Tendencias en Cyber Riesgos y Seguridad de la Información

Transcripción

1

2

3

4

5 Tendencias en Cyber Riesgos y Seguridad de la Información Estudio de Tendencias en Latinoamérica 2016 Junio 2016

6 Presentación y Perfil del Disertante Andrés Gil Socio de Deloitte, Líder de Servicios de Cyber Risk & Information Security para Región LATCO (Latin American Countries Organization) Tiene más de 20 años de experiencia en tecnologías de la información y más de 15 años asesorando a organizaciones en gestión de riesgos tecnológicos y de seguridad de la información Se ha especializado en gestión de cyber riesgos y seguridad de la información en instituciones financieras, asesorando en aspectos como planificación estratégica de seguridad de la información, implementación de soluciones tecnológicas de seguridad, respuesta ante cyber incidentes y concientización a la Alta Gerencia y a la organización en general sobre los riesgos de seguridad de la información. Es Ingeniero en Sistemas de Información, cuenta con un Master en Administración de Negocios y es certificado CISSP En 2013 recibió un reconocimiento de la Organización ISC2 denominado Managerial Professional for an Information Security Project Category in Americas as part of his development of Information Security Practices in Latin America Participa como ponente en conferencias y congresos de cyber riesgos y seguridad de la información desde

7 Agenda 1. Introducción al Estudio de Deloitte sobre Cyber Riesgos y Seguridad de la Información en Latinoamérica en Resumen de las Tendencias Identificadas 3. Principales Resultados y Hallazgos 4. Conclusiones Finales 7

8 Introducción al Estudio 8

9 Introducción al Estudio de Deloitte sobre Cyber Riesgos y Seguridad de la Información en Latinoamérica en 2016 Iniciativa Regional que permite identificar las tendencias en Cyber Riesgos y Seguridad de la Información Realizado entre Enero y Abril de Reuniones y Entrevistas con CISOs, Líderes y responsables de gestionar Cyber Riesgos y Seguridad de la Información de organizaciones de múltiples industrias. Las organizaciones participantes reciben un reporte de benchmarking personalizado 9

10 El Estudio 2016 en números 89/ 14/ Organizaciones participantes Países Presupuesto e Inversiones Gobierno Amenazas Se relevaron 1 tendencias generales y Información particulares obtenida de forma directa 2 de los responsables de Gestionar la Seguridad 3 La Encuesta Incluyó 41 preguntas SOC Tecnologías Mejores Prácticas 10

11 Industrias y Sectores Económicos Participantes Tecnología, Medios Y telecomunicaciones 9% Consumo Masivo y Manufactura 23% Sector Público 6% Energia y Recursos Naturales 8% Banca 43% Servicios Financieros 10% Ciencias de la Vida y Cuidado de la Salud 1% 11

12 Resumen de las Tendencias Identificadas 12

13 Principales Tendencias 1 4 DE CADA 10 ORGANIZACIONES SUFRIERON UNA BRECHA DE SEGURIDAD EN LOS ULTIMOS 24 MESES MENOS DEL 20% DE LAS ORGANIZACIONES CUENTAN CON UN SOC (Security Operation Center) 2 A PESAR DE QUE LAS ORGANIZACIONES INCREMENTAN SUS PRESUPUESTOS, LA PRINCIPAL BARRERA QUE ENFRENTAN LOS CISOs SIGUE SIENDO LA FALTA DE PRESUPUESTO Y/O DE RECURSOS SUFICIENTES 3 MENOS DEL 10% DE LAS ORGANIZACIONES CUENTAN CON INDICADORES (KPIs) Y/O TABLERO DE GESTION INTEGRAL DE RIESGOS DE SEGURIDAD 4 LA CAPACITACIÓN Y CONCIENTIZACIÓN ES LA INICIATIVA DE SEGURIDAD QUE MAYOR CANTIDAD DE ORGANIZACIONES EJECUTARAN EN

14 Principales Resultados y Hallazgos 14

15 Conformación del área de Seguridad de la Información Ejecutivo responsable de Gestionar Cyber Riesgos y la Seguridad de la Información No se cuenta con ejecutivo asignado 16% Si, más de uno 5% Existe un ejecutivo asignado 79% 15

16 Conformación del área de Seguridad de la Información (cont.) Nivel de Reporte de la Función Chief Information Officer (CIO) 17% Auditoria Interna 1% Chief Operations Officer (COO) 4% Junta directiva 2% Comité de Seguridad 3% Ejecutivo de TI 11% Chief Risk Officer (CRO) 15% No Aplica / No Sabe 11% Otro: 21% Chief Executive Officer (CEO) Chief Technology Officer 12% (CTO) 3% 16

