¡Adelántese a los delitos cibernéticos! Presentación de resultados Encuesta Global de EY sobre Seguridad de Información 2014 Enero 2015
Age
nda 1 Introducción
2 Resultados de la encuesta global
3 Modelo derivado del estudio y aspectos legales
4 Panel - Preguntas y respuestas
Pág. 4
Encuesta Global de Seguridad de Información 2014 de EY
Las respuestas 60 países
5 continentes Que representan empresas de diversas actividades económicas.
Recoge las respuestas 1825
Ejecutivos (C-Suite) y gerencias de sistemas y seguridad de información a través de 40 preguntas.
Encuesta EY 17ava
Muestra el estado actual de seguridad cibernética de la que se desprenden planteamientos concretos para ponerlos en acción hoy.
Perú el 3% del universo Perú representa el 3% de toda la muestra.
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Pág. 5
Crimen cibernético
¡El crimen cibernético es un negocio! Hoy los ataques:
1 Son más organizados, no es solo aprovechar una oportunidad
2 Son fuertemente financiados
3 Son planeados, hay un objetivo concreto
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Pág. 6
Crimen cibernético (cont.)
El crimen cibernético es un
asunto a ser atendido por la
empresa 2
La evolución de la tecnología informática plantea nuevos retos y amenazas a la seguridad de información
1 Los ataques aprovechan las vulnerabilidades operativas
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Pág. 8
Resultados: “¿Quién o qué considera usted que sea la fuente más probable de un ataque?”
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
0% 100%50%
Global Perú
57% 90%
35% 66%
De acuerdo a un estudio de EY Perú sobre fraude, 81% de los casos fueron perpetrados por el propio personal.
Empleado
Contratista trabajando en la empresa
Cliente
Proveedor
Otro socio de negocios
Carteles criminales
Ataque auspiciado por gobiernos
Asociación de hackers
Hacker solitario
10% 0%
12% 34%
14% 27% 53%
7% 27%
5% 46%
54%
0%
68%
50% 100%
41%
0%
Pág. 9
Resultados: “¿Qué amenazas y vulnerabilidades incrementaron su exposición al riesgo en los últimos 12 meses?”
Principales Vulnerabilidades: ► Controles obsoletos de seguridad de información ► Colaboradores imprudentes o poco concientizados ► Uso de nueva tecnología ► Uso de redes sociales Principales Amenazas: ► Robo de información financiera ► Robo de propiedad intelectual ► Fraude ► Suplantación de identidad
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Pág. 10
Resultados: “¿A qué área u oficina reportan directamente los responsables de la seguridad de información en su organización?”
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Gerente de Tecnologías de Información
Departamento de TI pero no directamente al CIO
Gerente de Finanzas
Gerente de Operaciones
Gerente General
Gerente de riesgos Departamento de Auditoría Interna
Líder de la unidad de negocio
Otro
Departamento Legal y de Cumplimiento
La conformación de un comité ejecutivo permite formalizar las responsabilidades de cada área participante. La ejecución de los aspectos técnicos de los temas de seguridad de información corresponden al área informática, al igual que definiciones de control que deben contar con la opinión y respaldo de las demás gerencias.
49% 52%
15% 26%
5% 9%
24% 9%
24% 14%
0% 8%
2% 9%
0%
0%
0%
8%
9%
7%
Global Perú
Pág. 11
Resultados: ”Indique si el presupuesto designado a la seguridad de información cambiará en los próximos 12 meses.”
La gerencia requiere un mejor entendimiento de las amenazas y vulnerabilidades de su empresa frente a los ataques cibernéticos, debido a que las amenazas se incrementan año a año y la preparación y prevención en las empresas se debe mejorar.
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Se reducirá en más de 25%
Se reducirá entre el 15% y 25%
Se reducirá entre el 5% y el 15%
Permanecerá igual (entre +5% y -5%)
Se incrementará entre el 15% y 25%
Se incrementará en más del 25%
Se incrementará entre el 5% y 15%
Global Perú
0% 9%
2% 12%
66% 31%
29% 43%
2% 3%
0% 1%
0% 1%
Pág. 12
Resultados: “En su opinión, ¿cuál es la probabilidad de que su organización sea capaz de detectar un ataque sofisticado?”
56% de las empresas encuestadas a nivel Global y 53% en el Perú declaran tener poca probabilidad de detectar un ataque sofisticado. A nivel internacional y local hay una alta exposición a varios riesgos, entre ellos los reputacionales.
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Global Perú
22% 24%
34% 29%
36% 34%
8% 12%
56% 53% Global Perú
Muy improbable (0% – 20% de probabilidad)
Improbable (20% – 25% de probabilidad)
Probable (50% – 80% de probabilidad)
Muy probable (80% – 100% de probabilidad)
Pág. 13
Resultados: “¿Cuáles son los principales motivos que dificultan la efectividad de la seguridad de información?”
