La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Adaptarse y cambiar para protegerse

Publicada porPedro Vidal Modificado hace 6 años

Presentaciones similares

Presentación del tema: "Adaptarse y cambiar para protegerse"— Transcripción de la presentación:

1 Adaptarse y cambiar para protegerse
Estrategia de respuesta y estructura de la resistencia de ciberseguridad: cómo gestionar las ciber amenazas de manera proactiva 30 Noviembre 2018

2 Agenda 1 3 5 2 4 Enfoque y estrategia de Ciberseguridad activa
Contexto Ciber resiliencia 2 4 Modelo de Ciberseguridad activa Situación actual y retos

3 1. Contexto

4 El ritmo de la innovación ha aumentado dramáticamente en la última década
Banca a través de SMS y web móvil Primeros teléfonos inteligentes en el mercado Aplicaciones de banca móvil aparecen en teléfonos inteligentes Los dispositivos móviles representan el 7% del uso del banco en su primer año de lanzamiento Banca móvil muestra un crecimiento del 100% en 2012 Introducción de Pagos contactless Creación de criptomonedas Bitcoin Primeros pagos enviados a través de la aplicación móvil Cambio de cuenta corriente en siete días Los pagos electrónicos superan los pagos en efectivo Lanzamiento de aplicaciones de banca móvil, permitiendo a los clientes verificar sus saldos Las transacciones bancarias móviles superan las transacciones por Internet Lanzamiento de pagos más rápidos (pagos en línea) Primeros pagos usando solo un número de teléfono móvil 2006 2007 2008 2009 2010 2011 2012 2013 2014 2015 Lanzamiento de Twitter Lanzamiento del servicio de transmisión de Spotify iPad llega a la escena IPO Facebook valorando a la compañía de 8 años en más de USD 104 Bn Apple watch, incluida funcionalidad de pagos iPhone 3G y Wifi 163,140,000 teléfonos inteligentes vendidos El estado de Nevada aprueba una ley que permite la operación de autos autónomos El número de dispositivos móviles y conexiones excede la población mundial Lanzamiento de Apple Pay

5 Prevemos que la aceleración de la innovación continuará en la próxima década
2016 2018 2020 2022 2024 Oculus Rift lanza la revolución de la realidad virtual El 20% de todos los trabajadores usarán tecnologías de asistencia automatizada para tomar decisiones Teléfonos inteligentes reemplazados por auriculares de realidad aumentada Hasta 500 dispositivos inteligentes conectados a una casa inteligente Cirujanos realizan operaciones en soldados heridos desde la distancia El 67% de los CEOs ejecutarán iniciativas de transformación digital en los procesos CORE del negocio El 50% de los presupuestos de TI estarán vinculados a iniciativas de transformación digital Australia se convierte en la primera nación "libre de efectivo" Los principales bancos acuerdan compartir los datos de los clientes con el regulador para respaldar el servicio de agregación Los reguladores requieren a los bancos para que ofrezcan el servicios cambio de cuenta corriente en la noche Los principales bancos acuerdan consolidar su red de sucursales, dando servicio a todos los clientes desde la misma ubicación La palabra 'Digital' es eliminada de la estrategia corporativa, dado que se convierte en el método de servicio bancario BBVA estima que las interacciones digitales representarán el 95% más de contacto con el cliente Primeros autos sin conductor con capacidad de conducción autónoma en carretera Los agentes autónomos de software que están fuera del control humano participan en el 5% de todas las transacciones económicas (Robots, IA) Nuevos motores permiten una misión tripulada de 39 días a Marte Las películas de realidad virtual se vuelven sociales e incluyen a tus amigos 60% de las empresas tienen ejecutivos a nivel corporativo encargados de la transformación digital Los bancos digitales ganan fuerza 2017 2021 2023 2025 2019