17 Estrategia de Cyber Riesgos y Seguridad de la Información Sin documentar 14% Documentación y formalización A desarrollar y aprobar en los próximos 12 meses 26% Documentada y Aprobada 44% Documentada pero no aprobada 16% 17

18 Principales obstáculos y barreras que enfrenta el CISO #1/ Falta de Presupuesto y/o Recursos Suficientes (50%) #2 / Falta de Visibilidad y/o Influencia en la Organización (37%) Menos del 25% de las Organizaciones consideran que la complejidad de las amenazas hace más difícil gestionar la seguridad Sólo un 15% considera que las nuevas tecnologías dificultan la gestión de seguridad 18

19 Responsabilidades del CISO Concientización y capacitación en SI Monitoreo de eventos de SI Gobierno de SI (políticas, normas, estándares) Estrategia y planificación de SI Respuesta ante incidentes Administración de vulnerabilidades Indicadores, métricas y reportes de SI Cumplimiento y control de SI Administración de accesos Evaluación del riesgo de SI Seguridad de los datos Seguridad de las aplicaciones Administración de usuarios Presupuesto de SI Seguridad de la infraestructura (ej. Antivirus) Seguridad del perímetro de la red (ej. Firewall) Administración de programa de riesgos en SI Administración del riesgo de TI (tecnología de la Investigaciones Arquitectura de SI Monitoreo de marcas y riesgos externos que afecten a la Seguridad de terceras partes y socios de negocio Plan de recuperación ante desastres Seguridad física Administración de continuidad de negocio Administración de fraude Comprobación de antecedentes No conoce 21% 20% 15% 46% 44% 43% 38% 34% 33% 29% 78% 76% 76% 73% 71% 66% 66% 65% 65% 64% 61% 61% 61% 57% 56% 54% + 50% 9% 6% 19

20 Presupuesto de Seguridad de la Información Presupuesto de SI en relación al % Presupuesto TI No Informa 2% Cuenta con un presupuesto definido 60% No responde Mayor al 11% 10-11% 1-3% 3% 6% 35% 0% 3% 4-6% 17% No Sabe 36% Distribución del presupuesto Otros 7% 38% Infraestructura de SI 58% El presupuesto de Seguridad está bajo otras funciones Ej. IT Licencias de Software específico de SI Contrataciones de Servicios y Tercerización de Funciones 2016 Deloitte & Co. S.A. Tendencias en Cyber Riesgos y Sueldos Seguridad del personal de propio la Información en 47% 59% 71% 20

21 Evolución del Presupuesto respecto 2015 No aplica /No conoce 18% Incremento mayor al 10% 9% Incremento de entre 6% y 10% 3% Incremento de entre 1% y 5% 20% Mantenimiento del mismo presupuesto 29% Reducción del presupuesto 20% 21

22 Principales iniciativas para el Capacitación y concientización en Seguridad de la Información Gobierno de Seguridad de la Información (SI) Alineación de la SI con el negocio Protección de datos sensibles Generación de indicadores, medición y reporte de SI 22

23 Tecnologías de Seguridad Antivirus (100%) Firewalls (99%) Antispam (82%) Más Utilizadas Anti spyware (71%) Filtro de contenido (60 %) Sistema de Detección o Prevención de Intrusos (IDS/IPS) (64%) Vulnerability management (52%) Network access control (42%) Menos Utilizadas Administración de identidades federada (12%) Cifrado de almacenamiento / dispositivos móviles (17%) Enterprise Single Sign On (19%) Incident management workflow (22%) Seguridad / Cifrado de datos en reposo (22%) 23

24 Brechas de Seguridad Vectores: Ha sufrido una brecha externa y/o interna de seguridad en los últimos 24 meses? Si 38% Software malicioso (malware, troyano, virus, ransomware) que ingresa desde fuera de la organización Incidente causados por un ataque físico (ej. laptop robada) Incidente de seguridad ocasionado por un empleado (utilización de privilegios excesivos) Impacto Económico/Financiero: No 62% La mayoría No sabe o No aplica (+57%) Para aquellos que han evaluado, el 38% informa que el incidente no ha tenido impacto financiero El 20% sufrió perdidas inferiores a los USD 250,000 y un 5% pérdidas superiores a dicho monto. 24

25 Capacidades de Monitoreo y Respuesta ante Incidentes Se cuenta con capacidades de monitoreo de eventos técnicos y de negocio (ej. Correlación de eventos de intentos fallidos de acceso con geolocalización de browser del usuario y con logs transaccionales de aplicaciones) 15% No Conoce 2% No se cuentan con capacidades de loggeo de información de eventos de seguridad 14% Se realizar un monitoreo 7-24 de información de eventos técnicos de seguridad (ej. Logs de firewalls, logs de Active Directory, etc) 28% Se cuenta con capacidades de loggeo de información de eventos de seguridad pero no se monitorean dichos eventos, sólo se cuenta con capacidades para realizar análisis forense post-evento 41% 25

