Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina. Guatemala Julio 2014

Transcripción

1 Tendencias 2014 Gestión de Seguridad de la Información en Instituciones Financieras de América Latina Guatemala Julio 2014

2 Agenda Introducción Tendencias Seguridad 2014 Conclusiones Deloitte

3 Introducción

4 Contexto y Desafíos de Seguridad para las Instituciones Financieras Alta dependencia de los recursos informáticos y del acceso a información Ambientes de procesamiento cada vez más complejos y heterodoxos: múltiples plataformas, ambientes virtualizados, tecnología tercerizada y modelos en la nube Aumento de los ataques y expuestos de seguridad, tanto en cantidad como en sofisticación, con foco en los canales electrónicos de atención a clientes Preocupación por la confidencialidad de la información, especialmente cuando la información puede afectar al negocio o a las personas Riesgos de fraude y de impacto en la imagen derivados de incidentes de seguridad Si bien la seguridad de la información es reconocida como un tema crítico, muchas veces no recibe la atención y apoyo que debería de los niveles de alta dirección Las Organizaciones necesitan Implementar Procesos Integrales de Gestión de Seguridad de la Información, a Costos Razonables 3 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

5 En la era de la Información y de los Cyber-Ataques 4 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

6 Encuestas globales de Deloitte en Seguridad de la Información Incluyen a Organizaciones de distintas industrias: FSI Financial Services Industry TMT Technology, Media & Telecommunications E&R Energia y Recursos Naturales Se realizan mediante entrevistas personales de nuestros Socios y Gerentes de nuestros servicios de Cyber Risk con CISOs (Chief Information Security Officers) y ejecutivos responsables en la gestión de Seguridad de la Información de organizaciones a nivel global El objetivo es poder contar con información sobre las tendencias, necesidades e intereses de las Organizaciones en materia de Seguridad de la información, proporcionada por los propios ejecutivos y responsables de Gestionar Riesgos de Seguridad 5 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

7 Encuestas 2014 de Seguridad en Instituciones Financieras de América Latina Se focalizó en bancos y empresas de seguros de América Latina En 2014 incluyó la participación de 41 entidades financieras de la mayoría de los países de América Latina Se realizó mediante un cuestionario de 60 preguntas, respondido mediante entrevistas con Chief Security Officers/Chief Information Security Officers (CISOs) y/o responsables de la gestión de riesgos de seguridad de la información 17% 83% Bancos Seguros 6 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

8 Tendencias Seguridad 2014

9 Encuestas 2014 de Seguridad en Instituciones Financieras de América Latina Principales Tendencias Observadas 1. Incremento de los presupuestos destinados a gestionar la seguridad de la información 2. Desafío de establecer un equilibrio entre los costos de las iniciativas referentes a seguridad de la información y la materialización de las amenazas e implementación de nuevas tecnologías 3. Las organizaciones gestionan cada vez más los riesgos vinculados a la adopción de nuevas tecnologías, tales como servicios en cloud, aplicaciones mobile y la utilización de redes sociales, 4. Foco en proteger la información sensible y formalizar la función de privacidad. 5. Necesidad de gestionar adecuadamente los riesgos de ataques internos y externos, desarrollando capacidades de respuesta ante incidentes. 8 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

10 Encuestas 2014 de Seguridad en Instituciones Financieras de América Latina Posicionamiento y Reporting 1. A quién reporta el ejecutivo responsable de seguridad de la información? Chief Executive Officer (CEO) Chief Risk Officer (CRO) Chief Operations Officer (COO) Chief Information Officer (CIO) Otro Comité de seguridad Chief Administrative Officer (CAO) Chief Technology Officer (CTO) Comité ejecutivo No aplica/ No sabe Legal y Compliance Auditoría interna Ejecutivo de IT Presidente Chief Financial Officer (CFO) Chief Privacy Officer (CPO) 0.0% 2.4% 2.4% 2.4% 2.4% 2.4% 2.4% 4.9% 4.9% 4.9% 9.8% 9.8% 12.2% 12.2% 17.1% 22.0% 9 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

