SECTOR FINANCIERO MEXICANO: DIAGNÓSTICO...

21
www.controlrisks.com Control Risks Mexico, S.A. de C.V. | Rubén Darío 218, Piso 20 | Col. Bosques de Chapultepec | C.P. 11580 Mexico, D.F. Mexico T: +52 55 5000 1700 8 de Septiembre, 2015 CONFIDENCIAL James Hampshire Consultor Senior en Seguridad Cibernética Control Risks Instituto Mexicano de Ejecutivos de Finanzas, A.C. SECTOR FINANCIERO MEXICANO: DIAGNÓSTICO DE SEGURIDAD CIBERNÉTICA

Transcript of SECTOR FINANCIERO MEXICANO: DIAGNÓSTICO...

www.controlrisks.com

Control Risks Mexico, S.A. de C.V. | Rubén Darío 218, Piso 20 | Col. Bosques de Chapultepec | C.P. 11580 Mexico, D.F.

Mexico

T: +52 55 5000 1700

8 de Septiembre, 2015 CONFIDENCIAL

James Hampshire Consultor Senior en Seguridad Cibernética – Control Risks

Instituto Mexicano de Ejecutivos de Finanzas, A.C.

SECTOR FINANCIERO MEXICANO:

DIAGNÓSTICO DE SEGURIDAD

CIBERNÉTICA

2 © Control Risks Group Limited

Objetivos de la sesión

• ¿Quiénes somos y qué hacemos en México?

• ¿Cuál es nuestra visión de la seguridad cibernética y de lo qué está mal?

• ¿Cuál es la situación en México?

• ¿Qué pueden hacer las empresas mexicanas?

3 © Control Risks Group Limited

Control Risks y MWR se han asociado para brindar una

oferta única de seguridad cibernética

Cyber Protect:

Desarrollo de defensas

cibernéticas

Threat Intelligence:

Comprensión de las

amenazas

Cyber Respond:

Respuesta

inmediata a

ataques

Consultoría de riesgo global con 36 oficinas

en todo el mundo y un patrimonio único en

gestión de riesgos, inteligencia e

investigaciones

Una de las consultorías técnicas en

seguridad de la información más

importantes del mundo

4 © Control Risks Group Limited

¿Qué estamos haciendo en México?

2015 es el año dual de México en el Reino Unido y

del Reino Unido en México -

http://mexicouk2015.mx/bienvenido

Control Risks, establecida en México desde 1995, es

un asesor que cuenta con la confianza de muchos

clientes dentro del sector financiero y una exclusiva

práctica en seguridad cibernética a nivel mundial

La seguridad en el ciberespacio es indispensable

para lograr prosperidad y crecimiento económico

El Ministerio de Asuntos Exteriores del Reino Unido

(UK Foreign and Commonwealth Office) ha

financiado un proyecto para realizar un "Diagnóstico

de Seguridad Cibernética"

5 © Control Risks Group Limited

Objetivos de la sesión

• ¿Quiénes somos y qué hacemos en México?

• ¿Cuál es nuestra visión de la seguridad cibernética y qué está mal?

• ¿Cuál es la situación en México?

• ¿Qué pueden hacer las empresas mexicanas?

6 © Control Risks Group Limited

¿Cómo vemos la seguridad cibernética?

Estados Nación

Criminales (incluyendo empleados)

Activistas

INFORMACIÓN SISTEMAS

INTEGRIDAD

(cambio de procesos)

DISPONIBILIDAD

(alteración o destrucción

de procesos)

CONFIDENCIALIDAD

(robo de información)

7 © Control Risks Group Limited

La seguridad cibernética supone un riesgo integral de

negocio con un gran impacto

Impacto técnico Impacto en el negocio

40 millones de tarjetas

de crédito y datos de 70

millones de clientes

comprometidos por

cibercriminales

CEO y CIO renunciaron;

reducción significativa de

los beneficios anuales

Terceros hackearon los

sistemas removiendo los

límites de retiro de

tarjetas prepagadas

En 10 horas, células

criminales retiraron $40

millones USD en 36,000

transacciones en cajeros

automáticos de 24 países

Ataques DDoS

provenientes de Irán

afectaron el acceso a

sitios web bancarios en

Estados Unidos

Tiempo de inactividad

significativo para los

sistemas de banca en

línea y grandes costos de

mitigación

8 © Control Risks Group Limited

¿Por qué los ataques cibernéticos son cada vez más

serios?

