Gestión de los riesgos cibernéticos en evolución por COVID -19

María Conchita JaimesPartner Cybersecurity services

Juan Mario PosadaManager Cybersecurity services

Diana Cogollo SilvaS. Manager Business Continuity

Perspectivas de ciberseguridad

Regulación y guías de

ciberseguridad

Resiliencia del negocio

Expertos de EY Colombia, presentan las áreas sobre las cuales debemos trabajar

Contexto de la ciberseguridad

COVID-19

Panorama Global de RiesgosInforme de riesgos 2020 – Foro Económico Mundial

Consecuencias de la fragmentación digital

Más del 50% de la población mundial ahora en línea Aproximadamente un millón de personas

se conectan diariamente en línea por primera vez Dos tercios de la población mundial poseen un

dispositivo móvil.

Mientras que la tecnología digital brinda grandes beneficios económicos y sociales para gran parte de la población global, temas como la desigualdad en el acceso a internet, la falta de un marco de gobierno tecnológico global y la ciber inseguridad representan un riesgo significativo.

La incertidumbre geopolítica y geoeconómica (incluyendo la posibilidad de un ciberespacio fragmentado) también amenazan con prevenir el pleno desarrollo potencial de las tecnologías de próxima generación. Los encuestados han calificado el “colapso de la infraestructura de información” como el sexto riesgo más impactante en los años hasta 2030.

No te quedes estancado en la disrupción de COVID-19

¿Qué hacer ahora? una perspectiva de ciberseguridad

Reconociendo el reto de responder ante COVID-19 con recursos limitados, será necesario tomar decisiones estratégicas. No pierdas de vista la ciberseguridad

Mensajes claves

La ciberseguridad puede que no sea la necesidad con mayor prioridad ahora mismo, pero si las empresas toman medidas eficaces oportunas, podrían prevenir exposiciones a ataques, ahorrando tiempo, dinero y protegiendo la reputación.

COVID-19 cambió la forma en que trabajamos. El teletrabajo ha aumentado el perfil de riesgo cibernético.

Los actores de amenazas cibernéticas están trabajando horas extras para sacar provecho de la pandemia.

Los empleados en teletrabajo pueden cometer errores o ser menos rigurosos en algunas actividades.

Las terceras partes estarán bajo presión; habrá escasez, surgirán nuevas vulnerabilidades.

No todos los proyectos son críticos en este momento; algunos deben ser pausados para que los recursos puedan ser reasignados en otros lugares y su uso sea más eficiente.

Los empleados se

pueden sentir

estresados y con

distracciones por las

preocupaciones de la

pandemia y sus

consecuencias. Esto

los podría llevar a

bajar la guardia.

Las naciones están

estableciendo la

persistencia en las

redes; los criminales

están aumentando los

esfuerzos para robar

credenciales y dinero;

los ataques de

ransomware se están

disparando

Un aumento de

trabajadores remotos

dará lugar a más errores

y potenciales amenazas

cibernéticas internas.

Surgirán nuevos riesgos a

medida que las directrices

obliguen a las empresas a

adoptar un esquema de

trabajo desde el hogar

para actividades que

nunca se pretendieron

realizar a distancia o de

forma aislada.

Equipos de soporte

se ven desbordados

por las llamadas, lo

que provoca largos

tiempos de espera,

clientes descontentos

y un mayor potencial

de fraude o

incumplimiento.

Algunos miembros del

equipo de seguridad de

la información y otro

personal clave pueden

enfermar; podría haber

escasez de personal

clave. Exigencia de

nuevas competencias

no disponibles

Las cadenas de

suministro se

interrumpen y se

produce una escasez.

Los vendedores pueden

incumplir o crear nuevas

vulnerabilidades

cibernéticas para su

negocio.

Retos

Mientras que la tecnología habilita nuestra fuerza de trabajo remota y ayuda a proteger nuestros sistemas,

las personas siguen siendo nuestro recurso más valioso

Habilitando proactivamente la ciberseguridad para la transformación empresarial

Las resilientesCompañías que no pueden parar durante la crisis, por ejemplo: salud, servicios públicos, servicios de emergencia, consumo masivo, agricultura, compañías esenciales de retail, seguridad.

Principales preocupaciones:

• Generar suficiente oferta por el crecimiento exponencial de consumo

• Fortalecer y apalancar sus capacidades con otras empresas e industrias

• Agotamiento y seguridad del personal

Las que se reconfiguraronOrganizaciones que ajustaron sus modelos operativos y de prestación de servicios (con trabajo remoto), por ejemplo: servicios financieros, servicios de consultoría, telecomunicaciones.