6 Recursos de los atacantes y sofisticación
Así como evolucionan los negocios y la tecnología, también evolucionan las amenazas Atacantes no sofisticados (script kiddies) Experimental Ataca en internet por algún tipo de vulnerabilidad Atacantes Sofisticados (hackers) Monetización Ataca en internet por algún tipo de información de valor Espionaje Corporativo (atacantes internos) El empleado actual o anterior busca el beneficio económico de la venta de su propiedad intelectual Ataques Financiados por el Estado Se es un objetivo por quien es, por lo que hace, o el valor de su propiedad intelectual APT Riesgo Recursos de los atacantes y sofisticación Venganza Beneficio Personal Manipulación Crimen Organizado (redes criminales) Ciberataques con fines políticos Robo de información personal identificable (PII) script kiddies hackers Atacantes Internos Redes Criminales Diversión Experimentación Molestia Notoriedad Espionaje Financiado por el estado Manipulación del mercado Ventaja Competitiva Objetivos Militares y Políticos Cualquier información de potencial valor para ser vendida o usada para extorsión: Tarjetas de Crédito Identidades Información Interna Propiedad Intelectual Manipulación de Sistemas Espionaje Industrial y Dinero Vergüenza Política/Social/ Entorno 20xx BrainBoot/Morris Worm Polymorphic viruses Michelangelo 1980s/1990s Anna Kournikova Sircam Code Red and Nimda Zeus Koobface Conficker Aurora Poison Ivy agent.btz Stuxnet WikiLeaks Anonymous MyDoom NetSky Sasser Concept Macro Virus Melissa ‘I Love You’ SQL Slammer Blaster Fizzer SpyEye Duqu Flame CryptoLocker ransomware

7 Ahora, esto es nuevo para nosotros?
Las organizaciones han aprendido por décadas a defenderse y a responder mejor 1970’s Respuesta a peligros naturales Implementación de medidas de respuesta física (v.gr. Primeros auxilios, planes de evacuación, etc.) Protocolos para ayuda externa Mainframes 1980’s Depositamos confianza en algunas tecnologías. Recuperación de desastres básicos (daños y fallas de sistemas) Protección contra virus. Gestión de identidad y acceso Cliente/Servidor 1990’s Introducción de marcos de trabajo de ERM Cumplimiento regulatorio. Plan de continuidad de negocios Internet 2000’s Avance en seguridad de la información Protección de operaciones en línea Outsourcing de operaciones con terceros. Conectividad de dispositivos E-Commerce 2010’s Resiliencia del negocio Internet de las cosas (IoT) Infraestructura crítica Cyber ataques y cyber espionaje Digital

8 Algunos ataques recientes
Estado Unidos Equifax: robo de información personal de 143 millones de consumidores financieros. Inglaterra USD 20 millones robados al Banco Tesco, comprometiendo 20,000 cuentas de clientes . Ucrania USD 10 millones robados a través de vulnerabilidades en el sistema SWIFT. Rusia USD 6 millones robados a través el secuestro de equipos conectados a la red SWIFT. Bangladesh USD 81 millones robados a través de secuestro de cuentas. India Varios bancos son atacados de manera coordinada con el crypto-ransomware LeChiffre Qatar 1.4 GB de datos robados de la Organización de Qatar, incluyendo reportes de inteligencia de personas de interés. Chipre Hacktivistas “tumban” el sitio web de la Organización de Chipre, como protesta contra la corrupción en el banco. México Ataque al sistema SPEI, robo de mas de USD 20 millones. Chile Banco de Chile: robo de USD 10 millones, a través del sistema SWITF. Se usó un virus como distractor. Violación de datos Robo de activos Ransomware Ataque a sitio web Robo de dinero Perú Ataque DDoS coordinado contra servicios financieros de diferentes Bancos. Denegación de servicio

9 2. Situación actual y retos

10 Situación actual y retos
Información digital y sistema interconectados Nuevos escenarios de riesgo en nuevas tecnologías Conocimiento al alcance de todos Nuevos modelos de negocio y cambios en la forma de operación Nuevos retos Nuevas motivaciones para los atacantes Ataques más sofisticados y mejor organizados Ataques persistentes y sigilosos Redes interconectadas con fronteras desconocidas Nuevos escenarios de ataque La función de seguridad no cubre las necesidades de negocio Presupuesto insuficiente en línea con la tolerancia al riesgo Cambios constantes en las organizaciones Ausencia de programas de inteligencia de amenazas Nuevas fuentes de vulnerabilidades Falta de identificación de los activos críticos del negocio Estrategia de seguridad reactiva y bajo silos Detección tardía de los incidentes Desconocimiento de escenarios de riesgo El mismo enfoque tradicional Los ciberataques actualmente son más numerosos, más frecuentes y más amenazantes que nunca