Proliferación de

capacidad

técnica

Expansión de la

superficie de

ataque

Aumento de la

conectividad de

internet en los

sistemas

• Compartir conocimientos y capacidad,

habilitada en foros en línea, han disminuido

las barreras de entrada

• Al mismo tiempo, conocimientos y tecnologías

avanzadas están cada vez más disponibles

• TICs habilitan todas las funciones de negocio

• Atacantes pueden dirigirse a una gran

cantidad de información, ej. financiera,

estrategia de negocio, información de RH,

comercial (datos de clientes)

• Todos los sistemas están cada vez más

conectados a internet

• Interconexión de los sistemas genera

vulnerabilidades

9 © Control Risks Group Limited

¿Cómo vemos el desarrollo de la amenaza global?

• Bajos precios del petróleo y tensiones políticas alrededor del mundo

• Estados Nación buscan un efecto físico a través de lo cibernético, p.e.: a

través de SCADA (Supervisión, Control y Adquisición de Datos).

Geopolítica generando impulso para el desarrollo de los Estados Nación

Incremento del profesionalismo y comercialización

Superposición de capacidades

• Proliferación facilitada por sitios criminales en la Red Obscura

• Ciberactivistas ahora vendiendo sus herramientas – no solo protestando sino

buscando ganancias

• Los Estados Nación seguirán usando “actores indirectos”

• Riesgo de que los actores con intenciones peligrosas puedan adquirir capacidad

cibernética avanzada

10 © Control Risks Group Limited

Sin embargo, gastar dinero no parece ser la respuesta…

Los "primeros hackers" condujeron a

una importante inversión en

seguridad cibernética por un gran

número de organizaciones

Sin embargo, la frecuencia de

ataques exitosos parece

haber aumentado

11 © Control Risks Group Limited

¿Qué está mal? Lo que vemos con muchos de nuestros

clientes

Defensa técnica con un fuerte enfoque en protección del perímetro

12 © Control Risks Group Limited

Los componentes clave del tratamiento de la seguridad

cibernética como un riesgo empresarial

Identificar y

proteger la

infraestructura

crítica

Defensas con

base en las

amenazas

específicas

Desarrollar

defensas

avanzadas e

integrales

Detectar y

responder, no

sólo identificar

ataques

¿Qué significa?

• Tener una lista actualizada de los activos

críticos de la empresa, y una

comprensión cuantificada de su valor

• Inteligencia de las amenazas, detallada y

de diferentes fuentes, para ser utilizada

en ejercicios de priorización

• Pruebas de penetración dirigidas por

expertos y basadas en inteligencia;

asignación de roles en la empresa para

supervisar la seguridad de la información

• Presupuestos asignados adecuadamente

entre protección, detección y respuesta;

planes de gestión de crisis probados y

adaptados a la seguridad cibernética

1

2

3

4

Dar prioridad a

defender lo más

importante para su

organización

Dar prioridad a la

defensa contra las

amenazas que se

enfrentan

Defender

eficazmente contra

la forma de operar

de las actores

La mayoría del

daño se produce

después de que la

seguridad ha sido

violada

¿Por qué? ¿Qué?

13 © Control Risks Group Limited

Objetivos de la sesión

• ¿Quiénes somos y qué hacemos en México?

• ¿Cuál es nuestra visión de la seguridad cibernética y qué está mal?

• ¿Cuál es la situación en México?

• ¿Qué pueden hacer las empresas mexicanas?

14 © Control Risks Group Limited

¿Por qué economías emergentes como México son cada

vez más atacadas por cibercriminales?

