gestión de crisis sector financiero...gestiÓn de la crisis y mejora continua situación de crisis...
TRANSCRIPT
Gestión de Crisis Sector Financiero
Miguel Rego
Simposio de la OEA 2019. Santiago de Chile
▪ La situación en LATAM y Caribe▪Ciberresiliencia y Gestión de Crisis en el Sector Financiero▪Recomendaciones del ECB
Agenda
Miguel Rego 2
La situación en LATAM y Caribe
Miguel Rego 3Miguel Rego 3
Miguel Rego 4
Entidad bancarias con plan de comunicaciones para informar a sus clientes de servicios
financieros cuando su información personal se haya visto comprometida
Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe
Miguel Rego 4
Source: OEA
Miguel Rego 5
Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe
Mecanismos para reportar ciber ataques ante una autoridad de regulación
Miguel Rego 5
Source: OEA
Miguel Rego 6
Acciones y medidas técnicas para proteger los activos críticos
Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe
Miguel Rego 6
Source: OEA
Miguel Rego 7
• Garantizar el diseño e implementación de una estrategia de priorización, contención, respuesta y recuperación frente a eventos , la cual debe articular la participación de terceros, siendo de especial importancia la determinación de responsabilidades y momentos de intervención a cargo de proveedores, escalamiento o intervención de equipos de respuesta externos a la entidad bancaria
• Debería estar coordinado por un Comité que gestione las crisis cibernéticas, en la que las diferentes áreas de negocio y de soporte estén debidamente representados.
Miguel Rego 7
Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe
Recomendaciones:
Ciberresiliencia y Gestión de Crisis en el Sector Financiero
Miguel Rego 8Miguel Rego 8
Gestión de Incidentes Gestión de Comunicaciones
Escenarios de Crisis
Miguel Rego 9
Planificación
CIBERRESILIENCIA
Gestión de Riesgos Revisión y Evaluación
Gestión de Crisis
Incidente
Crisis
¿Qué es una Crisis?
Miguel Rego 10
Un incidente se convierte en crisis:• Cuando impacta a toda la organización• Cuando requiere la activación del plan de recuperación
ante desastres
Por ejemplo, el incidente se convierte en crisis cuándo 1 servidor comprometido se convierte en 10, luego en 100, y posteriormente el Data Center se totalmente afectado.
• Saudi Aramco en 2012: El virus Shamoon infectó unas 30000 máquinas windows.
• Sony Pictures Entertainment en 2014: un ataque por malware permitió el robo de información confidencial
Probability
Frequent
Probable
Occasional
Remote
Improbable
Min
or
Mo
der
ate
Co
nsi
der
able
Cri
tica
l
Cat
astr
op
hic
Severity
Event
Incident
Crisis
Disaster
¿Características de una Crisis?
Miguel Rego 11
¿Características de una Crisis?
Miguel Rego 12
Una cibercrisis empieza con un ataque que impacta en la capacidad de prestar servicios corporativos, generando un gran impacto en beneficios o reputación.
Se caracterizan por que los ciber ataques que disparan la crisis y la gestión de los impactos potenciales:• Provocan incidentes tipo “bola de nieve”• Generan sensación de ”caída por el precipicio”• Derivan en reportes a la Gerencia• Requieren de ayuda externa
Miguel Rego 13
Elementos comunes de una “Crisis”
► Un evento inesperado
► Sentimiento de “presión”
► Eventos que se mueven muy rápido
► Situaciones donde los hechos no son
totalmente conocidos
► Terceras partes a tener en cuenta
► Seguimiento cercano por parte del
público, que busca indicios de la
confiabilidad y capacidad de respuesta
de la Organización
► Atención de los medios de
comunicación
► Aparición en Internet…
COMPORTAMIENTO ANTE UNA CRISIS
Roles y funciones
difusas
Falta de información
(interna y externa)
Presión del tiempo
Estabilidad del Sector Financiero
Miguel Rego 14
Capacidad del sistema financiero para facilitar mejorar los procesos económicos, gestionar los riesgos y absorber las perturbaciones.
