1. 1
AUDITORIA EN NUEVOS ENTORNOS
TECNOLOGICOS
GENERALIDADES Y RIESGOS DE
TECNOLOGÍAS DISRUPTIVAS
BIG DATA – BLOCKCHAIN – IOT – ML
Ing. Christian Vaca B. CPA. Msc. COSO ICC
Diciembre - 2018
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
2. SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Página 2
Identificar los riesgos y prácticas de auditoría a
desarrollar para revisar nuevas tecnologías
OBJETIVO
3. 3Página
Perfil Profesional
Christian Vaca, ecuatoriano de nacimiento, cuenta con más de 10 años de experiencia profesional en labores
de Auditoría Interna y Externa, Gestión de Proyectos de TI, Contabilidad e Implementación de Sistemas de
Financieros y de Control Interno.
Tiempo atrás trabajó para Cubiertas del Ecuador Kubiec S. A., Conduit S.A., como Jefe de Auditoría Interna,
Diners Club del Ecuador como Gestor de Soluciones Funcionales – Línea Bancos Procesados, antes se
desempeñó como Senior de Auditoría en Banco Solidario y Arca Continental, Asistente de Auditoria A en KPMG
y Consultor Senior en Smarting Consultores. Auditor de Sistemas de Información en una Cooperativa de Ahorro
y Crédito.
Se ha desempeñado como Docente en el Instituto Tecnológico Superior Luis Napoleón Dillon, dictando las
cátedras de Matemática Básica, Análisis Matemático, Administración I, Marketing y Ética Profesional en las
Carreras Tecnología en Análisis de Sistemas y Tecnología en Contabilidad de Costos. Actualmente es docente
tiempo completo en la Universidad Tecnológica Israel, dictando la catedra de Auditoría de Sistemas, Seguridad
de la Información, Análisis de Procesos y Administración de Riesgos y Seguros.
Expositor sobre temas de Auditoria Interna en el IAI Ecuador, uso de herramientas Ofimáticas y gestión de
riesgos.
Ingeniero en Contabilidad y Auditoría CPA; Magíster en Evaluación y Auditoría de Sistemas Tecnológicos,
cuenta también con una Tecnología en Contabilidad de Costos y un Diplomado en Gerencia de Talento
Humano, así como también cursos relacionados con Auditoria Forense, Bussiness Intelligence, Normas de
Información Financiera, entre otros.
Miembro del Directorio del Instituto de Auditores Internos del Ecuador IIA y Miembro activo de ISACA
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
4. 4Página
CONTENIDO
• Big Data - Generalidades y Riesgos
• BlockChain - Generalidades y Riesgos
• Iot – Generalidades y Riesgos
• Machine Learning – Generalidades y Riesgos
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Fuente:https://www.icemd.com/digital-knowledge/infografias/tecnologias-disruptivas/
5. 5Página
Generalidades
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
De todos es conocido la importancia
que tienen las tecnologías
disruptivas en la Economía Digital,
pues su rápida evolución e
implantación está llegando a todos los
sectores, generando nuevos modelos
de negocio basados en innovaciones
como Big Data, virtualización, cloud,
IoT, realidad virtual y aumentada,
ciberseguridad…
Fuente:http://topcomm.biz/sector-tic/art%C3%ADculos-interes/3726560-%C2%BFqu%C3%A9-es-la-transformaci%C3%B3n-digital-gu%C3%ADa-para-dummies.html
6. 6Página
Generalidades
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Los avances en ciencia
de datos, capacidades de
procesamiento, y las más
nuevas tecnologías han
provocado la 4ª
Revolución Industria,
cambiando nuestro
mundo hacia lo digital.
8. 8Página
Generalidades
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Actualmente, una gran cantidad de
tecnologías rápidamente están avanzando
en Industria 4.0, incluyendo más redes
interconectadas y poderosas, computación
de alto desempeño, y el advenimiento de
herramientas digitales, incluyendo analíticas
de datos, RPA, y CI. Combinadas, esas
tecnologías están cambiando los negocios
de maneras profundas.
Fuente: https://dzone.com/articles/uipath-tutorial-for-beginners
9. 9Página
Generalidades
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
• Integración continua (CI): es una automatización para compilar
y probar aplicaciones cada vez que se ingresan nuevas
confirmaciones en la rama.
• Entrega continua (CD): es la integración continua +
Implementación de la aplicación a la producción al "hacer clic en
un botón" (el lanzamiento a los clientes es a menudo, pero a
pedido).
• Implementación continua (CDp): es una entrega continua pero
sin intervención humana (el lanzamiento a los clientes está en
curso).