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
37% 53%
68% 63%
20% 32%
46%
30%
29% 51%
12% 20%
Global Perú
Sin personal calificado, herramientas técnicas y presupuestos adecuados, será difícil para las empresas mejorar su nivel de prevención y mitigación de riesgos de seguridad de información.
Falta de recursos especializados
Restricciones presupuestarias
Falta de conciencia o soporte ejecutivo
Problemas de gestión y gobernabilidad
Falta de herramientas de calidad para la gestión de seguridad de la información
Fragmentación del cumplimiento de normas / regulaciones
Pág. 14
Resultados: “¿Qué porcentaje de gasto o esfuerzo se asigna a los controles de seguridad de información?”
37% 25% 22%
16%
Fortalecer controles existentes Controles detectivos nuevos Controles preventivos nuevos Controles de gobierno de TInuevos
Perú
21%
29%
21% 18%
Fortalecer controles existentes Controles detectivos nuevos Controles preventivos nuevos Controles de gobierno de TInuevos
Global Nuevos controles detectivos atienden las necesidades derivadas del uso de nueva tecnología digital.
El fortalecer los controles existentes atiende las necesidades de hoy.
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Pág. 15
Resultados: “¿Existe un rol o función en el área de seguridad de información dedicada al análisis y evaluación de tecnologías emergentes y el impacto en la seguridad de información?”
No 20%
No, pero planeo
implementarlo 63%
Si 17%
Perú
No 39%
No, pero planeo
implementarlo 19%
Si 42%
Global
El uso de las tecnologías emergentes (cloud, computación móvil, entre otras) sin el análisis de impacto en la seguridad de información puede generar vulnerabilidades en la empresa.
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Pág. 17
¿Cómo adelantarse a los delitos cibernéticos?
Las organizaciones necesitan establecer y mejorar los fundamentos de su seguridad de información.
Focalizándonos en las tres As:
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Activar Adaptar Anticipar
Debido al cambio constante de las organizaciones y la tecnología, las amenazas cibernéticas están evolucionando; por lo tanto, la seguridad cibernética tiene que adaptarse a estos cambios de entorno y requerimientos.
Las organizaciones necesitan conocer las tendencias tecnológicas y organizacionales para estar mejor preparadas frente a los ataques cibernéticos.
Pág. 19
Los fundamentos de la seguridad cibernética
Participación de ejecutivos Acceso a datos Recursos Costo vs. valor Desempeño
¿Cuáles son los problemas?
¿Cuáles son las implicancias?
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Pág. 20
Actividades que se deben realizar
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Realizar un diagnóstico de las amenazas existentes y diseñar e implementar un plan de acción orientado a resolver las amenazas.
Contar con el apoyo del Directorio en temas de seguridad de información.
Gestionar la seguridad de información a partir de políticas, procedimientos y estándares actualizados.
Establecer el Centro de Operaciones de Seguridad para el monitoreo y respuesta a incidentes.
Diseñar e implementar controles para la seguridad cibernética. ► Diagnosticar la efectividad de la prevención
de la pérdida de datos y los procesos de gestión de identidad y acceso.
► Fortalecer la seguridad de los activos de TI.
Probar los planes de continuidad y los procedimientos de respuesta a incidentes.
Pág. 22
Ciclo de mejora Enfoque de adaptabilidad
Tomar el control ► Liderazgo visible desde la alta dirección. ► Rendimiento de cuentas de la gerencia participante. ► Tomar decisiones difíciles y definir cronogramas.
Implementar e innovar ►Desplegar programas que cubran todas las áreas de la empresa.
►Ser creativo y motivador en la transformación de las operaciones y el conocimiento.
Difundir ► Integrar y alinear la
estrategia de seguridad de información con la estrategia del negocio estableciendo una red interna que propicie la integración y habilite el desempeño seguro del negocio.
►Concientizar y difundir los temas de seguridad de información para que el personal se sienta responsable.
Re-evaluar y continuar ►Evaluar utilizando métricas
definidas a lo largo de periodos.
►Gestionar riesgos y dependencias.
►Diagnóstico empleando pensamiento crítico y retando lo existente.
►Considerar la asesoría externa como apoyo.
►Propiciar la mejora continua a través de acciones concretas.
Ciclo de Mejora Continua
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Pág. 23
Aplique mejoras vitales
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Aplique mejoras vitales
Estableciendo un equipo con conocimiento suficiente para adaptarse a las nuevas amenazas y pueda tratar los incidentes ágilmente.
Focalizar en la capacitación, concientización y difusión.
Confirmar que se cuenta con un equipo sólido
Focalizado en la tecnología, las aplicaciones y en la interacción con el negocio.
