El deber de la Junta Directiva: Abordar el Ciber Riesgo

Transcripción

1 El deber de la Junta Directiva: Abordar el Ciber Riesgo Wilmar Arturo Castellanos Noviembre de 2014

2 Agenda El panorama cambiante de amenazas La necesidad de apoyo de la junta directiva Estrategias para el éxito Preguntas

3 El panorama cambiante de amenazas

4 El panorama está evolucionando Ambiente de amenazas que evoluciona Ambiente Regulatorio Cambiante Ambiente de TI Cambiante El negocio y el entorno de TI están cambiando... Modelos de negocio nube, movilidad, tercerización Entorno de TI de la empresa interrumpido BYOD Reguladores preocupados por las ciber amenazas hay riesgos nuevos, persistentes y evolutivos Ataques más frecuentes, sofisticados y maliciosos Un amplio rango de motivaciones La información es fácilmente accesible y representa dinero Los altos ejecutivos son el objetivo las empresas luchan por mantener el paso Los riesgos evolucionan más rápido que la capacidad de reacción de las empresas No hay disponibilidad de todas las habilidades Entendimiento y soporte de la Junta Presiones de presupuesto Cómo medir el ciber riesgo Transformar su pensamiento sobre ciber riesgo

5 La innovación que impulsa el crecimiento, también crea ciber riesgos Agentes de amenazas aprovechan las debilidades que son generadas por el crecimiento de los negocios y las innovaciones tecnológicas Las ciber amenazas son riesgos asimétricos: Pequeños, pero calificados grupos pueden generar un daño desproporcionado Las motivaciones son muy específicas, reducción del azar Distribuidos alrededor del mundo, buscan evadir la aplicación de la ley La velocidad de las amenazas está en aumento La ventana de respuesta se está reduciendo La seguridad perfecta no es factible. En cambio, disminuir el impacto de los ciber incidentes es posible siendo: SEGUROS VIGILANTES RESISTENTES Los programas de ciber riesgos deben ser considerados una parte más de la gestión del negocio

6 El panorama de la ciber seguridad Estados-nación y espías Los que buscan robar secretos de seguridad nacional o propiedad intelectual. Criminales organizados Autores que usan herramientas sofisticadas para robar dinero e información privada o sensible acerca de los consumidores de una entidad (e.g., robo de identidad) Terroristas Los que buscan atacar la infraestructura económica clave de un Estado. Hacktivistas Individuos o grupos que buscan hacer una declaración social o política mediante el robo o publicación de información sensible de una organización. Inteligencia ante la amenaza Vectores de amenaza Matriz de amenazas Capacidad de recuperación ante la amenaza mesa redonda de la SEC sobre seguridad cibernética, marzo de 2014

7 La necesidad de apoyo de la junta directiva

8 El rol de la Junta Directiva frente al ciber riesgo Un panelista observó que aproximadamente el 1 por ciento de las juntas de directores (de compañías registradas SEC) tienen al menos un miembro con experticia en seguridad cibernética o en tecnología. un creciente número de juntas está contratando expertos externos para que les ayuden con la evaluación de los riesgos de la seguridad cibernética los panelistas sugirieron que la junta de directores y el liderazgo principal son críticos para la efectividad de la preparación y la capacidad de recuperación de la compañía ante las amenazas a la seguridad cibernética. los individuos que están en la estructura de gobierno (y en otros roles de liderazgo) de la entidad deben ser capaces de hacer las preguntas correctas, entender las implicaciones estratégicas de las amenazas, y centrarse en la competencia de los protocolos y de los programas de respuesta de la entidad. la administración principal puede jugar un rol importante en la creación de una cultura de seguridad cibernética que comienza en la junta. mesa redonda de la SEC sobre seguridad cibernética, marzo de 2014

9 La JD debería establecer el apetito al riesgo y focalizarse en lo prioritario Quién me podría atacar? Qué están buscando, cuáles son los riesgos clave que debo mitigar? Qué tácticas podrían utilizar? Programa de ciber riesgo y gobierno Ciber criminales "Hacktivistas Estados (Países) Desde adentro / socios de negocio Competidores Hackers expertos SEGUROS VIGILANTES RESISTENTES Tenemos implementados controles para defendernos de las amenazas conocidas y emergentes? Podemos detectar actividades maliciosas o sin autorización, incluso las desconocidas? Podemos actuar y recuperarnos rápidamente para minimizar el impacto?

10 La JD debería establecer el apetito al riesgo y focalizarse en lo prioritario Quién me podría atacar? Qué están buscando, cuáles son los riesgos clave que debo mitigar? SEGUROS Tenemos implementados controles para defendernos de las amenazas conocidas y emergentes? Qué tácticas podrían utilizar? Programa de ciber riesgo y gobierno VIGILANTES Podemos detectar actividades maliciosas o sin autorización, incluso las desconocidas? RESISTENTES Podemos actuar y recuperarnos rápidamente para minimizar el impacto? Robo de propiedad intelectual / Planes Estratégicos Fraude Financiero Daño reputacional Interrupción de la operación del negocio Destrucción de infraestructura crítica Amenazas a la seguridad y salud

11 La JD debería establecer el apetito al riesgo y focalizarse en lo prioritario Quién me podría atacar? Qué están buscando, cuáles son los riesgos clave que debo mitigar? SEGUROS Tenemos implementados controles para defendernos de las amenazas conocidas y emergentes? Qué tácticas podrían utilizar? Programa de ciber riesgo y Programa de ciber riesgo gobierno y VIGILANTES Podemos detectar actividades maliciosas o sin autorización, incluso las desconocidas? RESISTENTES Podemos actuar y recuperarnos rápidamente para minimizar el impacto? Phishing, malware, etc. Vulnerabilidades en software o hardware Terceros comprometidos Ataques multi-canales Robo de credenciales

