Retos de gestión de riesgo cibernético en la ... · servicios y procesos de negocios a través de...

Retos de gestión de riesgo cibernético en la Transformación DigitalWilmar Arturo [email protected] de 2019

mailto:[email protected]

© Deloitte LLP and affiliated entities.

Tendencias tecnológicas

Tendencias de riesgo cibernético

Retos de Ciber Seguridad

Conclusiones

Agenda


Tendencias tecnológicas


Computación cuántica

Vehiculos autónomos con

inteligencia artificial adaptativa

Impresión / Manufactura 3D

IoT - Asistentes virtuales para el

hogar

Internet

Realidad aumentada

en la nube

Analíticas de big data

Smartphones con

Interfaz Táctil / Multi touch

Redes sociales

e-commerce

ClienteServidor

Computación personal

1970s 1980s 1990s 2000s 2010s

Arq

uit

ectu

ra

Cliente

-Serv

idor

Com

puta

ció

n

pers

onal

Inte

rnet

/W

eb

e-c

om

merc

e

Móvil

Dig

ital

>25 yrs. ~15 yrs. ~10 yrs. <10 yrs. ~7 yrs. <5 yrs.

Post

Dig

ital

Los 10 trabajos más demandados en 2010 no existían en 2004. 65 % de los niños graduados en USA trabajarán en

cargos que aún no se han inventado

Para 2020, 100 millones de consumidorescomprarán mediante realidad aumentada y

más de 20% de las marcas abandonarán sus aplicaciones móviles

En los próximos 10 años, 30% de los trabajos en Bancos serán remplazados por

Automatización de Procesos y Tecnologías Cognitivas

La era Post-Digital

Sensores en todas las superficies para cuantificar todo

Inteligencia embebida mejora evolutivamente las cualidades del software

Personalización masiva debido a interacción más profunda

Todo digital gracias a la virtualización de los derechos y la propiedad

Servicio conversacional en lenguaje natural mediante robots

Robótica y Automatización para cubrir la última milla entre canales de servicio y sistemas legados

La copia extensiva por conexión e inspección constante transforma el valor de la propiedad intelectual de la forma al know-how

Nuevas tecnologías impactando continuamente todas las industrias, creando demanda de nuevas habilidades y experiencia…

Continuas innovaciones tecnológicas

2020s

4


AÑO PROMEDIO EN EL CUAL SE ESPERA EL PUNTO DE QUIEBRE

2018 2021 2022 2023 2024 2025 2026

• Almacenamiento para todos

• Robots y Servicios

• loT

• Wearables

• 3D Printing

• Tecnologías implantables en humanos

• Súper computadora de bolsillo

• Computación omnipresente

• Hogar 100% conectado

• Diagnóstico de la salud humana

• 3D en productos para cliente final

• Inteligencia artificial en puestos ejecutivos

• Automóviles autónomos

• Ciudades inteligentes

• Toma de decision final por una Inteligencia Artificial

Hay transofrmaciones profundas que están ocurriendo rapidamente en la Sociedad humana cmo resultado de la evolución tecnológica

Tecnologías Implantables

El primer teléfono móvil implantable disponible comercialmente en 2023

Revolución sensorial

1 billón de sensores estará conectado a Internet en 2022

El hogar conectado

50% del tráfico de Internet será generado por los aparatos electrodomésticos en 2024

Ciudades inteligentes

La primera ciudad con más de 50.000 habitantes y sin semáforos en 2026

Visión como nuevo artefacto

10% de las gafas de lectura se conectará

AI entra en el mundo corporativo

La primera máquina de inteligencia artificial (AI) en una Junta Directiva por 2026

Blockchain

10% del producto interno bruto global (PIB) almacenado en la tecnología blockchain en 2027

Robótica y servicios

El primer farmacéutico robótico en los Estados Unidos en 2021

Los próximos 10 años marcarán puntos de quiebre para varias tecnologías

Una investigación del Foro Económico Mundial muestra que entre 10 y 20 transiciones ocurrirán en los próximos 10 años

5


Tendencias clave para el futuro de los negociosEn

fasis

del m

ercad

oM

ayor

Menor

Tiempo de maduración0-2 años 2-4 años

Internet de las cosas

Tecnologías cognitivas

Blockchains

Modelos de negocios alternativos

Modelos de talento alternativos

Convergencia de la industria

Automatización de procesos robóticos

Riesgos algorítmicos

Economía de la plataforma

Los modelos de negocios alternativos son enfoques no tradicionales de creación de valor que pueden permitir a las organizaciones encontrar nuevas oportunidades de crecimiento e ingresos.

