ciberseguridad es algo más que protección? · 2019-02-21 · 8 presentamos nuestra 21a encuesta...

¿La ciberseguridad es algo más que protección?Encuesta Global de Seguridad de la Información 2018-19

Servicios de Consultoría

The better the question. The better the answer. The better the world works.

2

Encuesta Global de Seguridad de la Información de EY 2018-19

m á s q u e p r o t e c c i ó n ?

¿ L a c i b e r s e g u r i d a d e s a l g o

Encuesta Global de Seguridad de la Información 2018-19

3

m á s q u e p r o t e c c i ó n ?

¿ L a c i b e r s e g u r i d a d e s a l g o

4

ÍND

ICE

5

ÍND

ICE B i e n v e n i d a :

C a r l o s L ó p e z C e r v a n t e s y G u s t a v o D í a z

S o c i o s d e C i b e r s e g u r i d a d d e E Y L A T A M

J o r g e A c o s t a y J o s é C a r l o s B e l l i n a

S o c i o s L í d e r e s d e C o n s u l t o r í a y C o n s u l t o r í a

p a r a l a I n d u s t r i a F i n a n c i e r a d e E Y P e r ú

I ¿ P r e p a r a d o p a r a a t a q u e s m á s s o f i s t i c a d o s ?

I n t r o d u c c i ó n

S e c c i ó n 1 : E l f u t u r o d e l a c i b e r s e g u r i d a d

S e c c i ó n 2 : P r o t e g e r l a o r g a n i z a c i ó n

S e c c i ó n 3 : O p t i m i z a r l a c i b e r s e g u r i d a d

S e c c i ó n 4 : I m p u l s a r e l c r e c i m i e n t o

R e s u m e n d e R e s u l t a d o s

M e t o d o l o g í a d e l a e n c u e s t a

I I ¿ C u á l e s e l c o s t o d e l a s a m e n a z a s

c i b e r n é t i c a s ?

C o n t a c t o s

. . . p 6

. . . p 1 0

. . . p 1 2

. . . p 1 6

. . . p 3 0

. . . p 4 4

. . . p 5 8

. . . p 6 2

. . . p 6 6

. . . p 7 8

6

2018 fue un año en el que las organizaciones se vieron afectadas por una serie de ataques de ciberseguridad a gran escala, ante los cuales no hemos sido ajenos en nuestra región, con casos de alto impacto como los presentados en México, Chile y Perú. Esta situación ha llevado al aumento de la percepción desfavorable por parte de los usuarios, frente al manejo de ataques cibernéticos.

Nuestra 21a Encuesta Global de Seguridad de la Información (GISS) de este año muestra que la ciberseguridad es un tema prioritario en la agenda de los Directorios, Comités de Dirección de las organizaciones, y en los reguladores locales de cada país. Cada vez se dedican más recursos para proteger los activos de las organizaciones, trabajando arduamente para integrar la seguridad en el diseño de todas las iniciativas de negocio.

Sin embargo, los resultados de la encuesta no son alentadores, y sugieren que las organizaciones deben asignar más esfuerzos y recursos. Más de las tres cuartas partes (87%) de los encuestados afirmaron no disponer de un presupuesto suficiente para llevar a cabo las iniciativas de ciberseguridad requeridas por el negocio y 1 de

cada 10 encuestados afirma que su función de seguridad de la información actualmente satisface plenamente las necesidades del negocio.

Los sistemas de ciberseguridad y seguridad de la información aún se encuentran en niveles bajos de madurez, con controles ejecutados de manera irregular, sin desarrollo de capacidades avanzadas, y a menudo administrando la ciberseguridad como un silo aislado dentro de la organización. Es posible que no se tenga una idea clara de qué y dónde se encuentran los activos y la información más importante, ni la garantía de contar con las medidas adecuadas para proteger estos activos.

Estos resultados nos marcan una clara ruta de acción, en la cual la mayoría de las organizaciones debe continuar concentrándose en:

• Identificar los datos clave y activos de información de valor para la organización (las “joyas de la corona”).

• Revisar las capacidades existentes de ciberseguridad, y el nivel de exposición de la organización ante las amenazas crecientes.

• Actualizar el “escudo” de protección de la organización, repasando los conceptos básicos y desarrollando capacidades avanzadas.

7

Es evidente que las organizaciones continuarán su carrera de transformación y digitalización, primando las interacciones con los clientes a través de canales electrónicos y dispositivos móviles. En la medida que éstas puedan aplicar su ruta de ciberseguridad, de la mano de la agenda de transformación digital, se generará la confianza en los usuarios que permita explotar los canales digitales y aprovechar las ventajas de las nuevas tecnologías.

G u s t a v o D í a z

S o c i o d e C i b e r s e g u r i d a d e n

l a I n d u s t r i a F i n a n c i e r a ( F S O )

d e E Y L a t a m

C a r l o s L ó p e z C e r v a n t e s

S o c i o d e C o n s u l t o r í a e n

C i b e r s e g u r i d a d d e E Y L a t a m

8

Presentamos nuestra 21a Encuesta Global de Seguridad de la Información 2018-19 “¿La ciberseguridad es algo más que protección?”, un informe detallado sobre la realidad de la ciberseguridad a través de los resultados de nuestra encuesta a nivel global, regional y local.

Más de 1,400 ejecutivos participaron de la encuesta a nivel mundial, una muestra representativa que proporciona la valiosa información que encontrarán en este informe. Hacemos presente un especial agradecimiento a los representantes de las empresas locales y regionales, que nos permiten tener una contribución invalorable sobre un tema aun en desarrollo en la región.

Hoy nos encontramos viviendo en la Industria 4.0, una interconexión masiva tecnológica, con diversos dispositivos digitales interactuando a la vez, sistemas y tecnologías que están cambiando el mundo, los estilos de vida y, claramente, la forma de hacer negocios. Pero, en todo este desarrollo acelerado, hay puntos que necesitan especial atención como la ciberseguridad.

La etapa de ataques cibernéticos está lejos de su punto más bajo pues, de acuerdo con World Economic Forum, se calcula que para el

2021 el costo global de las trasgresiones a la ciberseguridad superará los US$6 mil millones, duplicando la cifra del 2015. Lo cierto es que, mientras más nos sumergimos en la era de la transformación digital, se abre un abanico de oportunidades pero también de amenazas, donde la ciberseguridad debe hacer frente.

De acuerdo con la Encuesta Global de Seguridad de la Información (GISS) de EY, solo el 13% de las empresas encuestadas maneja un presupuesto de ciberseguridad acorde con sus necesidades. Esto es un reflejo de la realidad que vivimos, solo basta con indagar en la web para ver la infinidad de noticias sobre los ataques cibernéticos perpetrados en los últimos años y el déficit para hacerle frente. Ataques que no solo han vulnerado datos personales, sino también han generado pérdidas millonarias y, más doloroso aún, crisis reputacionales en varias empresas.

Hoy en día, no hay sector que se haya salvado de recibir estos ataques; siendo las más atacadas las empresas relacionadas a sectores de mayor vínculo directo con el consumidor, como banca, telecomunicaciones, consumo masivo, salud, educación, e incluso, hotelería.

9

J o s é C a r l o s B e l l i n a

S o c i o L í d e r d e C o n s u l t o r í a p a r a

l a I n d u s t r i a F i n a n c i e r a ( F S O ) d e

E Y B o l i v i a , E c u a d o r y P e r ú

J o r g e A c o s t a

S o c i o L í d e r d e C o n s u l t o r í a

d e E Y P e r ú

Paso a paso, las empresas vienen tomando mayor consciencia sobre la necesidad de trabajar en ciberseguridad, pero ¿vale más el poder hacer frente a un ataque o poder prevenirlo? Tenemos que tener claro que la prevención es el factor más valioso de la ciberseguridad y que ella no solo depende en tener sistemas tecnológicos avanzados, sino de la cultura de prevención impartida a los colaboradores, pues estos dos factores representan el 60% de las vulnerabilidades.

Esperamos que esta publicación sirva a las empresas para tomar mayor consciencia sobre la importancia del trabajo preventivo de la ciberseguridad, así como las tendencias y desafíos que se presentarán. En EY nos encontramos a disposición para asistirlos, con el expertise y la perspectiva global e integrada que nos permite ser los líderes en servicios de gestión de riesgos, controles y seguridad cibernética.

10


CA

PÍT

UL

O I

11

Bienvenido a la 21a Encuesta Global de Seguridad de la Información de EY (GISS por sus siglas en inglés), la cual explora los problemas de ciberseguridad más importantes a los que se enfrentan actualmente las organizaciones.

Más de dos décadas luego de que EY empezó a investigar la percepción que tenían las organizaciones sobre el aumento de las amenazas de ciberseguridad y su respuesta a éstas, la necesidad de abordar este problema, empezando desde el Directorio hacia el resto de la organización, se va tornando cada vez más importante. Los ataques continúan creciendo tanto en número como en sofisticación y somos testigos de nuevos actores y escenarios de ataque, tales como la transformación digital y nuevas tecnologías, las cuales exponen a las organizaciones a nuevas vulnerabilidades.

Este año, nos complace saber que más de 1,400 encuestados han dedicado su tiempo a participar en nuestra investigación, y estamos muy agradecidos con todos ustedes. El análisis que realizó EY de las respuestas de los CIO, CISO y otros ejecutivos muestra que muchas organizaciones están incrementando los recursos que se invierten en ciberseguridad, pero además siguen preocupándose profundamente por la escala y severidad de las amenazas.

Además, el objetivo para todas las organizaciones debería ser no solo proteger a la empresa con un buen escudo de ciberseguridad y líneas básicas de defensa, sino también optimizar la respuesta con herramientas y estrategias más avanzadas. A medida que la transformación digital avanza, la ciberseguridad debería ser una función habilitadora, en vez de bloquear la innovación y el cambio.

Los resultados obtenidos en nuestra encuesta global exploran estos temas en mayor detalle, compartiendo ideas y prácticas líderes, que puedan mejorar la ciberseguridad para todos.

¿ P r e p a r a d o p a r a a t a q u e s m á s s o f i s t i c a d o s ?

12

El

f

ut

ur

o

de

l

a C

ib

er

se

gu

ri

da

d

1

13


Luego de que las organizaciones se vieron afectadas por violaciones en la ciberseguridad a gran escala, la Encuesta Global de Seguridad de la Información de EY de este año muestra que la ciberseguridad continúa siendo una prioridad en la agenda del Directorio. Las organizaciones están invirtiendo más en ciberseguridad, dedicando cada vez más recursos para mejorar su defensas, y trabajando más duro para incorporar la seguridad por diseño.

Sin embargo, los resultados de la encuesta además sugieren que las organizaciones necesitan hacer más: más de tres cuartos (87%) aún no tienen el presupuesto suficiente para ofrecer los niveles de ciberseguridad y resiliencia que desean. Las protecciones se dan a través de parches; relativamente pocas organizaciones están priorizando las capacidades avanzadas, y la ciberseguridad permanece, muchas veces, sin ser considerada como un frente relevante para la organización.

El desafío para las organizaciones es lograr avances en tres frentes:

• Proteger a la empresa. Enfoque en la identificacion de activos y construir líneas de defensa.

• Optimizar la ciberseguridad. Detener las actividades con bajo valor, aumentando la eficiencia, y reinvirtiendo los fondos en tecnologías emergentes e innovadoras para mejorar la protección existente.

• Impulsar el crecimiento. Enfoque en la implementación de la seguridad por diseño como factor clave del éxito para las transformaciones digitales que están experimentando muchas organizaciones.

Estos tres imperativos deben buscarse de forma simultánea. La frecuencia y escala de las brechas de seguridad alrededor del mundo muestran que muy pocas organizaciones han implementado incluso una seguridad básica.

