Datos elaborados por BCP únicamente para fines del negocio
Gestionar el riesgo de ciberseguridaden términos financieros
Nicola Sanna, Presidente FAIR Institute, Director Ejecutivo RiskLens
Harold Marcenaro, Gerente de de Riesgos Digitales, BCP
Datos elaborados por BCP únicamente para fines del negocio
LAS EXPECTATIVAS DE INFORMAR SOBRE EL RIESGO CIBERNÉTICO HAN CAMBIADO
Miedo, Incertidumbre
y Dudas
Listas de Verificación de Cumplimiento
Modelos de Madurez
GestiónQuantitativadel Riesgo
Datos elaborados por BCP únicamente para fines del negocio
COMUNICAR EL RIESGO CIBERNÉTICO ES UN DESAFÍO
JUNTA DIRECTIVA
“¿Cuánto riesgo tenemos? ¿Estamos gastando demasiadoo muy poco enciberseguridad? "
DIRECTOR DE FINANZAS
“¿Estamos gastando nuestropresupuesto de ciberseguridad en las cosas correctas? ¿Cuál es el ROI? "
AUDITORIA
“¿Ha arreglado esoshallazgos de altaprioridad? "
CEO
"¿Cuánto riesgo implicannuestras nuevas iniciativasdigitales y en la nube?"
CISO
“Eχουμε πάνω από δέκα χιλιάδες τρωτά σημεία , είναι συμβατό με το ογδόντα τοις εκατό”
Datos elaborados por BCP únicamente para fines del negocio
La forma en que la mayoría de las organizaciones definen y miden el riesgo cibernético, no cuantifica el valor de la ciberseguridad en términos que la empresa puede entender y usar
LOS MÉTODOS CUALITATIVOS SON INEFICACES
Impacto
M A A
B M A
B B M
Pro
bab
ilid
ad
MEDICIONES SIN SENTIDODEFINICIONES INCOHERENTES
Deficiencias de control
Vulnerabilidades de aplicaciones
ActivoComputación en la
nube
AmenazaAmenazas internas
MétodoPhishing / Ingeniería
Social
Datos elaborados por BCP únicamente para fines del negocio
EL ESTÁNDAR FAIR LE AYUDA A DEFINIR EL RIESGO CIBERNÉTICO COMO RIESGO EMPRESARIAL
Escenario de riesgoDe acuerdo con el Estándar FAIR
amenaza
activo impacto
Ejemplos Ciberdelincuentes
Persona enterada maliciosa
Estado Nación
Incumplimiento DB cliente
Interrupción del sistema SAP
Incumplimiento planes de productos
Responsabilidad de privacidad/Multas y juicios
Pérdida de ingresos, productividad
Pérdida de P.I., ventaja competitiva
Datos elaborados por BCP únicamente para fines del negocio
FAIR LE AYUDA A CUANTIFICAR EL RIESGO EN TÉRMINOS FINANCIEROS
Riesgo
Frecuencia de eventos de amenaza
VulnerabilidadPérdidaprimaria
Pérdidasecundaria
FrecuenciaEvento de
Pérdida
Magnitudpérdida
Accredited as an Industry Standard by
Complementary toRisk Frameworks
Supported by aCommunity of 10,000+
FAIR Book Inductedin Cybersecurity Canon
Wide Industry Adoption40% Fortune 1000
Datos elaborados por BCP únicamente para fines del negocio
7Copyright 2021 RiskLens, Inc.
HABLAR EL IDIOMA DEL NEGOCIO
Comunicar el riesgo de ciberseguridad entérminos financieros
Proporcionar una visibilidad clara de los principales riesgos para el negocio
Medir los impactos de los riesgoscibernéticos y las decisiones sobre las iniciativas digitales
Datos elaborados por BCP únicamente para fines del negocio
8Copyright 2021 RiskLens, Inc.
PRIORIZAR LAS MITIGACIONES DE RIESGOS EN FUNCIÓN DEL IMPACTO EN EL NEGOCIO
Medir controla la efectividad en la reduccióndel riesgo
Priorizar las decisiones utilizando criterioscomo la reducción de riesgos y los umbrales de riesgo
Calcular el retorno de las inversiones enseguridad para reducir el riesgo
Datos elaborados por BCP únicamente para fines del negocio
9Copyright 2021 RiskLens, Inc.
ADMINISTRAR EL RIESGO A LO LARGO DEL TIEMPO
Agregar los principales riesgos y mostrarsu evolución a lo largo del tiempo
Establecer umbrales de riesgoorganizacionales claros
Visualice el impacto de su programa o de las amenazas emergentes
Datos elaborados por BCP únicamente para fines del negocio
10Copyright 2021 RiskLens, Inc.
INFORME A LA JUNTA EN TÉRMINOS FINANCIEROS
Traducir el riesgo cibernético en términosque los directores de la junta entienden
Permitirles ejercer sus responsabilidadesde supervisión de riesgos cibernéticos
Ayudarles a evaluar la adecuación de los presupuestos de ciberseguridad
Datos elaborados por BCP únicamente para fines del negocio
11Copyright 2021 RiskLens, Inc.