Los modelos de talentos alternativos son formas flexibles de mejorar los modelos de talentos que están siendo adoptados por las organizaciones, ya que cada vez más empleados prefieren no trabajar a tiempo completo o permanente.

La convergencia de la industria es el acercamiento de sectores industriales distintos para crear posibilidades innovadoras en términos de productos, procesos y servicios que no existían antes.

Los riesgos algorítmicos son riesgos que emanan del uso de algoritmos de software en varias tareas automatizadas y semiautomatizadas o en la toma de decisiones.

Una plataforma se define como un medio habilitado para la tecnología que crea valor facilitando los intercambios entre muchas entidades. La economía de la plataforma se define como la aparición de ecosistemas basados en plataformas que permiten la estandarización de productos, servicios y procesos de negocios a través de una infraestructura compartida y están impulsando la creación y escala de valor al permitir efectos de red.

Internet de las cosas (loT) se refiere a objetos físicos que están incrustados en los ordenadores para que puedan detectar sus entornos, cambiar sus entornos y comunicarse con sistemas remotos.

La Inteligencia Artificial (AI) es la teoría y desarrollo de sistemas computacionales capaces de desarrollar tareas que usualmente requieren de inteligencia humana. Las tecnologías subyacentes son referidas como tecnologías cognitivas.

Blockchains son libros de contabilidad distribuidos que registran las interacciones digitales de una manera segura, transparente, inmutable y auditable, sin tener que depender de intermediarios de confianza.

La automatización de procesos robóticos (EPR) se refiere al software configurable que automatiza las actividades manuales realizando tareas repetitivas y deterministas. El EPR imita la forma en que las personas interactúan con los sistemas y sigue reglas sencillas para tomar decisiones.

Leyenda Tendencia TI Tendencia de negocio Tendencia de riesgo6


Tendencias de riesgo cibernético


El cambiante panorama del negocio y del riesgo cibernético

VAPOR

ELECTRICIDAD

DIGITAL

HIPER-CONECTADOE INTELIGENTE

Era de la madurez y la ubicuidad

Era del riesgo

Era del cumplimiento

8


La Transformación Digital, Herramienta Estratégica de las Organizaciones

El desafío:

cómo facilitar el

crecimiento y mejorar

la rentabilidad de la

Organización

mediante el uso

seguro de las nuevas

tecnologías

Digital Finance &

Payments

BlockChain

Analytics

Virtual Reality

Robotics &

Cognitive

Automation

IoT

Mobile

Banking

Cloud


Foro económico mundial

El panorama global del riesgo 2019

Source: World Economic Forum Global Risks Perception Survey 2019

Económico

Ambiental

Geopolítico

Social

Tecnológico


El panorama cambiante del ciberriesgo

Global Risk 2019 del Foro Económico Mundial

Se estima pérdidas financieras

en 2019 relacionadas con

ataques de robo de datos y

dinero en un 82% e interrupción

de las operaciones en un 80%

El costo de los

ciberataques se está

incrementando.

las noticias falsas y el robo de

identidad aumentan en 2019, lo

mismo se estima en la pérdida de

privacidad para las empresas y

los gobiernos

Los cibercriminales

han aumentado sus

objetivos potenciales

así como su oferta de

servicios

Los ataques se están

incrementando tanto

en prevalencia como

en poder disruptivo

Malware y ransomware

ha resurgido en la dark

net

Los ciberataques de

gran escala ahora se

consideran normales


Tendencias globales de riesgo cibernético

La mala higiene de la seguridad sigue afectando organizaciones

Ataques más frecuentes, focalizados y sofisticados

Ransomware y los ataques de integridad de datos aumentarán en sofisticación y frecuencia

La cadena de suministro o el envenenamiento del socio comercial o la entrada lateral están en aumento

Un mayor número de sistemas y dispositivos conectados continúa expandiendo la superficie de ataque de una organización

Escasez y alto costo del talento cualificado

Patrones de ataque cada vez más parecidos al comportamiento normal

Capacidades asimétricas de guerra a través del crimen como plataforma de servicio

Aumento de los costos de prevención y remediación

12


• Foco específico en acceder

a los recursos informáticos

más críticos (“Crown

jewels”)

