data analytics: riesgos en infraestructuras y … · consecuencias legales costosas para las ......

Rodolfo Szuster, CISA CIA CBA

Country Manager

CaseWare Analytics IDEA – Latinoamerica

ISACA Buenos Aires Chapter

Data Analytics:

Riesgos en infraestructuras y plataformas de

servicios en cloud, desafíos de seguridad,

control y auditoria

• Presido ADACSI - ISACA Buenos Aires Chapter

• Soy Country Manager de AUDITECH, firma subsidiaria de IDEA

CaseWare Analytics para Argentina & Uruguay

• Contador Publico (UADE), Postgraduado en Auditoria de Sistemas y

Gestión de Calidad en Empresas de Servicio (IAE - AUSTRAL),

• Cuento con las certificaciones CISA CIA y CBA

www.CaseWareAnalytics.com/es

Setiembre/2015

Introducción y Objetivos

• Nuestros movimientos están registrados, los rastros de nuestras acciones están diseminadas por doquier.

• Algo que comenzó hace tiempo para lograr una mayor eficiencia operativa, se convirtió en un juego, en modernidad, y hoy día en peligro.

• Pero también es una increíble fuente de riqueza informativa. Claro que requiere peinarse para la foto. Una vez dominada, o al menos trabajada, el desafío es utilizarla con un propósito claro.

• Presentaremos Big-Data desde una visión llana, entenderemos que soluciones informáticas asisten su utilización en procesos de control en ambientes cloud.

• Una nueva gestión de Auditoria asoma, es la Auditoria Data Discovery


Setiembre/2015

Conceptos que analizaremos:

• BigData, conceptos.

• Desafios de privacidad, seguridad y control

• Risk Intelligence en Data Analytics para prevención control y

detección

• Integrar estas técnicas en cada fase del programa de auditoría -

Red flags y pistas en un workflow transaccional

• Data Discovery en ambientes Cloud


Setiembre/2015

Entrando en el tema …

• Que es Big Data en ambiente Cloud ?

• Cuanto de BIG es Big Data ?

• Por que es Big Data tan Big Data ?

• De Quien es Big Data ?

• Como se procesa Big Data ?

5


Setiembre/2015

Que es BigData … ??? • Los macrodatos fueron definidos por primera vez en un

documento de Doug Laney. Según su definición, los macrodatos

son grupos de datos que presentan tres aspectos que generan

desafíos de procesamiento específicos:

– Velocidad,

– Variedad y

– Volumen.


Setiembre/2015

• La velocidad es la agilidad con la que se generan los datos. El aumento de la velocidad es cada vez más notable. Durante cada minuto del año 2012, los consumidores gastaron USD 272 000 en compras a través de la Web y las marcas recibieron 34 722 “me gusta” en Facebook.

• La variedad hace referencia a los diversos tipos de datos que se procesan. Ya no son archivos y bases de datos relacionales simples; ahora contamos con audio, video, información de sensores, etc.

• El volumen es el resultado de la creciente variedad y velocidad. En la actualidad, las empresa procesan terabyte y petabytes de información.

Caracteristicas de BigData … ???


Setiembre/2015

Que tan BIG es BigData … ???


Setiembre/2015

Los macrodatos pueden ser muy potentes e influir de manera positiva y

negativa en la empresa.

• La toma de decisiones optimizada,

• el menor tiempo de salida al mercado,

• el mejor servicio de atención al cliente y

• las mayores ganancias

son solo algunos de los beneficios que contribuyen a la fuerte

tendencia de implementar macrodatos en empresas de todos los

tamaños.

Las violaciones de la privacidad de los macrodatos pueden tener

consecuencias legales costosas para las empresas.

9

Riesgos de BigData … ???


Setiembre/2015

• En el año 2013, ISACA definió el término macrodatos (big data)

como:

• Grupos de datos demasiado grandes o de cambio demasiado

rápido como para ser analizados mediante técnicas tradicionales

de bases de datos relacionales o multidimensionales, o mediante

herramientas de software convencionales utilizadas para capturar,

administrar y procesar los datos en una ventana de tiempo

razonable.

• “Los macrodatos representan una tendencia en tecnología que

lidera el rumbo de un nuevo enfoque para comprender el mundo y

tomar las decisiones de negocio”

Una definición de BigData … ???


Setiembre/2015

• A medida que el volumen de los datos,

• la velocidad de procesamiento,

• la complejidad del tipo de datos y

• los requisitos de privacidad y seguridad

continúan aumentando por encima de lo esperado, las

empresas se ven obligadas a buscar nuevas maneras de

atender las necesidades legales, del negocio y de las

operaciones.