Principales preocupaciones:

• Transición de la fuerza laboral a trabajo remoto

• Estabilizar la prestación del servicio y el mantenimiento

• Aumentar la capacidad tecnológica y asegurar mayor conectividad

Las que se reinventaronOrganizaciones que pueden reasignar algunos recursos y activos para otras actividades o que encuentran nuevos usos, como: manufactura, calzado, vestuario, algunas compañías de retail.

Principales preocupaciones:

• Reconfigurar sus procesos rápidamente

• Reinventar y estabilizar la operación

Las que están en riesgoOrganizaciones con una disminución exponencial de consumo, por ejemplo: aerolíneas, turismo, movilidad, entretenimiento y deporte.

Principales preocupaciones:

• Generar confianza a los empleados y a los consumidores

• El bienestar de los empleados que necesitan ser retirados o despedidos

• Rediseñar sus productos y servicios o diseñar un nuevo portafolio

Las organizaciones de hoy deben innovar para sobrevivir, pero al hacerlo enfrentan amenazas cada vez mayores de ciberataques.

A la luz de las consecuencias potencialmente desastrosas, las organizaciones necesitan una nueva perspectiva que considere los riesgos desde el inicio de cualquier producto o servicio, en lugar de una idea de último momento.

A raíz de la pandemia, han aparecido cuatro tipos de compañía

El gasto en ciberseguridad está impulsado por prioridades defensivas en lugar de innovación y transformación. El 77% del gasto en nuevas iniciativa se centra en riesgo o cumplimiento. Uno de cada cinco encuestados gasta el 5% o menos de su presupuesto de ciberseguridad para apoyar nuevas iniciativas de negocio.Los equipos de seguridad cibernética de EY creen que es hora de una nueva versión de la seguridad cibernética: un enfoque proactivo, pragmático y estratégico que considere el riesgo y la seguridad desde el inicio de cualquier nueva iniciativa y fomente la confianza en cada etapa. Esto es seguridad por diseño

Operar con normalidad la función de ciberseguridad transformada y optimizada para permitir una nueva realidad empresarial

• La ciberseguridad como asesor de negocios y habilitador de la transformación.

• Realineación de la estrategia y hoja de ruta de ciberseguridad.

• Realineación del gobierno, la gestión y estructura operacional de la seguridad.

• Revisión de la metodología de evaluación de riesgos para reflejar las nuevas necesidades operacionales.

• Nuevos indicadores de desempeño (KPI) e indicadores claves de riesgos (KRI) para que las empresas visualicen el desempeño cibernético en este nuevo entorno.

Comenzar a planear para el futuro y continúe habilitando el teletrabajo, el control de costos, el trabajo con terceros

• Evaluación de riesgos actualizada.

• Reevaluación y reajuste de la hoja de ruta de la estrategia de ciberseguridad.

• Actualización de las capacidades de colaboración.

• Análisis de traslado de cargas de trabajo a la nube para aprovechar los beneficios de rendimiento.

• Actualización de parches y estrategia de actualización.

• Estrategias y acuerdos de contratación/compra revisados.

Asignar recursos cibernéticos para apoyar a la empresa en la habilitación del teletrabajo

• Desarrollo de políticas y procedimientos de teletrabajo

• Despliegue de una ruta de concienciación sobre la seguridad virtual para los empleados que incursionan en esta modalidad.

• Pre configuración de dispositivos cifrados para que los empleados los usen mientras trabajan desde casa.

• Tecnología actualizada de protección de equipos de punto final.

• Revisión de las capacidades de monitoreo.

• Gestión de vulnerabilidades cada vez más rigurosas.

• Plataformas de colaboración seguras.

• Aprovechamiento del apoyo de terceros para aumentar capacidades de personal y de recursos para las nuevas áreas de riesgo cibernético.

COVID 19 – El hoy, el después y el más allá de la ciberseguridad

Now Next Beyond

Regulaciones relacionadas con la ciberseguridad

Algunas regulaciones relacionadas con la ciberseguridad

Regulación de

Colombia

asociada a la

Ciberseguridad

Guías y

Lineamientos

Guía -

Seguridad de la

información

MiPymes21 guías

anexas de

seguridad de

MINTIC

Políticas

Públicas

Conpes 3854

de 2016

Conpes 1701

de 2011

Manual de

política digital

Leyes y

Decretos

Ley 1581 de

2012 –

Protección

de datos

personales

Ley 1753 de

2015 – Plan

Nacional de

Desarrollo

2014-2018

Ley 1955 de

2019 – Plan

Nacional de

Desarrollo

2018-2022

Decreto 1078

de 2015 –

Política de

Gobierno

Digital

Decreto 620 de

2020 – Uso y

operación de

servicios

ciudadanos

digitales

Ley 1273 de

2009 –

Delitos

Informáticos

Tratamiento de

datos personales

para fines de

Comercio

Electrónico

Guía para la

implementación del

principio de

responsabilidad

demostrada

(“Accountability”)