11 Encuestas 2014 de Seguridad en Instituciones Financieras de América Latina Alcance de la Función de Seguridad de la Información Alcance de las responsabilidades de la función de Seguridad de información (por ej: CISO) Estrategia y planificación de SI Gobierno de SI (políticas, normas, estándares) Respuesta ante incidentes Monitoreo de SI Cumplimiento y control de SI Administración de vulnerabilidades Indicadores, métricas y reportes de SI Administración de accesos Seguridad de los datos Concientización y capacitación en SI Administración de usuarios Seguridad de las aplicaciones Presupuesto de SI Evaluación del riesgo de SI Administración del programa de riesgos en SI Arquitectura de SI Seguridad de la infraestructura Seguridad del perímetro de la red Administración del riesgo de IT Consultoría de riesgo en SI Plan de recuperación ante desastres Investigaciones Administración de la seguridad con terceros Administración de continuidad de negocio Administración de fraude Seguridad física Comprobación de antecedentes Otras No aplica/ No sabe 0% 0% 10 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica 17% 15% 27% 56% 56% 54% 54% 54% 51% 46% 41% 39% 37% 34% 34% 83% 80% 78% 78% 73% 73% 73% 71% 66% 63% 93% 90%

12 Encuestas 2014 de Seguridad en Instituciones Financieras de América Latina Midiendo la eficacia y eficiencia de la función de Seguridad 3. Qué afirmación representa mejor la forma de medir y demostrar el valor y la eficacia en las actividades de seguridad de la información de la organización? Hemos establecido métricas que han sido alineadas con el negocio y se reportan de forma programada Hemos establecido métricas que han sido alineadas con el negocio y se reportan sobre una base ad hoc 17.1% 17.1% Estamos trabajando en el establecimiento de métricas y alineándolas con el negocio 43.9% Hemos establecido métricas que son técnicas, las cuales no son del todo entendidas por funciones externas a seguridad de la información y TI 14.6% Poco, si alguna métrica se lleva a cabo 4.9% Nosotros no lo medimos 0.0% 11 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

13 Encuestas 2014 de Seguridad en Instituciones Financieras de América Latina Barreras para implementar Seguridad en las Instituciones 4. Principales obstáculos que enfrenta su organización para ejecutar su programa de seguridad de información Falta de apoyo ejecutivo o del negocio La falta de claridad sobre el mandato, las funciones y responsabilidades 17% 20% La falta de visibilidad e influencia dentro de la organización 29% La falta de suficiente presupuesto y/o recursos 34% La falta de recursos competentes 10% El complejo panorama internacional legal y normativo (por ejemplo en cuanto a la privacidad) 7% El aumento de complejidad de las amenazas 24% La gestión de los riesgos asociada con nuevas tecnologías 10% La falta de una estrategia de seguridad de la información y el roadmap de implementación 17% Otro 10% Sin barreras 0% No aplica / no sabe 2% 12 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

14 Encuestas 2014 de Seguridad en Instituciones Financieras de América Latina En qué invierten las instuciones financieras 5. Principales iniciativas de seguridad de su organización para el 2014 Cumplimiento regulatorio y legislativo de seguridad de la información 36.6% Protección de Datos 31.7% Gobierno de seguridad de la información 29.3% Medición y reporte en seguridad de la información 24.4% Continuidad del Negocio 22.0% Estrategia y roadmap de seguridad de la información de seguridad 19.5% Alineación de la seguridad de la información con el negocio 19.5% Seguridad de la red móvil 17.1% Administración de identidad y acceso 14.6% Seguridad relativa a avances tecnológicos 14.6% Remediación en el cumplimiento de los elementos de seguridad 14.6% Otro 14.6% Capacitación y concientización en seguridad de información 12.2% Seguridad cibernética 12.2% Recuperación de Desastres 12.2% Puesta en funcionamiento de la seguridad de información 7.3% Seguridad de aplicaciones 7.3% Gestión de amenazas internas 4.9% Gestión del talento en seguridad de la información 2.4% Seguridad de terceros 2.4% Privacidad 2.4% 13 No aplica / no sabe 0.0%

