“Orden dada no supervisada no sirve para nada” La...
Transcript of “Orden dada no supervisada no sirve para nada” La...
29/10/2018
1
“Orden dada no supervisada no sirve para nada”
La auditoría de la ciberseguridad deinfraestructuras críticas como elemento clave
para la prevención
Gabriela Reynaga VargasCRISC, CISA, GRCP, COBIT 5 ACCREDITED TRAINER, CONSEJERA INDEPENDIENTE CERTIFICADA
CEO Holistics GRC
Member of ISACA Board of Directors
Member of the GFCE Advisory Board
29/10/2018
2
Las tres líneas de defensa
Encuesta de Benchmarking de Auditoría de TI 2018: ISACA & Protiviti
• La mayoría de los planes de auditoría para 2018 se han visto impactados por los temas de ciberseguridad.
• Una de cada cinco organizaciones no incluye la ciberseguridad en sus planes de auditoría
• La falta de recursos calificados: personas, habilidades y / o herramientas de auditoría.
Esas deficiencias deben abordarse con urgencia.
29/10/2018
3
Encuesta de benchmarking de auditoría de TI 2018La importancia creciente de la auditoría de TI
Al menos la mitad de todas las organizaciones encuestadas tienen un director de auditoría de TI dedicado
Reuniones periódicas con líderes empresariales:
• identificación oportuna del riesgo
• transmitir el valor de los equipos de auditoría
“El auditor es tu amigo”
¿Por qué auditamos?
Se debe proporcionar a los organismos de gobierno corporativo y a la alta dirección o a la autoridad un
aseguramiento comprensivo basado en el más alto nivel de independencia y objetividad dentro de la
organización.
29/10/2018
4
Gobierno corporativo
*Código de mejores prácticas del consejo coordinador empresarial
IT / OTAudit
Componentes de las Infraestructuras críticas
Proceso Infraestructura Gente
• Principios• Políticas• Marcos de
referencia• Cumplimiento
regulatorio
SCADA/ICS• PLC• HMI• DCS• RTU• Historian• Redes• Telecomm
• Board / Consejo / Autoridad
• Internos• Externos
29/10/2018
5
Proceso de auditoría de ciberseguridad basado enriesgos
Entrega de reportes
Evaluación de resultados
Ejecución de Pruebas
Diseño de pruebas
Entendimiento de los procesos /sistemas críticos / cumplimiento regularorio
Implementación de mejoras
Resultados más comunes
1. Mal diseño de las redes2. Administración relacionada a los ICS (documentación,
actualización, etc., SOPs)3. Falta de identificación de sistemas críticos4. Falta de Antivirus Integral5. Falta de planes de sucesión para la administración de los
sistemas6. Sistemas antiguos que no se pueden actualizar7. Falta de propiedad de la responsabilidad8. Uso de proveedores externos (Contratos, SLAs, OLAs)9. Seguridad de Datos y aplicaciones, respaldos10. Monitoreo, auditorías internas y externas
29/10/2018
6
¿En qué nos basamos?
LAS QUE APLIQUEN DE ACUERDO A:- SECTOR- PAIS- NORMAS
Perfil del auditor de ciberseguridad de Infraestructuras Críticas
- Hard skills- Riesgos
- Control Interno
- IT/OT
- Propósito de la organización
- Certificaciones aplicables
- Soft skills
29/10/2018
7
Las tres líneas de defensa
Un amigo es alguien que te dice lo que debes escuchar no lo que quieres escuchar
Ergo
“El auditor es tu amigo”
29/10/2018
8
Gabriela Reynaga VargasCRISC, CISA, GRCP, COBIT 5 F, COBIT 5 ACCREDITED TRAINER
Consejera Independiente Certificada CEO Holistics GRC
Member of ISACA Board of DirectorsMember of the GFCE Advisory Board
+ 52 1 33 1247 9958