Falta de sustituibilidad:• Empresas o servicios públicos (por ejemplo, sistemas de comercio
electrónico, bolsas o cámaras de compensación), que desempeñan una función vital para toda la industria
Pérdida de la confianza• Un ataque de envergadura puede generar una perdida de confianza
extrema
Perdidas de integridad• Intrusiones cibernéticas que modifican directamente o afectan de
alguna otra manera la calidad de los datos del mercado o de los consumidores
Riesgos que podrían dar lugar a crisis sistémicas (US Department of Treasury) :
Ciber ataques que pueden afectar la Estabilidad Financiera
Miguel Rego 15
IIF’s Cyber Scenarios Which May Affect Financial Stability:
• Ataques simultáneos a sistemas de pago al por mayor y a sistemas de pago al por menor, de modo que ninguno de los dos pueda prestar sus servicios durante un período de 24 horas.
• Corrupción masiva de datos en bancos con grandes depósitos centrales de valores.
• Ataques directos a partes de la infraestructura de la que depende el sistema financiero.
• Perdida de confianza de los consumidores en la seguridad y la solidez del sistema financiero debido a ataques cibernéticos de gran impacto o ataques de menor escala masivos.
Proceso de Gestión de Crisis
Miguel Rego 16
El framework de Gestión de Crisis, debe definir y diseñar los mecanismos para lagestión de escenarios de crisis como consecuencia de una situación de contingenciagrave (incidente de seguridad, catástrofe natural, crisis reputacional, etc.) quepueda afectar a la continuidad del negocio / sostenibilidad de la organización
Reaccionar
Resistir
Actualizar
Detectar
Adaptar
GESTIÓN DE LA CRISIS Y MEJORA
CONTINUA
Situación de Crisis
Detectar el incidente y analizar si debe clasificarse como una crisis o no
Solución rápida a la crisis, mediante procedimientos de contención
Gestionar crisis en función de las actividades incluidas en el framework de crisis.
Análisis post-crisis, registro de la solución y monitorización continua
Actualizar la base de datos de eventos conocidos y soluciones, para mejorar la gestión de crisis
Elementos en la Gestión de Crisis
Miguel Rego 17
InternacionalCyber
Incident ResponseSOC
Gestión Vulnerabilidades
Gestión de Cambios
GDPR
LPIC
NIS
Otros
Gestión de Incidentes
Gestion de Crisis
Gestion de Redes Sociales
Ges
tio
n d
e la
Co
mu
nic
ació
n Gestió
nd
e emergen
cias
Gestion de Proveedores/Stakeholders
Miguel Rego 18
Actores en la Gestión de Crisis
Financiero
Comité deCrisis
Implicado directamente en la gestión de crisis
Equipo de Continuidad de NegocioEquipo de Soporte
Comunicación
Tecnología
Servicios
Recursos Humanos
Org. / Soporte a Red
Mediosde Comunicación
Fuerzas deSeguridad
OrganismosReguladoresEmpleados
Equipos de SoporteY Continuidad
Situacio
nes p
rop
uestas
MIEMBROS DEL EQUIPO DE SOPORTE AL COMITÉ DE DIRECCIÓN
Situacio
nes p
rop
uestas
Comité de DirecciónNo implicado directamente en la gestión de crisis
Tecnología
RiesgosEstrategia
OperacionesRelaciones
Personal yfamiliares
Escenarios de Crisis
Miguel Rego 19
El diseño de escenarios de crisis permiten simplificar la complejidad en la identificación y evaluación de los riesgos corporativos de alto impacto.
Se pueden diseñar mediante dos mecanismos:
• Identificar los objetivos de negocio y realizar un análisis de los riesgos de alto impacto potencialmente relevantes.
• Usar una lista genérica de situaciones de crisis y personalizarla en función del sector, situación y contexto de la organización.
Escenarios de Crisis
Miguel Rego 20
Objetivos Negocio
RelaciónEventos
Crisis
Objetivos con Mayor
Impacto
Análisis y Selección de
Eventos
Escenarios de Crisis
Específicos
Estimación de Frecuencia e
Impacto
Catalogo de Escenarios de
Crisis
Factores Externos Factores Internos
Escenarios de Crisis
Miguel Rego 21
Escenario 1
Playbook Escenario 1
Criterios de activaciónLista de contactos y equipos involucradosAcciones de contenciónAcciones de recuperaciónAcciones de CoordinaciónAcciones de Comunicación
Catálogo de
Escenarios de Crisis
Escenario 2
Escenario
Escenario
Escenarios de Crisis
Miguel Rego 22
• El numero de escenarios de crisis considerado debería mantenerse en un numero reducido. No existe una regla fija pero si los escenarios de crisis son realistas y se han definido razonablemente se obtendrán de media entorno a un numero de doce.