11 Situación actual y retos
Información digital y sistema interconectados Nuevos escenarios de riesgo en nuevas tecnologías Conocimiento al alcance de todos Nuevos modelos de negocio y cambios en la forma de operación Nuevos retos Nuevas motivaciones para los atacantes Ataques más sofisticados y mejor organizados Ataques persistentes y sigilosos Redes interconectadas con fronteras desconocidas Nuevos escenarios de ataque La función de seguridad no cubre las necesidades de negocio Presupuesto insuficiente en línea con la tolerancia al riesgo Cambios constantes en las organizaciones Ausencia de programas de inteligencia de amenazas Nuevas fuentes de vulnerabilidades Clara identificación de los activos críticos del negocio Estrategia de ciberseguridad proactiva y transversal Centro de operaciones de seguridad avanzados (ciber analytics) Programa de inteligencia de amenazas adaptado y avanzado Defensa activa Los ciberataques actualmente son más numerosos, más frecuentes y más amenazantes que nunca

12 3. Enfoque y estrategia de Ciberseguridad activa

13 Qué se debe entender cómo esquema de defensa activa?
Operaciones de seguridad integradas Investigación y desarrollo Defensa Activa Operar Integrar Ejecutar actividades de defensa activa Planear, ejecutar, revisar, repetir Entradas Monitoreo de seguridad Respuesta incidentes Gestión vulnerabilidades Ataque penetración Seguridad de software Equipo de ataque y penetración Científicos de datos Laboratorio de investigación cibernética Monitorear Asegurar Paso 4 Identificar y perfilar las amenaza más probables Inyectar inteligencia para impulsar las actividades de seguridad activa Inteligencia cibernética Capa de integración de servicios Análisis de anomalías Análisis Proactivo forense Ciclo de vida del ataque Identificación del actor de amenaza y la orientación Paso 3 Añadir contexto Desarrollar / aprovechar las líneas base de actividad de red y equipos Cacería Análisis Monitoreo Reconocimiento cibernético Identificación de activos defendidos Análisis de indicadores y priorización Operaciones Paso 2 Defensa Activa Identificar los activos críticos Perfil descriptivo tanto a nivel empresarial como técnico Identificación de vulnerabilidades complejas Desarrollo de contramedidas Despliegue de contramedidas Validación del escenario de amenaza Fortalecimiento Paso 1

14 Inteligencia de amenazas Prioridades del negocio
La implementación de la estrategia de seguridad cibernética debe considerar estas cuatro actividades complicar Gobierno Inteligencia de amenazas Tolerancia al riesgo Prioridades del negocio detectar responder educar Complicar la capacidad de un atacante para lograr su objetivo Complicar Establecer las capacidades para detectar los ataques antes de que se logre un impacto significativo en el negocio Detectar Responder y remediar de manera efectiva y eficiente los ataques Responder Mantener a los funcionarios de la compañía conscientes sobre los temas de seguridad Educar Impulsando el cambio y manteniendo un esquema de gobierno de datos sólido

15 Adaptar y re estructurar
Un enfoque apropiado de seguridad cibernética también puede atender temas críticos para los reguladores Detectar Apetito riesgo Tres líneas de defensa Activos críticos Amenazas Propiedad intelectual Resistir Reaccionar Ingresos Reputación Recuperar Adaptar y re estructurar Qué a su vez atienda los asuntos más críticos para los reguladores Comprensión de los riesgos de ciber seguridad y cómo estos pueden afectar el negocio. Desafíe la eficacia del programa de gestión de ciber riesgo y apoye la evolución continua del mismo. Comprenda los componentes de tecnología que se conectan a las redes de datos, y defina las fronteras con terceros. Monitoree los ataques y esté preparado para responder. Evalué qué tan bien funciona el programa de monitoreo y respuesta a incidentes Escudo corporativo