Sin embargo, aún cuando busquen encontrar su ritmo, las organizaciones deben estar pasos adelante, afinando las defensas existentes para optimizar la seguridad y apoyar su crecimiento. A medida que la agenda de transformación digital obliga a las organizaciones a adoptar las tecnologías emergentes y los nuevos modelos de negocios, algo que muchas veces ocurre a un ritmo moderado, la ciberseguridad necesita ser un habilitador clave para el crecimiento.

de las organizaciones aún no tienen el presupuesto suficiente para ofrecer los niveles de ciberseguridad y resiliencia que desean

87%

14


N o s e r á f á c i l . . . ¿ l e s u e n a f a m i l i a r ?

6,4 mil millonesCorreos falsos enviados alrededor del mundo cada día1

1,464Funcionarios del gobierno de un estado en Estados Unidos utilizando “Password123” como contraseña2

50% De autoridades locales en Inglaterra dependen de un software en un servidor sin soporte3

2 millonesDe identidades robadas se usaron para realizar comentarios falsos en una encuesta de los EE.UU. sobre la neutralidad en la red4

1 Dark Reading, Agosto 2018.2 The Washington Post, Agosto 20183 Computing, Agosto 20184 Naked Security, Mayo 20185 Chronology of Data Breaches, Marzo 20186 SC Media, Diciembre 20187 Dark Reading, Abril 20188 Ponemon Institute, Julio 2017

15

550 millones Emails de phishing enviados por una sola compaña en el primer trimestre del 20187

US$3.62 millonesCosto promedio de una filtración de datos el año pasado8

1,946,181,599Registros que contienen datos personales y otros datos sensibles fueron comprometidos entre enero 2017 y marzo 20185

US$729,000Dinero que un empresario perdió en una estafa que combinaba catphishing con whaling6

16

Pr

ot

eg

er

l

a o

rg

an

iz

ac

ió

n

2

17


Nuestro análisis sugiere que hay un número significativo (77%) de organizaciones que aún opera con una ciberseguridad y resiliencia limitadas. Incluso podrían no tener una imagen clara de cuáles son y dónde está su información crítica y sus activos, ni tampoco tener las debidas medidas de protección para ellos.

Es por eso que es importante que la mayoría continúen enfocándose en una hoja de ruta elaborada bajo un modelo de madurez de la ciberseguridad. Primero deben identificar los elementos clave y la propiedad intelectual, luego revisar las capacidades en ciberseguridad, procesos de gestión de acceso y otras defensas, y finalmente mejorar los esquemas de defensa y respuesta que protegen la empresa.

Preguntas que las organizaciones deben considerar:

• ¿Cuáles son los activos con información valiosa que tenemos?

• ¿Dónde están las debilidades más obvias en temas de ciberseguridad?

• ¿A qué amenazas nos enfrentamos?• ¿Quiénes son los posibles protagonistas

de esta amenaza?• ¿Ya hemos sido infiltrados o

vulnerados?• ¿Cómo se compara nuestra protección

con la de nuestra competencia?• ¿Cuáles son nuestras responsabilidades

regulatorias? ¿Cumplimos con ellas?

18


En esta sección, veremos los cuatro componentes vitales para proteger a una empresa:

1. Gobierno. Las organizaciones deberían abordar la medida en la cual la ciberseguridad es una parte importante de la estrategia de la organización, y si hay suficientes fondos para invertir lo necesario en defensa.

2. ¿Qué está en juego? ¿Qué es lo que las organizaciones más temen, y cómo contemplan las amenazas más fuertes que enfrentan?

3. Protección. La madurez de la ciberseguridad de una organización y las vulnerabilidades más comunes son clave.

4. Brechas. Cómo se identifican las brechas y la forma en que las organizaciones responden a ellas son temas críticos.

Un problema general son las deficiencias en profesionales capacitados: las estimaciones identifican un déficit global de alrededor de 1,8 millones de profesionales de seguridad en cinco años.9 Incluso en los sectores mejor abastecidos, las organizaciones luchan por reclutar personal con la experiencia que necesitan.

Los servicios financieros son un ejemplo. “La evidencia indica cada vez más que los mejores graduados ya no quieren trabajar en la industria, lo cual inhibe los esfuerzos de reclutamiento en el sector”, indica Jeremy Pizzala, Líder Global de Ciberseguridad en Servicios Financieros de EY.

Atraer a más mujeres y minorías a la fuerza laboral de ciberseguridad, tanto para inflar las cifras como para tener recursos que sean capaces de contrarrestar la amenaza, ya es un desafío en sí. “La industria necesita liderar esfuerzos concertados para llenar puestos, y haciéndolo adecuadamente con mujeres y minorías”, indica Shelley Westman, Socia del equipo de ciberseguridad de Ernst & Young LLP. “La diversidad es un imperativo de negocios. Los equipos diversos impulsan mejores resultados a lo largo de la organización. Son más innovadores, objetivos y colaboradores. Esto es crítico en la ciberseguridad, donde cada día es una lucha por mantenerse un paso por delante de los atacantes”.

9 EY Cibersecurity Summit, Junio 2018.

19

Más de la mitad de las organizaciones no tienen a la protección de su organización como parte de sus estrategias y planes de ejecución. Sorprendentemente, las organizaciones más grandes son más propensas a quedar atrás en este aspecto que las más pequeñas (58% versus 54%).

La buena noticia es que los presupuestos de ciberseguridad van en aumento. Sin embargo, las compañías más grandes tienen más probabilidad de aumentar sus presupuestos este año (63%) y el próximo (67%) que las pequeñas (50% y 66%).

Este año El próximo año

Incrementará más del 25% 12% 15%

Incrementará más del 15 y 25% 16% 22%

Incrementará más del 5% y 15% 25% 28%

Se mantendrá prácticamente igual (entre +5% y -5%) 40% 31%

Disminuirá entre 5% y 15% 4% 2%

Disminuirá entre 15% y 25% 1% 1%

Disminuyó entre 25% 1% 1%

G O B I E R N O

¿ L a c i b e r s e g u r i d a d e s p a r t e d e l a e s t r a t e g i a ? ¿ E s t á i n c l u i d a e n e l p r e s u p u e s t o ?

2-1

A medida que las agendas de transformación digital continúan dominando, se requiere de un mayor presupuesto en ciberseguridad. Casi todas las empresas están contemplando tecnologías como la robótica, aprendizaje automático, inteligencia artificial, blockchain, entre otros. Todo ese cambio traerá riesgos cibernéticos adicionales, así como las inversiones necesarias

Mike Maddison,Líder de Ciberseguridad de EMEIA en EY

¿Cómo cambió el presupuesto total de ciberseguridad de las organizaciones este año? ¿Cómo cambiará para los próximos 12 meses?

20


de las organizaciones considera regularmente la seguridad de la información en sus estrategias y planes de negocio

27%Latam Perú

16%

han observado un incremento en el presupuesto este año

53%Global Latam Perú

29% 3%

prevén un aumento en su presupuesto el próximo año


42% 7%indica que menos del 2% de sus equipos de TI trabaja únicamente en ciberseguridad

39%

21

Al hablar de la región de América Latina, México cuenta con el nivel más alto de desarrollo de la ciberseguridad, según la edición de 2017 del Global Cybersecurity Index (GCI) publicado por la Unión Internacional de Telecomunicaciones (ITU). México, con un índice de 0.660, se sitúa en el lugar 28 del ranking mundial y ocupa el tercer puesto en América, inmediatamente después de Estados Unidos y Canadá. Lo que mide dicho indicador es que México muestra un buen resultado en el ámbito jurídico con una amplia integración de la ciberlegislación en relación con la criminalidad, la protección de los datos, la privacidad de los datos y las transacciones electrónicas.

Sin embargo, detrás de todo esto existe un esfuerzo tecnológico por parte de las entidades que luchan día a día contra los ciberataques; el hecho de que México se encuentre en la tercera posición en América y la legislación sea estricta; no implica que sea menos atacado y que quede mucho por hacer. De hecho, el año inmediatamente anterior se presentó uno de los ciberataques más sonados en Latinoamérica.

La ciberseguridad es una tarea que compete a todos; desde el usuario que usa la aplicación en su dispositivo inteligente, los desarrolladores y los arquitectos de la solución que deben desarrollar las plataformas de manera segura, hasta los vicepresidentes y los miembros del Directorio de las grandes organizaciones que deben tener la información de primera mano para tomar las decisiones estratégicas ante los eventos críticos de ciberseguridad.

Las diferentes industrias del mercado mexicano, en mayor o menor medida, están abordando importantes inversiones e iniciativas de transformación que implican nuevos desafíos en términos de seguridad. Por estas razones la ciberseguridad tiene hoy la importancia que se merece y deja de ser visto como un gasto a ser una inversión que permite o habilita las transformaciones tecnológicas del negocio; logrando que las grandes organizaciones puedan ejecutar los planes estratégicos sin tener el temor a que un ciberataque pueda desviar la atención de sus planes de negocio.

M É X I C O

Carlos López Cervantes

Socio de Ciberseguridad de EY México

Miguel Yebra

Socio de Ciberseguridad en la Industria Financiera de EY México

21

22


¿Qué es lo más valioso?

No sorprende saber que, la información personal del cliente, la financiera y los planes estratégicos constituyen los tres tipos de información más valiosos que las organizaciones querrían proteger, seguidos inmediatamente por la información del Directorio y las contraseñas del cliente. Al final de la lista de los 10 principales grupos de información a proteger, encontramos la información del proveedor, lo cual muestra que la ambición de “proteger colectivamente toda la cadena de suministros” todavía necesita trabajo.

¿Cuáles son las mayores amenazas?

Los problemas cibernéticos más críticos consideran al phishing (fraude electrónico) y malware como puntos de partida. Los ataques que se enfocan en el rango de disrupción se colocan en el tercer lugar de la lista, seguidos por ataques con un enfoque en robar dinero.

A pesar de que se ha discutido mucho sobre las amenazas internas y las patrocinadas por entidades del gobierno, el miedo por los ataques internos se encuentra octavo en la lista; mientras que el espionaje se encuentra al final.

¿ Q U É E S T Á E N J U E G O ?

¿ C u á l e s e l m a y o r t e m o r ? ¿ Y c u á l e s s o n l a s m a y o r e s a m e n a z a s ?

2-2

Más organizaciones están comenzando a reconocer la amplia naturaleza de la amenaza. Algo que ha mejorado durante los últimos 12 meses, en parte debido a algunos de los grandes ataques cibernéticos que hemos visto a nivel global, es que hay más conciencia de que la seguridad se trata de mantener la continuidad de las operaciones de negocios y no solo de la seguridad de los datos y la privacidad

Richard Watson,Líder de Ciberseguridad de Asia Pacífico de EY

de las organizaciones dijeron que su mayor miedo es perder la información del cliente


18% 19%

23

considera al phishing como la amenaza más grande

califica el malware como una amenaza

Los 10 tipos de información más valiosos para los crímenes cibernéticos

Las 10 mayores amenazas cibernéticas para las organizaciones

1. Información del cliente (17%) 1. Phishing (22%)

2. Información financiera (12%) 2. Malware (20%)

3. Planes estratégicos (12%) 3. Ataques cibernéticos (para interrumpir operaciones) (13%)

4. Información del Directorio (11%) 4. Ataques cibernéticos (para robar dinero) (12%)

5. Contraseñas del cliente (11%) 5. Fraude (10%)

6. Información de I&D (9%) 6. Ataques cibernéticos (para robar IP) (8%)

7. Información de fusiones y adquisiciones (8%) 7. Spam (6%)

8. Propiedad intelectual (6%) 8. Ataques internos (5%)

9. IP no patentada (5%) 9. Desastres naturales (2%)

10. Información de proveedores (5%) 10. Espionaje (2%)

22% 20%Global Latam Perú

11% 7%Global Latam Perú

20% 36%

24


Las vulnerabilidades aumentan cuando se trata de terceros. Solo 15% de las organizaciones han llevado a cabo los pasos básicos para protegerse de las amenazas de terceros; 36% está al tanto de los riesgos a través de autoevaluaciones (22%) o evaluaciones individuales (14%); por lo que 64% no tiene visibilidad sobre el tema. Esto aumenta hasta el 67% en las compañías más pequeñas.

