You are on page 1of 59

XXXII CONFERENCIA INTERAMERICANA DE CONTABILIDAD

PERÚ 2017
TRABAJO INTERAMERICANO

ÁREA TÉCNICA 9

SISTEMAS Y TI

Área 9.1. Trabajo Interamericano:

Ciberdelito:
Nueva visión de Auditor
Interno
DR. CPC CARLOS ALBERTO PASTOR CARRASCO (PERÚ)
VICEPRESIDENTE COMISIÓN TÉCNICA SISTEMAS Y TECNOLOGÍA

23/11/2017 2
Era del Cliente

La fabricación
masiva
Da el poder a las
Empresas
industriales

23/11/2017 4
LA TECNOLOGÍA DIGITAL
VINO PARA QUEDARSE

23/11/2017 5
INTERNET
ha cambiado el mundo
y nuestra sociedad.
Hemos entrado en una
nueva era, …
23/11/2017
La era digital 6
INTERNET
no tiene reglas ni límites,
creando nuevos paradigmas:
en donde la única ley
es la del mas fuerte !
23/11/2017 7
Han emergido nuevos :
• Modos de consumo
• Conceptos económicos
• Tipos de empresas
• Modelos de Negocio

… una nueva Economía


digitalizada,
23/11/2017
desmaterializada. 8
Impaciente

23/11/2017 9
La tecnología ha cambiado todo

23/11/2017 10
Los nuevos actores son empresas
de intermediación que se
interponen entre los profesionales
y los consumidores, ofreciendo un
servicio a ambas partes
aprovechando la tecnología :
las PLATAFORMAS.
23/11/2017 11
Cuestiona tus creencias … Reta a la Realidad

¿Con cuántos hospedajes cuenta?


23/11/2017 12
23/11/2017 13
Cuestiona tus creencias… Reta a la realidad
Valor

No dispone de ninguna habitación en propiedad,


pero tiene un valor de US$ 25,000 millones

Usuario

Tiene más de 60 millones de usuarios y más de


dos millones de habitaciones listadas

Crecimiento

Ha multiplicado su tamaño x 350 en los últimos 5


años
23/11/2017 14
Cuestiona tus creencias… Reta a la realidad

23/11/2017 15
Cuestiona tus creencias… Reta a la realidad
• Zopa es una compañía británica que proporciona
un servicio de intercambio monetario on-line,
permitiendo a la gente que tiene dinero
prestárselo a aquellos que lo solicitan, en lugar
de utilizar las cuentas de ahorro y las
condiciones de préstamos de los bancos
tradicionales.
• El proceso es a veces referido como préstamo
entre particulares.
• El nombre, Zopa, proviene del inglés "zone of
possible agreement (zona de acuerdo posible)" ,
un término de negociación que hace referencia a
la posibilidad de llegar a un acuerdo entre dos
partes.

23/11/2017 16
Cuestiona tus creencias… Reta a la realidad

Su tasa de morosidad es del 0.17%, mientras que el


sector se mueve entre el 5 y 10%

Ha prestado más de 500 M de libras desde su


creación, 200 M el último año

Zopa ofrece préstamos entre particulares (P2P)


utilizando algoritmos de gestión de riesgo y
diluyendo los créditos entre varios prestamistas

23/11/2017 17
Estoy en el sector automotriz.
¿Es vender su principal función?

23/11/2017 18
Estoy en el sector automotriz.
¿Es vender su principal función?

• Drivy es una plataforma de alquiler de coches,


lanzada en 2010.
• Le permite alquilar vehículos privados o
profesionales cerca de su casa, o alquilar su
propio vehículo para que sea rentable.
• El servicio incluye seguro que cubre alquileres.
• En junio de 2016, Drivy ofrece 38.000 coches
particulares para alquilar a 1 millón de miembros
en Francia, Alemania, España, Austria y Bélgica.
23/11/2017 19
Estoy en el sector automotriz.
¿Es vender su principal función?
Han alcanzado acuerdos globales para
asegurar cada trayecto, y se paga a través del
porcentaje que cobra el servicio.

