adelántese a los delitos cibernéticos

¡Adelántese a los delitos cibernéticos! Presentación de resultados Encuesta Global de EY sobre Seguridad de Información 2014 Enero 2015

Age

nda 1 Introducción

2 Resultados de la encuesta global

3 Modelo derivado del estudio y aspectos legales

4 Panel - Preguntas y respuestas

Pág. 3 1 Introducción

Pág. 4

Encuesta Global de Seguridad de Información 2014 de EY

Las respuestas 60 países

5 continentes Que representan empresas de diversas actividades económicas.

Recoge las respuestas 1825

Ejecutivos (C-Suite) y gerencias de sistemas y seguridad de información a través de 40 preguntas.

Encuesta EY 17ava

Muestra el estado actual de seguridad cibernética de la que se desprenden planteamientos concretos para ponerlos en acción hoy.

Perú el 3% del universo Perú representa el 3% de toda la muestra.

¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014

Pág. 5

Crimen cibernético

¡El crimen cibernético es un negocio! Hoy los ataques:

1 Son más organizados, no es solo aprovechar una oportunidad

2 Son fuertemente financiados

3 Son planeados, hay un objetivo concreto


Pág. 6

Crimen cibernético (cont.)

El crimen cibernético es un

asunto a ser atendido por la

empresa 2

La evolución de la tecnología informática plantea nuevos retos y amenazas a la seguridad de información

1 Los ataques aprovechan las vulnerabilidades operativas


Pág. 7 2 Resultados de la encuesta

global

Pág. 8

Resultados: “¿Quién o qué considera usted que sea la fuente más probable de un ataque?”


0% 100%50%

Global Perú

57% 90%

35% 66%

De acuerdo a un estudio de EY Perú sobre fraude, 81% de los casos fueron perpetrados por el propio personal.

Empleado

Contratista trabajando en la empresa

Cliente

Proveedor

Otro socio de negocios

Carteles criminales

Ataque auspiciado por gobiernos

Asociación de hackers

Hacker solitario

10% 0%

12% 34%

14% 27% 53%

7% 27%

5% 46%

54%

0%

68%

50% 100%

41%

0%

Pág. 9

Resultados: “¿Qué amenazas y vulnerabilidades incrementaron su exposición al riesgo en los últimos 12 meses?”

Principales Vulnerabilidades: ► Controles obsoletos de seguridad de información ► Colaboradores imprudentes o poco concientizados ► Uso de nueva tecnología ► Uso de redes sociales Principales Amenazas: ► Robo de información financiera ► Robo de propiedad intelectual ► Fraude ► Suplantación de identidad


Pág. 10

Resultados: “¿A qué área u oficina reportan directamente los responsables de la seguridad de información en su organización?”


Gerente de Tecnologías de Información

Departamento de TI pero no directamente al CIO

Gerente de Finanzas

Gerente de Operaciones

Gerente General

Gerente de riesgos Departamento de Auditoría Interna

Líder de la unidad de negocio

Otro

Departamento Legal y de Cumplimiento

La conformación de un comité ejecutivo permite formalizar las responsabilidades de cada área participante. La ejecución de los aspectos técnicos de los temas de seguridad de información corresponden al área informática, al igual que definiciones de control que deben contar con la opinión y respaldo de las demás gerencias.

49% 52%

15% 26%

5% 9%

24% 9%

24% 14%

0% 8%

2% 9%

0%

0%

0%

8%

9%

7%

Global Perú

Pág. 11

Resultados: ”Indique si el presupuesto designado a la seguridad de información cambiará en los próximos 12 meses.”

La gerencia requiere un mejor entendimiento de las amenazas y vulnerabilidades de su empresa frente a los ataques cibernéticos, debido a que las amenazas se incrementan año a año y la preparación y prevención en las empresas se debe mejorar.


Se reducirá en más de 25%

Se reducirá entre el 15% y 25%

Se reducirá entre el 5% y el 15%

Permanecerá igual (entre +5% y -5%)

Se incrementará entre el 15% y 25%

Se incrementará en más del 25%

Se incrementará entre el 5% y 15%

Global Perú

0% 9%

2% 12%

66% 31%

29% 43%

2% 3%

0% 1%

0% 1%

Pág. 12

Resultados: “En su opinión, ¿cuál es la probabilidad de que su organización sea capaz de detectar un ataque sofisticado?”

56% de las empresas encuestadas a nivel Global y 53% en el Perú declaran tener poca probabilidad de detectar un ataque sofisticado. A nivel internacional y local hay una alta exposición a varios riesgos, entre ellos los reputacionales.


Global Perú

22% 24%

34% 29%

36% 34%

8% 12%

56% 53% Global Perú

Muy improbable (0% – 20% de probabilidad)

Improbable (20% – 25% de probabilidad)

Probable (50% – 80% de probabilidad)

Muy probable (80% – 100% de probabilidad)

Pág. 13

Resultados: “¿Cuáles son los principales motivos que dificultan la efectividad de la seguridad de información?”


