Este documento discute los riesgos de fraude relacionados con la tecnología y la ciberseguridad. Señala que los empleados internos representan el mayor riesgo de fraude y que las prácticas de ciberseguridad pueden mitigar este riesgo al tiempo que generan evidencias. También analiza cinco riesgos tecnológicos clave de fraude: intrusión a la infraestructura, ciberataques masivos, aumento de los costos por ciberataques, fallas en la gestión de servicios tercerizados y
A single email can cause a multi-million dollar breach if opened by an end-user with no security awareness, they may not even be aware of their mistake. The problem lies in the fact that only a few end-users are aware of the dangers of social engineering, much less how to detect it. It is a major issue in the business world today.
This document seeks to address the most common threats that can be posed to an entity and also recommend security measures that can be implemented to avoid such attacks.
Learn more at https://www.multinationalnetworks.com
How to Build an Insider Threat Program in 30 Minutes ObserveIT
People are the core of your business, but they are also responsible for 90% of security incidents. There is no patch for people. To reduce the likelihood of insider threats, you need the right people, process and technology to make it happen.
Join our upcoming webinar and learn how to own the insider threat program at your company.
After this webinar you’ll know:
Terminology – what are the buzzwords (Insider Threat)
People – who needs to be involved to make it happen (exec team, legal, HR, etc.)
Process – how do you operationalize an insider threat program
Technology— how Insider Threat Management solutions work (ObserveIT)
About the speaker:
Jim Henderson is the CEO of TopSecretProtection.com and InsiderThreatDefense.com. Jim is a renowned Insider Threat Defense Program Training (ITDP) Course Instructor and has 15 years of hands-on experience developing successful Counterespionage-Insider Threat Defense Programs.
ISO 27001 - information security user awareness training presentation - Part 1Tanmay Shinde
This is a presentation on information security and its importance. It talks about ISO 27001 in later part.
http://www.ifour-consultancy.com - software outsourcing company in india
Awareness Training on Information SecurityKen Holmes
We look at the potential risks to information security, how to minimise these when on the internet and how the ISO/IEC 27001 standard can play a part in doing so.
Information Security Awareness
Tips to improve infosec awareness in any organization
To learn more visit http://www.SnapComms.com/solutions/employee-security-awareness
A single email can cause a multi-million dollar breach if opened by an end-user with no security awareness, they may not even be aware of their mistake. The problem lies in the fact that only a few end-users are aware of the dangers of social engineering, much less how to detect it. It is a major issue in the business world today.
This document seeks to address the most common threats that can be posed to an entity and also recommend security measures that can be implemented to avoid such attacks.
Learn more at https://www.multinationalnetworks.com
How to Build an Insider Threat Program in 30 Minutes ObserveIT
People are the core of your business, but they are also responsible for 90% of security incidents. There is no patch for people. To reduce the likelihood of insider threats, you need the right people, process and technology to make it happen.
Join our upcoming webinar and learn how to own the insider threat program at your company.
After this webinar you’ll know:
Terminology – what are the buzzwords (Insider Threat)
People – who needs to be involved to make it happen (exec team, legal, HR, etc.)
Process – how do you operationalize an insider threat program
Technology— how Insider Threat Management solutions work (ObserveIT)
About the speaker:
Jim Henderson is the CEO of TopSecretProtection.com and InsiderThreatDefense.com. Jim is a renowned Insider Threat Defense Program Training (ITDP) Course Instructor and has 15 years of hands-on experience developing successful Counterespionage-Insider Threat Defense Programs.
ISO 27001 - information security user awareness training presentation - Part 1Tanmay Shinde
This is a presentation on information security and its importance. It talks about ISO 27001 in later part.
http://www.ifour-consultancy.com - software outsourcing company in india
Awareness Training on Information SecurityKen Holmes
We look at the potential risks to information security, how to minimise these when on the internet and how the ISO/IEC 27001 standard can play a part in doing so.
Information Security Awareness
Tips to improve infosec awareness in any organization
To learn more visit http://www.SnapComms.com/solutions/employee-security-awareness
Employee Awareness in Cyber Security - KloudlearnKloudLearn
The goal of employee awareness in cybersecurity is to make employees aware of the procedures, policies, guidelines, and practices for configuring, managing, and executing cybersecurity in the organization.
Concienciacion en ciberseguridad y buenas prácticas Javier Tallón
Ponencia ofrecida en la jornada informativa de presentación del Programa de Ciberseguridad de la Cámara de Comercio de Granada sobre "Concienciación en Ciberseguridad y Buenas Prácticas" en la empresa.
Your adversaries continue to attack and get into companies. You can no longer rely solely on alerts from point solutions to secure your network. To identify and mitigate these advanced threats, analysts must become proactive in identifying not just indicators, but attack patterns and behavior. In this workshop we will walk through a hands-on exercise with a real world attack scenario. The workshop will illustrate how advanced correlations from multiple data sources and machine learning can enhance security analysts capability to detect and quickly mitigate advanced attacks.
Secrets to managing your Duty of Care in an ever- changing world.
How well do you know your risks?
Are you keeping up with your responsibilities to provide Duty of Care?
How well are you prioritising Cybersecurity initiatives?
Liability for Cybersecurity attacks sits with Executives and Board members who may not have the right level of technical security knowledge. This session will outline what practical steps executives can take to implement a Cybersecurity Roadmap that is aligned with its strategic objectives.
Led by Krist Davood, who has spent over 28 years implementing secure mission critical systems for executives. Krist is an expert in protecting the interconnectedness of technology, intellectual property and information systems, as evidenced through his roles at The Good Guys, Court Services Victoria and Schiavello.
The seminar will cover:
• Fiduciary responsibility
• How to efficiently deal with personal liability and the threat of court action
• The role of a Cybersecurity Executive Dashboard and its ability to simplify risk and amplify informed decision making
• How to identify and bridge the gap between your Cybersecurity Compliance Rating and the threat of court action
Cybersecurity Career Paths | Skills Required in Cybersecurity Career | Learn ...Edureka!
** CyberSecurity Certification Training: https://www.edureka.co/cybersecurity-certification-training **
Cybersecurity careers are complex and many roles can be found in banks, retailers and government organizations. This PPT will guide you through multiple career paths in cybersecurity. Below are the topics covered in this tutorial:
1. Where to Start?
2. Career Paths in Cybersecurity
3. Cybersecurity Job Salaries
4. Skills for Cybersecurity Careers
5. Tools & Technologies
6. Cybersecurity Careers & Estimated Annual
7. Related Occupations you should know about
Cybersecurity Training Playlist: https://bit.ly/2NqcTQV
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
📢 Hoy día nos movemos en un entorno altamente tecnológico, lo que supone muchos peligros en el mundo digital y un ambiente propicio para los ciberdelincuentes. En este contexto, el factor humano es el primer eslabón vulnerable.
