VIDEO
HIGHLIGHT
Log InSign up
Webinar Auditando el Programa de Ciberseguridad ISACA
SummaryTranscriptChat

Webinar Auditando el Programa de Ciberseguridad ISACA

Introducción

Resumen de la sección: En esta sección, los presentadores dan la bienvenida a los asistentes y presentan al presidente del capítulo de ISACA Santo Domingo Charter y al coordinador de certificación. También invitan a los asistentes a seguirlos en las redes sociales.

Participantes

Resumen de la sección: Los presentadores mencionan que el evento cuenta con la participación de miembros del capítulo de ISACA Santo Domingo Charter y personas invitadas relacionadas con auditoría de sistemas, seguridad de la información, riesgos tecnológicos y gobierno de tecnología de la información.

Temática interna

Resumen de la sección: Los presentadores invitan a los asistentes a acompañarlos en temas internos en sus cuentas de Twitter y les piden que sigan su cuenta para mantenerse actualizados sobre sus actividades.

Auditoría del programa de ciberseguridad en la empresa

Resumen de la sección: Los presentadores introducen el tema principal del webinar: auditoría del programa de ciberseguridad en la empresa. El señor Miguel Arias, director de certificación, es el invitado especial que hablará sobre este tema.

Trayectoria profesional del señor Miguel Arias

Resumen de la sección: Se presenta al señor Miguel Arias como un experto con más 30 años experiencia en auditoría tecnológica, seguridad informática y riesgos tecnológicos. Además, ha participado en proyectos importantes relacionados con seguridad informática en empresas dominicanas. Actualmente forma parte del comité formador y coordinador de la maestría de ciberseguridad que imparte la Universidad INTEC en República Dominicana.

Presentación de la directiva del capítulo de ISACA Santo Domingo Charter

Resumen de la sección: Los presentadores explican qué es ISACA, una organización internacional sin fines de lucro que se enfoca en certificaciones y capacitaciones relacionadas con auditoría de sistemas, seguridad informática, riesgos tecnológicos y gobierno de tecnología de la información. También mencionan las certificaciones más importantes que ofrece ISACA a nivel mundial.

Capítulo local

Resumen de la sección: Se presenta al capítulo local recién formado: ISACA Santo Domingo Charter. Este capítulo fue aprobado por ISACA hace aproximadamente cuatro años y cuenta con miembros interesados en temas relacionados con auditoría de sistemas, seguridad informática, riesgos tecnológicos y gobierno de tecnología de la información.

Introducción a la auditoría de ciberseguridad

Resumen de la sección: En esta sección, el presentador introduce el tema de la ciberseguridad y su importancia en las organizaciones. Se menciona un estudio realizado por ISACA sobre cómo auditar la ciberseguridad en las organizaciones.

Importancia de la ciberseguridad en las organizaciones

  • La seguridad de la información es importante para todas las organizaciones, no solo a nivel técnico sino también para los consejos de directores y alta gerencia.
  • Las fallas en los programas de seguridad pueden generar impactos reputacionales y comprometer información sensitiva.
  • El fraude y sustracción de activos generan un gran impacto en las organizaciones.

Estudio sobre auditoría de ciberseguridad

  • ISACA realizó un estudio sobre cómo auditar la ciberseguridad en las organizaciones.
  • El estudio incluye temas como inversión en controles, modelo en tres líneas de defensa, evaluación del riesgo y estándares internacionales.

Amenazas globales a la ciberseguridad

Resumen de la sección: En esta sección, el presentador habla sobre cómo las amenazas a la ciberseguridad son globales y pueden afectar a cualquier país u organización. También menciona que ya no hay fronteras técnicas debido al avance tecnológico.

Amenazas globales a la ciberseguridad

  • Las amenazas a la ciberseguridad son globales y pueden afectar a cualquier país u organización.
  • Ya no hay fronteras técnicas debido al avance tecnológico, lo que significa que los ciberataques pueden ocurrir en cualquier momento.

La importancia de invertir en ciberseguridad

Resumen de la sección: En esta sección, el orador habla sobre la necesidad de protegerse contra las amenazas cibernéticas y cómo la capacidad de absorción y resiliencia organizacional puede ser menor que en otras empresas. También menciona que el advenimiento del internet de las cosas y la computación en la nube incrementan las potenciales amenazas.

Invertir sabiamente en ciberseguridad

  • El gasto en infraestructura para prevenir ataques cibernéticos ha aumentado, pero también lo ha hecho la sofisticación de los delincuentes.
  • Es importante considerar si estamos invirtiendo la cantidad apropiada en las áreas críticas y si nuestra infraestructura es suficiente tanto para fines operativos como para fines de protección.
  • Debemos evaluar los riesgos actuales y emergentes que enfrentan nuestras empresas antes de invertir en ciberseguridad.
  • Es necesario hacer una auditoría de los controles actuales e implementar controles para mitigar los riesgos identificados.