11


Setiembre/2015

Manejar datos de esta magnitud a diario y en tiempo real presenta

una nueva frontera y el surgimiento de nuevos desafíos de datos,

entre ellos:

– Evolución tecnológica compleja

– Integridad y privacidad de los datos

– Seguridad de los datos fijos y en movimiento

– Disponibilidad y tolerancia a falla de los sistemas de datos

(infraestructura de TI)

– Respuesta a incidentes y gestión de violaciones de

macrodatos

– Gobierno, riesgo y cumplimiento

– Gestión de identidades y acceso

– Escasez de personal con habilidades en este campo

12


Setiembre/2015

A medida que los volúmenes de macrodatos crecen, estas nuevas estrategias deben

poder crecer con ellos. Las empresas necesitan una solución sólida de privacidad de

datos para prevenir violaciones de datos e implementar estrategias de seguridad de

datos en un entorno de TI complejo.

• La solución debe ayudar a las empresas a:

– Identificar todos los datos confidenciales

– Asegurar que se identifiquen y protejan los datos sensibles

– Demostrar el cumplimiento con todas las leyes y

regulaciones aplicables

– Monitorear en forma proactiva los datos en el entorno de TI

propio o cloud

– Reaccionar y responder rápidamente a las violaciones de

privacidad o de datos mediante la gestión de incidentes

13


Setiembre/2015

Carrefour

• La cadena de supermercados ha impuesto un sistema

para incrementar la periodicidad de las visitas a sus

centros y el volumen del changuito de la compra. El

proyecto consiste en analizar los datos de la compra de

sus clientes y ofrecerles descuentos que caducan en

días concretos.

14


Setiembre/2015

American Express

• La entidad está analizando las operaciones que hacen

sus clientes VIP con su tarjeta para ofrecerles productos

relacionados con su estilo de vida. Por ejemplo, si hay

una persona que gasta mucho dinero en gastronomía,

puede invitarle a reservar en restaurantes concretos.

15


Setiembre/2015

UBS • La entidad está avanzando en un contrato con una empresa de Singapur

para obtener y procesar información que ayude a mejorar la oferta de

servicios a sus clientes mejor calificados.

• “We have identified over 85 million individual

behavioral patterns that are engaged in by the people

in Singapore,”

16


Setiembre/2015


Setiembre/2015

Ejecutando Auditorías basadas en Data Analytics

Source: EDPACS, 2014, Performing a Strategic Risk-Based Assessment

Crear un plan anual de

auditoria de alto nivel

Para cada auditoria:

- Ejecutar análisis de datos en las áreas identificadas

con riesgos de control

Requerir archivos de datos específicos basados en las áreas

de riesgo y ejecutar el análisis

Validar las deficiencias de control identificadas y examinar las

causas raíz

Basados en deficiencias de control validadas, el reporte final incluirá:

- Recomendaciones de Mejoras de Control

- Riesgos Residuales

- Análisis de Causas Raíz

- Importes de Perdidas

Validar que las mejoras de control están siendo implementadas

Realizar un monitoreo efectivo del reporte analizando las

áreas de riesgo y evaluando los cambios ya sean positivos o

negativos en el sistema de control interno


Setiembre/2015

Data Analytics de punta a punta

En la fase del trabajo de campo, es sumamente importante

analizar el 100% de la información durante la ejecución de la

auditoría con el objetivo de:

• Eliminar el riesgo de muestreo estadístico.

• Reporte sobre consideraciones validadas totalmente.

• Ahorrar tiempo y recursos (menos tiempo en el campo).

• Foco en las deficiencias de control.

• Establezca un análisis de causa raíz, conozca más el

negocio.


Setiembre/2015

Frecuencia de implementación:


Setiembre/2015

Efectividad de los Controles 21

“Of the controls analyzed, proactive data monitoring

and analysis appears to be the most effective at

limiting the duration and cost of fraud schemes; victim

organizations that implemented this control

experienced losses 60% smaller and schemes 50%

shorter than organizations that did not.”


Setiembre/2015

Construyendo un Equipo de Expertos

Incrementar el valor del servicio de Auditoría, a partir de la inversion en

capacitación de colaboradores y tecnología es una prioridad alta del CAE.

Source: IIA, Pulse of the Profession, Enhancing Value Through Collaboration


Setiembre/2015

Siguientes Pasos: El informe

Utilizar data analytics de punta a punta en los trabajos de auditoria

require un andamiaje de procesos analiticos muy aceitados.

Utilizar analítica de datos en el reporte de auditoria resulta importante

para convertirse en aliado de los sponsors corporativos.

Su informe de auditoria debiera:

• Contener solo deficiencias validadas.

• Remarcar las causas raíz – meollo de la cuestión.