16 Claramente se requiere una nueva estrategia y una visión integrada de ciberseguridad
Valor generado Alineación regulatoria Resultados del negocio Gestión efectiva del riesgo Confianza en la marca Servicios seguros Protección de la marca Objetivos de negocio Agenda acelerada de crecimiento Cumplimiento regulatorio Soporte a la innovación 1. Centrada en la organización 2. Estratégica e innovadora 3. Con foco en el riesgo 4. Inteligente y ágil 5. Resilente y escalable Alineación estratégica Transformación digital Robotics FinTech, blockchain Nuevos productos Gobierno y gestión de riesgo de ciberseguridad Políticas y estándares Métricas y reporte Gestión de riesgo de terceros Respuesta a incidentes Gestión de ciber crisis Resiliencia y continuidad Ciber economics Inteligencia ciber amenazas Gestión de amenazas y vulnerabilidades Gestión de identidad digital Arquitectura de seguridad SOC

17 Implementación en las tres líneas de defensa
La adopción del modelo de tres líneas de defensa en la gestión de los ciber riesgos favorece que la operación y el control fluyan de forma integrada: Front line and management level (1st line of defence) Medir, monitorear, administrar y mitigar los ciberriesgos y vulnerabilidades dentro de la tolerancia establecida por la Junta Directiva, trabajando en equipo con los equipos de seguridad de la información y la ciberseguridad. Identificar los ciber riesgos a los que se encuentra expuesta cada línea de negocio Aplicar los estándares y procedimientos que define la segunda línea de defensa en el contexto de los riesgos específicos del negocio Corporate operational risk function (2nd Line of defence) Desarrollar el marco de la gestión de los ciberriesgos y retar a la primera de defensa durante su implementación Establecer el apetito de riesgo de la organización y monitorear su cumplimiento Informar a la organización sobre el perfil agregado de los ciberriesgos en toda la organización Desarrollar un conjunto relevante y completo de métricas que abarque toda la organización Alinear el marco de gestión de los ciberriesgos con el marco general de gestión de riesgos de la organización Atraer el talento competente en riesgo y ciberseguridad IA (3rd line of defence) Auditar los elementos fundamentales de la ciberseguridad y realizar auditorías sobre tópicos específicos (i.e. controles de acceso, gestión de riesgo de terceros, etc.) Evaluar el diseño y la eficacia operativa de la gestión de los ciberriesgos en la primera y segunda líneas de defensa Identificar oportunidades para fortalecer significativamente la calidad de los cibercontroles Determinar el mejor enfoque para la evaluación independiente del marco de gestión de la ciberseguridad Asegurar que el marco de gobierno sobre las tres líneas funcione correctamente; se ve demasiado al modelo como un todo, y no sus funciones individuales Determinación clara de las responsabilidades de la 1era y 2da línea, evitando imprecisiones o responsabilidades asignadas de manera inadecuada Promover la innovación en inteligencia de amenazas y trabajo con grupos de la industria y foros para compartir esta inteligencia Integración de las capacidades de riesgos de TI y seguridad de la información en el programa de ciber riesgos Alta Dirección

18 4. Modelo de Ciberseguridad activa

19 El modelo de ciberseguridad activa requiere una visión holística
Gobierno ciber riesgo Estrategia, Principios, Roles y Responsabilidades (3 LoD) Habilitadores tecnológicos Centro de Ciber Excelencia (CoE) Recurso humano & Cyber awareness RCSA – “Risk and control self assessment” Articulación ERM 1. Estrategia y gobierno 3. Desarrollo de capacidades 4. Monitoreo TPRM 2. Modelo Cyber threat intelligence Compliance Cyber analytics Ciber Seguridad Evalúe Reaccione Identifique Entienda el entorno y las amenazas Cyber economics Valore activos y riesgos Defina y rete los controles Countermeasures Red Team Cyber dashboard