Impulsores económicos

y geopolíticos

Asuntos sociales y

domésticos

Defensas menos

desarrolladas

México se convierte

cada vez más en el

blanco de todo tipo de

actores cibernéticos

maliciosos

15 © Control Risks Group Limited

El sector financiero en México se enfrenta a una gran

amenaza cibercriminal

Cibercriminales

Actores

Estados Nación

Ciberactivistas

Intención Capacidad Riesgo

ALTA ALTA ALTA

BAJA MUY

ALTA MEDIO

BAJA BAJA BAJA

Amenazas clave

• Extorsión – DDoS

• Extorsión –

Ransomware

• Fraude cibernético

• APT

• Spear-phishing

• Ingeniería social

• DDoS

• Desconfiguración web

• Inyección SQL

16 © Control Risks Group Limited

La madurez en seguridad cibernética sigue un camino:

muchas instituciones financieras mexicanas tiene mucho

por recorrer

Madurez actual

Madurez Objetivo

INCIDENTAL

• Algunos controles, principalmente técnicos, en operación

BÁSICO

• Controles básicos en operación, el riesgo cibernético es eminentemente de carácter técnico

ESTABLECIDO

• Gestión basada en las amenazas de forma consistente, utilizando sólidos controles técnicos y observando las amenazas cibernéticas como riesgos de negocio

ELEVADO

• Visión para contrarrestar ataques avanzados y persistentes

AVANZADO

• Protección de tipo militar contra el más alto nivel de amenaza

Nivel

sectorial

Nivel de Madurez

1 2 3 4 5

Instituciones

financieras

pequeñas y

medianas en

México

Objetivo

17 © Control Risks Group Limited

La causa de muchos problemas es la falta de

comprensión de la amenaza

El impacto en el

negocio de un ataque cibernético no es comprendido

La falta de

comprensión detallada y granular de la amenaza

La seguridad de la

información no se está manejando como riesgo estratégico del

negocio

Incremento de la

inversión en los negocios no se ha hecho

Las organizaciones están mal

preparadas para responder a violaciones en la información

Controles técnicos, entre otros,

no alineados con el riesgo del negocio

Procesos de seguridad de la

información son aplicados inconsistentemente y carecen de

propiedad

La falta de propiedad completa y

establecimiento de direcciones sin una estrategia integral de

seguridad cibernética

18 © Control Risks Group Limited

Objetivos de la sesión

• ¿Quiénes somos y qué hacemos en México?

• ¿Cuál es nuestra visión de la seguridad cibernética y qué está mal?

• ¿Cuál es la situación en México?

• ¿Qué pueden hacer las empresas mexicanas?

19 © Control Risks Group Limited

La ruta para mejorar la seguridad cibernética

Estrategia y Gobernanza: a) Establecimiento del entendimiento de

la amenaza institucional b) Implementación de estructuras internas y dotación de recursos para la seguridad

cibernética

Controles Técnicos: a) Controles técnicos alineados con la

amenaza y el valor de los activos b) Defensas técnicas validadas por

pruebas de penetración internas periódicas

Procesos de seguridad de la

información a) Nivel de vulnerabilidad entendido

b) Vulnerabilidades de procesos clave abordados, incluyendo terceros y RH.

Detección y Respuesta: a) Procesos de detección técnica

b) Procesos de respuesta a violaciones c) Plan de continuidad integrando gestión

de crisis y seguridad cibernética d) Pruebas y ejercicios regulares

HABILITADORES DEL NIVEL SECTOR

Habilitador 1: Entendimiento compartido y detallado de la amenaza

Habilitador 2: Plataforma para colaborar y compartir información sobre amenazas cibernéticas

Habilitadores 3: Relaciones mutuamente beneficiosas entre las empresas y autoridades clave

20 © Control Risks Group Limited

Preguntas que hacerle al equipo de TI, y las respuestas

de las que preocuparse

¿Cuáles son nuestros activos clave

protegidos y cuáles son sus

principales amenazas?

¿Cuáles fueron los resultados de

nuestra prueba de penetración más

reciente?

¿Hemos tenido casos de violación en

los sistemas de seguridad de la

información?

Nosotros protegemos todo

No se pudo entrar y/o hemos

parchado todos los huecos

No

www.controlrisks.com

Contactos

James Hampshire

Cyber Security (Londres)

[email protected]

Nick Panes

Managing Director (Ciudad de México)

[email protected]

https://mwr.controlrisks.com