Las compañías más grandes son más maduras que sus contrapartes más pequeñas. Por ejemplo, 35% tienen un programa formal y actualizado de inteligencia de amenazas, comparado con el 25% de las organizaciones más pequeñas y 58% dicen que su programa de respuesta a incidentes está actualizado, en comparación con 41% de las organizaciones más pequeñas.

P R O T E C C I Ó N

¿ C u á l e s s o n l a s v u l n e r a b i l i d a d e s q u e p r e s e n t a n m á s r i e s g o ? ¿ C u á n m a d u r a s e m u e s t r a l a c i b e r s e g u r i d a d ?

2-3

Todavía nos toma meses estar preparados para los ataques sofisticados. El desafío en este espacio yace en identificar la herramienta adecuada para la detección e identificación de amenazas. Las organizaciones se toman demasiado tiempo en discutir si una solución es más apropiada que otra. Como resultado, son pocos los que han implementado algo

Dave Burg,Líder en Ciberseguridad de las Américas de EY

Empleados descuidados o inconscientes 34%

Controles de seguridad obsoletos 26%

Acceso no autorizado 13%

Relacionado con el uso de la computación en la nube 10%

Relacionado con los teléfonos inteligentes/tablets 8%

Relacionado con las redes sociales 5%

Relacionado con el internet de las cosas 4%

Vulnerabilidades con mayor exposición a los riesgos durante los últimos 12 meses

25

considera a los empleados descuidados o inconscientes como la mayor vulnerabilidad

no tiene ningún programa- o tiene solo uno obsoleto- para uno o más de los siguientes aspectos:

• Inteligencia de amenazas• Identificación de vulnerabilidades• Detección de brechas• Respuesta a incidentes• Protección de datos• Gestión de identidades y accesos

34%

53%

Global Latam Perú

27% 25%

Global Latam Perú

53% 73%

26


Actualmente las organizaciones del Perú se encuentran en proceso de transformación de sus negocios, que involucran cambios en los modelos operativos apalancados en el uso de tendencias digitales, los cuales buscan aprovechar la capacidad de sus redes de comunicación y sistemas tecnológicos interconectados.

Este proceso de transformación trae consigo nuevos retos para los negocios entre los cuales se encuentra los aspectos relacionados con la ciberseguridad, debido al uso de nuevas tecnologías, la apertura y potencialización de los canales para el acceso de los interesados clave y el conocimiento al alcance de todos, entre otros, amplia exponencialmente las amenazas que pueden atentar contra seguridad de la información de que soporta las operaciones de negocio.

La situación antes descrita, la evolución de las motivaciones de los atacantes y la capacidad de los mismos para realizar ataques sofisticados, persistentes y sigilosos, nos envía un mensaje

claro y contundente para que las compañías tomen una posición de defensa y respuesta activa que les permita proteger los activos de información. Este esquema de defensa activa debe considerar la definición y desarrollo de una estrategia de ciberseguridad proactiva y transversal, centrada en la organización, que considere las iniciativas estratégicas del negocio y las soluciones innovadoras a ser implementadas, con foco en los riesgos que puedan atentar contra la información que soporta las operaciones del negocio, siendo inteligente y ágil, resiliente y escalable.

Si bien las compañías en el Perú vienen trabajando en este sentido, aún nos queda un largo camino por recorrer para alcanzar un mayor nivel de madurez en materia de ciberseguridad, y estar listo para responder de manera más eficiente y efectiva a los potenciales ciberataques. ¡Debemos actuar ya!

P E R Ú

Elder Cama

Socio de Ciberseguridad de EY Perú

Alejandro Magdits

Socio de Ciberseguridad en la Industria Financiera de EY Perú

26

27

Las organizaciones coinciden en que es poco probable que refuercen las prácticas en ciberseguridad o que gasten más dinero a no ser que sufran alguna infiltración o incidente que cause impactos negativos.

Si no ocurrió algún daño no habría un incremento en el presupuesto para el 63% de las organizaciones (en la mayoría de los casos se ha realizado algún daño, pero esto todavía no ha salido a flote). Muchas de las organizaciones no tienen claro si van a identificar de manera exitosa las vulneraciones y/o incidentes ocurridos. Entre las organizaciones afectadas por algún incidente durante el año pasado, menos de un tercio dice que este evento fue descubierto por su centro de seguridad y tampoco tienen claro cómo van a responder frente a un ataque.

B R E C H A S

¿ C ó m o s e i d e n t i f i c a n l a s b r e c h a s ? ¿ C ó m o r e s p o n d e n l a s o r g a n i z a c i o n e s ?

2-4

Las compañías verdaderamente inteligentes y con visión a futuro tienen dos presupuestos: un presupuesto tradicional para lo que necesitan hacer y los proyectos que buscan conseguir, pero también cuentan con un presupuesto de contingencias ante eventualidades como la emergencia ocasionada por un nuevo tipo de amenaza o brechas

Dillon Dieffenbach,Líder de Ciberseguridad de EY Japón

de las organizaciones reportan una lista de brechas de seguridad en sus informes de seguridad de la información

SOC

Unidad de negocios

Terceros

Otros

No han tenido un incidente significativo

no tuvieron incidentes (o todavía no los conocen)

el presupuesto de ciberseguridad aumenta después de la ocurrencia de un brecha seria de seguridad

17%

46%

76%

Brechas descubiertas por:

46%

8%6%

24%

16%

Global Latam Perú

18% 6%

Global Latam Perú

40% 48%

Global Latam Perú

60% 39%

28


A n á l i s i s s e c t o r i a l

S A L U D

10. “Los registros de salud fueron puestos en riesgo por un fallo de seguridad» BBC News, Agosto 2018.11. Encuestas revelan que más de 1 de 3 organizaciones de la salud han sufrido de un ataque cibernético mientras que 1 en 10 han pagado un rescate.12. Business Wire, Mayo 2018.

El sector del cuidado de la salud debe almacenar cantidades cada vez mayores de información personal y sensible. La encuesta de este año sugiere que la conciencia del sector acerca de los riesgos cibernéticos es cada vez mayor y que muchas organizaciones están determinadas a implementar protecciones más fuertes. De hecho, ya hubo progreso pero se necesita más trabajo.

Este sector ha sido testigo de numerosos incidentes y alertas en ciberseguridad en meses recientes. Durante un incidente, los registros médicos de casi 100 millones de pacientes fueron puestos en riesgo debido a una falla de seguridad en uno de los sistemas empleados en la gestión de pacientes y la operación.10 En otro evento, la información como nombres completos, fechas de nacimiento, información sobre seguros, estado de discapacidad y direcciones de las residencias de 2 millones de pacientes centroamericanos estuvo expuesta por una falla de seguridad.11

Los datos médicos tienen un gran valor en la dark web, lo que hace que las organizaciones de la salud atraigan más a los atacantes. Una de cada tres organizaciones de salud ha sufrido un ataque cibernético y 1 de 10 ha pagado un rescate.12

• Gobierno. La mitad de las organizaciones del sector salud indican que han aumentado su gasto en ciberseguridad durante los últimos 12 meses, mientras que un 66% planea invertir más durante los próximos 12 meses.

• ¿Qué está en juego? 17% de las compañías en el sector de salud indican que la información personal y sensible de sus clientes es lo más valioso para los criminales cibernéticos, mientras que el 25% indica que los malware son los que más han aumentado su exposición a riesgos.

• Protección. Las compañías de salud ven a los empleados descuidados o inconscientes como la vulnerabilidad que ha aumentado la exposición a riesgos en los últimos 12 meses (mencionado por el 33%).

• Infiltraciones. Solo un 18% de las compañías de salud confían en su capacidad para detectar un ataque sofisticado hacia su organización.

29


E N E R G Í A

13 “Las peores infiltraciones en ciberseguridad del 2018 hasta el momento” - Wired, Setiembre 2018.14 “¿Qué es spear phishing?” - Digital Guardian, Abril 2018.15 “La industria eléctrica en alerta por sabotaje cibernético” - Financial Times, Noviembre 2017.16 “Las nuevas leyes en ciberseguridad que el sector energético no puede ignorar” - Power Engineering International, Febrero 2018.

El sector energético es usuario de tecnologías emergentes cada vez más sofisticadas pero esto significa que enfrenta muchas más vulnerabilidades. Los ataques exitosos en este sector tienen el potencial de causar consecuencias devastadoras, lo que priva de energía a las poblaciones y hasta pone en riesgo la seguridad de sus ciudadanos.

Existe evidencia de que las compañías energéticas están en el radar de los criminales cibernéticos, incluyendo los más sofisticados. Recientemente, los investigadores en seguridad encontraron que hackers rusos buscaban infiltrarse en las compañías energéticas de EE.UU..13 En otro caso, las compañías de electricidad fueron objeto de una estafa por medio de spear phishing14 que se cree se originó en Corea del Norte.15

La amenaza suscitó que los reguladores en Europa y en otros lugares buscaran nuevas regulaciones para motivar a que el sector se enfoque en proteger a estas compañías.16

• Gobierno. Más de la mitad (57%) de las compañías energéticas han aumentado su gasto en ciberseguridad durante los últimos 12 meses, mientras que un 68% planea gastar más durante los próximos 12 meses.

• ¿Qué está en juego? 15% de la compañías del sector consideran que la información personal y sensible de los clientes es la más valiosa para los criminales cibernéticos, 27% dice que el fraude electrónico es el que más ha aumentado su exposición a riesgos.

• Protección. Casi tres de cada diez compañías energéticas (29%) dice que los empleados descuidados o inconscientes son la vulnerabilidad que más ha aumentado su exposición a riesgos. Casi la misma proporción (28%) citaron los controles o arquitectura de seguridad informática desactualizada.

• Infiltraciones. Cuatro de diez compañías (42%) dicen que no han tenido un incidente significativo de ciberseguridad en los últimos 12 meses.

30

Op

ti

mi

za

r

la

Ci

be

rs

eg

ur

id

ad

3

31


El estudio de este año sugiere que el 77% de las organizaciones buscan hacer más que simplemente colocar las protecciones básicas en ciberseguridad y ajustar sus capacidades.

Estas organizaciones continúan trabajando en los fundamentos de la seguridad cibernética pero también replantean su marco y arquitectura para apoyar el negocio de manera más efectiva y eficiente. Parte de ese esfuerzo yace en considerar e implementar inteligencia artificial, automatización de procesos a través de robots (RPA), analítica, e incrementar la seguridad de los bienes y datos clave.

Las preguntas en las que se deben enfocar estas organizaciones incluyen:

• ¿Cuál es nuestra estrategia en ciberseguridad?

• ¿Cuál es nuestra tolerancia y apetito al riesgo?

• ¿Cuáles son las actividades con poco valor que podemos hacer más rápido o barato?

• ¿De qué manera nos pueden ayudar las tecnologías como la automatización de procesos a través de robots, inteligencia artificial y las herramientas de análisis de datos?

• ¿En dónde necesitamos reforzar nuestras capacidades?

• ¿Qué podemos dejar de hacer? ¿Cómo invertimos los recursos que tenemos disponibles?

32


En este capítulo, echamos un vistazo a los cuatro componentes vitales para optimizar la ciberseguridad:

1. El estado actual. ¿Hasta qué punto la función de seguridad de la información de la organización es capaz de satisfacer las necesidades en ciberseguridad?