Tienen más de 850,000 usuarios y 36,000


coches listados, sumando 1.4 millones de
días alquilados

Se estima que un coche particular está en


desuso el 95% del tiempo

23/11/2017 20
Las plataformas de la nueva economía
como :
- Uber (taxis)

23/11/2017 21
“Cuando el ritmo de cambio dentro de la empresa
es superado por el ritmo de cambios fuera, el final
está cerca”
Gerente General de la General Electric Company , desde su asunción en 1981 Jack Welch
hasta su retiro en el 2001, la facturación GE se quintuplicó desde 26.000 millones
23/11/2017 22
a 130.000 millones. Elegido Manager del Siglo en 1999 por la revista Fortune.
https://www.webpagefx.com/internet-real-time/

23/11/2017 23
Los nuevos paradigmas
económicos son :
- acceso permanente
- disponibilidad total
- oferta ilimitada
- pago “on-line”
23/11/2017 24
Este mundo nuevo
es muy atractivo
por un lado,
pero...
… conlleva sus peligros.
23/11/2017 25
El conjunto de nueva
tecnología ofertado por
pocos actores de Internet
ha creado una vinculación
de dependencia,
concentrando los riesgos
23/11/2017 26
CIBERDELITO

23/11/2017 27
Ciberdelito, definición
Delito informático:
“toda conducta, * No se trata de “nuevos
atentatoria de delitos”, sino de nuevas
bienes jurídicos formas de ejecutar las
relevantes, que figuras típicas
suponga el uso de tradicionales.
medios
informáticos en
alguna de sus
fases de
ejecución”.

23/11/2017 28
Diferencias con los delitos
“reales”
• Frecuentemente su tipicidad es poco clara: legalidad

• Son potencialmente muy lesivos (proporción


medios/resultados): bien jurídico

• Suelen ser cometidos a distancia (problemas de


jurisdicción): principio de ubicuidad - territorialidad delitos
de expresión

• Dificultad probatoria (rastros escasos): formas de


cooperación.

23/11/2017 29
CIBERATAQUES

http://www.norsecorp.com/

23/11/2017 30
Ciberataque 1
• JP Morgan: https://www.youtube.com/watch?v=5E7yhQe9fTc

23/11/2017 31
Ciberataque 2
• Sony – Corea del Norte:
https://www.youtube.com/watch?v=D36e7msySfs

23/11/2017 32
23/11/2017 33
23/11/2017 34
VISIBILIDAD EN TIEMPO REAL EN ATAQUES GLOBALES DE CYBER

23/11/2017 35
El Comercio

23/11/2017 36
Conductores del Ciberdelito
Las fuerzas que impulsan el crecimiento y la eficiencia pueden crear una amplia
superficie de ataque
La tecnología se vuelve permeable
• Internet, cloud, mobile y social son plataformas
principales inherentemente orientadas para
compartir
• Los empleados desean un acceso continuo y en
tiempo real a su información

Cambio en los modelos de negocio


• Los modelos de servicio han evolucionado:
outsourcing, offshoring, contratación y mano de
obra remota
Más datos para proteger
• Mayor volumen de datos personales, de cuentas
y de tarjetas de crédito de los clientes, así como
información personal identificable del empleado
y también secretos comerciales de la empresa
• La necesidad de cumplir con los requisitos de
privacidad en una amplia gama de jurisdicciones
Amenaza de actores con varios motivos
• Hackers hacia los países
• Continuamente innovando para subvertir
controles comunes
• A menudo fuera del alcance de aplicación de la
23/11/2017 38
ley de un país
23/11/2017 39
El mayor problema
de Internet hoy en día
es un problema de riesgos,
la falta seguridad, requiere
¡Ciberseguridad!
23/11/2017 40
CIBERSEGURIDAD

23/11/2017 41
Ciberseguridad

Protección de activos de información,


mediante el tratamiento de las amenazas
que ponen en riesgo la información que se
procesa, se almacena y se transporta
mediante los sistemas de información que
se encuentran interconectados”. (ISACA)

23/11/2017 42
Activo de Información

Es todo aquello que posea valor para la


organización. Por tanto debe protegerse.

– Información física y digital


– Software Hardware
– Servicios de información
– Servicios de Comunicaciones
– Servicios de almacenamiento
– Personas
– Imagen

23/11/2017 43
Sistema de Información

Establecen las aplicaciones,


servicios, activos, etc. y utiliza
otros elementos que faciliten el
manejo de la información.

23/11/2017 44
Seguridad de la Información

Protección de la información contra


una gran variedad de amenazas con el
fin de asegurar:
• continuidad del negocio,
• minimizar el riesgo; y,
• maximizar el retorno de
inversiones y oportunidades de
negocio.

23/11/2017 45
Existen documentos que apoyan
la necesidad de que los
auditores internos apliquen sus
conocimientos para gestionar y
comunicar los riesgos
tecnológicos.

