Ecosistema de ciberseguridad: Preparándonos para la defensa · 2020-03-19 · Ecosistema de ciberseguridad: Preparándonos para la defensa Physical, Cyber or Human, where are your

Ecosistema de ciberseguridad: Preparándonos para la defensaPhysical, Cyber or Human, where are your weakest links?

Bogotá, Colombia – Agosto 2018

2© 2018 Deloitte Asesoria en Riesgos, S.C.Ecosistema de ciberseguridad: Preparándonos para la defensa

Contenido

Cibercrimen, Industria en Crecimiento

Cómo protegernos: ecosistema ciberseguridad

Preguntas

3Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.

“El mundo se está moviendo tan rápido en estos días que cuando alguien dice que no se puede hacer algo, generalmente es interrumpido por alguien que ya lo está haciendo”

Elbert Hubbard


Tendencias de tecnología exponencialLa Innovación, a todo lo que da

El mundo se vuelve más complejo para lo que nosotros como seres humanos estamos preparados.

• Robótica / Inteligencia Artificial / Machine learning

• Biología digital

• Nanotecnología

• Espacio

• Drones

• Energía solar

• IoT (Internet of things)

• 3D Printing

• Blockchain

Trabajando

juntas

es algo

exponencialmente

exponencial


Evolution of the Bookstore


Evolution of the Bookstore


Enfrentando nuevos riesgos en la era de la producción inteligente

La fábrica inteligente

Primer telar mecánico

Primera línea de ensamble

Primer controlador programable

INDUSTRIA 1.0

Producción mecánica basada

en vapor

INDUSTRIA 2.0

Producción en masa basada en

electricidad

INDUSTRIA 3.0

Automatización basada en

controladores

INDUSTRIA 4.0

Producción y control ubicuos

Ciber amenazas

Amenazas físicas

BAJA

Primer producción en masa ordenada en-línea en una fábrica inteligente configurable

Progresión de las

amenazas físicas y

cibernéticas para cada

revolución industrial

Co

mp

leji

dad

del sis

tem

a

In

vo

lucram

ien

to d

el co

nsu

mid

or

Co

sto

de r

eco

nfi

gu

rar e

l p

ro

ceso

Co

sto

de m

an

ten

imie

nto

Dep

en

den

cia

de u

n s

olo

pro

veed

or

Tendencias de negocio

ALTA


Entorno actual

La tecnología es un arma de doble filo: es usada para potenciar las capacidades del negocio pero también puede abrir puertas a personas malintencionadas.

Los hackers, ahora cibercriminales, que muchos años antes tenían como principal objetivo demostrar su habilidad y conocimiento en la manipulación de sistemas de cómputo, ahora irrumpen en las redes y equipos privados para obtener un beneficio económico, entre otros.


L a a me n a z a má s d a ñ i n a e s a q u e l l a d e l a q u e n o e s t a mo s

c on s c i e n te s .


Definición Formal

¿Qué es Ciber Seguridad?

“El cambio de enfoque de las

medidas de inteligencia de seguridad,

de reactivo a preventivo, para hacer

frente a las distintas amenazas

internas/externas sobre los activos

(digitales) y operaciones de una

organización”.

¿Qué es ciber seguridad? © 2017 Galaz, Yamazaki, Ruiz Urquiza, S.C. 5


CibercrimenIndustria en crecimiento; nuevas amenazas

Actualmente, esas amenazas se han industrializado y ponen en grave riesgo nuestra integridad y la de las empresas o entidades en las que laboramos. Debemos aprender a protegernos mejor.

11© 2018 Deloitte Asesoria en Riesgos, S.C. Ecosistema de ciberseguridad: Preparándonos para la defensa


Observe el desarrollo de un ciber ataque que impacta a una empresa como la suya

Una empresa como la suya

La ciberseguridad perfecta es imposible. El objetivo es minimizar el impacto de una brecha.

Video


El escenario de amenazas, joyas de la corona y apetito de riesgo han cambiado

• Están enfocados en mantener presencia sin ser vistos

• Los controles clásicos son cada vez menos efectivos, puesto que los atacantes emplean técnicas innovadoras para evadirlos.

