FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS
Raúl SaccaniSocio Deloitte Forensic & Dispute Services
RIESGOS DE CIBERSEGURIDAD EN LA
ORGANIZACIÓN MUNDIAL
TENDENCIAS, RETOS Y ESTRATEGIAS PARA
UNA GESTIÓN EFICAZ
CONTEXTO Y DESAFÍOS DE CIBERSEGURIDAD
– Alta dependencia de los recursos informáticos y del acceso a información
– Ambientes de procesamiento cada vez más complejos y heterodoxos: múltiples plataformas, ambientes virtualizados, tecnología tercerizada y modelos “en la nube”
– Aumento de los ataques y expuestos de seguridad, tanto en cantidad como en sofisticación, con foco en los canales electrónicos de atención a clientes
– Preocupación por la confidencialidad de la información, especialmente cuando la información puede afectar al negocio o a las personas
– Riesgos de fraude y de impacto en la imagen derivados de incidentes de seguridad
– Si bien la seguridad de la información es reconocida como un tema crítico, muchas veces no recibe la atención y apoyo que debería de los niveles de alta dirección
ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN PARA BANCOS EN LATINOAMÉRICA, PRINCIPALES TENDENCIAS OBSERVADAS
1. Incremento de los presupuestos destinados a gestionar la seguridad de la información
2. Foco en proteger la información sensible y formalizar la función de privacidad.
3. Necesidad de gestionar adecuadamente los riesgos de ataques internos y externos,
desarrollando capacidades de respuesta ante incidentes.
4. Las organizaciones gestionan cada vez más los riesgos vinculados a la adopción de nuevas
tecnologías, tales como servicios en cloud, aplicaciones mobile y la utilización de redes
sociales,
5. Desafío de establecer un equilibrio entre los costos de las iniciativas referentes a seguridad de
la información y la materialización de las amenazas e implementación de nuevas tecnologías
ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN PARA BANCOS EN LATINOAMÉRICA, DELOITTE 2014 RESULTADOS DE LA ENCUESTA
• 1. ¿A quién, dentro de su organización, reporta el ejecutivo responsable de seguridad ?
0.0%
2.4%
2.4%
2.4%
2.4%
2.4%
2.4%
4.9%
4.9%
4.9%
9.8%
9.8%
12.2%
12.2%
17.1%
22.0%
Chief Privacy Officer (CPO)
Chief Financial Officer (CFO)
Presidente
Ejecutivo de IT
Auditoría interna
Legal y Compliance
No aplica/ No sabe
Comité ejecutivo
Chief Technology Officer (CTO)
Chief Administrative Officer (CAO)
Comité de seguridad
Otro
Chief Information Officer (CIO)
Chief Operations Officer (COO)
Chief Risk Officer (CRO)
Chief Executive Officer (CEO)
ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN PARA BANCOS EN LATINOAMÉRICA, DELOITTE 2014 RESULTADOS DE LA ENCUESTA
• 2. Cuáles son los principales obstáculos que enfrenta su organización en su capacidad de formar un programa de seguridad de información efectivo?
17%
20%
29%
34%
10%
7%
24%
10%
17%
10%
0%
2%
Falta de apoyo ejecutivo o del negocio
La falta de claridad sobre el mandato, las funciones y…
La falta de visibilidad e influencia dentro de la organización
La falta de suficiente presupuesto y/o recursos
La falta de recursos competentes
El complejo panorama internacional legal y normativo (por ejemplo…
El aumento de complejidad de las amenazas
La gestión de los riesgos asociada con nuevas tecnologías
La falta de una estrategia de seguridad de la información y el…
Otro
Sin barreras
No aplica / no sabe
36.6%
31.7%
29.3%
24.4%
22.0%
19.5%
19.5%
17.1%
14.6%
14.6%
14.6%
14.6%
12.2%
12.2%
12.2%
7.3%
7.3%
4.9%
2.4%
2.4%
2.4%
0.0%
Cumplimiento regulatorio y legislativo de seguridad de la…
Protección de Datos
Gobierno de seguridad de la información
Medición y reporte en seguridad de la información
Continuidad del Negocio
Estrategia y roadmap de seguridad de la información de…
Alineación de la seguridad de la información con el negocio
Seguridad de la red móvil
Administración de identidad y acceso
Seguridad relativa a avances tecnológicos
Remediación en el cumplimiento de los elementos de…
Otro
Capacitación y concientización en seguridad de información
Seguridad cibernética
Recuperación de Desastres
Puesta en funcionamiento de la seguridad de información
Seguridad de aplicaciones
Gestión de amenazas internas
Gestión del talento en seguridad de la información
Seguridad de terceros
Privacidad
No aplica / no sabe
ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN PARA BANCOS EN LATINOAMÉRICA, DELOITTE 2014 RESULTADOS DE LA ENCUESTA
• 3. ¿Cuáles serán principales iniciativas de seguridad de su organización para el 2014?
ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN PARA BANCOS EN LATINOAMÉRICA, DELOITTE 2014 RESULTADOS DE LA ENCUESTA
• 4. Utilizando una escala del 1-4, indicar el nivel de confianza en que los activos informáticos de su organización se encuentran protegidos de un ataque o brecha de seguridad (1=ninguna confianza en absoluto, 2=no mucha confianza, 3=algo de confianza, 4= mucha confianza)
Ninguna confianza en absoluto
No mucha confianza
Algo de confianza Mucha confianza
Ataque o brecha de seguridad originadainternamente.
0% 29% 48% 23%
Ataque o brecha de seguridad originada externamente.
0% 6% 52% 42%
ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN PARA BANCOS EN LATINOAMÉRICA, DELOITTE 2014 RESULTADOS DE LA ENCUESTA
• 5. ¿Su organización ha experimentado algún tipo de ataque externo durante los últimos 12 meses?
29.3%
70.7% Si
No
Ataques Una ocurrenciaMúltiples
ocurrencias
Robo de información causado por espionaje industrial o del Estado
0% 0%
Fraude financiero externo a través de los sistemas de información
2% 2,4%
Incidentes en la información causados por un ataque electrónico fuera de la organización
4,9% 2,4%
Incidentes en la información causados por un ataque físico fuera de la organización
4,9% 2,4%
Incidentes en la información causados por un proveedor fuera de las premisas de la organización
2,4% 2,4%
Incidente en la red móvil originada desde fuera de la organización
0% 0%
Software malicioso originado en las afueras de la organización
4,9% 7,3%
Ataques a sitios web 0% 2,4%
Otros 7,3% 2,4%
ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN PARA BANCOS EN LATINOAMÉRICA, DELOITTE 2014 RESULTADOS DE LA ENCUESTA
• 6. ¿Su organización ha experimentado algún tipo de ataque interno durante los últimos 12 meses?
53.7%
46.3%
Si
No
Ataques Una ocurrencia Múltiples ocurrencias
Fraude financiero interno a través de los sistemas de
información12,2% 2,4%
Incidente de seguridad causado desde adentro o por un socio
comercial9,8% 2,4%
Incidente de seguridad causado desde adentro de la
organización por un empleado17,1% 2,4%
Incidente de seguridad causado desde adentro de la
organización por un tercero12,2% 4,9%
Perdida accidental originada dentro de la organización 14,6% 2,4%
Incidentes en la información causados por un proveedor dentro
de la organización2% 4,9%
Incidente en la red móvil originada desde adentro de la
organización0% 2%
Software malicioso originado dentro de la organización 2,4% 4,9%
Otros 7,3% 12,2%
ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN PARA BANCOS EN LATINOAMÉRICA, DELOITTE 2014 RESULTADOS DE LA ENCUESTA
• 7. Califique las siguientes amenazas a medida que visualiza su impacto dentro de los siguientes 12 meses:
Amenaza Sin Impacto Impacto Bajo Impacto Medio Impacto alto N/C
Espionaje industrial o del Estado 29,3% 26,8% 24,4% 17,1% 2%
Ataques coordinados 17,1% 39,0% 24,4% 19,5% 0
Fraude financiero a través de sistemas de información 7,3% 31,7% 41,5% 19,5% 0
Abuso de los empleados de los sistemas de IT y la
información2,4% 31,7% 56,1% 9,8% 0
Errores y omisiones de los empleados 2,4% 22,0% 63,4% 12,2% 0
Incidentes con la información, incluyendo datos
personales2,4% 31,7% 51,2% 14,6% 0
Ataques explotando vulnerabilidades en la red móvil 17,1% 34,1% 24,4% 24,4% 0
Ataques explotando vulnerabilidades en aplicaciones
online de la organización9,8% 43,9% 34,1% 12,2% 0
Amenazas resultantes de la conjunción de las redes
sociales y las plataformas online dentro de la red
corporativa (por ejemplo: utilización de micro-blogging
por un gerente)
22,0% 41,5% 14,6% 22,0% 0
Amenazas resultantes de la adopción de tecnologías
emergentes que podrían contener vulnerabilidades19,5% 31,7% 36,6% 12,2% 0
Amenazas avanzadas persistentes 14,6% 56,1% 22,0% 7,3% 0
Riesgos sistémicos 9,8% 43,9% 36,6% 9,8% 0
Diversidad de reacciones culturales con respecto a la
seguridad de la información19,5% 29,3% 39,0% 7,3% 0
Incidentes de seguridad que involucran terceras partes 14,6% 36,6% 34,1% 14,6% 0
Hacktivismo o Ciberactivismo 17,1% 39,0% 17,1% 26,8% 0
ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN PARA BANCOS EN LATINOAMÉRICA, DELOITTE 2014 RESULTADOS DE LA ENCUESTA
• 8. ¿Cómo atiende su organización los riesgos de seguridad asociados con los dispositivos móviles?
