El uso de la tecnología aplicada al negocio, al alcance de cualquier área no-tecnológica y con una oferta “a la carta” nos propone una integración de nuevas metodologías y herramientas que puede superar las capacidades de gobierno y control interno de las organizaciones.
Debido a ello, y en apoyo a las áreas tecnológicas, de ciberseguridad y seguridad de la información, la auditoría debe proponer una nueva visión asociada a detectar las brechas en la gestión y estandarización de las nuevas tecnologías y en metodologías asociadas a proyectos, para asegurar a la organización no solo el cumplir con requisitos de cumplimiento, sino también con aspectos de ciberseguridad y seguridad de la información que aseguren su negocio.
https://youtu.be/z2fx2OmQFts
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
1.
2. GOBIERNO DE CIBERTECNOLOGÍA
Y CIBERSEGURIDAD
LA DIGITALIZACIÓN DEL
NEGOCIO Y LA eVOLUCIÓN DE
LA AUDITORÍA
Fabián Descalzo – Director (fdescalzo@bdoargentina.com)
Fabián posee 30 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información,
Gobierno de TI, Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes
y Normativas Nacionales e Internacionales en compañías de diferentes áreas de negocio. Docente del módulo de Seguridad
de la Información en la “Diplomatura en Gobierno y Gestión de Servicios de IT” del ITBA; en “Sistemas de Gestión IT”
y “Seguridad de la Información” en TÜV Rheinland Argentina; del módulo Auditoría y Control en Seguridad de la
Información en la Universidad Nacional de Rio Negro. Miembro del Comité Científico del IEEE (Institute of Electrical and
Electronics Engineers), del Comité Directivo de ADACSI/ISACA. Disertante nacional e internacional y columnista
especializado en áreas de Gobierno de la Tecnología y Seguridad de la Información, Ciberseguridad y Auditoría, Informática
en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-
Community, EXIN Newsletter de España y MAGAZCITUM de México.
ESPECIALIDADES Y ÁREAS DE CONOCIMIENTO
Riesgo, Gobierno y Auditoría de TI
Continuidad de Negocio y Recuperación de Procesos de Servicios de TI
Análisis de riesgos de Ti y Seguridad de la Información
Cumplimiento de Marco Regulatorio (SOX, HIPAA, PCI-DSS, Data Privacy, Internal Frame)
Gobierno de Seguridad de la Información
Procesos de Servicios TI
Cibercrimen
CERTIFICACIONES - PRACTICAS NOTABLES
COBIT5 Foundation, Lead Auditor ISO/IEC 20000:2011, IRCA ISMS Auditor: Lead Auditor ISO/IEC 27001, Lead Auditor ISO/IEC
22301:2019, ITIL® version 3:2011 Information Management, ITIL® version 3:2011, Accredited Trainer (EXIN Accreditation)
3. LA DIGITALIZACIÓN DEL NEGOCIO Y LA
eVOLUCIÓN DE LA AUDITORÍA
27 de Noviembre 2020 – 11:30 Hs
5. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
NECESIDAD DEL NEGOCIO DE
INNOVAR TECNOLÓGICAMENTE PARA
MEJORAR SUS RESULTADOS
NECESIDAD DE LA AUDITORÍA DE
INNOVAR PARA PROTEGER EL
NEGOCIO DE RIESGOS DE LAS
NUEVAS TECNOLOGÍAS
6. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Optimismo Mantener
siempre la postura de
vigilancia y monitoreo
para una resiliencia
digital de los negocios
Falsa sensación de
protección No
permite saber
realmente lo que pasa
en el entorno,
cambiante e incierto
Parcialidad
Ciberseguridad desde
el Gobierno
Corporativo
(estrategia, finanzas,
tecnología)
Actuar como rebaño
Abordar sus
problemas desde la
perspectiva de otra
organización, sin
contemplar
condiciones y
variantes
10. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Pérdida de gobernanza
Riesgos legales
Brechas/Fuga de datos
Inadecuada gestión de identidades
Portabilidad
Disponibilidad
Pérdida de trazabilidad
Otros riesgos o riesgos no vinculados solo a la nube
11. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Incremento de calidad y presión
de mayor reducción de riesgos
Mayor
presión
regulatoria
Volumen de información
cada vez mayor a
gestionar
Exigencia de los clientes
de un mayor nivel de
eficiencia
12. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Reorientar el
rol del auditor
y el mix de
habilidades
que debe
tener un
equipo de
auditoría
Automatización de
procesos, Machine
Learning y la realidad
virtual aumentada
Estandarización de sistemas
Movilidad y la interconectividad
de los equipos de auditoría
Colaboración entre los equipos y
con los clientes
Automatización y eficiencia de
los procesos
Análisis y visualización de la
información disponible
Disponibilidad y seguridad de la
información
Cumplimiento regulatorio
Entender el negocio
Definir el universo se TI
Realizar la evaluación de riesgos
Formalizar el Plan de Auditoría
13. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Conocimientos de:
Superusuario de los módulos
financieros del ERP
Superusuario de CRM
Gestión de entornos
tecnológicos (marcos de
gestión de seguridad de la
información, gestión de
riesgos, gestión de programas y
desarrollos)
Conocimientos de:
Superusuario de los
módulos financieros del ERP
Superusuario de CRM
Parametrización de gestor
documental
Evaluación del entorno de
ciberseguridad
Análisis de entornos
tecnológicos, su gobierno y
entornos de control.
