La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

El deber de la Junta Directiva: Abordar el Ciber Riesgo Wilmar Arturo Castellanos Noviembre de 2014.

Publicada porMauricio Celestino Modificado hace 9 años

Presentaciones similares

Presentación del tema: "El deber de la Junta Directiva: Abordar el Ciber Riesgo Wilmar Arturo Castellanos Noviembre de 2014."— Transcripción de la presentación:

1 El deber de la Junta Directiva: Abordar el Ciber Riesgo Wilmar Arturo Castellanos wcastellanos@deloitte.com wcastellanos@deloitte.com Noviembre de 2014

2 Agenda El panorama cambiante de amenazas La necesidad de apoyo de la junta directiva Estrategias para el éxito Preguntas Copyright © 2014 Deloitte Development LLC. All rights reserved. 2 1 3 4

3 El panorama cambiante de amenazas

4 El panorama está evolucionando El negocio y el entorno de TI están cambiando... –Modelos de negocio nube, movilidad, tercerización –Entorno de TI de la empresa interrumpido—BYOD –Reguladores preocupados por las ciber amenazas …hay riesgos nuevos, persistentes y evolutivos … –Ataques más frecuentes, sofisticados y maliciosos –Un amplio rango de motivaciones –La información es fácilmente accesible y representa dinero –Los altos ejecutivos son el objetivo …las empresas luchan por mantener el paso –Los riesgos evolucionan más rápido que la capacidad de reacción de las empresas –No hay disponibilidad de todas las habilidades –Entendimiento y soporte de la Junta –Presiones de presupuesto –Cómo “medir” el ciber riesgo –Transformar su pensamiento sobre ciber riesgo Ambiente Regulatorio Cambiante Ambiente de amenazas que evoluciona Ambiente de TI Cambiante Copyright © 2014 Deloitte Development LLC. All rights reserved.

5 La innovación que impulsa el crecimiento, también crea ciber riesgos Agentes de amenazas aprovechan las debilidades que son generadas por el crecimiento de los negocios y las innovaciones tecnológicas Las ciber amenazas son riesgos asimétricos: Pequeños, pero calificados grupos pueden generar un daño desproporcionado Las motivaciones son muy específicas, reducción del azar Distribuidos alrededor del mundo, buscan evadir la aplicación de la ley La velocidad de las amenazas está en aumento La ventana de respuesta se está reduciendo La seguridad perfecta no es factible. En cambio, disminuir el impacto de los ciber incidentes es posible siendo: SEGUROS VIGILANTES RESISTENTES Los programas de ciber riesgos deben ser considerados una parte más de la gestión del negocio Copyright © 2014 Deloitte Development LLC. All rights reserved.

6 El panorama de la ciber seguridad Estados-nación y espías – Los que buscan robar secretos de seguridad nacional o propiedad intelectual. Criminales organizados – Autores que usan herramientas sofisticadas para robar dinero e información privada o sensible acerca de los consumidores de una entidad (e.g., robo de identidad) Terroristas – Los que buscan atacar la infraestructura económica clave de un Estado. “Hacktivistas” – Individuos o grupos que buscan hacer una declaración social o política mediante el robo o publicación de información sensible de una organización. mesa redonda de la SEC sobre seguridad cibernética, marzo de 2014 Matriz de amenazas Vectores de amenaza Inteligencia ante la amenaza Capacidad de recuperación ante la amenaza