CUMPLIR CON LOS REQUISITOS REGLAMENTARIOS Y DE PRIVACIDAD
Evaluar los principales riesgos cibernéticossegún lo exijan las regulaciones
Demostrar y defender la adecuación de los controles de seguridad
Medir la probable exposición a multasreglamentarias
Datos elaborados por BCP únicamente para fines del negocio
Sobre BCP
• Banco más grande en Perú con aprox 30% de participación de
mercado
• 132 años
• US $45 Billion en Activos
• US $1.1 Billion en Utilidades en 2019
• Part of Credicorp (NYSE: BAP), Market Cap US $8 Billion
Copyright 2020 FAIR Institute, Inc.12
Datos elaborados por BCP únicamente para fines del negocio
Programa de Transformación en BCP
Digital Journeys▪ Centro de InnovaCXión▪ Remote Banking para el
segmento afluente▪ Marketing Digital▪ Yape
Experiencia del Cliente▪ Journeys de cliente▪ Experiencia en canales físicos
▪ Arquitectura de Datos▪ Advanced Analytics▪ Big Data labs
Data & Analytics
▪ Arquitectura de próxima generación▪ Optimización de Infraestructura de TI▪ Ecosistemas Cloud y APIs▪ Eficiencia
TI
Cultura y Liderazgo
▪ Gestión del cambio▪ Estrategia de Talento▪ Comunicación
Riesgos digitales
▪ Riesgo de crédito digital▪ Programa de Ciberseguridad
Digital Ops
▪ Digitalización y optimización de procesos operativos
Modelo de Distribución
▪ Transformación del modelo de Distribución
Gobierno
▪ Gobierno de capex y opex
Agile @ Scale
▪ Organización Ágil
Datos elaborados por BCP únicamente para fines del negocio
Empezamos gestionando nuestro Programa de Ciberseguridad con Cybersecurity Assessment Tool (CAT) de FFIEC
The Federal Financial Institutions Examination Council (FFIEC) is a formal U.S. government interagency body composed of five banking regulators that is "empowered to prescribe uniform principles, standards, and report forms to promote uniformity in the supervision of financial institutions".
FFIEC developed the Cybersecurity Assessment Tool (Assessment) to help institutions identify their risks and determine their cybersecurity preparedness.
2019
2020
2021
Copyright 2020 FAIR Institute, Inc.14
Datos elaborados por BCP únicamente para fines del negocio
…pero nos dimos cuenta que no era suficiente. Aspiramos a gestionar la ciberseguridad como un RIESGO, tomando decisions en función de costo-efectividad.
Copyright 2020 FAIR Institute, Inc.15
Datos elaborados por BCP únicamente para fines del negocio
¿Por qué FAIR?
• Nuestra primera aproximación a FAIR fue leyendo “Measuring and Managing Information Risk”
• Cuantificación es un medio para entender mejor los riesgos, no modelos matemáticos que nublan la intuición. Nos permite agregar, comparer, priorizar y decidir.
• FAIR puede convertirse en un estándar vs soluciones propietarias.
Una comunidad FAIR abierta y active promueve el Desarrollo y
adopción.
Copyright 2020 FAIR Institute, Inc.16
Datos elaborados por BCP únicamente para fines del negocio
Nuestra gestión de riesgos de Ciberseguridad en términos financieros
• Desde el 2020 estamos implementando un método sistemático para identificar, cuantificar, agregar, comunicar y priorizar estrategias de gestión de riesgos de ciberseguridad con el objetivo de enfocarnos en las estrategias más costo-efectivas.
• En concreto, nos propusimos lo siguiente…
1. Agregar la exposición total del Banco a riesgos de ciberseguridad, y cómo se compone por amenazas, vulnerabilidades, activos, procesos y productos. Por ejemplo, la exposición total de riesgos de ciberseguridad es de $XXXMM, de los cuales los activos A, B y C concentran el X% y la principal vulnerabilidad es D.
2. Definir una métrica de apetito de riesgo con límites respecto a la exposición total de riesgos de ciberseguridad.
3. Cuantificar riesgos específicos y priorizar iniciativas entre posibles estrategias de mitigación. Por ejemplo, ¿para proteger el activo X de la amenaza Y es, es más efectivo invertir en controles preventivos o detectivos? ¿Es la exposición a la amenaza Z mayor en el activo A o el activo B?
4. Entender cómo iniciativas transversales impactan varias amenazas, vulnerabilidades o activos. Por ejemplo, invertir $XMM en modernizar nuestros firewalls reduciría la exposición en $YMM.
5. Integrar estas herramientas en nuestros procesos de decisión.
Copyright 2020 FAIR Institute, Inc.17
🚫
✅
✅
⚠️
⚠️
Datos elaborados por BCP únicamente para fines del negocio
Beneficios obtenidos
• Foco en los riesgos más importantes.
• Estrategias de mitigación costo-efectivas, en algunos casos descartando y
en otros acelerando inversiones.
• Delegación de toma de decisión en función del riesgo.
• Conversaciones con ejecutivos C-level y Directorio más productivas y
enfocadas.
Copyright 2020 FAIR Institute, Inc.18