Presentación para AMIAC. Palacio de Minería, Ciudad de México, 25 de octubre de 2017.

Transcripción

1 Presentación para AMIAC Palacio de Minería, Ciudad de México, 25 de octubre de 2017.

2

3 Realizado por

4 Agenda Metodología Apego a prácticas de ciberseguridad Percepción de impacto y riesgo Conclusiones Recomendaciones

5 Metodología

6 Evaluación de países Reseña de múltiples fuentes nacionales e internacionales Estudio de la OEA y BID de evaluación de 32 países LAC Evaluación comparativa basada en: Cyber Security Capability Maturity Model del Global Cyber Security Capacity Centre de Universidad de Oxford

7 Costo del ciber crimen como % del PIB México con un costo considerable poco abajo del costo de economías desarrolladas

8 Impacto de un hipotético ciber ataque masivo

9 México con grandes oportunidades en ciberseguridad América Latina: promedio general del nivel de madurez en ciberseguridad de acuerdo al modelo de Oxford, 2015 (escala: 1, inicial; 2, formativo; 3, establecido; 4 estratégico y 5, dinámico) Fuente: Select con base en: Cybersecurity Observatory in Latin America and Caribbean, Cybersecurity: are we ready in Latin

10 en todos los aspectos de madurez en ciberseguridad de un país

11 y de sus organizaciones

12 Evaluación de organizaciones Plataforma en línea con modelo simplificado basado en: NIST-Cybersecurity Framework, ISO/IEC 27001:2013, ISO/IEC 22301, Baldrige Cybersecurity Excellence Builder (DRAFT), y Cyber Security Capability Maturity Model del Global Cyber Security Capacity Centre de la University of Oxford.

13 Cuatro dominios de la herramienta y prácticas

14 Escala de apego y nivel Avanzados (7.6 a 10) Intermedios (5.1 a 7.5) Rezagados (1 a 5)

15 Datos de la muestra 63 organizaciones públicas y privadas: Más de 250 empleados Industria, comercio y servicios Ejecutivos que autoevaluaron su apego: Ejecutivos de TIC (CIO s y CTO s) Responsables de riesgos y seguridad (CISO s ycro s) Responsables de continuidad (BCO s) Otros Se convocaron a más de 2,500 organizaciones Participaron más de 250 organizaciones en talleres presenciales y en línea

16 Apego a prácticas de ciberseguridad

17 Distribución de la muestra según su nivel de apego Sesgo a avanzados Aún así apego regular

18 Apego general y por dominios Seguridad de la información y ciberseguridad arriba del promedio Continuidad del negocio y Riesgo tecnológico por debajo

19 Resultados de cada dominio por nivel de apego Evidentes diferencias aunque intermedios y avanzados casi igual en continuidad del negocio

20 Grandes e intermedias: Organizaciones grandes con mayor apego que intermedias sobre todo por bancos y detallistas grandes en la muestra

21 Apego a prácticas: a) Seguridad de la información

22 Distribución del apego: seguridad de la Información 75% en niveles intermedios y avanzados en Seguridad de la Información

23 Regulaciones internacionales y clasificación de información las brechas más importantes Acceso a la red interna y propiedad intelectual, más apego en organizaciones más grandes

24 Apego a prácticas: b) Riesgo tecnológico

25 Distribución del apego: Riesgo tecnológico 80% en intermedios y rezagados dentro del Riesgo tecnológico

26 Métricas de ciberseguridad la brecha más importante En materia de tecnologías hay una gran brecha considerable respecto a las mejores prácticas en los procesos tecnológicos que sustentan la ciberseguridad

27 Apego a prácticas: c) Continuidad del negocio

28 Distribución del apego: Continuidad del negocio Es el dominio mayormente distribuido en los 3 niveles de apego

29 Capacitación en continuidad del negocio la brecha más importante Grandes con mayor apego en planes de recuperación, tolerancia a fallas e interdepende ncia de proveedores

30 Apego a prácticas: d) Ciberseguridad

31 Distribución del apego: Ciberseguridad La mitad en niveles intermedios en ciberseguridad

32 Ciberseguridad: mayor apego en filtrado de contenidos Las pruebas de vulnerabilidades y las pruebas por terceros, es donde se encuentran los valores más bajos de apego en las organizaciones mexicanas.

