Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
Ecosistema de ciberseguridad: Preparándonos para la defensaPhysical, Cyber or Human, where are your weakest links?
Bogotá, Colombia – Agosto 2018
2© 2018 Deloitte Asesoria en Riesgos, S.C.Ecosistema de ciberseguridad: Preparándonos para la defensa
Contenido
Cibercrimen, Industria en Crecimiento
Cómo protegernos: ecosistema ciberseguridad
Preguntas
3Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
“El mundo se está moviendo tan rápido en estos días que cuando alguien dice que no se puede hacer algo, generalmente es interrumpido por alguien que ya lo está haciendo”
Elbert Hubbard
4Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Tendencias de tecnología exponencialLa Innovación, a todo lo que da
El mundo se vuelve más complejo para lo que nosotros como seres humanos estamos preparados.
• Robótica / Inteligencia Artificial / Machine learning
• Biología digital
• Nanotecnología
• Espacio
• Drones
• Energía solar
• IoT (Internet of things)
• 3D Printing
• Blockchain
Trabajando
juntas
es algo
exponencialmente
exponencial
5Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Evolution of the Bookstore
6Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Evolution of the Bookstore
7Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Enfrentando nuevos riesgos en la era de la producción inteligente
La fábrica inteligente
Primer telar mecánico
Primera línea de ensamble
Primer controlador programable
INDUSTRIA 1.0
Producción mecánica basada
en vapor
INDUSTRIA 2.0
Producción en masa basada en
electricidad
INDUSTRIA 3.0
Automatización basada en
controladores
INDUSTRIA 4.0
Producción y control ubicuos
Ciber amenazas
Amenazas físicas
BAJA
Primer producción en masa ordenada en-línea en una fábrica inteligente configurable
Progresión de las
amenazas físicas y
cibernéticas para cada
revolución industrial
Co
mp
leji
dad
del sis
tem
a
In
vo
lucram
ien
to d
el co
nsu
mid
or
Co
sto
de r
eco
nfi
gu
rar e
l p
ro
ceso
Co
sto
de m
an
ten
imie
nto
Dep
en
den
cia
de u
n s
olo
pro
veed
or
Tendencias de negocio
ALTA
8Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Entorno actual
La tecnología es un arma de doble filo: es usada para potenciar las capacidades del negocio pero también puede abrir puertas a personas malintencionadas.
Los hackers, ahora cibercriminales, que muchos años antes tenían como principal objetivo demostrar su habilidad y conocimiento en la manipulación de sistemas de cómputo, ahora irrumpen en las redes y equipos privados para obtener un beneficio económico, entre otros.
9Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
L a a me n a z a má s d a ñ i n a e s a q u e l l a d e l a q u e n o e s t a mo s
c on s c i e n te s .
10Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Definición Formal
¿Qué es Ciber Seguridad?
“El cambio de enfoque de las
medidas de inteligencia de seguridad,
de reactivo a preventivo, para hacer
frente a las distintas amenazas
internas/externas sobre los activos
(digitales) y operaciones de una
organización”.
¿Qué es ciber seguridad? © 2017 Galaz, Yamazaki, Ruiz Urquiza, S.C. 5
11Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
CibercrimenIndustria en crecimiento; nuevas amenazas
Actualmente, esas amenazas se han industrializado y ponen en grave riesgo nuestra integridad y la de las empresas o entidades en las que laboramos. Debemos aprender a protegernos mejor.
11© 2018 Deloitte Asesoria en Riesgos, S.C. Ecosistema de ciberseguridad: Preparándonos para la defensa
12Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Observe el desarrollo de un ciber ataque que impacta a una empresa como la suya
Una empresa como la suya
La ciberseguridad perfecta es imposible. El objetivo es minimizar el impacto de una brecha.
Video
13Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
El escenario de amenazas, joyas de la corona y apetito de riesgo han cambiado
• Están enfocados en mantener presencia sin ser vistos
• Los controles clásicos son cada vez menos efectivos, puesto que los atacantes emplean técnicas innovadoras para evadirlos.
• Ellos no van solo por datos de tarjetas de crédito, dinero o datos de personas o clientes, sino que van por aquello que lo hace a usted competitivo como
organización. “Joyas de la Corona”
Sus tácticas
• Robo de propiedad intelectual, estrategias de mercadotecnia, información de I+D, datos de clientes o ciudadanos, M&A, etc.
