FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS. Raúl Saccani Socio Deloitte Forensic & Dispute Services

Transcripción

1 FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS Raúl Saccani Socio Deloitte Forensic & Dispute Services

2 RIESGOS DE CIBERSEGURIDAD EN LA ORGANIZACIÓN MUNDIAL TENDENCIAS, RETOS Y ESTRATEGIAS PARA UNA GESTIÓN EFICAZ

3 CONTEXTO Y DESAFÍOS DE CIBERSEGURIDAD Alta dependencia de los recursos informáticos y del acceso a información Ambientes de procesamiento cada vez más complejos y heterodoxos: múltiples plataformas, ambientes virtualizados, tecnología tercerizada y modelos en la nube Aumento de los ataques y expuestos de seguridad, tanto en cantidad como en sofisticación, con foco en los canales electrónicos de atención a clientes Preocupación por la confidencialidad de la información, especialmente cuando la información puede afectar al negocio o a las personas Riesgos de fraude y de impacto en la imagen derivados de incidentes de seguridad Si bien la seguridad de la información es reconocida como un tema crítico, muchas veces no recibe la atención y apoyo que debería de los niveles de alta dirección

4 EN LA ERA DE LA INFORMACIÓN Y DE LOS CYBER-ATAQUES

5

6 LATINOAMÉRICA, PRINCIPALES TENDENCIAS OBSERVADAS 1. Incremento de los presupuestos destinados a gestionar la seguridad de la información 2. Foco en proteger la información sensible y formalizar la función de privacidad. 3. Necesidad de gestionar adecuadamente los riesgos de ataques internos y externos, desarrollando capacidades de respuesta ante incidentes. 4. Las organizaciones gestionan cada vez más los riesgos vinculados a la adopción de nuevas tecnologías, tales como servicios en cloud, aplicaciones mobile y la utilización de redes sociales, 5. Desafío de establecer un equilibrio entre los costos de las iniciativas referentes a seguridad de la información y la materialización de las amenazas e implementación de nuevas tecnologías

7 1. A quién, dentro de su organización, reporta el ejecutivo responsable de seguridad? Chief Executive Officer (CEO) Chief Risk Officer (CRO) Chief Operations Officer (COO) Chief Information Officer (CIO) Otro Comité de seguridad Chief Administrative Officer (CAO) Chief Technology Officer (CTO) Comité ejecutivo No aplica/ No sabe Legal y Compliance Auditoría interna Ejecutivo de IT Presidente Chief Financial Officer (CFO) Chief Privacy Officer (CPO) 0.0% 4.9% 4.9% 4.9% 9.8% 9.8% 12.2% 12.2% 17.1% 22.0%

8 2. Cuáles son los principales obstáculos que enfrenta su organización en su capacidad de formar un programa de seguridad de información efectivo? Falta de apoyo ejecutivo o del negocio La falta de claridad sobre el mandato, las funciones y La falta de visibilidad e influencia dentro de la organización La falta de suficiente presupuesto y/o recursos La falta de recursos competentes El complejo panorama internacional legal y normativo (por ejemplo El aumento de complejidad de las amenazas La gestión de los riesgos asociada con nuevas tecnologías La falta de una estrategia de seguridad de la información y el Otro Sin barreras No aplica / no sabe 0% 2% 10% 7% 10% 10% 17% 17% 20% 24% 29% 34%

9 3. Cuáles serán principales iniciativas de seguridad de su organización para el 2014? Cumplimiento regulatorio y legislativo de seguridad de la Protección de Datos Gobierno de seguridad de la información Medición y reporte en seguridad de la información Continuidad del Negocio Estrategia y roadmap de seguridad de la información de Alineación de la seguridad de la información con el negocio Seguridad de la red móvil Administración de identidad y acceso Seguridad relativa a avances tecnológicos Remediación en el cumplimiento de los elementos de Otro Capacitación y concientización en seguridad de información Seguridad cibernética Recuperación de Desastres Puesta en funcionamiento de la seguridad de información Seguridad de aplicaciones Gestión de amenazas internas Gestión del talento en seguridad de la información Seguridad de terceros Privacidad No aplica / no sabe 0.0% 4.9% 7.3% 7.3% 12.2% 12.2% 12.2% 14.6% 14.6% 14.6% 14.6% 17.1% 19.5% 19.5% 22.0% 24.4% 29.3% 31.7% 36.6%

