gestionar el riesgo de ciberseguridad en términos financieros

Datos elaborados por BCP únicamente para fines del negocio

Gestionar el riesgo de ciberseguridaden términos financieros

Nicola Sanna, Presidente FAIR Institute, Director Ejecutivo RiskLens

Harold Marcenaro, Gerente de de Riesgos Digitales, BCP


LAS EXPECTATIVAS DE INFORMAR SOBRE EL RIESGO CIBERNÉTICO HAN CAMBIADO

Miedo, Incertidumbre

y Dudas

Listas de Verificación de Cumplimiento

Modelos de Madurez

GestiónQuantitativadel Riesgo


COMUNICAR EL RIESGO CIBERNÉTICO ES UN DESAFÍO

JUNTA DIRECTIVA

“¿Cuánto riesgo tenemos? ¿Estamos gastando demasiadoo muy poco enciberseguridad? "

DIRECTOR DE FINANZAS

“¿Estamos gastando nuestropresupuesto de ciberseguridad en las cosas correctas? ¿Cuál es el ROI? "

AUDITORIA

“¿Ha arreglado esoshallazgos de altaprioridad? "

CEO

"¿Cuánto riesgo implicannuestras nuevas iniciativasdigitales y en la nube?"

CISO

“Eχουμε πάνω από δέκα χιλιάδες τρωτά σημεία , είναι συμβατό με το ογδόντα τοις εκατό”


La forma en que la mayoría de las organizaciones definen y miden el riesgo cibernético, no cuantifica el valor de la ciberseguridad en términos que la empresa puede entender y usar

LOS MÉTODOS CUALITATIVOS SON INEFICACES

Impacto

M A A

B M A

B B M

Pro

bab

ilid

ad

MEDICIONES SIN SENTIDODEFINICIONES INCOHERENTES

Deficiencias de control

Vulnerabilidades de aplicaciones

ActivoComputación en la

nube

AmenazaAmenazas internas

MétodoPhishing / Ingeniería

Social


EL ESTÁNDAR FAIR LE AYUDA A DEFINIR EL RIESGO CIBERNÉTICO COMO RIESGO EMPRESARIAL

Escenario de riesgoDe acuerdo con el Estándar FAIR

amenaza

activo impacto

Ejemplos Ciberdelincuentes

Persona enterada maliciosa

Estado Nación

Incumplimiento DB cliente

Interrupción del sistema SAP

Incumplimiento planes de productos

Responsabilidad de privacidad/Multas y juicios

Pérdida de ingresos, productividad

Pérdida de P.I., ventaja competitiva


FAIR LE AYUDA A CUANTIFICAR EL RIESGO EN TÉRMINOS FINANCIEROS

Riesgo

Frecuencia de eventos de amenaza

VulnerabilidadPérdidaprimaria

Pérdidasecundaria

FrecuenciaEvento de

Pérdida

Magnitudpérdida

Accredited as an Industry Standard by

Complementary toRisk Frameworks

Supported by aCommunity of 10,000+

FAIR Book Inductedin Cybersecurity Canon

Wide Industry Adoption40% Fortune 1000


7Copyright 2021 RiskLens, Inc.

HABLAR EL IDIOMA DEL NEGOCIO

Comunicar el riesgo de ciberseguridad entérminos financieros

Proporcionar una visibilidad clara de los principales riesgos para el negocio

Medir los impactos de los riesgoscibernéticos y las decisiones sobre las iniciativas digitales



PRIORIZAR LAS MITIGACIONES DE RIESGOS EN FUNCIÓN DEL IMPACTO EN EL NEGOCIO

Medir controla la efectividad en la reduccióndel riesgo

Priorizar las decisiones utilizando criterioscomo la reducción de riesgos y los umbrales de riesgo

Calcular el retorno de las inversiones enseguridad para reducir el riesgo



ADMINISTRAR EL RIESGO A LO LARGO DEL TIEMPO

Agregar los principales riesgos y mostrarsu evolución a lo largo del tiempo

Establecer umbrales de riesgoorganizacionales claros

Visualice el impacto de su programa o de las amenazas emergentes



INFORME A LA JUNTA EN TÉRMINOS FINANCIEROS

Traducir el riesgo cibernético en términosque los directores de la junta entienden

