Los riesgos que se avecinan - Information Assurance | ISACA · Costos conocidos de Ciber Incidentes...
34
Octubre 7, 2016 Los riesgos que se avecinan Santiago Gutiérrez Socio Líder Cyber Risk Services Deloitte México
Transcript of Los riesgos que se avecinan - Information Assurance | ISACA · Costos conocidos de Ciber Incidentes...
Octubre 7, 2016
Los riesgos que se avecinan
Santiago Gutiérrez Socio Líder Cyber Risk ServicesDeloitte México
La INNOVACION, a todo lo que da.
“El mundo se está moviendo tan rápido en estos días
que cuando alguien dice que no se puede hacer algo,
generalmente es interrumpido por alguien que ya lo
está haciendo”
Elbert Hubbard
Robótica Inteligencia Artificial / Machine learningBiología digitalNanotecnología Espacio DronesEnergía solar IoT3D PrintingBlockchain
La INNOVACION, a todo lo que da.
Tendencias de tecnología exponencial
Trabajando juntas es algo exponencialmente exponencial
El mundo se vuelve más complejo para lo que
nosotros como seres humanos estamos preparados
La INNOVACION, a todo lo que da. Ejemplos
Robótica: Robot Atlas
Inteligencia Artificial / Machine learning: Watson, call center de cobranza, app Moodies-difícil mentir, wearables-medicina preventiva) www.singularityu.org
Biología digital: tecnología CRISPR para curar el cáncer
Espacio: 10,000 Usd el viaje al espacio de 4 horas; Elon Musk llevará a Marte a 100 personas en el 2024, pero Boing quiere anticiparse
Drones: revolucionando industrias junto con 3D printing
Energía solar: 7 minutos de sol dan la energía que hoy tenemos
IoT: Autos…
3D Printing: construcción de casas, zapatos, medicinas 3D aprobadas por FDA; cambiando modelos de negocio; ¿dónde ubicaré mi impresora 3D?
Blockchain: auditoría no será la misma con Blockchain; criptomonedas
Big data /analytics: Caso Target
• Existen grandes retos grandes a los que se enfrentan los departamentos de auditoría interna, riesgos, cumplimiento… así como las mismas profesiones
• Estos representan tanto oportunidades como obstáculos
• Una de las dificultades es cubrir las posiciones o puestos con candidatos talentosos
• Realizar un mejor trabajo, soportados en la tecnología, nos da la posibilidad de ejecutar nuestra labor con mayor valor al negocio; y hacer más con menos!!
• “Es un buen momento para estar en la profesión de auditoría de tecnologías de información”
Por las buenas o por las malas el mundo continuará cambiando, pero cada vez más rápido
…… pero, ¿y qué con nosotros?
Robert King, chief audit executive of FedEx, en su keynote en SuperStrategies 2016
En nuestro campo de acción…
• Deficiencias de los controles de TI y procesos pueden tener un impacto significativo en la organización
• Vemos cada vez más requisitos de cumplimiento
• La gestión de riesgos de TI es compleja
• Tenemos el mandato del Comité de Auditoría y del Consejo de cuidar a nuestra organización.
• 3ª línea de defensa con auditorías con mayor alcance
• Observamos un aumento significativo de la confianza corporativa en la tecnología
“En disrupción digital, México reporta los niveles más altos a nivel global: 77% versus 62% del resto de los países”Bárbara Anderson – Milenio- Oct 5, 2016
Un vistazo a los “hot topics” 2014-2016 Auditoria Interna TI
Clasificación 2016 2015 2014
1 Ciberseguridad Ciberseguridad Cambio a gran escala
2 Cambio EstratégicoRecuperación ante Desastre y
ResilienciaGobierno de TI y Gestión de
Riesgo de TI
3 Gestión de Terceros Cambio a gran escalaGestión de Identidad y
Acceso and Seguridad de Datos
4Recuperación ante Desastre de
TI y ResilienciaArquitectura Empresarial
TecnológicaGobierno de datos y Calidad
5 Gestión y Gobierno de datos Gestión a Terceros Gestión a Terceros
6 Seguridad de Información Seguridad de Información Ciberseguridad
7 Riesgo Digital Riesgo Digital y Móvil Riesgo Digital
8Gobierno de TI y Gestión de
Riesgo de TIGestión y Gobierno de datos Gestión del Servicio
9Arquitectura Empresarial
TecnológicaGobierno de TI y Gestión de
Riesgo de TIRecuperación ante Desastre
y Resiliencia
10 Sistemas de Pago Gestión del Servicio Computación en la Nube
On the horizon: 2016 Hot topics for IT Internal Audit. Deloitte
Valor
RiesgoNivel 1: Fundamental Nivel 2: Avanzado Nivel 3: Emergente
2. Cambio
Estratégico
3. Gestión
de Terceros
4. DRP
9.