Los invitamos a ver nuestro webinar sobre 𝐂𝐨𝐧𝐜𝐢𝐞𝐧𝐭𝐢𝐳𝐚𝐜𝐢𝐨́𝐧 𝐞𝐧 𝐂𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝 𝐲 𝐂𝐡𝐚𝐧𝐠𝐞 𝐌𝐚𝐧𝐚𝐠𝐞𝐦𝐞𝐧𝐭, en el que repasamos el impacto de un plan de concientización en el negocio, presentado estrategias para la automatización del proceso y compartiendo las claves para acompañar la gestión del cambio en nuestras organizaciones.
🎦 Accede desde este link: https://youtu.be/CY3FwUjqvFA
Expositores:
🥇 @Fabián Descalzo, Socio en Aseguramiento de Procesos Informáticos
🥇 @Mónica López, Líder de Proyectos de Concientización
🥇 @Carlos Rozen, Socio en Change Management
#Ciberseguridad #ChangeManagement #Cultura #Seguridad #Digital
𝐁𝐃𝐎 𝐀𝐏𝐈 seguinos en:
▶️ Web: https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
▶️ Blog: https://www.bdoargentina.com/es-ar/blogs/aseguramiento-de-procesos-informaticos-(api)
▶️ Academy: https://www.bdoargentina.com/es-ar/bdo-academy/aseguramiento-de-procesos-informaticos
▶️ Grupo Linkedin: https://www.linkedin.com/groups/12188431/
▶️ PlayList Youtube: https://www.youtube.com/playlist?list=PLYvU8I64yp6U9ZPfeoZ0NYpnVNhPr-ceo
Employee Awareness in Cyber Security - KloudlearnKloudLearn
The goal of employee awareness in cybersecurity is to make employees aware of the procedures, policies, guidelines, and practices for configuring, managing, and executing cybersecurity in the organization.
Concienciacion en ciberseguridad y buenas prácticas Javier Tallón
Ponencia ofrecida en la jornada informativa de presentación del Programa de Ciberseguridad de la Cámara de Comercio de Granada sobre "Concienciación en Ciberseguridad y Buenas Prácticas" en la empresa.
Your adversaries continue to attack and get into companies. You can no longer rely solely on alerts from point solutions to secure your network. To identify and mitigate these advanced threats, analysts must become proactive in identifying not just indicators, but attack patterns and behavior. In this workshop we will walk through a hands-on exercise with a real world attack scenario. The workshop will illustrate how advanced correlations from multiple data sources and machine learning can enhance security analysts capability to detect and quickly mitigate advanced attacks.
Secrets to managing your Duty of Care in an ever- changing world.
How well do you know your risks?
Are you keeping up with your responsibilities to provide Duty of Care?
How well are you prioritising Cybersecurity initiatives?
Liability for Cybersecurity attacks sits with Executives and Board members who may not have the right level of technical security knowledge. This session will outline what practical steps executives can take to implement a Cybersecurity Roadmap that is aligned with its strategic objectives.
Led by Krist Davood, who has spent over 28 years implementing secure mission critical systems for executives. Krist is an expert in protecting the interconnectedness of technology, intellectual property and information systems, as evidenced through his roles at The Good Guys, Court Services Victoria and Schiavello.
The seminar will cover:
• Fiduciary responsibility
• How to efficiently deal with personal liability and the threat of court action
• The role of a Cybersecurity Executive Dashboard and its ability to simplify risk and amplify informed decision making
• How to identify and bridge the gap between your Cybersecurity Compliance Rating and the threat of court action
Cybersecurity Career Paths | Skills Required in Cybersecurity Career | Learn ...Edureka!
** CyberSecurity Certification Training: https://www.edureka.co/cybersecurity-certification-training **
Cybersecurity careers are complex and many roles can be found in banks, retailers and government organizations. This PPT will guide you through multiple career paths in cybersecurity. Below are the topics covered in this tutorial:
1. Where to Start?
2. Career Paths in Cybersecurity
3. Cybersecurity Job Salaries
4. Skills for Cybersecurity Careers
5. Tools & Technologies
6. Cybersecurity Careers & Estimated Annual
7. Related Occupations you should know about
Cybersecurity Training Playlist: https://bit.ly/2NqcTQV
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
📢 Hoy día nos movemos en un entorno altamente tecnológico, lo que supone muchos peligros en el mundo digital y un ambiente propicio para los ciberdelincuentes. En este contexto, el factor humano es el primer eslabón vulnerable.
Los invitamos a ver nuestro webinar sobre 𝐂𝐨𝐧𝐜𝐢𝐞𝐧𝐭𝐢𝐳𝐚𝐜𝐢𝐨́𝐧 𝐞𝐧 𝐂𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝 𝐲 𝐂𝐡𝐚𝐧𝐠𝐞 𝐌𝐚𝐧𝐚𝐠𝐞𝐦𝐞𝐧𝐭, en el que repasamos el impacto de un plan de concientización en el negocio, presentado estrategias para la automatización del proceso y compartiendo las claves para acompañar la gestión del cambio en nuestras organizaciones.
🎦 Accede desde este link: https://youtu.be/CY3FwUjqvFA
Expositores:
🥇 @Fabián Descalzo, Socio en Aseguramiento de Procesos Informáticos
🥇 @Mónica López, Líder de Proyectos de Concientización
🥇 @Carlos Rozen, Socio en Change Management
#Ciberseguridad #ChangeManagement #Cultura #Seguridad #Digital
𝐁𝐃𝐎 𝐀𝐏𝐈 seguinos en:
▶️ Web: https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
▶️ Blog: https://www.bdoargentina.com/es-ar/blogs/aseguramiento-de-procesos-informaticos-(api)
▶️ Academy: https://www.bdoargentina.com/es-ar/bdo-academy/aseguramiento-de-procesos-informaticos
▶️ Grupo Linkedin: https://www.linkedin.com/groups/12188431/
▶️ PlayList Youtube: https://www.youtube.com/playlist?list=PLYvU8I64yp6U9ZPfeoZ0NYpnVNhPr-ceo
PREVENCION DE FRAUDES EN TRANSACCIONES ON LINE.Fabián Descalzo
Las organizaciones se enfrentan a un escenario combinado en el cual se ponen a prueba su cultura interna y la tecnología aplicada en cada uno de sus procesos de negocio, en donde ponen a prueba los recursos que emplean para garantizar seguridad a sus operaciones y a la información que gestionan.