Permitirles ejercer sus responsabilidadesde supervisión de riesgos cibernéticos

Ayudarles a evaluar la adecuación de los presupuestos de ciberseguridad



CUMPLIR CON LOS REQUISITOS REGLAMENTARIOS Y DE PRIVACIDAD

Evaluar los principales riesgos cibernéticossegún lo exijan las regulaciones

Demostrar y defender la adecuación de los controles de seguridad

Medir la probable exposición a multasreglamentarias


Sobre BCP

• Banco más grande en Perú con aprox 30% de participación de

mercado

• 132 años

• US $45 Billion en Activos

• US $1.1 Billion en Utilidades en 2019

• Part of Credicorp (NYSE: BAP), Market Cap US $8 Billion

Copyright 2020 FAIR Institute, Inc.12


Programa de Transformación en BCP

Digital Journeys▪ Centro de InnovaCXión▪ Remote Banking para el

segmento afluente▪ Marketing Digital▪ Yape

Experiencia del Cliente▪ Journeys de cliente▪ Experiencia en canales físicos

▪ Arquitectura de Datos▪ Advanced Analytics▪ Big Data labs

Data & Analytics

▪ Arquitectura de próxima generación▪ Optimización de Infraestructura de TI▪ Ecosistemas Cloud y APIs▪ Eficiencia

TI

Cultura y Liderazgo

▪ Gestión del cambio▪ Estrategia de Talento▪ Comunicación

Riesgos digitales

▪ Riesgo de crédito digital▪ Programa de Ciberseguridad

Digital Ops

▪ Digitalización y optimización de procesos operativos

Modelo de Distribución

▪ Transformación del modelo de Distribución

Gobierno

▪ Gobierno de capex y opex

Agile @ Scale

▪ Organización Ágil


Empezamos gestionando nuestro Programa de Ciberseguridad con Cybersecurity Assessment Tool (CAT) de FFIEC

The Federal Financial Institutions Examination Council (FFIEC) is a formal U.S. government interagency body composed of five banking regulators that is "empowered to prescribe uniform principles, standards, and report forms to promote uniformity in the supervision of financial institutions".

FFIEC developed the Cybersecurity Assessment Tool (Assessment) to help institutions identify their risks and determine their cybersecurity preparedness.

2019

2020

2021



…pero nos dimos cuenta que no era suficiente. Aspiramos a gestionar la ciberseguridad como un RIESGO, tomando decisions en función de costo-efectividad.



¿Por qué FAIR?

• Nuestra primera aproximación a FAIR fue leyendo “Measuring and Managing Information Risk”

• Cuantificación es un medio para entender mejor los riesgos, no modelos matemáticos que nublan la intuición. Nos permite agregar, comparer, priorizar y decidir.

• FAIR puede convertirse en un estándar vs soluciones propietarias.

Una comunidad FAIR abierta y active promueve el Desarrollo y

adopción.



Nuestra gestión de riesgos de Ciberseguridad en términos financieros

• Desde el 2020 estamos implementando un método sistemático para identificar, cuantificar, agregar, comunicar y priorizar estrategias de gestión de riesgos de ciberseguridad con el objetivo de enfocarnos en las estrategias más costo-efectivas.

• En concreto, nos propusimos lo siguiente…

1. Agregar la exposición total del Banco a riesgos de ciberseguridad, y cómo se compone por amenazas, vulnerabilidades, activos, procesos y productos. Por ejemplo, la exposición total de riesgos de ciberseguridad es de $XXXMM, de los cuales los activos A, B y C concentran el X% y la principal vulnerabilidad es D.

2. Definir una métrica de apetito de riesgo con límites respecto a la exposición total de riesgos de ciberseguridad.

3. Cuantificar riesgos específicos y priorizar iniciativas entre posibles estrategias de mitigación. Por ejemplo, ¿para proteger el activo X de la amenaza Y es, es más efectivo invertir en controles preventivos o detectivos? ¿Es la exposición a la amenaza Z mayor en el activo A o el activo B?

4. Entender cómo iniciativas transversales impactan varias amenazas, vulnerabilidades o activos. Por ejemplo, invertir $XMM en modernizar nuestros firewalls reduciría la exposición en $YMM.

5. Integrar estas herramientas en nuestros procesos de decisión.


🚫

✅

✅

⚠️

⚠️


Beneficios obtenidos

• Foco en los riesgos más importantes.

• Estrategias de mitigación costo-efectivas, en algunos casos descartando y

en otros acelerando inversiones.

• Delegación de toma de decisión en función del riesgo.

• Conversaciones con ejecutivos C-level y Directorio más productivas y

enfocadas.


gestionar el riesgo de ciberseguridad en términos financieros

Documents