2. Prioridades de inversión. ¿Dónde se necesita que la inversión actualice las capacidades del estándar requerido?

3. ¿Internamente o subcontratando? ¿Cuál es la mejor manera de desarrollar nuevas capacidades y quién debe asumir el liderazgo?

4. Presentación de informes. ¿Qué tan capaz es la organización para evaluar sus propias capacidades e informar a los interesados clave?

Hasta el momento hay una posibilidad significativa de mejora. Menos de una en diez organizaciones indican que la función de seguridad de la información actualmente satisface sus necesidades, y muchos están preocupados de que las mejoras más importantes todavía no estén en marcha.

Las compañías más pequeñas tienden a quedarse atrás. Mientras que el 78% de las organizaciones más grandes indica que la función en seguridad de la información está al menos satisfaciendo de manera parcial sus necesidades, esto sucede en solamente el 65% de sus contrapartes más pequeñas.

Los criminales cibernéticos aumentan su juego y el precio por fallar es alto. En un ataque reciente, un banco indio perdió USD 13.5 millones después que los hackers instalaron malware en el servidor de ATM lo que les habilitó a realizar retiros fraudulentos desde los cajeros automáticos.17

17 “El banco indio pierde $13.5m en ataque global” - Info Security, Agosto 2018.

33

En general, 92% de las organizaciones se preocupan por la función de seguridad de la información en áreas clave. Los recursos son un tema importante: 30% de las organizaciones luchan por la falta de competencias, mientras que un 25% cita limitaciones presupuestarias.

Las compañías más pequeñas están particularmente preocupadas: 28% dicen que su función de seguridad de la información no satisface sus necesidades y necesita mejorarse y el 56% dice que tiene una falta de competencias o limitaciones de presupuesto.

E L E S T A D O A C T U A L

¿ L a f u n c i ó n d e s e g u r i d a d d e l a i n f o r m a c i ó n c u m p l e c o n l a s n e c e s i d a d e s d e l a o r g a n i z a c i ó n ?

3-1

Algunas organizaciones pueden sobreestimar su resiliencia y seguridad. Las organizaciones pueden tener protección parcial pero las amenazas cibernéticas emergentes existen en varios ámbitos. El enfoque en seguridad corporativa es importante pero ¿qué hay del entorno de manufactura y producción? ¿Cuál sería digital y cuál físico? ¿Qué pasa con la cadena de suministros?

Sean Wessman,Líder de Ciberseguridad Automotriz y de Transporte de EY Global

de las organizaciones tienen funciones de seguridad de la información que satisfacen totalmente sus necesidades

Cumple totalmente con las necesidades

Parcialmente, pero hay planes para mejorar

Parcialmente, pero no hay planes para mejorar

Por mejorar

No satisface las necesidades

comenta que sería poco probable que detectaran una infiltración sofisticada

no saben si podrían detectar un ciberataque sofisticado

Global Latam Perú

Perú

8%

38%

¿La función de seguridad de la información cumple con las necesidades de la organización?

59%

18%

11%

4% 8%

5%

Global Latam

31%

3%

29%

34


Un área importante donde las organizaciones necesitan optimizar sus capacidades es en una mejor ejecución y planificación de respuesta ante incidentes. El análisis forense es un área particularmente débil y esto socava la habilidad de las organizaciones de entender qué salió mal y mejorar la protección de ciberseguridad.

Las compañías más pequeñas están particularmente preocupadas: 39% dicen que les cuesta identificar las brechas, y 52% están preocupadas por sus capacidades forenses.

P R I O R I D A D E S D E I N V E R S I Ó N

¿ D ó n d e e s t á n l a s b r e c h a s ? ¿ D ó n d e e s t á n l o s r e c u r s o s q u e s e n e c e s i t a n c o n m á s u r g e n c i a ?

3-2

Las organizaciones necesitan ver más allá de las medidas preventivas en sus evaluaciones de seguridad.

Con base en nuestra experiencia, un riesgo notable es que muchas organizaciones aun no han desarrollado un plan robusto de respuesta cibernética

Andrew Gordon,Líder de Servicios Globales Integrales y Forenses de EY

de las organizaciones tienen un control cibernético que satisface sus necesidades

creen que tienen madurez en:• Arquitectura• Gestión de identidades y accesos• Métricas y reportes• Seguridad del software• Gestión de terceros• Gestión de amenazas y

vulnerabilidad

35%

<10%

Prioridades para mejorar cuando ocurre una brecha: ¿cómo se desempeñan las organizaciones?

38%32%

27%

36%

49%

24%

Identificaciónde la brecha

Mal Bien

Gestiónde crisis

Comunic.interna

Comunic.externa

Análisisforense

Regresoal negociohabitual

62%68%

73%

64%

51%

76%

Global Latam Perú

7% 2%

Global Latam Perú

31% 10%

35

¿ I N T E R N A M E N T E O S U B C O N T R A T A N D O ?

¿ C ó m o m e j o r a n l a s o r g a n i z a c i o n e s s u s c a p a c i d a d e s d e f o r m a r á p i d a ? ¿ Q u é d e b e n h a c e r p o r e l l a s m i s m a s , y d ó n d e d e b e n b u s c a r a y u d a e x t e r n a ?

3-3

Las grandes organizaciones de servicios financieros introdujeron los centros de ‘fusión’ que combinan las capacidades de ciberseguridad con muchas otras competencias tales como los sistemas que utilizan para prevenir el lavado de dinero y conocer a sus clientes. Se está convirtiendo en un esfuerzo multidisciplinario que une el negocio en sus sistemas antiguos y nuevos

Andrew Gordon,Líder de Ciberseguridad de Servicios Financieros de la Américas de EY

Monitoreo de la seguridad35%

65%

Evaluación de vulnerabilidades

48%

52%

Self-phishing (fraude electrónico)

39%

61%

Gestión de riesgos del proveedor

16%

84%

Gestión de identidades y accesos

13%

87%

DLP/protección de datos 18%

82%

Ejercicios de una vez (por ej., configuración de ISMS)

39%

61%

Actividades de seguridad de información específica de consultoría

71%

29%

¿Cuáles de las siguientes funciones de seguridad realiza usted internamente y cuáles ha subcontratado?

Internos Subcontratados

36


Monitoreo de seguridad de la red en tiempo real52%48%

Investigación de incidentes75%25%

Análisis forense digital (malware)49%51%

Recopilación (feeds) de inteligencia de amenazas46%54%

Análisis de inteligencia de amenazas

13%87%

Creación y entrega de ejercicios de ciberseguridad

60%40%

Análisis y gestión de vulnerabilidades61%39%

Pruebas de penetración25%75%

¿Cuáles de las siguientes funciones en su centro de operaciones de seguridad se subcontratan?

Internos Subcontratados

de las organizaciones más grandes cuentan con un centro de operaciones de seguridad

72%Global

de las organizaciones cuentan con un centro de operaciones de seguridad

Latam Perú

26% 16%

37

De acuerdo con las cifras reveladas por las entidades del estado, Colombia ha incrementado considerablemente el número de personas con acceso a internet ya sea desde una conexión fija o móvil, lo que refleja un crecimiento positivo en el uso de tecnologías de información y comunicaciones. Este es un hecho positivo y un gran logro para el país; sin embargo, este crecimiento implica nuevos retos en materia de ciberseguridad y cibercrimen.

Solo de manera ilustrativa, actualmente Colombia es el país en América Latina con mayor porcentaje de detecciones malware de tipo ransomware (secuestro de datos), por encima de países como México, Brasil y Perú. Asimismo, ciudades como Bogotá, Cali, Medellín, Barranquilla, Cartagena y Bucaramanga concentran la mayor cantidad de ciberataques a nivel nacional.

Uno de los sectores más sensibles a los ciber ataques en Colombia es el financiero, el cual durante los últimos 5 años ha realizado esfuerzos importantes para fortalecer y evolucionar su sistema de gestión de ciber seguridad (tanto en componentes estratégicos, tácticos y operativos).

De igual forma, los entes reguladores y de control han trabajado en este campo para fortalecer el ambiente de seguridad y control de las entidades, es así como a partir del 2018 las instituciones financieras deben hacer que la ciberseguridad sea un punto en la agenda de la alta gerencia.

Precisamente uno de los retos más importantes que tienen las instituciones financieras es lograr que sus interesados clave, y especialmente la alta gerencia, tomen conciencia del efecto negativo que se puede presentar al ser objeto de un ciberataque y no dar manejo adecuado al mismo, más ahora que nos encontramos en la era de la transformación digital y el mundo interconectado.

En materia de ciberseguridad siempre habrá cosas por hacer, y nunca se podrá estar 100% seguro de que no se sufrirá un ciberataque, pero siempre que se tenga en el radar las ciberamenazas a las que están expuestas las organizaciones y se haga una correcta gestión y control de las mismas, es posible reaccionar de una manera más estratégica, efectiva y con una mayor resiliencia para minimizar el impacto de los mismos.

C O L O M B I A

María Conchita Jaimes

Socio de Ciberseguridad de EY Colombia

Gustavo Díaz

Socio de Ciberseguridad en la Industria Financiera de EY Colombia

37

38


Solo el 15% de las organizaciones dijeron que sus informes de seguridad de la información cumplen totalmente con sus expectativas.

Las compañías más pequeñas requerirán moverse particularmente rápido: casi un cuarto (23%) no produce informes de seguridad comparado con un 16% de las organizaciones más grandes.

P R E S E N T A C I Ó N D E I N F O R M E S

¿ L a o r g a n i z a c i ó n r e c o p i l a i n f o r m a c i ó n c o n r e s p e c t o a l a s c a p a c i d a d e s e i n c i d e n t e s d e c i b e r s e g u r i d a d ? ¿ C ó m o s e i n f o r m a s o b r e e s t o a l a s p a r t e s i n t e r e s a d a s ?

3-4

El interés en los informes de ciberseguridad a nivel del Directorio creció debido a que ahora tiene una responsabilidad de gestionar el riesgo de ciberseguridad.

Directores, accionistas y reguladores presionan para obtener una mejor presentación de informes incluso si las organizaciones aun no han adoptado una postura de divulgación externa

Dave Padmos,Líder del Sector Global de Tecnología de Consultoría de EY

Efectividad en los informes de seguridad de la información de las organizaciones

No recibo informes

Los informes no cumplen las expectativas

Los informes cumplen algunas expectativas

Los informes cumplen todas mis expectativas59%18%

4% 8%

39

de las organizaciones incluyen el número de ciberataques en sus reportes de seguridad de la información

establecieron el impacto financiero para cada brecha

presentaron informes de las áreas de mejora

20%

5%

17%

Global Latam Perú

22% 14%

Global Latam Perú

5% 6%

Global Latam Perú

18% 38%

40



C O N S U M O , T R A N S P O R T E Y A U T O M O T R I Z

Las compañías orientadas al consumidor enfrentan desafíos particulares en ciberseguridad. Mantener la confianza es crucial para su negocio, sin embargo, también son vulnerables debido a que operan en un mercado donde los consumidores requieren servicios 24 horas al día, siete días a la semana, a través de modelos de negocios omnicanal.

Los atacantes cibernéticos explotan las debilidades de estas organizaciones por el valor y el volumen de datos del consumidor a los que ellos podrían acceder.

Mientras tanto, los ataques continúan. Algunos son conocidos, como el ataque a British Airways, el cual afectó 380,000 transacciones en septiembre de 2018.18 Otros son más sofisticados e inusuales. Por ejemplo, los informes sugieren que los delincuentes ahora venden un kit de fraudes (phishing) de alta gama que les permite a los atacantes llegar a múltiples minoristas en línea. 19

Nuestra investigación sugiere que las organizaciones orientadas al consumidor están teniendo un buen progreso en la ciberseguridad, sin embargo, deben refinar sus prácticas y desarrollar defensas más sofisticadas:

• Estado actual. Solo el 8% afirma que su función de seguridad de la información actualmente satisface las necesidades de la organización, y 29% advierte que dicha función debe mejorarse y no satisface sus necesidades. Más de la mitad (55%) menciona que tiene planes de mejora.