Análisis de datos mediante
herramientas de analytics.
Desarrollo en herramientas
RPA para automatización de
procesos
Conocimientos de:
Usuario de los módulos
financieros del ERP
Usuario básico de CRM
Conocimientos de
ciberseguridad
Evaluación de entornos
tecnológicos
Técnicas de extracción y
análisis de datos
Dashboard y reporting
14. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
HERRAMIENTAS DE GESTIÓN INTERNA
Software para la planificación de
recursos empresariales (ERP)
Herramientas de gestión documental
Herramientas colaborativas
(documental, comunicación,
almacenamiento, videollamadas,
etc.)
Software de gestión de clientes
(CRM)
HERRAMIENTAS DE GESTIÓN DE PROCESOS
DE AUDITORÍA
Herramientas de gestión documental
Software de gestión de auditoría
Herramientas de reconocimiento
óptico de caracteres (OCR)
Herramientas de Analytics
Herramientas de reporting
Herramientas de muestreo
Herramientas de tratamiento de la
información y circularizaciones
Herramientas de análisis de redes
sociales
Herramientas de automatización
(minería de procesos, contratos, segregación, etc.)
Herramientas de control de inventario
15. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Menos de 10 auditores
Madurez tecnológica
De 10 a 50 auditores
Madurez tecnológica
Más de 50 auditores
Madurez tecnológica
Uso de plataformas y servicios estandarizados en la nube
Invertir en tecnología o externalizar servicios
Mecanismos sencillos de colaboración para intercambio de
información y reporting
Soluciones de colaboración para equipo de trabajo y con clientes.
Explorar el uso de herramientas de análisis de datos
Gestión de la organización interna basado en un sistema de gestión
integrado (CRM+ERP).
Uso de herramientas de análisis de datos para la extracción de
información y pruebas de controles y sustantivas.
Plantear el uso de soluciones automatizadas para procesos concretos
Conexión a diferentes herramientas útiles para la identificación de
riesgos preliminares y aseguramiento de la independencia.
Uso intensivo de herramientas de análisis de datos que sean capaces
de realizar también análisis predictivo.