El anhelo del “home office” perseguido y añorado por los usuarios y aplicado por no muchas empresas dentro de nuestra cultura, se ha visto repentinamente aplicado en la totalidad de las empresas llevando a crear un nuevo escenario en el uso de la tecnología y la información que combina el “home office” con el “digital home”, convirtiendo esta combinación en un escenario de HOME OFFICE EN CONTINGENCIA
https://youtu.be/Tt394-kmlrM.
GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN EN EL SECTOR SALUDFabián Descalzo
Las entidades y empresas de la Industria de la Salud presentan un ámbito complejo con respecto a la información que gestionan, ya que no solo se trata de datos comerciales o administrativos, sino que el núcleo de su actividad se plantea entorno a los datos de salud.
Por esa razón, esta industria requiere de una estructura organizativa para la gestión de la seguridad de su información, y de herramientas que le ayuden a automatizar sus procesos asociados, para establecer un gobierno ordenado y metodológico que le permita administrar la información de forma segura y bajo un criterio único de asignación de responsabilidades y recursos, protegiendo a la Entidades y Empresas de la Salud y brindando un entorno confiable de trabajo para cada uno de sus Empleados y Profesionales.
https://youtu.be/VBgW5F_2PKQ
Presentacion utilizada durante Segurinfo Argentina 2015, para soportar la discusión de por que es necesario contar con información de inteligencia confiable en el tratamiento de potenciales incidentes de seguridad.
Similar a Ciberseguridad como respuesta al fraude (20)
La Comisión de Bolsa y Valores de EEUU (SEC) estableció una actualización de sus reglamentos sobre la gestión de la ciberseguridad y su relación con los riesgos en las compañías que puedan afectar a los accionistas, responsabilizando a la Dirección y al CISO frente a ciberataques.
Esta actualización hace que las compañías que cotizan en la Bolsa de NY, enfrenten la necesidad de adoptar un enfoque proactivo y estratégico para su gobernanza. La medida establecida subraya la importancia de los riesgos cibernéticos al mismo nivel que los riesgos financieros y patrimoniales.
En esta charla, compartimos nuestro entendimiento y enfoque sobre estos temas.
𝐒𝐎𝐁𝐑𝐄 𝐅𝐀𝐁𝐈𝐀́𝐍 𝐃𝐄𝐒𝐂𝐀𝐋𝐙𝐎
👔 LinkedIn: https://linkedin.com/in/fabiandescalzo
💡 Grupo Linkedin: https://www.linkedin.com/groups/12188431/
📷 https://www.instagram.com/fabiandescalzo/
📚 Slide Share: https://slideshare.net/fabiandescalzo
🌎 Blog: https://fabiandescalzo.wix.com/blogseguridadinfo
💬 Twitter: https://www.twitter.com/fabiandescalzo
📺 YouTube: https://www.youtube.com/fabdescalzo
📨 BDO Argentina: fdescalzo@bdoargentina.com
Seguinos en:
▶️ Web:
https://www.bdoargentina.com/es-ar/servicios/consultoria/ciberseguridad-gobierno-tecnologico
▶️ Grupo Linkedin: https://www.linkedin.com/groups/12188431/
▶️ PlayList Youtube: https://www.youtube.com/playlist?list=PLYvU8I64yp6U9ZPfeoZ0NYpnVNhPr-ceo
Redes Oficiales de 𝐁𝐃𝐎:
▶️ Web: https://www.bdoargentina.com/
▶️ Linkedin: https://www.linkedin.com/company/bdo-argentina/
▶️ Marketplace: https://bdomarketplace.com/
▶️ Youtube: https://www.youtube.com/BDOenArgentina
▶️ Instagram: https://www.instagram.com/bdoargentina
CFOs Meeting 2023 | Ciberseguridad en el negocioFabián Descalzo
El uso de la tecnología aplicada al negocio nos propone una integración de nuevas metodologías y herramientas que pueden superar las capacidades de gobierno y control interno de las organizaciones. Debido a ello muchas veces es difícil garantizar los objetivos del negocio dentro de un marco de riesgos controlados en un mundo cada vez más digital, por lo que se debe proponer una nueva visión asociada entre las decisiones estratégicas de la alta dirección y los proyectos gestionados por los mandos medios.
El objetivo de esta charla es presentar pautas que puedan ser utilizadas y comprendidas por la Dirección para discutir las iniciativas y alternativas del programa de seguridad de la información en términos de los resultados para el negocio.
SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS Fabián Descalzo
El gobierno de la información supone una gestión coordinada que permite balancear el volumen, el perfil y la seguridad de la información que se obtiene, procesa, almacena y transmite en cualquier organización, que a su vez requiere establecer las medidas necesarias para que este ciclo de vida se desarrolle en forma segura y responda a los objetivos de cumplimiento regulatorio establecidos por la Dirección para sus estrategias de negocio y las propuestas tecnológicas que ofrece el mercado para mejorar y optimizar sus operaciones. Para implementar y asegurar el cumplimiento en la protección y privacidad de la información, la ISO/IEC 27701:2019 nos indica los requisitos y proporciona una guía para la implantación de un sistema de gestión de información de privacidad (PIMS), como una extensión de la ISO/IEC 27001 e ISO/IEC 27002 para la gestión de la privacidad, dentro del contexto de su empresa y enfocados a protección de datos, sobre la base de directrices y requisitos específicos de protección de datos personales, teniendo en cuenta el RGPD y otras legislaciones vigentes en materia de Privacidad y de protección de datos personales.
CONTROL INTERNO, CIBERSEGURIDAD Y LA EVOLUCIÓN DE LOS NEGOCIOSFabián Descalzo
El control interno debe proponer una nueva visión asociada a detectar las brechas en la gestión y estandarización de las nuevas tecnologías, para asegurar a la organización no solo el cumplir con requisitos de cumplimiento, sino también con aspectos de ciberseguridad y seguridad de la información que aseguren su negocio.
Reviví nuestra charla donde presentamos las pautas para crear un entorno auditable en la organización que brinde alternativas al programa de control interno respecto de la seguridad de la información y ciberseguridad para la protección del negocio.