Fuente: https://stackoverflow.com/questions/28608015/continuous-integration-vs-continuous-delivery-vs-continuous-deployment
10. 10Página
Generalidades
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Fuente:http://www.comunica-web.com/verarticulo-transformacion-digital-datos_906.php
“…Un punto clave sobre la disrupción de los
negocios es que no podemos controlarla, en
sí misma…”, Lesedi Lesetedi, Directora
ejecutiva adjunta de Estrategia y servicios
empresariales, College of Distance & Open
Learning (BOCODOL) de Botsuana.
Uno de los desafíos principales de la
disrupción en la actualidad (uno que no
existía para las generaciones anteriores) es lo
rápido y fácil que puede emerger. La culpa la
tienen los avances en la tecnología digital.
11. 11Página
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Fuente:http://www.comunica-web.com/verarticulo-transformacion-digital-datos_906.php
Generalidades
Recordemos: “…la disrupción suplanta un
conjunto de prácticas de negocios con otra.
Esas prácticas nuevas, no importa lo
sorprendentes que sean al principio,
evolucionarán para convertirse en un modelo
de negocios. Entonces, ¿qué tipos de
modelos podrían emerger? ¿Qué riesgos
(operativos, financieros, de cumplimiento,
de reputación) acarrearían? Esas
preguntas, una forma de evaluación de
riesgos más abierta, son las que debería
hacerse el DEA.
19. 19Página
BIG DATA
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Según ISACA, (Big Data: Impacts and Benefits White Paper,
March 2013) "Las empresas que dominan la disciplina
emergente de la administración de big data pueden obtener
recompensas significativas y diferenciarse de sus
competidores".
Los beneficios empresariales de big data por ejemplo,
incluyen:
• Ventaja competitiva.
• Aumento de los ingresos.
• Desarrollo rápido e innovador de productos.
• Predicciones de demanda del mercado.
• Decisiones de negocios bien realizadas.
• Eficiencia operativa.
http://www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Big-Data-
Impacts-and-Benefits.aspx
20. 20Página
BIG DATA
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Ejemplo de Fuentes de Big Data Ejemplos de datos estructurados y no estructurados
22. 22Página
BIG DATA
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Ejemplos de Riesgos
• Nueva información creada, pero no
protegida.
• Muchos lugares, control reducido
• Las herramientas de Big Data son
inherentemente no seguras
• Mala calidad de los datos, tecnología
inadecuada, seguridad insuficiente y
prácticas de gobierno de información
inmaduros
Los riesgos relacionados con big data pueden surgir de
muchos factores, tanto internos como externos a la
organización. Las siguientes categorías representan las
principales áreas de riesgo:
• Programa de Gobierno.
• Disponibilidad y rendimiento de la tecnologia
• Privacidad y Seguridad.
• Informes, Admnistración y Calidad de Datos.
23. 23Página
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
BLOCKCHAIN
Blockchain (o cadena de bloques), se podría definir como
una base de datos compartida que funciona como un libro
para el registro de operaciones de compra-venta o
cualquier otra transacción. De esta forma, cualquier
transacción se guarda en cada una de las máquinas
conectadas a la red o que han tenido relación con la
criptomoneda, para cada una de las transacciones se
crea un contrato y éste se guarda para siempre y en cada
nodo. En este registro, es donde residen los principales
atractivos del blockchain:
• Permite realizar transacciones de cualquier tipo de
forma fiable y segura, sin necesidad de que haya un
intermediario.
• El registro es perpetuo.
Fuente: https://www.bdo.es/es-es/blogs-es/blog-coordenadas-bdo/marzo-2018/auditar-entornos-de-blockchain
24. 24Página
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
BLOCKCHAIN
Potenciales aplicaciones:
• Transacciones financieras (cuentas por
cobrar y cuentas por pagar)
• Contratos inteligentes
• Seguimiento de la cadena de suministro
• Procesos de auditoría automatizados.
• Autenticación de transacciones.
• Seguimiento de la propiedad de los activos
25. 25Página
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Fuente:The Cyber Security Hub™
BLOCKCHAIN
Potenciales Beneficios :
• Mayor velocidad en las
transacciones
• Auditoria en tiempo real
• Necesidad reducida de muestreo
• Ahorro de costos por mayor
eficiencia
• Registros inmutables
26. 26Página
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
BLOCKCHAIN
Potenciales inconvenientes:
• Vehículo para lavado de dinero y financiación del
terrorismo
• Vehículo para evasión de impuestos
• Vehículo por fraude
• No hay estandarización o regulación actual
• Problemas de privacidad
• Gran consumo de energía
27. 27Página
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
BLOCKCHAIN
La respuesta es SÍ, porque a pesar de todas las
ventajas de un sistema basado en blockchain, y tal y
como nos indica ISACA (Asociación de Auditoría y
Control de Sistemas de Información), existen una serie
de riesgos, que precisan la figura de un auditor para
dar confianza en el entorno:
¿Será necesaria la presencia de un auditor de sistemas para dar confianza en un entorno IT
basado en blockchain?