• Prioridades de inversión. Las compañías orientadas al consumidor apuntan a brechas significativas en su ciberseguridad las cuales necesitan mejorarse. Más del 10% menciona que sus procesos de seguridad de la información no existen o están muy inmaduros en las siguientes áreas: arquitectura, gestión de activos, consciencia, Business Continuity Plan

18 “British Airways: ‘encontrado’ código sospechoso que hackeaba aviones ”, BBC News, Setiembre 2018.19 “Investigadores descubren el kit de phishing para la próxima generación”, Help Net Security, Abril 2018.

41

(BCP), Disaster Recovery (DR), gestión de incidentes, políticas y estándares, monitoreo de la seguridad, seguridad del software y gestión de terceros.

• Internamente o subcontratando. Cerca de 4 de 10 compañías orientadas al consumidor (42%) cuenta con un centro de operaciones de seguridad; sin embargo, muchas de las funciones se han subcontratado ampliamente. La mayoría de organizaciones en el sector (80%) subcontratan las pruebas de penetración de su centro de operaciones de seguridad, 64% subcontratan la recopilación y feeds de inteligencia de amenazas, 60% el monitoreo de seguridad de la red en tiempo real, 57% el análisis de inteligencia de amenazas, y 53% el análisis forense digital y de malware.

• Informes. Solamente 13% de las compañías orientadas al consumidor dice que sus informes sobre la seguridad de la información cumplen todas sus expectativas.

42



S E R V I C I O S F I N A N C I E R O S

El sector de servicios financieros se encuentra en el centro de la batalla contra los ataques cibernéticos. No solamente representa un objetivo altamente lucrativo para los delincuentes sino que también depende cada vez más de los datos.

Dicho sector debe mantener los datos seguros a cualquier costo, incluso cuando se adapta a iniciativas como la banca abierta, la cual requiere que las organizaciones compartan datos con terceros.

Las nuevas tecnologías deben ocupar un lugar central: las falsas aplicaciones bancarias móviles que se encuentran en circulación engañan a más de uno de tres consumidores.20 Además, las estafas tradicionales no se han detenido. Un nuevo informe sobre fraude de correo electrónico empresarial sugiere que ahora el uso de los virus troyanos en el sector bancario es generalizado.21

Para empeorar la situación, los atacantes están colaborando cada vez más. En el verano del 2018, el FBI advirtió que los delincuentes estaban planeando un ataque organizado y multinacional contra el sector bancario el cual vació todo el efectivo de los cajeros automáticos en horas.22

Nuestra investigación sugiere que los negocios de servicios financieros ya han reconocido esa tensión. La protección es alta (a pesar de que es necesario continuar reflexionando y dando el mantenimiento) y se está trabajando en la optimización de la ciberseguridad:

• Estado actual. Solamente 6% de las compañías de servicios financieros dice que su función de seguridad de la información actualmente satisface las necesidades de la organización; sin embargo, 65% tiene planes para realizar las mejoras requeridas. No obstante, existe un problema: 31% advierte que la escasez de habilidades es un obstáculo potencial.

• Prioridades de inversión. Las organizaciones de este sector son las más preocupadas con respecto a la madurez de sus procesos de seguridad de la información en las áreas de arquitectura (las cuales 18% mencionó que no existen o están muy inmaduras), métricas e informes (18%) y gestión de activos (17%).

20 “Consumidores engañados por aplicaciones bancarias móviles”, Info Security, Febrero 2018.21 “Proofpoint advierte de troyanos bancarios”, PYMNTS, Agosto 2018.22 “FBI advierte sobre vaciado de cajeros automáticos”, Naked Security, Agosto 2018.

43

• Internamente o subcontratando. Alrededor de 6 de 10 organizaciones de servicios financieros (59%) cuentan con un centro de operaciones de seguridad. Estas son más propensas a ejecutar sus funciones internamente que a subcontratarlas: solo las pruebas de penetración (79%) y el análisis forense (52%) son subcontratados por una mayoría.

• Informes. Mientras que solo el 16% de las compañías de servicios financieros dicen que sus informes sobre la seguridad de la información satisfacen sus necesidades, esto las pone por delante de otros sectores.

44

Im

pu

ls

ar

e

l C

re

ci

mi

en

to

4

45

Las organizaciones están atravesando un proceso de transformación digital. La naturaleza de cada transformación varía dependiendo de la organización y su sector, sin embargo, todas tendrán uno o más de los siguientes componentes: ventas/soporte en línea para clientes, integraciones de cadena de suministros, aplicación de la automatización de procesos con robots, inteligencia artificial, blockchain y analítica, disrupción del modelo de negocios, e innovación en el lugar de trabajo.

Actualmente, las organizaciones están convencidas que cuidar el riesgo cibernético y desarrollar la ciberseguridad desde el principio son imperativos para el éxito en la era digital. El enfoque ahora debería ser en buscar la forma cómo la ciberseguridad dará soporte y permitirá el crecimiento empresarial. ¿El objetivo? Integrar la seguridad en los procesos de negocios desde el inicio y desarrollar un entorno de trabajo más seguro para todos.

La seguridad por diseño debería ser un principio clave a medida que las tecnologías emergentes se mueven en el centro del escenario.

Con el fin de alcanzar estas metas, las organizaciones necesitarán tener una estrategia de ciberseguridad innovadora en lugar de responder de forma reactiva y poco a poco. La experiencia del cliente debe ser una consideración clave.

Preguntas que las organizaciones deben hacerse durante su transformación digital:

• ¿Toda nuestra cadena de valor es segura?

• ¿Cómo diseñamos y construimos nuevos canales que sean seguros desde el diseño?

• ¿Cómo calza la ciberseguridad con nuestro modelo de negocios habilitado por la transformación digital?

• ¿Podrían la privacidad y protección de datos ser un posible diferenciador competitivo?

• ¿Qué tan enfocado está nuestro Directorio en la ciberseguridad a medida que persigue sus ambiciones digitales para la organización?

46


En este capítulo, echamos un vistazo a los cuatro componentes vitales para hacer que la ciberseguridad sea parte de la estrategia de crecimiento:

1. Supervisión estratégica. ¿Hasta qué punto el Directorio encargado de perseguir la transformación digital, aprecia la necesidad de incorporar la ciberseguridad en sus estrategias de crecimiento?

2. Liderazgo. ¿Cuáles son las organizaciones digitales que solicitan tomar la iniciativa en materia de ciberseguridad y cómo se entrega la rendición de cuentas?

3. Digitalización. A medida que las organizaciones aprovechan el uso de las tecnologías digitales, ¿qué tanto aumenta esto la vulnerabilidad de la ciberseguridad?

4. Tecnologías emergentes. ¿En qué áreas las organizaciones están aumentando sus inversiones en ciberseguridad para desarrollar la seguridad por diseño?

No obstante, con base en la encuesta de este año, solamente una pequeña cantidad de organizaciones está preocupada por

23 “DeepLocker — AI-powered malware ya está en medio de nosotros” Security Affairs, Agosto 2018.

la vulnerabilidad a la cual las tecnologías emergentes las está exponiendo. Esto es preocupante, sobre todo porque estas tecnologías también están disponibles para los atacantes.

Los investigadores de seguridad de IBM señalaron que el potencial de la inteligencia artificial se puede utilizar para desarrollar malware: ellos desarrollaron un código llamado DeepLocker, el cual puede ocultar su intención hasta después de que el objetivo haya sido infectado.23

No obstante, hay buenas noticias. Actualmente, muchas organizaciones consideran a las tecnologías emergentes como una alta prioridad para los gastos en ciberseguridad. Eso incluye la nube, que es una tecnología mucho más establecida para la mayoría de las organizaciones, pero también áreas como la automatización de procesos a través de robots, el aprendizaje automático y la inteligencia artificial, e incluso el Internet de las cosas. No obstante, en la mayoría de los casos, las organizaciones aún no tienen la intención de gastar más en protegerse en estas áreas. Solo la nube está marcada para gastos adicionales por una clara mayoría de organizaciones.

47

Alrededor del 70% de las organizaciones afirma que sus líderes tiene un entendimiento integral de la seguridad o está tomando medidas positivas para mejorar su comprensión.

Sin embargo, las organizaciones más grandes han progresado más: el 73% tiene una comprensión al menos limitada, en comparación con el 68% de sus contrapartes más pequeñas.

S U P E R V I S I Ó N E S T R A T É G I C A

¿ L a o r g a n i z a c i ó n t i e n e e s t r u c t u r a s q u e h a c e n d e l a c i b e r s e g u r i d a d u n e l e m e n t o c l a v e d e l a p l a n i f i c a c i ó n e s t r a t é g i c a ? ¿ E x i s t e u n b u e n g o b i e r n o ?

4-1

Necesitamos ver un rápido aumento de la seguridad. Muchas organizaciones están persiguiendo la transformación digital a un ritmo vertiginoso, y existe el peligro de que la ciberseguridad se quede atrás. Si bien sigue siendo imperativo arreglar los sistemas heredados de la organización, no se debe permitir que esto distraiga la construcción de fuertes protecciones desde el principio a medida que se adoptan tecnologías emergentes

James Phillippe,Líder Global de Gestión de amenazas cibernéticas de EY

Sí

Limitada

No, pero tratan de mejorar

No, y no planean mejorar

comenta que la seguridad de la información influye los planes de estrategia de negocios de alguna forma o de ningún modo

55%

¿El Directorio tiene una comprensión integral de la seguridad de la información para evaluar completamente los riesgos cibernéticos y las medidas preventivas?

39%25%

31%

3% Global Latam Perú

73% 84%

48


La responsabilidad definitiva de la seguridad de la información la asumen cada vez más los niveles superiores de la empresa. Para el 40% de las organizaciones, el Director de Sistemas de Información (CIO en inglés) asume esta responsabilidad.

Cuatro de cada 10 organizaciones (40%) comenta que la persona con la responsabilidad definitiva es un miembro del Directorio o la gerencia ejecutiva. A medida que la seguridad se convierte en un habilitador de crecimiento, es probable que esta proporción aumente. Actualmente, las organizaciones más pequeñas son más propensas a tener la responsabilidad de la seguridad de la información a un nivel del Directorio, más que las organizaciones más grandes.

L I D E R A Z G O

¿ Q u i é n e s e l r e s p o n s a b l e d e f i n i t i v o d e l a c i b e r s e g u r i d a d ? ¿ C ó m o m u e s t r a n e l l i d e r a z g o q u e i m p u l s a l a s p r á c t i c a s l í d e r e s e n t o d a l a o r g a n i z a c i ó n ?

4-2

También están emergiendo nuevos tipos de roles. Ahora estamos contemplando el ascenso del Chief Security Officer (CSO en inglés). El CSO podría reportar a un director de seguridad de la información (CISO en inglés) o incluso a un CIO, pero se mantiene fuera de la organización del CIO. Ellos son responsables del ciber-riesgo, el riesgo de seguridad física, y el riesgo de seguridad personal, mientras que el CISO o el CIO se enfocan en una cibertransformación más amplia

Simon Adler,Líder de Identidad y acceso digital de EY Global

Sí

Limitada

No, pero tratan de mejorar

No, y no planean mejorar

¿El Directorio tiene una comprensión integral de la seguridad de la información para evaluar completamente los riesgos cibernéticos y las medidas preventivas?

39%25%

31%

3%

de las organizaciones dicen que la persona directamente responsable de la seguridad de la información no es un miembro del Directorio


56% 97%

49

Los Directorios están tomando un rol cada vez más activo para abordar las consecuencias que los riesgos de ciberseguridad generan en sus negocios. Hay una creciente demanda en la administración de generación de informes, métricas y percepciones que brinden visibilidad y seguridad en la gestión de riesgos de la ciberseguridad.

