Los riesgos de seguridad y su impacto en los controles de las organizaciones: tendencias Septiembre 2012

Transcripción

1 Los riesgos de seguridad y su impacto en los controles de las organizaciones: tendencias Septiembre 2012

2 Agenda 1 Introducción 2 Visión estratégica de las amenazas al Amenazas externas 4 Amenazas regulatorias 5 Amenazas internas 6 Conclusiones

3 Introducción

4 Introducción Cómo se definen los controles en sus organizaciones? El proceso de gestión de riesgo Organizacional está alineado al proceso de gestión de riesgo tecnológico? Existe un proceso formal de gestión de riesgo tecnológico? Cada cuanto se actualiza el proceso de gestión de riesgos de sus organizaciones? Con que frecuencia aparecen nuevos riesgos en el Ciber-espacio?..entonces estamos preparados para atender los riesgos que presenta las tecnologías actuales y su evolución? 4

5 El reto Para aprovechar las ventajas de la tecnología y el ciberespacio, las organizaciones deben gestionar los nuevos riesgos más allá de los tradicionalmentereducir cubiertoalpor mínimo la función el elemento de seguridad de la información, incluidos sorpresa los... ataques a la reputación y todo tipo de tecnología desde los teléfonos hasta los sistemas de control industrial (p.e. SCADA). y la creación de capacidad de aguantar y recuperar. Gestión de riesgos tradicional no es lo suficientemente ágil para hacer frente a los riesgos de la actividad en el ciberespacio. La gestión del riesgo debe hacerse extensiva para crear resiliencia a riesgos, que debe ser construida sobre una base de preparación. 5

6 Una visión estratégica de las amenazas al 2014

7 Estructura 1. Se presentan las 10 principales amenazas que se espera se manifiesten o se fortalezcan en los próximos 2 años. 2. Por cada amenaza se presenta: Multiplicadores de las amenazas Industrias posiblemente afectadas Acciones iniciales a considerar 3. Estas amenazas se clasificaron en 3 categorías: Amenazas externas Amenazas regulatorias Amenazas internas 4. Por cada categoría se presenta el posible impacto al negocio de las amenazas de la categoría 7

8 Top 10 de amenazas por categoría Amenazas Externas Aumento en la ciber criminalidad La carrera ciber armas conduce a una ciberguerra fría Más causas entran en línea, los activistas se vuelven más activos El ciberespacio se vuelve físico Amenazas Regulatorias Nuevos requerimientos brilla una luz en los rincones oscuros, exponiendo debilidades Un enfoque en privacidad distrae otros esfuerzos de seguridad Amenazas Internas Las presiones de costos sofocar inversión crítica, una función subvaluado no puede seguir el ritmo Una comprensión nublada conduce a un desastre subcontratado Las nuevas tecnologías abruman La cadena de suministro incluye una fuga - la amenaza interna viene de fuera Fuente: Information Security Forum Threat Horizon

9 Amenazas externas Slide 9

10 Amenazas Externas: Aumento en la ciber criminalidad Crecimiento de las comunidades organizadas de Ciber crimen y espionaje Sofisticación tecnica y no-tecnica Aumento en la ciber criminalidad No se preveé disminución en el corto o mediano plazo Demostración esperanzadora de las autoridades 10

11 Aumento en la ciber criminalidad: Factores críticos Multiplicadores de las amenazas malware móvil Abuso de nuevos dominios de primer nivel (como. Isf en lugar de. Org o. Com) Ataques de Cloud Computing como la recolección de nube Los ataques se centra en la infraestructura de Internet (HTML5, Flash, Java, IPv6, SSL, etc) Industrias afectadas Actividades financieras y de Seguros Very High Información y Comunicaciones Very High Administración Pública y Defensa Very High Oil & Gas High Transporte y Almacenamiento High Ventas al mayor y al detal High Recomendaciones iniciales Implementar la seguridad básica tomado medidas para mejorar la resiliencia Establecer estrechas relaciones las agencias investigación Colaborar y compartir información de inteligencia y ataque cibernético con competidores, gobiernos, clientes, proveedores y organizaciones independientes 11

