Segurinfo Santa Fé 2014 Tendencias de Gestión de Seguridad de la Información

Andrés L. Gil Rosario, Diciembre 2014

Agenda

• Seguridad de la Información y Cyber Riesgos Hoy

• Principales tendencias en Gestión de Seguridad

• Consideraciones Finales

@2014 Deloitte - Segurinfo Santa Fe 2014 1

Seguridad de la Información y Cyber Riesgos Hoy

Arial Bold: this is dummy text it is not here to be read it is here to show how this document will look

Arial Bold: this is dummy text it is not here to be read it is here to show how this document will look

Arial Bold: this is dummy text it is not here to be read it is here to show how this document will look

Evolución de la Tecnología del la Información En la era del cambio continuo

3 @2014 Deloitte - Segurinfo Santa Fe 2014

Seguridad de la información Evolución Junto con la Tecnología

4

Firewall Antivirus DMZ IDS IPS SIEM IDM WAF KPI DLP

Establecer un PERIMETRO 1

Proteger estaciones de trabajo 3

Proteger Servidores críticos 2

4

01/ 02/ 03/

CONFIDENCIALIDAD

DISPONIBILIDAD

INTEGRIDAD

@2014 Deloitte - Segurinfo Santa Fe 2014

Conexto Actual Las nuevas tecnologías hicieron desaparecer los límites y fronteras

5

BYOD Redes Sociales Cloud

Mobile Streamming

@2014 Deloitte - Segurinfo Santa Fe 2014

En la Era de la Información… Y los Cyber Ataques

6 @2014 Deloitte - Segurinfo Santa Fe 2014

Que impacto tiene en las Organizaciones y Empresas?

@2014 Deloitte - Segurinfo Santa Fe 2014 7

01 Alta dependencia de los recursos informáticos y del acceso a información

02 Ambientes de procesamiento cada vez más complejos, con múltiples plataformas, ambientes virtualizados, tecnología tercerizada y modelos “en la nube”

03 Aumento de los ataques y expuestos de seguridad, tanto en cantidad como en sofisticación

04 Preocupación por la confidencialidad de la información, especialmente cuando la información puede afectar al negocio o a las personas

05 Riesgos de fraude y de impacto en la imagen derivados de incidentes de seguridad

8 @2014 Deloitte - Segurinfo Santa Fe 2014

Chief Information Security Officer Prioridades del CISO

– Proteger todo tipo de información en todo lugar, entendiendo las tecnologías y sus riesgos asociados

– Gestionar los cyber riesgos y la seguridad en función de las necesidades del negocio.

– Asegurar el cumplimiento de las regulaciones y políticas internas

– Identificar, monitorear y resolver todo tipo de incidente de seguridad

– Rol estratégico de “evangelizador” y educador

– Ayudar a la organización a viabilizar negocios complejos desde el punto de vista de seguridad

– Reducir los costos asociados a la gestión de tecnología y a la protección de la información.

Principales tendencias en Gestión de Seguridad

Encuestas Globales de Seguridad de Deloitte

10 @2014 Deloitte - Segurinfo Santa Fe 2014

• Incluyen a Organizaciones de distintas

industrias: • FSI – Financial Services Industry • TMT – Technology, Media &

Telecommunications • E&R – Energia y Recursos

Naturales

• Se realizan mediante entrevistas personales de nuestros Socios y Gerentes de nuestros servicios de Cyber Risk con CISOs (Chief Information Security Officers) y ejecutivos responsables en la gestión de Seguridad de la Información de organizaciones a nivel global

• El objetivo es poder contar con información de primera mano, del nivel ejecutivo, sobre las tendencias, necesidades e intereses de las Organizaciones en materia de Seguridad de la información

11 @2014 Deloitte - Segurinfo Santa Fe 2014

Principales Tendencias Observadas Estudio de Tendencias de Seguridad 2014

– Incremento de los presupuestos destinados a gestionar la seguridad de la información

– Foco en proteger la información sensible y formalizar la función de privacidad.

– Necesidad de gestionar adecuadamente los riesgos de ataques internos y externos, desarrollando capacidades de respuesta ante incidentes.

– Las organizaciones gestionan cada vez más los riesgos vinculados a la adopción de nuevas tecnologías, tales como servicios en cloud, aplicaciones mobile y la utilización de redes sociales,

– Desafío de establecer un equilibrio entre los costos de las iniciativas referentes a seguridad de la información y la materialización de las amenazas e implementación de nuevas tecnologías

12 @2014 Deloitte - Segurinfo Santa Fe 2014

Estudio de Tendencias de Seguridad 2014

• 1. ¿A quién, dentro de su organización, reporta el ejecutivo responsable de seguridad ?

