA
Ciberseguridad
IMPACTO EN LAS AUDITORÍAS
Revisión de procesos utilizando
sistemas
No trabajar solo con muestreos
Modelos analíticos y datos
sectoriales
Identificación de riesgos futuros y
oportunidades
Profundización de trabajos de
aseguramiento
34. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Inteligenciaartificial
LOS SISTEMAS DE IA
SON SUSCEPTIBLES DE
SUFRIR CIBERATAQUES
1950 Alan Turing define condiciones
1956 John McCarth crea el término AI
1970/1980 Investigaciones
1996 DeepBlue gana al campeón de ajedrez Kaspárov
No deja de ser un sistema de
software en el que se utilizan
datos, modelos y algoritmos
de procesamiento
ATAQUES MAS COMUNES A LA AI
Inyección de datos
Manipulación de datos (salida)
Manipulación de datos (entrada)
Corrupción de la lógica (algoritmo de machine learning para alterar el proceso de aprendizaje)
Reconstrucción de datos para violar la privacidad de un individuo
Extracción, para cambiar el modelo y generar pérdida de integridad
https://insights.sei.cmu.edu/blog/adversarial-ml-threat-matrix-adversarial-tactics-techniques-and-common-knowledge-of-machine-learning/
ATAQUES QUE UTILIZAN LA AI
Ataques de phishing perfeccionados y personalizados
Malware y ransomware más efectivo
Data poisoning
Robo de datos personales y suplantación de identidad
Deepfakes
QUE DEBEMOS AUDITAR EN LA AI
Privacidad
Equidad/ Causalidad
Trazabilidad y Robustez/Fiabilidad
Gobernanza del dato
35. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
36. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
MEJORAR LA IDENTIDAD Y
AUTENTICACIÓN
Las tecnologías de autenticación están
evolucionando más rápido (certificados móviles,
digitales, identificación federada, biometría, etc.)
convirtiéndose en la norma
APRENDER
Desarrollar nuevas alianzas y formas de trabajar en todo el
ecosistema. Imaginar nuevas formas de resolver problemas de
fraude
DISEÑAR EL MODELO OPERATIVO
DE GESTIÓN DE FRAUDE
Diseñar componentes de gobierno, procesos,
estructura y fuerza de trabajo, tecnología y cultura
GESTIONAR EL TALENTO
Modificar y entrenar los equipos para que se ajusten a las nuevas
tecnologías y creen valor real para el negocio
INVERTIR EN AUTOMATIZACIÓN DE
CONTROLES
Know Your Customer (KYK) controles y procesos de
supervisión para conocer a nuevos y antiguos clientes.
Análisis de comportamiento, geolocalización, autenticación
basada en riesgos (SOC, CIAM, IAM, OSINT, OFD, etc)
CREAR UNA ARQUITECTURA
ORGANIZACIONAL
Alinear diferentes procesos de la organización
orientados a los roles, datos y privilegios de acceso y
procesamiento de datos con una visión de riesgos
relacionados con el fraude
PILARES PARA LA
PREVENCIÓN DEL
FRAUDE
37. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Tener una visión de auditoría en función de negocio y procesos
Invertir en capacitación sobre nuevas tecnologías para el control interno
Capacitar a los auditores en la tecnología utilizada en la compañía
Incluir los riesgos de ciberseguridad en el plan estratégico de auditoría
Discutir asuntos relacionados con el fraude y la ciberseguridad en toda la
organización
Mejorar los diferentes procesos de la organización con una visión de riesgo y
prevención del fraude
Mantener registros de problemas de ciberseguridad y ataques de fraude
Fortalecer el monitoreo de los contratos y la gestión con terceros
Fomentar el autocontrol y la autogestión
Implementar y mantener controles
Principales tips
38. CONTROL INTERNO Y LA EVOLUCIÓN DE LOS NEGOCIOS
Auditoria y prevención del fraude interno y externo
Fabián Descalzo
Socio
fdescalzo@bdoargentina.com