51.2%
34.1%
29.3%
26.8%
24.4%
22.0%
22.0%
19.5%
17.1%
14.6%
14.6%
12.2%
12.2%
12.2%
7.3%
7.3%
7.3%
4.9%
Formula una política de clientes o uso aceptable de dispositivos
Implementa contraseñas complejas
Despliega sistema de gestión de dispositivos móviles (MDM)
Implementa borrado de dispositivos después de un cierto número de…
Integra la seguridad y uso del dispositivo en campañas de concientización
Controla el acceso a internet forzando la navegación a través de la red…
Encripta el almacenamiento tanto en el dispositivo como en los…
Despliega certificados para los dispositivos
Apaga las conexiones no deseas en los dispositivos (p.e. Bluetooth)
Instala software para protección contra malware
Desecha los dispositivos de manera segura
Instala una herramienta de DLP
Selecciona las aplicaciones apropiadas para grupos definidos de usuarios
Selecciona software para monitorear el uso de las aplicaciones y el flujo…
Respaldos en intervalos regulares
No aplica / No soportan dispositivos móviles
No lo se
No se atienden los riesgos de seguridad
ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN PARA BANCOS EN LATINOAMÉRICA, DELOITTE 2014 RESULTADOS DE LA ENCUESTA
• 8. ¿Cómo hace frente a los riesgos de seguridad asociados con las redes sociales?
39.0%
26.8%
41.5%
46.3%
24.4%
7.3%
9.8%
Implementación de controles técnicos para controlar o bloquearel uso organizacional
Implementación de servicio de protección de marca en línea paraevitar daños a la marca
Revisar y actualizar las políticas organizacionales para incluir lostérminos de uso aceptable de las redes sociales y sitios de blogs
Educar a los usuarios acerca de los blogs y las redes sociales através de programas de capacitación y sensibilización para…
No hace uso de redes sociales
No gestiona riesgos de seguridad
No sabe
ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN PARA BANCOS EN LATINOAMÉRICA, DELOITTE 2014 RESULTADOS DE LA ENCUESTA
• 10. ¿Cómo caracterizaría que su organización ha adoptado las siguientes tecnologías?
Tecnología Implementada En PilotoEn piloto dentro de los próximos 12
meses
Sin planes de
implementarN/C
Antivirus 95% 5% 0% 0% 0%
Firewalls 100% 0% 0% 0% 0%
Intrusion Detection and/or Prevention Systems (IDS/IPS) 76% 12% 10% 0% 2%
Filtro de contenido 71% 20% 7% 0% 2%
Soluciones antispam 80% 12% 2% 0% 5%
Antispyware software 73% 12% 5% 7% 2%
Soluciones antiphishing 51% 10% 15% 20% 5%
Encripción de correo electrónico 27% 17% 24% 27% 5%
Autenticación de correo electrónico 49% 12% 10% 20% 10%
Tecnología de Data Loss Prevention 22% 22% 29% 17% 10%
Encripción de archivos en dispositivos móviles 20% 7% 32% 29% 12%
Encripción de dispositivos de almacenamiento 29% 7% 27% 27% 10%
Seguridad/ Encripción de datos en reposo 32% 10% 22% 27% 10%
Administración de vulnerabilidades 56% 15% 10% 12% 7%
Análisis del comportamiento de la red 49% 15% 10% 17% 10%
Soluciones de seguridad para redes Wireless 44% 20% 15% 15% 7%
Network access control (NAC) 46% 10% 27% 12% 5%
Dispositivos biométricos p/autenticación de usuarios 17% 15% 5% 56% 7%
Single Sign On 15% 2% 29% 44% 10%
Sistemas web para administración de accesos 37% 15% 7% 27% 15%
Identity management 10% 5% 12% 59% 15%
Herramientas de centralización de logs y monitoreo 54% 22% 17% 2% 5%
Herramientas para administración de incidentes 34% 20% 20% 15% 12%
Herramientas para cumplimiento regulatorio 24% 12% 29% 24% 10%
Seguridad de los servicios en la web 39% 15% 17% 20% 10%
CONCLUSIONES
1. La seguridad de la información constituye un área de atención creciente en lasorganizaciones de de América Latina.
2. Mientras que las amenazas se multiplican y se hacen más sofisticadas, las organizaciones seven obligadas a fortalecer sus capacidades de gestionar la seguridad y a contar concapacidades adecuadas de respuesta ante incidentes.
3. Las nuevas tecnologías (mobile, redes sociales, servicios en la nube “cloud”) generan nuevosdesafíos que están siendo atacados mediante nuevas políticas y nuevas iniciativas deprotección de información sensible.
4. Las organizaciones deben desarrollar un Programa de Seguridad de la Información queincluya iniciativas de corto, mediano y largo plazo, definiendo la incorporación de tecnologíasde seguridad para garantizar una adecuada protección de la información y del negocio.