Embed Size (px)
Citation preview
GERENCIA DE AUDITORIA INTERNA
PONIENDO FOCO EN LA
PROTECCION DE
ACTIVOS DE INFORMACION
Lic. Claudio Scarso
Lic
. C
laudio
Sca
rso
OBJETIVO
DE LA
CONFERENCIA
BRAINSTORMING
2
ENCUESTA MUNDIAL (2015)
55 % DE LAS EMPRESAS SUFRIO FRAUDE
45 % MAS DE UN FRAUDE
22 % MAS DE 100 MIL DOLARES POR EVENTO
81 % PROPIO PERSONAL
32 % NIVELES GERENCIALES
63 % SE REALIZÓ POR LA
FALTA DE CONTROLES 3
Lic
. C
laudio
Sca
rso
4
ENCUESTA MUNDIAL (2015)
83 % DICE NO SENTIRSE SEGURO
DE SUS CONTROLES ANTIFRAUDE
57 % DESCONOCE LA EXISTENCIA
DE PROGRAMAS ANTIFRAUDE
43 % NO TIENE SISTEMA PARA
CANALIZAR DENUNCIAS
Lic
. C
laudio
Sca
rso
5
44 % DE LOS FRAUDES FUERON
POR ROBO DE DATOS Y FUGA
DE INFORMACION
(LO CUAL DEMUESTRA EL VALOR
ESTRATEGICO QUE TIENE
LA INFORMACION)
Primer y segundo puesto en todas
las encuestas internacionales
sobre fraudes internos Lic
. C
laudio
Sca
rso
6
PROTECCION DE ACTIVOS
DE INFORMACION
MEDIDAS CORPORATIVAS
TONE OF THE TOP
HACER PRINCIPAL FOCO EN LOS
RIESGOS MAS IMPORTANTES
MANTENGA LA PERCEPCION DE
MONITOREO CONSTANTE
ESTE PREPARADO PARA RESPONDER
(ANTE SOSPECHAS, INCIDENTES O DENUNCIAS)
Lic
. C
laudio
Sca
rso
7
TENER PRESENTE
MANTENER ACTUALIZADO EL TABLERO
DE CONTROL ANTIFRAUDES
DEBIDA ATENCION A LOS NATIVOS
DIGITALES QUE INGRESAN AL
MERCADO LABORAL
MANTENER PRESUPUESTO PARA
PREVENCION DE FRAUDES
DEBE SIEMPRE DENUNCIARSE
AL DEFRAUDADOR
Lic
. C
laudio
Sca
rso
8
RIESGOS EMERGENTES
RIESGO DE FUGA O PERDIDA DE INFORMACION
NUNCA FUE MAYOR EN LA HISTORIA
A PESAR DE HABER CADA VEZ MAS FRAUDES DE
USURPACION DE IDENTIDAD,
SE SIGUE EXPONIENDO INFORMACION
CONFIDENCIAL EN LAS REDES SOCIALES
Encuesta 49 % DE LOS EMPLEADOS EN LA UE SE LLEVAN
ARCHIVOS CUANDO CAMBIAN DE EMPLEO
Lic
. C
laudio
Sca
rso
EJEMPLO:
EMPLEADO DE EMPRESA AEREA SE LLEVO 320 MIL
ARCHIVOS CON UN DISCO EXTRAIBLE Y SE LO
VENDIO A UN PERIODICO.
DAÑO ESTIMADO ENTRE 10 Y 15 MIL
MILLONES DE DOLARES
68 % DE LAS EMPRESAS NO HAN TOMADO AUN
NINGUNA ACCION PARA EVITAR EL USO DE
DISPOSITIVOS MOVILES DE ALMACENAMIENTO.
SE CALCULA ENTRE 60 Y 200 EUROS
EL VALOR DEL REGISTRO.
9
Lic
. C
laudio
Sca
rso
5 FORMAS DE FUGAR INFORMACION
MALWARE :
TROYANOS – KEYLOGGERS
APLICACIONES DE MENSAJERIA
DISPOSITIVOS MOVILES :
USB – CD´s – PC PORTATILES – DISCOS EXTRAIBLES
PRIMERO HABRIA QUE EVITAR LA COPIA
CASO CONTRARIO LOG
Y LUEGO QUE LA INFORMACION SE ENCUENTRE
ENCRIPTADA SI ESTA AUTORIZADO.
