Los riesgos de seguridady su impacto en loscontroles de lasorganizaciones:tendencias 2012 - 2014
Septiembre 2012
Agenda
2
1
Visión estratégica de las amenazas al 2014…
Introducción
PwC
3 Amenazas externas
4 Amenazas regulatorias
5 Amenazas internas
6 Conclusiones
IntroducciónIntroducción
Introducción
¿Cómo se definen los controles en susorganizaciones?
¿El proceso de gestión de riesgo Organizacionalestá alineado al proceso de gestión de riesgotecnológico?
¿Existe un proceso formal de gestión de riesgo
PwC
¿Existe un proceso formal de gestión de riesgotecnológico?
¿Cada cuanto se actualiza el proceso de gestiónde riesgos de sus organizaciones?
¿Con que frecuencia aparecen nuevos riesgos enel Ciber-espacio?
…..entonces…¿estamos preparados para atenderlos riesgos que presenta las tecnologías actualesy su evolución?
4
El reto
Para aprovechar las ventajas de la tecnología y el ciberespacio, lasorganizaciones deben gestionar los nuevos riesgos más allá de lostradicionalmente cubierto por la función de seguridad de lainformación, incluidos los ataques a la reputación y todo tipo detecnología desde los teléfonos hasta los sistemas de control industrial(p.e. SCADA).
Reducir al mínimo el elementosorpresa ...
PwC
(p.e. SCADA).
Gestión de riesgos tradicional no es lo suficientemente ágil para hacerfrente a los riesgos de la actividad en el ciberespacio. La gestión delriesgo debe hacerse extensiva para crear resiliencia a riesgos, que debeser construida sobre una base de preparación.
5
…y la creación de capacidad deaguantar y recuperar.
Una visiónestratégica delas amenazaslas amenazas
al 2014…
Estructura
1. Se presentan las 10 principales amenazas que se espera se manifiesten o sefortalezcan en los próximos 2 años.
2. Por cada amenaza se presenta:
• Multiplicadores de las amenazas
• Industrias posiblemente afectadas
• Acciones iniciales a considerar
PwC
• Acciones iniciales a considerar
3. Estas amenazas se clasificaron en 3 categorías:
• Amenazas externas
• Amenazas regulatorias
• Amenazas internas
4. Por cada categoría se presenta el posible impacto al negocio de las amenazasde la categoría
7
Top 10 de amenazas por categoría
Amenazas Externas
• Aumento en la cibercriminalidad
• La carrera ciber armasconduce a unaciberguerra fría
• Aumento en la cibercriminalidad
• La carrera ciber armasconduce a unaciberguerra fría
Amenazas Regulatorias
• Nuevos requerimientosbrilla una luz en losrincones oscuros,exponiendodebilidades
• Nuevos requerimientosbrilla una luz en losrincones oscuros,exponiendodebilidades
Amenazas Internas
• Las presiones decostos sofocarinversión crítica, unafunción subvaluado nopuede seguir el ritmo
• Las presiones decostos sofocarinversión crítica, unafunción subvaluado nopuede seguir el ritmo
PwC
ciberguerra fría• Más causas entran en
línea, los activistas sevuelven más activos
• El ciberespacio sevuelve físico
ciberguerra fría• Más causas entran en
línea, los activistas sevuelven más activos
• El ciberespacio sevuelve físico
debilidades• Un enfoque en
privacidad distraeotros esfuerzos deseguridad
debilidades• Un enfoque en
privacidad distraeotros esfuerzos deseguridad
puede seguir el ritmo• Una comprensión
“nublada” conduce aun desastresubcontratado
• Las nuevastecnologías abruman
• La cadena desuministro incluye unafuga - la amenazainterna viene de fuera
puede seguir el ritmo• Una comprensión
“nublada” conduce aun desastresubcontratado
• Las nuevastecnologías abruman
• La cadena desuministro incluye unafuga - la amenazainterna viene de fuera
Fuente: Information Security Forum – Threat Horizon 20148
Amenazasexternas
Slide 9
externas
Amenazas Externas: Aumento en la cibercriminalidad
Crecimiento de lascomunidades
organizadas de Cibercrimen y espionaje
Sofisticación tecnica yno-tecnica
PwC
No se preveédisminución en el corto o
mediano plazo
Demostraciónesperanzadora de las
autoridades
Aumento en laciber
criminalidad
10
Aumento en la ciber criminalidad: Factorescríticos
Multiplicadores de lasamenazas• malware móvil• Abuso de nuevos dominios de
Industrias afectadas• Actividades financieras y de
Seguros Very High• Información y Comunicaciones
Very High
Recomendacionesiniciales• Implementar la seguridad básica
tomado medidas para mejorar la
PwC
• Abuso de nuevos dominios deprimer nivel (como. Isf en lugarde. Org o. Com)
• Ataques de Cloud Computingcomo la recolección de nube
• Los ataques se centra en lainfraestructura de Internet(HTML5, Flash, Java, IPv6, SSL,etc)
Very High• Administración Pública y
Defensa Very High• Oil & Gas High• Transporte y Almacenamiento
High• Ventas al mayor y al detal High
tomado medidas para mejorar laresiliencia
• Establecer estrechas relacioneslas agencias investigación