26 Utilización de un SOC ( Security Operation Center ) Si, se cuenta con un Centro de Operaciones de Seguridad 25% Sin Respuesta 9% A ser implementado durante % No dispone de un Centro de Operaciones de Seguridad 45% 26

27 Debilidades en Controles de Seguridad Hallazgos de Auditoría Inadecuada segregación de funciones Privilegios de acceso excesivos Continuidad de negocio y recuperación ante desastres Las políticas y estándares de seguridad no han sido implementados 05 Eliminación de privilegios de acceso ante cambios en la función o desvinculación 27

28 Prácticas de Administración de Usuarios y Accesos 1 En el 55% de las Organizaciones el proceso de administración de usuarios y accesos es totalmente manual 3 Sólo 1 de cada 4 organizaciones revisa y certifica periódicamente los accesos y permisos existentes en sistemas 2 Sólo el 25% de las organizaciones ha implementado una herramienta Wordclass para provisionar usuarios, menos del 15% para administrar roles y perfiles 28

29 Protección de Datos Personales +80% de las Organizaciones deben cumplir con Sólo la mitad han asignado recursos con dedicación a proteger datos personales regulaciones o leyes de protección de datos personales 1 de cada 4 organizaciones han sufrido brechas de seguridad con impacto en datos personales 29

30 Conclusiones Finales 30

31 Consideraciones finales Si bien existe conciencia sobre la importancia de la seguridad de la información, los CISOs en América Latina aún luchan por convencer a la organización para que inviertan en Seguridad 1 Los CISOs en Latinoamérica tienen bastante claridad y acuerdo en el alcance de sus responsabilidades y procesos. En ese alcance generalmente no se incluye la seguridad física ni la continuidad de negocio. 2 En un contexto de nuevas y más sofisticadas cyber amenazas, las Auditorías de Seguridad siguen identificando debilidades básicas de seguridad en segregación de funciones y administración de usuarios. Estos aspectos continúan siendo un área a mejorar por los CISOs 3 El desarrollo de capacidades para monitorear y responder a las cyber amenazas representa una necesidad urgente, las organizaciones aún se encuentran en un estado temprano de madurez en prácticas de Monitoreo y SOC 4 31

32 Enfoque de Gestión de Cyber Riesgos y Seguridad de la Información Hacia un esquema evolucionado de Gestión acorde a las necesidades y desafíos del nuevo entorno digital de negocios Be SECURE Proteger y Asegurar Be VIGILANT Monitorear y Conocer los riesgos y su impacto Be RESILIENT Responder y Recuperar Rápidamente ante un incidente Significa enfocarse en la protección de los activos más sensibles que soportan los procesos claves del negocio, aquellos que tanto Usted como el enemigo concuerdan en que son los más valiosos. Significa establecer una cultura en toda la organización que permita estar atentos a posibles amenazas y desarrollar la capacidad de detectar patrones de comportamiento que puedan indicar o incluso predecir un ataque a activos críticos. Significa tener la capacidad de rápidamente controlar el daño y movilizar los diversos recursos necesarios para minimizar el impacto, incluyendo costos directos y disrupción del negocio, así como también daños a la reputación y a la marca. 32

33 Muchas Gracias!! 33

34 Acerca de Deloitte Deloitte presta servicios profesionales en auditoría, impuestos, consultoría y asesoramiento financiero a organizaciones públicas y privadas de diversas industrias. Con una red global de firmas miembro en 140 países, Deloitte brinda su experiencia y profesionalismo de clase mundial para ayudar a sus clientes a alcanzar el éxito desde cualquier lugar del mundo en el que éstos operen. Los profesionales de la Firma están comprometidos con la visión de ser modelo de excelencia; están unidos por una cultura de cooperación basada en la integridad y el valor excepcional a los clientes y mercados, en el compromiso mutuo y en la fortaleza de la diversidad. Disfrutan de un ambiente de aprendizaje continuo, experiencias retadoras y oportunidades de lograr una carrera en Deloitte. Sus profesionales están dedicados al fortalecimiento de la responsabilidad empresarial, a la construcción de la confianza y al logro de un impacto positivo en sus comunidades. Deloitte se refiere a Deloitte Touche Tohmatsu -asociación suiza- y a su red de firmas miembro, cada una como una entidad única e independiente. Por favor, vea en la descripción detallada de la estructura legal de Deloitte Touche Tohmatsu y sus Firmas miembro.

35

36