los ataques cibernéticos son la principal amenaza warren ... · • remediar los controles de...
TRANSCRIPT
La ciberseguridad en la era Digital.Estado actual y tendencias
Cyber Risk Services Leader25 de Abril de 2019
2
2017 Deloitte Cyber Risk Services
“Los ataques cibernéticos son la principal amenaza que se encuentra enfrentando la humanidad –muchísimo mayor que las armas nucleares.”
Warren Buffet
(Omaha, Nebraska, 30 de agosto de 1930) Inversor y empresario.Fortuna estimada de 87,000 millones de dólares
Datos para contextual izar…
Incremento del
tamaño de los Data
Breach entre 2016 y
2017
+1.8%
3,5
3,79
4
3,62
3,86
3,2
3,3
3,4
3,5
3,6
3,7
3,8
3,9
4
4,1
2014 2015 2016 2017 2018
Costo Total promedio de una
brecha de datos (millons)
50% De las personas abren
los emails y clickean en
links de phising dentro de
la hora de recibido [2]
1,5MM
Cyber ataques por año
4,000POR DÍA
POR SEGUNDO
3
Días promedio empresas
mantuvieron una
presencia después de la
infiltración y antes de la
detección
221 díasCriminal
Attack
PROMEDIO 2014-18
$149,2
2017 US$141
$145
$154
$158
$141
$148 $245
$206
$- $50 $100 $150 $200 $250 $300
2014
2015
2016
2017
2018
Costo promedio por registro perdido o
robado (per capita cost)
FSI Average
+4,8%
Incremento del
tamaño de los Data
Breach entre 2017 y
2018
+2.2%
+6,4%
Equipos de Incident
response (IR)
reducen el costo en
$14
Datos para contextual izar…
Incremento del tamaño de
los Data Breach entre
2016 y 2017
+1.8%
3,5
3,79
4
3,62
3,86
3,2
3,3
3,4
3,5
3,6
3,7
3,8
3,9
4
4,1
2014 2015 2016 2017 2018
Costo Total promedio de una brecha de
datos (millons)
50% De las personas abren los
emails y clickean en links de
phising dentro de la hora de
recibido [2]
1,5MM
Cyber ataques por año
4,000
POR DÍA
POR SEGUNDO
3
Días promedio empresas
mantuvieron una presencia
después de la infiltración y
antes de la detección
221 díasCriminal
Attack
PROMEDIO 2014-18
$149,2
2017 US$141
$145
$154
$158
$141
$148 $245
$206
$- $50 $100 $150 $200 $250 $300
2014
2015
2016
2017
2018
Costo promedio por registro perdido o
robado (per capita cost)
FSI Average
+4,8%
Incremento del tamaño de
los Data Breach entre
2017 y 2018
+2.2%
+6,4%
Equipos de Incident
response (IR)
reducen el costo en
$14
5
La velocidad de los ataques está incrementando y
los tiempos de respuesta disminuyendoLa velocidad de ataques acelera… … mientras el tiempo de respuesta de retrasa
En el 72% de
ataques, tomo
solo minutos
comprometer a
un sistema
46% de las
brechas de
información
ocurren en
minutos
El 72% de los ataques
no es descubierto
hasta 201 (2016) –
191 (2017)
197 (2018)
59% de los ataques
son contenidos dentro
de 70 días (2016)
66 días (2017)69 (2018)
*221 días para
ataques criminales*81 días para
ataques criminales
Las Organizaciones que identifican una brecha en menos de 100 días ahorran más de un millón de dólares respecto de las que no lo hacen.
Las Organizaciones que contienen una brecha en menos de 30 días ahorran más de un millón de dólares respecto de las que lo hacen en más de 30 días.
6
Mientras que el costo promedio de una
filtración de seguridad puede estar bien
documentado, los efectos a largo plazo
sobre la reputación de la Organización,
la Marca y la pérdida de confianza de los
ciudadanos pueden incrementar dicho
costo. Muchas Organizaciones están
considerando la contratación de Ciber-
Seguros para limitar dichos costos.