• Ataques dirigidos, no solo

oportunistas

• Se utilizan técnicas

silenciosas

• Se busca la “persistencia”

sin ser detectado

• Impacto en la operación

e infraestructura de IT

• Ataques Genéricos

• Mecanismos de ataques

ruidosos y relativamente

fáciles de detectar

ActualmenteEn el Pasado

El ambiente de Ataques y Amenazas evoluciona globalmente

Consistente con el aumento del nivel de Riesgo, los Objetivos y Métodos de Ataque continúan migrando a situaciones de mayor complejidad


Retos de Ciber Seguridad


http://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

Entender el Escenario de Amenazas Propio de la Entidad




Entender el Escenario de Amenazas Propio de la Entidad



Conciencia SituacionalEvaluación de capacidades de ciber seguridad

Obtener un entendimiento adecuado sobre las amenazas que enfrenta una organización, cuáles son los activos einformación en riesgo y cuáles son las tácticas que emplearía un agente amenaza para lograr su cometido, de talmanera que podamos responder a las siguientes preguntas:

© 2019 Deloitte Asesores y Consultores Ltda. 6

• Criminales Cibernéticos (Cyber criminals)• Hacktivistas (hackers con fines políticos y sociales)• Colaboradores con fines maliciosos • Proveedores deshonestos• Competidores• Hacker habilidoso con fines individuales

• Robo de información sensible (corporativa, reportes del consejo ejecutivo, información financiera, información de inversionistas, etc.)

• Reclamos de fraude• Fraude financiero • Incumplimiento al Sistema de Calidad• Incumplimiento a su Visión Misión y Valores.• Incumplimiento Regulatorio

¿Quién podría atacarnos?

¿Cuáles son los riesgos clave del negocio que necesito

mitigar?

¿Qué tipo de tácticas y técnicas podría emplear un

atacante o agente amenaza?

• Ingeniería Social• Vulnerabilidades en software o hardware• Ataques a través de infraestructura de terceros• Credenciales de autenticación robadas

”En última instancia, la ciberseguridad se trata de la marca y la reputación frente a sus partes interesadas"


Siendo la tecnología un factor de riesgo con mayor evolución y complejidad, la seguridad se vuelve fundamental a la luzde las crecientes amenazas cibernéticas que enfrentan las organizaciones. Es por ello que presentamos un ejerciciointegral que permite a las organizaciones identificar riesgos en 3 ejes fundamentales:

© 2019 Deloitte Asesores y Consultores Ltda. 18

Cyber Security Assessment(CSA)

Pruebas de penetración / externas e internas (PT)

Cyber Threat Hunting (CTH)

Evaluación de capacidades de ciber seguridadConciencia Situacional


Cyber Security Framework ®

Modelo de referencia

19

Actualizar constantemente estándares de control, metodologías y marcos de referencia, acorde con las tendencias cambiantes (expansión de tecnologías emergentes, actuales y futuras)


Modelo de referencia

El Cyber Security Assessment es un diagnóstico que permite dar a conocer a la organización las capacidades actuales de su organización

en relación a la protección, monitoreo y recuperación ante un incidente. A continuación se muestra un gráfico para dar un entendimiento

de las actividades en este rubro:

BENEFICIOS

Panorama de amenazas

Permite a las organizaciones evaluar y desarrollar una estrategia cibernética alineada a sunegocio y perfil específico de amenazas informáticas mediante la optimización del nivel demadurez de sus capacidades cibernéticas y haciendo más efectivas las inversiones enciberseguridad.

ENTENDIMIENTO Y ANÁLISIS DE RIESGOS CIBERNÉTICOS

Entendimiento de negocio Capacidades de ciberseguridad

DESARROLLO DE ESTRATEGIA DE

CIBERSEGURIDAD

Identificar proyectos e iniciativas relevantes para la organización.

Identificar elvalor de lasinversionesenciberseguridad

Entendimientodel nivel actualde madurez encapacidades deciberseguridad

Enfoqueenprioridades

Entendimientodel panorama deamenazas para laorganización.

Desarrollo de laruta crítica delas iniciativas deciberseguridad

Identificación de iniciativas

Generación de ruta critica

© 2019 Deloitte Asesores y Consultores Ltda 20

Cyber Strategy Framework (CSF)


Cyber Threat Hunting (CTH) - ¿Qué es?