Accedé al video desde aquí: https://youtu.be/951TfFWM-vk
#auditoría #conferencia #Forum2023 #audit
#Ciberseguridad #Seguridad #Informatica #Tecnologia #Digital #Riesgo
BDO Argentina
https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
2023 SEGURIDAD DE LA INFORMACIÓN Y PRIVACIDAD DE DATOS (version breve).pdfFabián Descalzo
📢 𝐈𝐒𝐂𝟐 𝐀𝐫𝐠𝐞𝐧𝐭𝐢𝐧𝐚 | 𝐏𝐫𝐢𝐯𝐚𝐜𝐢𝐝𝐚𝐝 𝐲 𝐜𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝
Reviví nuestra charla sobre privacidad de datos y ciberseguridad, invitados por el ISC2 Capítulo Buenos Aires, donde tratamos entre otros los siguientes temas:
• Antecedentes de la privacidad e ISO/IEC 27701
• Organización para la protección de la privacidad de datos
• Requisitos de protección de la privacidad
• Privacidad desde el diseño en proyectos tecnológicos
• La privacidad y su relación con otros estándares
• Controles y auditoría de privacidad
• Riesgos y oportunidades en los programas de privacidad
👉 Link al video: https://youtu.be/x-_dGMeB6H4
BDO Argentina
#privacidad #ciberseguridad #iso27701 #GDPR #bdoasesoresdelfuturo #bdotambienesseguridad #seguridaddelainformacion #Webinar #Ciberseguridad #GobiernoIT
🔐 Control Interno y la evolución de los negocios🔐 Control Interno y la evoluc...Fabián Descalzo
El control interno debe proponer una nueva visión asociada a detectar las brechas en la gestión y estandarización de las nuevas tecnologías, para asegurar a la organización no solo el cumplir con requisitos de cumplimiento, sino también con aspectos de ciberseguridad y seguridad de la información que aseguren su negocio.
El objetivo de esta charla es el presentar pautas que sean comprendidas tanto por los profesionales tecnológicos como por la Dirección, para crear un entorno auditable en la organización que brinde alternativas al programa de control interno respecto de la seguridad de la información y ciberseguridad para la protección del negocio.
🎙️ https://youtu.be/oC8G3T3BtKQ
#MesdelaCiberseguridad #Ciberseguridad
#Seguridad #Informatica #Tecnologia #Digital #Riesgo
𝐁𝐃𝐎 𝐀𝐏𝐈 seguinos en:
▶️ Web: https://lnkd.in/e6uv3Yn
▶️ Blog: https://lnkd.in/eCavYXX7)
▶️ Academy: https://lnkd.in/ecfZJbV
▶️ Grupo Linkedin: https://lnkd.in/e9FzKVt
▶️ PlayList Youtube: https://lnkd.in/e9Pjv-Sg
Redes Oficiales de 𝐁𝐃𝐎:
▶️ Web: https://lnkd.in/eXEbkXVC
▶️ Linkedin: https://lnkd.in/eDREGVc
▶️ Marketplace: https://lnkd.in/ewVYFXa
▶️ Youtube: https://lnkd.in/ew_4S3Ee
▶️ Instagram: https://lnkd.in/eRNNCisY
#BDOTambienEsSeguridad, #BDOAsesoresDelFuturo, #BDOCiberseguridad, #BDO, #BDOAPI
#ciberseguridad, #cybersecurity, #CISO, #CSO, #infosec, #infosecurity, #seguridadinformatica, #informationsecurity, #security, #cyberattack, #cybercrime, #ciberdelito, #dataprotection, #cybersec, #technology, #tecnologia
#BDOAcademy #Cursos #Ciberseguridad #TransformacionDigital
Les dejamos este documento que puede servirles como guía para abordar distintos temas en sus programas de concientización, que pueden ver de incluir y evolucionar con nuestros profesionales que dejo en copia:
Laura Dangelo Gerente de Gobierno IT y Ciberseguridad
Gustavo Arce Gerente de Auditoría y Control IT
Eduardo Polak Supervisor de Procesos y Gestión del Conocimiento
Estefanía Freitas Gestor del Cambio en Ciberseguridad
Brenda Sanchez Asistente y Comunicaciones API
¿Queres conocer nuestras soluciones? Animate a dar el salto 👉 https://lnkd.in/eqS62ZCd
#MesdelaCiberseguridad #Ciberseguridad
#Seguridad #Informatica #Tecnologia #Digital #Riesgo
📢 IEEE 2022 Aseguramiento de la calidad desde la ciberseguridadFabián Descalzo
A partir de la segunda mitad del siglo XX las organizaciones necesitaron adaptarse a una nueva realidad a nivel mundial, por lo que se desarrollo el control estadístico de procesos propuesto por Deming, lo que dio paso a la “Calidad Total” la cual no solo demostró grandes beneficios sino también la necesidad de involucramiento de la Dirección. Después de poco más de medio siglo, y en donde la transformación digital promueve la evolución a la “Industria 4.0”, el contexto de nuestro mundo a cambiado y una vez más debemos adaptarnos para acercarnos a los clientes mejorando su experiencia con nuestros servicios y haciendo más óptimos nuestros procesos sobre la base del uso de la tecnología, en el cual necesitamos una vez más del involucramiento de la Dirección y una mayor sensibilización con la ciberseguridad para minimizar los riesgos al negocio
Puntos clave de la presentación:
👉 Relación de la calidad y la ciberseguridad
👉 Que es aseguramiento para el negocio desde el punto de vista de ciberseguridad
👉 Control del gobierno corporativo en seguridad de la información y ciberseguridad
👉 Principales puntos a la innovación
👉 Pilares para la ciberseguridad como apoyo a la calidad
𝐁𝐃𝐎 𝐀𝐏𝐈 seguinos en:
▶️ Web: https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
▶️ Blog: https://www.bdoargentina.com/es-ar/blogs/aseguramiento-de-procesos-informaticos-(api)
▶️ Academy: https://www.bdoargentina.com/es-ar/bdo-academy/aseguramiento-de-procesos-informaticos
▶️ Grupo Linkedin: https://www.linkedin.com/groups/12188431/
▶️ PlayList Youtube: https://www.youtube.com/playlist?list=PLYvU8I64yp6U9ZPfeoZ0NYpnVNhPr-ceo
Redes Oficiales de 𝐁𝐃𝐎:
▶️ Web: https://www.bdoargentina.com/
▶️ Linkedin: https://www.linkedin.com/company/bdo-argentina/
▶️ Marketplace: https://bdomarketplace.com/
▶️ Youtube: https://www.youtube.com/BDOenArgentina
▶️ Instagram: https://www.instagram.com/bdoargentina/
#BDOTambienEsSeguridad, #BDOAsesoresDelFuturo, #BDOCiberseguridad, #BDO, #BDOAPI
#ciberseguridad, #cybersecurity, #CISO, #CSO, #infosec, #infosecurity, #seguridadinformatica, #informationsecurity, #security, #cyberattack, #cybercrime, #ciberdelito, #dataprotection, #cybersec, #technology, #tecnologia #TransformacionDigital
Mapa regional en ciberseguridad y gobierno IT.pdfFabián Descalzo
🔐 𝐌𝐀𝐏𝐀 𝐑𝐄𝐆𝐈𝐎𝐍𝐀𝐋 𝐄𝐍 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃 𝐘 𝐆𝐎𝐁𝐈𝐄𝐑𝐍𝐎 𝐈𝐓
Los cambios producidos por la digitalización de nuestras organizaciones nos plantean un desafío en relación con la gestión de la ciberseguridad y gobierno de la tecnología. Disponer de la información adecuada es clave para la mejora continua en nuestros negocios.
