RealidadyEstrategiadeCiberseguridadenBancoEstado
JessicaLópezSaffieGerenta GeneralEjecutiva
Enero2018
1
Objetivos deestasesión
�DarunaperspectivadelposicionamientodeBancoEstadoenmateriadeCiberseguridad
�…ydecomoestamosabordandoeldesafíoquetenemospordelante.
2
Últimamente,lasbrechasdeCiberseguridad hanaumentadoexponencialmenteentodaslasindustrias…
Adobe36,000,000
AshleyMadison.com37,000,000
ComisiónElectoraldeFilipinas55,000,000
Kromtech13,000,000
Yahoo500,000,000
Minecraft7,000,000
AdultFriendFinder400,000,000
SecurusTechnologies70,000,000
Target70,000,000
MySpace164,000,000
JPMorganChase76,000,000
Anthem80,000,000
HomeDepot56,000,000
LinkedIn117,000,000
YahooJapón22,000,000
Experian/T-mobile15,000,000
Tumblr65,000,000
Mail.ru25,000,000
SonyPictures10,000,000
UbiSoft (-)BuródeCréditodeCorea20,000,000
CourtVentures200,000,000
Telegram15,000,000
DeepRootAnalytics198,000,000
Basededatosdevotantes191,000,000
Weebly(43,000,000)
VK100,544,934
Equifax143,000,000
KTCorp.8,700,000
GobiernoGriego9,000,000
MassiveAmericanbusinesshack160,000,000
Gamigo8,000,000Zappos
24,000,000
Ebay145,000,000
Dropbox68,700,000
Interpark10,000,000
Premera11,000,000
USOPM21,500,000
LivingSocial50,000,000
Evernote50,000,000
AccidentallypublishedInsidertheftHacked LostdeviceConfigurationerror
2012
2013
2014
2015
2017
2016
Nota:DatoscorrespondenaregistrosrobadoscomoreportadospúblicamenteFuente:DataLossDB.org,informationisbeautiful.net,AnálisisBCG 3
…YLatinoamérica,nohasidolaexcepción
�Intervienen correoscon informaciónconfidencial defuncionarios y susfamilias, ynegociaciones decontratos.
�Grupo activistahackea web devarias municipa-lidades parareemplazarlas conmensajes del grupo.
�Hacktivistasrobaron informaciónpersonal de más de300,000 ciudadanos.
Virus afecta aInstituto y 10entidades privadas.Criminales pidenrescate con bitcoins.
�"Gusano" amenazaembarcaciones detrigo, fertilizantes ygranos de soya en elpico deexportaciones.
�Filial sufre ataqueque impide laoperación normalde sus terminales ycostó ~€200millones.
Fuerza Aérea de Chile
Ministerio de Economía y
Finanzas
Ministerio de Desarrollo Social
Instituto Nacional de Salud
Cofco Maersk
Ene 2014Chile
Jul 2015Perú
Feb 2016Chile
Mayo 2017Colombia
Jun 2017Argentina
Jun 2017Perú
4
Loanterioracentuadoporlodigital,queaumentasignificativamentela‘SuperficiedeAtaque’delascompañías
�Nuevoscanales�deinteracciónconclientes
�Conexióncontercerosalolargodelacadenadevalor
�Manejoyalmacenamiento
degrandescantidadesde
datosdeclientes
%deCiberataquesporlapáginawebuoficina
21%
24%
28%
82%
Sectorpúblico
Manufactura
Retail
Finanzas
5
EsasícomoinstitucionesfinancierasseenfrentanaamenazasdeSeguridaddelaInformacióninternasyexternas…
Incidentes de Seguridadpor Actor1
Brechas de Seguridadpor Tipo2