0,0%

2,4%

2,4%

2,4%

2,4%

2,4%

2,4%

4,9%

4,9%

4,9%

9,8%

9,8%

12,2%

12,2%

17,1%

22,0%

Chief Privacy Officer (CPO)

Chief Financial Officer (CFO)

Presidente

Ejecutivo de IT

Auditoría interna

Legal y Compliance

No aplica/ No sabe

Comité ejecutivo

Chief Technology Officer (CTO)

Chief Administrative Officer (CAO)

Comité de seguridad

Otro

Chief Information Officer (CIO)

Chief Operations Officer (COO)

Chief Risk Officer (CRO)

Chief Executive Officer (CEO)

13 @2014 Deloitte - Segurinfo Santa Fe 2014

Estudio de Tendencias de Seguridad 2014 • 2. Qué áreas se encuentran dentro del alcance de las responsabilidades de

la función de Seguridad de información (por ej: CISO)? 93%

90% 83%

80% 78% 78%

73% 73% 73%

71% 66%

63% 56% 56%

54% 54% 54%

51% 46%

41% 39%

37% 34% 34%

27% 17%

15% 0% 0%

Estrategia y planificación de SI Gobierno de SI (políticas, normas, estándares)

Respuesta ante incidentes Monitoreo de SI

Cumplimiento y control de SI Administración de vulnerabilidades

Indicadores, métricas y reportes de SI Administración de accesos

Seguridad de los datos Concientización y capacitación en SI

Administración de usuarios Seguridad de las aplicaciones

Presupuesto de SI Evaluación del riesgo de SI

Administración del programa de riesgos en SI Arquitectura de SI

Seguridad de la infraestructura Seguridad del perímetro de la red

Administración del riesgo de IT Consultoría de riesgo en SI

Plan de recuperación ante desastres Investigaciones

Administración de la seguridad con terceros Administración de continuidad de negocio

Administración de fraude Seguridad física

Comprobación de antecedentes Otras

No aplica/ No sabe

14 @2014 Deloitte - Segurinfo Santa Fe 2014

Estudio de Tendencias de Seguridad 2014 • 3. Cuáles son los principales obstáculos que enfrenta su organización en su

capacidad de formar un programa de seguridad de información efectivo?

17%

20%

29%

34%

10%

7%

24%

10%

17%

10%

0%

2%

Falta de apoyo ejecutivo o del negocio

La falta de claridad sobre el mandato, las funciones y responsabilidades

La falta de visibilidad e influencia dentro de la organización

La falta de suficiente presupuesto y/o recursos

La falta de recursos competentes

El complejo panorama internacional legal y normativo (por ejemplo en cuanto a la privacidad)

El aumento de complejidad de las amenazas

La gestión de los riesgos asociada con nuevas tecnologías

La falta de una estrategia de seguridad de la información y el roadmap de implementación

Otro

Sin barreras

No aplica / no sabe

15 @2014 Deloitte - Segurinfo Santa Fe 2014

Estudio de Tendencias de Seguridad 2014

36,6%

31,7%

29,3%

24,4%

22,0%

19,5%

19,5%

17,1%

14,6%

14,6%

14,6%

14,6%

12,2%

12,2%

12,2%

7,3%

7,3%

4,9%

2,4%

2,4%

2,4%

0,0%

Cumplimiento regulatorio y legislativo de seguridad de la información

Protección de Datos

Gobierno de seguridad de la información

Medición y reporte en seguridad de la información

Continuidad del Negocio

Estrategia y roadmap de seguridad de la información de seguridad

Alineación de la seguridad de la información con el negocio

Seguridad de la red móvil

Administración de identidad y acceso

Seguridad relativa a avances tecnológicos

Remediación en el cumplimiento de los elementos de seguridad

Otro

Capacitación y concientización en seguridad de información

Seguridad cibernética

Recuperación de Desastres

Puesta en funcionamiento de la seguridad de información

Seguridad de aplicaciones

Gestión de amenazas internas

Gestión del talento en seguridad de la información

Seguridad de terceros

Privacidad

No aplica / no sabe

• 4. ¿Cuáles serán principales iniciativas de seguridad de su organización?