• Alto costo de investigación y remediación. Potenciales fraudes, multas, litigios, etc.
• Los CEOs están preocupados, los consejos de administración
cuestionan el apetito de riesgo, los inversionistas
no son fáciles y los clientes o ciudadanos se preocupan cada vez más por la seguridad de su información.
Los resultados
• Cuenta con muchos recursos, incluso patrocinados por el Estado.
• Están muy bien organizados y son capaces,
profesionales e,
incluso, innovan más rápido que usted.
El adversario
14Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
World Economic Forum
The Global Risk Landscape 2018
In 2018, Cyber related risk
ranked among the top risks, with Extreme Weather and
Natural Disasters
Source: World Economic Forum Global Risks Perception Survey 2017–2018
15Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Cibercrimen: Industria en Crecimiento
Perspectivas del Foro Económico Mundial
sigue evolucionando envolumen, sofisticación e
impacto
Global Cost of Cyber Crime: $445B
Solo el
21% es
descubiertodurante las primeras 24 horas.
88% de los ataques tienen éxito en menos de un día.
La velocidad de los ciberataques se acelera, mientras que el tiempo de
respuesta aún sufre retrasos.
Existe un aumento de la ciberdependencia, debido a la creciente interconexión digital de personas, cosas y organizaciones.
La creciente dependencia cibernética se encuentradentro de las 5 principales tendencias que determinan el desarrollo global.
16© 2018 Deloitte Asesoria en Riesgos, S.C.Ecosistema de ciberseguridad: Preparándonos para la defensa
Cibercrimen: Industria en CrecimientoÁmbito de investigación
Redes deeCrime
Deep Web
Internetindexado Monitorización
Feeds CrawlersBúsquedas manuales
InfiltraciónForos de hacking,
carding y hacktivismo
Infiltrarse en redes de eCrime para intentar recuperar información muy valiosa para alguna organización que lo solicite.
17Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Cibercrimen: Industria en Crecimiento
18Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Cibercrimen: Caso de SPEI en México y Chile
19Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Características del cibercrimen
2 - Automatizado
• El crimen ahora es realizado por Software.
• Crimen desarrollando software para “los baby hackers” prestando servicios de soporte 01-800 y ofreciendo SLA’s”
• Paquete combo “Cyber Crime in a box” por 250 USD con el que podemos robar sesiones de Facebook, habilitar cámaras y keyloggers. Franquicias para los cibercriminales “empresarios”
1 - Exponencial
• Ya no más hackers de 15 y 16 años en el sótano de su casa
• Promedio 35 años de edad y pertenecen a una organización criminal; son profesionales; era industrial del crimen
• Con el uso de tecnología una sola persona es capaz de robar a 100 millones de personas
• Juniper predice que para el para el 2019 el ciber crimen costará 2 trillones de dólares.
20Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Características del cibercrimen
3 – Tri-dimensional
• Los robots son computadoras que pueden volar, escalar, nadar , etc. pero las computadoras puedes ser comprometidas.
• Drones entregando armas y drogas en prisiones en distintas partes del mundo
• Pérdida de privacidad: streaming en línea, Smart TVs
• Incluso los dealers de drogas usan drones para ubicar a su competencia y robarlos
• IoT. La industria automotriz y aeronáutica está ocupada en el tema
21Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Cibercrimen: Industria en Crecimiento
Algunos eventos recientes han permitido que el mundo observe vulneraciones de ciberseguridad que solo se habían vislumbrado en la ciencia ficción, rompiendo paradigmas sobre la imposibilidad de vulnerar tecnologías, como las de los automóviles, dispositivos médicos y aviones.
