La ciberseguridad en la era Digital.Estado actual y tendencias

Cyber Risk Services Leader25 de Abril de 2019

2

2017 Deloitte Cyber Risk Services

“Los ataques cibernéticos son la principal amenaza que se encuentra enfrentando la humanidad –muchísimo mayor que las armas nucleares.”

Warren Buffet

(Omaha, Nebraska, 30 de agosto de 1930) Inversor y empresario.Fortuna estimada de 87,000 millones de dólares

Datos para contextual izar…

Incremento del

tamaño de los Data

Breach entre 2016 y

2017

+1.8%

3,5

3,79

4

3,62

3,86

3,2

3,3

3,4

3,5

3,6

3,7

3,8

3,9

4

4,1

2014 2015 2016 2017 2018

Costo Total promedio de una

brecha de datos (millons)

50% De las personas abren

los emails y clickean en

links de phising dentro de

la hora de recibido [2]

1,5MM

Cyber ataques por año

4,000POR DÍA

POR SEGUNDO

3

Días promedio empresas

mantuvieron una

presencia después de la

infiltración y antes de la

detección

221 díasCriminal

Attack

PROMEDIO 2014-18

$149,2

2017 US$141

$145

$154

$158

$141

$148 $245

$206

$- $50 $100 $150 $200 $250 $300

2014

2015

2016

2017

2018

Costo promedio por registro perdido o

robado (per capita cost)

FSI Average

+4,8%

Incremento del

tamaño de los Data

Breach entre 2017 y

2018

+2.2%

+6,4%

Equipos de Incident

response (IR)

reducen el costo en

$14

Datos para contextual izar…

Incremento del tamaño de

los Data Breach entre

2016 y 2017

+1.8%

3,5

3,79

4

3,62

3,86

3,2

3,3

3,4

3,5

3,6

3,7

3,8

3,9

4

4,1

2014 2015 2016 2017 2018

Costo Total promedio de una brecha de

datos (millons)

50% De las personas abren los

emails y clickean en links de

phising dentro de la hora de

recibido [2]

1,5MM

Cyber ataques por año

4,000

POR DÍA

POR SEGUNDO

3

Días promedio empresas

mantuvieron una presencia

después de la infiltración y

antes de la detección

221 díasCriminal

Attack

PROMEDIO 2014-18

$149,2

2017 US$141

$145

$154

$158

$141

$148 $245

$206

$- $50 $100 $150 $200 $250 $300

2014

2015

2016

2017

2018

Costo promedio por registro perdido o

robado (per capita cost)

FSI Average

+4,8%

Incremento del tamaño de

los Data Breach entre

2017 y 2018

+2.2%

+6,4%

Equipos de Incident

response (IR)

reducen el costo en

$14

5

La velocidad de los ataques está incrementando y

los tiempos de respuesta disminuyendoLa velocidad de ataques acelera… … mientras el tiempo de respuesta de retrasa

En el 72% de

ataques, tomo

solo minutos

comprometer a

un sistema

46% de las

brechas de

información

ocurren en

minutos

El 72% de los ataques

no es descubierto

hasta 201 (2016) –

191 (2017)

197 (2018)

59% de los ataques

son contenidos dentro

de 70 días (2016)

66 días (2017)69 (2018)

*221 días para

ataques criminales*81 días para

ataques criminales

Las Organizaciones que identifican una brecha en menos de 100 días ahorran más de un millón de dólares respecto de las que no lo hacen.

Las Organizaciones que contienen una brecha en menos de 30 días ahorran más de un millón de dólares respecto de las que lo hacen en más de 30 días.

6

Mientras que el costo promedio de una

filtración de seguridad puede estar bien

documentado, los efectos a largo plazo

sobre la reputación de la Organización,

la Marca y la pérdida de confianza de los

ciudadanos pueden incrementar dicho

costo. Muchas Organizaciones están

considerando la contratación de Ciber-

Seguros para limitar dichos costos.