Identificar objetivos y diseñar controles específicos

  • Para determinar el riesgo, primero debemos saber cuál es nuestro objetivo o qué buscamos.
  • Los objetivos del negocio son fundamentales para determinar los programas de gestión de riesgos y los programas de ciberseguridad.
  • Cada empresa debe diseñar controles específicos según su perfil y su apetito por el riesgo.
  • La inversión en controles debe ayudarnos a tener una seguridad razonable de que los activos de información están siendo protegidos.

Revisar y mantener los controles

  • Es importante auditar y revisar constantemente los controles implementados.
  • Los riesgos que pudieran impedir el alcance de nuestros objetivos deben ser identificados, cuantificados y medidos.
  • Se debe disponer de personas y procesos para manejar continuamente los controles implementados.

Objetivos de un programa de seguridad

Resumen de la sección: Un programa de seguridad debe incluir personas, procesos y tecnología. Las inversiones en seguridad deben tener objetivos claramente definidos y estar alineadas con las evaluaciones de riesgos correspondientes. Además, es importante limitar el atractivo para los atacantes.

Limitando el atractivo para los atacantes

  • El objetivo es hacer que el atacante tenga que requerir un esfuerzo tan alto para poder hacer ataques exitosos en nuestra empresa que prefiera ni siquiera intentarlo.
  • Es importante tratar de limitar el atractivo para el atacante haciendo que él tenga que requerir un esfuerzo tan alto para poder hacer ataques exitosos en nuestra empresa que prefiera ni siquiera intentarlo.

Cantidad total de ataques

Resumen de la sección: La cantidad total de ataques en una organización va a estar compuesta por ataques internos y externos. Es posible reducir la cantidad y probabilidad de ocurrencia mediante buenas políticas, procedimientos y conciencia sobre seguridad.

Ataques internos

  • Con buenas políticas, buenos procedimientos o dicho de otra manera con un buen entorno de control interno en la organización podemos ayudar a reducir la cantidad y la probabilidad de ocurrencia.
  • La creación de conciencia sobre seguridad a todos los niveles también ayuda a reducir la cantidad y probabilidad.

Ataques externos

  • Es importante asegurar nuestros sistemas contra vulnerabilidades explotables por los atacantes.
  • El tiempo y los recursos que le vamos a dedicar para asegurar nuestros sistemas son fundamentales.

Ciberseguridad y su importancia

Resumen de la sección: En esta sección, el orador habla sobre la importancia de la ciberseguridad y cómo los potenciales atacantes pueden aprovechar las debilidades en una organización para llevar a cabo un ataque exitoso. También discute cómo la información de inteligencia puede ayudar a reducir la probabilidad de un ataque.

Motivos, amenazas y oportunidades

  • Los motivos y oportunidades de los posibles atacantes son nuestras debilidades.
  • La información de inteligencia nos permite conocer estos motivos y oportunidades para reducir la probabilidad de un ataque exitoso.

Detectando ataques y fortaleciendo el sistema

  • Debemos detectar cualquier ataque que nuestros controles preventivos no puedan detectar.
  • Identificar las vulnerabilidades explotadas en un ataque para corregirlas y fortalecer el sistema de ciberseguridad.
  • Mantener constantemente el ciclo de desarrollo invirtiendo en controles efectivos y eficientes para reducir la atractividad para los potenciales atacantes.

Niveles razonables de seguridad

  • Es imposible hacer que sea imposible el riesgo, pero podemos asegurarnos niveles razonables de seguridad.

Modelo de tres líneas defensa

Resumen de la sección: En esta sección, el orador presenta un modelo simple con tres líneas defensa que contribuyen a la seguridad general del programa de ciberseguridad.

Auditoría y revisión

  • La auditoría y revisión debe extenderse a lo largo de toda la organización.
  • Debe seguir un modelo en el cual tengamos una buena independencia y segregación de función.

Defensa de primer nivel

  • La defensa de primer nivel es a nivel de la administración.
  • Contribuye a la seguridad general del programa de ciberseguridad.

Defensa de segundo nivel

  • La defensa de segundo nivel es el control interno.
  • Contribuye a la seguridad general del programa de ciberseguridad.

Defensa de tercer nivel

  • La defensa de tercer nivel es la auditoría interna o externa.
  • Contribuye a la seguridad general del programa de ciberseguridad.

Auditorías Externas

Resumen de la sección: En esta sección, se habla sobre las auditorías externas y su importancia en la gestión de riesgos y ciberseguridad.

Primera línea de defensa

  • La primera línea de defensa es la administración y los controles técnicos.
  • Los controles internos deben ser evaluados regularmente para asegurarse de que estén diseñados e implementados adecuadamente. Se deben hacer pruebas de penetración, análisis técnicos y funcionales, así como revisiones regulares con la administración.
  • Es importante tener una segregación adecuada de funciones en los puestos, personal competente y controles diseñados e implementados correctamente.

Segunda línea de defensa

  • La segunda línea de defensa evalúa el programa de gestión de riesgos y ciberseguridad implementado en la organización. Se deben identificar todos los activos críticos para algún proceso crítico del negocio.
  • Las amenazas y vulnerabilidades deben ser identificadas y cubiertas a través del análisis técnico, evaluaciones regulares del riesgo emergente y procesos que permitan obtener información sobre potenciales motivos o oportunidades que podrían aprovechar los ciberdelincuentes.