15 Encuestas 2014 de Seguridad en Instituciones Financieras de América Latina Confianza en las capacidades de seguridad 6. Nivel de confianza en que los activos informáticos de su organización se encuentran protegidos de un ataque o brecha de seguridad Ataque o brecha de seguridad originada internamente. Ataque o brecha de seguridad originada externamente. Ninguna confianza en absoluto No mucha confianza Algo de confianza Mucha confianza 0% 27% 41% 20% 0% 5% 51% 44% 14 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

16 Encuestas 2014 de Seguridad en Instituciones Financieras de América Latina Incidentes de Seguridad 7. Su organización ha experimentado algún tipo de ataque externo durante los últimos 12 meses? 29.3% Ataques Robo de información causado por espionaje industrial o del Estado Fraude financiero externo a través de los sistemas de información Una ocurrencia Múltiples ocurrencias 0% 0% 2% 2,4% 70.7% Si No Incidentes en la información causados por un ataque electrónico fuera de la organización Incidentes en la información causados por un ataque físico fuera de la organización Incidentes en la información causados por un proveedor fuera de las premisas de la organización Incidente en la red móvil originada desde fuera de la organización Software malicioso originado en las afueras de la organización 4,9% 2,4% 4,9% 2,4% 2,4% 2,4% 0% 0% 4,9% 7,3% Ataques a sitios web 0% 2,4% Otros 7,3% 2,4% 15 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

17 Encuestas 2014 de Seguridad en Instituciones Financieras de América Latina Incidentes de Seguridad 8. Su organización ha experimentado algún tipo de ataque interno durante los últimos 12 meses? 46.3% 53.7% Si No Ataques Fraude financiero interno a través de los sistemas de información Incidente de seguridad causado desde adentro o por un socio comercial Incidente de seguridad causado desde adentro de la organización por un empleado Incidente de seguridad causado desde adentro de la organización por un tercero Perdida accidental originada dentro de la organización Incidentes en la información causados por un proveedor dentro de la organización Incidente en la red móvil originada desde adentro de la organización Software malicioso originado dentro de la organización Una ocurrencia Múltiples ocurrencias 12,2% 2,4% 9,8% 2,4% 17,1% 2,4% 12,2% 4,9% 14,6% 2,4% 2% 4,9% 0% 2% 2,4% 4,9% Otros 7,3% 12,2% 16 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

18 Encuestas 2014 de Seguridad en Instituciones Financieras de América Latina Principales Riesgos Identificados 9. Identifique el impacto de las distintas amenazas Amenaza Sin Impacto Impacto Bajo Impacto Medio Impacto alto N/C Espionaje industrial o del Estado 29,3% 26,8% 24,4% 17,1% 2% Ataques coordinados 17,1% 39,0% 24,4% 19,5% 0 Fraude financiero a través de sistemas de información 7,3% 31,7% 41,5% 19,5% 0 Abuso de los empleados de los sistemas de IT y la información 2,4% 31,7% 56,1% 9,8% 0 Errores y omisiones de los empleados 2,4% 22,0% 63,4% 12,2% 0 Incidentes con la información, incluyendo datos personales 2,4% 31,7% 51,2% 14,6% 0 Ataques explotando vulnerabilidades en la red móvil 17,1% 34,1% 24,4% 24,4% 0 Ataques explotando vulnerabilidades en aplicaciones online de la organización 9,8% 43,9% 34,1% 12,2% 0 Amenazas resultantes de la conjunción de las redes sociales y las plataformas online dentro de la red corporativa Amenazas resultantes de la adopción de tecnologías emergentes que podrían contener vulnerabilidades 22,0% 41,5% 14,6% 22,0% 0 19,5% 31,7% 36,6% 12,2% 0 Amenazas avanzadas persistentes 14,6% 56,1% 22,0% 7,3% 0 Riesgos sistémicos 9,8% 43,9% 36,6% 9,8% 0 Diversidad de reacciones culturales con respecto a la seguridad de la información 19,5% 29,3% 39,0% 7,3% 0 Incidentes de seguridad que involucran terceras partes 14,6% 36,6% 34,1% 14,6% 0 Hacktivismo o Ciberactivismo 17,1% 39,0% 17,1% 26,8% 0 17