Los impactos por ciberseguridad van más allá de lo económico
7
Los impactos por ciberseguridad van más allá de lo económico
Días o semanas• Frenar el ataque• Remediar los controles de seguridad• Solucionar los problemas de continuidad de negocio • Comunicarse con clientes, Partners y otras terceras partes
Semanas o meses• Crear una infraestructura u operación interina• Prepararse para acciones legales• Resolver observaciones regulatorias o de auditoría.• Gestión de clientes, Partners y otras relaciones.
Meses o años• Reparar el daño al Negocio.• Rediseñar procesos y activos.• Inversión en programas de
ciberseguridad para emerger más fuertes.
La recuperación
lleva años
8
2017 Deloitte Cyber Risk Services
Impacto de una brecha de ciberseguridad (ejemplo)
Sobre la SuperficieCostos conocidos de un incidente
$59 Millones
Debajo la SuperficieCostos menos predecibles
$1,623 Millones
Duración Costo (US$M)
AS: Protección de cliente post-
brecha
3 años21
AS: Mejoras de Ciberseguridad 1 año 14
AS: Notificación de la brecha a
clientes
6 meses10
AS: Honorarios Legales 5 años 10
AS: Respuesta Regulatoria 1 año 2
AS: Relaciones Públicas 1 año 1
AS: Investigación Técnica 6 semanas 1
Duración Costo (US$M)
LS: Pérdidas de contratos 5 años 830
LS: Pérdida de clientes 3 años 430
LS: Devaluación de la Marca 5 años 230
LS: Costo de atraer capital 5 años 60
LS: Incremento de Prima de Seguro 3 años 40
LS: Disrupción Operacional Inmediato 30
LS: Disrupción de Talento 2 años 3
9
Las organizaciones en América Latina están
incrementando sus presupuestos
dedicados gestionar ciber-riesgos y
seguridad de la información
El 89% de las organizaciones le asigna una
importancia muy alta a la gestión de ciber-
riesgos en un contexto cada vez más digital
de los negocios
24 de cada 10 organizaciones sufrieron
un incidente de ciberseguridad en los
últimos 24 meses
El 70% de las organizaciones afirma no
tener certeza de la efectividad de su
proceso de respuesta ante incidentes
de ciberseguridad y sólo un 3% realizar
simulaciones para probar sus
capacidades efectivas de respuesta
ante un evento ciber
1
Encuesta de Ciberseguridad en Latinoamérica 2018
Casi 7 de cada 10 organizaciones han
implementado un programa de
concientización en ciberseguridad.4Las organizaciones cuentan con
capacidades limitadas de monitoreo de
ciberseguridad e inteligencia de
amenazas.
Sólo un 31% de las Organizaciones
realiza inteligencia de amenazas y
comparte información con otras
organizaciones.
3
10
2017 Deloitte Cyber Risk Services
Importancia de la Ciberseguridad para las Organizaciones
Pocoimportante
Extremadamente importante
Medianamenteimportante
Muy importante
69%20%2% 8%1%
Nada
11
2017 Deloitte Cyber Risk Services
Gobierno de Ciberseguridad
No existen roles específicos para gestionar la ciber seguridad
Roles y responsabilidades definidos
Roles y responsabilidades definidos y claros
Roles y responsabilidades definidos, claros y con tareas de detección, prevención y proactividad
Gobierno de ciber-riesgos y seguridad de la información formalizado y funcionando
13%
7%
12%
37%
31%
12
2017 Deloitte Cyber Risk Services
29%
20%
11%
6%
1-2% 3-5% 6-10% 11-20% > 20%
Presupuesto asignado a Ciberseguridad
34%
El 63% de las
organizaciones asigna a
Ciberseguridad entre un
1% y 5% del presupuesto
que de TI
6%
Sólo un 17% de las
organizaciones asigna un
equivalente al 11% ó mas
de su presupuesto de TI a
Ciberseguridad
13
El eslabón más débil:
Las Personas
14
2017 Deloitte Cyber Risk Services
Programas de Concientización
No cuenta con programa de concientización
Si cuenta con programa de concientización
69%
31%
El factor humano sigue siendo un factor de vital importancia para la seguridad de la información.