• Colaborar y compartirinformación de inteligencia yataque cibernético concompetidores, gobiernos,clientes, proveedores yorganizaciones independientes
11
Amenazas Externas: La carrera de ciber armasconduce a la Ciber Guerra Fría
La carrera
Participaciónde países y
estados
Una guerra
PwC
La carrerade ciberarmas
conduce a laCiber Guerra
Fría
Una guerrafría con
consecuencias
(Stuxnet)
Costo delespionaje
en elNegocio
Participación manifiesta
de losgobiernos
Ataquesefectivos y
baratos
12
La carrera de ciber armas conduce a la CiberGuerra Fría: Factores críticos
Multiplicadores de lasamenazas• Rootkits smartphones que
Industrias afectadas• Oil & Gas Very High• Actividades financieras y de Seguros
Very High
Recomendaciones iniciales• Realizar una revisión de quién tiene
acceso a la propiedad intelectual• Elevar las medidas de seguridad para
PwC
• Rootkits smartphones quepermiten el espionaje
• Ataques centrados en latelefonía por Internet
• Robo sistemático de propiedadintelectual que habilita losmercados en desarrollo
• Perfilado de grandes datos,tales como la predicción de losresultados fiscales pobres antesde un informe anual
Very High• Información y Comunicaciones Very
High• Manofactura Very High• Minería Very High• Actividades profesionales, científicas
y técnicas Very High• Administración pública y defensa Very
High• Transporte y Almacenamiento High• Suministro de agua y servicios
públicos High
• Elevar las medidas de seguridad paralos grupos de investigación ydesarrollo y de los miembros de lajunta
• Involúcrese en las iniciativas deciberseguridad nacional. Intercambiey actue sobre información deinteligencia sobre los ciberataques enotros países
• Revise su dependencia de lainfraestructura empresarial nacional;revisar la continuidad del negocio yrecuperación ante desastres
13
Amenazas Externas: Más causas entran en línea,los activistas se vuelven más activos
Más causas entran en línea, los activistas se vuelvenmás activos
PwC
Todos losque faltanvan a estar
Organizacióna un botón
de distancia(“push of a
button”)
Riesgos deGran
Alcance(transnacion
ales)
It’s here tostay
14
Más causas entran en línea, los activistas sevuelven más activos: Factores Críticos
Multiplicadores de lasamenazas• Crowd sourcing (no sólo de los
Industrias afectadas•Actividades financieras y de Seguros VeryHigh
•Información y Comunicaciones Very High
Recomendaciones iniciales•Preparar y poner a prueba una respuestacoordinada involucrando relaciones públicas,seguridad jurídica y seguridad de la
PwC
• Crowd sourcing (no sólo de losbuenos)
• Incidentes de tipo Flash Mob• Democracia moviéndose a “en línea”• Movimientos civiles como la
Primavera Árabe y Occupy WallStreet
• Nuevas hazañas de Anónimo, talescomo la interceptación de llamadasentre USA y UK acerca de lainvestigación de hacking
• Doxing - mira a individuosimpopulares a través de susteléfonos inteligentes y las redessociales
•Información y Comunicaciones Very High•Manofactura Very High•Administración Pública y Defensa Very High•Ventas al mayor y al detal Very High•Oil & Gas High•Transporte y Almacenamiento High
seguridad jurídica y seguridad de lainformación y física
•Supervisar el ciberespacio para trendingtopics y los movimientos relativos a sumarca o áreas de su negocio
•Tenga en cuenta que cada caso deactivismo en línea puede ser muy diferente,por lo que de debe actuar en consecuencia
15
Amenazas Externas: El Ciberespacio se vuelvefísico
El Ciberespacio se vuelve físico
PwC
Objetivos físicosinfinitos…
…Que son muy difícilesde asegurar
16
El Ciberespacio se vuelve físico: Factores críticos
Multiplicadores de lasamenazas• Robots electrodomésticos o
Industrias afectadas• Oil & Gas Very High• Manofactura Very High
Recomendacionesiniciales• Crear un inventario actualizado
PwC
• Robots electrodomésticos oaeronaves no tripuladas quepueden ser hackeados
• Los ataques que resultan en lapérdida de vida, como atacar alos dispositivos médicos, elcambio de los semáforos, deforma remota deshabilitar losfrenos del vehículo
• Conectividad de todos losdispositivos, impulsados por laeficiencia
• Manofactura Very High• Actividades profesionales,
científicas y técnicas Very High• Suministro de agua y servicios
públicos Very High• Minería High• Transporte y Almacenamiento
High
• Crear un inventario actualizadode todos los sistemas de controlindustrial y sistemas de controlen tiempo real
• Revise estos sistemas paraposibles accesos no autorizado.Asegúrese de que las medidasde seguridad adecuadas esténen su lugar
• Vigilar el acceso a estossistemas y aislar, si esnecesario
• Monitorear las tendencias deataques en el ciberespacio yajustar sus planes enconsecuencia
17
Impacto al negocio de Amenazas Externas
• Asegúrese de que las medidas básicas de seguridad están en sulugar.
