Headline Verdana Bold Cómo pasar al siguiente nivel de gestión de la ciberseguridad?

Transcripción

1 Headline Verdana Bold Cómo pasar al siguiente nivel de gestión de la ciberseguridad? Marzo 13 de 2018

2 El panorama cambiante del ciberriesgo Author, legal entity or date

3 El panorama cambiante del ciberriesgo En el informe Global Risk 2017 del Foro Económico Mundial, el ciberriesgo es reconocido como uno de los principales riesgos globales. 3

4 El panorama cambiante del ciberriesgo Según una encuesta reciente de Nasdaq y Tanium, más del 90 por ciento de los ejecutivos corporativos dicen que sus organizaciones no están preparadas para manejar un ciberataque importante. La velocidad de ataque se está acelerando......mientras que los tiempos de respuesta se retrasan 72% de los ataques necesitan solo minutos para comprometer sistemas 46% de las fugas de datos ocurren en minutos 72% de los ataques no son descubiertos por semanas o más 59% De los ataques son contenidos (postdescubrimiento) dentro de semanas o más 4

5 El panorama cambiante del ciberriesgo Hay varios factores clave que están reconfigurando el panorama: Desaparición del perímetro La naturaleza cambiante de los negocios Tecnologías Exponenciales Inteligencia Artificial Redes Móviles Plataformas Colaborativas Internet de las cosas Principales efectos en materia de ciberriesgo: Nuevos vectores de ataque Aumento de la superficie de ataque 5

6 Moviéndose al siguiente nivel de ciberseguridad Author, legal entity or date

7 Moviéndose al siguiente nivel de ciberseguridad Las organizaciones deben: asegurarse de que han establecido capacidades de ciberseguridad básicas que pueden protegerlo de las amenazas actuales invertir en capacidades que pueden protegerlo de cualquier amenaza que pueda surgir en el futuro. Seguro Defensas reales contra un ataque, que incluyen desde ciberestrategias a políticas y procedimientos para sistemas y controles Vigilante Sistemas de alerta temprana, que permiten identificar amenazas potenciales antes de que golpeen y detectar rápidamente ataques y violaciones de seguridad a medida que ocurren Resiliente Capacidad para responder a los ataques y para recuperarse rápidamente con un impacto mínimo en la organización, su reputación y marca 7

8 La gestión del ciberriesgo empieza con la junta y la alta gerencia. 10 preguntas clave que debe tener en mente la junta. 1. Demostramos la debida diligencia, propiedad y gestión del ciberriesgo? 2. Tenemos el líder apropiado y el talento organizacional? 3. Hemos establecido un marco apropiado de escalamiento de riesgo cibernético que incluya nuestro apetito al riesgo y mecanismos de notificación? 4. Estamos enfocados e invirtiendo en las iniciativas adecuadas? Cómo estamos evaluando y midiendo los resultados de nuestras decisiones? 5. Cómo nuestro programa de riesgo cibernético y capacidades se alinean a los estándares de la industria y se pone a la par de nuestros competidores? 6. Tenemos una mentalidad cibernéticamente enfocada y una cultura de consciencia cibernética en toda la organización? 7. Qué hemos hecho para proteger a la organización contra riesgos cibernéticos de terceras partes? 8. Podemos contener daños rápidamente y movilizar diversos recursos de respuesta cuando un incidente cibernético ocurra? 9. Cómo evaluamos la efectividad del programa de riesgo cibernético de nuestra organización? 10. Somos un vínculo fuerte y seguro en los ecosistemas altamente conectados en los que operamos? 8

9 Las tres líneas de defensa deben participar en la gestión del ciberriesgo El gobierno de ciberseguridad debe abarcar las 3 líneas de defensa 1. TI, unidades de negocio y de soporte Dueños de los riesgos asociados a sus operaciones y responsables por tomar riesgos dentro del apetito de riesgo establecido. No solamente del negocio, incluyen las funciones de tecnología Responsables de implementar el marco de referencia de gestión de ciberriesgo 2. Riesgos y Cumplimiento Establecen las políticas de gestión, la infraestructura, los procesos y los procedimientos para los riesgos Realizan el reporte y agregación de los riesgos para la gerencia Responsable del diseño, mantenimiento prueba y reporte del marco de referencia de gestión de ciberriesgo 3. Auditoría Interna Provee aseguramiento objetivo de los riesgos y de la capacidad de la organización para gestionarlos Reporta a la alta gerencia y los cuerpos de gobierno tales como el comité de auditoría y la junta directiva Responsable de monitorear la adherencia y la efectividad de marco de referencia de gestión de ciberriesgo 9