10
Lic
. C
laudio
Sca
rso
5 FORMAS DE FUGAR INFORMACION
CORREO ELECTRONICO:
MEDIO POR EXCELENCIA PARA TRANSMITIR
DATOS, SEAN LEGITIMOS O NO.
HABRIA QUE CONTROLAR QUE SE TRANSMITE
LUEGO SI SE APRUEBA, QUE SEA ENCRIPTADA
REDES SOCIALES:
LAS PERSONAS COMPARTEN INFORMACION QUE
NUNCA COMPARTIRIAN EN LA VIDA REAL
11
Lic
. C
laudio
Sca
rso
Lic
. C
laudio
Sca
rso
12
RIESGOS EMERGENTES
RANSOMWARE
(SECUESTRO DE DATOS)
SPEAR PHISHING
(PHISHING PERSONALIZADO)
GRUPO CIBERCRIMINAL DD4BC
MEJORES PRACTICAS PARA PROTEGER LA
SEGURIDAD DE LA INFORMACION
FIRMAR LAS POLITICAS DE SEGURIDAD DE LA EMPRESA
USO DE LAS HERRAMIENTAS INSTALADAS EN
SU EQUIPO (ANTIVIRUS, ANTISPAM, ETC.)
CONOCIMIENTO DE LOS MALWARE (TROYANOS, ETC.)
ESTAR INFORMADOS DE LAS
DISTINTAS MODALIDADES DE LOS HACKERS
PRECAUCION AL ALMACENAR Y TRASLADAR
INFORMACION SENSITIVA.
A VECES LA FUGA SE DA POR ERROR
13
Lic
. C
laudio
Sca
rso
14
MEJORES PRACTICAS PARA PROTEGER LA
SEGURIDAD DE LA INFORMACION
NO COMPARTIR EL DISPOSITIVO MOVIL DE LA EMPRESA
(CON CLAVE DE ACCESO Y ENCRIPTANDO LA INFORMACION)
USAR CONTRASEÑAS FUERTES Y SEGURAS
(Base de datos LEAKEDSOURCE tiene 2 mil millones de
contraseñas viejas. Se pueden leer por U$S 2.- cada una)
Cuidado con repetir claves en distintos entornos
Hackers atacan diariamente servidores de la aplicación Pokemon Go
Millones de mails con passwords de los usuarios están disponibles
2 al 8 % probabilidad de repetir claves en aplicaciones de riesgo
EVITAR ABRIR CORREOS ELECTRONICOS DESCONOCIDOS
CUIDAR LA INFORMACION DE LA EMPRESA
(DENTRO Y FUERA)
UTILIZAR UNA CONEXIÓN SEGURA
SI SE ACCEDE DESDE REDES PUBLICAS NO USAR
INFORMACION CONFIDENCIAL
Lic
. C
laudio
Sca
rso
15
Fuga de Información
Aumento de uso de la nube
¿ Es riesgoso ?
Si, sin embargo …
El principal riesgo emergente
sigue siendo el uso de dispositivos
móviles para bajar archivos
En la nube ya esta la mitad de las
empresas del fortune 500
(Está la CIA y el Pentágono)
Lic
. C
laudio
Sca
rso
16
INFORMACION OBSOLETA
ES MUY IMPORTANTE DESTRUIR
LA INFORMACION CUANDO DEJA
DE SER NECESARIA
REEMPLAZO DE PORTATILES
BALANCES, LISTADOS, MEDIOS
ELECTRONICOS, MANUALES,
CONTRATOS, NUBE, DISCOS
REMOVIBLES, PCS EN DESUSO,
BACK UPS EN OTROS EDIFICIOS
Lic
. C
laudio
Sca
rso
17
CONFIDENCIALIDAD
Y PRIVACIDAD