1.PWCGlobalStateofInformationSecurity2015("cualquierincidenteadversoqueamenacealgúnaspectodeseguridadinformática";sumamásdel100%porquealgunosincidentespuedenserelresultadodemúltiplesactores2.VerizonDataBreachInvestigationsReport2015(Requiereperdidadedatos)Fuente:AnálisisBCG
30%
27%
39%
Competidores
Hackers
ExEmpleados
EmpleadosActuales
ServiciosFinancieros2013-14
16%
29%
18%
14%
20%
9%
CiberEspionage
DenialofService
ErroresVariosPerdida/Robo(Físico)
Crimeware
EstafadoresTarjetadePago
Ataquesawebsite/apps
PuntosdeVenta
Malusointerno
ServiciosFinancieros2013-14
<1%
<1%
3%6%
66%
18%
82%
46%
6
…eimpactaentodalacadenadevalor
Típicosriesgosde
seguridaddelainformación
Adquisición Vinculación Servicio Pagos Clientes
Denegacióndeservicios
AtaqueDoSatravésdeplataformasespecializadas
Manipulacióndedatos
Atacantescreantransaccionesfalsaspararobardinero
AmenazaInternaEmpleadosextraenyvendeninformación
AtaqueaWeb/AppAtacanteinserta
códigomaliciosoenelsitioweb
ClientBotnetElatacanteinfectalos
dispositivosdelosclientesa
travésdelabancaonline
PhishingLascredencialesdelclienteserobanatravésdephishing
7
ElCibercrimen sehaconvertidoenunnegocioglobal(incluyendoLatAm),deproporcionessignificativas
2ºmayorriesgoglobalnoclimáticoomigratorio5
205díaseselpromediodesdeelcompromisoaldescubrimiento4
72%delasinfraccionessoncausadasporfallashumanas3
US$11Meselcostomundialpromedioporciberataque3
US$575B1
lecuestaalmundoalaño(0,8%PIBglobal~90+%PIBArgentina)2
US$90B1
lecuestaaLatAm yelCaribealaño(1,6%PIBregional)2
1.BID– OEAInformedeCiberseguridad2016 2.BancoMundial- PIB2015preciosCorrientes 3.UtilitiesTechnologyCouncil2016yanálisisBCG4.MandiantM-Trends20155.TheWorldEconomicForum'sGlobalRiskReport2017
8
…ylosgobiernosestáninterviniendoyregulandocadavezconmayorprofundidad
GobiernosdetodoelmundoestánfijandoestrategiasenCSyseadhierenaestándaresycooperacióninternacional
Peru
ArgentinaChile
Colombia
• Ley19223:DelitosInformáticosySist.deInfo.
• Ley19628:ProteccióndeDatosdeCarácterPersonal
• Ley19799:Doc.electrónicosyfirmaelectrónica
• Ley27309:Incorporacióndedelitosinformáticosalcódigopenal
• Ley29733:Proteccióndedatospersonales
• Ley30096:Delitoscontradatosysist.informáticos
• Ley27269:Leydefirmasycertificadosdigitales
• Ley1266:HabeasData• Ley1273:Protecciónde
inf.ydatos• Conpes3701:Política
paraCS• Ley1581:Protección
datosPersonales• Conpes3854:Política
SeguridadDigital
• Ley25326:ProteccióndeDatosPersonales
• Ley25506:FirmaDigital• Ley25690:Proveedoresde
Internet• LegislacióndeCSincluida
enelCódigoPenal
No-exhaustivo
Source:Investigacióndeprensaypáginaswebdeentidadesgubernamentales9
LapolíticanacionaldeCiberseguridad imponedesafíosatodoelpaís,ytambiénaBancoEstado
Definirhojaderutaparahacernoscargode:
Elaboracióndemedidascongruentesdecorto,medianoylargoplazoqueconsiderentodoslosriesgosoperacionalesytecnológicos
Requierecoordinaciónycolaboracióndedistintosorgs públicosyotrosactoresinvolucrados,comoproveedoresdeserviciosyreguladores.