12 Amenazas Externas: La carrera de ciber armas conduce a la Ciber Guerra Fría Participación de países y estados Ataques efectivos y baratos La carrera de ciber armas conduce a la Ciber Guerra Fría Participació n manifiesta de los gobiernos Una guerra fría con consecuenc ias (Stuxnet) Costo del espionaje en el Negocio 12

13 La carrera de ciber armas conduce a la Ciber Guerra Fría: Factores críticos Multiplicadores de las amenazas Rootkits smartphones que permiten el espionaje Ataques centrados en la telefonía por Internet Robo sistemático de propiedad intelectual que habilita los mercados en desarrollo Perfilado de grandes datos, tales como la predicción de los resultados fiscales pobres antes de un informe anual Industrias afectadas Oil & Gas Very High Actividades financieras y de Seguros Very High Información y Comunicaciones Very High Manofactura Very High Minería Very High Actividades profesionales, científicas y técnicas Very High Administración pública y defensa Very High Transporte y Almacenamiento High Suministro de agua y servicios públicos High Recomendaciones iniciales Realizar una revisión de quién tiene acceso a la propiedad intelectual Elevar las medidas de seguridad para los grupos de investigación y desarrollo y de los miembros de la junta Involúcrese en las iniciativas de ciberseguridad nacional. Intercambie y actue sobre información de inteligencia sobre los ciberataques en otros países Revise su dependencia de la infraestructura empresarial nacional; revisar la continuidad del negocio y recuperación ante desastres 13

14 Amenazas Externas: Más causas entran en línea, los activistas se vuelven más activos Más causas entran en línea, los activistas se vuelven más activos Todos los que faltan van a estar Organización a un botón de distancia ( push of a button ) Riesgos de Gran Alcance (transnacion ales) It s here to stay 14

15 Más causas entran en línea, los activistas se vuelven más activos: Factores Críticos Multiplicadores de las amenazas Crowd sourcing (no sólo de los buenos) Incidentes de tipo Flash Mob Democracia moviéndose a en línea Movimientos civiles como la Primavera Árabe y Occupy Wall Street Nuevas hazañas de Anónimo, tales como la interceptación de llamadas entre USA y UK acerca de la investigación de hacking Doxing - mira a individuos impopulares a través de sus teléfonos inteligentes y las redes sociales Industrias afectadas Recomendaciones iniciales Actividades financieras y de Seguros Very High Información y Comunicaciones Very High Manofactura Very High Administración Pública y Defensa Very High Ventas al mayor y al detal Very High Oil & Gas High Transporte y Almacenamiento High Preparar y poner a prueba una respuesta coordinada involucrando relaciones públicas, seguridad jurídica y seguridad de la información y física Supervisar el ciberespacio para trending topics y los movimientos relativos a su marca o áreas de su negocio Tenga en cuenta que cada caso de activismo en línea puede ser muy diferente, por lo que de debe actuar en consecuencia 15

16 Amenazas Externas: El Ciberespacio se vuelve físico El Ciberespacio se vuelve físico Objetivos físicos infinitos Que son muy difíciles de asegurar 16

17 El Ciberespacio se vuelve físico: Factores críticos Multiplicadores de las amenazas Robots electrodomésticos o aeronaves no tripuladas que pueden ser hackeados Los ataques que resultan en la pérdida de vida, como atacar a los dispositivos médicos, el cambio de los semáforos, de forma remota deshabilitar los frenos del vehículo Conectividad de todos los dispositivos, impulsados por la eficiencia Industrias afectadas Oil & Gas Very High Manofactura Very High Actividades profesionales, científicas y técnicas Very High Suministro de agua y servicios públicos Very High Minería High Transporte y Almacenamiento High Recomendaciones iniciales Crear un inventario actualizado de todos los sistemas de control industrial y sistemas de control en tiempo real Revise estos sistemas para posibles accesos no autorizado. Asegúrese de que las medidas de seguridad adecuadas estén en su lugar Vigilar el acceso a estos sistemas y aislar, si es necesario Monitorear las tendencias de ataques en el ciberespacio y ajustar sus planes en consecuencia 17

