Palabras de bienvenida a cargo de José Luis Mauro Vera, Presidente de ISACA Capítulo Montevideo
Palabras de bienvenida a cargo de José Luis Mauro Vera, Presidente de ISACA Capítulo Montevideo
En esta conferencia exploraremos cómo los equipos de auditoría pueden aprovechar herramientas de IA y modelos generativos para optimizar procesos, acelerar análisis, mejorar la revisión de evidencias y fortalecer las auditorías de TI, ciberseguridad y compliance.
A través de casos prácticos y ejemplos reales, se presentarán enfoques para utilizar IA en actividades como análisis documental, evaluación de controles, revisión de configuraciones, correlación de hallazgos, generación de reportes y automatización de tareas repetitivas, permitiendo a los auditores enfocarse en actividades de mayor valor estratégico.
También se abordarán los principales riesgos, limitaciones y consideraciones de gobernanza asociados al uso de IA en auditoría, incluyendo privacidad, trazabilidad, confiabilidad de resultados y uso responsable de herramientas generativas.
La sesión está orientada a profesionales de auditoría, riesgo, seguridad y gobierno de TI que buscan incorporar capacidades de inteligencia artificial de manera práctica, segura y efectiva en sus procesos de evaluación y aseguramiento.
Uruguay y la región atraviesan un momento crítico: los incidentes de seguridad en organizaciones públicas y privadas siguen creciendo, pero la respuesta sigue siendo, en muchos casos, improvisada, descoordinada y costosa en términos de credibilidad, operación e imagen. Esta sesión analiza por qué la falta de gobierno de ciberseguridad no es un problema técnico, sino una decisión organizacional con consecuencias directas en la continuidad del negocio. Desde el estado actual de los incidentes reportados en Uruguay hasta las fallas sistémicas en comunicación, procesos y pruebas de resiliencia, exploraremos cómo el paradigma Zero Trust nos obliga a replantear nuestra preparación asumiendo que la brecha ocurrirá. Finalmente, presentaremos enfoques prácticos —tabletop exercises y simulación de adversario— como herramientas concretas para validar que los controles, procedimientos y personas realmente responden cuando más importa.
Gracias a nuestros sponsors que hacen posible este evento, te invitamos a ver sus anuncios durante esta pausa.
El sector salud, a nivel mundial es uno de los más sensibles, situación que se evidencio en la pandemia de COVID, adicionalmente la creciente complejidad de los riesgos operativos, financieros, tecnológicos y asistenciales en el sector salud exige evolucionar desde enfoques tradicionales de control hacia modelos predictivos basados en datos.
En la charla se explora cómo la Inteligencia Artificial está transformando la gestión de riesgos en las instituciones de salud, permitiendo identificar amenazas de manera anticipada, optimizar la toma de decisiones y fortalecer la sostenibilidad organizacional, esto a partir de un modelo de IA aplicado a la gestión integral de riesgos.
Hoy enfrentamos una paradoja crucial: la adopción de la inteligencia artificial avanza a gran velocidad en las organizaciones, mientras que la capacidad de gobernarla, auditarla y demostrar su madurez sigue siendo fragmentada, informal y sin método. Muchas organizaciones incorporan soluciones sin marcos estructurados, sin criterios de verificación y sin una hoja de ruta clara para evolucionar. El desafío que aborda esta propuesta es la dificultad para responder a una pregunta simple: ¿cuál es nuestro nivel actual de madurez en gobernanza de IA y qué debemos hacer para avanzar?
Para responder a ese desafío, la sesión presenta dos instrumentos originales de investigación aplicada: la Estrategia Nacional de Inteligencia Artificial (ENIA 2026-2029) y el Modelo de Madurez en Gobernanza de IA (MMGIA), desarrollados en el contexto brasileño y fundamentados en referencias internacionales reconocidas —la Ley de IA de la UE, el marco del NIST y la norma ISO/IEC 42001— y alineados con la Ley General de Protección de Datos (LGPD). Juntos ofrecen un lenguaje común, medible y auditable para la gobernanza de IA, construido desde una realidad institucional concreta y no importado sin adaptación.
Sin un modelo estructurado, los auditores no tienen criterios, los gestores no tienen hoja de ruta y los consejos de administración no tienen evidencia. Esta propuesta entrega precisamente eso y muestra cómo esta arquitectura metodológica puede adaptarse a otros contextos regulatorios y organizacionales de América Latina.