Tercera línea de defensa

  • La tercera línea de defensa implica auditorías independientes para evaluar el diseño e implementación eficiente y eficaz del programa. Esta revisión debe tener un alcance significativo e incluir tanto el diseño como la implementación de los controles.
  • La revisión independiente agrega valor al programa de ciberseguridad, ya que alguien que no está envuelto en el día a día del proceso puede detectar cosas que se pueden pasar por alto.

Identificación de Activos Críticos

Resumen de la sección: En esta sección, se habla sobre la importancia de identificar los activos críticos y cómo hacerlo.

  • Los activos críticos son aquellos que para algún proceso crítico de la empresa sin parar algún proceso crítico. Se deben definir todos los activos críticos y evaluar su impacto en la organización.
  • Es importante tener procesos que permitan obtener información de inteligencia para conocer los potenciales motivos y oportunidades que podrían aprovechar los ciberdelincuentes. Esto debe ser un trabajo constante e integral del proceso de negocio de la empresa.

Deficiencias de control en la gestión de riesgos

Resumen de la sección: En esta sección, el orador habla sobre la importancia de tener un buen control en el diseño y ejecución de los procesos para mitigar los riesgos. También menciona que las auditorías tradicionales deben cambiar para adaptarse a las nuevas amenazas.

Control y mitigación de riesgos

  • La responsabilidad principal recae en la primera línea de defensa.
  • Los gerentes deben identificar y diseñar controles para mitigar los riesgos inherentes a sus departamentos.
  • Es fundamental mantener un nivel apropiado de confidencialidad, integridad y disponibilidad de los activos críticos.
  • El valor monetario no determina necesariamente el nivel de criticidad del activo.

Responsabilidad en la toma decisiones

  • La alta dirección es responsable por las decisiones relacionadas con los riesgos.
  • Las decisiones deben estar basadas en guías e información provista por los procesos internos.
  • La alta gerencia debe conocer cuáles son los riesgos a los que está expuesta la organización, así como también cuáles son los controles existentes para mitigarlos.

Métodos mixtos para medir riesgos

  • Es necesario considerar métodos cualitativos y cuantitativos para medir los riesgos.
  • Algunos tipos de riesgo son más fáciles de entender cuando se presentan en términos simples (alto, bajo o moderado).
  • Siempre que sea posible, es recomendable convertirlo en números seguros.

Medición del riesgo en ciberseguridad

Resumen de la sección: En esta sección, el orador habla sobre cómo medir el riesgo en ciberseguridad y la importancia de hacerlo tanto cuantitativa como cualitativamente. También menciona que los profesionales en seguridad deben hablar tanto el lenguaje técnico como el de negocios para comunicar efectivamente los riesgos a la alta dirección.

Medición del riesgo

  • La medición del riesgo debe permitir expresarlo no solo en términos cualitativos sino también cuantitativos según lo que tenga sentido para cada empresa.
  • En un banco, puede tener sentido medirlo en función del impacto en el patrimonio técnico, mientras que en otra empresa puede ser mejor medirlo con una combinación de elementos.
  • Los profesionales en seguridad y áreas de riesgos deben hablar tanto el lenguaje técnico como el de negocios para poder comunicar efectivamente los riesgos a la alta dirección.

Evaluación del Riesgo

  • Para evaluar el riesgo de ciberseguridad, primero debemos definir claramente el alcance del trabajo que vamos a realizar.
  • Luego identificamos las amenazas y vulnerabilidades y evaluamos los controles existentes para determinar si están presentes y funcionando adecuadamente.
  • También evaluamos el impacto potencial y aseguramos que exista un plan de respuesta apropiado al riesgo identificado.

Identificación de Amenazas

  • Las amenazas pueden ser humanas, ambientales o técnicas. Existen catálogos predefinidos que podemos utilizar, pero también debemos considerar aspectos propios de la organización y su entorno.
  • Las amenazas son peligros que tienen el potencial de impactar la confidencialidad, integridad y disponibilidad de los sistemas.

Hacktivismo y vulnerabilidades

Resumen de la sección: En esta sección, el orador habla sobre el hacktivismo y cómo los ciberdelincuentes pueden utilizar la información obtenida a través de él para atacar sistemas. También discute la importancia de evaluar las vulnerabilidades en todos los aspectos del negocio.

Hacktivismo y sus riesgos

  • El hacktivismo es una forma de activismo que utiliza técnicas informáticas para difundir información o hacer ruido.
  • Los ciberdelincuentes pueden aprovecharse del hacktivismo para obtener información valiosa o interrumpir sistemas.
  • Las competencias también pueden utilizar el hacktivismo para dañar a otras empresas.

Evaluación de vulnerabilidades

  • Todas las empresas tienen vulnerabilidades, incluso si no son conscientes de ellas.
  • Es importante evaluar todas las vulnerabilidades en profundidad y con conciencia.
  • Las evaluaciones deben ser integrales y adaptadas a cada empresa individualmente.