20 Inventario de activos de información digital valorados
También se requiere un modelo económico para identificar los activos mas críticos Aplicar un modelo de cybereconomics ayuda a identificar los activos cruciales de la organización que necesitan protección, y a cuantificar las perdidas económicas frentes a ataques de ciberseguridad. Emplear este tipo de modelo permite evidenciar como decrece el impacto económico de los riesgos en la medida que se definen e implementan controles preventivos. Composición del valor digital de la empresa Inventario de activos de información digital valorados Joyas de la corona $$$$$$$$$ $$$$ $$$$ $$$ $$$ $$ $$ $ $ Activos valorados Valoración de activos basado en su función económica Activo del core? Activo operacional? Activo digitalizado? Activo que se origina digital? Inventario de activos digitales

21 Ahora es importante aclarar que es casi imposible prevenir todas las intrusiones…
… pero piense en que ocurre cuando un ataque exitoso está sucediendo? Los atacantes crean rastros en la red de datos, que generan huellas y permiten establecer que está haciendo y que pasos está siguiendo para lograr su objetivo.

22 5. Ciber resiliencia New image

23 La defensa tradicional es obsoleta
Enfoque tradicional Resiliencia en ciberseguridad Enfocado en aspectos técnicos para recuperarse ante desastres Impulsado por regulación Soportado por sistemas legados El intercambio de conocimiento es limitado al interior de la entidad El plan de continuidad se limita a la organización Enfoque reactivo Los desastres son generados por fallas técnicas Los procesos en su mayoría son manuales Mejora continua Enfoque holístico para resistir y reaccionar a amenazas disruptivas Impulsado por las expectativas de los clientes y la generación de valor Soportado por tecnologías SMART Intercambio de conocimiento entre compañías y entidades del estado Amplio cubrimiento con foco en elementos críticos fuera de la organización Enfoque proactivo Causas complejas de disrupción son identificadas y gestionadas Procesos automáticos e integrados Innovación continua y reingeniería

24 Elementos del Plan de Respuesta a la Violación Cibernética (CBRP): ¿puede responder estas preguntas?
Ciberseguridad ¿Cómo garantizará la organización que soporta el ataque, aísla y evalúa el daño causado, y refuerza las defensas para evitar violaciones similares en el futuro? Relaciones públicas y comunicaciones ¿Cómo se comunicará la organización con todas las partes interesadas, tanto directamente como a través de los medios en los que existe un interés público? Continuidad del Negocio ¿Cómo seguirá funcionando la organización con normalidad mientras se repara el ataque? ¿Es posible operar de manera normal? Litigio ¿Cómo evaluará la organización los litigios potenciales a los que el ataque lo deja vulnerable, o incluso si tiene algún recurso de acción legal? ¿Cómo registrará y mantendrá los registros y evidencia forense para el uso por parte de las agencias policiales? Cumplimiento ¿Cuáles son los deberes de la organización para denunciar el incumplimiento a las autoridades apropiadas, incluidos los reguladores (si es necesario), y cómo se descargarán? Seguro ¿Tiene la organización un seguro cibernético y este incidente está cubierto? ¿En qué caso, qué se puede reclamar?

25 No esperemos a ser parte de las estadísticas
1.464 50% 6.400 millones El número de funcionarios de gobierno de un estado, utilizando «Password123» como contraseña De s falsos son enviados alrededor del mundo cada día Las autoridades locales en Inglaterra que dependen de software en servidores sin soporte 2 millones El número total de registros que contienen datos personales y otros datos sensibles que se comprometieron entre enero 2017 y marzo 2018 Identidades robadas que se usaron para realizar comentarios falsos en una encuesta en los EEUU, sobre la neutralidad en la red US$ 3.62 millones 550 millones Correos de phishing enviados por una sola campaña durante el primer trimestre del 2018 Costo promedio de una brecha de seguridad en el 2017

26 ¡Gracias!

