PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 1
Ciudad de México, 20 Septiembre 2016
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
1. Análisis de la situación actual. Diagnóstico y amenazas recientes.
2. Tipos de Ciberdelitos y sus consecuencias.
3. Aspectos legales de la protección de datos.
4. Retorno de la Inversión en Seguridad de la Información (ROSI)
5. Estrategias de Seguridad Informática: Mejorando la Seguridad de los datos
6. Debate-Coloquio.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Análisis de la Situación actual
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
60% de los ciberataques
provienen de fuentes internas
Según aseguradoras, los ciberataques provocan pérdidas de 24 mdd al año en México
Coste Medio de un ciberataque: 800.000 $
México es el 2º país en Latinoamérica en ataques a dispositivos móviles
En México, 40% de las empresas declaran haber sido víctimas de un ciberataque en 2015
70% de los ciberataques
no se publican
Análisis de la situación actual:
5 de cada 6 empresas de México son atacadas (Symantec)
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Tipos de Ciberdelitos y consecuencias
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Malware: Software malicioso instalado en las computadoras o dispositivos móviles.
Phishing: Recabar datos personales de manera maliciosa.
Password Attack: Programas que intentan adivinar nuestras contraseñas.
Denial-of-Service (DoS): Ataque cibernético que impide que nuestro sitio web funcione.
Man in the Middle (MITM): Alguien está en medio de una transacción legítima y puede leer la información, por ejemplo entre el usuario y su banco.
Drive-By Download: Bajar información sin autorización al momento de visitar una página web y que servirá como herramienta para el hacker al utilizarla como espía, entre otros usos.
Malvertising: Colocar publicidad no autorizada sin desembolsar el pago legítimo.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
- Ataques por reputación: buscan aumentar la reputación del atacante, sin objetivo específico. El daño suele ser caída de sistemas, fallas en la producción, o revelación de datos, pero sin contraparte económica.
- Ataques con objetivo determinado: Buscan un beneficio económico, desde la suplantación de identidad (para dar valor/credibilidad a la operación), el secuestro de información propia de la empresa, la alteración de la producción, o la extorsión a empresa o clientes por la no revelación de datos o del propio ataque.
Tipos de ciberdelitos, y sus consecuencias.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Consecuencias de un ciberataque:
- Robo de datos- Alteración de la producción- Pérdidas económicas directas (patrimonio), e indirectas
(indemnizaciones)- Pérdida de reputación- Costes directos en la resolución del incidente, e indirectos en
reposicionar la imagen de la empresa tras el mismo.
Tipos de ciberdelitos, y sus consecuencias.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Ejemplos:
Tipos de ciberdelitos, y sus consecuencias.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Ejemplo 1:
Anonymous declara la “guerra” al sistema
financiero
#OpIcarus ha afectado a Bancos Centrales de Grecia, México, Holanda, Chipre o Maldivas.
Otros objetivos: Bolsa de NY, Banco de Inglaterra
Tipos de ciberdelitos, y sus consecuencias.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Ejemplo 2: SWIFT sufre ciberataque.
Aún se detectan nuevos ataques a fecha de hoy.
Tipos de ciberdelitos, y sus consecuencias.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Ejemplo 3:
Ciberdelincuentes paralizan Hospitales Medstar
Ransomware paraliza el acceso a expedientes médicos
Operaciones y quirófanos paralizados.
FBI investiga si se pagó rescate.
Tipos de ciberdelitos, y sus consecuencias.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Ejemplo 4:
Mattel pierde 3M$ en transferencias fraudulentas
Suplantación de identidad del CEO de Mattel
Transferencia de 3M$ a Banco en China
Tipos de ciberdelitos, y sus consecuencias.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Ejemplo 5: Camiones y logística
Los sistemas de guiado y GPS son vulnerables.
Se puede modificar la ruta/destino sin ser advertido por el conductor o la empresa.
Tipos de ciberdelitos, y sus consecuencias.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Ejemplo 6: Malware Plotus
Cajeros automáticos afectados a nivel mundial.
Motivo: tecnología obsoleta que permite la entrada de malware.
Otros malware afectan a TPV
Tipos de ciberdelitos, y sus consecuencias.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Ejemplo 7: Infraestructuras críticas.
Planta potabilizadora de agua.
Cambio de composición, al tomar el control de sus sistemas industriales de producción.
Tipos de ciberdelitos, y sus consecuencias.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Ejemplo 8: Dimisión CEO Target.
Ciberataque afecta a 40 millonesde tarjetas bancarias de clientes.
Tipos de ciberdelitos, y sus consecuencias.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Ejemplo 9: Condena judicial contra entidad bancaria.
Tipos de ciberdelitos, y sus consecuencias.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Aspectos legales de la Protección de Datos
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
En el último par de años, México ha pasado del lugar 20 al siete entre los países más atacados en el mundo, según datos de la Organización de Estados Americanos (OEA)
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Plan Nacional de Ciberseguridad: Prevención y Detección de incidentes de Ciberseguridad.
Proteger en el ámbito digital la infraestructura crítica del país.
89,000 millones de pesos
Comienza a ejecutarse en 2018.
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Invertir en seguridad es Rentable (ROSI)
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Departamentos estratégicos: Identificación de los núcleos de negocio:
- ¿Qué departamentos de la empresa son los más estratégicos, y los que manejan información más sensible para la continuidad del negocio? (Operaciones, Comercial, Financiero…)
Costes materiales:
- ¿Qué material podría verse afectado, y cuáles serían los costes de su sustitución/reparación y eliminación de “puertas traseras” para evitar repetición del incidente?.
Costes humanos: - ¿Cantidad de recursos humanos para la atención y mitigación del incidente, y coste/hora?- ¿Cuántas personas, departamentos y servicios de la empresa se ven afectados por la paralización o pérdida de información provocada por un incidente de éste tipo?
Costes legales: - ¿Penalizaciones legales y contractuales? (Contratos / repercusión legal)
Pérdidas directas: - Volumen de facturación no percibido, durante el tiempo que los equipos y procesos de la empresa han estado afectados por el incidente.
RETORNO DE LA INVERSIÓN EN SEGURIDAD DE LA INFORMACIÓN
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
Estrategias de Seguridad Informática: Mejorando la Seguridad de la Información
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
ALINEAMIENTO DE LA SEGURIDAD INFORMÁTICA
CON LOS OBJETIVOS Y PROCESOS ESTRATÉGICOS
FORMACIÓN CONTÍNUA Y CAPACITACIÓN
AUDITORÍAS DE CIBERSEGURIDAD
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es
“La Ciberseguridad no descansa… Para que ustedes puedan hacerlo.”
PRESENTACIÓN CASHFLOW MANAGER · V_JUNIO_15 www.thesecuritysentinel.es 27
GRACIAS POR SU ATENCIÓN