15
2017 Deloitte Cyber Risk Services
01 - Desgobierno de Datos
02 – Extinción del único Factor de Autenticación
03 – Zero Trust
06 - Cloud & ShadowIT
07 - IoT
11 - Secure by design
12 - Cyber en Boards
13 – Los impactos son más que económicos
08 - Cyber warefare
09 – Malware - protect or fail
05 - Inteligencia Artificial ofensiva y defensiva.
Cyber Strategic
Threat Landscape
04 - Identity-as-a-Service10 – Incremento de Regulaciones
1616
El viaje de la transformación de Ciberseguridad.
Comprenda qué es
realmente importante
para su Organización e
identifique el valor
Capture los requisitos de la
Entidad y conviértalos en
Políticas de cumplimiento
Para los datos críticos
identifique los
controles a
implementar en
Confidencialidad,
Integridad y
Disponibilidad
Defina e implemente
controles de monitoreo y
respuesta ante incidentes en
torno a eventos reales
Realice pruebas y
simulaciones de
respuesta ante
incidentes
1
2
3
4
5
17
1 - Ciber-EstrategiaEl viaje de la transformación de Ciberseguridad.
Panorama de las Amenazas
Conocimiento del Negocio
Cyber Framework
BENEFICIOS
Aumentar el valor de inversiones en Ciberseguridad
Comprender el nivel de madurez actual y capacidades de Ciber
Comunicarse con los grupos de interés internos y externos
Foco en las prioridades
Comprender las amenazas
Desarrollar una estrategia Ciber
Colaboración con las partes interesadas sobre el ciber riesgo permitiendo a las organizaciones evaluar y desarrollar una estrategia de ciberseguridad. A partir de su perfil
actual y sus capacidades, aumentar el valor en las inversiones en seguridad.
COMPRENDER Y ANALIZAR CIBER RIESGODESARROLLAR SU ESTRATEGIA
CIBER
Medir el impacto de las inversiones en ciber seguridad en la organización
e identificar los proyectos y las iniciativas de ciber seguridad
relevantes.
18
Estar alineada a los objetivos de la organización y con la realidad existente.
Los proyectos deben tener una sinergia entre sí y crear la base para futuras mejoras.
Definir un Marco de Gobierno.Se deben considerar mejoras a nivel de Personas, Procesos y Tecnología.
Incrementar la seguridad de acuerdo a los datos críticos y el apetito al riesgo.
Deben definirse métricas de mejora continua.
Definir no más de 3 proyectos en el año.
La estrategia debe ser conocida y aprobada por las autoridades máximas.
1 – Ciber-EstrategiaEl viaje de la transformación de Ciberseguridad.
1
2
3
4
5
6
7
8
19
Descubrimiento de datos
Exactitud e integridad de los
insumos, análisis e informes.
Implicaciones legales del uso
de datos.
Confidencialidad de la
información.
Protección de datos a lo largo
de su ciclo de vida
Transparencia de uso de los
datos personales.
Inventario de datos personales.
Gobierno regulatorio e
implicaciones de privacidad
Gestion del consentimiento
Ética de los datos utilizados y
finalidad de la analítica.
Fiabilidad y puntualidad de los
datos.
Gestión de riesgos de terceros
Gestion de Datos Privacidad de Datos
Informes de
datos y analytics
Protección de
Datos
2 – Secure – Protección de los DatosEl viaje de la transformación de Ciberseguridad.
20
Gestión de datos
¿Dónde se generan los datos críticos?¿Cómo se depuran los datos? ¿Cómo estás reduciendo errores?
¿Quién es el propietario de los datos críticos, dónde se almacenan y cómo gobierna los datos personales?
¿Cómo se equilibra la necesidad de acceso a los datos con el uso de datos?
¿Qué requisitos reglamentarios se aplican al intercambio y transferencia de datos dentro o fuera de su Organización?
¿Cómo se deben elminar los datos?¿Qué tan efectiva es su política de retención?
Informes de datos y análisis
¿Cómo se etiquetan los datos en la entrada? ¿Se puede detectar ingestión maliciosa?
¿Cuál es la alineación entre sus bases de datos, almacenamiento de datos y plataformas de informes?
¿Cómo lograr la interpretación responsable de los datos?
¿Cómo se monitorea el consumo y la transferencia de datos confidenciales?