• Proveer recomendaciones acordadas.

• Ser claro y entendible.


Setiembre/2015

Avancemos un paso más: Data Discovery

Actualmente utilizamos la auditoría analítica de datos como

una herramienta que nos muestra las observaciones y

detecciones de una manera directa, sencilla en un formato

tipo “facil de digerir”, pero el futuro de la auditoría

descansa en la habilidad de utilizar “data discoveries” – el

descubrimiento de datos para mejorar su potencial

analítico que le permitirá:


Setiembre/2015

Soluciones de Big Data Analytics

• Increible capacidad de procesamiento

• Instancias de visualización colaborativa

• Visualizar frecuencias y anomalías.

• Investigar más sobre discrepancias visuales.

• Visualizar más profundamente el Sistema de control interno.

25


Setiembre/2015

Que es Audit Data Discovery ?

Definición según el glosario de IT de

• Herramientas de búsqueda de datos que

permiten al auditor desarrollar vistas y análisis

de datos estructurados y no estructurados.


Setiembre/2015


Setiembre/2015

Mayores preocupaciones en Cloud

• Protección de Datos y Compliance

• Interoperación y Portabilidad de Datos

• Administración de Acceso e Identidad

• Auditoria

• Adaptabilidad

• Disponibilidad

• Risk Management

• Formalización detallada de SLA’s de Seguridad


Setiembre/2015

Mayores preocupaciones de Data on Cloud


Setiembre/2015

Soluciones para Big Data Analytics

• Tienen tres atributos:

– Estructura de datos propia para el almacenamiento

de big-data y modelar la misma (no BI).

– Mucha performance para indexar que disminuye la

necesidad de pre-cálculos.

– Una interfaz intuitiva que permite al auditor explorar

los datos sin demasiado entrenamiento.

30


Setiembre/2015

IDEA V10 Updates: Discovery / Visualize

• New Visualization demo


Setiembre/2015

• Las herramientas de análisis de datos, cuando se integran con los conocimientos del negocio, y la capacidad analítica del equipo de auditoría, pueden brindar enormes beneficios.

• Hoy no hay tiempo para debatir si una Auditoría

moderna debe incorporar técnicas analíticas de datos ; la clave está en cuán rápido inicia su utilización y desarrolla la capacidad analítica de sus colaboradores para ganar sus beneficios.

• La inversión es baja, los beneficios son altos !!


Setiembre/2015

ANÁLISIS DE DATOS COLABORATIVO EN UN ENTORNO DE SERVIDOR SEGURO y BIGDATA.


Setiembre/2015

- Rendimiento acelerado un procesamiento más

rápido de grandes conjuntos de datos

- Entorno seguro Los permisos se pueden configurar para

permitir el acceso seguro y confidencial

- Colaborar y partir de los mismos datos La

redundancia de datos y la duplicación de esfuerzos de

auditoría desaparecen

IDEA Client

IDEA Task

Management

Server (TMS)

Task

Server 2

(TS2)

SQL

Database

Task

Server 1

(TS1)

Project N TS1

Project 1 TS1

TS2 Project…N

TS2 Project1

Upload projects to TS2

Upload projects to TS1

Task and file status

update

Task and file status

update

IDEA Server® Tareas distribuidas License and

configuration

management

for clients and

task servers


Setiembre/2015

HERRAMIENTAS DE CASEWARE PARA AC/MC con CW-MONITOR® en BigData


Setiembre/2015

BigData en Tableros de Control con CW-MONITOR®


Setiembre/2015

Mas información:

• ISACA:

– Generating value from Big Data Analytics.

• White paper, Enero 2014

– La privacidad y los macrodatos.

• Articulo técnico, Agosto 2013

– Cloud Computing – Market Maturity

• White Paper – Agosto 2015

• CaseWare Analytics:

– IDEA10 E-Discovery inside

• Webinar for distributors mayo 2015

37


Setiembre/2015


Setiembre/2015

Conclusiones

• Sea creativo en el abordaje del analisis de datos.

• Invierta en las personas y las herramientas necesarias

para el éxito.

• Entregue mayor valor al management sobre el

entendimiento del negocio desde data analytics.

• Elimine el riesgo de muestreo.

• Use data analytics para definir los alcances de los

encargos de auditoría.


Setiembre/2015

GRACIAS POR SU TIEMPO


Setiembre/2015

CaseWare IDEA Analytics

[email protected]


En esta presentación se han utilizado White Papers

con la autorización de:

Dudas, opiniones, consultas ?


Setiembre/2015

http://www.casewareanalytics.com/es

data analytics: riesgos en infraestructuras y … · consecuencias legales costosas para las ......

Documents