33 Percepción de impacto y riesgo

34 Estrategias de negocio claves Mejorar ingresos y productividad muy importantes Gestión del riesgo es menos importante

35 Estrategias de negocio por nivel de apego Avanzados e intermedios dan mayor importancia a regulaciones y gestión de riesgos

36 Importancia de la transformación digital Transformación digital es necesaria para el éxito de la estrategia del negocio

37 Importancia de la transformación digital por nivel de apego Avanzados e intermedios dan mayor importancia a transformación digital

38 Importancia de activos digitales Datos de clientes, financieros y de operación son los más apreciados

39 Importancia de activos digitales por nivel de apego Avanzados e intermedios dan mayor importancia a activos digitales Información de clientes, la más importante Avanzados valoran más imagen digital

40 Áreas de mayor impacto en caso de ataque Operaciones, finanzas y reputación con mayor impacto en caso de ataque

41 Áreas de mayor impacto en caso de ataque por nivel de apego Todos señalan operaciones como mayor impacto Avanzados también señalan reputación y compromisos legales Intermedios también señalan finanzas y propiedad intelectual

42 Conciencia de actuar ante amenazas Existe consciencia de las amenazas y de la necesidad de actuar

43 Conciencia de actuar ante amenazas por nivel de apego Avanzados e intermedios con mayor conciencia 50% de rezagados afirman tener conciencia y actuar

44 Preparación ante amenazas Medianamente o poco preparados

45 Preparación ante amenazas por nivel de apego Mayoría de avanzados e intermedios se consideran medianamente preparados 50% de rezagados se consideran medianamente preparados

46 Probabilidad de daño a activos digitales Percepción, de media o baja probabilidad de daño

47 Probabilidad de daño a activos digitales por nivel de apego 57% de avanzados consideran alta/muy alta probabilidad de daño Más de 69% de rezagados e intermedios consideran media/baja probabilidad de daño

48 Conclusiones

49 Conclusiones Continuidad negocio y riesgo tecnológico oportunidades Brechas más importantes en: Clasificación de información Métricas de ciberseguridad Capacitación en continuidad Pruebas por terceros Organizaciones grandes y reguladas las más avanzadas: Mayor percepción del riesgo Orientadas a transformación digital Conscientes de amenazas y necesidad de actuar Alta percepción de que pueden ser vulneradas Madurez organizacional explica estatus de ciberseguridad Promover capacidad de gestión para ciberseguridad

50 Recomendaciones

51 Crear Agencia Nacional de Ciberseguridad Establecer una agencia nacional de ciberseguridad o asegurar que un grupo coordinado de instituciones cuente con las atribuciones de ésta. Adoptar un enfoque central y coordinado. Documentar la estrategia y los mecanismos de gobierno. Defender y proporcionar seguridad cibernética y resiliencia a la infraestructura crítica. Evaluar las prácticas nacionales de ciberseguridad en los sectores gubernamental, privado y de la sociedad a nivel nacional. Promover la confianza en Internet.

52 Adecuar Marco legislativo de ciberseguridad Promover un marco legislativo sustantivo y procesal para la seguridad cibernética. Acogerse al Convenio de Budapest. Incentivar cultura de denuncia en las víctimas: Denuncia penal por medios digitales. Presentar evidencia respetando Código de Procedimientos Penales. Permitir cateos digitales o electrónicos. Legislación que sea integral. Marco de justicia penal: Crear unidad especializada en combate al crimen electrónico con autonomía. Proveer herramientas a las agencias para perseguir delitos cibernéticos. Tipificación como grave el delito de acceso ilícito a sistemas informáticos. Proteger la privacidad y los datos personales. Urge la tipificación de la conducta de robo de identidad. Notificación e indagación obligatoria de incidentes de seguridad.

53 Fortalecer resiliencia y protección de infraestructuras críticas Resiliencia cibernética nacional y protección de las infraestructuras críticas. Fortalecimiento de la ciberseguridad mediante creación de marcos de referencia basados en riesgos. Impulsar marcos de mejores prácticas nacionales (por tamaño y sectores). Estudiar el establecimiento de un ciber seguro. Fortalecer cooperación internacional.

54 Fomentar I+D+i y destrezas en ciberseguridad Fomento nacional de I+D+i y destrezas en ciberseguridad. Crear una estrategia federal de I+D+i y capital humano para seguridad cibernética. Expandir los recursos humanos de seguridad cibernética a través de la educación. Identificar las necesidades del talento de ciberseguridad. Reclutar y contratar talento especializado en ciberseguridad. Conservar y desarrollar talento altamente calificado.

55 Muchas gracias!