18 Impacto al negocio de Amenazas Externas Acciones que se deben considerar para las amenazas Externas Asegúrese de que las medidas básicas de seguridad están en su lugar. Desarrollar ciber resiliencia mediante el establecimiento de un Gobierno de seguridad cibernética, la recolección oportuna de inteligencia e intercambio de datos de ataque, realizar una evaluación de la resiliencia y un plan de respuesta integral. Considere la posibilidad de involucrarse a las iniciativas locales de seguridad cibernética, el intercambio de datos de incidentes, y trabajar con otras organizaciones para construir las bases de la resiliencia. Monitorear las amenazas de los nuevos acontecimientos. Colaborar con las comunicaciones externas y los equipos de gestión de crisis Aumentar la participación de empresas líderes en la gestión de seguridad de información y la preparación 18

19 Amenazas regulatorias

20 Amenazas Regulatorias: Nuevos requerimientos brilla una luz en los rincones oscuros, exponiendo debilidades Transparencia en todas partes tiene consecuencias no esperadas Nuevos requerimientos brilla una luz en los rincones oscuros, exponiendo debilidades Momentum en todas partes (desde hace 10 años.us, SEC, EU, supply chain) Una buena noticia con algunos riesgos (cooperación de los buenos también) 20

21 Nuevos requerimientos brilla una luz en los rincones oscuros, exponiendo debilidades: Factores críticos Multiplicadores de las amenazas Obligación de tener información en tiempo real, no sólo una auditoría Los riesgos de seguridad públicos pueden atraer la ciber delincuencia Seguridad inadecuada con los socios de negocio críticos Escrutinio de los medios por incidentes de seguridad Industrias afectadas Actividades financieras y de Seguros Very High Información y Comunicaciones Very High Actividades profesionales, científicas y técnicas Very High Administración Pública y Defensa Very High Manofactura High Transporte y Almacenamiento High Ventas al mayor y al detal High Recomendaciones iniciales Crear y mantener un repositorio actualizado de los requisitos de presentación de informes legales y regulatorios Aumentar la seguridad y la gestión de la información para comenzar a planificar informes externos Preparar y poner a prueba sus procedimientos de respuesta a incidentes de seguridad, en especial la gestión de stakeholders. 21

22 Amenazas Regulatorias: El enfoque en privacidad distrae otros esfuerzos de seguridad Privacidad, privacidad en todas partes (EU, USA, CO) BRIC? El enfoque en privacidad distrae otros esfuerzos de seguridad Otra buena noticia con solidación de regulaciones La mayoría de las organizacion es deben proteger la privacidad 22

23 El enfoque en privacidad distrae otros esfuerzos de seguridad: Factores críticos Multiplicadores de las amenazas Posible creación de Ciber paraísos: los países sin regulaciones onerosas o sin la aplicación de la regulación Regulaciones similares a SOPA, FIPA y ACTA Aumento de las personas y los países que estarán en línea Industrias afectadas Recomendaciones iniciales Actividades financieras y de Seguros Very High Información y Comunicaciones Very High Actividades profesionales, científicas y técnicas Very High Administración Pública y Defensa Very High Ventas al mayor y al detal Very High Oil & Gas High Comience a planificar para las exigencias de la protección de datos Intensificar los requerimientos de seguridad de protección para aquellos socios comerciales que posean o procesen sus datos Determine qué cadena de suministro y socios de outsourcing están manejando datos en su nombre y asegúrese que cumplan con sus requisitos de seguridad de la información Considerar el impacto de cualquiera de los proveedores o socios comerciales se trasladan a las distintas jurisdicciones 23