CONFIDENCIALIDAD ES QUE LA
INFORMACION SEA ACCEDIDA SOLO
POR USUARIOS AUTORIZADOS
PRIVACIDAD ES QUE LA PERSONA
AUTORIZADA DIFERENCIE ENTRE
LA INFORMACION QUE PUEDE
Y NO PUEDE COMPARTIR
Lic
. C
laudio
Sca
rso
18
AUDITORIA
AUDITORIA DEBE VALIDAR LA
CONFIDENCIALIDAD E INTEGRIDAD
DE LA INFORMACION
QUE SE GENEREN PISTAS DE
AUDITORIA DEL ACCIONAR
DE LOS EMPLEADOS
PISTAS DE AUDITORIA DE LA
GENERACION DE COPIAS Y
TRANSMISIONES DE ARCHIVOS
DE DATOS
Lic
. C
laudio
Sca
rso
19
AUDITORIA CONTINUA
ALIADO INCONDICIONAL EN LA
PREVENCION DE FRAUDES
CORPORATIVOS
SABERSE MONITOREADO DISUADE
DEFINITIVAMENTE AL DEFRAUDADOR
“ NO ME SIRVE QUE ME DIGAN
LO QUE PASO HACE 6 MESES”
(CEO DE MULTINACIONAL)
Lic
. C
laudio
Sca
rso
20
AUDITORIA INTERNA
DESAFIO
CERRAR EL GAP CON :
COMPLIANCE
SEGURIDAD INFORMATICA
SEGURIDAD FISICA
GERENCIA DE RIESGOS
PREVENCION DE FRAUDES
Lic
. C
laudio
Sca
rso
21
CONSEJOS FUNDAMENTALES
CONOCER EL VALOR DE LA INFORMACION
CONCIENTIZAR Y DISUADIR SOBRE LA
IMPORTANCIA DE LA INFORMACION
PROTECCIONES CONTRA SOFTWARE
MALICIOSO SON INDISPENSABLES
SEGUIR ESTANDARES INTERNACIONALES
MANTENER POLITICAS Y PROCEDIMIENTOS CLAROS
Y REITERARLOS PERIODICAMENTE
IMPLEMENTAR CONTROLES ADICIONALES
EN ETAPA DE DESPIDOS MASIVOS
DENTRO DE LA COMPAÑIA
Lic
. C
laudio
Sca
rso
22
CONSEJOS FUNDAMENTALES
TENER UN ROBUSTO PROCEDIMIENTO
DE ELIMINACION DE DATOS
OBSOLETOS Y DE BACK UP´s
CONOCER POR TODOS LOS MEDIOS
POSIBLES A LA PROPIA GENTE
ACEPTAR Y ENTENDER LA REALIDAD
NO SE PUEDE CONTROLAR TODO
PRIORIZAR LA INFORMACION POR
NIVEL DE CRITICIDAD
Lic
. C
laudio
Sca
rso
23
¿ COMO SE DESCUBREN LOS DELITOS ?
1 - CONTROLES DE LA PROPIA GERENCIA
2 - AUDITORIA INTERNA
3 - LINEAS DE DENUNCIAS
¿ AUDITAMOS EL MONITOREO GERENCIAL ?
EL PERSONAL DEBE ESTAR CAPACITADO EN
PREVENCION Y DETECCION DE FRAUDES
LAS LINEAS DE DENUNCIAS SON CLAVES
EL SERVICIO TERCERIZADO ES LA
MEJOR OPCION, AUNQUE …
Lic
. C
laudio
Sca
rso
24
PERSONAL CONTRATADO
Y EXTRANJERO
HAY QUE TENER CUIDADO CON EL
PERSONAL EXTRANJERO CONTRATADO
AL QUE SE LE ESTA POR CONCLUIR
EL CONTRATO
O A LOS QUE LES ESTA POR
EXPIRAR LA VISA DE RESIDENCIA
O TRABAJADORES DEL PROPIO PAIS PERO
CONTRATADOS TEMPORALMENTE
Lic
. C
laudio
Sca
rso
25
MEJORES PRACTICAS PARA AMBIENTES
DONDE TRABAJA PERSONAL TEMPORARIO /
CON VISAS DE TRABAJO / ETC.