• Ellos no van solo por datos de tarjetas de crédito, dinero o datos de personas o clientes, sino que van por aquello que lo hace a usted competitivo como

organización. “Joyas de la Corona”

Sus tácticas

• Robo de propiedad intelectual, estrategias de mercadotecnia, información de I+D, datos de clientes o ciudadanos, M&A, etc.

• Alto costo de investigación y remediación. Potenciales fraudes, multas, litigios, etc.

• Los CEOs están preocupados, los consejos de administración

cuestionan el apetito de riesgo, los inversionistas

no son fáciles y los clientes o ciudadanos se preocupan cada vez más por la seguridad de su información.

Los resultados

• Cuenta con muchos recursos, incluso patrocinados por el Estado.

• Están muy bien organizados y son capaces,

profesionales e,

incluso, innovan más rápido que usted.

El adversario


World Economic Forum

The Global Risk Landscape 2018

In 2018, Cyber related risk

ranked among the top risks, with Extreme Weather and

Natural Disasters

Source: World Economic Forum Global Risks Perception Survey 2017–2018


Cibercrimen: Industria en Crecimiento

Perspectivas del Foro Económico Mundial

sigue evolucionando envolumen, sofisticación e

impacto

Global Cost of Cyber Crime: $445B

Solo el

21% es

descubiertodurante las primeras 24 horas.

88% de los ataques tienen éxito en menos de un día.

La velocidad de los ciberataques se acelera, mientras que el tiempo de

respuesta aún sufre retrasos.

Existe un aumento de la ciberdependencia, debido a la creciente interconexión digital de personas, cosas y organizaciones.

La creciente dependencia cibernética se encuentradentro de las 5 principales tendencias que determinan el desarrollo global.


Cibercrimen: Industria en CrecimientoÁmbito de investigación

Redes deeCrime

Deep Web

Internetindexado Monitorización

Feeds CrawlersBúsquedas manuales

InfiltraciónForos de hacking,

carding y hacktivismo

Infiltrarse en redes de eCrime para intentar recuperar información muy valiosa para alguna organización que lo solicite.




Cibercrimen: Caso de SPEI en México y Chile


Características del cibercrimen

2 - Automatizado

• El crimen ahora es realizado por Software.

• Crimen desarrollando software para “los baby hackers” prestando servicios de soporte 01-800 y ofreciendo SLA’s”

• Paquete combo “Cyber Crime in a box” por 250 USD con el que podemos robar sesiones de Facebook, habilitar cámaras y keyloggers. Franquicias para los cibercriminales “empresarios”

1 - Exponencial

• Ya no más hackers de 15 y 16 años en el sótano de su casa

• Promedio 35 años de edad y pertenecen a una organización criminal; son profesionales; era industrial del crimen

• Con el uso de tecnología una sola persona es capaz de robar a 100 millones de personas

• Juniper predice que para el para el 2019 el ciber crimen costará 2 trillones de dólares.


Características del cibercrimen

3 – Tri-dimensional

• Los robots son computadoras que pueden volar, escalar, nadar , etc. pero las computadoras puedes ser comprometidas.

• Drones entregando armas y drogas en prisiones en distintas partes del mundo

• Pérdida de privacidad: streaming en línea, Smart TVs

• Incluso los dealers de drogas usan drones para ubicar a su competencia y robarlos

• IoT. La industria automotriz y aeronáutica está ocupada en el tema



Algunos eventos recientes han permitido que el mundo observe vulneraciones de ciberseguridad que solo se habían vislumbrado en la ciencia ficción, rompiendo paradigmas sobre la imposibilidad de vulnerar tecnologías, como las de los automóviles, dispositivos médicos y aviones.