10 4. Utilizando una escala del 1-4, indicar el nivel de confianza en que los activos informáticos de su organización se encuentran protegidos de un ataque o brecha de seguridad (1=ninguna confianza en absoluto, 2=no mucha confianza, 3=algo de confianza, 4= mucha confianza) Ataque o brecha de seguridad originada internamente. Ataque o brecha de seguridad originada externamente. Ninguna confianza en absoluto No mucha confianza Algo de confianza Mucha confianza 0% 29% 48% 23% 0% 6% 52% 42%

11 5. Su organización ha experimentado algún tipo de ataque externo durante los últimos 12 meses? 29.3% 70.7% Si No Ataques Robo de información causado por espionaje industrial o del Estado Fraude financiero externo a través de los sistemas de información Incidentes en la información causados por un ataque electrónico fuera de la organización Incidentes en la información causados por un ataque físico fuera de la organización Incidentes en la información causados por un proveedor fuera de las premisas de la organización Una ocurrencia Múltiples ocurrencias 0% 0% 2% 2,4% 4,9% 2,4% 4,9% 2,4% 2,4% 2,4% Incidente en la red móvil originada desde fuera de la organización 0% 0% Software malicioso originado en las afueras de la organización 4,9% 7,3% Ataques a sitios web 0% 2,4% Otros 7,3% 2,4%

12 46.3% ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN PARA BANCOS EN 6. Su organización ha experimentado algún tipo de ataque interno durante los últimos 12 meses? 53.7% Si No Ataques Una ocurrencia Múltiples ocurrencias Fraude financiero interno a través de los sistemas de información 12,2% 2,4% Incidente de seguridad causado desde adentro o por un socio comercial 9,8% 2,4% Incidente de seguridad causado desde adentro de la organización por un empleado 17,1% 2,4% Incidente de seguridad causado desde adentro de la organización por un tercero 12,2% 4,9% Perdida accidental originada dentro de la organización 14,6% 2,4% Incidentes en la información causados por un proveedor dentro de la organización Incidente en la red móvil originada desde adentro de la organización 2% 4,9% 0% 2% Software malicioso originado dentro de la organización 2,4% 4,9% Otros 7,3% 12,2%

13 7. Califique las siguientes amenazas a medida que visualiza su impacto dentro de los siguientes 12 meses: Amenaza Sin Impacto Impacto Bajo Impacto Medio Impacto alto N/C Espionaje industrial o del Estado 29,3% 26,8% 24,4% 17,1% 2% Ataques coordinados 17,1% 39,0% 24,4% 19,5% 0 Fraude financiero a través de sistemas de información 7,3% 31,7% 41,5% 19,5% 0 Abuso de los empleados de los sistemas de IT y la información 2,4% 31,7% 56,1% 9,8% 0 Errores y omisiones de los empleados 2,4% 22,0% 63,4% 12,2% 0 Incidentes con la información, incluyendo datos personales 2,4% 31,7% 51,2% 14,6% 0 Ataques explotando vulnerabilidades en la red móvil 17,1% 34,1% 24,4% 24,4% 0 Ataques explotando vulnerabilidades en aplicaciones online de la organización 9,8% 43,9% 34,1% 12,2% 0 Amenazas resultantes de la conjunción de las redes sociales y las plataformas online dentro de la red corporativa (por ejemplo: utilización de micro-blogging 22,0% 41,5% 14,6% 22,0% 0 por un gerente) Amenazas resultantes de la adopción de tecnologías emergentes que podrían contener vulnerabilidades 19,5% 31,7% 36,6% 12,2% 0 Amenazas avanzadas persistentes 14,6% 56,1% 22,0% 7,3% 0 Riesgos sistémicos 9,8% 43,9% 36,6% 9,8% 0 Diversidad de reacciones culturales con respecto a la seguridad de la información 19,5% 29,3% 39,0% 7,3% 0 Incidentes de seguridad que involucran terceras partes 14,6% 36,6% 34,1% 14,6% 0 Hacktivismo o Ciberactivismo 17,1% 39,0% 17,1% 26,8% 0