A la mayoría de organizaciones les cuesta entender qué debe informar al Directorio. Por otro lado, no todos los Directorios tienen un buen entendimiento de la ciberseguridad y sus riesgos. Esto indica que se mantiene la mentalidad tradicional que se enfoca en informar las decisiones tácticas y el progreso actual. En lugar de ello, los informes deberían buscar combinar métricas tangibles y cuantificables que demuestren los resultados provenientes de decisiones clave recientes y el rendimiento del entorno de control actual.

Por último, para permitir una toma de decisiones efectiva, un marco exitoso de ciberseguridad debería comunicar una perspectiva clara y continua sobre la exposición al riesgo cibernético de la organización.

Para motivar este cambio de paradigma, los Directorios deberían aplicar una mentalidad enfocada en riesgos para transformar las preguntas que tienen sobre la gestión.

de los Directorios tienen una comprensión integral de la seguridad de la información para evaluar completamente los riesgos cibernéticos


42% 19%

50


Mentalidad tradicional Mentalidad enfocada en riesgos

• ¿Cuál es el estado de las iniciativas para mejorar nuestra ciberseguridad?

• ¿La implementación de una solución de autenticación de dos factores abordará los hallazgos identificados en la última auditoría?

• ¿Qué tecnologías aún no implementadas nos ayudarán a detectar y responder las amenazas cibernéticas?

• ¿Qué dicen las métricas de los firewalls y los antivirus sobre nuestro nivel general de protección contra amenazas cibernéticas?

• ¿Cómo medimos los efectos de las recientes iniciativas en la mejora de nuestros marcos de control y la madurez de la ciberseguridad?

• ¿De qué forma se alinea nuestra estrategia de ciberseguridad a la estrategia de la TI y de la nube?

• ¿Qué garantías tenemos para indicar que nuestros actuales esfuerzos para detectar y responder a amenazas cibernéticas están funcionando eficazmente?

• ¿Hemos evaluado la eficacia de nuestros controles de ciberseguridad para saber con cuánta eficacia protegen nuestros datos de gran valor y los sistemas fundamentales del negocio?

Mentalidad enfocada en riesgos

51

En Centroamérica se han desarrollado esfuerzos importantes a través de los gobiernos por medio de organismos que promueven el desarrollo de la industria de las telecomunicaciones y tecnologías de información y de los cuales hacen parte los países de la región.

Dentro de las actividades que se han ejecutado en la región, se destaca el desarrollo de políticas públicas en ciberseguridad con legislación especializada en cibercrimen en Costa Rica y República Dominicana en donde en sus códigos penales están tipificados varios delitos, así como la creación de centros de respuesta a incidentes en Guatemala, Costa Rica y Panamá. Adicionalmente, se tienen iniciativas de Ley de Cibercrimen en varios países.

No obstante, a pesar de los esfuerzos realizados hoy en día no se tiene un registro y control de los incidentes materializados y muchos de éstos no son reportados. De acuerdo con el último reporte del Estado de la Ciberseguridad en el Sector Bancario y del Caribe de la OEA, se reportó que 9 de cada 10 entidades bancarias sufrieron incidentes cibernéticos, de las cuales el 37% fueron víctimas de ataques exitosos.

Con base en lo anterior, observamos que sí bien se vienen tomando medidas y acciones por parte de los países, se siguen afrontando retos importantes en relación con el fortalecimiento de la postura de ciberseguridad de las organizaciones, para detectar, resistir o contener, y reaccionar ante los ciberataques.

C E N T R O A M É R I C A

Omar Quesada

Gerente Senior de Ciberseguridad de EY Centroamérica

Bismark Rodríguez

Socio de Ciberseguridad en la Industria Financiera de EY Centroamérica

51

52


Poco conocimiento y mala conducta de los usuarios 29%

La pérdida de un dispositivo inteligente 27%

Apropiación (hijacking) de dispositivos 11%

Los dispositivos no tienen el mismo software en ellos 10%

Los ingenieros de redes no pueden reparar las vulnerabilidades lo suficientemente rápido 10%

Los delincuentes cibernéticos organizados venden hardware con virus troyanos ya instalados 6%

Problemas de interoperabilidad del hardware 5%

D I G I T A L I Z A C I Ó N

A m e d i d a q u e l a s o r g a n i z a c i o n e s s e t r a n s f o r m a n , ¿ c ó m o e s t o a u m e n t a s u p e r f i l d e r i e s g o ? ¿ Q u é p e l i g r o s p r e s e n t a n l a s n u e v a s t e c n o l o g í a s ?

4-3

El valor de los datos aumenta con su conservación, entonces esta es su oportunidad de mejorar su almacenamiento de información existente. A medida que integra ecosistemas con múltiples proveedores, distribuidores y socios, existe una oportunidad para incorporar la seguridad en la gestión de datos desde el inicio. Esa oportunidad está abierta para todos

Andy Ng,Líder de Protección de la Información, EY EMEIA

de las organizaciones dijeron que los teléfonos inteligentes han incrementado más sus debilidades

están más preocupados acerca del uso de redes sociales

8%

5%

Riesgos asociados con el creciente uso de los dispositivos móviles

Global Latam Perú

9% 3%

Global Latam Perú

8% 22%

53

Conocer todos sus activos 14%

Identificar tráfico sospechoso 12%

Asegurar que los controles de seguridad cumplen los requisitos actuales 11%

Mantener actualizados el mayor número de equipos o dispositivos del Internet de las cosas que se encuentren conectados

11%

Encontrar “ataques de cero días” ocultos o desconocidos 10%

Falta de recursos calificados 10%

Seguimiento al acceso de los datos 9%

Gestionar el crecimiento de los puntos de acceso de su organización 8%

Definir y monitorear los perímetros del ecosistema de su negocio 7%

Falta de apoyo o conocimiento por parte de los ejecutivos 5%

Desafíos relacionados con el Internet de las cosas

54


T E C N O L O G Í A S E M E R G E N T E S

¿ D ó n d e s e d e b e p r i o r i z a r l a i n v e r s i ó n d e s d e u n a p e r s p e c t i v a d e s e g u r i d a d ? ¿ C ó m o p r o m o v e r l a s e g u r i d a d p o r d i s e ñ o ?

4-4

Computación en la nube

52%11%37%

Analíticas de ciberseguridad

38%11%50%

Computación móvil33%16%52%

Internet de las cosas25%27%48%

Automatización de procesos (RPA)

18%37%45%

Aprendizaje automático

16%36%48%

Inteligencia artificial15%39%43%

Biometría15%41%44%

Blockchain14%48%37%

Computación en la nube

57%6%

37%

Analíticas de ciberseguridad

52%5%

43%

Computación móvil35%

7%58%

Internet de las cosas29%

9%61%

Automatización de procesos (RPA)

31%11%58%

Aprendizaje automático

27%11%61%

Inteligencia artificial26%11%63%

Biometría15%13%72%

Blockchain15%15%69%

Prioridades para la inversión en ciberseguridad Gastos comparados con el año pasado

Alta prioridad Baja prioridad Prioridad mediana Más Menos Igual

55

Aquellas industrias que están recurriendo más rápidamente a las oportunidades digitales ahora deben gastar dinero en ciberseguridad. Deben incorporar la ciberseguridad en las nuevas arquitecturas que están construyendo para aprovechar la oportunidad de deshacerse de sistemas que se han venido utilizando que no están construidos con base en la protección y la resiliencia

Vinod Jayaprakash,Líder de Ciberseguridad para Centros de Entrega de bajo costo de EY

56



T E C N O L O G Í A , M E D I O S Y T E L E C O M U N I C A C I O N E S

Las organizaciones de Tecnología, Medios y Telecomunicaciones (TMT en inglés), las cuales a menudo están a la vanguardia de la disrupción y la transformación, también podrían estar en una posición para abrir camino en la ciberseguridad.

Pero mientras las empresas emergentes con infraestructura nueva han tenido la oportunidad de acoger la seguridad por diseño desde el principio, esto no aplica a todas las compañías en el sector. Por ejemplo, muchas organizaciones de telecomunicaciones aún operan activos instalados hace décadas.

Sin embargo, nuestra investigación sugiere que las empresas de TMT sí reconocen la importancia de incorporar la ciberseguridad en sus estrategias de crecimiento:

• Supervisión estratégica. Más de la mitad de las organizaciones de TMT (53%) dicen que la seguridad de la información influye totalmente en sus planes y estrategias comerciales.

• Digitalización. El 16% de las organizaciones de TMT en la investigación dicen que su exposición al riesgo es la que más ha aumentado con los teléfonos inteligentes, las tecnologías de Internet de las cosas o las redes sociales en los últimos 12 meses.

• Liderazgo. En el 47% de las compañías de TMT, la persona responsable de la seguridad de la información está en el Directorio o es miembro de la alta gerencia.

• Tecnologías emergentes. Con respecto a las nuevas tecnologías, las organizaciones de TMT pretenden aumentar su gasto en ciberseguridad en todos los ámbitos. La computación en la nube será un enfoque particularmente importante, ya que el 52% planificará un aumento de los presupuestos.

57

24 “El gigante de los chips TSMC dice que WannaCry está detrás de la detención de la producción” - Semana de la Seguridad, Agosto 2016.

25 “36 aplicaciones maliciosas anunciadas como herramientas de seguridad detectadas en Google Play” - SC Media, Enero 2018.

26 “No se deje engañar por esta elaborada estafa de phishing por WhatsApp!” - Trusted Reviews, Febrero 2018.

27 “Los investigadores convierten a Amazon Echo en un dispositivo de escucha” - Bleeping Computer, Abril 2018.

Algunas amenazas al sector TMT son indiscriminadas. Por ejemplo, el fabricante de chips Taiwan Semiconductor dijo en agosto del 2018 que debía detener la producción por un variante del ransomware WannaCry que causó mucho daño en muchas industrias.24

Otros ataques se enfocan en las innovaciones de las compañías de tecnología. Por ejemplo, Google y Apple están en una batalla constante para eliminar las aplicaciones de Google Play y App Store, de criminales que ofrecen aplicaciones maliciosas que se disfrazan como aplicaciones legítimas25; mientras que las aplicaciones de mensajería se utilizan cada vez más para propagar estafas de phishing.26 En otros lugares, Amazon rápidamente se movió para cerrar una falla después de que investigadores encontraron una manera de convertir su altavoz inteligente Echo en un dispositivo de escucha.27

58

Re

su

me

n d

e R

es

ult

ad

os

5

59

P R O T E G E R L A O R G A N I Z A C I Ó N

5-1

Resumen Siguientes pasos

Gobierno •Aunque las inversiones en ciberseguridad están en aumento y la protección ha mejorado en todos los ámbitos, los ataques cibernéticos exitosos están aumentando.

•La ciberseguridad necesita estar en el ADN de la organización; comience por hacerla parte integral de la estrategia de negocios.

¿Qué está en juego? •

El phishing y el malware sustentan un gran número de ataques exitosos; el GISS muestra que las organizaciones los ven como las mayores amenazas.

•Crear conciencia acerca del phishing y el malware: conviértase en un sabio del clic. La tecnología puede ayudar con las simulaciones de correo electrónico de phishing o malware.

Protección •Las organizaciones están potencialmente conectadas con miles de terceros; por lo tanto, son más dependientes de las medidas de seguridad tomadas por dichos terceros.

•

Enfocarse en la estrategia y programa de seguridad en el ecosistema de toda la organización: ¿Qué amenazas nos harán daño por la falta de seguridad de nuestros terceros? ¿Queremos continuar trabajando con terceros inseguros? ¿Cómo les podemos ayudar?