Documentación y propiedad

  • Las vulnerabilidades deben documentarse adecuadamente en mapas de riesgo.
  • Cada riesgo debe tener un dueño designado, así como cada control asociado con ese riesgo.
  • Si los riesgos y controles no tienen dueños, es probable que sean olvidados o ignorados.

Seguridad cibernética y gobierno corporativo

Resumen de la sección: En esta sección, el orador habla sobre la importancia de incorporar la seguridad cibernética en los procesos de gobierno corporativo de una empresa.

Objetivos de la seguridad cibernética

  • La seguridad cibernética tiene como objetivo garantizar la confidencialidad, integridad y disponibilidad de los activos de información.
  • Es importante tener controles internos razonables para asegurar la eficacia y eficiencia del control.

Proceso de control

  • El proceso de control debe ser parte integral del proceso de gobierno corporativo.
  • El diseño, monitoreo y pruebas de controles son elementos clave en el proceso.
  • Cada riesgo y control debe tener un dueño designado para asegurar que sean evaluados adecuadamente.

Controles de seguridad

Resumen de la sección: En esta sección, el orador habla sobre la importancia de tener controles adecuados para mitigar las vulnerabilidades y reducir la probabilidad de un ataque exitoso. También discute cómo una combinación razonable de controles preventivos, efectivos y correctivos puede proporcionar un entorno de control razonable.

Combinación adecuada de controles

  • Una combinación razonable de controles preventivos, efectivos y correctivos es necesaria para tener un sistema de control apropiado.
  • Un solo tipo de control no resuelve todo, por lo que siempre debemos identificar el control primario necesario para cada situación.

Determinación del nivel de severidad

  • Para determinar el nivel de severidad, es necesario considerar el costo del incidente o evento en términos financieros y operativos.
  • Las estimaciones pueden ser cualitativas o cuantitativas, dependiendo del tipo de impacto que tenga el evento en la organización.

Políticas y procedimientos

  • Las políticas y los procedimientos determinan cómo se debe responder al incidente según el apetito al riesgo.
  • La alta gerencia delega decisiones a las funciones correspondientes para tomar decisiones en su lugar.

Evaluación del impacto

  • Es importante evaluar cómo afectará la divulgación no autorizada de información, la pérdida o daño a los datos, la reputación y otros factores económicos a largo plazo.
  • La evaluación del impacto debe traducirse en términos del impacto en el negocio para que la alta gerencia pueda tomar decisiones basadas en información confiable.

Gestionar el riesgo

Resumen de la sección: En esta sección, se discute la importancia de gestionar el riesgo y cómo hacerlo. Se habla sobre la evaluación del riesgo inherente y residual, así como los controles necesarios para reducir el nivel de riesgo a uno aceptable.

Evaluación exhaustiva del nivel de riesgo

  • Es clave determinar el nivel de riesgo en el que los beneficios superan los costos.
  • Para reducir el nivel de riesgo, es necesario hacer una evaluación exhaustiva donde se toma en consideración todos los posibles impactos.
  • La información recopilada debe ser integrada por los sistemas de información de gestión de riesgos y ciberseguridad implementados dentro de la organización.

Estrategias para responder al riesgo

  • Cuando el nivel de riesgo está por encima del nivel aceptable o del apetito de la organización, hay que tomar decisiones sobre cómo responder al mismo.
  • Existen cuatro grandes estrategias: compartirlo o transferirlo, aceptarlo, eliminarlo o reducirlo.

Compartir o transferir el riesgo

  • Compartir no necesariamente implica que estoy reduciendo mi nivel de exposición al riesgo.
  • Si comparto un evento con un tercero sin asegurarme que me reduce efectivamente la probabilidad o impacto en caso ocurra, entonces no estoy reduciendo realmente el riesgo.
  • Al compartir un evento con una póliza de seguro u otra empresa especializada, es importante asegurarse que puedan pagar en caso ocurra un siniestro.

Aceptar el riesgo

  • Aceptar el riesgo no implica no hacer nada, sino que se debe tener en cuenta los posibles impactos y estar preparados para enfrentarlos.

Reducir el riesgo

Resumen de la sección: En esta sección, se discute cómo reducir el nivel de riesgo y las estrategias para lograrlo.

Estrategias para reducir el riesgo

  • Para reducir el nivel de riesgo, es necesario disminuir la probabilidad o impacto del evento.
  • Si algo que podía ocurrir cinco veces al año ahora solo puede ocurrir una vez en 10 años, entonces ese nivel de riesgo ha sido reducido.
  • Si logro que en caso de que ocurra un evento, este solo me impacte con la mitad del costo original, también estoy reduciendo el nivel de riesgo.

Cuidado con compartir el riesgo

  • Al compartir un evento con otra empresa o póliza de seguro, es importante asegurarse que puedan pagar en caso ocurra un siniestro.
  • Si comparto con una empresa sin las competencias apropiadas o problemas reputacionales, entonces posible que esté incrementando mi nivel de exposición al riesgo.

Gestión de riesgos

Resumen de la sección: En esta sección, el orador habla sobre cómo manejar los riesgos en una organización. Explica que es importante monitorear y dar seguimiento a los riesgos, incluso si no se pueden eliminar por completo. También discute la importancia de evaluar las exposiciones y cómo pueden impactar los objetivos de la organización.