Presentamos el Mapa Regional en Ciberseguridad y Gobierno IT, basado en el informe “𝐄𝐬𝐭𝐚𝐝𝐨 𝐝𝐞𝐥 𝐀𝐫𝐭𝐞 𝐝𝐞 𝐥𝐚 𝐂𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝, 𝐆𝐨𝐛𝐢𝐞𝐫𝐧𝐨 𝐝𝐞 𝐓𝐈 𝐲 𝐥𝐨𝐬 𝐍𝐞𝐠𝐨𝐜𝐢𝐨𝐬”. Tiene como objetivo determinar el nivel de madurez e implementación de capacidades de gobierno de la tecnología de las empresas para estimar el nivel de exposición a las brechas de seguridad en el negocio.
Accede al informe👉 https://bit.ly/3x8nzh2
Referentes de BDO Argentina: Fabián Descalzo, Ing. Pablo A. Silberfich
https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
#TransformacionDigital #Ciberseguridad #GobiernoIT #SeguridaddelaInformacion
🔐 𝐌𝐀𝐏𝐀 𝐑𝐄𝐆𝐈𝐎𝐍𝐀𝐋 𝐄𝐍 𝐂𝐈𝐁𝐄𝐑𝐒𝐄𝐆𝐔𝐑𝐈𝐃𝐀𝐃 𝐘 𝐆𝐎𝐁𝐈𝐄𝐑𝐍𝐎 𝐈𝐓
Los cambios producidos por la digitalización de nuestras organizaciones nos plantean un desafío en relación con la gestión de la ciberseguridad y gobierno de la tecnología. Disponer de la información adecuada es clave para la mejora continua en nuestros negocios.
Presentamos el Mapa Regional en Ciberseguridad y Gobierno IT, basado en el informe “𝐄𝐬𝐭𝐚𝐝𝐨 𝐝𝐞𝐥 𝐀𝐫𝐭𝐞 𝐝𝐞 𝐥𝐚 𝐂𝐢𝐛𝐞𝐫𝐬𝐞𝐠𝐮𝐫𝐢𝐝𝐚𝐝, 𝐆𝐨𝐛𝐢𝐞𝐫𝐧𝐨 𝐝𝐞 𝐓𝐈 𝐲 𝐥𝐨𝐬 𝐍𝐞𝐠𝐨𝐜𝐢𝐨𝐬”. Tiene como objetivo determinar el nivel de madurez e implementación de capacidades de gobierno de la tecnología de las empresas para estimar el nivel de exposición a las brechas de seguridad en el negocio.
Accede al informe👉 https://bit.ly/3x8nzh2
Referentes de BDO Argentina: Fabián Descalzo, Ing. Pablo A. Silberfich
https://www.bdoargentina.com/es-ar/servicios/consultoria/aseguramiento-de-procesos-informaticos
#TransformacionDigital #Ciberseguridad #GobiernoIT #SeguridaddelaInformacion
Las empresas no suelen darse cuenta de cuán invaluable es una estrategia de ciberseguridad hasta que una vulnerabilidad es descubierta y aprovechada por un ciberdelincuente o un agente interno malintencionado.
BDO quiere asegurarse que su empresa nunca se enfrente a esta situación. Los profesionales de BDO están disponibles para proveer sus recursos especializados y su conocimiento sobre cualquier problema de ciberseguridad.
Para consultar el Equipo de Ciberseguridad de BDO, visite:
https://lnkd.in/edBReSjy
Les compartimos nuestros principales consejos para una protección adecuada de su compañía, y los principales tips sobre este tema en el documento adjunto.
Dia internacional ciberseguridad 30 noviembre 2021Fabián Descalzo
Desde 1988, cada 30 de noviembre se celebra el 퐃퐢퐚 퐈퐧퐭퐞퐫퐧퐚퐜퐢퐨퐧퐚퐥 퐝퐞 퐥퐚 퐒퐞퐠퐮퐫퐢퐝퐚퐝 퐝퐞 퐥퐚 퐈퐧퐟퐨퐫퐦퐚퐜퐢퐨́퐧 y desde API, el área de Gobierno Tecnológico, Seguridad de la Información y Ciberseguridad de BDO Argentina, les queremos brindar nuestro aporte y apoyo en la protección de la información y la confianza digital de cada persona y organización de nuestra comunidad.
磊Felicitaciones a todos nuestros colegas y bienvenidos a aquellos que quieran sumarse a esta necesaria e interesante actividad.
퐁퐃퐎 퐀퐏퐈 seguinos en:
▶️ Web:
https://lnkd.in/e6uv3Yn
▶️ Blog:
https://lnkd.in/eCavYXX7)
▶️ Academy: https://lnkd.in/ecfZJbV
▶️ Grupo Linkedin: https://lnkd.in/e9FzKVt
▶️ PlayList Youtube: https://lnkd.in/e9Pjv-Sg
Redes Oficiales de 퐁퐃퐎:
▶️ Web: https://lnkd.in/eXEbkXVC
▶️ Linkedin: https://lnkd.in/eDREGVc
▶️ Marketplace: https://lnkd.in/ewVYFXa
▶️ Youtube: https://lnkd.in/ew_4S3Ee
▶️ Instagram: https://lnkd.in/eRNNCisY
#BDOTambienEsSeguridad, #BDOAsesoresDelFuturo, #BDOCiberseguridad, #BDO, #BDOAPI
#ciberseguridad, #cybersecurity, #CISO, #CSO, #infosec, #infosecurity, #seguridadinformatica, #informationsecurity, #security, #cyberattack, #cybercrime, #ciberdelito, #dataprotection, #cybersec, #technology, #tecnologia
LA DIGITALIZACIÓN DEL NEGOCIO Y LA eVOLUCIÓN DE LA AUDITORÍAFabián Descalzo
El uso de la tecnología aplicada al negocio, al alcance de cualquier área no-tecnológica y con una oferta “a la carta” nos propone una integración de nuevas metodologías y herramientas que puede superar las capacidades de gobierno y control interno de las organizaciones.
Debido a ello, y en apoyo a las áreas tecnológicas, de ciberseguridad y seguridad de la información, la auditoría debe proponer una nueva visión asociada a detectar las brechas en la gestión y estandarización de las nuevas tecnologías y en metodologías asociadas a proyectos, para asegurar a la organización no solo el cumplir con requisitos de cumplimiento, sino también con aspectos de ciberseguridad y seguridad de la información que aseguren su negocio.
https://youtu.be/z2fx2OmQFts
RIESGOS (TECNO)PERACIONALES Y LA SOCIEDAD CON PROVEEDORESFabián Descalzo
En un entorno tan cambiante y dentro del contexto actual, nos enfrentamos a la inseguridad de la información y los ciber riesgos emergentes, que nos abren una puerta a nuevos retos relacionados con continuidad operativa. Los riesgos (tecno)peracionales ya no solo dependen de la tecnología, ya que la innovación y transformación digital requieren de un fuerte componente estratégico para una definición e implementación que asegure el negocio y sus resultados.