Sectores de la industria más atacadosAlta tecnologíaEl sector de última tecnología es comúnmente la zona de impacto para los ciberataques…

Medios en líneaEl sector de medios digitales podría ser el más expuesto…

Telecomunicaciones y transporteLas compañías de telecomunicaciones son blancode ciberataques…

Comercio electrónico & Pagos en líneaA medida que más y más empresas…

Financiera / AseguradoraLos ciberataques en el sector financiero y de seguros continúan creciendo…

Consumo / ManufacturaLos fabricantes son blanco, cada vez más frecuentemente… (IoT)

RetailLos datos de tarjetas de crédito son la nueva moneda para hackers y…

Ciencias de la Salud Fuerte tendencia…


Un vistazo a los “hot topics” 2014-2016 Auditoria Interna TI

Clasificación 2016 2015 2014

Ciberseguridad Ciberseguridad Cambio a gran escala

Cambio EstratégicoRecuperación ante Desastre y

ResilienciaGobierno de TI y Gestión de Riesgo

de TI

Gestión de Terceros Cambio a gran escalaGestión de Identidad y Acceso and

Seguridad de Datos

Recuperación ante Desastre de TI y Resiliencia

Arquitectura Empresarial Tecnológica Gobierno de datos y Calidad

Gestión y Gobierno de datos Gestión a Terceros Gestión a Terceros

Seguridad de Información Seguridad de Información Ciberseguridad

Riesgo Digital Riesgo Digital y Móvil Riesgo Digital

Gobierno de TI y Gestión de Riesgo de TI Gestión y Gobierno de datos Gestión del Servicio

Arquitectura Empresarial TecnológicaGobierno de TI y Gestión de Riesgo de

TIRecuperación ante Desastre y

Resiliencia

Sistemas de Pago Gestión del Servicio Computación en la Nube

On the horizon: 2016 Hot topics for IT Internal Audit. Deloitte

01

02

03

04

05

06

07

08

09

10


Expansión tecnológica

Crecimientode datos

Modelosde negocio

adaptándose

Atacantes motivados

Fuerzas de ciber vulnerabilidad

Ciber

riesgos


Aún existe una gran falta de conciencia en las organizaciones.Incluso algunas intentan minimizar el riesgo argumentando frases como:

Por ello existen 3 tipos de organizaciones……

“Nosotros tenemos la tecnología para detener cualquier ataque”.

“Nuestra organización no está en la mira de los ciberdelincuentes”.

“Eso nunca ha pasado ni pasará en la empresa”.


¿Cómo protegernos?Es nuestra responsabilidad entender y aplicar las acciones clave para proteger nuestra información y evitar incidentes que nos afecten.

45© 2018 Deloitte Asesoria en Riesgos, S.C. Ecosistema de ciberseguridad: Preparándonos para la defensa


Construyendo un programa robusto de ciber riesgo que parte del GOBIERNO Y ESTRATEGIA

Transformación ciber

A través de un programa continuo para ser seguro, vigilante y resiliente, una organización puede sentirse confiada y capaz de experimentar el valor de sus inversiones estratégicas.

Ser

VIGILANTE significa tener inteligencia de

amenazas y monitoreo para

anticipar e identificar

comportamientos dañinos.

Ser

RESILIENTE significa estar preparado y

poseer la habilidad de

recuperarse ante ciberincidentes,

además de ser capaces de

minimizar su impacto.

Ser

SEGUROsignifica poseer controles

priorizados por riesgo que

defiendan a los activos críticos

contra amenazas conocidas y

emergentes.


Componentes de un programa robusto de ciber riesgo; es un programa, NO un proyecto

Transformación ciber


… y el negocio comienza a demandarle más y más al Oficial de Seguridad o CISO…o a buscar un CISO

Board “”Are we doing

the right things?”

CEO“How do we

pursue growth more

confidently?

CIO/CTO“How do we innovate and

reduce exposure?

Business Units

“How do we do business with minimal interruptions?

CMO“How do we

safeguard our reputation but

grow our brand?

OGC“How do comply

with legal requirements?

CFO“How do we create value

while managing

costs?

CRO/CAE“How do we identify and

reduce findings?”

CISO“How do I keep the

organization safe while providing value to all

stakeholders?”


Identificando las 4 aristas del CISO

Source: Deloitte Research, The new CISO Leading the strategic security organization White Paper

Strategist Advisor

Guardian Technologist

Drive business and cyber risk strategy alignment, innovate, and instigate transitional change to manage risk through valued investments

Current 15%

Desired 32%

Current 12%

Desired 35%

Current 33%

Desired 12%

Current 40%

Desired 21%

Protect business assets by understanding the threat landscape and managing the effectiveness of the cyber risk program

Integrate with the business to educate, advise, and influence activities with cyber risk implications.