Ley 1266 de

2008 -

Habeas

data

financieroDecreto

1377 de

2013 Decreto

1074 de

2015

Directrices OCDE

para la Seguridad

de Sistemas y Redes

de Información:

Hacia Una Cultura De

Seguridad

Guidelines on the

Protection of Privacy

and Transborder

Flows of Personal

Data

Algunas regulaciones relacionadas con la ciberseguridad

1

3

4

LEY 1712 DE 2014 Ley de transparencia y del derecho de acceso a la información pública nacional

LEY 1266 DE 2008Ley de Habeas Data y regulación del manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países

LEY 1581 DE 2012Ley de Protección de Datos Personales

Entidad Pública

Entidad Privada

¿Aplica?A continuación, se presentan las regulaciones o políticas nacionales y suámbito de aplicación :

DECRETO 620 DE 2020Establece los lineamientos generales en el uso y operación de los servicios ciudadanos digitales, bajo medidas de protección de la información

5

2Conpes 3854 de 2016Política Nacional de Seguridad Digital

*Solo aplicaría si es unproveedor de algunaEntidad Pública

Más allá de la resiliencia

Una pandemia no es un evento de una sola vez, y podrían venir periodos de enfermedad en 2 o 3 olas en cualquier

momento en los próximos 3 a 12 meses. Es probable que la duración de la pandemia se

sitúe entre 12 y 18 meses.

Canadian Centre for Occupational Health and Safety

Una pandemia puede ocasionar la ausencia de la fuerza de trabajo crítica, no solo la de su empresa, sino también la de toda su cadena de valor.

“

Los planes de continuidad tradicionales no son suficientes para manejar disrupciones relacionadas con una pandemia

DimensiónInterrupciones de negocio

Interrupciones relacionadas a pandemias

Escala Es localizada: impacta de manera específica a una empresa, geografía, instalación, tercero, fuerza laboral

Es sistémica: impacta a todas las partes incluyendo mano de obra, clientes, proveedores y competidores

Velocidad Por lo general, están contenidos y son aislados rápidamente una vez que se determina la causa raíz de la falla

Se propaga rápidamente como contagio del mercado a nivel de una geografía o a nivel global con graves impactos en cascada

Duración Generalmente son de corta duración, por ejemplo, una semana

Extendida y de más larga duración, por ejemplo, durante varios meses

Escasez de mano de obra Puede resultar en escasez temporal de mano de obra o la necesidad de relocalización de personal

Puede resultar rápidamente en una escasez de mano de obra significativa, por ejemplo, más de la mitad de la fuerza laboral

Coordinación externa Puede requerir cierta coordinación con el público, el gobierno, los reguladores, funcionarios de cumplimiento y salud

Requiere un alto grado de coordinación con el público, el gobierno, los reguladores, funcionarios de cumplimiento y salud, incluso en más de una jurisdicción

Disponibilidad de infraestructura

Requiere confianza en la disponibilidad de infraestructura pública (por ejemplo, energía, transporte público, telecomunicaciones, internet) para complementar las estrategias misionales del negocio

Puede limitar o restringir la disponibilidad de infraestructura pública a medida que aumenta la escala y gravedad del evento, especialmente en la medida que otras empresas también se ven afectadas por el mismo problema

Dimensión Interrupciones relacionadas a pandemias Acciones

Escala Es sistémica: impacta a todas las partes incluyendo mano de obra, clientes, proveedores y competidores

• Nuevas alianzas globales • Alianzas con el gobierno• Alianzas con otros sectores de la economía• Nuevos clientes, productos o servicios

Velocidad Se propaga rápidamente como contagio del mercado a nivel de una geografía o a nivel global con graves impactos en cascada

• Implementar una gestión de riesgos holística, incluyendo los riesgos de toda su cadena de suministro y partes interesadas y contribuya a gestionar los impactos al interior de su organización.

• Las probabilidades cambian y el apetito de riesgo se modifica.