En este sentido, analizaremos juntos en este evento los requisitos mínimos de gestión y control sobre los riesgos relacionados con la tecnología de la información y la necesidad de “CONFIANZA DIGITAL”:
1. NEGOCIO, INFORMACIÓN Y TECNOLOGÍA CONECTADA
2. DELEGACIÓN DE OPERACIONES Y RIESGOS TECNOLÓGICOS
3. REQUISITOS DE CIBERSEGURIDAD ASOCIADO A SERVICIOS TECNOLÓGICOS TERCERIZADOS
4. NUEVO ENFOQUE DE CONTROLES Y (TECNO)CONTINUIDAD OPERATIVA
https://youtu.be/7-cugTpckq8
AUDITORÍA A LA GESTIÓN DE SERVICIOS DE TI Y SU RELACIÓN CON ISO/IEC 20000-1:2018Fabián Descalzo
AUDITORÍA IT Y LA ISO/IEC20000-1: ¿Cuál es el enfoque y que ventajas me da conocer los requisitos para la prestación de servicios de IT en la auditoría tecnológica? Si querés enterarte acompañanos en este webinar gratuito, en el que compartiremos esta visión sobre el tema.
https://youtu.be/VpCkIqtTg0k
La importancia de la información y la tecnología relacionada sigue creciendo, y los líderes empresariales necesitan buena información para agudizar su visión y tomar decisiones comerciales acertadas, y esto deben asegurarlo a lo largo del tiempo. Por eso, la organización que desee conseguir un plan eficiente para garantizar la resiliencia en su negocio debe estar integrada y organizada a través de la concientización diaria, la capacitación periódica y por la generación de procesos de negocio y tecnológicos que hayan sido creados bajo un concepto de resiliencia.
¿El desafío? Establecer un proceso de continuidad y resiliencia que aporte un marco de gobierno de ciberseguridad y tecnológico, ayudando a minimizar y prevenir los ataques internos y externos como por ejemplo las violaciones de datos o actividades fraudulentas, que dejan a las organizaciones vulnerables a los riesgos de pérdida o exposición de su información.
GOBIERNO DE TECNOLOGÍA Y CIBERSEGURIDAD EN LAS ORGANIZACIONES | MARCO NORMATI...Fabián Descalzo
El cumplir con la existencia de un Marco Normativo no contempla únicamente actividades relacionadas con la creación y publicación de documentos requeridos por auditorías o entes certificadores.
Un Marco Normativo es la biblioteca de referencia que representa los diferentes procesos de una organización y establecen una guía operativa para el desarrollo de estos, y debe estar adecuado a la cultura de la organización tanto en los aspectos de los recursos humanos (comportamiento, cumplimiento, entendimiento) como en lo referente a los procesos y cómo la organización los gestiona (madurez organizacional).
¿El desafío? Gestionar un marco normativo que ofrezca un balance aceptable entre cultura en la gestión y madurez organizacional con las nuevas metodologías de gestión IT y las nuevas tecnologías adoptadas y elegidas por el negocio, sin que se alejen de sus necesidades de cumplimiento, cuya presión cada vez es más importante.
https://youtu.be/XPjTvpfaJkc
Cómo poner en valor la gestión de la Seguridad de la Información dentro de la...Fabián Descalzo
El trabajo realizado en segundo plano que permite tener controlada la información en las compañías, que no haya fugas, que esté disponible para los usuarios, y que sea la información correcta, la que el usuario espera ver, es una labor que en muchas ocasiones no se ve reconocida ni recompensada.
Esto ocurre porque muchas veces las personas encargadas, los Oficiales o Responsables de Seguridad, tienen un perfil muy técnico, y cuesta tener una visión estratégica y de negocio de la compañía.
Las grandes organizaciones son conscientes de la importancia que tiene un CISO, por eso cada vez más apuestan por perfiles que tienen una visión holística de la compañía, y eso les permite alinear la estrategia de seguridad con la de la organización.
¿Pero cómo podemos poner en valor todo ese trabajo que a veces no reluce? De esto vamos a hablar en este webinar, de cómo mostrar los beneficios que le estamos haciendo ganar a la empresa desde nuestra posición y nuestra labor diaria.
OBJETIVOS
Dar a conocer a los participantes fundamentos para reportar los resultados con una visión estratégica y de negocio, que permita a la alta dirección y al CISO evaluar y medir los resultados obtenido de manera objetiva.
BENEFICIOS DE ASISTIR A ESTE EVENTO
• Mostrar herramientas e indicadores clave que faciliten la interpretación de los resultados a la alta dirección.
• Facilitar la toma de decisiones del CISO justificando estratégicamente las decisiones tomadas.
• Aportar valor a su compañía visualizando la seguridad de la información desde una perspectiva de negocio.
https://youtu.be/Vo54Yi1p-9Y
Conferencia Prevención de riesgos tecnológicos en el uso de Billeteras DigitalesFabián Descalzo
Esta conferencia está dirigida a Gerentes de Seguridad de la Información, Tecnología, Sistemas y Medios de Pago de los Proveedores de Servicios de Pago, FinTech y Banca Digital.
Los pagos digitales, billeteras electrónicas, pagos por celulares (M-payments) y sobre todo las monedas virtuales cambian para siempre el escenario de los delitos financieros.
Durante la investigación de mercado realizada, los colegas me han sugerido profundizar acerca de Técnicas y Estrategias de seguridad en transacciones electrónicas
control de emisiones de gases contaminantes.pptxjesusbellido2
en el siguiente documento s epodra apreciar los gases que emiten los vehiculos y sus consecuencias tambien se podra apreciar las normas euro cino y las normas euro seis
Los emprendimientos socio productivos generan bienes y servicios en los territorios, con el propósito de que los procesos de producción activen al mercado y facilite el desarrollo personal mediante la integración social de los agentes sociales excluidos.
1. Comisión de Gestión de Fraude
Corporativo
01 de agosto de 2018
Ciberseguridad como respuesta al fraude
2. Perfil Director de la Comisión de Gestión del Fraude Corporativo
CEC - Modulo 9 2
FERNANDO PEYRETTI
Certificación Internacional en Ética y Compliance (CEC)
• Fernando Peyretti es gerente de la práctica de FID (Fraudes, Investigaciones y Disputas) en
BDO Argentina y Co-leader de Forensics para BDO LATAM.