• Especial atención a los escenarios sistémicos o de contagio:• Sistémicos: situaciones que afectan a un gran numero de empresas
dentro de un sector o industria.• De contagio: eventos que podrían ocurrir en las organizaciones con las
que se mantienen relaciones de negocio.
Miguel Rego 23
Necesidad de pruebas
Gestión de crisis CONPlan de Pruebas
Gestión de crisis SINhaber realizado
pruebas
Daño de imagen
Tiempo
La existencia de un Plan de Pruebas no sólo afecta al tiempo de vuelta a la operativa habitual, sino también a la eficacia en las acciones de comunicación.
Miguel Rego 24
Taxomomia de las pruebas
Source: INCIBE
Miguel Rego 25
Caso de estudio 1: Exercise Resilient Shield”
Miguel Rego
Miguel Rego 26
Caso de estudio 2: Sector Resilient Exercise
Miguel Rego
INGENIERÍA SOCIAL: PHISHING
MEDIDAS ORGANIZATIVAS
GESTIÓN DE CRISIS
INVESTIGACIÓN INCIDENTES
Uso de herramientas de bloqueo de
correos falsos y de prevención de
fugas de información
El factor el humano sigue el
principal factor de entrada
MEDIDAS TÉCNICAS
INGENIERÍA SOCIAL: USB
Bloqueo de puertos USB en los
equipos de empleados
No existen protocolos de actuación
frente a la aparición de dispositivos
de almacenamiento sospechosos
Se involucran áreas no técnicas
y se contienen los riesgos
Oportunidad de mejora en los
protocolos de colaboración
público – privados y su difusión.
Capacidades técnicas para análisis
forenses y recolección de evidencias
Algunas contenciones de equipos
se realizan sin tener en cuenta el
impacto en negocio.
Despliegue de numerosas medidas de
protección contra ciber-ataques
Espacio de mejora en las medidas de
control de acceso a la red interna y de
detección ataques avanzados APT
Elevado nivel de madurez en las medidas
organizativas en materia de la seguridad
Es necesario mejorar la formación y la
concienciación los empleados de la
entidad.
9,1
Ataques mediante correos fraudulentos
Ataques por distribución de dispositivos
de almacenamiento extraíbles
Resolución ejecutiva de una ciber-crisis
por parte un comité multidisciplinar
Normas, políticas y procedimientos de
ciberseguridad establecidos
Resolución técnica de un incidente de
ciberseguridad
Sistemas y mecanismos de defensa y
prevención implantados
7,9
Caso de estudio 3: CyberEx Sector Financiero
Source: INCIBE
Role Play
Miguel Rego 28
El diseño se materializa en un escenario del que forman parte:• Situación de partida: es el contexto en el que se llevará a cabo el ejercicio y debe ser asumido
por los participantes.• Inject específicos: se trata de cada nuevo paso en la gestión de la crisis. Estos inject
habitualmente aportan nueva información que será de utilidad para los participantes a la hora de enfocar sus decisiones. Estos inject serán trasladados a tarjetas para su manejo por parte de los participantes.
• Flujo de decisiones: en función de las decisiones que tomen los integrantes de la entidad participante se introducirán diversos inject. Por lo tanto, el flujo del escenario tiene diversas alternativas que deben ser previstas en fase de diseño.
En el diseño del escenario se debe tener en cuenta tanto la composición del comité de crisis, encargado de participar en el ejercicio, como la duración del ciberejercicio.