23/11/2017 46
Roles y responsabilidades del Auditor Interno
Ciberdelito - Roles y responsabilidades
La gestión eficaz del riesgo es el producto de múltiples capas de defensa. La auditoría interna debe
apoyar la necesidad hacer entender al Directorio de la efectividad de los controles de seguridad
cibernética. Roles y responsabilidades
• Incorporar la toma de decisiones basada en el
riesgo en las operaciones cotidianas e integrar
plenamente la gestión del riesgo en los procesos
1ª línea de defensa operativos
Negocio y funciones de TI • Definir el apetito por el riesgo y aumentar los
riesgos fuera de la tolerancia
• Mitigar los riesgos, según el caso

• Establecer el Gobierno de TI
• Establecer líneas de base de riesgo, políticas y
2da Línea de Defensa estándares
Función de gestión del • Implementar herramientas y procesos
riesgo de información y • Monitorear y pedir acciones, según corresponda
tecnología • Proporcionar supervisión, consulta, controles y
equilibrios, y políticas y estándares a nivel
empresarial

• En forma independiente revisar la efectividad del


programa
3ra Línea de
• Proporcionar confirmación al directorio sobre la
defensa
Auditoria eficacia de la gestión de riesgos
interna • Cumplir los requisitos de las obligaciones de
divulgación, centradas en los riesgos de seguridad
cibernética

Debido a los recientes ciberataques y pérdidas de datos, y las expectativas de los entes reguladores, es fundamental que la Auditoría Interna
comprenda los riesgos cibernéticos y esté preparada para responder a las preguntas y preocupaciones expresadas por el comité de auditoría
y el directorio.
23/11/2017 48
Gestión de riesgos de ciberseguridad
• Responder
– ¿Cómo la tecnología facilita la consecución de
sus objetivos de negocio?
– ¿Cuál es su tolerancia para sufrir pérdidas
relacionadas con la tecnología?
• Asignar
– Fondos y
– Tiempo de gestión para mitigar el riesgo,
• Los auditores deben entender
– Amenazas que enfrentan y
– Costos en que se incurrirá.

23/11/2017 49
Los auditores internos podemos
ser los “agentes” de la seguridad
con nuestra ética y nuestro
compromiso al servicio de la
Economía
23/11/2017 50
¿Qué futuro depara a los
Auditores internos?
El auditor interno debe evaluar los riesgos
de seguridad cibernética
Debe alinear la estrategia de seguridad
cibernética con la estrategia de negocio, y
conseguir la aceptación del directorio en
las inversiones necesarias de
ciberseguridad

23/11/2017 51
Ciberdelito -Enfoque de evaluación
Ciberdelito -Enfoque de evaluación
Una evaluación de auditoría interna de la seguridad cibernética debe abarcar todos los ámbitos y capacidades
pertinentes, e involucrar a especialistas de la materia cuando sea apropiado

Fase IV: Evaluación de las


Fases

Fase II: Comprender Fase III: Evaluación del


Fase I: Planificación y alcance deficiencias y
el estado actual riesgo
recomendaciones
Actividades clave
Entregables

23/11/2017 53
Ciberdelito -Enfoque de evaluación
Una evaluación de auditoría interna de la seguridad cibernética debe abarcar todos los ámbitos y capacidades
pertinentes, e involucrar a especialistas de la materia cuando sea apropiado

Fase IV: Evaluación de las


Fases

Fase II: Comprender Fase III: Evaluación del


Fase I: Planificación y alcance deficiencias y
el estado actual riesgo
recomendaciones

Actividades:
• Identificar actores internos y
externos: TI, Cumplimiento,
Legal, Riesgo, etc.
• Entender la misión y los
objetivos de la organización
Actividades clave

• Identificar los requisitos de la


industria y el panorama
regulatorio
• Realizar perfiles de riesgo
sectoriales (revisar informes de
la industria, noticias,
tendencias, vectores de riesgo)
• Identificar los sistemas y los
activos dentro del alcance
• Identificar proveedores y la
participación de terceros

Entregable:
Entregables

• Objetivos y alcance de la
evaluación
• Marco de calificaciones de
evaluación de capacidades
23/11/2017 54
Ciberdelito -Enfoque de evaluación
Una evaluación de auditoría interna de la seguridad cibernética debe abarcar todos los ámbitos y capacidades
pertinentes, e involucrar a especialistas de la materia cuando sea apropiado

Fase IV: Evaluación de las


Fases

Fase II: Comprender Fase III: Evaluación del


Fase I: Planificación y alcance deficiencias y
el estado actual riesgo
recomendaciones

Actividades: Actividades:
• Identificar actores internos y • Realizar entrevistas y talleres
externos: TI, Cumplimiento, para entender el perfil actual
Legal, Riesgo, etc. • Realizar recorridos de los
• Entender la misión y los sistemas y procesos para
objetivos de la organización entender los controles
Actividades clave