Los impactos por ciberseguridad van más allá de lo económico

7

Los impactos por ciberseguridad van más allá de lo económico

Días o semanas• Frenar el ataque• Remediar los controles de seguridad• Solucionar los problemas de continuidad de negocio • Comunicarse con clientes, Partners y otras terceras partes

Semanas o meses• Crear una infraestructura u operación interina• Prepararse para acciones legales• Resolver observaciones regulatorias o de auditoría.• Gestión de clientes, Partners y otras relaciones.

Meses o años• Reparar el daño al Negocio.• Rediseñar procesos y activos.• Inversión en programas de

ciberseguridad para emerger más fuertes.

La recuperación

lleva años

8

2017 Deloitte Cyber Risk Services

Impacto de una brecha de ciberseguridad (ejemplo)

Sobre la SuperficieCostos conocidos de un incidente

$59 Millones

Debajo la SuperficieCostos menos predecibles

$1,623 Millones

Duración Costo (US$M)

AS: Protección de cliente post-

brecha

3 años21

AS: Mejoras de Ciberseguridad 1 año 14

AS: Notificación de la brecha a

clientes

6 meses10

AS: Honorarios Legales 5 años 10

AS: Respuesta Regulatoria 1 año 2

AS: Relaciones Públicas 1 año 1

AS: Investigación Técnica 6 semanas 1

Duración Costo (US$M)

LS: Pérdidas de contratos 5 años 830

LS: Pérdida de clientes 3 años 430

LS: Devaluación de la Marca 5 años 230

LS: Costo de atraer capital 5 años 60

LS: Incremento de Prima de Seguro 3 años 40

LS: Disrupción Operacional Inmediato 30

LS: Disrupción de Talento 2 años 3

9

Las organizaciones en América Latina están

incrementando sus presupuestos

dedicados gestionar ciber-riesgos y

seguridad de la información

El 89% de las organizaciones le asigna una

importancia muy alta a la gestión de ciber-

riesgos en un contexto cada vez más digital

de los negocios

24 de cada 10 organizaciones sufrieron

un incidente de ciberseguridad en los

últimos 24 meses

El 70% de las organizaciones afirma no

tener certeza de la efectividad de su

proceso de respuesta ante incidentes

de ciberseguridad y sólo un 3% realizar

simulaciones para probar sus

capacidades efectivas de respuesta

ante un evento ciber

1

Encuesta de Ciberseguridad en Latinoamérica 2018

Casi 7 de cada 10 organizaciones han

implementado un programa de

concientización en ciberseguridad.4Las organizaciones cuentan con

capacidades limitadas de monitoreo de

ciberseguridad e inteligencia de

amenazas.

Sólo un 31% de las Organizaciones

realiza inteligencia de amenazas y

comparte información con otras

organizaciones.

3

10

2017 Deloitte Cyber Risk Services

Importancia de la Ciberseguridad para las Organizaciones

Pocoimportante

Extremadamente importante

Medianamenteimportante

Muy importante

69%20%2% 8%1%

Nada

11

2017 Deloitte Cyber Risk Services

Gobierno de Ciberseguridad

No existen roles específicos para gestionar la ciber seguridad

Roles y responsabilidades definidos

Roles y responsabilidades definidos y claros

Roles y responsabilidades definidos, claros y con tareas de detección, prevención y proactividad

Gobierno de ciber-riesgos y seguridad de la información formalizado y funcionando

13%

7%

12%

37%

31%

12

2017 Deloitte Cyber Risk Services

29%

20%

11%

6%

1-2% 3-5% 6-10% 11-20% > 20%

Presupuesto asignado a Ciberseguridad

34%

El 63% de las

organizaciones asigna a

Ciberseguridad entre un

1% y 5% del presupuesto

que de TI

6%

Sólo un 17% de las

organizaciones asigna un

equivalente al 11% ó mas

de su presupuesto de TI a

Ciberseguridad

13

El eslabón más débil:

Las Personas

14

2017 Deloitte Cyber Risk Services

Programas de Concientización

No cuenta con programa de concientización

Si cuenta con programa de concientización

69%

31%

El factor humano sigue siendo un factor de vital importancia para la seguridad de la información.