Assess and implement security technologies and standards to build organizational capabilities


Y la demanda por profesionales en ciberseguridad se deja ver en todos lados

Hoy hay 2.5 millones de vacantes en el mundo ¡¡


Medios y PyMES

Consumo yCiencias de la vida

Bancos y Proveedores de energía

Bancos de inversión

Militar y Defensa

Mesa de ayuda de TI y denuncia de

irregularidades

Level 1 Level 2 Level 3 Level 4 Level 5

Inteligencia de amenazas internas

Monitoreo de eventos de seguridad

Protección de Activos

Preparación para Cyber Ataques

Preparación y concientización

Análisis de comportamiento

Inteligencia de amenazas externas

Colaboración inteligente

E-Discovery y Forense

Monitoreo de marca

Maturity Levels- Cyber Security

Protección básica de red

Marcas en línea y Vigilancia de Redes

Sociales

Sistemas a medida / Forense de Malware

Pro

acti

ve

Th

reat

Man

ag

em

en

t

Controles de seguridad basados en firmas

tradicionales

Evaluaciones periódicas de Análisis de

vulnerabilidades

Colección de logs y reportes a la medida

Infraestructura a la medida y protección a

aplicaciones

Ejercicios de BC y DR de TI

Aceptación de Políticas de uso

Transferencia de conocimiento de

amenazas a colaboradores

Retroalimentación Comercial y de Código

Abierto de inteligencia de amenazasPerfilamiento de

actividades de red y sistemas centralizados

Preparación y concientización general de

seguridad de la información

Simulación de Cyber ataques

Infraestructura robusta y Protección de aplicaciones

Reportes de eventos de seguridad de tecnología

centralizada 24/7

Monitoreo automático de vulnerabilidades de TI

Monitoreo básico de marcas en línea

Forense automático de malware y e-Discovery

manual

Gobierno / Colaboración del sector de inteligencia

de amenazas

Vigilancia de Criminales / Hackers

Perfilamiento del comportamiento del Personal y Clientes

Concientización de Cyber ataques en todo el

negocio

Protección de información de Identidad

Concientización objetiva basada en inteligencia de

Cyber Security

Correlación de inteligencia de amenazas

externa e interna

Monitoreo objetivo de actividades de

plataformas de usuario

Forense y E-Discovery automatizado

Hostigamiento y Counter-Threat Intelligence

Colaboración global del sector de inteligencia de

amenazas

Análisis de riesgo de negocio en tiempo real y

soporte a decisiones.

Concientización de socios de negocio de Cyber

security

Ejercicios de Cyber ataques en cadenas de suministro y sectores

Control de seguridad en actualizaciones

adaptadas y automatizadas Detección de actividades

maliciosas a través de canales

Monitoreo integrado y a medida de procesos de

negocio

Conciencia de la situación de Cyber

Amenazas

Transformación ciberCyber Security Maturity Model

¿Cuál es el apetito de riesgo de mi organización?

¿Cuáles son las amenazas para mi negocio/industria?

¿Cuáles son mis joyas de la corona?


CISA, recientemente

promulgado, limita la

responsabilidad del banco

por el intercambio y

monitoreo de inteligencia.

Propuesta de regulaciones

de seguridad cibernética

en 2016:

• Reguladores federales:

propuestos mejorados de

los Estándares de gestión

de riesgos cibernéticos

• Departamento de Servicios

Financieros del Estado de

Nueva York: propuestos de

Reglamentos de

ciberseguridad

Las enmiendas PIPEDA imponen un

informe de incumplimiento obligatorio para los bancos canadienses

Nueva ley Fintech

• Inclusión financiera

• Protecciones de los clientes

• Competencia

• Preservación de estabilidad

• AML• Neutralidad tecnológica

La nueva adición externa

007 2018 establece los

requisitos mínimos para

la gestión de seguridad

cibernética

La Directiva NIS hace que cada estado

miembro redefinir los servicios esenciales

GDPR impone

directamente la

responsabilidad civil de

terceros.