Eliminando riesgos

  • La mejor solución para eliminar un riesgo es eliminar lo que lo causa.
  • Si la actividad que genera el riesgo es parte intrínseca de la razón de ser de la organización, puede ser imposible eliminarlo.
  • En algunos casos, hay procesos o activos innecesarios que generan riesgos y pueden eliminarse.

Reducción del riesgo

  • Si no se puede eliminar un activo crítico, se puede reducir el riesgo mediante controles diseñados para reducir su probabilidad o impacto.
  • Invertir más en procesos, tecnología y personas puede ayudar a mitigar los riesgos, pero debe hacerse con cuidado ya que una inversión inadecuada podría empeorar la situación.

Evaluación constante

  • Es importante evaluar constantemente el entorno de control y nuestras defensas contra los riesgos emergentes.
  • Las inversiones deben seguir un proceso adecuado para asegurarse de que sean apropiadas para resolver problemas específicos y no creen nuevos problemas.

Amenazas y riesgos en ciberseguridad

Resumen de la sección: En esta sección, el orador habla sobre las amenazas y riesgos que enfrentan las empresas en términos de ciberseguridad.

Incremento de ataques

  • El número y la capacidad de los atacantes han aumentado año tras año.
  • Los ataques pueden ser desde cualquier parte del mundo, las 24 horas del día, los 365 días del año.
  • Existen diferentes tipos de ataques como ransomware, phishing, ingeniería social, entre otros.

Riesgos emergentes

  • Los teléfonos inteligentes y las redes sociales son fuentes potenciales de vulnerabilidades.
  • El internet de las cosas también representa un riesgo emergente para la seguridad cibernética.

Ciberseguridad como un flagelo social

  • La ciberseguridad ya no es solo un asunto gubernamental o empresarial sino que afecta a toda la sociedad.
  • La auditoría propiamente dicha del programa de ciberseguridad es fundamental para garantizar su eficacia.

Auditoría del programa de ciberseguridad

Resumen de la sección: En esta sección, el orador presenta al director ejecutivo de Ssangyong para Centroamérica y República Dominicana quien profundiza en la auditoría propiamente dicha del programa de ciberseguridad.

Presentación del ponente

  • El ponente es el director ejecutivo de Ssangyong para Centroamérica y República Dominicana.
  • Es un experto en temas de riesgos, seguridad y auditoría con certificaciones internacionales.

Importancia de la auditoría

  • La auditoría es fundamental para garantizar la eficacia del programa de ciberseguridad.
  • La sección final incluirá una sesión de preguntas y respuestas para aclarar dudas sobre el tema.

Certificado de Participación

Resumen de la sección: Los miembros activos del Capítulo III Saca Santo Domingo Charter tendrán acceso a un certificado de participación con una acreditación de dos créditos CP. Este certificado les permitirá cumplir con los requisitos de las certificaciones.

  • El certificado está disponible para los miembros activos del Capítulo III Saca Santo Domingo Charter.
  • El certificado otorga una acreditación de dos créditos CP.
  • Ayuda a cumplir con los requisitos de las certificaciones.

Dificultades en la Participación en Eventos

Resumen de la sección: La participación en eventos que permitan obtener crédito es difícil, pero el programa presentado ayudará a alinear y evangelizar nuestras organizaciones hacia marcos referenciales.

  • La participación en eventos que permitan obtener crédito es difícil.
  • El programa presentado ayudará a alinear y evangelizar nuestras organizaciones hacia marcos referenciales.

Proceso de Auditoría de Ciberseguridad

Resumen de la sección: Una auditoría de ciberseguridad va más allá que hacer una auditoría de sistemas. Involucra diferentes etapas desde la identificación, capacitación y despliegue del programa. Depende mucho del nivel de patrocinio que se esté dando.

  • Una auditoría de ciberseguridad va más allá que hacer una auditoría de sistemas.
  • Involucra diferentes etapas desde la identificación, capacitación y despliegue del programa.
  • Depende mucho del nivel de patrocinio que se esté dando.

Importancia de la Independencia en los Programas de Seguridad

Resumen de la sección: La administración y los consejos de directores han entendido la importancia de la independencia en los programas de seguridad. El departamento que administra una tecnología no puede estar a cargo del rol en la iglesia.

  • La administración y los consejos de directores han entendido la importancia de la independencia en los programas de seguridad.
  • El departamento que administra una tecnología no puede estar a cargo del rol en la iglesia.

Protección de Activos de Información

Resumen de la sección: Los programas de ciberseguridad deben estar orientados a robustecer y proteger todos los activos de información que nuestras organizaciones poseen.

  • Los programas deben estar orientados a robustecer y proteger todos los activos de información que nuestras organizaciones poseen.

Papel del Trabajo para Auditoría

Resumen de la sección: Se presenta un papel del trabajo disponible gratuitamente para miembros internacionales. Este programa nos ayudará a alinear y evangelizar nuestras organizaciones hacia marcos referenciales.