15

2017 Deloitte Cyber Risk Services

01 - Desgobierno de Datos

02 – Extinción del único Factor de Autenticación

03 – Zero Trust

06 - Cloud & ShadowIT

07 - IoT

11 - Secure by design

12 - Cyber en Boards

13 – Los impactos son más que económicos

08 - Cyber warefare

09 – Malware - protect or fail

05 - Inteligencia Artificial ofensiva y defensiva.

Cyber Strategic

Threat Landscape

04 - Identity-as-a-Service10 – Incremento de Regulaciones

1616

El viaje de la transformación de Ciberseguridad.

Comprenda qué es

realmente importante

para su Organización e

identifique el valor

Capture los requisitos de la

Entidad y conviértalos en

Políticas de cumplimiento

Para los datos críticos

identifique los

controles a

implementar en

Confidencialidad,

Integridad y

Disponibilidad

Defina e implemente

controles de monitoreo y

respuesta ante incidentes en

torno a eventos reales

Realice pruebas y

simulaciones de

respuesta ante

incidentes

1

2

3

4

5

17

1 - Ciber-EstrategiaEl viaje de la transformación de Ciberseguridad.

Panorama de las Amenazas

Conocimiento del Negocio

Cyber Framework

BENEFICIOS

Aumentar el valor de inversiones en Ciberseguridad

Comprender el nivel de madurez actual y capacidades de Ciber

Comunicarse con los grupos de interés internos y externos

Foco en las prioridades

Comprender las amenazas

Desarrollar una estrategia Ciber

Colaboración con las partes interesadas sobre el ciber riesgo permitiendo a las organizaciones evaluar y desarrollar una estrategia de ciberseguridad. A partir de su perfil

actual y sus capacidades, aumentar el valor en las inversiones en seguridad.

COMPRENDER Y ANALIZAR CIBER RIESGODESARROLLAR SU ESTRATEGIA

CIBER

Medir el impacto de las inversiones en ciber seguridad en la organización

e identificar los proyectos y las iniciativas de ciber seguridad

relevantes.

18

Estar alineada a los objetivos de la organización y con la realidad existente.

Los proyectos deben tener una sinergia entre sí y crear la base para futuras mejoras.

Definir un Marco de Gobierno.Se deben considerar mejoras a nivel de Personas, Procesos y Tecnología.

Incrementar la seguridad de acuerdo a los datos críticos y el apetito al riesgo.

Deben definirse métricas de mejora continua.

Definir no más de 3 proyectos en el año.

La estrategia debe ser conocida y aprobada por las autoridades máximas.

1 – Ciber-EstrategiaEl viaje de la transformación de Ciberseguridad.

1

2

3

4

5

6

7

8

19

Descubrimiento de datos

Exactitud e integridad de los

insumos, análisis e informes.

Implicaciones legales del uso

de datos.

Confidencialidad de la

información.

Protección de datos a lo largo

de su ciclo de vida

Transparencia de uso de los

datos personales.

Inventario de datos personales.

Gobierno regulatorio e

implicaciones de privacidad

Gestion del consentimiento

Ética de los datos utilizados y

finalidad de la analítica.

Fiabilidad y puntualidad de los

datos.

Gestión de riesgos de terceros

Gestion de Datos Privacidad de Datos

Informes de

datos y analytics

Protección de

Datos

2 – Secure – Protección de los DatosEl viaje de la transformación de Ciberseguridad.

20

Gestión de datos

¿Dónde se generan los datos críticos?¿Cómo se depuran los datos? ¿Cómo estás reduciendo errores?

¿Quién es el propietario de los datos críticos, dónde se almacenan y cómo gobierna los datos personales?

¿Cómo se equilibra la necesidad de acceso a los datos con el uso de datos?

¿Qué requisitos reglamentarios se aplican al intercambio y transferencia de datos dentro o fuera de su Organización?

¿Cómo se deben elminar los datos?¿Qué tan efectiva es su política de retención?

Informes de datos y análisis

¿Cómo se etiquetan los datos en la entrada? ¿Se puede detectar ingestión maliciosa?

¿Cuál es la alineación entre sus bases de datos, almacenamiento de datos y plataformas de informes?

¿Cómo lograr la interpretación responsable de los datos?

¿Cómo se monitorea el consumo y la transferencia de datos confidenciales?

¿Está su estrategia de monetización de datos alineada con su marco de retención de datos?