• Identificar los requisitos de la existentes


industria y el panorama • Comprender el empleo de
regulatorio terceros, incluyendo revisiones
• Realizar perfiles de riesgo de los informes
sectoriales (revisar informes de • Revisar las políticas y
la industria, noticias, procedimientos pertinentes,
tendencias, vectores de riesgo) incluidos el entorno de
• Identificar los sistemas y los seguridad, los planes
activos dentro del alcance estratégicos y la gobierno de TI,
• Identificar proveedores y la tanto para los interesados
participación de terceros internos como externos
• Revisar autoevaluaciones
• Revisión de auditorías previas

Entregable: Entregable:
Entregables

• Objetivos y alcance de la • Comprensión del entorno y


evaluación estado actual
• Marco de calificaciones de
evaluación de capacidades
23/11/2017 55
Ciberdelito -Enfoque de evaluación
Una evaluación de auditoría interna de la seguridad cibernética debe abarcar todos los ámbitos y capacidades
pertinentes, e involucrar a especialistas de la materia cuando sea apropiado

Fase IV: Evaluación de las


Fases

Fase II: Comprender Fase III: Evaluación del


Fase I: Planificación y alcance deficiencias y
el estado actual riesgo
recomendaciones

Actividades: Actividades: Actividades:


• Identificar actores internos y • Realizar entrevistas y talleres • Lista de documentos de los
externos: TI, Cumplimiento, para entender el perfil actual riesgos potenciales en todas las
Legal, Riesgo, etc. • Realizar recorridos de los capacidades consideradas en el
• Entender la misión y los sistemas y procesos para estudio
objetivos de la organización entender los controles • Colaborar con los especialistas
Actividades clave

• Identificar los requisitos de la existentes en la materia y la dirección


industria y el panorama • Comprender el empleo de para estratificar los riesgos
regulatorio terceros, incluyendo revisiones emergentes y documentar el
• Realizar perfiles de riesgo de los informes impacto potencial
sectoriales (revisar informes de • Revisar las políticas y • Evaluar la probabilidad y el
la industria, noticias, procedimientos pertinentes, impacto de los riesgos
tendencias, vectores de riesgo) incluidos el entorno de • Priorizar los riesgos en función
• Identificar los sistemas y los seguridad, los planes de los objetivos, las
activos dentro del alcance estratégicos y la gobierno de TI, capacidades y el apetito de
• Identificar proveedores y la tanto para los interesados riesgo de la organización
participación de terceros internos como externos • Revisar y validar los resultados
• Revisar autoevaluaciones de la evaluación del riesgo con
• Revisión de auditorías previas la gestión e identificar la
criticidad
Entregable: Entregable: Entregable:
Entregables

• Objetivos y alcance de la • Comprensión del entorno y • Clasificación priorizada de


evaluación estado actual riesgos
• Marco de calificaciones de • Resultados de la evaluación
evaluación de capacidades de capacidades
23/11/2017 56
Ciberdelito -Enfoque de evaluación
Una evaluación de auditoría interna de la seguridad cibernética debe abarcar todos los ámbitos y capacidades
pertinentes, e involucrar a especialistas de la materia cuando sea apropiado

Fase IV: Evaluación de las


Fases

Fase II: Comprender Fase III: Evaluación del


Fase I: Planificación y alcance deficiencias y
el estado actual riesgo
recomendaciones

Actividades: Actividades: Actividades: Actividades:


• Identificar actores internos y • Realizar entrevistas y talleres • Lista de documentos de los • Documentar los resultados de
externos: TI, Cumplimiento, para entender el perfil actual riesgos potenciales en todas las la evaluación de la capacidad y
Legal, Riesgo, etc. • Realizar recorridos de los capacidades consideradas en el elaborar un cuadro de mando
• Entender la misión y los sistemas y procesos para estudio integral
objetivos de la organización entender los controles • Colaborar con los especialistas • Revisar los resultados de la
Actividades clave