• Desarrollar ciber resiliencia mediante el establecimiento de unGobierno de seguridad cibernética, la recolección oportuna deinteligencia e intercambio de datos de ataque, realizar una
Acciones que se deben considerar para lasamenazas Externas
PwC
inteligencia e intercambio de datos de ataque, realizar unaevaluación de la resiliencia y un plan de respuesta integral.
• Considere la posibilidad de involucrarse a las iniciativas localesde seguridad cibernética, el intercambio de datos de incidentes, ytrabajar con otras organizaciones para construir las bases de laresiliencia.
• Monitorear las amenazas de los nuevos acontecimientos.• Colaborar con las comunicaciones externas y los equipos de
gestión de crisis• Aumentar la participación de empresas líderes en la gestión de
seguridad de información y la preparación
18
Amenazasregulatoriasregulatorias
Amenazas Regulatorias: Nuevos requerimientosbrilla una luz en los rincones oscuros, exponiendodebilidades
Transparencia en todaspartes…
…tiene consecuenciasno esperadas
PwC
Momentum en todaspartes (desde hace 10años….US, SEC, EU,
supply chain)
Una buena noticia conalgunos riesgos
(cooperación de losbuenos también)
Nuevos requerimientosbrilla una luz en losrincones oscuros,
exponiendo debilidades
20
Nuevos requerimientos brilla una luz en los rinconesoscuros, exponiendo debilidades: Factores críticos
Multiplicadores delas amenazas• Obligación de tener
Industrias afectadas• Actividades financieras y de
Seguros Very High
Recomendacionesiniciales• Crear y mantener un
PwC 21
• Obligación de tenerinformación en tiemporeal, no sólo unaauditoría
• Los riesgos de seguridadpúblicos pueden atraer laciber delincuencia
• Seguridad inadecuadacon los socios de negociocríticos
• Escrutinio de los mediospor incidentes deseguridad
Seguros Very High• Información y
Comunicaciones Very High• Actividades profesionales,
científicas y técnicas VeryHigh
• Administración Pública yDefensa Very High
• Manofactura High• Transporte y Almacenamiento
High• Ventas al mayor y al detal
High
• Crear y mantener unrepositorio actualizado de losrequisitos de presentación deinformes legales y regulatorios
• Aumentar la seguridad y lagestión de la información paracomenzar a planificar informesexternos
• Preparar y poner a prueba susprocedimientos de respuestaa incidentes de seguridad, enespecial la gestión destakeholders.
Amenazas Regulatorias: El enfoque en privacidaddistrae otros esfuerzos de seguridad
Privacidad,privacidaden todas
partes (EU,USA, CO)
PwC 22
El enfoque enprivacidad
distrae otrosesfuerzos de
seguridad
La mayoríade las
organizaciones deben
proteger laprivacidad
Otra buenanoticia…consolidación
deregulaciones
BRIC?