  • Se presenta un papel del trabajo disponible gratuitamente para miembros internacionales.
  • Este programa nos ayudará a alinear y evangelizar nuestras organizaciones hacia marcos referenciales.

Fortalecimiento del Sistema Interno

Resumen de la sección: Debemos tratar ayudar al fortalecimiento del sistema interno en nuestras organizaciones a través nuestros programas auditoría, ya que las nuevas tecnologías emergentes traen nuevos riesgos.

  • Debemos tratar ayudar al fortalecimiento del sistema interno en nuestras organizaciones a través nuestros programas auditoría.
  • Las nuevas tecnologías emergentes traen nuevos riesgos.

Servicios tercerizados de datacenter allocation y modalidades de bring on device

Resumen de la sección: En esta sección, el orador habla sobre los desafíos que enfrentan las empresas al adoptar servicios tercerizados de datacenter allocation y modalidades de bring on device. También discute la necesidad de actualizar y reforzar los programas de auditoría para garantizar una seguridad razonable de la información en los activos tecnológicos.

Desafíos al adoptar servicios tercerizados

  • Los servicios tercerizados pueden limitar el acceso a revisiones o auditorías.
  • Las modalidades de bring on device pueden generar barreras y fronteras que requieren actualizaciones en los programas de auditoría.
  • Es necesario tener una adecuada documentación en políticas y procedimientos para garantizar una seguridad razonable.

Actualización y refuerzo del programa de auditoría

  • El primer nivel de madurez del programa debe ser una adecuada documentación en políticas y procedimientos.
  • Las auditorías deben ir más allá del enfoque repetitivo tradicional.
  • Es importante evaluar si el diseño en los controles permite mitigar la probabilidad e impacto del ciberataque.
  • Las auditorías deben ser estratégicas para abordar las limitaciones que surgen al realizarlas.

Programa integral

  • Es necesario establecer límites contractuales para conocer cuál es la responsabilidad en cada uno de los elementos involucrados.
  • Cada persona involucrada en el programa de ciberseguridad tendrá un rol importante que desempeñar.
  • El programa de auditoría debe ejecutar la realidad vista en los últimos años.

Rol de asesoría del auditor en la gestión de riesgos

Resumen de la sección: En esta sección, el orador habla sobre el papel del auditor como asesor en la gestión de riesgos y cómo su programa de auditoría debe estar alineado con las matrices de riesgo de la empresa. También destaca que muchas organizaciones aún no han alcanzado los niveles adecuados de madurez en cuanto a la gestión del riesgo.

Importancia del rol asesor del auditor

  • El rol del auditor es ser un asesor para los departamentos tecnológicos y de seguridad.
  • La alta dirección debe tomar decisiones basadas en guías para el proceso de gestión del riesgo.
  • El área de riesgo en muchas organizaciones todavía no ha alcanzado los niveles adecuados de madurez.

Alineación entre el programa de auditoría y las matrices de riesgo

  • Es importante contar con una matriz adecuada que refleje la realidad.
  • La evaluación cualitativa y cuantitativa es necesaria para medir los riesgos.
  • El programa debe estar alineado con las matrices de riesgo y objetivos estratégicos.

Programa gratuito para ciberseguridad

Resumen de la sección: En esta sección, el orador presenta un programa gratuito para ciberseguridad llamado "Mix" que consta de cinco etapas: identificación, protección, detección, respuesta y recuperación. El programa está disponible en la página web de SAC y está diseñado para ayudar a las empresas a fortalecer su seguridad cibernética.

Presentación del programa Mix

  • El programa consta de cinco etapas: identificación, protección, detección, respuesta y recuperación.
  • El programa es gratuito y está disponible en la página web de SAC.
  • La primera pestaña del programa muestra las instrucciones y el proceso de identificación en ciberseguridad.

Detalles sobre el programa Mix

  • Cada etapa del programa tiene sus propias características y objetivos.
  • El programa se basa tanto en los marcos de referencia de ciberseguridad como en los marcos referenciales COBIT.
  • La primera pestaña muestra las áreas o procesos, las referencias de riesgos, los objetivos de control y los tipos de control.

Programa de ciberseguridad

Resumen de la sección: En esta sección, se habla sobre cómo identificar los riesgos en el sistema de administración de base de datos y establecer pasos para evaluar los controles. También se menciona la importancia del marco referencial y el papel de trabajo en la documentación del proceso.

Áreas a revisar en un programa de ciberseguridad

  • Gestión de activos: evaluación de los dispositivos, sistemas y facilidades que existen en la organización.
  • Entorno del negocio: evaluación del entorno empresarial.
  • Gobierno de seguridad de la información: actividades relacionadas con la gobernanza.
  • Evaluación de riesgo: identificación y evaluación de los riesgos que enfrenta la organización.
  • Gestión estratégica de riesgos: gestión estratégica para abordar los riesgos.

Objetivos y controles

  • Gestión de activos: objetivo es asegurar que los datos, dispositivos, sistemas y facilidades estén adecuadamente inventariados. Los controles incluyen una revisión física a los dispositivos, una colección completa del inventario y procesos para capturar nuevos dispositivos.
  • Plataformas bien adecuadas: objetivos incluyen definir las comunicaciones, mapas organizacionales y catalogar información externa. Los controles están relacionados con recursos priorizados según su clasificación y criticidad, roles claros para ciberseguridad.