Promoverunciberespaciolibre,abierto,
seguroyresiliente
Infraestructuradelainformaciónrobustayresiliente
ElEstadovelaráporlosderechosdelaspersonasenelciberespacio
ChiledesarrollaráunaculturadelaCiberseguridad
Establecerrelacionesdecooperaciónyparticiparenforosydiscusionesinternacionales
PromovereldesarrollodeunaindustriadelaCiberseguridad,quesirvaasusobjetivosestratégicos
Objetivoprincipal
10
LasnormasSBIFgeneranunagestiónsólidadelosriesgosdeCiberseguridad
NormaSBIF20-7
Prerrequisitosparalaexternalizacióndeserviciosaterceros
• Seprofundizalaresponsabilidad delBANCOenquesusproveedorescuentenconlonecesarioparaprotegerlaintegridaddelosactivosdeinformaciónylainfraestructuradeTI
• SeexigeunadecuadocontroldeCiberseguridad enelBANCO,conestructuraseinversionesdedicadasalamitigacióndeestosriesgos
NormaSBIF1-13(enconsulta)
Evaluacióndelagestióndelosbancosenlaadministracióndesusriesgosoperacionales
11
ComoresultadodeestolasJuntasDirectivas,Presidentes&CIOshanhechodelaCiberseguridad unaprioridadtopensusagendas…
¿Conquéfrecuenciaseanalizalaseguridadenlasreunionesdelajunta?1
0%
20%
40%
60%
80%
2016201420122010
83%79%71%68%
59%58%55%50%49%42%
Accessoacapital
Supp
lych
ain
Med
ioambien
te
PrecioM
P5
Falta
con
f.ne
g.
Proteccion
ismo
Amen
azasCS
62%
CargaFiscal
Cambiotec.
Sobreregulación
Crec.eco.incierto
¿Quéamenazashaciasuorganizaciónlepreocupan?3
¿Cuálessonlasprincipalesáreasdeenfoque?(alolargodeltiempo)4
Encomparación,en2012,sólo1/3delasjuntasconsiderabanactivamentelaCS2
Juntasdirectivasanalizanregularmente
laseguridad
CEOpercibenamenazascibernéticascomounriesgoprincipal
CIOpriorizancadavezmáslaseguridad
Regularmente
89%
Ad-hoconunca
11%
Gestióndeseguridad
Nuevossistemas
Alineacióndelnegocio Rendimiento
deIT
1.NYSEGovernanceServiceCybersecurityenlaencuestaBoardroom2015 2.GeorgiaTechInformationSecurityCenter:GovernanceofCybersecurity2015Report 3.PWC20thAnnualGlobalCEOSurvey(2017)(nosemuestrantodaslasamenazas,lasamenazascibernéticasocupanlaposición10de23enlalistacompletadeamenazas)4.CIO.com2016StateoftheCIOSurvey5.MP=materiaprima 12
…yhaaumentadosignificativamentelaasignacióndepresupuestos,aunqueLatAm aunseobservaconratiosmas‘tímidos’
GastoenCiberseguridad�Elbancoduplicaráelgastoenciberseguridadenlospróximoscincoaños,aumentándoloesteañoa~500millonesdedólaresdesdelos250millonesdedólaresen2014
�JamieDimon,�PresidenteyCEO deJPMorgan
�Estaáreaeslaúnicasinunpresupuestolimitado(…)Elbancogasta400millonesdedólaresenciberseguridadyvaagastarmásen2015
�BrianMoynihan,� PresidenteyCEOdeBankofAmerica
30%
20%
10%
0%Líderes Promedioglobal PromedioLatam
Source:Gartner,Sentieo13
Ydebemosredoblaresfuerzosparaprotegernosinternayexternamente
Fuente:IBM2015cybersecurityintelligenceindex
•Colaboradoresquebuscanvenganza,gananciasfinancierasosonchantajeados,filtraninfo.sensibledelaempresa,aprensaocompetidores
Intencional
