CyberSecurity en entornos empresariales

www.pwc.es

Index

• Background

• Una preocupación global

• Entonces… ¿Qué es Ciberseguridad?

• Una respuesta empresarial

2

PwC

Background

Background Caso I: Target

4

“During fourth quarter 2013, Target experienced a data breach in which an intruder gained unauthorized access to our network and stole certain payment card and other guest information. The Company incurred $17 million of net expense in the fourth quarter, reflecting $61 million of total expenses.”

Fuente: SEC 8-K Report .

Target Corp:

• Fundada en 1902

• Aprox 1760 supermercados en USA

• Aprox 72 billion $ (facturación 2012)

• Aprox 360.000 empleados

• Cotiza en la bolsa de NY y S&P 500

Background Caso II: Sony –Parte I

5

Sony

Founded at 1946

Tokyo and Nueva York Market

Aprox: 72 billion $ (Revenue 2012)

Aprox: 146.000 employees

6

Background Caso III: Carnabak y otros ataques desde “dentro”

Background Caso IV: Dispositivos Médicos

7

8

Background Caso n … y de lo que sabemos

http://www.informationisbeautiful.net/visualiz

ations/worlds-biggest-data-breaches-hacks/

http://hackmageddon.com/2014-

cyber-attacks-timeline-master-index/

9

Background Caso n*m .. y de lo que no sabemos

Fuente: Verizon

10

Background Conclusión 1

PwC

Una preocupación Global

Nuevas amenazas globales y dinámicas Lo que preocupa a los directivos

12

2013/2014 Club Bilderberg

“Cyber Warfare and Asymetric threats”

2014 Global CEO Survey

13

Nuevas amenazas globales y dinámicas Lo que preocupa al mundo

14

Nuevas amenazas globales y dinámicas Lo que preocupa al mundo

15

Nuevas amenazas globales y dinámicas Y al regulador

16

Nuevas amenazas globales y dinámicas Conclusión 2

PwC

Entoces… ¿Qué es Ciberseguridad?

18

Cybersecurity essentials ¿Qué entendemos por Cybersecurity?

Ciudadano

Estado Usuario

Empresa

Cliente

Proveedor Directivo

Espionaje Industrial

Fugas de información Robo de datos

Movilizaciones sociales

Hacktivismo

Desórdenes públicos Delitos Telemáticos

Fraude sectorial

Suplantación

Acoso a personas

Chantaje a empresas Crimen Organizado

Disrupción de negocio

Espionaje de estado

Cyber Ataques

Cyber Terrorismo

Entendemos por Cyberseguridad al programa o actividad que se encarga de gestionar los riesgos vinculados o

coordinados a través de la tecnología y que por su difusión,

volumen y repercusión pueden generar un elevado impacto

en la Organización.

El programa de Cyberseguridad debe definir, implantar y

mantener una estrategia en respuesta a estos riesgos, entendiendo que por su especial naturaleza (Low

probability High Impact Threats), el marco de gestión

tradicional de la seguridad no es suficiente.

Amenazas globales y delocalizadas

Ataques Masivos (Alto Impacto)

Replicación industrial o geográfica

Persistencia y Complejidad

Impacto en Medios

19

Cybersecurity essentials La amenaza como núcleo de actuación

Amenaza ¿Qué?

¿Quien?

¿Cómo?

¿Cuándo?

¿Dódnde?

Preventivos

Detectivos

Anticipar

Contener

Responder

Correctivos

INTELIGENCIA

Gestión de la

Seguridad

Ciclo de Vida Tradicional Seguridad

Ciberseguridad

El programa de Cybersecurity debe contemplar un cambio

de enfoque y prioridad, si bien gran parte de sus objetivos y

las iniciativas que lo componen están estrechamente alineadas con el ciclo de vida de la seguridad tradicional.

Sin embargo, el modo de priorizar y establecer el perímetro

de actuación cambia drásticamente, tanto en su modelo

(incorporando acciones de contención e inteligencia),

activos (actuando dentro y fuera de la Entidad) y clasificación (actuando sobre los activos esenciales

amenazados por un vector de ataque o adversario).

20

El programa de Cybersecurity Un nuevo contexto de amenaza

21

Ecosistema Global de Negocio

Contexto de negocio, dinamizador de oportunidades y reiesgos

Modelado de Amenazas De “lo que preocupa” a “lo que me ocupa”

Adaptación de las amenazas vinculadas a la tecnología a la realidad de una organización, evaluando su vigencia y criticidad en base al ecosistema en el que opera, compuesto por tres niveles; Interno,

Stakeholders y Contexto.

Amenazas globales de una empresa

22

Information Technology

Operational Technology

Consumer Technology

“Cybersecurity” contempla todas las “capas”

Horizonte de Activos Esenciales Tangibilizando la amenaza en entornos críticos afectados

Below the lina: Información y tecnologías que trascienden mi ámbito de control

Tecnologías especificas (ej. Militar , ICS,etc)

Fabricación, producción, procesos core de negocio

Información Crítica (acuerdos, compras, etc.)

Entornos de operación

$ Medios de pago/ ATM mercados financieros

Telecomunicaciones Sistemas y datos.

Accesos, terceros, clientes, portales, proveedores, etc.

I+D/ diseño de productos

Sistemas Industriales de control (SCADA)

Tecnologías emergentes

Presencia en Internet, redes sociales, medios, Cloud, etc

23

Vectores de ataque Nuevas oportunidades comportan nuevos vectores de ataque

Empleados

Partners /

Proveedores

Colectivos

Hactivismo

Competidor

Empresas

Estados

Terrorismo

Medios /

Prensa

Cirmen /

Mafias

Hacking

Malware

eCrime

Cyber Terrorismo

eFraud

Cyber Espionaje

APT´s

DDoS

Hacktivismo

Redes Sociales

Spoofing

Corporate Attack

Ingenieria social

Intrusión física

Soborno

Lucro

Compro miso

Ego

Ideología

Replicabilidad

Especialización

Complejidad

Difusión

Sectorización

Localización

Anonimidad

Masificación

24

Cybersecurity essentials Conclusión 3

PwC

Una respuesta empresarial

28

Conclusión

“You can never be totally safe”

Iain Loban, Director GCHQ

PwC

Construimos relaciones, creamos valor

El presente documento ha sido preparado a efectos de orientación general sobre materias de interés y no constituye asesoramiento profesional alguno. No deben llevarse a cabo actuaciones en base a la información contenida en este documento, sin obtener el específico asesoramiento profesional. No se efectúa manifestación ni se presta garantía alguna (de carácter expreso o tácito) respecto de la exactitud o integridad de la información contenida en el mismo y, en la medida legalmente permitida. PricewaterhouseCoopers Asesores de Negocios, S.L., sus socios, empleados o colaboradores no aceptan ni asumen obligación, responsabilidad o deber de diligencia alguna respecto de las consecuencias de la actuación u omisión por su parte o de terceros, en base a la información contenida en este documento o respecto de cualquier decisión fundada en la misma.

© 2014 PricewaterhouseCoopers S.L. Todos los derechos reservados. "PwC" se refiere a PricewaterhouseCoopers S.L, firma miembro de PricewaterhouseCoopers International Limited; cada una de las cuales es una entidad legal separada e independiente.

¿Preguntas?