Juan DVILA, CISA, CISM, ISO 27001 LA, CobiT Acredited Trainer

Presidente ISACA Lima Chapter 146

ndice
01 Evolucin
02 Vamosaver,dndeestamos?
LaauditoradeTIcomosoporte
03 estratgicoparalaorganizacin
04 Lecciones

01
Evolucin

Ene27: KPN sufre un ataque severo a sus redes. Notifica a las

autoridades y se decide no hacer pblico el caso.
Feb8: KPN emite un comunicado donde reconoce el ataque,
indicando que algunos datos de sus clientes podran haberse
visto afectados, pero afirm que los servidores que contienen
datos de tarjetas de crdito o contraseas no estaban
comprometidos.
Feb9: Una lista de 539 cuentas de usuario y sus datos son
publicados en un post con el ttulo KPN insiste: no hay datos
de clientes robados. KPN reacciona cerrando el acceso al
correo electrnico de sus 2 MM de clientes por ms de 25 HH,
y recomendando a sus clientes el cambio de contrasea. Y
cmo somos para efectuar los cambios que Tecnologa nos
recomienda?

A. La Alta Direccin.
B. Sistemas.
C. Seguridad Lgica.
D. Los auditores de tecnologa.
E. Todos.
F. Nadie

Vdeo1
La respuesta es:

02
Vamosaver,dndeestamos?

Las TIC son PCs, laptops, servidores, Office, ... y hasta

Blackberries !!!
TI es un rea tcnica, de apoyo. Si lo dice hasta el
organigrama.
Los proyectos de TI implican gastos cada vez ms
crecientes y lo peor de todo, es que no sabemos a
ciencia cierta si es que hay rentabilidad asociada !!!
Hey . no funciona el correo electrnico !!!
Bueno, llamen a TI !!!

Las inversiones en TI crecen. Las expectativas de las

organizaciones tambin.
Las organizaciones se enfrentan al reto de adaptarse
a las demandas del mercado, mientras que debe
gestionar los riesgos y las complejidades de las TI.

Estudio de PowerTech PowerNews por encargo de IBM

Mayo de 2012:
Usuarios con exceso de privilegios.
Contraseas dbiles.
Gestin incorrecta de privilegios de acceso a la
informacin (carpetas, servidores, PCs, laptops,
smartphones, etc.)
Debilidades en el control de acceso a la red.
Auditora eventual.

03
LaauditoradeTIcomosoporte
estratgicoparalaorganizacin

El negocio, la AD, Sistemas, el cliente externo, ,

Quin?
El auditor de TI debe orientar sus mensajes y reportes
en funcin del cliente.

Vdeo2

Estratgico: Auditora de TI debe contribuir a que TI

posibilite la competencia de la empresa en el
mercado.
Operativo: Auditora de TI debe orientarse a que TI
entregue servicios efectivos y eficientes .
Auditora de TI contribuye en la gestin de los riesgos
y las complejidades de las TI en el logro de los
objetivos estratgicos.

Marcos normativos:
CobiT como un marco de control.
Normas ISO NZS BS.
Certificaciones:
CISA CRISC CGEIT CISM CIA EH BCP.
ISACA DRII IAI ISO BSI.
Herramientas:
ACL Crackers Sniffers Scripts Checklists
Auditora Continua Indicadores Modelos de
madurez

10

Prever el impacto de los riesgos de la tecnologa en el

logro de los objetivos de la organizacin.
Gestin del riesgo en tecnologa:
Cloud computing.
Smartphones.
Seguridad de la informacin: No slo informtica.
Proteccin de datos personales: Entorno legal.
Redes sociales: Todos queremos estar. El costo?
Ciberespacio: Cualquier tiempo, cualquier espacio. Stuxnet
DUQU TheFlame. Esto recin empieza !!!
BBDD SSOO Aplicaciones Redes Devices.

Organizacional:
Reporte a la Alta Direccin en lenguaje sencillo y
directo.
Esquema colaborativo con las reas de auditora.
Esquema colaborativo con las reas de tecnologa.
Concientizacin transversal por la seguridad de
informacin.

11

04
Lecciones

Buscamos funcionalidad, sin dar importancia a los factores de

seguridad lgica.
Estamos en un entorno de cambios tecnolgicos acelerados,
pero tambin de alto riesgo. Insistimos en no darle cara !!!
El rol del auditor de TI como facilitador en el entendimiento y
el tratamiento de los riesgos asociados a la tecnologa por
venir.
No somos islas, reconozcamos el rol y la contribucin en
equipos que le corresponde a cada uno de nosotros en el logro
de los objetivos de la organizacin.

Vdeo3

12