IDENTIFIQUE Y RESGUARDE LA INFORMACION SENSIBLE
INVESTIGUE A LOS CONTRATADOS Y TEMPORALES DE LA
MISMA MANERA QUE LO HACE CON UN NUEVO EMPLEADO
HAGA CUMPLIR LAS REGULACIONES INTERNAS SOBRE
SEGURIDAD COMO A LOS EMPLEADOS INTERNOS
RESTRINJA EL USO DE DISPOSITIVOS EXTRAIBLES
EXIJA LA FIRMA DE COMPROMISO SOBRE
LA PRIVACIDAD DE LOS DATOS
TENGA SIEMPRE BACK UPS DE TODA LA
INFORMACION DISPONIBLE
Lic
. C
laudio
Sca
rso
26
BASES DE LA SEGURIDAD DE LA
INFORMACION
ABM DE USUARIOS DEBIDAMENTE AUTORIZADOS
CON PERFILES ESTANDARIZADOS Y
ACTUALIZACION AUTOMATICA DE PASES Y BAJAS
DEFINIR PERMANENTEMENTE MEJORAS
EN LA SEGURIDAD DE LOS DISTINTOS
ENTORNOS INFORMATICOS
CUMPLIR Y HACER CUMPLIR TODAS LAS
REGULACIONES INTERNAS Y EXTERNAS
RELACIONADAS CON LA ESPECIALIDAD
PREVENCION, DETECCION Y RESPUESTA
OPORTUNA ANTE INTENTOS DE FRAUDES
Lic
. C
laudio
Sca
rso
27
ACCESO REMOTO
CUIDADO CON LA FALTA DE
INTEGRIDAD Y
CONFIDENCIALIDAD EN LA
TRANSMISION DE DATOS
Y CON EL LUGAR DONDE
EL EMPLEADO
RESGUARDA DATOS
Lic
. C
laudio
Sca
rso
28
PUNTOS SENSITIVOS A AUDITAR
ACCESO DEL PERSONAL DE DESARROLLO DE
SISTEMAS AL AMBIENTE DE PRODUCCION
ADMINISTRADORES DE BASE DE DATOS
PISTAS DE AUDITORIA
ALERTAS DE DESAFECTACION DE LOGS
MODIFICACION DE PROGRAMAS
SIN HOMOLOGACION
REGISTRO DE INACTIVIDAD DE EMPLEADOS
QUE ACCEDEN DURANTE LAS LICENCIAS
EMPLEADOS QUE NO TOMAN LICENCIAS
Lic
. C
laudio
Sca
rso
29
PUNTOS SENSITIVOS A AUDITAR
CONTROL DE LA PERFORMANCE DE
SEGURIDAD INFORMATICA
DEPENDENCIA DE SEGURIDAD
DE LA INFORMACION
ROBUSTO Y PERIODICO COMITE DE
PROTECCION DE ACTIVOS DE INFORMACION
POLITICA DE ACCESO DE
TERCEROS A LA INFORMACION Lic
. C
laudio
Sca
rso
30
PUNTOS SENSITIVOS A AUDITAR
PERFILES SENSITIVOS DE
PROCESOS DE NEGOCIOS
INTERRELACION DE LOS PERFILES
SENSITIVOS CON SU SITUACION DEUDORA
EN EL SISTEMA FINANCIERO
EVALUAR QUE TODOS LOS PEDIDOS
DE PERFILES SE CORRESPONDAN
CON UN PEDIDO FORMAL
USO DE USUARIOS GENERICOS
Y DE EMERGENCIA
Lic
. C
laudio
Sca
rso
31
PUNTOS SENSITIVOS A AUDITAR
CONTROL DE IMPRESORAS, PUERTOS USB
CLASIFICACION DE LA INFORMACION
ENCRIPCION DE DISCOS Y PORTATILES
POLITICA ANTIVIRUS
POLITICA DE PASSWORDS
MONITOREO DE SOFTWARE NO
AUTORIZADOS EN PUESTOS DE TRABAJO
Lic
. C
laudio
Sca
rso
32
CONCLUSIONES
ESTRECHAR LAZOS CON EL RESTO DE LOS
SECTORES QUE HABLAN EL MISMO IDIOMA
(GERENCIA DE RIESGOS, SEGURIDAD FISICA,
PREVENCION DE FRAUDES, SEGURIDAD
INFORMATICA, COMPLIANCE)
CADA VEZ SERA MAS CRITICO EL RIESGO
DE FRAUDE CORPORATIVO
PARTICULARMENTE LA FUGA Y PERDIDA DE
INFORMACION
REQUIERE DEL APOYO INCONDICIONAL
DE TODAS LAS AREAS Y
FUNDAMENTALMENTE DEBE SER
LIDERADO POR LA ALTA DIRECCION
Lic
. C
laudio
Sca
rso
33
CONCLUSIONES
LOS RIESGOS PARA QUE SEAN MITIGADOS
NECESITAN DE INVERSIONES DE DINERO
LOS COSTOS DEBERAN SER SOLVENTADOS
POR EL MISMO NEGOCIO
POR ELLO HABRA QUE DECIDIR CUANTO
SE INVIERTE EN ESTE TEMA
WIKILEAKS DEBERIA INCLINAR LA BALANZA
Y CONVENCERNOS QUE LA PROTECCION
DE LA INFORMACION NO ES UN GASTO
SINO UNA INVERSION Lic
. C
laudio
Sca
rso
34
OBJETIVO
DE LA
CONFERENCIA
UNA IDEA PARA
IMPLEMENTAR
MAÑANA
Lic
. C
laudio
Sca
rso