27 EY | Assurance | Tax | Transactions | Advisory
About EY EY is a global leader in assurance, tax, transaction and advisory services. The insights and quality services we deliver help build trust and confidence in the capital markets and in economies the world over. We develop outstanding leaders who team to deliver on our promises to all of our stakeholders. In so doing, we play a critical role in building a better working world for our people, for our clients and for our communities. EY refers to the global organization, and may refer to one or more, of the member firms of Ernst & Young Global Limited, each of which is a separate legal entity. Ernst & Young Global Limited, a UK company limited by guarantee, does not provide services to clients. For more information about our organization, please visit ey.com. © 2018 EYGM Limited. All Rights Reserved. ED None This material has been prepared for general informational purposes only and is not intended to be relied upon as accounting, tax or other professional advice. Please refer to your advisors for specific advice. ey.com

Descargar ppt "Adaptarse y cambiar para protegerse"

Presentaciones similares

Gestionando cumplimiento y riesgo operacional en un nuevo ambiente CLAIN 2015, Perú www.pwc.com.

Gestionando cumplimiento y riesgo operacional en un nuevo ambiente CLAIN 2015, Perú
TIC I: Seguridad Informática. Gestión del riesgo.

TIC I: Seguridad Informática. Gestión del riesgo.
ESTRATEGIA GOBIERNO EN LINEA Fundamentos Arquitectura Empresarial

ESTRATEGIA GOBIERNO EN LINEA Fundamentos Arquitectura Empresarial
SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO 27001 QES Quality Environment & Strategies

SISTEMAS DE GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN (SGSI) ISO QES Quality Environment & Strategies
NORMA ISO DIS 9001:2015 Draft International Standard.

NORMA ISO DIS 9001:2015 Draft International Standard.
SISTEMA DE GESTION DE LA CALIDAD EN EL SECTOR AGROALIMENTARIO.

SISTEMA DE GESTION DE LA CALIDAD EN EL SECTOR AGROALIMENTARIO.
Maria F. Claudio Ortiz Principles of Information Systems.

Maria F. Claudio Ortiz Principles of Information Systems.
FACULTAD DE INGENIERÍA ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA DE SISTEMAS Curso: Gobierno de TI Alumnos: De La Cruz Domínguez Maycol Velasquez Calle.

FACULTAD DE INGENIERÍA ESCUELA ACADÉMICO PROFESIONAL DE INGENIERÍA DE SISTEMAS Curso: Gobierno de TI Alumnos: De La Cruz Domínguez Maycol Velasquez Calle.
NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.

NIA Planeación de una auditoria de Estados Financieros. NOMBRE: Beatriz Acero Zapana CURSO: Auditoria Financiera ESCUELA: Ciencias Contables y Financiera.
International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.

International Organization for Standardization. Organización Internacional de Normalización La ISO es una organización no gubernamental establecida el.
ENISA permite mejorar la capacidad de los Estados miembros, de las Instituciones de la UE y de la comunidad empresarial de hacer frente a los problemas.

ENISA permite mejorar la capacidad de los Estados miembros, de las Instituciones de la UE y de la comunidad empresarial de hacer frente a los problemas.
Dirección Estratégica

Dirección Estratégica
Orden del día 2ª sesión ordinaria

Orden del día 2ª sesión ordinaria
ADMINISTRACION Y FINANZAS

ADMINISTRACION Y FINANZAS
DESARROLLO DE UN SISTEMA DE CUMPLIMIENTO

DESARROLLO DE UN SISTEMA DE CUMPLIMIENTO
SISTEMAS DE INFORMACION GERENCIAL

SISTEMAS DE INFORMACION GERENCIAL
Ciclo de vida del producto y decisiones de selección del proceso

Ciclo de vida del producto y decisiones de selección del proceso
“Solo las empresas con mayor adaptabilidad a su entorno, tendrán mayores probabilidades de salir con éxito de las crisis” Planear, Identificar, Analizar.

“Solo las empresas con mayor adaptabilidad a su entorno, tendrán mayores probabilidades de salir con éxito de las crisis” Planear, Identificar, Analizar.
Business Continuity.

Business Continuity.
ELABORAR UN MODELO DE ESTRATEGIA FINANCIERA PARA ALIANZA COMPAÑÍA DE SEGUROS Y REASEGUROS S.A. DE LA CIUDAD DE QUITO.

ELABORAR UN MODELO DE ESTRATEGIA FINANCIERA PARA ALIANZA COMPAÑÍA DE SEGUROS Y REASEGUROS S.A. DE LA CIUDAD DE QUITO.

Presentaciones similares

Anuncios Google