Contar con un Centro de Operaciones de Seguridad (SOC)
Asignar Responsabilidades
Implementar métricas para la seguridad de información y sus actores en la empresa.
Reducir las excepciones a las políticas y protocolos establecidos.
Considerar el impacto de las amenazas en clientes y proveedores. Compartir los conocimientos sobre seguridad de información con las empresas vinculadas.
Considerar las entidades vinculadas
Pág. 24
Identifique el ecosistema en el que se encuentra
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Factores no controlables Factores variables Límites del entorno de seguridad
Pág. 25
Actividades que se deben realizar
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Diseñe e implemente un programa de transformación integrado considerando la participación de la alta gerencia.
Defina una matriz RACI para la seguridad cibernética.
Despliegue un programa de concientización y capacitación sobre seguridad cibernética a todos los empleados.
Decida que hacer internamente y que contratar como servicios de terceros.
Identifique y analice su ecosistema.
Atienda las amenazas a las que pueden estar expuestos sus proveedores y clientes, y los riesgos asociados.
Pág. 27
Los ataques no se pueden evitar ¿Qué tan preparado está?
¿Puede responder “si” a estas cinco preguntas clave?
1. ¿Sabe usted lo que su empresa tiene que otros quieren?
2. ¿Sabe usted cómo los planes de negocio pueden hacer sus activos vulnerables?
3. ¿Sabe usted cómo estos activos pueden ser accesados o modificados?
4. ¿Usted sabría si está recibiendo un ataque cibernético y si estos activos están comprometidos?
5. ¿Tiene usted un plan para hacer frente a un ataque cibernético y mitigar los eventuales daños?
Activos valiosos
Propiedad Intelectual
Información de Personas
Información Financiera
Información de Negocio
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Pág. 28
El riesgo no se puede resolver pero se puede administrar
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Evitar las amenazas a la seguridad de información
Tres elementos para la gestión de riesgos de seguridad de información.
¿Qué es lo que la organización necesita estar atenta?
¿Cuáles son las brechas de conocimiento que tenemos?
Recuperar la operación en caso de incidentes
¿Qué nivel de respuesta tenemos a incidentes graves?
¿Es posible mantener la continuidad de la operación y del negocio?
Mantener la seguridad de los datos
¿Qué es lo que la organización necesita estar atenta?
¿Dónde están localizados?
¿De que manera se deben proteger?
¿Qué políticas y conductas se requieren?
¿Qué monitoreo se deben implementar?
¿Qué tan bien está actuando el personal frente a los controles existentes?
¿Qué recursos son clave para recuperar la operación?
¿Qué tanto dependemos de terceros?
¿Cómo afecta a nuestros clientes?
Pág. 29
Anticipar: tomar acción
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Diseñe e implemente una estrategia de inteligencia sobre las amenazas cibernéticas que apoye las decisiones de negocio.
Defina niveles de responsabilidad (RACI) que propicien la cooperación y compartir recursos donde sea ventajoso.
Entienda el valor de los activos de información de la empresa y el impacto de no tenerlos o de que los tengan otros.
Asegúrese que todo el personal sabe y aplica las políticas, procedimientos y estándares de seguridad de información.
En el caso de incidentes use análisis forense de datos para entender de donde llegan las amenazas y poder prevenir futuros eventos.
Pág. 30
Aspectos legales – Ley de delitos informáticos
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Convenio sobre la delincuencia cibernética, Budapest 23.11.2001.
Ley Nro. 30096. Ley de delitos informáticos. 22.10.2013.
Modificación de artículos del código penal.
Marco legal frente a acciones ilícitas.
► Acceso ilícito a un sistema informático ► Atentado a la integridad de los datos
informáticos ► Proposiciones por medios tecnológicos
a niños con fines sexuales ► Tráfico ilegal de datos informáticos
Ley Nro. 30171. Ley que modifica la Ley de delitos informáticos. 10.03.2014. ► Fraude informático ► Interceptación de datos informáticos ► Suplantación de identidad ► Abuso de dispositivos o mecanismos
informáticos
Pág. 31
Aspectos legales – Ley de protección de datos personales
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Fecha límite para la adecuación a la normativa 8 mayo 2015.
Ley Nro. 29733. Ley de protección de datos personales. 03.07.2011.
Reglamento de la Ley Nro. 29733. 22.03.2013.
Responsabilidad ► Titular de datos personales ► Titular del banco de datos personales ► Autoridad nacional de protección de datos
Directiva de seguridad de información. Ley de protección de datos personales. 11.2013.
Medidas de seguridad ►Clasificación de categorías de tratamiento de banco de
datos ►Condiciones de seguridad externas e internas ►Requisitos de seguridad ►Medidas de seguridad organizativas ►Medidas de seguridad jurídicas ►Medidas de seguridad técnicas Sistema de gestión de seguridad de información NTP – ISO / IEC 27001
Top Related