Escenarios
de
Riesgo
3
Evento
4
Activos
5
Tiempo
1
Amenaza
2
Tipo de
Amenaza
PersonasDatos/InformaciónServicios Digitales
Edificios
DeterminaEficacia de los
Controles
ExternosInternos
MaliciososAccidentales
FallosNaturales
RevelaciónInterrupciónDestrucción
RoboIncumplimiento
Role Play
Determina la Resiliencia de las
OperacionesMiguel Rego
Role Play
Miguel Rego 30
El objetivo del Role Play consiste en preparar a laDirección para manejar una situación de crisis IT, algunosde los posibles escenarios podrían ser:
• Propagación de un incidente interno que afecta a losclientes/stakeholders de Acciona .
• Simulacro de robo de datos confidenciales.
• Ataque ransomware.
Para ello se deberán realizar las siguientes actividades:
• Preparación del ejercicio: diseño y desarrollo delescenario de crisis, preparación de material necesario,involucración y formación a actores intervinientes.
• Ejecución y auditoría de la prueba: Entrenamiento yperfeccionamiento del simulacro con personal deAcciona.
• Conclusiones y lecciones aprendidas: informe delsimulacro con resultados de la ejecución yrecomendaciones.
Recomendaciones del ECB
Miguel Rego 31
Regulación de BCE• La Infraestructura de Mercados
Financieros (FMI) son las instituciones responsables de la compensación, liquidación y registro de las transacciones monetarias y otras transacciones financieras.
• Los FMI deberían trabajar continuamente para mejorar su capacidad de resiliencia cibernética con el objetivo de limitar los crecientes riesgos que las amenazas cibernéticas plantean tanto para los propios FMI como para sus ecosistemas en general.
• La procesos de gestión de incidentes y de recuperación ante desastres deben estar integrados con la gestión de crisis.
Miguel Rego 32
Gestión de Crisis
Miguel Rego 33
• Evolucionando: Las capacidades se establecen para identificar, gestionar y mitigar los ciberriesgos, en consonancia con la estrategia y el marco de resiliencia cibernética aprobados por el Consejo. El desempeño es monitoreado y gestionado.
• Avanzando: Además de lo anterior, se implementan herramientas avanzadas (por ejemplo, tecnología avanzada y herramientas de gestión de riesgos) para gestionar de forma proactiva los ciberriesgos.
• Innovando: Además de lo anterior, las capacidades se mejoran según sea necesario en función de la evolución de las ciberamenazas. Esto puede requerir el desarrollo de nuevos controles y herramientas o la creación de nuevos grupos de intercambio de información.
Innovando
Avanzando
Evolucionando
Gestión de Crisis
Miguel Rego 34
Evolucionando:
• Identificar el personal que es esencial para mitigar el riesgo de un incidente cibernético, y hacerles conscientes de sus funciones y responsabilidades con respecto a la escalada de incidentes.
• Plan de respuesta a incidentes que identifique las partes interesadas internas y externas que deben ser notificadas y la información que debe ser compartida y reportada
• Plan de comunicación para notificar a todas las partes interesadas internas y externas relevantes.
• Política y procedimientos que permitan identificar las posibles vulnerabilidades.
Innovando
Avanzando
Evolucionando
Gestión de Crisis
Miguel Rego 35
Evolucionando:
• Priorizar la divulgación de información que pueda ayudar a las partes interesadas a responder con prontitud y mitigar el riesgo.
• Establecer y revisar periódicamente las normas, acuerdos y modalidades de intercambio de información a fin de controlar la publicación y distribución de dicha información y evitar la difusión de información sensible.
Innovando
Avanzando
Evolucionando
Gestión de Crisis
Miguel Rego 36
Avanzando:
• Tras desarrollar escenarios de ciberriesgos, desarrollar planes y procedimientos de respuesta y comunicación adecuados para
• Los planes y procedimientos de respuesta y comunicación de incidentes deben tener en cuenta los requisitos legales y reglamentarios.
Innovando
Avanzando
Evolucionando
Gestión de Crisis
Miguel Rego 37
Otros requerimientos del BCE
• Se deben poner a prueba los planes de gestión de crisis, al menos una vez al año.
• Se deben realizar pruebas de penetración, involucrando a todos los actores críticos internos y externos: propietarios de sistemas, continuidad del negocio y equipos de respuesta a incidentes y crisis.
• Los procesos de respuesta y recuperación de incidentes cibernéticos deben estar estrechamente integrados con la gestión de crisis.