10 Resilie nte Vigila nte Seguro Un marco de referencia completo y personalizado permite tener en cuenta todos los aspectos para gestionar la ciberseguridad Defina o seleccione un marco de referencia que incluya prácticas líderes y requerimientos legales, regulatorios y de negocio. Dominios de Ciberseguridad Gobierno Gestión del programa Protección de datos Gestión de acceso e identidades Seguridad de la Infraestructura Seguridad del software Seguridad de la nube Gestión de terceros Gestión de empleados Gestión de amenazas y vulnerabilidades Monitoreo Gestión de crisis Resiliencia de la empresa 10

11 La medición y reporte claro en todos los niveles permiten evaluar la gestión actual de la ciberseguridad y las áreas a fortalecer Establezca un marco de reporte claro y personalizado para que las partes interesadas puedan comunicarse efectivamente Junta Directiva Comités de gerencia Grupos de trabajo 11

12 La inteligencia artificial (IA) puede ayuda a resolver algunos de los retos Explore alternativas que permitan hacer más eficiente y efectivo el uso de los recursos asignados a la gestión del ciberriesgo IA puede solucionar algunos de los retos de la ciberseguridad. Actualmente las aplicaciones de IA son utilizadas para detección de ciberataques y fraudes potenciales en transacciones por internet. La mejora del aprendizaje de las aplicaciones de IA para atacar o defender determinará si los sistemas en línea llegarán a ser más seguros o propensos a ciberataques exitosos. SIN TECNOLOGÍAS COGNITIVAS Los profesionales gastan demasiado tiempo en actividades rutinarias y repetitivas, desperdiciando tiempo valioso y talento ya escaso Gestión de contraseñas Bloque de cuentas Alertas del firewall Alertas de incidentes CON TECNOLOGÍAS COGNITIVAS El tiempo y talento se enfocan en las tareas que requieren el ingenio humano Se identifican nuevas tendencias que permiten una seguridad proactiva Las tareas rutinarias se automatizan The Global Risks Report World Economic Forum El típico día de trabajo está lleno de tareas ordinarias, mientras que las ideas y eventos clave eluden el talento sobrecargado. El aprendizaje de máquina incrementa el talento humano ejecutando más rápido las tareas 12

13 Mensajes finales Author, legal entity or date

14 Mensajes finales 1. Cada nueva oportunidad derivada de los avances en tecnologías de la información genera nuevas amenazas, dentro de las que se encuentran las asociadas a Ciberriesgos 2. Para ser exitosos en la gestión de la ciberseguridad, tenemos que ir más allá del enfoque tradicional de gestión de riesgos 3. Las ciberamenazas que estamos enfrentando requieren que nuestras organizaciones definan estrategias que les permitan permanecer seguras, vigilantes y resilientes 4. Al interior de nuestras organizaciones debemos formar un frente unido en la gestión de la ciberseguridad, de los contrario los ciberdelincuentes explotarán las grietas en nuestro reino dividido y las joyas de la corona estarán en riesgo. 14

15 Deloitte es una compañía privada del Reino Unido limitada por garantía ("DTTL"), su red de firmas miembro, y a sus entidades relacionadas. DTTL y cada una de sus firmas miembro son entidades legalmente separadas e independientes. DTTL (también denominada Deloitte Global ) no presta servicios a clientes. Una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro puede verse en el sitio web Deloitte presta servicios de auditoría, consultoría, asesoramiento financiero, gestión de riesgos, impuestos, legal, y servicios relacionados a organizaciones públicas y privadas de diversas industrias. Deloitte presta sus servicios a cuatro de cada cinco de las empresas listadas en el ranking Fortune Global 500, a través de una red global de firmas miembro en más de 150 países, brindando sus capacidades de clase mundial y servicios de alta calidad a clientes, suministrando el conocimiento necesario para que los mismos puedan hacer frente a sus más complejos retos de negocios. Para conocer más acerca de cómo los más de profesionales generan un impacto que trasciende, conéctese con nosotros a través de Facebook, LinkedIn o Twitter. La presente comunicación es para su distribución interna y podrá ser empleada sólo entre el personal de Deloitte Touche Tohmatsu Limited, sus firmas miembro y entidades relacionadas (colectivamente, la "Red Deloitte"). La Red Deloitte no se hace responsable de ninguna pérdida que pueda sufrir cualquier persona que tome como base el contenido de esta comunicación For information, contact Deloitte Touche Tohmatsu Limited.