El ecosistema de Ciberseguridad en Colombia: retos y oportunidades de la Banca DigitalEstudNET- Universidad Pontificia Bolivariana

Entidad que tiene como misión la formación integral de personas, mediante la evangelización de la cultura, la búsqueda de la verdad, en los procesos de docencia, investigación, proyección social y la reafirmación de los valores desde el humanismo cristiano, para el bien de la sociedad.

Consultora española especializada en ayudar a las Empresas e Instituciones públicas a mejorar y acreditar los sistemas y procesos de Seguridad de la Información y de desarrollo del software, integrada por profesionales con amplia experiencia.

El Grupo de Investigación en Empresa, TIC y Educación (GeeTIC) , Seccional Bucaramanga de la Universidad Pontificia Bolivariana, con el apoyo experto de EstudNET, ha resultado seleccionada participado en la Convocatoria nº 668 de Colciencias en colaboración con el MinTIC, para “el fortalecimiento de la ciberseguridad en instituciones

del estado”, para la realización del proyecto “Estudio de

Viabilidad para la Creación de un Observatorio Nacional

de Ciberseguridad de Colombia (ONC_COL)”.

Esta ponencia presenta, por primera vez en un foro bancario, el modelo de Ecosistema de Ciberseguridad en Colombia (ECC), una de los principales aportaciones del proyecto y, como novedad, lo particulariza para la Banca Digital.

AgendaEcosistema de Ciberseguridad en Colombia

– Proyecto ONC_COL

– ECC: Definición, metodología, valor aportado.

– Análisis de las capacidades de Ciberseguridad en Colombia: avances, retos y oportunidades.

Visión del ECC del sector financiero– Caracterización: actores, activos, riesgos y amenazas

– Voz del Cliente: percepción de riesgos a la seguridad y la privacidad de la información

– Modelos de evaluación y construcción de capacidades

– Mejores practicas para el fortalecimiento de capacidades

Participación: preguntas e intercambio de experiencias

Ecosistema de Ciberseguridad en

Colombia

Jorge Máquez, CEO EstudNET @jmarquezpacios

Ing. Angélica Flórez, UPB Seccional BucaramangaInvestigadora Principal Colciencias nº 668

“Fortalecimiento de la ciberseguridad en instituciones del estado de la República de Colombia”

Estudio de Viabilidad para la Creación de un

Observatorio Nacional de Ciberseguridad de

Colombia (ONC_COL)

Septiembre 9 de 2015

Sobre la convocatoria 668

Estudio de viabilidad de la creación de un Observatorio Nacional de Ciberseguridad en Colombia

Convocatoria 668 Colciencias: Cofinanciar proyectos de innovación

orientados al fortalecimiento de la Ciberseguridad a través de la generación,

adaptación, dominio y utilización de nuevas tecnologías que permitan

minimizar y contrarrestar los riesgos e incidentes de naturaleza cibernética

de las instituciones del estado.

Consultores internacionales

Asesor Líder:

Jorge Márquez

Grupo Investigación

Investigadora Principal:

Ing. Angélica Flórez

Análisis del Ecosistema Ciberseguridad y Ciberdefensa en

Colombia identificación de capacidades no cubiertas,

las razones y la oportunidad de la creación del ONC_COL.

Análisis de viabilidad técnica, legal y

económica de la creación del ONC_COL.

Validación con StakeholdersSocialización

Participación en CONPES

Plan de acción para la puesta en marcha

hoja de ruta de acciones a corto, mediano y largo plazo

y el estudio económico.

Estudio de viabilidad de la creación de un Observatorio Nacional de Ciberseguridad en

Colombia: ONC_COL

12/14-03/15

04/15-08/1504/15-08/15

09/15-12/15

Componentes del Ecosistema deCiberseguridad en Colombia

Amenazas

Activos Capacidades

Relaciones

Entidades

Ecosistema de Ciberseguridad

de Colombia

Persona natural o

jurídica considerado un

agente activo o pasivoBienes, tangibles o

intangibles de pertenencia

de las Entidades

Recursos con los cuales se cuentan o se requieren para lograr la gestión de

las amenazas a las cuales se encuentran expuestos

los activos

Riesgo al cual se

encuentran expuestos los

activos

Interacción entre los componentes

Entidades del Ecosistema de Ciberseguridad de Colombia

Sector PúblicoSector Público

Infraestructura CríticaInfraestructura CríticaCiudadaníaCiudadanía

Centros de InvestigaciónCentros de Investigación AtacantesAtacantes

Sector PrivadoSector Privado

Entidades ECC

SECTOR PÚBLICOSECTOR PÚBLICO

Entidades e instituciones del Estado de Colombia, de naturaleza pública, que tienen

entre sus objetivos misionales funciones relacionadas al fortalecimiento de la

Ciberseguridad y la Ciberdefensa.