El enfoque en privacidad distrae otros esfuerzosde seguridad: Factores críticos
Multiplicadores delas amenazas• Posible creación de Ciber
Industrias afectadas• Actividades financieras y de
Seguros Very High
Recomendaciones iniciales• Comience a planificar para las
exigencias de la protección de datos
PwC
• Posible creación de Ciberparaísos: los países sinregulaciones onerosas osin la aplicación de laregulación
• Regulaciones similares aSOPA, FIPA y ACTA
• Aumento de las personasy los países que estaránen línea
Seguros Very High• Información y
Comunicaciones Very High• Actividades profesionales,
científicas y técnicas VeryHigh
• Administración Pública yDefensa Very High
• Ventas al mayor y al detalVery High
• Oil & Gas High
exigencias de la protección de datos• Intensificar los requerimientos de
seguridad de protección para aquellossocios comerciales que posean oprocesen sus datos
• Determine qué cadena de suministro ysocios de outsourcing estánmanejando datos en su nombre yasegúrese que cumplan con susrequisitos de seguridad de lainformación
• Considerar el impacto de cualquierade los proveedores o socioscomerciales se trasladan a lasdistintas jurisdicciones
23
Impacto al negocio de las Amenazas Regulatorias
• Adoptar y poner en práctica un enfoque estructurado ysistemático para evaluar el riesgo de violación de datosy cumplir con los requisitos de transparencia
• Actualizar su marco de protección de datos y los
Acciones para responder a lasamenazas regulatorias
PwC
• Actualizar su marco de protección de datos y losprocedimientos de gestión de la información parareflejar los cambios legislativos.
• Vigilar los progresos legislativos y reglamentarios• Revise los nuevos requisitos en detalle para que, en la
medida de lo posible, se puede alinear controles deprivacidad con otros controles.
• Únete y participar en asociaciones industriales y deotro tipo para evaluar e influir en la política.
24
AmenazasInternasInternas
Amenazas Internas: Las presiones de costos sofocala inversión crítica
Las presionesde costossofoca la
inversión crítica
PwC
Los malosestán
invirtiendo másque los buenos
Algunasmejoras en el
panorama
26
Las presiones de costos sofocar inversión crítica,una función subvaluado no puede seguir el ritmo:Factores críticos
Multiplicadores delas amenazas
Industriasafectadas
Recomendacionesiniciales
PwC
• Costos ocultos deseguridad en iniciativasempresarialesaparentemente atractivas
• El gasto en educaciónlimitada que dificulta lacapacidad paramantenerse al día conlas amenazas
• Administración Pública yDefensa Very High
• Manofactura High• Minería High• Transporte y
Almacenamiento High• Suministro de agua y
servicios públicos High
• Revisar si la función deseguridad de lainformación tienerecursos suficientes parael perfil de riesgo de laorganizaciones
• Obtener el apoyoestratégico y elcompromiso de ladirección ejecutiva
27
Amenazas Internas: Una comprensión “nublada”conduce a un desastre subcontratado
Una
Nueva división digital(efectividad en la
aplicación de contresy gasto)
PwC
Unacomprensión
“nublada”conduce a un
desastresubcontratado
Outsourcing yagilidad
28
Una comprensión “nublada” conduce a undesastre subcontratado: Factores críticos
Multiplicadoresde las amenazas
Industrias afectadas• Actividades financieras y de Seguros
Very High• Información y Comunicaciones Very
Recomendacionesiniciales• Revisar los planes estratégicos
PwC
• Reducción de costos• Competencia• TI y las funciones de
seguridad de lainformación que se aíslande la empresa
• Información y Comunicaciones VeryHigh
• Actividades profesionales, científicasy técnicas Very High
• Administración Pública y DefensaVery High
• Oil & Gas High• Manofactura High• Minería High• Transporte y Almacenamiento High• Suministro de agua y servicios
públicos High• Ventas al mayor y al detal High
• Revisar los planes estratégicos(IT y seguridad de lainformación)
• Desarrolle la función deseguridad para responder a loscambios en el modelo denegocio de la organizacióncorrespondiente
• Informar y comunicar en ellenguaje de los negocios, sobreel valor y el riesgo, cuando eloutsourcing es y no esapropiado, y sobre las posiblesconsecuencias para laseguridad
29
Amenazas Internas: Las nuevas tecnologíasabruman
Las nuevas tecnologías abruman
PwC
La vanguardiapuede serriesgosa
Big data: ¿Elpróximo gran
tema?
‘The Internetof Things’ Mobile is king
30
Las nuevas tecnologías abruman: Factorescríticos
Multiplicadores de lasamenazas• Modelos matemáticos que
Industrias afectadas• Información y Comunicaciones
Very High
Recomendacionesiniciales• Revisar las implicaciones de
PwC
• Modelos matemáticos queoscurecen la falta de calidad delos datos.
• Análisis de los datos que pierdela visión global en su búsquedade datos cada vez másdetallados.