Controles adicionales

Resumen de la sección: En esta sección, se habla sobre otros controles importantes que deben ser considerados en un programa de ciberseguridad.

Controles adicionales

  • Plataformas bien adecuadas: objetivos incluyen definir las comunicaciones, mapas organizacionales y catalogar información externa. Los controles están relacionados con recursos priorizados según su clasificación y criticidad, roles claros para ciberseguridad.
  • Evaluación de proveedores: objetivos incluyen evaluar a los proveedores de servicios y productos para asegurar que cumplan con los requisitos de seguridad. Los controles incluyen la evaluación continua del desempeño del proveedor.
  • Gestión de incidentes: objetivos incluyen establecer procesos para detectar, reportar y responder a incidentes de seguridad. Los controles incluyen la identificación temprana de incidentes y la implementación de medidas correctivas.

Conclusiones

Resumen de la sección: En esta sección, se habla sobre cómo el programa de auditoría puede ayudar a establecer pasos para abordar los riesgos en un programa de ciberseguridad.

Programa de auditoría

  • El programa de auditoría puede ayudar a establecer pasos para abordar los riesgos en un programa de ciberseguridad.
  • El programa puede identificar qué controles son necesarios y cómo implementarlos.
  • Si no se tienen ciertos controles, el programa puede ayudar a establecer planes para implementarlos.

Implementación de un Programa de Ciberseguridad

Resumen de la sección: En esta sección, se habla sobre la implementación de un programa de ciberseguridad en una organización. Se mencionan los elementos que deben ser identificados y evaluados para diseñar y operar controles efectivos.

Elementos a considerar en el diseño del programa

  • Identificar los temas relacionados con la ciberseguridad que son relevantes para la organización.
  • Alinear el programa de ciberseguridad con los objetivos estratégicos del negocio y establecer prioridades.
  • Evaluar cómo está alineado el programa de ciberseguridad con los objetivos estratégicos de tecnología.
  • Revisar un marco detallado para obtener información importante.

Módulo de protección y proceso

  • El módulo de protección incluye procesos como control de acceso, concientización en seguridad, seguridad de datos e identificación y protección de procedimientos y procesos.
  • Cada proceso tiene controles asociados, por ejemplo, el control de acceso requiere identificación y autenticación adecuadas.
  • Otros controles importantes son acceso remoto, integridad en la red y mantenimiento.

Proceso de detección

  • La fase 3 del programa es la detección, que incluye eventos para identificar anomalías.
  • Un programa auditoría permite probar cada uno de los objetivos de control y controles.
  • El monitoreo continuo de la seguridad es importante para identificar ataques y penetraciones.

Introducción a la Ciberseguridad

Resumen de la sección: En esta sección, se introduce el concepto de ciberseguridad y su importancia en el mundo actual. Se habla sobre las amenazas comunes que enfrentan las organizaciones y cómo pueden protegerse.

¿Qué es la ciberseguridad?

  • La ciberseguridad es un conjunto de prácticas, tecnologías y procesos diseñados para proteger los sistemas informáticos, redes y datos contra amenazas maliciosas.
  • Las amenazas incluyen virus, malware, phishing, ransomware y ataques dirigidos.

Importancia de la ciberseguridad

  • La ciberseguridad es importante porque las organizaciones dependen cada vez más de la tecnología para operar.
  • Los ataques pueden causar daños financieros, pérdida de datos e interrupción del negocio.
  • Las regulaciones gubernamentales también requieren que las organizaciones protejan sus sistemas y datos.

Protección contra amenazas

  • Las organizaciones pueden protegerse mediante prácticas como el uso de contraseñas seguras, actualizaciones regulares del software y capacitación en seguridad para los empleados.
  • También pueden utilizar tecnologías como firewalls, antivirus y detección de intrusiones.

Plan de respuesta ante ciberataques

Resumen de la sección: En esta sección, el orador habla sobre la importancia de tener un plan de respuesta ante ciberataques y los elementos que deben estar presentes en dicho plan.

Elementos del plan de respuesta

  • Tener un programa de ciberseguridad con un plan de respuesta.
  • Definir quién informará a los clientes y empleados en caso de una falla o brecha en la seguridad.
  • Analizar el ataque para determinar su magnitud y definir un plan de mitigación.
  • Continuamente mejorar los procesos del programa de ciberseguridad.
  • Tener planes de recuperación ante desastres.

Invitación a formar parte del ISACA

Resumen de la sección: El orador invita a los miembros y no miembros del ISACA a formar parte de la organización para obtener beneficios profesionales.

Formar parte del ISACA

  • Invitación a formar parte del ISACA, una organización mundial con más 130.000 profesionales interesados en mejorar sus perfiles profesionales.

Preguntas y respuestas

Resumen de la sección: En esta sección, el orador responde preguntas relacionadas con el tema principal.