16 @2014 Deloitte - Segurinfo Santa Fe 2014

Estudio de Tendencias de Seguridad 2014 • 5. Utilizando una escala del 1-4, indicar el nivel de confianza en que los activos

informáticos de su organización se encuentran protegidos de un ataque o brecha de seguridad (1=ninguna confianza en absoluto, 2=no mucha confianza, 3=algo de confianza, 4= mucha confianza)

Ninguna confianza en

absoluto

No mucha confianza

Algo de confianza

Mucha confianza

Ataque o brecha de seguridad originada internamente. 0% 29% 48% 23%

Ataque o brecha de seguridad originada externamente. 0% 6% 52% 42%

17 @2014 Deloitte - Segurinfo Santa Fe 2014

Estudio de Tendencias de Seguridad 2014 • 6. ¿Su organización ha experimentado algún tipo de ataque externo durante los

últimos 12 meses?

29,3%

70,7% Si No

Ataques Una ocurrencia

Múltiples ocurrencias

Robo de información causado por espionaje industrial o del Estado 0% 0%

Fraude financiero externo a través de los sistemas de información 2% 2,4%

Incidentes en la información causados por un ataque electrónico fuera de la organización 4,9% 2,4%

Incidentes en la información causados por un ataque físico fuera de la organización 4,9% 2,4%

Incidentes en la información causados por un proveedor fuera de las premisas de la organización

2,4% 2,4%

Incidente en la red móvil originada desde fuera de la organización 0% 0%

Software malicioso originado en las afueras de la organización 4,9% 7,3%

Ataques a sitios web 0% 2,4%

Otros 7,3% 2,4%

18 @2014 Deloitte - Segurinfo Santa Fe 2014

Estudio de Tendencias de Seguridad 2014 • 7. ¿Su organización ha experimentado algún tipo de ataque interno durante los

últimos 12 meses?

53,7% 46,3%

Si No

Ataques Una ocurrencia

Múltiples ocurrencias

Fraude financiero interno a través de los sistemas de información 12,2% 2,4%

Incidente de seguridad causado desde adentro o por un socio comercial 9,8% 2,4%

Incidente de seguridad causado desde adentro de la organización por un empleado 17,1% 2,4%

Incidente de seguridad causado desde adentro de la organización por un tercero 12,2% 4,9%

Perdida accidental originada dentro de la organización 14,6% 2,4%

Incidentes en la información causados por un proveedor dentro de la organización 2% 4,9%

Incidente en la red móvil originada desde adentro de la organización 0% 2%

Software malicioso originado dentro de la organización 2,4% 4,9%

Otros 7,3% 12,2%

19 @2014 Deloitte - Segurinfo Santa Fe 2014

Estudio de Tendencias de Seguridad 2014 • 8. Califique las siguientes amenazas a medida que visualiza su impacto dentro de los

siguientes 12 meses: Amenaza Sin Impacto Impacto Bajo Impacto Medio Impacto alto N/C

Espionaje industrial o del Estado 29,3% 26,8% 24,4% 17,1% 2%

Ataques coordinados 17,1% 39,0% 24,4% 19,5% 0 Fraude financiero a través de sistemas de

información 7,3% 31,7% 41,5% 19,5% 0

Abuso de los empleados de los sistemas de IT y la información 2,4% 31,7% 56,1% 9,8% 0

Errores y omisiones de los empleados 2,4% 22,0% 63,4% 12,2% 0 Incidentes con la información, incluyendo datos

personales 2,4% 31,7% 51,2% 14,6% 0

Ataques explotando vulnerabilidades en la red móvil 17,1% 34,1% 24,4% 24,4% 0

Ataques explotando vulnerabilidades en aplicaciones online de la organización 9,8% 43,9% 34,1% 12,2% 0

Amenazas resultantes de la conjunción de las redes sociales y las plataformas online dentro de la red corporativa (por ejemplo: utilización

de micro-blogging por un gerente)

22,0% 41,5% 14,6% 22,0% 0

Amenazas resultantes de la adopción de tecnologías emergentes que podrían contener

vulnerabilidades 19,5% 31,7% 36,6% 12,2% 0

Amenazas avanzadas persistentes 14,6% 56,1% 22,0% 7,3% 0 Riesgos sistémicos 9,8% 43,9% 36,6% 9,8% 0

Diversidad de reacciones culturales con respecto a la seguridad de la información 19,5% 29,3% 39,0% 7,3% 0

Incidentes de seguridad que involucran terceras partes 14,6% 36,6% 34,1% 14,6% 0

Hacktivismo o Ciberactivismo 17,1% 39,0% 17,1% 26,8% 0

20 @2014 Deloitte - Segurinfo Santa Fe 2014

Estudio de Tendencias de Seguridad 2014 • 9. ¿Cómo atiende su organización los riesgos de seguridad asociados con los

dispositivos móviles?