• La inteligencia artificial en tomade decisiones en los procesosde negocio automatizados
• Impresión en 3D que alienta elrobo de propiedad intelectual yhace las fugas unapreocupación
• Manofactura Very High• Actividades profesionales,
científicas y técnicas Very High• Administración Pública y Defensa
Very High• Ventas al mayor y al detal Very
High• Oil & Gas High• Actividades financieras y de
Seguros High• Transporte y Almacenamiento
High
• Revisar las implicaciones deseguridad en la introducción detecnologías nuevas y asegúresede que los representantes delas empresas entiendan elriesgo asociado
• Tenga a seguridad de lainformación involucrada ennuevas iniciativas para que laseguridad adecuada puedeintroducirse lo antes posible, sinentorpecer el negocio
31
Amenazas Internas: La cadena de suministrotiene una fuga
La cadena de suministro tiene una fuga
PwC
Data, data en todaspartes
Riesgos complejos ycostosos
32
La cadena de suministro incluye una fuga - laamenaza interna viene de fuera: Factores críticos
Multiplicadores de lasamenazas• Interrupciones en la cadena de
Industrias afectadas• Actividades financieras y de
Seguros Very High
Recomendacionesiniciales• Llevar a cabo revisiones
PwC
• Interrupciones en la cadena desuministro que requieren uncambio a proveedores menosseguros
• Proveedores que no tienen lacapacidad de eliminar lainformación confidencial de laempresa por demanda
• Deshonestos miembros de lacadena de suministro conenlaces a la ciber delincuencia
• La interrupción de la cadena desuministro debido a los nuevoshotspots políticos
Seguros Very High• Información y
Comunicaciones Very High• Manofactura Very High• Administración Pública y
Defensa Very High• Oil & Gas High• Transporte y Almacenamiento
High• Ventas al mayor y al detal
High
• Llevar a cabo revisionesperiódicas del impacto enel negocio y los riesgos deseguridad asociados concada eslabón de la cadenade suministro y planificar laseguridad en consecuencia
33
Impacto al negocio de las Amenazas Internas
• Ayudar a la alta gerencia a comprender el valor de la seguridad dela información.
• Mejorar la integración de la seguridad en toda la empresa y elevarinformes de seguridad a otro nivel de gobierno, como riesgo ycumplimiento (GRC)
• Comprender el apetito de su organización riesgo y asegurar que elvalor de la inversión continua de seguridad cumple con las
Acciones para responder a las amenazasInternas
PwC 34
valor de la inversión continua de seguridad cumple con lasnecesidades del negocio y está bien gastado
• Tomar posesión de la coordinación de la contratación yaprovisionamiento de las relaciones comerciales, incluidossubcontratistas, offshorers y cadena de suministro y losproveedores de cloud
• Monitorear las nuevas iniciativas de negocio y obtener seguridadinvolucrado temprano, como un facilitador.
• Desarrollar una buena comprensión de qué componentes de TIpueden ser externalizados y cuáles son los riesgos.
• Averigüe lo que sus proveedores y subcontratistas están haciendoacerca los riesgos que usted identifique.
ConclusionesConclusiones
Conclusiones
¿Y ahora qué?
Anticipar tendencias y planificar posibles riesgos es de gran utilidad.Sin embargo, el futuro es en última instancia desconocido. Un horizontede amenazas de dos años es poco probable que incluya un evento queocurre una vez cada 100 años, ni un evento completamente inesperado.
PwC
ocurre una vez cada 100 años, ni un evento completamente inesperado.
Para hacer frente a los desconocidos, la gestión de los riesgos conocidoso potenciales, debe ser ampliado para incluir resiliencia organizacionalpara imprevistos o de baja probabilidad y alto impacto acontecimientos.
36
Conclusiones
Pero, ¿Cómo?
• Ajuste en el proceso de Gestión de Riesgos de la organización,asegurándose que considere los riesgos tecnológicos y de lainformación.
• Ajustar los planes estratégicos (y su proceso de creación) de TI y SI
PwC
• Ajustar los planes estratégicos (y su proceso de creación) de TI y SI
• Replantear la Función de Seguridad de Activos de Información cómoun elemento de apoyo y habilitador de los procesos del negocio y lainnovación
• Evaluar la tercerización de algunas funciones de seguridad paraincrementar su dinamismo
• Planear para 3 ó 5 años para estar listo ante amenazas de 1 o 2 años.
37
“Trust is good, but control is better …”
La red de Firmas PwC suministra servicios de aseguramiento, impuestos y consultoríaenfocados a las industrias, para mejorar el valor hacia los clientes. Más de 161,000profesionales en 154 países que componen nuestra red comparten su pensamiento,experiencias y soluciones para desarrollar perspectivas frescas y proveer una asesoríapráctica.
© 2011 PricewaterhouseCoopers. PricewaterhouseCoopers se refiere a las Firmascolombianas que hacen parte de la organización mundial PricewaterhouseCoopers, cada unade las cuales es una entidad legal separada e independiente. Todos los derechos reservados.