37% 53%

68% 63%

20% 32%

46%

30%

29% 51%

12% 20%

Global Perú

Sin personal calificado, herramientas técnicas y presupuestos adecuados, será difícil para las empresas mejorar su nivel de prevención y mitigación de riesgos de seguridad de información.

Falta de recursos especializados

Restricciones presupuestarias

Falta de conciencia o soporte ejecutivo

Problemas de gestión y gobernabilidad

Falta de herramientas de calidad para la gestión de seguridad de la información

Fragmentación del cumplimiento de normas / regulaciones

Pág. 14

Resultados: “¿Qué porcentaje de gasto o esfuerzo se asigna a los controles de seguridad de información?”

37% 25% 22%

16%

Fortalecer controles existentes Controles detectivos nuevos Controles preventivos nuevos Controles de gobierno de TInuevos

Perú

21%

29%

21% 18%

Fortalecer controles existentes Controles detectivos nuevos Controles preventivos nuevos Controles de gobierno de TInuevos

Global Nuevos controles detectivos atienden las necesidades derivadas del uso de nueva tecnología digital.

El fortalecer los controles existentes atiende las necesidades de hoy.


Pág. 15

Resultados: “¿Existe un rol o función en el área de seguridad de información dedicada al análisis y evaluación de tecnologías emergentes y el impacto en la seguridad de información?”

No 20%

No, pero planeo

implementarlo 63%

Si 17%

Perú

No 39%

No, pero planeo

implementarlo 19%

Si 42%

Global

El uso de las tecnologías emergentes (cloud, computación móvil, entre otras) sin el análisis de impacto en la seguridad de información puede generar vulnerabilidades en la empresa.


Pág. 16 3 Modelo derivado del estudio

y aspectos legales

Pág. 17

¿Cómo adelantarse a los delitos cibernéticos?

Las organizaciones necesitan establecer y mejorar los fundamentos de su seguridad de información.

Focalizándonos en las tres As:


Activar Adaptar Anticipar

Debido al cambio constante de las organizaciones y la tecnología, las amenazas cibernéticas están evolucionando; por lo tanto, la seguridad cibernética tiene que adaptarse a estos cambios de entorno y requerimientos.

Las organizaciones necesitan conocer las tendencias tecnológicas y organizacionales para estar mejor preparadas frente a los ataques cibernéticos.

Pág. 18

Activar

Pág. 19

Los fundamentos de la seguridad cibernética

Participación de ejecutivos Acceso a datos Recursos Costo vs. valor Desempeño

¿Cuáles son los problemas?

¿Cuáles son las implicancias?


Pág. 20

Actividades que se deben realizar


Realizar un diagnóstico de las amenazas existentes y diseñar e implementar un plan de acción orientado a resolver las amenazas.

Contar con el apoyo del Directorio en temas de seguridad de información.

Gestionar la seguridad de información a partir de políticas, procedimientos y estándares actualizados.

Establecer el Centro de Operaciones de Seguridad para el monitoreo y respuesta a incidentes.

Diseñar e implementar controles para la seguridad cibernética. ► Diagnosticar la efectividad de la prevención

de la pérdida de datos y los procesos de gestión de identidad y acceso.

► Fortalecer la seguridad de los activos de TI.

Probar los planes de continuidad y los procedimientos de respuesta a incidentes.

Pág. 21

Adaptar

Pág. 22

Ciclo de mejora Enfoque de adaptabilidad

Tomar el control ► Liderazgo visible desde la alta dirección. ► Rendimiento de cuentas de la gerencia participante. ► Tomar decisiones difíciles y definir cronogramas.

Implementar e innovar ►Desplegar programas que cubran todas las áreas de la empresa.

►Ser creativo y motivador en la transformación de las operaciones y el conocimiento.

Difundir ► Integrar y alinear la

estrategia de seguridad de información con la estrategia del negocio estableciendo una red interna que propicie la integración y habilite el desempeño seguro del negocio.

►Concientizar y difundir los temas de seguridad de información para que el personal se sienta responsable.

Re-evaluar y continuar ►Evaluar utilizando métricas

definidas a lo largo de periodos.

►Gestionar riesgos y dependencias.

►Diagnóstico empleando pensamiento crítico y retando lo existente.

►Considerar la asesoría externa como apoyo.

►Propiciar la mejora continua a través de acciones concretas.

Ciclo de Mejora Continua


Pág. 23

Aplique mejoras vitales


Aplique mejoras vitales

Estableciendo un equipo con conocimiento suficiente para adaptarse a las nuevas amenazas y pueda tratar los incidentes ágilmente.

Focalizar en la capacitación, concientización y difusión.

Confirmar que se cuenta con un equipo sólido

Focalizado en la tecnología, las aplicaciones y en la interacción con el negocio.

Contar con un Centro de Operaciones de Seguridad (SOC)

Asignar Responsabilidades

Implementar métricas para la seguridad de información y sus actores en la empresa.