19 Encuestas 2014 de Seguridad en Instituciones Financieras de América Latina Principales tecnologías implementadas para Gestionar Seguridad 10. Adopción de Tecnologías de Seguridad En piloto dentro de los Sin planes de Tecnología Implementada En Piloto N/C próximos 12 meses implementar Antivirus 70,7% 4,9% 0% 0% 0% Firewalls 73,2% 0% 0% 0% 2,4% Intrusion Detection and/or Prevention Systems (IDS/IPS) 51,2% 9,8% 9,8% 0% 4,9% Filtro de contenido 43,9% 19,5% 7,3% 0% 4,9% Soluciones antispam 58,5% 9,8% 2,4% 0% 4,9% Antispyware software 51,2% 12,2% 4,9% 2,4% 4,9% Soluciones antiphishing 34,1% 9,8% 12,2% 12,2% 7,3% Encripción de correo electrónico 9,8% 14,6% 24,4% 19,5% 7,3% Autenticación de correo electrónico 24,4% 9,8% 12,2% 19,5% 9,8% Tecnología de Data Loss Prevention 14,6% 14,6% 26,8% 12,2% 7,3% Encripción de archivos en dispositivos móviles 14,6% 9,8% 24,4% 17,1% 9,8% Encripción de dispositivos de almacenamiento 19,5% 7,3% 24,4% 17,1% 7,3% Seguridad/ Encripción de datos en reposo 19,5% 7,3% 22,0% 19,5% 7,3% Administración de vulnerabilidades 36,6% 14,6% 12,2% 7,3% 4,9% Análisis del comportamiento de la red 34,1% 12,2% 9,8% 12,2% 7,3% Soluciones de seguridad para redes Wireless 31,7% 7,3% 14,6% 17,1% 4,9% Network access control (NAC) 34,1% 9,8% 17,1% 9,8% 4,9% Dispositivos biométricos para la autenticación de usuarios 9,8% 7,3% 4,9% 46,3% 7,3% Single Sign On 12,2% 2,4% 22,0% 31,7% 7,3% Sistemas web para administración de accesos 29,3% 12,2% 4,9% 17,1% 12,2% Identity management 4,9% 4,9% 7,3% 46,3% 12,2% Herramientas de centralización de logs y monitoreo 39,0% 17,1% 14,6% 0% 4,9% Herramientas para administración de incidentes 24,4% 14,6% 17,1% 9,8% 9,8% Herramientas para cumplimiento regulatorio 17,1% 12,2% 26,8% 12,2% 7,3% Seguridad de los servicios en la web 34,1% 12,2% 12,2% 9,8% 7,3% 18 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

20 Encuestas 2014 de Seguridad en Instituciones Financieras de América Latina Redes Sociales como nuevo canal de negocios 11. Cómo hace frente a los riesgos de seguridad asociados con las redes sociales? Implementación de controles técnicos para controlar o bloquear el uso organizacional 39.0% Implementación de servicio de protección de marca en línea para evitar daños a la marca 26.8% Revisar y actualizar las políticas organizacionales para incluir los términos de uso aceptable de las redes sociales y sitios de blogs Educar a los usuarios acerca de los blogs y las redes sociales a través de programas de capacitación y sensibilización para reducir el impacto en el negocio 41.5% 46.3% No hace uso de redes sociales 24.4% No gestiona riesgos de seguridad 7.3% No sabe 9.8% 19 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