• Director de la Comisión de Gestión del Fraude Corporativo de la AAEC – Asociación Argentina
de Ética y Compliance.
• Cuenta con más de catorce años de experiencia en Consultoría de Negocios, trabajando en
proyectos de: Fraudes Corporativos, Auditoría Interna y Externa, Compliance, Risk
Management, y Finanzas & Estrategia de negocios; tanto en el país como en el exterior.
• Profesor de la diplomatura en lavado de dinero y la diplomatura en implementación de
programas de integridad de la Universidad del CEMA, Profesor de Diplomado en Compliance
Latam (Thomson Reuters), Profesor de Ética y Compliance del programa MeD (Mujeres en
Decisión) de la Fundación Flor, Capacitador de jueces y fiscales en la evaluación de
programas de Compliance, Profesor de Risk & Compliance del programa DEC (Director de
empresa certificado), y Compliance Coach (Alliance for Integrity).
• Fernando es Contador Público de la Universidad de Buenos Aires, cuenta con un posgrado en
Management del IAE Business School, tiene la Certificación Internacional en Ética y
Compliance (CEC) otorgada por la AAEC, UCEMA e IFCA (International Federation Of
Compliance Associations); Es miembro de la ACFE - Association of Certified Fraud Examiners,
fue representante becado por la UBA en el programa de responsabilidad social "Amartya
Sen“, y diplomado en Prevención de Lavado de Activos y Financiamiento del Terrorismo en
UCEMA.
3. CEC - Modulo 9 3
Fabián Descalzo
ITILv3:2011, ISO27001LA, ISO20000LA, COBIT 5
Gerente de Aseguramiento de Procesos Informáticos de la practica Risk Advisory Services | IT Assurance, Audit
and Compliance en BDO Argentina. Posee 28 años de experiencia en el área de gestión e implementación de
Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y
Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compañías de primer nivel de diferentes áreas de negocio.
Docente del módulo 27001 de las Diplomaturas de “IT Governance, Uso eficiente de Frameworks” y “Gobierno y
Gestión de Servicios de TI” del Instituto Tecnológico Buenos Aires (ITBA), Docente del Módulo de Auditoría de IT
de la Diplomatura en Delitos Informáticos para EDI en la Universidad Nacional de Río Negro y Docente en
Sistemas de Gestión IT, Seguridad de la Información y Auditoría IT para TÜV Rheinland.
Miembro del Comité Directivo de ISACA Buenos Aires Chapter, Miembro del Comité Directivo del “Cyber Security
for Critical Assets LATAM” para Qatalys Global sección Infraestructura Crítica, Miembro del Comité Científico del
IEEE (Institute of Electrical and Electronics Engineers)
CERTIFICACIONES:
• COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)
• Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)
• ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)
• Dirección de seguridad de la información (Universidad CAECE)
• ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)
• ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)
• Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)
• Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)
Perfil del Disertante
4. Agenda
CEC - Modulo 9 4
• El mayor riesgo, el riesgo interno: Los empleados (de sistemas o áreas de
negocio) como principal riesgo de fraude
• Ciberseguridad: Prácticas de ciberseguridad como medida de protección y
generación de evidencias
• Paralelismo entre las prácticas de ciberseguridad y el cumplimiento legal y
regulatorio, los controles generales de TI
• Fraudes en base a cinco riesgos tecnológicos:
• Integridad y confidencialidad a información crítica por intrusión a
infraestructura.
• Ciberataques de amplio espectro, incidentes masivos de robo de
información y fraudes electrónicos.
• Aumento del costo financiero por ciberataques, explotación ilícita de
información pública y privada.
• Servicios tecnológicos tercerizados, fallas en la gestión y brechas sin control
• Avances tecnológicos adversos por errores en la implementación y gestión.
5. Introducción
CEC - Modulo 9 5
Necesito conocer más y cuanto más rápido procese lo que conozco, mejor.
Necesidad de “velocidad” con la información “ansiedad de información”
7. Introducción
CEC - Modulo 9 7
75 % de las compañías informan
que han sido víctimas de un
incidente de fraude en el último
año.
81 % de las compañías
encuestadas la mayor amenaza
de fraude proviene de sus áreas
internas
768 altos ejecutivos de todo el mundo representando una amplia gama de
industrias y funciones, cuya observación general es que el fraude sigue en
aumento
Las necesidades de cumplimiento, que conllevan un valor agregado hacia la protección de nuestro negocio,
debe permitir a una organización:
• Entender y priorizar las expectativas de los interesados
• Establecer objetivos de negocio congruentes con los valores y riesgos
• Cumplir objetivos a la vez que se optimizan los perfiles de riesgo y se protegen los valores.
• Operar dentro de los límites legales, contractuales, sociales y éticos.
• Proveer información relevante, confiable y oportuna a los participantes.
• Poner en funcionamiento un sistema de medición de desempeño y eficacia.
8. Introducción
CEC - Modulo 9 8
• Abuso de los privilegios, errores y omisiones en el uso de los sistemas de
información, que pueden derivar en incidentes de seguridad
• Ataques por vulnerabilidades en plataformas/aplicaciones, Amenazas de
malware generadas por atacantes externos
• Robo de información por atacantes internos, Ingeniería social, fraude financiero
Ingeniería
Social
Piratería
Fraude
9. Definiciones
CEC - Modulo 9 9
“Protección de activos de información, a través del tratamiento
de amenazas que ponen en riesgo la información que es
procesada, almacenada y transportada por los sistemas de
información que se encuentran interconectados”
ISACA (Information Systems Audit and Control Association)
Ciberseguridad
La gestión del riesgo del fraude debe considerarse como una función destinada a
mitigar o eliminar la exposición a dicho riesgo, por lo tanto, no se debe considerar
como una actividad independiente y sin una estrategia, donde las cuestiones
identificadas y analizadas sólo se abordan desde el punto de vista del impacto de un
posible fraude.
10. Definiciones
CEC - Modulo 9 10
Mayor capacidad de procesamiento
Mayor capacidad de almacenamiento
Mayor conectividad
Mayor movilidad
Down-size(relativo)
Menores costos (relativo)
Mayor dependencia de TI
Mayor complejidad para gestionar
Mayores amenazas y riesgos tecnológicos
11. Definiciones
CEC - Modulo 9 11
Fallas en la tecnología
Pérdidas Financieras
Incumplimiento legal,
regulatorio y
contractual
Errores Humanos
Fallas en los procesos
Alcance de los riesgos
12. Alcance de los riesgos
CEC - Modulo 9 12
Ciberataques de amplio
espectro, así como
incidentes masivos de
robo de información y
fraudes electrónicos.
Interrupción de
información crítica por
intrusión a
infraestructura
Aumento del costo
financiero por
ciberataques.