24 Impacto al negocio de las Amenazas Regulatorias Acciones para responder a las amenazas regulatorias Adoptar y poner en práctica un enfoque estructurado y sistemático para evaluar el riesgo de violación de datos y cumplir con los requisitos de transparencia Actualizar su marco de protección de datos y los procedimientos de gestión de la información para reflejar los cambios legislativos. Vigilar los progresos legislativos y reglamentarios Revise los nuevos requisitos en detalle para que, en la medida de lo posible, se puede alinear controles de privacidad con otros controles. Únete y participar en asociaciones industriales y de otro tipo para evaluar e influir en la política. 24

25 Amenazas Internas

26 Amenazas Internas: Las presiones de costos sofoca la inversión crítica Las presiones de costos sofoca la inversión crítica Los malos están invirtiendo más que los buenos Algunas mejoras en el panorama 26

27 Las presiones de costos sofocar inversión crítica, una función subvaluado no puede seguir el ritmo: Factores críticos Multiplicadores de las amenazas Industrias afectadas Recomendaciones iniciales Costos ocultos de seguridad en iniciativas empresariales aparentemente atractivas El gasto en educación limitada que dificulta la capacidad para mantenerse al día con las amenazas Administración Pública y Defensa Very High Manofactura High Minería High Transporte y Almacenamiento High Suministro de agua y servicios públicos High Revisar si la función de seguridad de la información tiene recursos suficientes para el perfil de riesgo de la organizaciones Obtener el apoyo estratégico y el compromiso de la dirección ejecutiva 27

28 Amenazas Internas: Una comprensión nublada conduce a un desastre subcontratado Nueva división digital (efectividad en la aplicación de contres y gasto) Una comprensión nublada conduce a un desastre subcontratado Outsourcing y agilidad 28

29 Una comprensión nublada conduce a un desastre subcontratado: Factores críticos Multiplicadores de las amenazas Reducción de costos Competencia TI y las funciones de seguridad de la información que se aíslan de la empresa Industrias afectadas Actividades financieras y de Seguros Very High Información y Comunicaciones Very High Actividades profesionales, científicas y técnicas Very High Administración Pública y Defensa Very High Oil & Gas High Manofactura High Minería High Transporte y Almacenamiento High Suministro de agua y servicios públicos High Ventas al mayor y al detal High Recomendaciones iniciales Revisar los planes estratégicos (IT y seguridad de la información) Desarrolle la función de seguridad para responder a los cambios en el modelo de negocio de la organización correspondiente Informar y comunicar en el lenguaje de los negocios, sobre el valor y el riesgo, cuando el outsourcing es y no es apropiado, y sobre las posibles consecuencias para la seguridad 29

30 Amenazas Internas: Las nuevas tecnologías abruman Las nuevas tecnologías abruman La vanguardia puede ser riesgosa Big data: El próximo gran tema? The Internet of Things Mobile is king 30

31 Las nuevas tecnologías abruman: Factores críticos Multiplicadores de las amenazas Modelos matemáticos que oscurecen la falta de calidad de los datos. Análisis de los datos que pierde la visión global en su búsqueda de datos cada vez más detallados. La inteligencia artificial en toma de decisiones en los procesos de negocio automatizados Impresión en 3D que alienta el robo de propiedad intelectual y hace las fugas una preocupación Industrias afectadas Información y Comunicaciones Very High Manofactura Very High Actividades profesionales, científicas y técnicas Very High Administración Pública y Defensa Very High Ventas al mayor y al detal Very High Oil & Gas High Actividades financieras y de Seguros High Transporte y Almacenamiento High Recomendaciones iniciales Revisar las implicaciones de seguridad en la introducción de tecnologías nuevas y asegúrese de que los representantes de las empresas entiendan el riesgo asociado Tenga a seguridad de la información involucrada en nuevas iniciativas para que la seguridad adecuada puede introducirse lo antes posible, sin entorpecer el negocio 31