Esta charla tiene como propósito proponer el modelo PAARA que se enfoca en explorar los momentos de un ciberataque que desemboca en una crisis empresarial. Antes del ciberataque, durante el ciberataque y después del mismo. En cada uno de estos momentos hay que desarrollar acciones como la preparación y anticipación, la adaptación y respuesta y el aprendizaje como enfoque que complementa el trabajo de poder pasar de la continuidad a la resiliencia y porqué no a la natifragilidad.
Cuando hablamos de Gobierno de T&I estamos hablando de tres componentes pilares que toda empresa debe integrar en sus decisiones de negocio.
La estrategia de la empresa debe estar alineada con:
• La Transformación digital
• La Gestión de la información
• Innovación tecnológica
Estos tres pilares son la base para que le empresa pueda ser sostenible en el tiempo, tenga altos niveles de competitividad y sobre todo generar confianza en la comunidad.
Hoy es inminente el desarrollo y la aplicación de IA en la industria. Aplicando IA y Gobierno de T&I se procura crear valor a todas las partes interesadas tanto internas como externas a la organización. Esto se traduce en alinear el negocio con la tecnología y bajar así la estrategia en una visión holística que abarque toda la empresa de una manera automtizada, autogestionada y logrando matrices de eficiencia nunca antes desarrollados
Las organizaciones deben mantener prácticas de seguridad sólidas para reducir el riesgo, los costos operativos y la deuda técnica. Si bien los proveedores de servicios en la nube (CSP) siguen mejorando la seguridad por defecto, los clientes de sistemas en la nube deben desempeñar un papel activo en la protección de sus recursos. Una gobernanza coherente, una monitorización proactiva y configuraciones seguras por defecto son fundamentales para minimizar el riesgo derivado de una configuración incorrecta. La madurez de la seguridad en la nube comienza con la implementación sistemática de seis controles básicos esenciales.
Gracias a nuestros sponsors que hacen posible este evento, te invitamos a ver sus anuncios durante esta pausa en esta página.
Cuando pensamos en ciberseguridad, podemos poner el foco en ataques externos, phishing, todo lo que explota los errores de los usuarios. Capacitamos, implementamos controles, concientizamos. Pero hay un escenario que merece atención específica: el empleado que sabe exactamente lo que hace y tiene una motivación para hacerlo.
En esta charla reflexionaremos sobre cómo la ISO 37001 — el estándar internacional de sistemas antisoborno — opera a nivel organizacional y genera un camino de doble vía con la ciberseguridad: en entornos digitalizados, la información sensible vive en sistemas tecnológicos más que en papel, y los controles que aporta la norma — evaluación de riesgos de soborno, debida diligencia, canal de denuncias — pueden contribuir a fortalecer directamente la postura de seguridad de la organización. Incluye un ejercicio de autoevaluación que el participante luego podrá aplicar a su contexto especifico.
Dirigido a: Directivos, auditores operativos y de sistemas, integrantes de áreas de riesgos, de compliance y de sistemas de gestión. Aplica a empresas privadas y organismos estatales.
La sesión abordará la complejidad inherente de los hospitales y centros sanitarios, así como los principales desafíos a los que se enfrentan en materia de ciberseguridad, entre ellos el impacto de la transformación digital, el incremento de la interoperabilidad y la creciente dependencia de terceros.
Asimismo, se analizará la necesidad de integrar la ciberseguridad en los procesos asistenciales y de incorporarla como un elemento clave para garantizar la continuidad operativa y la ciberresiliencia.
El crimen cibernético no esperó a que los programas de auditoría se pusieran al día. Mientras las organizaciones perfeccionan controles diseñados para amenazas de hace cinco años, los grupos de crimeware han construido ecosistemas criminales completos impulsados por inteligencia artificial, comercializados en dark web markets con modelos de suscripción, garantías de servicio y soporte al cliente — y dirigidos con una precisión que ningún atacante humano podría replicar a escala.
Esta sesión no es un resumen de noticias de ciberseguridad. Es un diagnóstico directo y documentado del estado real del crimeware en 2025–2026, presentado desde la perspectiva del auditor de TI que necesita traducir amenazas técnicas complejas en riesgo auditable, evidencia concreta y recomendaciones que una Junta de Directores pueda entender y actuar.
