Hoy la función del auditor debe estar preparada para encarar desafíos en un mundo altamente digitalizado, donde los procesos de tranformación digital e innovación requieren auditores ágiles y listos para actuar en un mundo digital
Es importante repasar las principales ciberamenazas del año y ver qué nos deparará un 2018, previsiblemente más peligroso
Autor: Marcelo Horacio Fortino. Para ISACA, http://www.isaca.org/ un tema candente en la área de auditoría es la ciberseguridad. En efecto, es difícil no encontrar cada semana una noticia relacionada a ciberataques, robos de información corporativa o nuevos virus que amenazan la normal operativa de las organizaciones. Por ello en 2016, la organización desarrolló un programa de IS Audit/Assurance para la ciberseguridad (gratuito para los asociados, puede descargarse desde http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Cybersecurity-Based-on-the-NIST-Cybersecurity-Framework.aspx) basado en el Framework NIST Cybersecurity Audit Program https://www.nist.gov/cyberframework/draft-version-11. El NIST (National Institute of Standards and Technology), agencia de la Administración de Tecnología del Departamento de Comercio de los EEUU se dedica a promover la innovación y la competitividad industrial mediante el avance de la ciencia de la medición, los estándares y la tecnología para mejorar la seguridad económica y la calidad de vida. La Visión del NIST apunta a ser líder mundial en la creación de soluciones de medición críticas y la promoción de estándares equitativos. De acuerdo con ISACA, el objetivo de una auditoría de ciberseguridad es «proveer a la gerencia una evaluación de la efectividad de los procesos de ciberseguridad, de las políticas, procedimientos, gobernanza y otros controles». La auditoria asimismo, podrá ser adaptada para soportar diversos tipos de procesos de negocios, aplicaciones o sistemas con variados requisitos de seguridad. Tal es así que el propósito de la auditoría estará construido sobre las cinco actividades críticas de ciberseguridad: identificar, proteger, detectar, responder y recuperar. Además, deberá realizarse un análisis de riesgos y su impacto en el negocio de la organización para evitar las consecuencias negativas de éstos. El documento afirma que el profesional que hará la auditoría deberá tener conocimientos de seguridad y controles, además de entender el negocio de la organización auditada para poder alinearse a la estrategia corporativa. Los profesionales certificados CISA deberán también cumplir con el estándar 1006 del framework ITAF (Information Technology Assurance Framework) http://www.isaca.org/itaf. El programa de IS Audit/Assurance para la ciberseguridad cuenta con una herramienta en formato de planilla de cálculos con los pasos para realizar la auditoría utilizando las sub-categorías del framework NIST, los controles de COBIT 5 y la norma ISO/IEC 27001:2013. Como ejemplo, en la hoja de la planilla de la actividad «Identificar», tenemos en la sub-categoría «Gestión de activos»: el riesgo al que se referencia, los objetivos de control junto con las características y el tipo de control, su clasificación, y la lista de pasos para verificarlo. A continuación, aparece la relación entre el framework y COBIT 5, la norma ISO 27001:2013 y/u otros estándares y framewoks. Por último, un campo para chequear si el control es efectivo y otro para comentarios. En este caso para COBIT 5, dentro del dominio Construir, Adquirir e Implementar (Build, Acquire and Implement, BAI), tenemos el proceso BAI09 (Gestionar los Activos) y sus metas BAI 09.01: Alineamiento de TI y la estrategia de negocio, y BAI 09.02: Cumplimiento y soporte de la TI al cumplimiento del negocio de las leyes y regulaciones externas. En relación a la norma ISO/IEC 27001:2013, la actividad está alineada a los ítems del anexo A.8.1.1 y A.8.1.2. Sin duda alguna, este trabajo de ISACA disponible para sus asociados, es una herramienta eficaz y eficiente para una correcta evaluación de la efectividad de los procesos de ciberseguridad, de las políticas, procedimientos, gobernanza y de los controles que toda organización debe realizar para gerenciar los riesgos de ciberseguridad. —- Una visión previa de este tema fue el infográfico «10 cosas que los auditores deberían saber» (10 Things Auditors Should Know http://www.isaca.org/Knowledge-Center/Research/Documents/Auditing-Cyber-Security-Infographic_ifg_eng_0217.pdf) donde el primer punto destaca el uso en conjunto del “Framework for Improving Critical Infrastructure Cybersecurity” de NIST, los controles de la norma ISO27001:2013 de seguridad de la información, y COBIT 5 para reducir el escopo de la auditoría y en consecuencia, hacerla más manejable. —- Fuentes: http://www.isaca.org/knowledge-center/research/researchdeliverables/pages/auditing-cyber-security.aspx https://www.nist.gov/cyberframework Marcelo Horacio Fortino es Gerente de TI de la Secretaría de Educación del DF – Brasil. Es Administrador de proyectos de TIC, con 20 años de experiencia internacional como gerente de TI, líder de proyecto, Consultor, formador de TI, administrador de sistemas y desarrollador web. Es especialista en código abierto y software libre. Ha escrito el libro Tutoriales GNU/Linux. MBA en gestión de proyectos y certificado en ITIL, ISO 20000 y Scrum Fundamentals. Miembro de ISACA, FSF e Hispalinux.