Escalada sin precedentes
de explotación ilícita de
información pública y
privada que genere
deterioro en sistemas
mundiales.
Avances tecnológicos
adversos que pueden
provocar desastres
ambientales, económicos
y humanos.
13. Alcance de los riesgos
CEC - Modulo 9 13
• Nombre, Dirección, Teléfono, email
• Datos básico personales: Útiles para spam, minería de datos, elaboración
de perfiles
Nivel
1
• Fecha de nacimiento, Nro. de HC, Nro. de seguro asistencial, Nro. de
licencia de conducir
• Datos no públicos, utilizados para cometer robos de identidad
Nivel
2
• Aseguradora/Obra Social, información de pago, tarjeta de crédito,
cuenta bancaria
• Datos para cometer fraudes financieros, estafas de facturación, robos
Nivel
3
• Grupo sanguíneo, diagnósticos, prescripciones, datos genéticos
• Datos médicos para cometer fraudes de facturación, uso indebido de
prescripciones y servicios médicos, fraude de identificación médica
Nivel
4
14. Alcance de los riesgos
CEC - Modulo 9 14
Mercado negro de la información:
Donde todo tiene un precio
15. Alcance de los riesgos
CEC - Modulo 9 15
Crisis externas. Riesgos de
ataques cibernéticos
masivos, fuera de control de
la compañía
Manejo de TI interno.
Riesgos de gestión de la
tecnología y sus servicios.
Asociaciones con
contrapartes. Riesgos de
una interconexión directa
entre ambas partes y que
compartan información.
Subcontratación de
servicios. Riesgos en la
contratación, como Recursos
Humanos, Legal o de TI
Cadenas de
suministro. Interrupciones
a servicios críticos mediante
ataques cibernéticos.
Tecnologías
disruptivas. Las nuevas
tecnologías traen consigo
nuevos riesgos aún no
conocidos
Infraestructura
ascendente.
infraestructuras informáticas
que ante cambios, crearían
riesgos ala infraestructura
informática de cualquier
organización.
16. Protegerse pensando en ciberseguridad
CEC - Modulo 9 16
Equipos de Trabajo
Seguridad de la
Información
Tecnología
Jefes de Aplicación o Líderes
Funcionales de Sistemas
Líderes de
Proyecto
Adm SO Adm BBDD Operación
Compliance
Conocedores del funcionamiento
aplicativo para responder a los
requerimientos del Negocio
Servicio consultivo y
de soporte técnico
Acompañamiento y
operación de
relevamiento y
remediación
Definiciones
de
cumplimiento
Legales
Auditorias
18. Protegerse pensando en ciberseguridad
CEC - Modulo 9 18
Modelo de
Negocio
Usuariosdel
Servicio
Patronesdeuso
Visiónyalcance Diseño de servicios de TI
Diseño y Arquitectura
Capacidady
disponibilidad
Continuidad
Seguridad
Análisisydiseño
aplicativo
NiveldeServicio
Construcción del
Servicio de TI
Montaje de
infraestructura
HDWySFWde
base
Comunicaciones
Construcción
de software
Desarrollo
Pruebas
Pensar en riesgos y ciberseguridad desde el diseño de los servicios de TI
26. ¿Debe cambiar nuestra evaluación de riesgos de fraude?
CEC - Modulo 9 26
• Cumplimiento de las obligaciones legales tal como se expresa en
las leyes y regulaciones de protección de datos, íntimamente relacionado
con el derecho de atención a la privacidad;
• Formar un sistema de gestión para asegurar la autenticidad y
auditabilidad de la información en cada proceso funcional de la asistencia
sanitaria
• Protegerlos para que no sean utilizados con otros fines diferentes para
los que fueron creados u obtenidos
• Mantener las normas y la ética profesional según lo establecido por
las organizaciones profesionales relacionadas con la salud (seguridad de
la información para la confidencialidad e integridad de la información de
salud);
• Facilitar la interoperabilidad entre los sistemas de salud en forma
segura, ya que la información fluye entre diferentes organizaciones y a
través de límites jurisdiccionales que requieren garantizar su
confidencialidad continua, integridad y disponibilidad.
28. Modelando controles y evidencias
CEC - Modulo 9 28
Limitaciones
Funcionales
Obsolescencia
Tecnológica
Análisis de
mitigantes Respaldar Registrar
Riesgos
La gestión integral del cumplimiento requiere establecer niveles de conformidad de
cumplimiento sobre normas obligatorias internas y externas, y alineación con el riesgo legal
30. Fraudes en base riesgos tecnológicos
CEC - Modulo 9 30
Banco de Chile:
Un empleado realizó durante al menos
un año transferencias no autorizadas
por valor de 475 millones de pesos
chilenos (cifra que supera los 700 mil
dólares) simulando que se trataba de
actividades laborales, mediante un
total de 35 transferencias que realizó
entre mayo de 2017 y mayo de 2018.
Sus superiores, quienes confiaban en
él, le daban acceso a una clave
electrónica que utilizó para realizar las
transferencias desde su computadora
en el Banco. Las evidencias quedaron
registradas en los sistemas.
El malware Zeus y sus derivados:
Implicó la instalación sin autorización
de un software malicioso conocido
como "Zeus" para robar números de
cuentas bancarias y contraseñas. el
FBI comenzó a investigar una versión
modificada del troyano Zeus,
conocido como GameOver Zeus
(GOZ) que fue utilizado para infectar
a más de un millón de dispositivos, lo
cual generó pérdidas por más de USD
100 millones. El virus se transmitió
por correo electrónico, descargas de
internet, etc.
Maerks:
Los funcionarios estimaban que el ataque le
costaría a la compañía cientos de millones de
dólares. El artículo 2017 leyó: "en su informe
financiero de agosto, (Maersk) confirmó que
sintió una pérdida significativa en el Q2 debido
a el ransomware. En un comunicado, dijo que
Maersk Line, APM Terminals y Damco fueron
afectados por la plaga que exigía el rescate ".
Wannacry / Ransonware:
Ataque a escala mundial que afectó a las
empresas Telefónica, Iberdrola y Gas Natural,
entre otras compañías en España, así como al
servicio de salud británico, como confirmó el
Centro Nacional de Inteligencia. La prensa
digital informaba aquel día que al menos
computadores habían sido atacados en todo el
mundo.
35. Las necesidades del Negocio son cada vez
más exigentes, y de igual forma las
tecnologías son cada vez más complejas.
El brindar soluciones que aporten mayor
velocidad de respuesta a la Organización
tiene sus “costos” asociados... y sus
riesgos.
El Negocio necesita de la Tecnología, pero
la Tecnología sin Gestión es un riesgo
directo a la Operación del Negocio… y a
sus Objetivos.
Fabián Descalzo
Conclusión II
CEC - Modulo 9 35