Privacidad de datos

¿Necesita el consentimiento para recopilar los datos? ¿Necesitas anonimizarlo?

¿Tiene un inventario actualizado de los datos personales?

¿Se están utilizando los datos de acuerdo con los compromisos legales y las regulaciones internacionales?

¿Los datos transferidos a terceros se hacen de acuerdo con las regulaciones de privacidad?

¿Puede manejar las solicitudes individuales para eliminar sus datos?

Protección de datos

¿Cómo clasifica sus datos y determina cómo deben protegerse?

¿Se protegen los datos mediante cifrado y controles de acceso?

¿Cómo gobiernas los controles?

Si un actor o amenaza accediera a los datos en tránsito, ¿podría ser utilizable?

¿Mantienes los datos demasiado tiempo? ¿Cómo se aseguran las copias de seguridad y los archivos?

Retener o

destruir

Compartir o

transferir

Analizar y

usar

Almacenar y

procesar

Crear o

coleccionar

¿Realmente conoces tus datos?

2121

Seguro

Seguridad Software

Gestión del Programa

Gestión de Terceros

Gestión de Accesos e

Identidades

Seguridad de

Infraestructuras

Administración de Personal

Protección de Información

Seguridad Cloud

3 – Secure - ProtecciónEl viaje de la transformación de Ciberseguridad.

2222

Busi

ness

Ris

k M

anag

em

ent

Gestionada

Visibilidad mejorada

Correlación

avanzada y

tendencias

Detección de patrones y

anomalías.

Threat Intelligence

Aplicación, base de

datos y sistemas

centrados en el

negocio.

Outlier, Temporal,

Análisis Estadístico

Persistent Threat

Monitoring

Definición del Proceso SOC,

Funciones y Responsabilidades

Inicial

Infraestructura Base

Despliegue SIEM y /

o MSS.

Consolidación de registros

y reportes

Controles

detectivos

tradicionales

Optimizada

Soluciones centradas en el negocio

Controles de

detección de fraude

Detección de fuga de

datos

Anomalía del proceso de

negocio y detección de

casos de uso

Detección de amenazas

de delitos cibernéticos

Advanced

Cyber Threats

Reinvención del SOC y gestión

de cartera.

Las organizaciones líderes se esfuerzan por

Activos Integrados e

Información de Identidad

La mayoría de las organizaciones están por aquí

La mayoría de las organizaciones quieren estar

aquí.

4 – Vigilancia – Secutity Operation Centers (SOC)El viaje de la transformación de Ciberseguridad.

Incident Response

Preparación Contención Erradicación Recuperación Retroalimentación

Negocio

Cyber Threat

Hunting

Hipótesis

Investigación

Resultado

Descubrimiento

Amenazas

Materializadas

Atacante

Capacidad

Victimas

Infraestructura

Penetration

Testing

La importancia de la integración

Cyber Information

Sharing (CSIRT)

Honey pots/Spam

traps

Deception

Servicios de compartición

Cuentas de correo

Aplicaciones

Servicios Web

Engaño

Infraestructura Critica

de Ciberseguridad

Monitoreo de Ciberseguridad

Monitoreo de Amenazas/Casos de Uso

SOC+

Threat Intelligence

Análisis e Inteligencia de

amenazas

Cyber Simulation

Red Team / Blue Team / Purple Team

DescubrimientoObjetivos Tipo de Ataque

24

Este marco de trabajo provee beneficios significativos en la implementación, debido a su flexibilidad y arquitectura de componentes, diseñados para cumplir las expectativas de nuestros clientes incorporando componentes de las mejores prácticas y normas internacionales tales como BS 11.200, PAS 200, ISO 22.301, DRII y BCI.

5 – ResilienciaEl viaje de la transformación de Ciberseguridad.

25

Las oportunidades y los riesgos en la era

digital se encuentran entrelazados –

Cero Riesgo implica Cero Oportunidad.

Continuo descubrimiento, evaluación y

adaptabilidad a los constantes cambios

en los riesgos y confianza serán

capacidades claves de los profesionales

de ciberseguridad durante las siguientes

décadas.

Muchas Gracias!nicorrado@deloitte.com