28. 28Página
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
BLOCKCHAIN
• La plataforma software sobre la que se ejecuta blockchain afecta
a la integridad de los datos, es decir, si la plataforma no es
fiable, este hecho afecta directamente al blockchain.
• Ningún software está exento de ataques y por lo tanto, la
infraestructura que permite blockchain está sujeta a todas las
amenazas y vulnerabilidades habituales. A lo largo de 2017, de
los 41 casos registrados de ataques en blockchain, 14
correspondieron a vulnerabilidades en los servidores, bien por
falta de configuración o fallos en su diseño.
• Como en cualquier infraestructura, es necesario verificar el
procedimiento de cambios y la segregación de función y
privilegios en el acceso a los datos, ya que son controles que
afectan directamente en la integridad de cualquier sistema.
• Adicionalmente, y desde un punto de vista no tan técnico,
también se debería de incluir una auditoría, para verificar los
riesgos que conllevan cualquier tipo de operación no regulada.
29. 29Página
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Ejemplo de Riesgos
• Nueva tecnología en proceso de
pruebas
• El costo por transacción puede variar
ampliamente
• Tecnología en rápida evolución, las
características pueden volverse
obsoletas
• Seguridad: control de acceso, minero
dominante, fuerza de algoritmo,
seguridad de nodo
BLOCKCHAIN
• Emin Gün Sirer en su articulo: La mayoría no es suficiente: la minería de
Bitcoin es vulnerable demostró que se puede alterar una cadena de bloques
articulo en inglés: https://www.cs.cornell.edu/~ie53/publications/btcProcFC.pdf
• Ataque de eclipse. Este ataque básicamente es tomar el control de un nodo y
manipularlo para que este acepte datos falos
articulo en inglés: https://eprint.iacr.org/2015/263.pdf
Blog que habla más detalladamente sobre el ataque eclipse y como puede
afectar a blockchain: https://hackernoon.com/eclipse-attacks-on-blockchains-
peer-to-peer-network-26a62f85f11
• Los usuario son vulnerables a robos de sus carteras calientes (un término que
se refiere a las aplicaciones de billetera conectadas a internet que los usuarios
utilizan para almacenar las claves criptográficas privadas. En la actualidad
Crackers han puesto su mira en este tipo de carteras para explotarlas y sacar
beneficios de estas.
• Ejemplo más famoso :
https://noticiasdeseguridadinformatica.wordpress.com/2016/06/18/the-dao-
hackeado-robo-masivo-de-ether/
• https://academy.bit2me.com/los-mayores-robos-de-bitcoin-y-criptomonedas-
de-la-historia/
30. 30Página
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Ejemplo de Riesgos
BLOCKCHAIN
Este es un dato extra que se compartió en una
conferencia pero este a diferencia no trata sobre del
blockchain si no como se puede falsificar
documentos si confiáramos en el hash que nos da
blockchain
Colision de hash
Es hacer pasar un documento falso por un autentico
si solo se confiara en el hash
https://security.googleblog.com/2017/02/announcing-
first-sha1-collision.html
31. 31Página
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
BLOCKCHAIN
Ejemplo de Riesgos
32. 32Página
IOT
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Muchos objetos físicos conectados a la red e identificados
por una dirección IP.
Debido a la mayor cantidad de datos disponibles, que
pueden vincularse a otros sistemas, es posible obtener
nuevas perspectivas y decisiones comerciales.
Aplicaciones: ciudades inteligentes, redes inteligentes,
mejor optimización de los procesos de fabricación.
Ejemplos de riesgos
• Intimidad
• Superficie de ataque aumentada.
• Movimiento: Dispositivo -> Red -> Aplicación -
> Integración
33. 33Página
MACHINE LEARNING
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Ejemplo de riesgos
• Alta confianza en los resultados.
• Nueva información creada, pero no
protegida.
• Usuarios no conscientes de las
implicaciones.
• La gerencia puede ser escéptica
Machine Learning / Data Mining es el proceso de
descubrir patrones dentro de conjuntos de datos.
El aprendizaje automático es un enfoque "de abajo
hacia arriba". Aquí tenemos un problema que no
está definido completamente y queremos encontrar
las reglas / algoritmos que refinarán nuestra
definición.