Arquitectura
empresarial
tecnológica
6. Seguridad
de la Info.
7. Riesgo
digital
8. Gobierno
TI y Gestión
de Riesgos TI
5. Gestión y
gobierno de
datos
10. Sistema
de pagos
Cloud
Mobile /
redes
sociales
Blockchain
IoT
Fuerza de
trabajo
alternativa
Otros actores en nuestro radar
1. Ciber Seguridad
Impresión
3D
Robótica,
Inteligencia
Artificial
“Auditando ciberseguridad: un imperativo del negocio”
¿Qué está pasando?
Características del cibercrimen
1 - Exponencial
• Ya no más hackers de 15 y 16 años en el sótano de su casa
• Promedio 35 años de edad y pertenecen a una organización criminal; son profesionales; era industrial del crimen
• Con el uso de tecnología una sola persona es capaz de robar a 100 millones de personas
• Juniper predice que para el para el 2019 el ciber crimen costará 2 trillones de dólares.
2 - Automatizado
• El crimen ahora es realizado por Software.
• Crimen desarrollando software para “los baby hackers” prestando servicios de soporte 01-800 y ofreciendo SLA’s”
• Paquete combo “Cyber Crime in a box” por 250 USD con el que podemos robar sesiones de Facebook, habilitar cámaras y keyloggers. Franquicias para los cibercriminales “empresarios”
Características del cibercrimen (cont.)
3 – Tri-dimensional
• Los robots son computadoras que pueden volar, escalar, nadar , etc. pero las computadoras puedes ser comprometidas.
• Drones entregando armas y drogas en prisiones en distintas partes del mundo
• Pérdida de privacidad: streaming en línea, Smart TVs
• Incluso los dealers de drogas usan drones para ubicar a su competencia y robarlos, ¿cómo?
• IoT. La industria automotriz y aeronáutica está ocupada en el tema
¿Y la labor del gobierno respecto al tema de ciberseguridad?
Por lo tanto, los desafíos de ciber seguridad son
Adaptarse a la complejidad (procesos, capacidad, tecnologías).
Adaptarse a los cambios en los Vectores de Ataque.
Incorporar nuevas Tecnologías para soportar al Negocio (Cloud, Analytics).
Adaptarse a Cadenas de Valor cada vez mas complejas.
Demostrar alineación con el negocio.
Comunicar y articular la creación de valor.
Expansión tecnológica
Crecimiento de datos
Modelos de negocio
adaptándose
Atacantes motivados
Ciber riesgos
Fuerzas de ciber vulnerabilidad
• Debajo de la superficie
Costos de ciber incidentes
Investigación técnica
Notificación a clientes
Protección de clientes
Cumplimiento regulatorio
Relaciones públicas
Costos legales
Mejoras en seguridad-remediación
Aumento de primas de seguros
Aumento de costo de deuda
Impacto operacional
Pérdida de valor del cliente
Pérdida de contratos
Pérdida de valor de marca
Pérdida de propiedad intelectual
Sobre la superficie
Costos conocidos de
Ciber Incidentes
Debajo de la superficie
Costos escondidos o invisibles de
Ciber Incidentes
Cyber Assurance: un componente crítico para Auditoría Interna
Porque debería importarle a Auditoría Interna?