7 La necesidad de apoyo de la junta directiva

8 El rol de la Junta Directiva frente al ciber riesgo Copyright © 2014 Deloitte Development LLC. All rights reserved. Un panelista observó que aproximadamente el 1 por ciento de las juntas de directores (de compañías registradas SEC) tienen al menos un miembro con experticia en seguridad cibernética o en tecnología. …un creciente número de juntas está contratando expertos externos para que les ayuden con la evaluación de los riesgos de la seguridad cibernética… …los panelistas sugirieron que la junta de directores y el liderazgo principal son críticos para la efectividad de la preparación y la capacidad de recuperación de la compañía ante las amenazas a la seguridad cibernética. …los individuos que están en la estructura de gobierno (y en otros roles de liderazgo) de la entidad deben ser capaces de hacer las preguntas correctas, entender las implicaciones estratégicas de las amenazas, y centrarse en la competencia de los protocolos y de los programas de respuesta de la entidad. …la administración principal puede jugar un rol importante en la creación de una cultura de seguridad cibernética que “comienza en la junta”. mesa redonda de la SEC sobre seguridad cibernética, marzo de 2014

9 Programa de ciber riesgo y gobierno La JD debería establecer el apetito al riesgo y focalizarse en lo prioritario Ciber criminales "Hacktivistas” Estados (Países) Desde adentro / socios de negocio Competidores Hackers expertos Copyright © 2014 Deloitte Development LLC. All rights reserved. ¿Qué tácticas podrían utilizar? ¿Qué están buscando, cuáles son los riesgos clave que debo mitigar? ¿Quién me podría atacar? SEGUROS VIGILANTES RESISTENTES ¿ Tenemos implementados controles para defendernos de las amenazas conocidas y emergentes? ¿Podemos detectar actividades maliciosas o sin autorización, incluso las desconocidas? ¿Podemos actuar y recuperarnos rápidamente para minimizar el impacto?

10 Robo de propiedad intelectual / Planes Estratégicos Fraude Financiero Daño reputacional Interrupción de la operación del negocio Destrucción de infraestructura crítica Amenazas a la seguridad y salud Copyright © 2014 Deloitte Development LLC. All rights reserved. La JD debería establecer el apetito al riesgo y focalizarse en lo prioritario Programa de ciber riesgo y gobierno ¿Qué tácticas podrían utilizar? ¿Qué están buscando, cuáles son los riesgos clave que debo mitigar? ¿Quién me podría atacar? SEGUROS VIGILANTES ¿ Tenemos implementados controles para defendernos de las amenazas conocidas y emergentes? ¿Podemos detectar actividades maliciosas o sin autorización, incluso las desconocidas? ¿Podemos actuar y recuperarnos rápidamente para minimizar el impacto? RESISTENTES

11 Phishing, malware, etc. Vulnerabilidades en software o hardware Terceros comprometidos Ataques multi-canales Robo de credenciales Copyright © 2014 Deloitte Development LLC. All rights reserved. La JD debería establecer el apetito al riesgo y focalizarse en lo prioritario Programa de ciber riesgo y gobierno ¿Qué tácticas podrían utilizar? ¿Qué están buscando, cuáles son los riesgos clave que debo mitigar? ¿Quién me podría atacar? SEGUROS VIGILANTES ¿ Tenemos implementados controles para defendernos de las amenazas conocidas y emergentes? ¿Podemos detectar actividades maliciosas o sin autorización, incluso las desconocidas? ¿Podemos actuar y recuperarnos rápidamente para minimizar el impacto? RESISTENTES

12 Seguros Defensas perímetro Gestión de las vulnerabilidades Gestión de activos Gestión de las identidades Ciclo de desarrollo seguro de sistemas Protección de datos Vigilantes Inteligencia de amenazas Monitoreo de la seguridad Análisis del comportamiento Analíticas de riesgos Resistentes Respuestas a incidentes Análisis forense Continuidad del negocio Recuperación de desastres Gestión de crisis Copyright © 2014 Deloitte Development LLC. All rights reserved. La JD debería establecer el apetito al riesgo y focalizarse en lo prioritario Programa de ciber riesgo y gobierno ¿Qué tácticas podrían utilizar? ¿Qué están buscando, cuáles son los riesgos clave que debo mitigar? ¿Quién me podría atacar? SEGUROS VIGILANTES ¿ Tenemos implementados controles para defendernos de las amenazas conocidas y emergentes? ¿Podemos detectar actividades maliciosas o sin autorización, incluso las desconocidas? ¿Podemos actuar y recuperarnos rápidamente para minimizar el impacto? RESISTENTES