Entidades ECC

Conjunto de pequeñas, medianas y grandes empresas que hacen parte del eje productivo de la industria y de toda aquella otra persona jurídica de carácter no pública que participa

del ecosistema.

SECTOR PRIVADOSECTOR PRIVADO

Entidades ECC

Conjunto de personas naturales residentes en territorio colombiano.

CIUDADANÍACIUDADANÍA

Entidades ECC

Entidades que prestan servicios esenciales los cuales son considerados como estratégicos

del país. Ej: Servicios energéticos, financieros, entre otros.

OPERADORESINFRAESTRUCTURA CRÍTICA

OPERADORESINFRAESTRUCTURA CRÍTICA

Entidades del ECC

Instituciones que realizan innovación e investigación en materia de Ciberseguridad,

tales como universidades, centros tecnológicos, centros de excelencia, tanques

de pensamiento, entre otros.

CENTROS DE INVESTIGACIÓN

CENTROS DE INVESTIGACIÓN

Entidades ECC

Personas naturales o jurídicas que intentan acceder, interceptar o dañar un sistema

informático afectando la integridad, confidencialidad y disponibilidad de los datos y

los sistemas.

ATACANTESATACANTES

Entidades ECC Sector Público

Presidente Congreso

Cancillería

MinTIC

MinDefensa

MinJusticia

MinHacienda

MinCITCCOC CCP

ColCERT

DNP

Fiscalía-CTI Rama JudicialAdministración

Pública

CRC SIC SFC

Infraestructura crítica

DNI

Gran Empresa

Infraestructuras Críticas

Contratista

TIC

Independiente

PYME Financiera

Entidades ECC Sector Privado

Centros de InvestigaciónCentros de Investigación

Centros de Innovación e InvestigaciónThink Thank

Centros de ExcelenciaAcademia

Entidades ECC

Colciencias

AtacantesAtacantes

Empresas CompetidorasEmpresas Competidoras

ContratistaContratista

Grupo TerroristaGrupo Terrorista

HackerHacker

HacktivistaHacktivista

Banda CriminalBanda Criminal Empleado SaboteadorEmpleado Saboteador

Entidades ECC

Fortalecimiento de las capacidades

MEDIDAS

ORGANIZA.

• Agencia coordinadora

• Visión integral

• Marco institucional claro

• Política de protección de las infraestructuras críticas

• Política de Estado integral y de largo plazo

• Enfoque global basado en riesgos

• Coordinación de todos los actores clave con responsabilidad en el ámbito de la

Ciberseguridad

• Fortalecimiento de las entidades actuales operativas: ColCERT, CCP y CCOC

• Creación de una entidad Observatorio de Ciberseguridad: diagnóstico,

métricas, sensibilización, capacitación y acreditación

MEDIDAS

TECNOLÓGICAS

• Centros de operaciones: sólida capacidad analítica y herramientas técnicas

• Capacidad analítica, análisis avanzado de datos

• Centros de excelencia en Ciberseguridad

Fortalecimiento de las capacidades

MEDIDAS

LEGALES

• Adhesión al Convenio Budapest

• Normativa que armonice la inteligencia vs privacidad

• Optimizar los protocolos y medios para la conservación de la evidencia digital

• Implementar legislativamente la retención mandatoria de datos de tráfico

• Protocolo internacional de persecución ciberdelitos (Red 24/7)

• Fiscales y jueces especializados en ciberdelitos

• Capacitación para jueces, fiscales y policías

• Obligación reporte incidentes en Infraestructuras Críticas

MEDIDAS DE

CAPACITACIÓN

• Elaborar una estrategia de capacitación en Ciberseguridad en colaboración con el sector

privado, la academia y el sector público.