Respuestas a preguntas

  • Anuncios sobre próximas actividades del capítulo local del ISACA.
  • El orador invita a los asistentes a colocar preguntas en el chat.
  • Los programas de auditoría están alineados con el marco de control interno COSO y las guías globales de tecnologías de la información del instituto de auditores internos.
  • El ISACA trabaja muy de la mano con el instituto de auditores internos en los Estados Unidos.

Creación de conciencia sobre ciberseguridad en una empresa

Resumen de la sección: En esta sección, se discute cómo crear conciencia sobre la importancia de la ciberseguridad en una empresa que no tiene un departamento de auditoría y donde no ven la seguridad como algo crítico o importante. Se mencionan los primeros pasos a seguir para lograrlo.

Pasos para crear conciencia sobre ciberseguridad

  • Disponer de políticas y procedimientos documentados y divulgarlos a través de toda la organización.
  • Dar entrenamiento al personal sobre aspectos relativos a las políticas de seguridad específicos de la empresa.
  • Crear conciencia en todo el personal desde cosas tan simples como saber qué correos electrónicos no deben abrirse hasta la importancia de las políticas y controles internos a nivel gerencial.
  • Incluir toda la organización en el programa de formación y creación de conciencia, desde los usuarios más simples hasta el consejo de administración.

Auditor informático perteneciente al departamento adecuado

Resumen de la sección: En esta sección, se responde si un auditor informático puede pertenecer al departamento tecnológico y reportarse al auditor TI.

Pertenencia del auditor informático

  • El auditor informático debe pertenecer al departamento de auditoría TI porque audita precisamente al director tecnológico. No podría formar parte del departamento tecnológico ya que no habría independencia.

Evitar que los empleados accedan vía TeamViewer a la red de la empresa desde casa

Resumen de la sección: En esta sección, se responde cómo evitar que los empleados accedan vía TeamViewer a la red de la empresa desde casa.

Evitar el acceso remoto

  • Todo dependerá de las políticas de trabajo remoto implementadas por la organización. Si ya existen accesos, es porque no están prohibidos. Deberían existir políticas que prohíban el uso de este tipo de herramientas y bloquear estos accesos a través del VPN o los distintos accesos que tenga la organización.

Iniciando un programa de ciberseguridad

Resumen de la sección: En esta sección, se discute cómo iniciar un programa de ciberseguridad cuando los usuarios no están conscientes de su importancia y se resisten al cambio.

Crear conciencia en los empleados

  • Lo primero que hay que hacer es crear conciencia en los empleados sobre la importancia del manejo seguro de documentos y terminales descentralizadas.
  • La creación de conciencia debe ser un programa continuo y establecer un programa continuo de educación para permitir a las personas entender cuáles son los riesgos de ciberseguridad que pueden enfrentar al utilizar y manejar documentos de la empresa en terminales no centralizadas.

Metodología adecuada para realizar una evaluación

Resumen de la sección: En esta sección, se discute cuál es la metodología más adecuada para realizar una evaluación desde el punto de vista de auditoría.

Identificación y evaluación del riesgo

  • No existe una metodología como tal que sea la mejor, pero el marco general mejor aceptado es el marco con los cuatro dominios que presenta SAC.
  • El marco para el desarrollo del sistema debe complementarse con metodologías específicas como ISO 27000 5 o NIST SP 800-30 para identificar posibles amenazas y vulnerabilidades.
  • También hay guías específicas que aplican a ciertos tipos de empresas en particulares que pueden ser utilizados para complementar el marco de gestión.

Anuncios finales y cierre

Resumen de la sección: En esta sección, se realizan anuncios finales y se cierra la sesión.

Información adicional

  • Aquellas personas que no pudieron participar podrán compartir el link para que puedan escuchar la grabación.
  • Las preguntas que no pudieron ser contestadas por temas de tiempo serán respondidas vía correo electrónico en los próximos dos días.

Información del evento y grabación

Resumen de la sección: En esta sección, el presentador informa a los asistentes que el evento está siendo grabado y que recibirán un enlace para acceder a la grabación. También les anima a compartir la información con sus colegas y menciona que habrá eventos mensuales similares en el futuro.

  • La grabación del evento estará disponible para su visualización posterior.
  • Los asistentes pueden compartir la información con sus colegas.
  • Habrá eventos similares mensuales en el futuro.

Próximos temas de los eventos webinars

Resumen de la sección: El presentador comparte los próximos temas que se abordarán en los eventos webinars futuros.

Temas futuros

  • 19 de abril: Cómo relacionar los controles internos basados ​​en COSO con el marco de controles COBIT 5.
  • Mayo: Pasos básicos para adoptar un marco de gobierno de tecnología.
  • Próximo webinar: Auditoría de bases de datos - consideraciones principales.

Convocatoria abierta para cursos y certificaciones

Resumen de la sección: El presentador informa sobre una convocatoria abierta para cursos y certificaciones, incluyendo descuentos para miembros y simulacros de exámenes al final del curso.

  • Hay una convocatoria abierta para cursos y certificaciones.
  • Los miembros tienen descuentos especiales.
  • Se ofrecerán simulacros de exámenes al final del curso.