13 Arquitectura e ingenieríaInfraestructura Otras funciones El apoyo de la JD es clave “Tone at the top” Creación de conciencia de ciber riesgo Gobierno del ciber riesgo EmpoderarLiderar (No delegar)Definir el balance adecuado Apoyar la integración de la gestión del ciber riesgo Ejecutar la Estrategia Gestionar e informar riesgos Dominios TI Gestión integral del ciber riesgo totalmente integrado a las disciplinas TI Copyright © 2014 Deloitte Development LLC. All rights reserved. Alta Dirección (COO, CAO, CRO) Dirección IT (CIO) Lideres líneas de negocio Junta Directiva y Presidente Desarrollo de aplicaciones Operaciones de Seguridad Dirección de Información (CIO) Dirección de Riesgo de IT / (CISO/CITRO)

14 Estrategias para el éxito

15 Gestión de aplicaciones Gestión de Programas Gestión Financiera Gestión del Talento Gestión de datos Estableciendo un amplio programa de riesgo cibernético Marco de Gestión del Riesgo Cibernético Marco de Conceptos Gestión y dominios de riesgo Las acciones de la organización deberán ser priorizadas al entorno de su industria y operación Gestion de la continuidad del servicio Gestión de proveedores / terceros Entrega del servicio y operaciones Seguridad de la información / Ciber Riesgo (SI / CR) Estrategia TI Crecimiento / Innovación Costos Seguro Vigilante Resistente Gobierno y supervisión La estructura organizacional, comités, roles y responsabilidades de gestionar el ciber riesgo. Políticas y normas Manejo de expectativas para la gestión de tecnología y riesgo de tecnología. Gestión de procesos Procesos para gestionar riesgos en Línea 1 (“Operaciones y gestión del riesgo”) Línea 2 (“Supervisión del Riesgo”) Medición de riesgos Informes que identifican riesgos y funcionamiento a través de TI; comunicados a múltiples niveles de dirección Cultura de riesgo Actitud en los niveles superiores sobre el apetito al riesgo, entrenamiento apropiado y conciencia, etc. para promover una cultura positiva de riesgo. Un marco de gestión de riesgo cibernético puede ayudar a las organizaciones a racionalizar los riesgos y gastos, y al mismo tiempo cumplir con la regulación y otros requisitos Herramientas y tecnología Instrumentos y tecnología que apoyan el ciclo de vida de gestión de riesgos y la integración de ciber riesgo Copyright © 2014 Deloitte Development LLC. All rights reserved.

16 ¿Estamos enfocados en lo correcto? ¿Tenemos el talento apropiado? ¿Somos proactivos o reactivos? ¿Estamos incentivando la colaboración abierta? ¿Nos estamos adaptando al cambio? Copyright © 2014 Deloitte Development LLC. All rights reserved. Principales preguntas para la JD

17 10 Pasos que la Junta debería considerar Establezca un Comité de Ciber Riesgos separado del Comité de Auditoría y defina un responsable para gestión de riesgos de negocio incluyendo los ciber riesgos 1 Determine si el CISO (Oficial de Seguridad) debería reportar a una gerencia diferente al CTO (Director de TI), basado en la tolerancia de riesgo de la organización y el perfil de la información sensible. 2 Evalúe el plan existente de respuesta a incidentes cibernéticos. Enfoque los controles en lo prioritario y qué hacer en caso de un incidente. 3 Revise la política de alto nivel que tenga la organización para crear una cultura de conciencia al riesgo. 4 Determine si los requisitos de seguridad y privacidad para proveedores (incluyendo proveedores de servicios en la nube, hosting, mobile y de Software as a Service - SaaS) cumplen con el programa de seguridad de la empresa Copyright © 2014 Deloitte Development LLC. All rights reserved. 5