Duración Extendida y de más larga duración, por ejemplo, durante varios meses

• Modificar la gestión de continuidad del negocio incluyendo planes a largo plazo

Escasez de mano de obra

Puede resultar rápidamente en una escasez de mano de obra significativa, por ejemplo, más de la mitad de la fuerza laboral

• Estrategias de reclutamiento en continuidad• Alianzas con terceros que provean mano de obra• Automatización de tareas

Coordinación externa

Requiere un alto grado de coordinación con el público, el gobierno, los reguladores, funcionarios de cumplimiento y salud, incluso en más de una jurisdicción

• Iniciar enlaces gremiales, gubernamentales en su área de influencia que contribuya a generar planes integrales y coordinados con las principales entidades, sus clientes, sus competidores, sus proveedores

Disponibilidad de infraestructura

Puede limitar o restringir la disponibilidad de infraestructura pública a medida que aumenta la escala y gravedad del evento, especialmente en la medida que otras empresas también se ven afectadas por el mismo problema

• Planes que consideren escenarios más extremos, por ejemplo ausencia de servicios públicos, transporte público.

• Continuar con los esfuerzos de digitalización

La nueva continuidad implica pensar fuera de la caja

Las empresas deben considerar pandemias en la gestión de resiliencia para dar una respuesta integral y brindar continuidad a productos y servicios críticos, incluida la ciberseguridad.

¿Cómo avanzarpara lograr

retornos rápidos y efectivos?

Las estadísticas revelan que las organizaciones no están preparadas para responder a un evento de pandemia, probablemente debido a la naturaleza poco frecuente de su ocurrencia.

Sin embargo, los actores de amenazas cibernéticas suelen ser los más rápidos en reaccionar durante tiempos inciertos y la pandemia de COVID-19 no es diferente.

¿Cómo avanzar para lograrretornos rápidos y efectivos?

La ausencia de miembros clave del equipo de Ciberseguridad de la organización, debido a enfermedades propias o de sus familiares, puede derivar en la necesidad de contratar terceros con profesionales capacitados y experimentados para ayudar en la entrega de proyectos o servicios, brindar orientación profesional para continuar avanzando en su programa de Ciberseguridad o complementar sus funciones a través de servicios administrados de Ciberseguridad. • Servicios de monitoreo y detección de amenazas a través del CyberSOC • Servicios de Ciber Inteligencia contextual • Servicios de respuesta a incidentes con apoyo forense.

Una evaluación rápida de los impactos, riesgos y la resiliencia organizacional ante el COVID-19. La evaluación se centra en los aspectos operativos, tecnológicos, de Ciberseguridad. Financieros, Laborales y Fiscales para dar recomendaciones priorizadas y un plan de estabilización inmediato para abordar los riesgos y los impactos al negocio

ESQUEMAS COLABORATIVOSA medida que las

organizaciones recurren a modelos de trabajo remoto, se enfrentan al desafío de capacitar rápidamente a los gerentes y empleados sobre roles y responsabilidades relacionadas con la protección de la tecnología y los datos. EY puede crear e implementar rápidamente un programa de capacitación, junto con las políticas necesarias para ayudar a su organización a proteger las joyas de la corona en estos momentos de crisis

EY entiende como sus procesos de negocio y su fuerza laboral se verán afectadas como resultado del COVID-19. Con nuestra presencia global y experiencia en una amplia gama de servicios de gestión de crisis, Podemos implementar Centros de Comando y Control de Negocios para apoyar y complementar su equipo. EY también puede proporcionar expertos para cubrir escasez de mano de obra en áreas estratégicas de su negocio

Fortalecimiento de las funciones de Ciberseguridad

Evaluación del Impacto y Plan COVID-19

Soporte de Comando y Control de Operaciones de Crisis

Sensibilización y Entrenamiento de Ciberseguridad y privacidad

PARA LOGRAR RETORNOS RÁPIDOS Y ÁLTAMENTE

EFECTIVOS

GraciasMaría Conchita JaimesConchita.Jaimes@co.ey.com

Juan Mario PosadaJuan.Posada@co.ey.com

Diana CogolloDiana.Cogollo.Silva@co.ey.com

EY | Assurance | Tax | Transactions | Advisory

About EY

EY is a global leader in assurance, tax, transaction and advisory services. The insights and quality services we deliver help build trust and confidence in the capital markets and in economies the world over. We develop outstanding leaders who team to deliver on our promises to all of our stakeholders. In so doing, we play a critical role in building a better working world for our people, for our clients and for our communities.

EY refers to the global organization, and may refer to one or more, of the member firms of Ernst & Young Global Limited, each of which is a separate legal entity. Ernst & Young Global Limited, a UK company limited by guarantee, does not provide services to clients. Information about how EY collects and uses personal data and a description of the rights individuals have under data protection legislation are available via ey.com/privacy. For more information about our organization, please visit ey.com.

© 2020 EYGM Limited. All Rights Reserved.

EYG no. 001466-20Gbl.

ED None

This material has been prepared for general informational purposes only and is not intended to be relied upon as accounting, tax or other professional advice. Please refer to your advisors for specific advice.