•Empleadosquefiltranaccidentalmenteinformaciónconfidencial,siendosusceptiblesalaingenieríasocialeintentosdephishing
AtacantesExternos ActoresInternos
•Descubrendebilidadesensistemasyproductosparaqueempresasluegolasafronten
Hackers(Whiteorgreyhat)
•Atacanaempresasopersonasporrazonespolíticasoideológicas
•Perturbanoavergüenzanalobjetivo
Hacktivistas(Variosmotivos)
•Saboteanoperacionesyrobandatosparaobtenergananciascomerciales
•Buscanformafácilderobaralgodevalor
Crim.cibernéticos(Blackhat)
•Organizacionesquequierendifundirelmiedo
•Actualmentebajasofisticación,peropuedecomprarserviciosdehackers
TerroristasInvoluntario
14
NuestrovolumendeactividadenmediosDigitales/Remotosesenormeycreciente
MM 3,6Descargas APP BancoEstado
MM 3,9Usuarios Internet
MM 117Tx de consultas
MM 6,4TEF’s mensuales
MM 2,4Clientes usan Banca Móvil
M 706Clientes usan
PagoRUT
2015 2016 2017 Crecimiento2017
ClientesDigitales 2.800.000 3.268.438 3.938.478 20,5%
MM 1Pagos Realizados
con PagoRUT
95% Txpor canales
Digitales/Remotos
15
Elmodelodeatenciónynegociohacambiado,principalmentehaciacanalesDigitales/Remotos…
Fuente:InformeResumenEstadísticodeCanalesAutomatizados(RECA)– Septiembre2017
Tx 2017:191MMpromediomensual(crecimientopromedioanual:20%)
54MMInternet
35MMRedcompra
29MMCajaVecina
21MMAutoservicios
18MMMobile
12MMRedbanc9MMTelefonía4MMAPPMóvil5MMSucursalBE4MMServiEstado0,1MMPagoRUT
0,0
20,0
40,0
60,0
80,0
100,0
120,0
140,0
160,0
180,0
Ene-06
Mar-06
May-06
Jul-0
6Sept-06
Nov-06
Ene-07
Mar-07
May-07
Jul-0
7Sept-07
Nov-07
Ene-08
Mar-08
May-08
Jul-0
8Sept-08
Nov-08
Ene-09
Mar-09
May-09
Jul-0
9Sept-09
Nov-09
Ene-10
Mar-10
May-10
Jul-1
0Sept-10
Nov-10
Ene-11
Mar-11
May-11
Jul-1
1Sept-11
Nov-11
Ene-12
Mar-12
May-12
Jul-1
2Sept-12
Nov-12
Ene-13
Mar-13
May-13
Jul-1
3Sept-13
Nov-13
Ene-14
Mar-14
May-14
Jul-1
4Sept-14
Nov-14
Ene-15
Mar-15
May-15
Jul-1
5Sept-15
Nov-15
Ene-16
Mar-16
May-16
Jul-1
6Sept-16
Nov-16
Ene-17
Mar-17
May-17
Jul-1
7
16
Pérdidasporriesgooperacionalhanaumentadomenos
2016201520132012 201720142011201020092008
N° Tx encanalesDigitales/RemotosPérdidasporriesgooperacional ($)
Crecimiento 2008 - 2017
8,0x5,0x17
Hemospotenciado4pilaresfundamentales
Institucionalidad
• Contamos con instancias de gobierno global: Directorio, Comités de Riesgos,Estrategia, Transformación, Procesos y Tecnología).
• Contamos con un esquema de Políticas y Normas Específicas de Riesgo ySeguridad de la Información, aprobadas en el Comité de Riesgos y el Directorio.
• Utilizamos un marco metodológico para el control y gestión (ISO27001/27002), y la estamos potenciando considerando también la norma NIST.
18
Hemospotenciado4pilaresfundamentales
Tecnologíaparanosotrosylosclientes
• Para Clientes: diversos mecanismos para resguardo de información sensible(2da y 3ra Clave, Chip en tarjetas, cifrado punta a punta en todas lascomunicaciones con los clientes, etc.).