12 La JD debería establecer el apetito al riesgo y focalizarse en lo prioritario Qué están buscando, cuáles son los riesgos clave que debo mitigar? SEGUROS Tenemos implementados controles para defendernos de las amenazas conocidas y emergentes? Quién me podría atacar? Qué tácticas podrían utilizar? Programa de ciber riesgo y gobierno VIGILANTES Podemos detectar actividades maliciosas o sin autorización, incluso las desconocidas? RESISTENTES Podemos actuar y recuperarnos rápidamente para minimizar el impacto? Seguros Defensas perímetro Gestión de las vulnerabilidades Gestión de activos Vigilantes Inteligencia de amenazas Monitoreo de la seguridad Resistentes Respuestas a incidentes Análisis forense Gestión de las identidades Ciclo de desarrollo seguro de sistemas Protección de datos Análisis del comportamiento Analíticas de riesgos Continuidad del negocio Recuperación de desastres Gestión de crisis

13 El apoyo de la JD es clave Junta Directiva y Presidente Toneat thetop Creación de conciencia de ciber riesgo Gobierno del ciber riesgo Alta Dirección (COO, CAO, CRO) Dirección IT (CIO) de Información (CIO) Dirección de Riesgo de IT / (CISO/CITRO) Lideres líneas de negocio Empoderar Liderar (No delegar) Definir el balance adecuado Apoyar la integración de la gestión del ciber riesgo Dominios TI Ejecutar la Estrategia Gestionar e informar riesgos Gestión integral del ciber riesgo totalmente integrado a las disciplinas TI Arquitectura e ingeniería Infraestructura Desarrollo de aplicaciones Operaciones de Seguridad Otras funciones

14 Estrategias para el éxito

15 Estableciendo un amplio programa de riesgo cibernético Un marco de gestión de riesgo cibernético puede ayudar a las organizaciones a racionalizar los riesgos y gastos, y al mismo tiempo cumplir con la regulación y otros requisitos Marco de Gestión del Riesgo Cibernético Marco de Conceptos Crecimiento / Innovación Costos Seguro Vigilante Resistente Gobierno y supervisión La estructura organizacional, comités, roles y responsabilidades de gestionar el ciber riesgo. Políticas y normas Manejo de expectativas para la gestión de tecnología y riesgo de tecnología. Gestión de procesos Procesos para gestionar riesgos en Línea 1 ( Operaciones y gestión del riesgo ) Línea 2 ( Supervisión del Riesgo ) Herramientas y tecnología Instrumentos y tecnología que apoyan el ciclo de vida de gestión de riesgos y la integración de ciber riesgo Medición de riesgos Informes que identifican riesgos y funcionamiento a través de TI; comunicados a múltiples niveles de dirección Cultura de riesgo Actitud en los niveles superiores sobre el apetito al riesgo, entrenamiento apropiado y conciencia, etc. para promover una cultura positiva de riesgo. Gestión y dominios de riesgo Estrategia TI Gestión de datos Gestión de Programas Gestión de aplicaciones Seguridad de la información / Ciber Riesgo (SI / CR) Gestion de la continuidad del servicio Entrega del servicio y operaciones Gestión Financiera Gestión de proveedores / terceros Gestión del Talento Las acciones de la organización deberán ser priorizadas al entorno de su industria y operación

16 Principales preguntas para la JD Estamos enfocados en lo correcto? Tenemos el talento apropiado? Somos proactivos o reactivos? Estamos incentivando la colaboración abierta? Nos estamos adaptando al cambio?

17 10 Pasos que la Junta debería considerar Establezca un Comité de Ciber Riesgos separado del Comité de Auditoría y defina un responsable para gestión de riesgos de negocio incluyendo los ciber riesgos Determine si el CISO (Oficial de Seguridad) debería reportar a una gerencia diferente al CTO (Director de TI), basado en la tolerancia de riesgo de la organización y el perfil de la información sensible. Evalúe el plan existente de respuesta a incidentes cibernéticos. Enfoque los controles en lo prioritario y qué hacer en caso de un incidente. 4 Revise la política de alto nivel que tenga la organización para crear una cultura de conciencia al riesgo. 5 Determine si los requisitos de seguridad y privacidad para proveedores (incluyendo proveedores de servicios en la nube, hosting, mobile y de Software as a Service - SaaS) cumplen con el programa de seguridad de la empresa

18 10 Pasos que la Junta debería considerar Solicite informes regulares a la dirección sobre riesgos de privacidad y seguridad no basados en estados de avance de proyectos sino en indicadores de riesgo claves Lleve a cabo una reunión anual con el comité encargado de ciber riesgo para revisar presupuestos de ciber seguridad y determinar si el presupuesto para seguridad y gestión de riesgos cibernéticos se alinea con el perfil de riesgo de la compañía y el apetito al riesgo Realice revisiones anuales de seguridad y programas de privacidad incluyendo respuesta a incidentes, notificación de contingencias, recuperación de desastres y planes de comunicación de crisis. 9 Reevalúe anualmente el uso y la necesidad de seguros para ciber amenazas. 10 Solicite a la administración mantenerlo regularmente actualizado para garantizar que los controles de seguridad están en línea con la tolerancia al riesgo de la organización.

19 Preguntas

20