32 Amenazas Internas: La cadena de suministro tiene una fuga La cadena de suministro tiene una fuga Data, data en todas partes Riesgos complejos y costosos 32

33 La cadena de suministro incluye una fuga - la amenaza interna viene de fuera: Factores críticos Multiplicadores de las amenazas Interrupciones en la cadena de suministro que requieren un cambio a proveedores menos seguros Proveedores que no tienen la capacidad de eliminar la información confidencial de la empresa por demanda Deshonestos miembros de la cadena de suministro con enlaces a la ciber delincuencia La interrupción de la cadena de suministro debido a los nuevos hotspots políticos Industrias afectadas Actividades financieras y de Seguros Very High Información y Comunicaciones Very High Manofactura Very High Administración Pública y Defensa Very High Oil & Gas High Transporte y Almacenamiento High Ventas al mayor y al detal High Recomendaciones iniciales Llevar a cabo revisiones periódicas del impacto en el negocio y los riesgos de seguridad asociados con cada eslabón de la cadena de suministro y planificar la seguridad en consecuencia 33

34 Impacto al negocio de las Amenazas Internas Acciones para responder a las amenazas Internas Ayudar a la alta gerencia a comprender el valor de la seguridad de la información. Mejorar la integración de la seguridad en toda la empresa y elevar informes de seguridad a otro nivel de gobierno, como riesgo y cumplimiento (GRC) Comprender el apetito de su organización riesgo y asegurar que el valor de la inversión continua de seguridad cumple con las necesidades del negocio y está bien gastado Tomar posesión de la coordinación de la contratación y aprovisionamiento de las relaciones comerciales, incluidos subcontratistas, offshorers y cadena de suministro y los proveedores de cloud Monitorear las nuevas iniciativas de negocio y obtener seguridad involucrado temprano, como un facilitador. Desarrollar una buena comprensión de qué componentes de TI pueden ser externalizados y cuáles son los riesgos. Averigüe lo que sus proveedores y subcontratistas están haciendo acerca los riesgos que usted identifique. 34

35 Conclusiones

36 Conclusiones Y ahora qué? Anticipar tendencias y planificar posibles riesgos es de gran utilidad. Sin embargo, el futuro es en última instancia desconocido. Un horizonte de amenazas de dos años es poco probable que incluya un evento que ocurre una vez cada 100 años, ni un evento completamente inesperado. Para hacer frente a los desconocidos, la gestión de los riesgos conocidos o potenciales, debe ser ampliado para incluir resiliencia organizacional para imprevistos o de baja probabilidad y alto impacto acontecimientos. 36

37 Conclusiones Pero, Cómo? Ajuste en el proceso de Gestión de Riesgos de la organización, asegurándose que considere los riesgos tecnológicos y de la información. Ajustar los planes estratégicos (y su proceso de creación) de TI y SI Replantear la Función de Seguridad de Activos de Información cómo un elemento de apoyo y habilitador de los procesos del negocio y la innovación Evaluar la tercerización de algunas funciones de seguridad para incrementar su dinamismo Planear para 3 ó 5 años para estar listo ante amenazas de 1 o 2 años. 37

38 Trust is good, but control is better La red de Firmas suministra servicios de aseguramiento, impuestos y consultoría enfocados a las industrias, para mejorar el valor hacia los clientes. Más de 161,000 profesionales en 154 países que componen nuestra red comparten su pensamiento, experiencias y soluciones para desarrollar perspectivas frescas y proveer una asesoría práctica PricewaterhouseCoopers. PricewaterhouseCoopers se refiere a las Firmas colombianas que hacen parte de la organización mundial PricewaterhouseCoopers, cada una de las cuales es una entidad legal separada e independiente. Todos los derechos reservados.