• Para Clientes: Educación digital y de seguridad
• Infraestructura tecnológica para la protección de activos críticos expuesto alciberespacio (DataCenter primario certificado en TIER III, Firewall, Sistema deprevención de intrusos y anti denegación de servicios)
• Planes de Continuidad Tecnológicos (DRP) y Operacionales (BCP), paraenfrentar diversos escenarios de indisponibilidad de servicios, aprobados porlas instancias de gobierno, y probados según calendario definido.
19
Hemospotenciado4pilaresfundamentales
• Implementación del gobierno y estrategia de Seguridad de la Información anivel estratégico (Comités), táctico (Mesas de Seguridad y Equipo deRespuesta ante Incidentes de Ciberseguridad - ERIC) y operacional(Administradores de Seguridad)
• Instancias de coordinación, encuentro y colaboración en temas deciberseguridad (miembro permanente del Virtual Task Force - VTF)
• Hemos generado capacidades en las 3 líneas de defensa, con mesas detrabajo formalizadas (directiva, ejecutiva, operaciones) para gestión dedecisiones.
OrganizaciónparaGestióndelRiesgoOperacionalyTecnológico
20
Hemospotenciado4pilaresfundamentales
CulturadeSeguridad
•MonitoreodelcumplimientonormativodelaSeguridaddelaInformación
• ProgramadeconcienciaciónhacialostrabajadoresdelBancoyfiliales
• CapacitacionesespecializadasenSeguridaddelaInformaciónyCiberseguridad,apersonalespecíficoenlas3LíneasdeDefensa
• Simulaciones(ej.phishing falso,USBabandonados)
•Mediciónniveldeadherenciaculturalenciberseguridad enBancoEstado
21
Porqueesprimordial‘CUIDAR'anuestroClientes…
Personas13millones
Empresas670mil
Instituciones73mil*
*70milclientescorrespondenaOrganizacionesdeSociedadCivil22
…ycuidarnuestrasólidareputaciónCorporativa
MarcaCiudadanaInterésporhaceruncambiopositivoenla
comunidadesequivalentealinteréspor
generarutilidades
MarcaExcelencia2017líderencategoría
bancos
MarcassignificativasJueganrolactivoparamejorarbienestar
personalyelcolectivo
BancoEstadoyCuentaRUTentre50marcasmásvaloradas porlagente
TopTenentrelasmarcasmásconfiables,líderencategoríabancos
por6toañoconsecutivo,
reconocidocomobancomásseguroy
sólidodeLA
23
Ynuestrosdesafíosfuturossonaúnmayores
• Con las nuevas tecnologías queremos profundizar la Inclusión Financiera deChile:Ø Primera etapa: acceso (cumplida!!)Ø Próxima etapa: vinculación, fidelización, cruce; educación financiera,
digital y de seguridad.
• Ello se traducirá en triplicar al 2020 el volumen de productos y transaccionesque procesaremos y administraremos;
• Y queremos llegar a vender un 60% por medios digitales/remotos;
• Nuestros desafíos y tareas para entregar seguridad en la operación interna y delos clientes nos obligan a elevar nuestros estándares y mejorar nuestra gestiónde riesgos. Estamos en eso.
24
Ensintesis …
…laaceleracióndigitalenBancoEstado,habilitalamasificaciónysofisticacióndenuestrosclientes.Ellairáacompañadadeunmodelodedesarrolloyoperación
delaciberseguridad queestamosvisitandonuevamente,paraactualizarnuestraestrategiadeSeguridaddela
Información.
Estodebeserunactoregular,nuestrosclienteslodemandan,
yelpaíslonecesita.
25
Finalmente,estamos convencidos queestos riesgos …
…constituyenunaoportunidadparatrabajartodosenforma
colaborativa (gobierno,reguladores,asociacionesgremiales,IF,academia,
proveedores,consultores,otrasinstitucionesmundiales,regionales
olocales).
Enotrascosaspodemoscompetir,enlagestióndelaCiberseguridadsolodebieraexistircolaboración.
26