Reducir las excepciones a las políticas y protocolos establecidos.

Considerar el impacto de las amenazas en clientes y proveedores. Compartir los conocimientos sobre seguridad de información con las empresas vinculadas.

Considerar las entidades vinculadas

Pág. 24

Identifique el ecosistema en el que se encuentra


Factores no controlables Factores variables Límites del entorno de seguridad

Pág. 25

Actividades que se deben realizar


Diseñe e implemente un programa de transformación integrado considerando la participación de la alta gerencia.

Defina una matriz RACI para la seguridad cibernética.

Despliegue un programa de concientización y capacitación sobre seguridad cibernética a todos los empleados.

Decida que hacer internamente y que contratar como servicios de terceros.

Identifique y analice su ecosistema.

Atienda las amenazas a las que pueden estar expuestos sus proveedores y clientes, y los riesgos asociados.

Pág. 26

Anticipar

Pág. 27

Los ataques no se pueden evitar ¿Qué tan preparado está?

¿Puede responder “si” a estas cinco preguntas clave?

1. ¿Sabe usted lo que su empresa tiene que otros quieren?

2. ¿Sabe usted cómo los planes de negocio pueden hacer sus activos vulnerables?

3. ¿Sabe usted cómo estos activos pueden ser accesados o modificados?

4. ¿Usted sabría si está recibiendo un ataque cibernético y si estos activos están comprometidos?

5. ¿Tiene usted un plan para hacer frente a un ataque cibernético y mitigar los eventuales daños?

Activos valiosos

Propiedad Intelectual

Información de Personas

Información Financiera

Información de Negocio


Pág. 28

El riesgo no se puede resolver pero se puede administrar


Evitar las amenazas a la seguridad de información

Tres elementos para la gestión de riesgos de seguridad de información.

¿Qué es lo que la organización necesita estar atenta?

¿Cuáles son las brechas de conocimiento que tenemos?

Recuperar la operación en caso de incidentes

¿Qué nivel de respuesta tenemos a incidentes graves?

¿Es posible mantener la continuidad de la operación y del negocio?

Mantener la seguridad de los datos

¿Qué es lo que la organización necesita estar atenta?

¿Dónde están localizados?

¿De que manera se deben proteger?

¿Qué políticas y conductas se requieren?

¿Qué monitoreo se deben implementar?

¿Qué tan bien está actuando el personal frente a los controles existentes?

¿Qué recursos son clave para recuperar la operación?

¿Qué tanto dependemos de terceros?

¿Cómo afecta a nuestros clientes?

Pág. 29

Anticipar: tomar acción


Diseñe e implemente una estrategia de inteligencia sobre las amenazas cibernéticas que apoye las decisiones de negocio.

Defina niveles de responsabilidad (RACI) que propicien la cooperación y compartir recursos donde sea ventajoso.

Entienda el valor de los activos de información de la empresa y el impacto de no tenerlos o de que los tengan otros.

Asegúrese que todo el personal sabe y aplica las políticas, procedimientos y estándares de seguridad de información.

En el caso de incidentes use análisis forense de datos para entender de donde llegan las amenazas y poder prevenir futuros eventos.

Pág. 30

Aspectos legales – Ley de delitos informáticos


Convenio sobre la delincuencia cibernética, Budapest 23.11.2001.

Ley Nro. 30096. Ley de delitos informáticos. 22.10.2013.

Modificación de artículos del código penal.

Marco legal frente a acciones ilícitas.

► Acceso ilícito a un sistema informático ► Atentado a la integridad de los datos

informáticos ► Proposiciones por medios tecnológicos

a niños con fines sexuales ► Tráfico ilegal de datos informáticos

Ley Nro. 30171. Ley que modifica la Ley de delitos informáticos. 10.03.2014. ► Fraude informático ► Interceptación de datos informáticos ► Suplantación de identidad ► Abuso de dispositivos o mecanismos

informáticos

Pág. 31

Aspectos legales – Ley de protección de datos personales


Fecha límite para la adecuación a la normativa 8 mayo 2015.

Ley Nro. 29733. Ley de protección de datos personales. 03.07.2011.

Reglamento de la Ley Nro. 29733. 22.03.2013.

Responsabilidad ► Titular de datos personales ► Titular del banco de datos personales ► Autoridad nacional de protección de datos

Directiva de seguridad de información. Ley de protección de datos personales. 11.2013.

Medidas de seguridad ►Clasificación de categorías de tratamiento de banco de

datos ►Condiciones de seguridad externas e internas ►Requisitos de seguridad ►Medidas de seguridad organizativas ►Medidas de seguridad jurídicas ►Medidas de seguridad técnicas Sistema de gestión de seguridad de información NTP – ISO / IEC 27001

Pág. 32 4 Comentarios del panel y

preguntas del auditorio

¡Adelántese a los delitos cibernéticos! Presentación de resultados Encuesta Global de EY sobre Seguridad de Información 2014 Enero 2015

adelántese a los delitos cibernéticos

Presentations & Public Speaking