Filtraciones •La mayoría de las organizaciones aumentan su presupuesto de ciberseguridad después de haber experimentado una filtración. En la mayoría de los casos, las filtraciones no son identificadas por la organización.

•Aumente los presupuestos de ciberseguridad ahora (en lugar de después del hecho) y enfoque el gasto en la detección y respuesta a las amenazas. Esto bajará significativamente el nivel de riesgo.

60


O P T I M I Z A R L A C I B E R S E G U R I D A D

5-2


El estado actual •

La mayoría de las organizaciones tienen funciones de seguridad que no cumplen sus necesidades por completo; más de la mitad de las organizaciones están invirtiendo en capacidades analíticas como un primer paso.

•Considere las inversiones en capacidades analíticas, especialmente cuando esto potencia la detección de amenazas y aumenta la consciencia a nivel directivo.

Prioridades de inversión •

Las inversiones son necesarias en muchas áreas, pero sobre todo en la preparación y tratamiento de una filtración de seguridad. Para muchas organizaciones, este sigue siendo un espacio verde especialmente relacionado con la investigación forense.

•Puede ser difícil desarrollar rápidamente capacidades forenses internamente. En lugar de eso, busque construir una relación con un proveedor externo con estas capacidades; téngalos disponibles para cuando haya una filtración.

Internamente o subcontratado •

Muchas organizaciones actualmente están subcontratando funciones de ciberseguridad, incluyendo funciones de sus centros de operaciones de seguridad.

•Enfocarse en dónde las inversiones serán más efectivas, equilibrando los recursos disponibles en las instalaciones con las capacidades de los proveedores externo.

Presentación de informes •

La mayoría de las organizaciones no están satisfechas con su presentación de informes en operaciones de seguridad o filtraciones de seguridad.

•

Sea más abierto con respecto a las operaciones de seguridad (lo que hemos hecho, dónde están las brechas, dónde tenemos fallas); esto ayudará a impulsarla comprensión de las amenazas y motivar a la organización a tomar las medidas adecuadas.

61

I M P U L S A R E L C R E C I M I E N T O

5-3


Supervisión estratégica •

La supervisión estratégica está en aumento. La gerencia ejecutiva en 7 de 10 organizaciones, tiene una comprensión integral de la ciberseguridad o ha tomado medidas para realizar mejoras.

•Este es un gran paso hacia adelante; pone la ciberseguridad en el centro de la estratégica corporativa.

Liderazgo •Actualmente en 4 de cada 10 organizaciones, más miembros del Directorio están tomando la responsabilidad definitiva sobre la ciberseguridad.

•La ciberseguridad debe ser una agenda continua para todos los Directorios y juntas no ejecutivas.Busque maneras para alentarlos a participar más activamente en la ciberseguridad.

Digitalización •Las amenazas relacionadas al uso de teléfonos inteligentes, el internet de las cosas y la tecnología operativa aún no se comprenden bien. Solo un pequeño número de organizaciones nombran estas áreas como áreas de alto riesgo.

•Enfóquese en la ciberseguridad como parte de la estrategia de transformación digital. El éxito de muchos proyectos digitales dependerá de establecer confianza con los clientes.

Tecnologías emergentes •

El GISS muestra que muchas organizaciones están pensando en cómo las tecnologías emergentes pueden ayudar a optimizar aún más la ciberseguridad. La prioridad y las inversiones están bien alineadas.

•Continúe centrándose en las tecnologías emergentes. Los cibercriminales también están invirtiendo aquí, por ejemplo en inteligencia artificial. Resístase a la tentación de reducir la inversión en estas áreas de tecnología clave.

62

Me

to

do

log

ía d

e la

en

cu

es

ta

6

63

La 21a edición de la Encuesta Global de Seguridad de la Información de EY recoge las respuestas de más de 1.400 líderes de C-suite y ejecutivos de seguridad de la información y TI, que representan muchas de las organizaciones globales más grandes y reconocidas del mundo. La investigación se realizó entre abril y julio del 2018.

“Las organizaciones más grandes” se definen en este informe como las organizaciones con ingresos anuales de mil millones de dólares a más. Este grupo representa un tercio del total de encuestados en esta encuesta. “Organizaciones más pequeñas” se definen en este informe como las organizaciones con ingresos anuales por debajo de los mil millones de dólares. Este grupo representa dos tercios del total de los encuestados en esta encuesta.

29%

17%

4%

49%

EMEIA*

Japón

América

Asia-Pacífico

* EMEIA: Europa, Medio Oriente, India y África

64


Menos de 500 29%

501 - 1,000 12%

1,001-5,000 28%

5,001-10,000 10%

10,001-15,000 5%

15,001-20,000 3%

20,001-25,000 2%

Más de 25,000 11%

Encuestados por número de empleados

Consumidor y movilidad 32%

Energía 10%

Servicios financieros 27%

Cuidado de la salud 14%

TMT 16%

Encuestados por clientes sectoriales

Menos de $10 millones 19%

$10 millones a $100 millones 21%

$100 millones a $1,000 millones 25%

$1,000 millones a $10,000 millones 24%

$10,000 millones a más 11%

Encuestados por ingresos anuales

El grupo de Consumidor y movilidad incluye encuestados de los sectores de Automotriz y Transporte, Productos de Consumo y Venta Minorista y Bienes raíces, hotelería y construcción. El grupo de energía incluye encuestados de los sectores de Minería y metales, Petróleo y gas y Energía y servicios públicos. El grupo de los Servicios Financieros incluye respuestas de los sectores de Banca y Mercados de Capital, Seguros y Gestión de patrimonio y activos. El grupo de Cuidados de la Salud incluye respuestas de los sectores de Gobierno y sector público, Salud y Ciencias biológicas. El grupo de TMT incluye encuestados de los sectores de Tecnología, Medios y Entretenimiento y Telecomunicaciones.

65

Encuestados por sector industrial

Automotriz y transporte 8%

Banca y mercados de capital 18%

Productos de consumo y retail 19%

Gobierno y sector público 9%

Salud 3%

Seguro 6%

Ciencias biológicas 2%

Medios y entretenimiento 4%

Minería 2%

Petróleo y gas 3%

Energía y servicios públicos 5%

Firmas y servicios profesionales 3%

Bienes raíces, hotelería, construcción 4%

Tecnología 8%

Telecomunicaciones 4%

Gestión de patrimonio y activos 2%

66

CA

PÍT

UL

O II

67

¿ C u á l e s e l c o s t o d e l a s a m e n a z a s c i b e r n é t i c a s ?

68


¿ L A C I B E R S E G U R I D A D E S P R I O R I D A D S O L O D E S P U É S D E U N A T A Q U E ?

Para el 2021, se espera que el costo global de las violaciones a la ciberseguridad alcance los USD 6 miles de millones, el doble del total del 201528. Actualmente, el Foro Económico Mundial clasifica la violación a gran escala de la ciberseguridad como uno de los riesgos más graves que el mundo enfrenta hoy29.

Pueden haber grandes consecuencias, tal como se describe líneas abajo, si ocurriese un ataque cibernético dentro de una instalación operativa o si este afectara activos operacionales.

Salud, seguridad, medio ambiente y comunidad

Consecuencias comercialeso de reputaciónInterrupción del negocio

Lesiones graves y daños al personal

Disrupción en la cadenade suministros

Sanciones, multas yexposición de contratos

Incendios, explosionesy peligros

Daño del equipofundamental

Pérdida de ingresosy oportunidades

Disrupción en los serviciospara la comunidad

Licencia para operar Marca y reputación

28 “Informe sobre Crímenes Cibernéticos, Edición 2017”, Cybersecurity Ventures, 19 de octubre del 2017.29 “Informe Global de Riesgos 2017”, Foro Económico Mundial, 11 de enero del 2017.

Riesgos más importantes

69

E L E N T O R N O D E L A A M E N A Z A C I B E R N É T I C A E S C O M P L E J O Y A B A R C A L A T I Y L A T O

Históricamente, los entornos de la Tecnología Operativa (TO) estaban aislados, su conexión era limitada y no tenían acceso a las redes externas fuera de su ubicación física, y utilizaban protocolos específicos del vendedor y tecnologías registradas. Muchas veces, esto permitió que los propietarios de activos adopten un enfoque “seguridad por oscuridad”. Sin embargo, este enfoque ya no es viable en los entornos modernos de la TO ya que están altamente conectados y hacen uso de infraestructuras, protocolos y sistemas operativos que también son comunes en la Tecnología de la Información (TI) empresarial. Debido a ello, las vulnerabilidades que guardan relación con las tecnologías utilizadas en la TI empresarial también se pueden aplicar de la misma forma para la TO fundamental.

Las amenazas también incrementan por la prominencia de programas maliciosos (malware) cuyo blanco son los entornos de la TO. En diciembre del 2015, la red eléctrica de Ucrania fue paralizada por un ataque cibernético que utilizó malware (BlackEnergy y KillDisk) y se dirigió a la TO y a los sistemas de control industrial. Desde entonces, el malware es tratado como una mercancía y se encuentra ampliamente disponible.

¿Quiénes son los que detectaron, en mayor medida, los últimos incidentes cibernéticos?

24%Global

Latam

Perú

27%

26%

Una unidad de negocio

Una unidad de negocio

Tercero

70


L O S E V E N T O S C I B E R N É T I C O S M Á S I M P O R TA N T E S R E L A C I O N A D O S C O N L A T I Y L A T O

Fuentes:“Amenazas cibernéticas para la industria minera”, TrendMicro, 28 de junio del 2016.“Ataque cibernético de Petya: La lista de compañías afectadas muestra la escala del ataque”, Independent, 27 de junio del 2017.“Los ataques cibernéticos representan una amenaza grave para las empresas de recursos automatizadas de Canadá”, Globe & Mail, 26 de noviembre del 2017.“Hackers chinos atacan Siemens, Trimble, Moody’s, acusa EE. UU.”, CNBC, 29 de noviembre del 2017.“Atacantes alteran los sistemas de tratamiento de agua de empresa de servicios públicos”, Securityweek.com, 22 de marzo del 2016.“Virus informáticos infectan central nuclear alemana”, Reuters, 26 de abril del 2016.“Malware sin precedentes ataca los sistemas industriales de seguridad en el Medio Oriente”, Wired, 14 de diciembre del 2017.

Incidentes cibernéticos relacionados con la TI Incidentes cibernéticos relacionados con la TO

Feb

15

1 2 3 4 5 6 7 8 9 10

Mar

16

Abr

16

Dic

16

Jun

17

Nov

17

Abr

16

May

17

Nov

17

Ene

18

Nautilus Minerals, establecida en Canadá, fue la víctima de una estafa cibernética; realizó un depósito por USD 10 millones, destinados a un proveedor marino, a una cuenta bancaria desconocida.

La planta de tratamiento de agua “Kemuri” sufrió una manipulación en la combinación química del agua de grifo.

Un malware infectó los sistemas de una central nuclear alemana.

El ransomware “WannaCry” afectó la red ferroviaria alemana, hospitales del Reino Unido, DHL y otras empresas a nivel global.

Kevin Neveu, CEO de Precision Drilling Corp, admitió que la gran compañía canadiense había detectado intentos de “intrusión” sin éxito casi a diario.

El malware “Triton” tuvo como blanco a los sistemas de seguridad de Schneider y logró que la planta parara.

Goldcorp, una firma canadiense dedicada a la minería de oro, sufrió una gran violación de datos que resultó en la publicación en línea de 14.8 GB de información, incluyendo información financiera y sobre sus empleados.

El malware “Crash Override” aprovecha las vulnerabilidades para mapear las redes de la TO y utilizar cargas variadas.

Los sistemas de información de las compañías más grandes alrededor del mundo se vieron afectados por el ransomware Petya.