34. 34Página
TÉCNICAS Y CONSEJOS PRÁCTICOS
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Charlie Wright, Director de Soluciones de riesgo empresarial en BKD LLP en Edmond, Oklahoma, indica en el artículo «El futuro de la
gestión de riesgo empresarial actual» de Vigilancia del riesgo de la revista Internal Auditor de diciembre de 2017, hay varias formas en las
cuales los auditores internos pueden ayudar a gestionar el efecto de las tecnologías disruptivas en sus organizaciones.
35. 35Página
TÉCNICAS Y CONSEJOS PRÁCTICOS
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Auditoria debe encontrar un balance entre sus
responsabilidades para:
• Asegurar: proporcionar el aseguramiento
tradicional
• Asesorar: actuar como un asesor de confianza
• Anticipar: preparar para los nuevos riesgos en
el horizonte
Este balance depende tanto del nivel de madurez
de la adopción de la entidad, como de las metas
estratégicas del departamento de Auditoria.
36. 36Página
TÉCNICAS Y CONSEJOS PRÁCTICOS
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
En la medida en que las compañías continúen adoptando tecnologías disruptivas para ganar eficiencias operacionales tangibles, los
departamentos de AI necesitan mantener el ritmo. Aquí hay algunas consideraciones prácticas sobre cómo los departamentos de AI pueden
contribuir:
38. 38Página
TÉCNICAS Y CONSEJOS PRÁCTICOS
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Potenciales cambios en los cinco componentes de control debido a la implementación de blockchain
en las prácticas comerciales de una empresa.
40. 40Página
TÉCNICAS Y CONSEJOS PRÁCTICOS
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Una de las tareas principales de un auditor es
probar las aserciones de la transacción.
Blockchain hará que la verificación de las
aserciones de transacción durante el programa de
auditoría sea más sistemática.
41. 41Página
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Sugerencias, Dudas o Preguntas
¡ Gracias por su atención!
42. 42Página
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Referencia Bibliográfica
• Bitcoin: Un Sistema de Efectivo Electrónico Usuario-a-Usuario, Satoshi Nakamoto
• The Impact of Blockchain Technology on Business, Financial Auditors, and Accounting
Professionals, NORTHERN ILLINOIS UNIVERSITY, 2018 Mayo,
• THE IMPACT AND POTENTIAL OF BLOCKCHAIN ON THE SECURITIES TRANSACTION
LIFECYCLE, SWIFT INSTITUTE, 2016
• Big Data 101 https://cognitiveclass.ai/courses/what-is-big-data/
• Blockchain Essentials https://cognitiveclass.ai/courses/blockchain-course/
• Build an IoT Blockchain Network for a Supply Chain
https://cognitiveclass.ai/courses/blockchain-iot-node-red-food-network/
• Deep Learning Fundamentals https://cognitiveclass.ai/courses/introduction-deep-
learning/
• GTAG: Entendiendo y Auditando Grandes Volúmenes de Datos, IPPF IIA
• The IIA, Revista PERCEPCIONES Y PERSPECTIVAS GLOBALES, “Auditoría interna en la
era de la disrupción”, 2018
• Deloitte, “ Auditoría de los riesgos de las tecnologías disruptivas”, 2018
43. 43Página
SWT – AUDITORIA EN NUEVOS ENTORNOS DIGITALES - GENERALIDADES Y RIESGOS
Otras Referencias
• Revisión del video "Auditoría en Blockchain“
https://youtu.be/gQIhU9Wb2bM?list=PL2oiefJLkAqR5DjflfFWbUeNMQZSVH7V
• Revisión del video “BITCOIN: Asesino De La Humanidad (NUEVO DOCUMENTAL - 2018)”
https://youtu.be/ryKCl8bn6lU
• Revisión del tema “Incidencia en los Sistemas de Auditoría Interna y Externa de la Normatica
sobre protección de datos personales, en un entorno previsible de aplicación creciente de la
DLT” (pág. 69 – 74) del texto Blockchain: primeras cuestiones en el ordenamiento español
• Lectura y resolución del capítulo 8 Joining the order of Cybersecurity
• Revisión del Elearning
Big Data 101 https://cognitiveclass.ai/courses/what-is-big-data/
Blockchain Essentials https://cognitiveclass.ai/courses/blockchain-course/
Build an IoT Blockchain Network for a Supply Chain
https://cognitiveclass.ai/courses/blockchain-iot-node-red-food-network/
Deep Learning Fundamentals https://cognitiveclass.ai/courses/introduction-deep-learning/