22© 2018 Deloitte Asesoria en Riesgos, S.C.Ecosistema de ciberseguridad: Preparándonos para la defensa
Sectores de la industria más atacadosAlta tecnologíaEl sector de última tecnología es comúnmente la zona de impacto para los ciberataques…
Medios en líneaEl sector de medios digitales podría ser el más expuesto…
Telecomunicaciones y transporteLas compañías de telecomunicaciones son blancode ciberataques…
Comercio electrónico & Pagos en líneaA medida que más y más empresas…
Financiera / AseguradoraLos ciberataques en el sector financiero y de seguros continúan creciendo…
Consumo / ManufacturaLos fabricantes son blanco, cada vez más frecuentemente… (IoT)
RetailLos datos de tarjetas de crédito son la nueva moneda para hackers y…
Ciencias de la Salud Fuerte tendencia…
23Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Un vistazo a los “hot topics” 2014-2016 Auditoria Interna TI
Clasificación 2016 2015 2014
Ciberseguridad Ciberseguridad Cambio a gran escala
Cambio EstratégicoRecuperación ante Desastre y
ResilienciaGobierno de TI y Gestión de Riesgo
de TI
Gestión de Terceros Cambio a gran escalaGestión de Identidad y Acceso and
Seguridad de Datos
Recuperación ante Desastre de TI y Resiliencia
Arquitectura Empresarial Tecnológica Gobierno de datos y Calidad
Gestión y Gobierno de datos Gestión a Terceros Gestión a Terceros
Seguridad de Información Seguridad de Información Ciberseguridad
Riesgo Digital Riesgo Digital y Móvil Riesgo Digital
Gobierno de TI y Gestión de Riesgo de TI Gestión y Gobierno de datos Gestión del Servicio
Arquitectura Empresarial TecnológicaGobierno de TI y Gestión de Riesgo de
TIRecuperación ante Desastre y
Resiliencia
Sistemas de Pago Gestión del Servicio Computación en la Nube
On the horizon: 2016 Hot topics for IT Internal Audit. Deloitte
01
02
03
04
05
06
07
08
09
10
24Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Expansión tecnológica
Crecimientode datos
Modelosde negocio
adaptándose
Atacantes motivados
Fuerzas de ciber vulnerabilidad
Ciber
riesgos
25Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Aún existe una gran falta de conciencia en las organizaciones.Incluso algunas intentan minimizar el riesgo argumentando frases como:
Por ello existen 3 tipos de organizaciones……
“Nosotros tenemos la tecnología para detener cualquier ataque”.
“Nuestra organización no está en la mira de los ciberdelincuentes”.
“Eso nunca ha pasado ni pasará en la empresa”.
27Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
¿Cómo protegernos?Es nuestra responsabilidad entender y aplicar las acciones clave para proteger nuestra información y evitar incidentes que nos afecten.
45© 2018 Deloitte Asesoria en Riesgos, S.C. Ecosistema de ciberseguridad: Preparándonos para la defensa
28Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Construyendo un programa robusto de ciber riesgo que parte del GOBIERNO Y ESTRATEGIA
Transformación ciber
A través de un programa continuo para ser seguro, vigilante y resiliente, una organización puede sentirse confiada y capaz de experimentar el valor de sus inversiones estratégicas.
Ser
VIGILANTE significa tener inteligencia de
amenazas y monitoreo para
anticipar e identificar
comportamientos dañinos.
Ser
RESILIENTE significa estar preparado y
poseer la habilidad de
recuperarse ante ciberincidentes,
además de ser capaces de
minimizar su impacto.
Ser
SEGUROsignifica poseer controles
priorizados por riesgo que
defiendan a los activos críticos
contra amenazas conocidas y
emergentes.
29Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Componentes de un programa robusto de ciber riesgo; es un programa, NO un proyecto
Transformación ciber
30Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
… y el negocio comienza a demandarle más y más al Oficial de Seguridad o CISO…o a buscar un CISO
Board “”Are we doing
the right things?”
CEO“How do we
pursue growth more
confidently?
CIO/CTO“How do we innovate and
reduce exposure?
Business Units
“How do we do business with minimal interruptions?
CMO“How do we
safeguard our reputation but
grow our brand?
OGC“How do comply
with legal requirements?
CFO“How do we create value
while managing
costs?
CRO/CAE“How do we identify and
reduce findings?”
CISO“How do I keep the
organization safe while providing value to all
stakeholders?”
31Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Identificando las 4 aristas del CISO
Source: Deloitte Research, The new CISO Leading the strategic security organization White Paper
Strategist Advisor
Guardian Technologist
Drive business and cyber risk strategy alignment, innovate, and instigate transitional change to manage risk through valued investments
Current 15%
Desired 32%
Current 12%
Desired 35%
Current 33%
Desired 12%
Current 40%
Desired 21%
Protect business assets by understanding the threat landscape and managing the effectiveness of the cyber risk program
Integrate with the business to educate, advise, and influence activities with cyber risk implications.