El Directorio y los Comités de Auditoría requieren que Auditoría Interna tenga una perspectiva independiente y objetiva del estado de la ciber seguridad en la organización.
Las amenazas están
constantemente cambiando
Los requerimientos regulatorios para Ciber están evolucionando rápidamente ( PCAOB -Sarbanes-Oxley )
Las ciber amenazas pueden
tener consecuencias significativas
La Ciber seguridad impacta en la Auditoría Interna
¿Qué debemos hacer?
Cyber Assurance debe ser:• Un programa continuo basado
en riesgos• Realizado sobre un marco de
trabajo probado• Ejecutado y actualizado
periódicamente
Auditoría Interna debe tener:
• Un entendimiento sólido de todo el universo de ciberriesgos
• Un punto de vista independiente, soportado por procedimientos apropiados
• Cobertura completa de ciberpara la tercera línea de defensa
• Apoyo de especialistas
¿Cuál podría ser un enfoque sugerido?
Be RESILIENT
Respuesta rápida ante la ocurrencia de
una brecha de seguridad
Be SECUREAseguramiento y protección de los
activos de información
Be VIGILANT
Monitoreo proactivo de amenazas y
eventos
Gobierno de ciber seguridad
¿Cuál podría ser un enfoque sugerido?
Be RESILIENT
Respuesta rápida ante la ocurrencia de una brecha de
seguridad
Be SECUREAseguramiento y
protección de los activos de información
Be VIGILANTMonitoreo proactivo de amenazas y eventos
Ciber seguridad y gestión de cumplimiento
Administración de terceros
Ciclo de vida de desarrollo seguro
Información y administración de activos
Programa de seguridad y gestión de talento
Administración de identidades y accesos
Administración de amenazas y vulnerabilidades
Protección de datos
Administración de crisis y resiliencia
Operaciones de seguridadAnálisis de riesgos
Concienciación de seguridad y entrenamiento
Gobierno de ciber seguridad
Monitoreo
Ciber simulaciones
Ciberinteligencia
Modelo de capacidades de ciberseguridad
DISRUPCIÓN DIGITAL: ¿ESTAMOS PREPARADOS PARA
AUDITAR …?
Blockchain
Temas clave
• Amenaza disruptiva pero gran oportunidad habilitadora.
Libro mayor de transacciones, descentralizado y
distribuido, que permite que valores sean transferidos
de manera segura a través de la red sin la necesidad de
que una autoridad central intervenga.
• Blockchain mejorará los sistemas de información
existentes, acelerará la ejecución de las auditorías y
generará nuevas oportunidades
Riesgos
• Por ser conocidos
Ejemplos:
• A nivel prototipos como: identidad digital, banca digital, pagos trans-fronterizos y programas de lealtad y recompensas
Blockchain (cont.)
Ejemplos de empresas son:
• BlockCypher: proveedor de blockchain en la nube.
Permite a los desarrolladores y empresas fácilmente construir aplicaciones blockchain confiables.
• Bloq: provee soluciones blockchain empresariales.
• Loyyal: es una plataforma universal de lealtad y
recompensas que utiliza blockchain y tecnología inteligente para contratos.
• Rubix: empresa de Deloitte para desarrollo de
aplicaciones sobre Blockchain.
Internet de las cosas (IoT) y proliferación de sensores
Temas clave
• Potencial de ser muy disruptiva y transformadora.
• Rápida expansión de nodos sensores, lo que a su vez ayuda a impulsar y/o controlar
eventos de negocios.
• Pueden o no estar conectados al Internet de las cosas (Internet of Things-IoT).
Riesgos
• Ausencia de eficacia en la gestión de un gran número
de sensores
• Falta de efectividad en procesos y políticas de uso de
datos
• Dispositivos 7x24 conectados a la red posibilitan
nuevos tipos de ataques
Recomendaciones
• Desarrollar un entendimiento de
implementación actual y previsto de
las tecnologías de sensores dentro de
las organizaciones.
• Evaluar los riesgos en función del
tipo, uso y diseño planeado del
sensor.