18 Solicite informes regulares a la dirección sobre riesgos de privacidad y seguridad – no basados en estados de avance de proyectos sino en indicadores de riesgo claves 6 Lleve a cabo una reunión anual con el comité encargado de ciber riesgo para revisar presupuestos de ciber seguridad y determinar si el presupuesto para seguridad y gestión de riesgos cibernéticos se alinea con el perfil de riesgo de la compañía y el apetito al riesgo 7 Realice revisiones anuales de seguridad y programas de privacidad incluyendo respuesta a incidentes, notificación de contingencias, recuperación de desastres y planes de comunicación de crisis. 8 9 Reevalúe anualmente el uso y la necesidad de seguros para ciber amenazas. Solicite a la administración mantenerlo regularmente actualizado para garantizar que los controles de seguridad están en línea con la tolerancia al riesgo de la organización. 10 Copyright © 2014 Deloitte Development LLC. All rights reserved. 10 Pasos que la Junta debería considerar

19 Preguntas

20

Descargar ppt "El deber de la Junta Directiva: Abordar el Ciber Riesgo Wilmar Arturo Castellanos Noviembre de 2014."

Presentaciones similares

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.

Desarrollo de Soluciones para la Continuidad Operativa* Agosto 2005 *connectedthinking.
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.

C OB I T Control Objectives for Information and Related Technology Information Systems and Control Foundation.
CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000

CHARLA SISTEMA DE GESTIÓN AMBIENTAL ISO-14000
Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.

Administración de la seguridad Software y hardware, redes y seguridad: Administración de la seguridad.
INSTITUTO TECNOLÓGICO de Chihuahua II ESPECIALIDADES Reunión de Trabajo Viernes 20 de Abril de 2012.

INSTITUTO TECNOLÓGICO de Chihuahua II ESPECIALIDADES Reunión de Trabajo Viernes 20 de Abril de 2012.
PROCESOS ITIL Entrega Soporte Usuario Cliente Gestión de niveles

PROCESOS ITIL Entrega Soporte Usuario Cliente Gestión de niveles
“8 Principios de la Gestión Administrativa”

“8 Principios de la Gestión Administrativa”
SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.

SISTEMA DE GESTIÓN PARA LA CONTINUIDAD DEL NEGOCIO QUE GARANTICE A LA COOPERATIVA DE AHORRO Y CRÉDITO “ATUNTAQUI LTDA.” LA CAPACIDAD DE OPERAR EN FORMA.
Administración de los riesgos desde la perspectiva del Control Interno

Administración de los riesgos desde la perspectiva del Control Interno
ROL DEL AUDITOR Y GOBIERNO CORPORATIVO

ROL DEL AUDITOR Y GOBIERNO CORPORATIVO
Enfoque de Control Interno..COBIT

Enfoque de Control Interno..COBIT
Universidad de Buenos Aires Facultad de Ciencias Económicas

Universidad de Buenos Aires Facultad de Ciencias Económicas
Estrategia TI Entendimiento estratégico

Estrategia TI Entendimiento estratégico
XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.

XXI ASAMBLEA NACIONAL DE GRADUADOS EN CIENCIAS ECONÓMICAS Dra. Gabriela Di Stefano Lic.Norberto Caniggia Necesidad de la existencia de procedimientos.
Gestión Integral de Riesgos

Gestión Integral de Riesgos
Tecnologías de Información y Comunicación II

Tecnologías de Información y Comunicación II
Presentación de la Norma Técnica de Seguridad de la Información

Presentación de la Norma Técnica de Seguridad de la Información
Fundamentos de la Gerencia de Proyectos

Fundamentos de la Gerencia de Proyectos
“Adopción de SGSI en el Sector Gobierno del PERÚ”

“Adopción de SGSI en el Sector Gobierno del PERÚ”

Presentaciones similares

Anuncios Google