Assess and implement security technologies and standards to build organizational capabilities
32Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Y la demanda por profesionales en ciberseguridad se deja ver en todos lados
Hoy hay 2.5 millones de vacantes en el mundo ¡¡
33Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Medios y PyMES
Consumo yCiencias de la vida
Bancos y Proveedores de energía
Bancos de inversión
Militar y Defensa
Mesa de ayuda de TI y denuncia de
irregularidades
Level 1 Level 2 Level 3 Level 4 Level 5
Inteligencia de amenazas internas
Monitoreo de eventos de seguridad
Protección de Activos
Preparación para Cyber Ataques
Preparación y concientización
Análisis de comportamiento
Inteligencia de amenazas externas
Colaboración inteligente
E-Discovery y Forense
Monitoreo de marca
Maturity Levels- Cyber Security
Protección básica de red
Marcas en línea y Vigilancia de Redes
Sociales
Sistemas a medida / Forense de Malware
Pro
acti
ve
Th
reat
Man
ag
em
en
t
Controles de seguridad basados en firmas
tradicionales
Evaluaciones periódicas de Análisis de
vulnerabilidades
Colección de logs y reportes a la medida
Infraestructura a la medida y protección a
aplicaciones
Ejercicios de BC y DR de TI
Aceptación de Políticas de uso
Transferencia de conocimiento de
amenazas a colaboradores
Retroalimentación Comercial y de Código
Abierto de inteligencia de amenazasPerfilamiento de
actividades de red y sistemas centralizados
Preparación y concientización general de
seguridad de la información
Simulación de Cyber ataques
Infraestructura robusta y Protección de aplicaciones
Reportes de eventos de seguridad de tecnología
centralizada 24/7
Monitoreo automático de vulnerabilidades de TI
Monitoreo básico de marcas en línea
Forense automático de malware y e-Discovery
manual
Gobierno / Colaboración del sector de inteligencia
de amenazas
Vigilancia de Criminales / Hackers
Perfilamiento del comportamiento del Personal y Clientes
Concientización de Cyber ataques en todo el
negocio
Protección de información de Identidad
Concientización objetiva basada en inteligencia de
Cyber Security
Correlación de inteligencia de amenazas
externa e interna
Monitoreo objetivo de actividades de
plataformas de usuario
Forense y E-Discovery automatizado
Hostigamiento y Counter-Threat Intelligence
Colaboración global del sector de inteligencia de
amenazas
Análisis de riesgo de negocio en tiempo real y
soporte a decisiones.
Concientización de socios de negocio de Cyber
security
Ejercicios de Cyber ataques en cadenas de suministro y sectores
Control de seguridad en actualizaciones
adaptadas y automatizadas Detección de actividades
maliciosas a través de canales
Monitoreo integrado y a medida de procesos de
negocio
Conciencia de la situación de Cyber
Amenazas
Transformación ciberCyber Security Maturity Model
¿Cuál es el apetito de riesgo de mi organización?
¿Cuáles son las amenazas para mi negocio/industria?
¿Cuáles son mis joyas de la corona?
34Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
CISA, recientemente
promulgado, limita la
responsabilidad del banco
por el intercambio y
monitoreo de inteligencia.
Propuesta de regulaciones
de seguridad cibernética
en 2016:
• Reguladores federales:
propuestos mejorados de
los Estándares de gestión
de riesgos cibernéticos
• Departamento de Servicios
Financieros del Estado de
Nueva York: propuestos de
Reglamentos de
ciberseguridad
Las enmiendas PIPEDA imponen un
informe de incumplimiento obligatorio para los bancos canadienses
Nueva ley Fintech
• Inclusión financiera
• Protecciones de los clientes
• Competencia
• Preservación de estabilidad
• AML• Neutralidad tecnológica
La nueva adición externa
007 2018 establece los
requisitos mínimos para
la gestión de seguridad
cibernética
La Directiva NIS hace que cada estado
miembro redefinir los servicios esenciales
GDPR impone
directamente la
responsabilidad civil de
terceros.