21 Encuestas 2014 de Seguridad en Instituciones Financieras de América Latina Servicios a través de dispositivos moviles 12. Cómo atiende su organización los riesgos de seguridad asociados con los dispositivos móviles? Formula una política de clientes o uso aceptable de dispositivos Implementa contraseñas complejas Despliega sistema de gestión de dispositivos móviles (MDM) Implementa borrado de dispositivos después de un cierto número de accesos fallidos Integra la seguridad y uso del dispositivo en campañas de concientización Controla acceso a internet forzando la navegación a través de la red de la organización Encripta el almacenamiento tanto en el dispositivo como en los dispositivos removibles Despliega certificados para los dispositivos Apaga las conexiones no deseas en los dispositivos (p.e. Bluetooth) Instala software para protección contra malware Desecha los dispositivos de manera segura Instala una herramienta de DLP Selecciona las aplicaciones apropiadas para grupos definidos de usuarios Selecciona software para monitorear el uso de las aplicaciones y el flujo de la Respaldos en intervalos regulares No aplica / No soportan dispositivos móviles No lo se No se atienden los riesgos de seguridad 34.1% 29.3% 26.8% 24.4% 22.0% 22.0% 19.5% 17.1% 14.6% 14.6% 12.2% 12.2% 12.2% 7.3% 7.3% 7.3% 4.9% 51.2% 20 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

22 Conclusiones

23 Conclusiones 1. La seguridad de la información está en el centro de los aspectos de riesgo en las instituciones financieras de América Latina, con visibilidad creciente a los máximos ejecutivos de las entidades. 2. Las nuevas tecnologías (cloud, mobile, redes sociales) generan nuevos desafíos que están siendo atacados mediante nuevas políticas y nuevas iniciativas de protección de información sensible. 3. Mientras que las amenazas se multiplican y se hacen más sofisticadas, las entidades deben desarrollar una visión integral de gestión de riesgos y contar con capacidades adecuadas de respuesta ante incidentes. 4. Las instituciones financieras de América Latina aumentarán las inversiones en recursos y tecnologías para minimizar riesgos y hacer viables los negocios (ej. Nuevos canales de atención por banca movil). 22 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

24 Prioridades para el Chief Information Security Officer Proteger todo tipo de información en todo lugar, entendiendo las tecnologías y sus riesgos asociados Gestionar los cyber riesgos y la seguridad en función de las necesidades del negocio. Asegurar el cumplimiento de las regulaciones y políticas internas Identificar, monitorear y resolver todo tipo de incidente de seguridad Rol estratégico del CISO, como un evangelizador y educador Ayudar a la organización a viabilizar negocios complejos desde el punto de vista de seguridad Reducir los costos asociados a la gestión de tecnología y a la protección de la información. 23 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

25 Acerca de Deloitte

26 Acerca de Deloitte Deloitte, #1 en Servicios de Consultoría en Riesgos de TI y Seguridad personas + de 150 países #1 Global en Servicios de Consultoría en Riesgos Tecnológicos y Seguridad (Gartner, Forrester) Consultores y Expertos en Cyber Riesgos y Seguridad de la Información en America Latina 25 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

27 Acerca de Deloitte Nuestra Misión: Ayudar a nuestros clientes a gestionar negocios seguros SECURE Servicios Diagnósticos de Seguridad, Evaluación de Vulnerabilidades y Pruebas de Ethical Hacking Desarrollo de Estrategia y Programa de Seguridad Implementación de Soluciones tecnológicas de Seguridad Identity Access Management DLP (Data Loss Prevention) SIEM (Security Information and Event Management GRC Implementar controles y medidas de seguridad con un enfoque basado en riesgos, ayudando a nuestros clientes a enfrentar los desafíos de seguridad y cyber riesgos con visión de negocio VIGILANT Monitorear proactivamente la seguridad y las amenazas para validar constantemente la postura de seguridad y el manejo de riesgos, detectando incidentes y fallas Servicios RESILIENT Desarrollar capacidades para gestionar los incidentes de seguridad y eventos de desastre para una rápida vuelta a las operaciones, minimizando los impactos económicos, financieros y reputacionales Services Manejo de Crisis y Respuesta ante incidentes Análisis Forense Continuidad de Negocio y Recuperación ante desastres Cumplimiento normativo y cumplimiento de estándares (PCI Payment Card Industry Security Standards, serie ISO27000, COBIT, ITIL) Gestión y Monitoreo de Cyber Seguridad: Inteligencia de Amenazas Operación y Monitoreo de Seguridad 26 Encuesta de Seguridad de la Información para la Industria Financiera - Latinoamérica

28