¿Está su estrategia de monetización de datos alineada con su marco de retención de datos?
Privacidad de datos
¿Necesita el consentimiento para recopilar los datos? ¿Necesitas anonimizarlo?
¿Tiene un inventario actualizado de los datos personales?
¿Se están utilizando los datos de acuerdo con los compromisos legales y las regulaciones internacionales?
¿Los datos transferidos a terceros se hacen de acuerdo con las regulaciones de privacidad?
¿Puede manejar las solicitudes individuales para eliminar sus datos?
Protección de datos
¿Cómo clasifica sus datos y determina cómo deben protegerse?
¿Se protegen los datos mediante cifrado y controles de acceso?
¿Cómo gobiernas los controles?
Si un actor o amenaza accediera a los datos en tránsito, ¿podría ser utilizable?
¿Mantienes los datos demasiado tiempo? ¿Cómo se aseguran las copias de seguridad y los archivos?
Retener o
destruir
Compartir o
transferir
Analizar y
usar
Almacenar y
procesar
Crear o
coleccionar
¿Realmente conoces tus datos?
2121
Seguro
Seguridad Software
Gestión del Programa
Gestión de Terceros
Gestión de Accesos e
Identidades
Seguridad de
Infraestructuras
Administración de Personal
Protección de Información
Seguridad Cloud
3 – Secure - ProtecciónEl viaje de la transformación de Ciberseguridad.
2222
Busi
ness
Ris
k M
anag
em
ent
Gestionada
Visibilidad mejorada
Correlación
avanzada y
tendencias
Detección de patrones y
anomalías.
Threat Intelligence
Aplicación, base de
datos y sistemas
centrados en el
negocio.
Outlier, Temporal,
Análisis Estadístico
Persistent Threat
Monitoring
Definición del Proceso SOC,
Funciones y Responsabilidades
Inicial
Infraestructura Base
Despliegue SIEM y /
o MSS.
Consolidación de registros
y reportes
Controles
detectivos
tradicionales
Optimizada
Soluciones centradas en el negocio
Controles de
detección de fraude
Detección de fuga de
datos
Anomalía del proceso de
negocio y detección de
casos de uso
Detección de amenazas
de delitos cibernéticos
Advanced
Cyber Threats
Reinvención del SOC y gestión
de cartera.
Las organizaciones líderes se esfuerzan por
Activos Integrados e
Información de Identidad
La mayoría de las organizaciones están por aquí
La mayoría de las organizaciones quieren estar
aquí.
4 – Vigilancia – Secutity Operation Centers (SOC)El viaje de la transformación de Ciberseguridad.
Incident Response
Preparación Contención Erradicación Recuperación Retroalimentación
Negocio
Cyber Threat
Hunting
Hipótesis
Investigación
Resultado
Descubrimiento
Amenazas
Materializadas
Atacante
Capacidad
Victimas
Infraestructura
Penetration
Testing
La importancia de la integración
Cyber Information
Sharing (CSIRT)
Honey pots/Spam
traps
Deception
Servicios de compartición
Cuentas de correo
Aplicaciones
Servicios Web
Engaño
Infraestructura Critica
de Ciberseguridad
Monitoreo de Ciberseguridad
Monitoreo de Amenazas/Casos de Uso
SOC+
Threat Intelligence
Análisis e Inteligencia de
amenazas
Cyber Simulation
Red Team / Blue Team / Purple Team
DescubrimientoObjetivos Tipo de Ataque
24
Este marco de trabajo provee beneficios significativos en la implementación, debido a su flexibilidad y arquitectura de componentes, diseñados para cumplir las expectativas de nuestros clientes incorporando componentes de las mejores prácticas y normas internacionales tales como BS 11.200, PAS 200, ISO 22.301, DRII y BCI.
5 – ResilienciaEl viaje de la transformación de Ciberseguridad.
25
Las oportunidades y los riesgos en la era
digital se encuentran entrelazados –
Cero Riesgo implica Cero Oportunidad.
Continuo descubrimiento, evaluación y
adaptabilidad a los constantes cambios
en los riesgos y confianza serán
capacidades claves de los profesionales
de ciberseguridad durante las siguientes
décadas.
Muchas [email protected]