Las enmiendas de APPI

requieren supervisión de

los empleados y terceros

Ley de seguridad cibernética: infraestructura de

información crítica (CII) estará sujeta a una serie

de requisitos

Junto con el Reino Unido y Australia, Singapur

ahora está probando las sandboxes (cajas de

arena) regulatorias FinTech

Y no dejemos de lado las tendencias en Regulaciones…


Cyber Security Monitoring

Monitoreo de amenazas / Casos de Uso (SIEM)

Threat IntelligenceAnálisis e

Inteligencia de Amenazas

CyberThreatHunting

Respuesta a incidentes

Cyber Simulaciones

Red Team RTO / Blue Team/ Purple Team(“afinación y madurez incremental”)

Atacante

Victima

Infraestructura Capacidad

PreparaciónContención

Erradicación

Recuperación

Retroalimentación

Simulaciones

Objetivos Tipo de Ataque Descubrimientos

Aplicaciones de negocioCore, ATM, EMV, mobile, ….

Una vista rápida al “Ecosistema de Ciberseguridad de Deloitte”

Pruebas de penetración

Amenazas Materializadas

Hipótesis

Investigación vía Herramientas y técnicas

Informa y enriquece analíticos

SOC+

Elementos internos

Mobile

Cloud

Elementos de seguridad

Correo

Entidad financiera con procesos

definidos de consumo y generación de

inteligencia

Descubrimiento de IoCs y TTPs

Deception

Servicios de compartición

Cuentas de correo

Aplicaciones

Servicios HTTP

Honey pots/Spam

traps

Detección

SEGURO

VIGILANTE

RESILIENTE


¿Cuál es el objetivo?

¿Cómo puedo obtener inteligencia por industria o específica para mi organización?

Incrementar las capacidades de

detección y respuesta.

La pirámide del dolor(The Pyramid of Pain)

“La prevención es ideal, … la detección es imprescindible! ”


Para llevarnos…

¿Qué es ciber seguridad? © 2017 Galaz, Yamazaki, Ruiz Urquiza, S.C. 18

Ninguna industria es inmune. Toda red y activos de una organización será comprometida en algún momento

Los daños por eventos ciber van más allá del dinero.

La velocidad de los ataques sigue aumentando y los tiempos o ventanas para dar respuesta se están contrayendo.

No todo se puede o debe proteger de la misma manera.

Los controles tradicionales son necesarios, pero no los más adecuados y, ahora, son insuficientes.

Reguladores y gobierno son jugadores clave, con creciente foco en el tema.

1

2

3

4

5

6

Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas miembro, cada una de ellas como una entidad legal única e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.

Deloitte presta servicios profesionales de auditoría, impuestos y servicios legales, consultoría y asesoría, a clientes públicos y privados de diversas industrias. Con una red global de firmas miembro en más de 150 países, Deloitte brinda capacidades de clase mundial y servicio de alta calidad a sus clientes, aportando la experiencia necesaria para hacer frente a los retos más complejos de negocios. Los más de 245,000 profesionales de Deloitte están comprometidos a lograr impactos significativos.

Tal y como se usa en este documento, “Deloitte” significa Galaz, Yamazaki, Ruiz Urquiza, S.C., la cual tiene el derecho legal exclusivo de involucrarse en, y limita sus negocios a, la prestación de servicios de auditoría, consultoría fiscal, asesoría y otros servicios profesionales en México, bajo el nombre de “Deloitte”.

Esta publicación sólo contiene información general y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas afiliadas (en conjunto la “Red Deloitte”), presta asesoría o servicios por medio de esta publicación. Antes de tomar cualquier decisión o medida que pueda afectar sus finanzas o negocio, debe consultar a un asesor profesional calificado. Ninguna entidad de la Red Deloitte, será responsable de pérdidas que pudiera sufrir cualquier persona o entidad que consulte esta publicación.

© 2018 Deloitte Asesoria en Riesgos S.C.

Muchas gracias!!

Santiago Gutiérrez

Socio Cyber Risk ServicesDeloitte México

[email protected]

mailto:[email protected]

Documents

Ecosistema de ciberseguridad: Preparándonos para la defensa · 2020-03-19 · Ecosistema de ciberseguridad: Preparándonos para la defensa Physical, Cyber or Human, where are your