• Identificar los requisitos de la existentes en la materia y la dirección evaluación con los stakeholders
industria y el panorama • Comprender el empleo de para estratificar los riesgos • Identificar las brechas
regulatorio terceros, incluyendo revisiones emergentes y documentar el existentes y evaluar la
• Realizar perfiles de riesgo de los informes impacto potencial gravedad potencial
sectoriales (revisar informes de • Revisar las políticas y • Evaluar la probabilidad y el • Análisis del mapa de madurez
la industria, noticias, procedimientos pertinentes, impacto de los riesgos • Recomendaciones
tendencias, vectores de riesgo) incluidos el entorno de • Priorizar los riesgos en función documentadas
• Identificar los sistemas y los seguridad, los planes de los objetivos, las • Desarrollar un plan multianual
activos dentro del alcance estratégicos y la gobierno de TI, capacidades y el apetito de de auditoría de TI y
• Identificar proveedores y la tanto para los interesados riesgo de la organización ciberseguridad
participación de terceros internos como externos • Revisar y validar los resultados
• Revisar autoevaluaciones de la evaluación del riesgo con
• Revisión de auditorías previas la gestión e identificar la
criticidad Entregable:
• Análisis de madurez
Entregable: Entregable: Entregable: • BSC
Entregables

• Objetivos y alcance de la • Comprensión del entorno y • Clasificación priorizada de • Recomendaciones de


evaluación estado actual riesgos Corrección
• Marco de calificaciones de • Resultados de la evaluación • Plan de auditoría de
evaluación de capacidades de capacidades seguridad cibernética
23/11/2017 57
Ciberdelito -Enfoque de evaluación
Una evaluación de auditoría interna de la seguridad cibernética debe abarcar todos los ámbitos y capacidades
pertinentes, e involucrar a especialistas de la materia cuando sea apropiado

Fase IV: Evaluación de las


Fases

Fase II: Comprender Fase III: Evaluación del


Fase I: Planificación y alcance deficiencias y
el estado actual riesgo
recomendaciones

Actividades: Actividades: Actividades: Actividades:


• Identificar actores internos y • Realizar entrevistas y talleres • Lista de documentos de los • Documentar los resultados de
externos: TI, Cumplimiento, para entender el perfil actual riesgos potenciales en todas las la evaluación de la capacidad y
Legal, Riesgo, etc. • Realizar recorridos de los capacidades consideradas en el elaborar un cuadro de mando
• Entender la misión y los sistemas y procesos para estudio integral
objetivos de la organización entender los controles • Colaborar con los especialistas • Revisar los resultados de la
Actividades clave

• Identificar los requisitos de la existentes en la materia y la dirección evaluación con los stakeholders
industria y el panorama • Comprender el empleo de para estratificar los riesgos • Identificar las brechas
regulatorio terceros, incluyendo revisiones emergentes y documentar el existentes y evaluar la
• Realizar perfiles de riesgo de los informes impacto potencial gravedad potencial
sectoriales (revisar informes de • Revisar las políticas y • Evaluar la probabilidad y el • Análisis del mapa de madurez
la industria, noticias, procedimientos pertinentes, impacto de los riesgos • Recomendaciones
tendencias, vectores de riesgo) incluidos el entorno de • Priorizar los riesgos en función documentadas
• Identificar los sistemas y los seguridad, los planes de los objetivos, las • Desarrollar un plan multianual
activos dentro del alcance estratégicos y la gobierno de TI, capacidades y el apetito de de auditoría de TI y
• Identificar proveedores y la tanto para los interesados riesgo de la organización ciberseguridad
participación de terceros internos como externos • Revisar y validar los resultados
• Revisar autoevaluaciones de la evaluación del riesgo con
• Revisión de auditorías previas la gestión e identificar la
criticidad Entregable:
• Análisis de madurez
Entregable: Entregable: Entregable: • BSC
Entregables

• Objetivos y alcance de la • Comprensión del entorno y • Clasificación priorizada de • Recomendaciones de


evaluación estado actual riesgos Corrección
• Marco de calificaciones de • Resultados de la evaluación • Plan de auditoría de
evaluación de capacidades de capacidades seguridad cibernética
23/11/2017 58
Elementos fundamentales
de la ciberseguridad
Capacidad de un sistema para Objetivos de la seguridad Medios de seguridad
• Disponibilidad • Dimensionamiento
• Perdurabilidad • Redundancia
• Procedimientos de
Poder utilizarse
explotación y copia de
• Continuidad seguridad
• Confianza
• Seguridad de funcionamiento • Concepción
• Fiabilidad • Prestaciones
Ejecutar acciones • Perdurabilidad • Ergonomía
• Continuidad • Calidad de servicio
• Exactitud • Mantenimiento operacional
Permitir el acceso de • Confidencialidad (preservación del • Control de acceso
secreto) • Autenticación
entidades autorizadas (Ningún • Control de errores
• Integridad (ninguna modificación) • Control de coherencia
acceso ilícito) • Encriptación
• No rechazo • Certificación
• Autenticidad (ninguna duda) • Grabación, rastreo
Demostrar las acciones
• Ninguna contestación • Firma electrónica
• Mecanismos de prueba

23/11/2017 59
Muchas Gracias