29/10/2018 1 “Orden dada no supervisada no sirve para nada” La auditoría de la ciberseguridad de infraestructuras críticas como elemento clave para la prevención Gabriela Reynaga Vargas CRISC, CISA, GRCP, COBIT 5 ACCREDITED TRAINER, CONSEJERA INDEPENDIENTE CERTIFICADA CEO Holistics GRC Member of ISACA Board of Directors Member of the GFCE Advisory Board
8
Embed
“Orden dada no supervisada no sirve para nada” La ...media.arpel2011.clk.com.uy/ciber18/12.pdf · Gabriela Reynaga Vargas CRISC, CISA, GRCP, COBIT 5 ACCREDITED TRAINER, CONSEJERA
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
29/10/2018
1
“Orden dada no supervisada no sirve para nada”
La auditoría de la ciberseguridad deinfraestructuras críticas como elemento clave
Proceso de auditoría de ciberseguridad basado enriesgos
Entrega de reportes
Evaluación de resultados
Ejecución de Pruebas
Diseño de pruebas
Entendimiento de los procesos /sistemas críticos / cumplimiento regularorio
Implementación de mejoras
Resultados más comunes
1. Mal diseño de las redes2. Administración relacionada a los ICS (documentación,
actualización, etc., SOPs)3. Falta de identificación de sistemas críticos4. Falta de Antivirus Integral5. Falta de planes de sucesión para la administración de los
sistemas6. Sistemas antiguos que no se pueden actualizar7. Falta de propiedad de la responsabilidad8. Uso de proveedores externos (Contratos, SLAs, OLAs)9. Seguridad de Datos y aplicaciones, respaldos10. Monitoreo, auditorías internas y externas
29/10/2018
6
¿En qué nos basamos?
LAS QUE APLIQUEN DE ACUERDO A:- SECTOR- PAIS- NORMAS
Perfil del auditor de ciberseguridad de Infraestructuras Críticas
- Hard skills- Riesgos
- Control Interno
- IT/OT
- Propósito de la organización
- Certificaciones aplicables
- Soft skills
29/10/2018
7
Las tres líneas de defensa
Un amigo es alguien que te dice lo que debes escuchar no lo que quieres escuchar