51,2%

34,1%

29,3%

26,8%

24,4%

22,0%

22,0%

19,5%

17,1%

14,6%

14,6%

12,2%

12,2%

12,2%

7,3%

7,3%

7,3%

4,9%

Formula una política de clientes o uso aceptable de dispositivos

Implementa contraseñas complejas

Despliega sistema de gestión de dispositivos móviles (MDM)

Implementa borrado de dispositivos después de un cierto número de accesos fallidos

Integra la seguridad y uso del dispositivo en campañas de concientización

Encripta el almacenamiento tanto en el dispositivo como en los dispositivos removibles

Despliega certificados para los dispositivos

Apaga las conexiones no deseas en los dispositivos (p.e. Bluetooth)

Instala software para protección contra malware

Desecha los dispositivos de manera segura

Instala una herramienta de DLP

Selecciona las aplicaciones apropiadas para grupos definidos de usuarios

Selecciona software para monitorear el uso de las aplicaciones y el flujo de la …

Respaldos en intervalos regulares

No aplica / No soportan dispositivos móviles

No lo se

No se atienden los riesgos de seguridad

Controla acceso a internet forzando la navegación a través de la red de la organización

21 @2014 Deloitte - Segurinfo Santa Fe 2014

Estudio de Tendencias de Seguridad 2014 • 10. ¿Cómo hace frente a los riesgos de seguridad asociados con las redes

sociales?

39,0%

26,8%

41,5%

46,3%

24,4%

7,3%

9,8%

Implementación de controles técnicos para controlar o bloquear el uso organizacional

Implementación de servicio de protección de marca en línea para evitar daños a la marca

Revisar y actualizar las políticas organizacionales para incluir los términos de uso aceptable de las …

Educar a los usuarios acerca de los blogs y las redes sociales a través de programas de …

No hace uso de redes sociales

No gestiona riesgos de seguridad

No sabe

22 @2014 Deloitte - Segurinfo Santa Fe 2014

Estudio de Tendencias de Seguridad 2014 • 11. ¿Cómo caracterizaría que su organización ha adoptado las siguientes tecnologías?

Tecnología Implementada En Piloto En piloto dentro de los

próximos 12 meses Sin planes de implementar N/C

Antivirus 95% 5% 0% 0% 0% Firewalls 100% 0% 0% 0% 0% Intrusion Detection and/or Prevention Systems (IDS/IPS) 76% 12% 10% 0% 2% Filtro de contenido 71% 20% 7% 0% 2% Soluciones antispam 80% 12% 2% 0% 5% Antispyware software 73% 12% 5% 7% 2% Soluciones antiphishing 51% 10% 15% 20% 5% Encripción de correo electrónico 27% 17% 24% 27% 5% Autenticación de correo electrónico 49% 12% 10% 20% 10% Tecnología de Data Loss Prevention 22% 22% 29% 17% 10% Encripción de archivos en dispositivos móviles 20% 7% 32% 29% 12% Encripción de dispositivos de almacenamiento 29% 7% 27% 27% 10% Seguridad/ Encripción de datos en reposo 32% 10% 22% 27% 10% Administración de vulnerabilidades 56% 15% 10% 12% 7% Análisis del comportamiento de la red 49% 15% 10% 17% 10% Soluciones de seguridad para redes Wireless 44% 20% 15% 15% 7% Network access control (NAC) 46% 10% 27% 12% 5% Dispositivos biométricos para la autenticación de usuarios 17% 15% 5% 56% 7% Single Sign On 15% 2% 29% 44% 10% Sistemas web para administración de accesos 37% 15% 7% 27% 15% Identity management 10% 5% 12% 59% 15% Herramientas de centralización de logs y monitoreo 54% 22% 17% 2% 5% Herramientas para administración de incidentes 34% 20% 20% 15% 12% Herramientas para cumplimiento regulatorio 24% 12% 29% 24% 10% Seguridad de los servicios en la web 39% 15% 17% 20% 10%

Consideraciones Finales

24 @2014 Deloitte - Segurinfo Santa Fe 2014

Gestión y más gestión… Conclusiones Finales

– La seguridad de la información constituye un área de atención creciente en las organizaciones de América Latina.

– Mientras que las amenazas se multiplican y se hacen más sofisticadas, las organizaciones se ven obligadas a fortalecer sus capacidades de gestionar la seguridad y a contar con capacidades adecuadas de respuesta ante incidentes.

– Las nuevas tecnologías (mobile, redes sociales, servicios en la nube “cloud”) generan nuevos desafíos que están siendo atacados mediante nuevas políticas y nuevas iniciativas de protección de información sensible.

– Las organizaciones deben desarrollar un Programa de Seguridad de la Información que incluya iniciativas de corto, mediano y largo plazo, definiendo la incorporación de tecnologías de seguridad para garantizar una adecuada protección de la información y del negocio.