A través del análisis de cinco tendencias críticas — desde agentes autónomos de IA que ejecutan ataques sin intervención humana, hasta el mercado de Deepfake-as-a-Service disponible por suscripción en la dark web — los participantes descubrirán exactamente qué capacidades tiene el atacante moderno, por qué los controles que hoy se auditan no están diseñados para detenerlas, y qué deben cambiar en su metodología de auditoría para cerrar esa brecha antes de que lo haga un incidente real.
La pregunta que guía toda la sesión no es ¿cómo ataca el crimen organizado? sino ¿qué controles están fallando en tu próxima auditoría mientras esto ocurre?
Pautas para analizar madurez de organizaciones según normas NIST CSF 2.0 e ISO 27001.
Detectar aspectos a mejorar en las organizaciones con miras a una mejor detección y protección.
Que lograremos después de la charla :
Asegurar la IA exige un perfil profesional que la región todavía no ha terminado de construir: nuevas competencias por desarrollar, deficiencias por subsanar y una hoja de ruta de madurez que Latinoamérica necesita definir ahora. Según datos de ISACA, la región concentra apenas el 2 % de los profesionales con certificación CISM a nivel mundial; en paralelo, el 89 % de los profesionales de seguridad de la información afirma que necesitará formación específica en IA en los próximos dos años para mantener o avanzar en su carrera, y el 65 % de las organizaciones ya utiliza GenAI de forma habitual —una cifra que se ha duplicado en poco más de un año—. Esta ponencia aborda un vacío concreto: la ausencia de un mapa de competencias claro que oriente a los profesionales latinoamericanos de seguridad de la información en su transición hacia el aseguramiento y la gobernanza de la IA. Muchos profesionales ya certificados (CISM, CISSP) saben que deben evolucionar, pero no saben por dónde empezar, qué competencias priorizar ni cómo vincular ese desarrollo con las nuevas realidades regulatorias de sus países. La sesión ofrece precisamente ese mapa, estructurado en torno a los tres dominios de la nueva certificación AAISM de ISACA (Gobernanza y gestión de programas de IA, Gestión de riesgos de IA, y Tecnologías y controles de IA) y conectado con los instrumentos estratégicos regionales ENIA y MMGIA. El resultado es una hoja de ruta práctica para el desarrollo profesional, fundamentada en parámetros de referencia reconocidos y adaptada a la realidad de América Latina, presentada por uno de los Expert Reviewers de la certificación AAISM a nivel mundial.
Gracias a nuestros sponsors que hacen posible este evento, te invitamos a ver sus anuncios durante esta pausa en esta página.
En el escenario actual de transformación digital, el dato ha dejado de ser un subproducto técnico para convertirse en el activo vertebrador de la economía
Esta conferencia aborda la transición crítica desde el gobierno interno del dato hacia la participación en ecosistemas colaborativos conocidos como Espacios de Datos
Durante la sesión, se analizará el modelo de Gobierno del Dato basado en la especificación UNE 0077, centrado en las funciones de evaluar, dirigir y monitorizar (EDM) para asegurar que el uso del dato sea eficaz y aceptable
Se explorará cómo las organizaciones pueden escalar esta gobernanza hacia los Espacios de Datos (UNE 0087), garantizando la soberanía digital y el control sobre los activos compartidos
Asimismo, se discutirá el impacto de los nuevos marcos regulatorios como la Data Act, la Data Governance Act y el Reglamento de IA, los cuales imponen requisitos de interoperabilidad legal, organizativa, semántica y técnica que los profesionales de auditoría y control de sistemas (ISACA) deben supervisar por diseño
Finalmente, se presentará el modelo MAMD (Modelo Alarcos de Madurez de Datos) como la herramienta estándar para evaluar la capacidad organizacional y asegurar un camino evolutivo hacia la innovación
En la sala Idea Vilariño de la Torre de las Telecomunicaciones ANTEL
Palabras de bienvenida a cargo de José Luis Mauro Vera, Presidente de ISACA Capítulo Montevideo
Espacio para conectar, promoviendo la realización de actividades de tipo meetups, acercamientos informativos y sorteos.
Presencial cupos limitados en la oficina de ISACA.
TEMARIO DEL TALLER: