El Riesgo a través del Tiempo Alejandro Soulé Daniel Ramos

Transcripción

1 ISACA CAPÍTULO CIUDAD DE MÉXICO 60 Aniversario de la Computación en México El Riesgo a través del Tiempo Alejandro Soulé Daniel Ramos Octubre 2018

2 Alejandro Soulé GRC/IRM Sales Specialist FOTO(s) CONFERENCISTA(s) (sin enmarcar) Experto en Seguridad de la Información con más de dieciocho años de experiencia, durante los cuales se ha especializado y certificado en diversas tecnologías de seguridad. Ha sido colaborador en empresas como CA Technologies, Symantec, Oracle, Micro Focus y RSA, desempeñando cargos Comerciales y de Consultoría Técnica a nivel Latinoamérica. Ingeniero en Electrónica con especialización en Sistemas Digitales por la Universidad Autónoma Metropolitana. Cuenta con un Diplomado en Ventas por el Instituto Tecnológico de Estudios Superiores de Monterrey y un Programa de Alta Dirección por el IPADE. Es miembro de la Asociación Internacional de Profesionales en Privacidad (IAPP) y del Instituto FAIR, que ayuda a las organizaciones a medir, gestionar e informar sobre el riesgo de la información desde la perspectiva del negocio.

3 Daniel Ramos GRC/IRM Specialist FOTO(s) CONFERENCISTA(s) (sin enmarcar) Experto en Seguridad de la Información con más de once años de experiencia, enfocado principalmente en prácticas de Gestión de Riesgos y en el diseño de metodologías y marcos de gestión para entidades de diversas industrias. Consultor de Gobierno, Riesgo y Cumplimiento desde hace 8 años. Ingeniero Eléctrico Electrónico por la Universidad Nacional Autónoma de México, Cuenta con un Diplomado en Seguridad de la Información por la UNAM, un Diplomado de Administración de Proyectos de TICs por la UNAM, y OPSA OSSTMM ISECOM.

4 La Evolución del Riesgo

5 Oportunidad = Mayor Riesgo Expansión del Mercado Riesgo Normativo Transformación Digital Riesgo de TI y de Seguridad Crecimiento del Negocio Riesgo del Negocio Nuevos Socios M & A Riesgo de Terceros Resiliencia del Negocio

6 The New Risk Management In Town. DRM Su origen surge a raíz de la Transformación Digital usando predominantemente en un Contexto de Negocio. DRM es un esfuerzo complejo que requiere el monitoreo en tiempo real de la arquitectura de información estratégica. Incluye: Cybersecurity: Brechas de sistema y administración de incidentes. Data loss prevention: Fallas de sistema, daño, sobrescritura y eliminación accidental. Data leakage prevention: Garantizar que los usuarios no envíen información confidencial fuera de la red de la organización. Governance: Consiste en procedimiento y políticas con respect a obligaciones, regulaciones, cumplimiento, requerimientos contractuales y custodia de datos.

7 Digital Engagement Offense Defense Information Security IT Security OT Security Physical Security Reactive Proactive DRM es la gestión integrada de riesgos asociados con components de Negocio Digital como puden ser Cloud, Moile, Social Media, Big ata, Third-Party Technology, Operational Technology (OT) e Internet de las cosas (IoT). IoT Security Digital Security Gartner: Cybersecurity and Digital Risk Management: CIOs Must Engage and Prepare

8 La Transformación Digital se trata de Velocidad 78 % Los datos de riesgo influyen regularmente en las decisiones del 78% de los consejos de administración de las organizaciones. Gartner Marzo % De los ejecutivos que no pertenecen a TI, el 71% dijo que las preocupaciones sobre la ciberseguridad están impidiendo la innovación en sus organizaciones. Gartner % El 53% de los CISOs dijeron proporcionar informes a la Junta Directiva sobre iniciativas de inversión en Ciberseguridad. Solo el 18% de los Directores dijeron recibir tal información. 60 % Para 2020, el 60% de los negocios digitales sufrirán fallas importantes en el servicio, debido a la incapacidad de los equipos de seguridad de TI para administrar el riesgo digital. Marsh-Microsoft Global Cyber Risk Perception Survey, Feb 2018 Gartner Marzo 2017

9 Un Reto Organizacional Incremento en la Magnitud del riesgo Incremento en la Velocidad del riesgo Incremento en la Complejidad del riesgo

10 R I E S G O El Riesgo Digital es la mayor faceta de Riesgo que enfrentan las Empresas ALTO MEDIO BAJO A D O P C I Ó N D I G I T A L R I E S G O T R A D I C I O N A L R I E S G O D I G I T A L

11 Title C E O / J U N T A D I R E C T I V A??? RIESGO DIGITAL M O D E R N I Z AC I Ó N M A L I C I A Respuesta a Ciber Incidentes Riesgo de Terceros Privacidad de Datos Continuidad del Negocio Digital M A N D AT O S TI S E G U R I D A D G RC

12 Digital Risk Management El CIO se vuelve el agente central que enfatiza la union entre el negocio y el Riesgo Digital. Es una conexción que tiene importancia desde el personal Técnico hasta el No Técnico, desde el personal de apoyo hasta la Junta Directiva CIO debe reconocer y estar conciente de la imposibilidad de la Protección Perfecta Los ataques son inevitablesy para el 2020, el 60% del presupuesto de seguridad será dedicado únicamente para Detección y capacidades de Respuesta. Paul Proctor, Gartner vice president

13 El Mundo Digital Afectando el Mundo Físico Es posible que en un futuro, la seguridad digital se convierta también una responsabilidad sobre la seguridad de las personas, su entorno y su privacidad. Confidencialidad Privacidad Integridad Resilencia Seguridad Disponibilidad Confiabilidad Gartner: Top Digital Security Trends for

14 Quantum Risk Assessment La Amenaza Cuántica Actualmente, la integridad de los datos cifrados es un problema real. Técnicas de captura y descifrado utilizada por hackers en la cuál almacenan datos hasta que pueden descifrar la información, presentan un desafío para las infraestructuras de TI de las organizaciones. Los datos protegidos por cifrado el día de hoy, ya son técnicamente vulnerables a los hackers del mañana. Criptomonedas Privacidad Blockchain (sustentado parcialmente en criptografía de clave pública) C. Rugers: Risk management and the quantum threat

15 Estandarización?

16 INSPIRAR A TODOS A APROPIARSE DEL RIESGO

17 Agilidad, flexibilidad e integración Alineación y balanceo entre: Mejor desempeño Resiliencia más fuerte Mayor aseguramiento Cumplimiento más efectivo Simplificación, automatización e integración de procesos y datos estratégicos de la gestión de riesgos en todos los dominios Conectar los riesgos operativos a las estrategias del negocio y viceversa Gestión Integral del Riesgo

18 Cuantificación del Riesgo CUÁNTO RIESGO TENEMOS? CUÁLES SON NUESTROS MAYORES RIESGOS? HEMOS REDUCIDO EL RIESGO? QUÉ TIPO DE PÉRDIDA PODEMOS ESPERAR?

19 Quantum Risk Assessment Física Clásica Física Cuántica

20 Quantum Risk Assessment La publicación NIST explica que los sistemas criptográficos no deben considerarse obsoletos, pero habrá necesidad de tamaños de clave más grandes incluso para algoritmos de clave simétrica C. Rugers: Risk management and the quantum threat

21 Quantum Risk Assessment Una evaluación del riesgo cuántico proporciona una organización con los conocimientos necesarios para comprender el alcance de su riesgo cibernético cuántico, y el plazo en el que las amenazas cuánticas surjan. Una evaluación de riesgo cuántico (QRA) no reemplaza una evaluación de riesgo cibernético (RA) normal. Parte de la información recopilada durante una RA también es requerida por el proceso cuántico, por lo que la QRA generalmente se lleva a cabo junto con una RA tradicional o después de esta. Sin embargo, la QRA se centra en los problemas de seguridad específicos que surgen con las computadoras cuánticas C. Rugers: Risk management and the quantum threat

22 Quantum Risk Assessment Hace varios años, el Dr. Mosca propuso un modelo para evaluar el riesgo cuántico. El proceso de QRA de seis fases descrito aquí es coherente con los modelos de evaluación de riesgos de organizaciones como NIST, y también incorpora el modelo de riesgo cuántico "x, y, z" de Mosca. Fase 1- Identificar y documentar los activos de información, y su protección criptográfica actual. Fase 2- Investigue el estado de las computadoras cuánticas emergentes y la criptografía de seguridad cuántica. Estimar los plazos para la disponibilidad de estas tecnologías. Influir en el desarrollo y validación de la criptografía de seguridad cuántica. Fase 3- Identifique a los actores de amenazas y calcule su tiempo para acceder a la tecnología cuántica "z". Fase 4- Identifique la vida útil de sus activos "x", y el tiempo requerido para transformar la infraestructura técnica de la organización en un estado "y" de seguridad cuántica. Fase 5- determine el riesgo cuántico calculando si los activos comerciales se volverán vulnerables antes de que la organización pueda actuar para protegerlos. (x + y> z?) Fase 6- Identificar y priorizar las actividades requeridas para mantener la conciencia y migrar la tecnología de la organización a un estado de seguridad cuántica.

23 Black Mirror y Ciber Riesgos, un Vistazo al Futuro Hacking for blackmail.- Shut Up and Dance Privacy and Security.- The Entire History of You Data Security.- Hated in the Nation

24 La Gestión del Riesgo Impacta la Rentabilidad Circa 2015: las organizaciones que practican una buena administración de riesgo presentan márgenes de ganancias superiores 1 1 Fuente: PwC 2015 Risk in Review Survey 2 Fuente: PwC 2017 Risk in Review Survey Circa 2017: las organizaciones que desarrollan sus programas de administración de riesgo y que abogan para que esta sea la 1. ra línea de defensa esperan un crecimiento superior del margen de ganancias y de los ingresos 2

25 Retorno de Inversión en la Gestión Integral del Riesgo Resumen del ROI en cuanto al aumento en la eficiencia y la eficacia de las operaciones de gobierno corporativo, riesgo y cumplimiento de normas Beneficios anuales por cada 100 usuarios Operaciones de administración del riesgo general Mejoras clave de rendimiento logrados Equipos regulatorios ROI de 5 años Evaluaciones de riesgos Período de amortización US$17, % 11 MESES Resolución de las vulneraciones de seguridad 17% 19% 33% 63% MÁS EFICIENTES MÁS EFICIENTES MENOS TIEMPO MÁS RÁPIDO Después de que la IDC llevara a cabo entrevistas independientes y exhaustivas con las organización que han implementado una gestión integral del riesgo, se reveló un ROI del 496 %, el cual es una consecuencia de lo siguiente: Reducción del riesgo organizacional Operaciones de GRC más eficientes y eficaces Eficiencias operacionales La International Data Corporation (IDC) publicó estos gráficos en febrero de 2017 como parte de un documento de investigación más extenso y se deben evaluar en el contexto del documento completo. El documento de IDC está disponible a pedido por medio de RSA. Reducción del tiempo del personal

26 ISACA CAPÍTULO CIUDAD DE MÉXICO 60 Aniversario de la Computación en México El Riesgo a través del Tiempo alejandro.soule@rsa.com daniel.ramos@rsa.com Gracias