El Banco Central emitió una normativa (Comunicación «A» 6354) a través de la cual las entidades financieras podrán tercerizar servicios de almacenamiento y procesamiento de datos en la nube. Texto completo de la resolución Según los dichos del vicepresidente primero del BCRA, Lucas Llach, esta idea surgió de la mesa de innovación del organismo. Según explicó el funcionario, los representantes de las fintech se sorprendieron cuando los banqueros les comentaron que no tenían permitido procesar información en la nube. Sobre el reciente cambio, Llach afirmó: «La política del BCRA es que todo lo que se pueda permitir y haga a la innovación financiera: ¡Adelante! Este es un ejemplo de cómo queremos igualar las condiciones entre los bancos entre sí y con respecto a los nuevos jugadores». De acuerdo con la normativa del BCRA, las entidades financieras podrán tercerizar servicios destinados a infraestructura de tecnología y sistemas; procesamiento de datos, soporte, prevención y mantenimiento; comunicaciones; almacenamiento y custodia; desarrollo de aplicaciones; y contingencia y recuperación. Esto, fundamentalmente, les permitirá ahorrar costos. «El manejo económico financiero en el marco de la normativa anterior requería una inversión bastante grande. En cambio, los servicios en la nube dan una flexibilidad tal que los bancos pueden ahorrar muchos costos e ir financiándose a medida que lo van haciendo», explicó Nicolás Macloughlin, business development manager de Logicalis Argentina. Fuente: El Cronista (29/11/2017) ¿Qué opinan nuestros socios?
El II Coloquio Metropolitano de Control Interno se llevó a cabo el día 6 de julio del corriente, en el Aula Magna de la Universidad Argentina de la Empresa (UADE), presidido e inaugurado por la Síndica General de la Ciudad de Buenos Aires, Cdora. Mónica Freda. El objetivo central de este evento fue compartir experiencias de control de gestión en las jurisdicciones del Área Metropolitana en conjunto con actores gubernamentales y académicos, que intercambien experiencias y conocimientos en favor de mejorar las buenas prácticas e iniciativas públicas. El Coloquio se desarrolló en torno a los siguientes paneles temáticos: 1º Panel: “Accountability y Fortalecimiento de la Democracia”. Lic. María Fernanda Araujo, Directora de Fortalecimiento Institucional y Participación Ciudadana, Ministerio del Interior, Obras Públicas y Vivienda. 2° Panel: “Calidad Gubernamental y Control de Gestión”. Arq. Daniel Beltrami, Gerente de Relaciones Institucionales del Instituto Argentino de Normalización y Certificación (IRAM). 3° Panel: “Contexto, Riesgo y Madurez en la Auditoría del Sector Público”. Cdor. Néstor Sosa, Subdirector General de Auditoría Interna de la Administración Federal de Ingresos Públicos (AFIP). 4° Panel: “Sistemas de Información Seguros y Confiabilidad en el Control Interno”. Lic. Jorge Nunes, Presidente de la Asociación de Auditoría y Control de Sistemas de Información (ADACSI). 5° Panel: “Organismos y Normas Internacionales de Control Interno”. Cdora. Carmen E. Estévez, Presidente del Instituto de Auditores Internos de la Argentina (IAIA).