Los ataques cibernéticos coordinados lograron con éxito tener acceso a Siemens AG y Moody’s Analytics para robar secretos empresariales.

71

El gran número de dispositivos conectados en entornos operacionales también contribuye al aumento de amenazas. Debido a la creciente inversión en el área digital, la dependencia a los sistemas de automatización, el monitoreo remoto a la infraestructura para la eficiencia de costos a largo plazo y la toma de decisiones sobre toda la cadena de valor casi en tiempo real, la norma actual de las compañías es tener miles de dispositivos de TO conectados a lo largo de entornos geográficos. Sin embargo, el aumento de la conexión de estos dispositivos ―y por extensión, el aumento de la superficie de ataque― significa que la seguridad física de las operaciones remotas ya no es suficiente.

Además, el equipo y la infraestructura que anteriormente no ha contado con conexión (por ejemplo, perforadoras, camiones y trenes autónomos) ahora están integradas para tener un mayor control de las operaciones.

Esta combinación de eventos, junto con la complejidad del sistema y los riesgos por terceros, han causado una expansión de los “caminos de ataque” que pueden ser usados en incidentes cibernéticos.

Por ejemplo, para las organizaciones de minas y metales, hay cuatro principales “caminos de ataque” que se pueden utilizar para comprometer y afectar las operaciones a lo largo de la cadena de valor (por ejemplo, extracción, procesamiento/refinado, gestión de suministros y envío). Los hackers que explotan estos caminos usan frecuentemente varias debilidades comunes que existen en la arquitectura de redes, las tecnologías industriales heredadas, los controles básicos de acceso y las configuraciones de seguridad, los procesos de mantenimiento, el acceso remoto de terceros y del personal, y el conocimiento sobre seguridad.

72


P E R S P E C T I VA D E E Y S O B R E L O S C A M I N O S C O M U N E S D E L O S A TA Q U E S C I B E R N É T I C O S E N L O S S E C T O R E S D E A LTA C A P I TA L I Z A C I Ó N

La redcorporativay el internet

Un vendedor externo o un tercero de confianza

1

Servicios públicos(electricidad, agua,gas)

Apoyo paratoma de decisiones

y optimización

Seguridad y monitoreo críticos

Manejo dematerialesautónomos

Procesamientoy envío

Logística(tren y puerto)

La TO fundamental

Los sistemas deTO albergados en la red corporativa

Portalesno gestionados

Infraestructurade la OT insegura

Mediosportablesvulnerables

Gestiónde accesoineficiente

Monitoreolimitado

Configuraciones delfirewall excesivamente

permisivas

Herramientas inseguras para el acceso remoto

3

4

2

Los sistemas de TO, redes y estaciones de trabajo de alta importancia son excesivamente accesibles desde la red corporativa (en el peor de los casos desde internet).Muchas veces, estas brechas significan que una vez que el perímetro empresarial o la red corporativa se vea comprometida, se puede tener acceso privilegiado al entorno de la TO mediante un paso relativamente directo.

Se obtiene acceso privilegiado no autorizado a sistemas de la TO al explotar las brechas en el acceso físico o lógico a las estaciones de trabajo de la TO. La amenaza aumenta cuando se usan sistemas de TO heredados y a medida que los límites de la TO se expandan más allá del sistema remoto convencional y del lugar de operaciones geográficamente asegurado.

Las brechas en la segmentación de redes permiten un acceso excesivo entre zonas de seguridad de la TO (o segmentos funcionales); esto permite que atacantes o malware realicen un movimiento lateral entre entornos.

El acceso remoto -no gestionado e inseguro- al entorno de la TO es utilizado para brindar apoyo al vendedor, monitorear condiciones, dar mantenimiento o realizar operaciones remotas. El acceso remoto privilegiado puede permitir cambios no controlados a la lógica funcional fundamental, o significar el camino a una puerta trasera -por medio de la red de un tercero de confianza- para amenazas avanzadas.

Acceso a los sistemas y dispositivos

de la TO

Segmentaciónde la red de

la TO

73

Como consecuencia, toda la cadena de suministros está actualmente en riesgo, y este riesgo no se limita al potencial de causar disrupciones a las operaciones, sino es peor, ya que podría tener consecuencias relevantes en términos de salud y seguridad (por ejemplo, como resultado del apagado y el control manual de sistemas a prueba de fallos, fallas físicas en la infraestructura, equipos que operan fuera de los parámetros esperados, etc.). Si no se identifican, monitorean o se les hace seguimiento a estos riesgos de forma efectiva, es probable que la organización y sus empleados terminen siendo expuestos significativamente. Algunos de nuestros clientes con soluciones sólidas de monitoreo de seguridad observan un rápido aumento de nuevos ataques a sistemas operativos, incluyendo virus que son diseñados específicamente para atacar estos entornos.

74


Es necesario realizar un cambio radical en la cultura y consciencia sobre los riesgos cibernéticos para resolver la brecha que el “factor humano” expone, y así lograr la resiliencia y preparación cibernética. La urgencia se vuelve más crítica cuando se acepta la ideología de que ya no se trata de “si” sino de “cuando”.

Las organizaciones necesitan aplicar buenos principios de gestión de riesgos; y esto comienza cuando se piensa sobre el asunto de riesgo cibernético como si fuese un riesgo del negocio. Entender el panorama de amenazas cibernéticas es el primer paso fundamental en el cambio para mejorar la madurez cibernética.

Para realizar el dicho cambio radical, las compañías necesitan tener un plan definido que forme parte de su hoja de ruta digital y su plan de gestión de riesgos. El primer paso es establecer una línea de base de controles cibernéticos básicos.

Esta línea de base, respaldada por un enfoque basado en riesgos para priorizar la inversión cibernética estratégica a largo plazo, debería estar alineada con los principales escenarios de amenazas cibernéticas de las organizaciones.

L L E VA N D O L A D E L A N T E R A A L A S A M E N A Z A S C I B E R N É T I C A S

75

Hay cuatro amenazas cibernéticas clave que siempre están presentes en las organizaciones y pueden causar un gran impacto en sus operaciones:

1. TI empresarial y aplicaciones empresariales

2. Mercado del tesoro, negociación financiera y comercio de productos básicos

3. Datos personales y comercialmente sensibles

4. Tecnología operativa

Las amenazas asociadas con la red global de TI, proveedores de servicios gestionados, sistemas de planificación de recursos (ERP) y soluciones clave en el local o en la nube que permiten la productividad del usuario final, almacenamiento de datos y cálculos.

Cuando estos sistemas se ven comprometidos, puede haber incidentes de “prioridad uno” que necesiten atención y/o recuperación inmediata.

Los grandes desembolsos de dinero (por valor y volumen) a socios de joint ventures, proveedores, agencias del gobierno, compañías internas o externas y clientes de productos básicos son sinónimos de la industria minera.

Con el aumento de las estafas del CEO, CFO, AP y el spear-phishing, la ocurrencia de crímenes cibernéticos o pagos fraudulentos es una real amenaza.

El aumento de los requisitos de notificación de las violaciones de datos y el ritmo acelerado de las comunicaciones de los medios digitales ha hecho que todos los negocios pongan mayor atención a proteger sus datos sensibles y personales.

Las amenazas cibernéticas emergentes de la TO están creciendo y están convirtiéndose en los principales temas de los Directorios, ejecutivos y reguladores de las industrias de alta capitalización.

Esto comienza generalmente con los sistemas fundamentales de la TO en lugares operativos, plantas de procesamiento y empresas de servicios públicos; seguidos de redes y sistemas clave de la TI y la TO que permiten operaciones integradas, monitoreo y control remoto, sensible planificación de la producción y apoyo en la toma de decisiones.

Para hacer esto posible, las organizaciones deberían adoptar un marco de ciberseguridad para la identificación constante de brechas, amenazas y acciones fundamentales de control cibernético necesarias para lograr el perfil de riesgo meta. Creemos que, independientemente del marco adoptado, se debería aplicar un enfoque basado en riesgos que encaje con el objetivo, tenga un equilibrio entre “proteger” y “reaccionar” y cumpla los requisitos operacionales de una organización.

76


• Identificar riesgos reales: planear activos fundamentales en todos los sistemas y negocios.

• Priorizar lo más importante: suponer que ocurrirán violaciones, y mejorar controles y procesos para identificar, proteger, detectar, responder y recuperarse de ataques.

• Gobernar y monitorear el rendimiento: evaluar regularmente el rendimiento y la posición del riesgo residual.

• Optimizar inversiones: aceptar riesgos manejables cuando no hay presupuesto disponible.

• Activar el rendimiento del negocio: hacer que la seguridad sea responsabilidad de todos.

Apetito de arriba hacia

abajo

Marco de abajohacia arriba

Apetitoorganizacional

Designado a unidadesde negocio

Activosfundamentales

Definido a nivelorganizacional

Presupuesto Escenario

Priorización basada en:

• Apetito al riesgo

• Criticidad de activos

• Alineación a empresassimilares

Enfoque sólido para amenazas cibernéticas

78


L í d e r e s e n l a R e g i ó n

Gustavo Dí[email protected]

Roberto [email protected]

Alejandro [email protected]

Bismark Rodrí[email protected]

Miguel [email protected]

Elder [email protected]

María Conchita [email protected]

Diego Leó[email protected]

Carlos López [email protected]

Omar [email protected]

Ignacio AldonzaSocio Líder del SegmentoLATAM [email protected]

Armando MartínezSocio Líder de Consultoría LATAM [email protected]

C o n s u l t o r í a

C o n s u l t o r í a p a r a l a I n d u s t r i a F i n a n c i e r a

Rafael SánchezSocio Líder de FSOLATAM [email protected]

79

L í d e r e s L o c a l e s

Numa [email protected]


Jorge De los Rí[email protected]


Elder [email protected]

Francisco [email protected]

Giuliana [email protected]

Fabiola [email protected]

Gastón [email protected]

José Carlos BellinaSocio Líder de FSO Bolivia, Ecuador y Perú[email protected]

Jorge AcostaSocio Líder de Consultorí[email protected]

C o n s u l t o r í a

C o n s u l t o r í a p a r a l a I n d u s t r i a F i n a n c i e r a

Marco [email protected]

Cecilia [email protected]

Pablo [email protected]

Renato [email protected]

80

Encuesta Global de Seguridad de la Información de EY 2018-19EY | Auditoría | Consultoría | Impuestos | Transacciones y Finanzas Corporativas

Acerca de EYEY es la firma líder en servicios de auditoría, impuestos, transacciones y consultoría. La calidad de servicio y conocimientos que aportamos ayudan a brindar confianza en los mercados de capitales y en las economías del mundo. Desarrollamos líderes excepcionales que trabajan en equipo para cumplir nuestro compromiso con nuestros stakeholders. Jugamos un rol fundamental en la construcción de un mundo mejor para nuestra gente, nuestros clientes y nuestras comunidades.

Para más información visite ey.com

© 2019 EYAll Rights Reserved.

EY | Auditoría | Consultoría | Impuestos | Transacciones y Finanzas Corporativas

Descargue nuestras publicaciones en: ey.com/PE/EYPeruLibrary

LimaAv. Víctor Andrés Belaunde 171Av. Jorge Basadre 330San Isidro - LimaTeléfono: +51 (01) 411 4444

ArequipaAv. Bolognesi 407Yanahuara - ArequipaTeléfono: +51 (054) 484 470

ChiclayoAv. Federico Villarreal 115, Salón CintoChiclayo - LambayequeTeléfono: +51 (074) 227 424

TrujilloAv. El Golf 591, Urb. Del Golf III Etapa,Víctor Larco Herrera 13009, Sala PuémapeTrujillo - La LibertadTeléfono: +51 (044) 608 830

ciberseguridad es algo más que protección? · 2019-02-21 · 8 presentamos nuestra 21a encuesta...

Documents