Sistemas de pago (Fintech)
Temas clave
• Cambios tecnológicos en las opciones de pago sin efectivo (sin
contacto) y transacciones móviles hasta opciones con divisas
alternativas
• Se ha forzado a modificar los procesos y regulaciones, así como
las cuestiones de cara al cliente
Riesgos
• Estar expuestos a ciberataques
• Requisitos regulatorios
• Leyes de privacidad
Recomendaciones
• Elaborar procedimientos de auditoría interna para hacer frente a
los riesgos emergentes.
• Esto podría incluir la evaluación del riesgo regulatorio, las
evaluaciones de seguridad, revisión de los proyectos de pago, la
examinación de las soluciones actuales y el impacto en el
cumplimiento de la Ley Sarbanes-Oxley.
Cloud
Temas clave
• La nube llegó para quedarse
• El crecimiento de la tecnología de cloud cambiará el
escenario para las empresas pequeñas y startups,
ya que les permitirá hacerse de capacidades de TI y
servicios de back office que antes solo eran
disponibles para las grandes organizaciones.
Riesgos
• La seguridad en la nube sigue siendo un obstáculo
para que muchas organizaciones decidan subirse al
modelo de nube.
• Los grandes corporativos, en casi toda industria,
son vulnerables, en tanto las empresas pequeñas
se equipen mejor y se vuelvan más competitivas
Recomendaciones
• Considerar regulaciones con base en el lugar donde los datos residen
• Riesgos de seguridad potenciales en aplicaciones internas cuyas vulnerabildades no han sido
probadas
Mobilidad
Riesgos
• Empleados seleccionan sus propios dispositivos sin ser monitoreados por la herramienta de DLP.
• Terceros almacenan información (Software-as-a-Service).
• Múltiples redes públicas a las que los dispositivos de la empresa son conectados.
• Identificar los puntos ciegos de la postura de seguridad de la empresa para aumentar visibilidad (ej. Cuentas no-oficiales de la empresa, instalación de aplicaciones por empleados en dispositivos donde las credenciales de la empresa residen).
Fuerza de trabajo alternativa
Temas clave• Modelo laboral actual está
quedando rápidamente obsoleto.• Se sustituye por el uso de outsourcing
y contrataciones basadas en desafíos.• Crear seguridad, propiedad
intelectual (IP), consistenciaen plataformas y otros temas.
Riesgos• Pérdida de información crítica para el negocio• Desafíos en la integración de recursos• Falta de apego hacia los estándares corporativos• Vulnerabilidades de seguridad
Recomendaciones• Entender los modelos laborales actuales.• No toda la fuerza de trabajo será capital humano.• Desarrollar y ejecutar un plan de trabajo integral que
incluya políticas y procedimientos, entrada/salida de recursos, onboarding, requisitos de propiedad intelectual, gestión de la plataforma y temas de actualidad
Y POR NO DEJAR, ¿CÓMO VEMOS LOS RIESGOS ECONÓMICOS DEL
PAÍS?
Pensando que podríamos vernos pronto aún más exigidos a hacer “más con menos”
Historial de ciclo general de negocios 1980 – 2016*
Expansión Desaceleración Recuperación
Duración promedio de fase: 23 meses
Recesión
Duración promedio de fase: 19 meses
Duración promedio de fase: 10 meses
Duración promedio de fase: 28 meses
Duración actual: 19
meses
Resumen desempeño
variables macro
Resumen desempeño
variables macroResumen desempeño
variables macroResumen desempeño
variables macro
IndicadorCrecimiento
promedio(1993-2016)
Más reciente (08/2014 - 01/2015)
PIB 3.7% 2.4%
Inversión fija bruta
8.2% 6.8%
ActividadIndustrial
3.5% 2.7%
Consumo privado
4.1% 2.9%
IndicadorCrecimiento
promedio(1993-2016)
Más reciente (02/2015 – Presente)
PIB 2.8% 2.4%
Inversión fija bruta
5.5% 2.6%
ActividadIndustrial
2.3% 0.7%
Consumo privado
3.8% 3.4%
IndicadorCrecimiento
promedio(1993-2016)
Más reciente (02/2008 - 05/2009)
PIB -1.9% -1.2%
Inversión fija bruta
-7.6% 0.4%
ActividadIndustrial
-3.5% -3.0%
Consumo privado
-2.0% -1.5%
IndicadorCrecimiento
promedio(1993-2016)
Más reciente (05/2009 - 08/2014)
PIB 4.0% 2.7%
Inversión fija bruta
8.6% 1.6%
ActividadIndustrial
4.3% 1.8%
Consumo privado
4.0% 3.0%
En fase de desaceleración y acercándose a duración promedio histórica de fase.