Automatización de los procesos de auditoría con uso combinado de
robótica, inteligencia artificial y machine learning
16. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Fiabilidad y disponibilidad de la información de los clientes
Costo de implementación de la tecnología
Gestión del cambio y transformación cultural
El cumplimiento regulatorio
Riesgo de no poder atraer o retener profesionales con las
capacidades necesarias
Mayor eficiencia y efectividad en la
ejecución de la auditoría
Mejora de la calidad de los resultados
Mayor valor aportado a los clientes
Reducción de riesgos en la auditoría
17. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
LINEAMIENTOS SOBRE CIBERSEGURIDAD
Guías de supervisión para la
Ciberseguridad y Ciber-resiliencia
https://www.bcra.gob.ar/SistemasFinancierosYdePagos/CiberSeguridad-y-Ciberresilencia.asp
https://www.bcra.gob.ar/SistemasFinancierosYdePagos/Guías-de-supervisión.asp
18. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Tabla de valoración de
criticidad (3 niveles)
Requisitos
Mínimos de
Seguridad
Gestión para
la correlación
de eventos
Gestión interna o
externa de proceso
de incidentes
El Directorio o autoridad equivalente es responsable
primario de la gestión de seguridad informática
Banca Móvil
(BM),
Banca por
Internet (BI)
Cajeros
Automáticos
(ATM)
Puntos de
venta (POS)
CANALES
ELECTRÓNICOS
Comunicación “A”
5374
Garantizar registro y
trazabilidad completa de
las actividades
Terminal de
autoservicio
(TAS)
Banca
Telefónica (BT)
Plataforma de
Pagos Móviles
(PPM)
19. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Información,
comunicación
y formación
Referencias,
registros de
comprobación
Proveedores
tecnológicos,
instalaciones,
metodología
21. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Ciclos de Auditoría 2021
Revisiones de dominios de ciberseguridad en ciclos de auditoría
Familia de controles de
ciberseguridad según
NIST 800-53 r4
Seguim
ientoPOS
Inventario
Tecnológico
ContabilidadGeneralPagoaproveedores
CicloCom
pras
Depósitos/CA-CC-PF
RiesgoOperacional
RiesgoTecnológico
OPORTUNIDADES DE MEJORA
Adquisición de Sistemas y servicios X
Auditoría y Responsabilidad X X X
Capacitacion y Training
INCLUIR PARA TODOS LOS CICLOS LA CONSULTA DEL
NIVEL DE CAPACITACIÓN Y TRAINING EN EL PERSONAL
Concientización X X
Continuidad
Control de acceso
Control de acceso remoto
Evaluación y Autorización de Seguridad
Gestión de cuentas
API|Aseguramiento de Procesos Informáticos
RAS | Risk Advisory Services | IT Assurance, Audit and Compliance
PROGRAMA DE AUDITORÍA ANUAL DE TECNOLOGÍA
Protección y control + seguimiento del informe a SCADA 2019
Ciclos AMBIENTE RED ADMINISTRATIVA
Ciclos AMBIENTE OT
Comunicaciones-Protección y Control-DAG/SCADA CENTRAL
Gestión de riesgos tecnológicos y seguridad de la información a los objetivos
del negocio
Análisis de riesgos al ambiente OT orientado al negocio
Ciclo CONTROL DE SOFTWARE DE BASE Y CIBERSEGURIDAD TÉCNICA Ciclo CIBERSEGURIDAD EN SISTEMAS DE CONTROL INDUSTRIAL
Auditoría técnica - 1 Pentest + AV Externo (Hasta 13 IPs, blackbox) Análisis de Vulnerabilidades
Auditoría técnica - 1 Pentest + AV Interno (Hasta 100 Ips, blackbox) identificación de activos cibernéticos críticos
Ciclo GOBIERNO Y OPERACIÓN DE SERVICIOS CLOUD controles de gestión de seguridad
Gobierno de los servicios de computación en la nube seguridad y formación de los recursos humanos
Gestión de riesgos empresariales y de la información perímetros de seguridad electrónicos y seguridad física
Gestión de terceros gestión de seguridad de sistemas
Cumplimiento Legal y Electrónico, Certificaciones seguridad física
Planificación de la transición de servicio informes y planificación de respuestas a incidentes de ciberseguridad
Respuesta a incidentes, notificación y corrección planes de recuperación para activos cibernéticos críticos
Seguridad de aplicaciones Ciclo DIRECCIÓN TECNOLÓGICA
Seguridad e integridad de los datos Dirección tecnológica (Gobierno de TI, Política de TI, Misión y visión)
Gestión de claves, Identidad y Acceso
Organización de la unidad de TI (Asignación de roles y responsabilidades para la
gestión de TI, estandarización, marco normativo)
Virtualización Gestión de presupuesto de TI (Gestión de presupuesto de TI)
23. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍA
Convertir Auditores de Sistemas en Auditores del
Negocio
Entrenar a Auditores del Negocio en el uso de
herramientas tecnologías
Invertir en capacitación sobre nuevas tecnologías
Uso intensivo de Data Analytics
Metodología Agile (Estrategia, Plan flexible, Mejor y
mayor análisis de la “Data” en los procesos auditados,
uso inteligente de la tecnología en los proyectos y en el
servicio al cliente (lista de requerimientos, consultas en
línea sobre el “status de las observaciones“, etc.)
24. API
Aseguramiento de Procesos Informáticos
RAS | Risk Advisory Services | IT Assurance, Audit and Compliance
Pablo Silberfich
Socio
psilberfich@bdoargentina.com
Fabián Descalzo
Director
fdescalzo@bdoargentina.com