© 2019 Deloitte Asesores y Consultores Ltda 21

Se realiza un diagnóstico que permite identificar si el ambiente tecnológico de la organización ha sido comprometido,es decir, si se tiene presencia de un agente o agentes maliciosos dentro de la organización sin que estemos al tanto deello. Es un complemento a las pruebas de penetración.

Para esto se desarrolla un enfoque de pruebas basado en hipótesis de investigación, definiendo objetivos específicospara cada una de estas en diferentes tipos de activos críticos o equipos de cómputo de usuarios; tras definida unaestrategia de investigación, se realiza un despliegue técnico que permita al equipo de investigadores monitorear laactividad de los activos y redes dentro del alcance de la investigación.

• Se definirá un tipo de investigación y alcance de objetivos

• Se establecerá una hipótesis

tipos de hipótesis:

Basadas en Inteligencia de AmenazasIoCs y TTPs

Basadas en Conciencia situacionalConocer las joyas de la corona

Basadas en Experiencia Experiencia previa del investigador

Estrategia e Hipótesis de investigación Investigación

Despliegue de tecnología (Agentes en host y sensores de red) para identificar comportamiento malicioso dentro de la red interna de la organización. Toda la actividad sospechosa es documentada

y comunicada para tomar medidas correctivas.

Investigar Identificar Alertar

3


Reducir la brecha entre Ataque y Respuesta

Source: Verizon Data Breach Investigations Report 2018

La brecha existente entre la velocidad en que se completan los ataques y los tiempos de respuesta de las organizaciones constituye uno de los principales desafíos de las organizaciones actuales en materia de Ciber Resiliencia


Atender a los Desafíos en el Desarrollo de Capacidades de Respuesta Ante Incidentes y Ciber Resiliencia

Usualmente las organizaciones se preocupan únicamente en la amenaza externa, ignorandoescenarios de ataques internos2

Los usuarios finales siguen siendo el foco de los ataques, vía ataques de phishing y de ingenieríasocial

1Las organizaciones siguen sufriendo por pobres medidas y prácticas de seguridad como la falta de aplicación de parches o la puesta en producción en Internet de aplicaciones sin un adecuado testeo de seguridad

3

Las capacidades de Respuesta ante Ciber Incidentes no son comparables con las capacidades de los atacantes y de las herramientas de que estos disponen.

4

La generación de rédito para los atacantes hace que se generen más atacantes y haya másmotivación para la generación de ataques

5


Retos para el CISO

24

Abrazar el futuro con optimismo, con la conciencia de oportunidad y de riesgo.

La pregunta no es si acaso podríamos ser impactados por un evento de ciberriesgo, la pregunta es cuándo fuimos / seremos impactados

• Gobierno y Prevención

• Aseguramiento y protección (Seguro)

• Detección y Ciber inteligencia accionable (Vigilante)

• Preparación ante lo inevitable (Resiliente)

• Respuesta y comunicación (Resiliente)


Conclusiones


Abrazar el futuro con optimismo, monitorear tendencias internas y externas

Edúquese y comprenda las oportunidades

Comprometer el negocio y tecnología para entender las necesidades actuales y previstas, así como casos de uso

Comprenda los riesgos, limitaciones y conozca sus zonas de confianza

Actualizar estándares de control, metodologías y marcos de referencia

Conclusiones

About Deloitte

Deloitte provides audit & assurance, consulting, financial advisory, risk advisory, tax and related services to public and private clients spanning multiple industries. Deloitte serves four out of five Fortune Global 500® companies through a globally connected network of member firms in more than 150 countries and territories bringing world-class capabilities, insights and service to address clients' most complex business challenges. To learn more about how Deloitte's approximately 264,000 professionals—9,400 of whom are based in Canada—make an impact that matters, please connect with us on LinkedIn, Twitter or Facebook.

Deloitte LLP, an Ontario limited liability partnership, is the Canadian member firm of Deloitte Touche Tohmatsu Limited. Deloitte refers to one or more of Deloitte Touche Tohmatsu Limited, a UK private companies limited by guarantee, and its network of member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte ToucheTohmatsu Limited and its member firms.


https://www.linkedin.com/company/1521182/

https://twitter.com/DeloitteCanada

https://www.facebook.com/DeloitteCanada/

http://www.deloitte.com/about

Date post:	03-Apr-2020
Category:	Documents
Upload:	others
View:	0 times
Download:	0 times

Retos de gestión de riesgo cibernético en la ... · servicios y procesos de negocios a través de...

Documents