Aumenta probabilidad de entrar a fase de recesión en próximos trimestres. Desde 1980,
a todas las desaceleraciones les han seguido fases recesivas
# ocurrencias: 6 # ocurrencias: 5
# ocurrencias: 5 # ocurrencias: 6
Fuente: Inegi y elaboración propia© 2016 Galaz, Yamazaki, Ruiz Urquiza S.C.
*Calculado con el indicador coincidente de la economía, el cual es conformado por indicadores económicos de coyuntura como producción industrial, tasa de desocupación, ingresos de
bienes y servicios al por menor, etc.) en los cuales su movimiento coincide con el ciclo económico.
4.0
3.83.6
3.53.4
3.33.2 3.2
3.02.8 2.8 2.7 2.7 2.7
2.5 2.4 2.4 2.42.4
2.32.2
4.24.0 3.9
3.8 3.83.8
3.7 3.7
3.43.3 3.3
3.23.3
3.2
3.02.9
2.9 2.82.7
2.62.5
dic.-14 feb.-15 abr.-15 jun.-15 ago.-15 oct.-15 dic.-15 feb.-16 abr.-16 jun.-16 ago.-16
PIB 2016
PIB 2017
Desde inicios del 2015, el consenso ajusta a la baja su perspectiva de
crecimiento para el 2016 y 2017.
*Fuente: Encuesta sobre las expectativas de los especialistas en economía del sector privado de Banxico y Focus Economics
Evolución de las expectativas de crecimiento del PIB 2016 y 2017 (diciembre 2014 – agosto 2016)
© 2016 Galaz, Yamazaki, Ruiz Urquiza S.C.
Continúan ajustes a la baja
Pronósticos de variables
(consenso de analistas)*2016 2017 2018 2019 2020
Inflación (%) 3.13 3.42 3.41 3.50 3.50
Tipo de cambio USD / MXN 18.50 18.30 18.28 18.46 18.26
Tasas de interés México (%) 4.54 5.13 5.57 6.00 6.00
Tasas de interés USA (%) 0.75 2.25 2.75 3.00 3.00
Riesgos que darían origen a una etapa de mayor complejidad
• Política económica restrictiva fiscal (recortes al gasto) y monetaria (subida de tasas de interés que incentivan ahorro pero no la inversión)
• La estructura del gasto actual obliga a que los recortes se concentren en el gasto productivo ya que el 42% del gasto público está ya comprometido (no programable: pensiones, apoyo a estados y costo de deuda)
• Deuda actual frágil ante la salida de capitales que puede continuar depreciando el peso, sobre todo si suben más las tasas en US (Dic 2016)
• Cambios en tratados comerciales que pudieran afectar aún más el nivel de exportación, deteriorando el déficit comercial (balanza comercial); próximas elecciones en un mes en EU
• Otra caída en el precio del petróleo podría limitar la inversión que se espera en las siguientes rondas de la reforma energética.
• Una posible alza en tasas de interés de USA haría que el dólar suba y eso reduce las exportaciones manufactureras de USA hacia el resto del mundo (son más caras). Dado que la mayor parte de las exportaciones de México hacia USA son bienes intermedios, este escenario provocaría una caída más abrupta en nuestras exportaciones manufactureras, que ya de por sí están en contracción.
Si esto se confirma, nuestras organizaciones lo sufrirán….
Libros recomendados
• Exponential Organizations- Salim Ismail (mejor libro de 2015)
• Abundance y Bold – Peter Diamandis (Co-fundador de Singularity University)