14 8. Cómo atiende su organización los riesgos de seguridad asociados con los dispositivos móviles? Formula una política de clientes o uso aceptable de dispositivos Implementa contraseñas complejas Despliega sistema de gestión de dispositivos móviles (MDM) Implementa borrado de dispositivos después de un cierto número de Integra la seguridad y uso del dispositivo en campañas de concientización Controla el acceso a internet forzando la navegación a través de la red Encripta el almacenamiento tanto en el dispositivo como en los Despliega certificados para los dispositivos Apaga las conexiones no deseas en los dispositivos (p.e. Bluetooth) Instala software para protección contra malware Desecha los dispositivos de manera segura Instala una herramienta de DLP Selecciona las aplicaciones apropiadas para grupos definidos de usuarios Selecciona software para monitorear el uso de las aplicaciones y el flujo Respaldos en intervalos regulares No aplica / No soportan dispositivos móviles No lo se No se atienden los riesgos de seguridad 4.9% 7.3% 7.3% 7.3% 29.3% 26.8% 24.4% 22.0% 22.0% 19.5% 17.1% 14.6% 14.6% 12.2% 12.2% 12.2% 34.1% 51.2%

15 8. Cómo hace frente a los riesgos de seguridad asociados con las redes sociales? Implementación de controles técnicos para controlar o bloquear el uso organizacional 39.0% Implementación de servicio de protección de marca en línea para evitar daños a la marca 26.8% Revisar y actualizar las políticas organizacionales para incluir los términos de uso aceptable de las redes sociales y sitios de blogs 41.5% Educar a los usuarios acerca de los blogs y las redes sociales a través de programas de capacitación y sensibilización para 46.3% No hace uso de redes sociales 24.4% No gestiona riesgos de seguridad 7.3% No sabe 9.8%

16 10. Cómo caracterizaría que su organización ha adoptado las siguientes tecnologías? Tecnología Implementada En Piloto En piloto dentro de los próximos 12 Sin planes de meses implementar N/C Antivirus 95% 5% 0% 0% 0% Firewalls 100% 0% 0% 0% 0% Intrusion Detection and/or Prevention Systems (IDS/IPS) 76% 12% 10% 0% 2% Filtro de contenido 71% 20% 7% 0% 2% Soluciones antispam 80% 12% 2% 0% 5% Antispyware software 73% 12% 5% 7% 2% Soluciones antiphishing 51% 10% 15% 20% 5% Encripción de correo electrónico 27% 17% 24% 27% 5% Autenticación de correo electrónico 49% 12% 10% 20% 10% Tecnología de Data Loss Prevention 22% 22% 29% 17% 10% Encripción de archivos en dispositivos móviles 20% 7% 32% 29% 12% Encripción de dispositivos de almacenamiento 29% 7% 27% 27% 10% Seguridad/ Encripción de datos en reposo 32% 10% 22% 27% 10% Administración de vulnerabilidades 56% 15% 10% 12% 7% Análisis del comportamiento de la red 49% 15% 10% 17% 10% Soluciones de seguridad para redes Wireless 44% 20% 15% 15% 7% Network access control (NAC) 46% 10% 27% 12% 5% Dispositivos biométricos p/autenticación de usuarios 17% 15% 5% 56% 7% Single Sign On 15% 2% 29% 44% 10% Sistemas web para administración de accesos 37% 15% 7% 27% 15% Identity management 10% 5% 12% 59% 15% Herramientas de centralización de logs y monitoreo 54% 22% 17% 2% 5% Herramientas para administración de incidentes 34% 20% 20% 15% 12% Herramientas para cumplimiento regulatorio 24% 12% 29% 24% 10% Seguridad de los servicios en la web 39% 15% 17% 20% 10%

17 CONCLUSIONES 1. La seguridad de la información constituye un área de atención creciente en las organizaciones de de América Latina. 2. Mientras que las amenazas se multiplican y se hacen más sofisticadas, las organizaciones se ven obligadas a fortalecer sus capacidades de gestionar la seguridad y a contar con capacidades adecuadas de respuesta ante incidentes. 3. Las nuevas tecnologías (mobile, redes sociales, servicios en la nube cloud ) generan nuevos desafíos que están siendo atacados mediante nuevas políticas y nuevas iniciativas de protección de información sensible. 4. Las organizaciones deben desarrollar un Programa de Seguridad de la Información que incluya iniciativas de corto, mediano y largo plazo, definiendo la incorporación de tecnologías de seguridad para garantizar una adecuada protección de la información y del negocio.