Las enmiendas de APPI
requieren supervisión de
los empleados y terceros
Ley de seguridad cibernética: infraestructura de
información crítica (CII) estará sujeta a una serie
de requisitos
Junto con el Reino Unido y Australia, Singapur
ahora está probando las sandboxes (cajas de
arena) regulatorias FinTech
Y no dejemos de lado las tendencias en Regulaciones…
35Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Cyber Security Monitoring
Monitoreo de amenazas / Casos de Uso (SIEM)
Threat IntelligenceAnálisis e
Inteligencia de Amenazas
CyberThreatHunting
Respuesta a incidentes
Cyber Simulaciones
Red Team RTO / Blue Team/ Purple Team(“afinación y madurez incremental”)
Atacante
Victima
Infraestructura Capacidad
PreparaciónContención
Erradicación
Recuperación
Retroalimentación
Simulaciones
Objetivos Tipo de Ataque Descubrimientos
Aplicaciones de negocioCore, ATM, EMV, mobile, ….
Una vista rápida al “Ecosistema de Ciberseguridad de Deloitte”
Pruebas de penetración
Amenazas Materializadas
Hipótesis
Investigación vía Herramientas y técnicas
Informa y enriquece analíticos
SOC+
Elementos internos
Mobile
Cloud
Elementos de seguridad
Correo
Entidad financiera con procesos
definidos de consumo y generación de
inteligencia
Descubrimiento de IoCs y TTPs
Deception
Servicios de compartición
Cuentas de correo
Aplicaciones
Servicios HTTP
Honey pots/Spam
traps
Detección
SEGURO
VIGILANTE
RESILIENTE
36Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
¿Cuál es el objetivo?
¿Cómo puedo obtener inteligencia por industria o específica para mi organización?
Incrementar las capacidades de
detección y respuesta.
La pirámide del dolor(The Pyramid of Pain)
“La prevención es ideal, … la detección es imprescindible! ”
37Ecosistema de ciberseguridad: Preparándonos para la defensa© 2018 Deloitte Asesoria en Roesgos S.C.
Para llevarnos…
¿Qué es ciber seguridad? © 2017 Galaz, Yamazaki, Ruiz Urquiza, S.C. 18
Ninguna industria es inmune. Toda red y activos de una organización será comprometida en algún momento
Los daños por eventos ciber van más allá del dinero.
La velocidad de los ataques sigue aumentando y los tiempos o ventanas para dar respuesta se están contrayendo.
No todo se puede o debe proteger de la misma manera.
Los controles tradicionales son necesarios, pero no los más adecuados y, ahora, son insuficientes.
Reguladores y gobierno son jugadores clave, con creciente foco en el tema.
1
2
3
4
5
6
Deloitte se refiere a Deloitte Touche Tohmatsu Limited, sociedad privada de responsabilidad limitada en el Reino Unido, y a su red de firmas miembro, cada una de ellas como una entidad legal única e independiente. Conozca en www.deloitte.com/mx/conozcanos la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro.
Deloitte presta servicios profesionales de auditoría, impuestos y servicios legales, consultoría y asesoría, a clientes públicos y privados de diversas industrias. Con una red global de firmas miembro en más de 150 países, Deloitte brinda capacidades de clase mundial y servicio de alta calidad a sus clientes, aportando la experiencia necesaria para hacer frente a los retos más complejos de negocios. Los más de 245,000 profesionales de Deloitte están comprometidos a lograr impactos significativos.
Tal y como se usa en este documento, “Deloitte” significa Galaz, Yamazaki, Ruiz Urquiza, S.C., la cual tiene el derecho legal exclusivo de involucrarse en, y limita sus negocios a, la prestación de servicios de auditoría, consultoría fiscal, asesoría y otros servicios profesionales en México, bajo el nombre de “Deloitte”.
Esta publicación sólo contiene información general y ni Deloitte Touche Tohmatsu Limited, ni sus firmas miembro, ni ninguna de sus respectivas afiliadas (en conjunto la “Red Deloitte”), presta asesoría o servicios por medio de esta publicación. Antes de tomar cualquier decisión o medida que pueda afectar sus finanzas o negocio, debe consultar a un asesor profesional calificado. Ninguna entidad de la Red Deloitte, será responsable de pérdidas que pudiera sufrir cualquier persona o entidad que consulte esta publicación.
© 2018 Deloitte Asesoria en Riesgos S.C.
Muchas gracias!!
Santiago Gutiérrez
Socio Cyber Risk ServicesDeloitte México