Raef Meeuwisse escribe sobre los ataques del ransomeware de WannaCry. Para evitar este malware en particular, lo que todas las organizaciones tenían que hacer era tener su sistema operativo con la última actualización de software instalada. Mientras observaba las noticias, me sorprendió la inexactitud de gran parte de la cobertura inicial de la ola de ataques masivo de ransomware que surgieron el 12 de mayo. Incluso mi socio pensó que los ordenadores del Servicio Nacional de Salud (NHS), así como otros objetivos alrededor del mundo, estaban siendo intencionalmente atacados por un ciberataque global coordinado. La verdad era mucho peor. Esto no era más que una infección diseñada para aprovechar los ambientes que fallaban en tener la seguridad informática más básica implementada. Este malware, conocido por varios nombres, incluyendo WannaCry y Wanna Decrypt0r, es conocido a partir de una fuga de las herramientas cibernéticas en la Agencia de Seguridad Nacional (NSA) de EE.UU. Sin embargo, la vulnerabilidad y las herramientas de malware eran ampliamente conocidos. Había un montón de soluciones disponibles para evitar que el malware se expanda. Para evitar este malware en particular, lo que las organizaciones tenían que hacer era instalar las últimas actualizaciones de software en el sistema operativo. El parche, para evitar que este malware funcionara, había sido lanzado por Microsoft en marzo de este año. Incluso si sus computadoras no estuvieran con las actualizaciones instaladas o estuvieran ejecutando un sistema operativo sin soporte, habría sido suficiente si la organización tenía una solución anti-malware más eficaz, para evitar que el malware funcionara. Cuando el malware entró en un equipo sin las actualizaciones en una red, tenía la capacidad de buscar otros equipos sin protección en la misma red. El malware puso en evidencia las organizaciones y los equipos que utilizaban sistemas operativos sin soporte del proveedor, sistemas operativos sin parches, topologías de red abiertas y con protección contra malware ineficaz o completamente ausente. Uno a uno, los ambientes peor configurados y mantenidos que recibieron el malware comenzaron a experimentar una interrupción sustancial. Para seguir leyendo…
Desde el año pasado, el Capítulo de Santiago de Chile ha traducido amablemente artículos selectos de la revista al idioma español, y se ha puesto a disposición en línea a través de http://www.isaca.org/spanish/. Si un artículo de la revista esta traducido, el listado de la web será denotado por un enlace «Spanish» junto al artículo en la página web del ISACA Journal. Si tienen preguntas o inquietudes, no duden en enviar un correo electrónico al director de traducciones, Antonio Salzano, a asalzano@isaca.org.
Agenda la Fechas del Latin CACS 2017 San José de Costa Rica – 28 y 29 de septiembre Asistí a la conferencia N° 1 en español sobre auditoría y seguridad de TI y conectate con líderes de la industria, innovadores y profesionales de todo el mundo. Latin CACS 2017
Por Julián Márquez, CISA, CRISC, Fundamentos de COBIT, ISO 27001 LA, Fundamentos de ITIL COBIT Focus | 3 de enero de 2017 Aunque COBIT sigue siendo una herramienta muy valiosa para la gestión de riesgos de TI, muchas empresas de América Latina todavía se encuentran un poco confundido al tratar de entender lo que se necesita para llevar a cabo una implementación completa o parcial de COBIT. De hecho, las organizaciones siguen luchando con la forma de lograr negocios a largo plazo y los objetivos de TI a través del uso adecuado de las herramientas del marco, y el asesoramiento de profesionales con experiencia o conocimiento de causa, no se busca, porque la alta dirección menudo considera que cualquier consultoría externa como un gasto con poco o ningún retorno de la inversión.Además, debido a las múltiples fusiones y adquisiciones que tienen lugar en la actualidad, existe un interés creciente en la región en la implementación de COBIT como un marco de gestión de riesgos de TI e incluso como una forma de cumplir con las normas aceptadas a nivel mundial, en particular los EE.UU. Sarbanes-Oxley 2002(SOX). Artículo Publicado por Más Información
En mi carácter de presidente del capítulo Argentino de ISACA, les hago extensivo el agradecimiento de ISACA internacional