• Mesa Nacional del talento en Ciberseguridad con participación público- privada

• Estrategia para la detección, atracción y desarrollo del talento en Ciberseguridad

MEDIDAS DE

COOPERACIÓN

• Canales de intercambio bidireccional de información para el CCOC-CCP-ColCERT

• Cooperación entre el sector público y privado

• Colaboración institucional con las entidades operadoras de infraestructuras críticas

• Involucrar a todos los interesados en el desarrollo de la estrategia y su implementación

• Estrategia escrita para la cooperación internacional

Visión del ECC en el sector financiero

Jorge Márquez, CEO EstudNET@jmarquezpacios

Consultor internacional Colciencias nº 668“Fortalecimiento de la ciberseguridad en instituciones del estado de la

República de Colombia”

Clientecentro

ECC Financiero

Operadores Infraestructuras

Críticas

Actores: “buenos, malos y reguladores”

Empleados

ColaboradoresProveedores

Socios

ReguladoresSuperintendencia

Financiera

Superintendencia Comercio Industria

Poder Legislativo

Entidades Gobierno

MinDEF MinTIC …

Rama Judicial

ClienteOperadores

Infraestructuras Críticas

Empleados

ColaboradoresProveedores

Socios

CibercriminalesBandas

Crimínales Organizadas

Hacktivistas

Agentes maliciosos internos

Grupos Terroristas

ReguladoresSuperintendencia

Financiera

Superintendencia Industria

Poder Legislativo

Entidades Gobierno

MinDEF MinTIC …

Rama Judicial

Empresas Estados

Actores: “buenos, malos y reguladores”

Datos

personales Clientes, Empleados,

Colaboradores

Activos financieros

Clientes,

Entidad

financiera

Activos en riesgoDatos

financieros Clientes,

Entidad

financiera

Información del negocio

Entidad financiera

Infraestructura Física

Edificios, Oficinas

Infraestructura Tecnológica

Aplicaciones

Redes, PlataformasRecursos Humanos

Empleados,

Colaboradores

Datos

personales Clientes, Empleados,

Colaboradores

Activos financieros

Clientes,

Entidad

financiera

AmenazasDatos

financieros Clientes,

Entidad

financiera

Información del negocio

Entidad financiera

Infraestructura Física

Edificios, Oficinas

Infraestructura Tecnológica

Redes,

PlataformasRecursos Humanos

Funcionarios,

Colaboradores

Ciberespionaje

Phising

Amenazas PersistentesAvanzadas

APT

AtaquesSabotajes

Infección malware

Ingeniería Social

Extorsión

Robo y difusión datos

personales

Lavado Dinero

Clonación Tarjetas

Evaluación y construcción

de capacidades de Ciberseguridad

en el sector financiero

Capacidades en Ciberseguridad

Índice Mundial de Ciberseguridad (IMC), de la Unión Internacional de Telecomunicaciones (UIT), proporciona un esquema metodológico de identificación y evaluación de

las capacidades necesarias para enfrentar con éxito los riesgos cibernéticos.

30

El IMC evalúa el compromiso de un país con la Ciberseguridad con "el objetivo de fomentar la

cultura de la Ciberseguridad y su integración

en el núcleo de las tecnologías de la

información y la comunicación".

31

¿Cual es el grado de preparación de Colombia?

Colombia ocupa el 9º lugar a nivel mundial. IMC 2014

32

¿Cuáles son las capacidades clave?

Medidas Organizativas 0,750

• Política

• Hoja de Ruta

• Organismo responsable

• Análisis comparativos nacionales

Capacitación 0,750

• Talento

• Certificación profesional

• Certificación Organismos

Medidas Legales 0,750

• Legislación penal

• Reglamentación y conformidad

Medidas Técnicas 0,500

• EIII/EIEI/EIISI

• Normas

• Certificación

Cooperación 0,250

• Cooperación intraestatal

• Cooperación intraorganismos

• Asociaciones público-privadas

• Cooperación internacional

Voz del Cliente: percepción de riesgos a la seguridad y la

privacidad

¿Cual es la percepción del consumidor?

10

¿Canales bancarios más vulnerables?

Mejores practicas para el fortalecimiento de capacidades

Visión

Sistema de gestión integrado

Análisis de Riesgos

Métricas

BYOD

Alcance

• Localizaciones, Uds. Organizativas

• Activos: Datos, hw, sw, redes, RRHH, servicios

• Amenazas

• BYOD

Buenas practicas

• Sensibilización y capacitación

• Cooperación sectorial e institucional

Retos

• Privacidad vs Cloud, BigData..

• Cultura de Seguridad

Capacidad

clave

Crear una estrategia de Ciberseguridad

7

Visión

Competencias clave

Modelo recursos int. vs externo

Desarrollo seguro

Alcance

• Evaluación de competencias

• Captación, desarrollo y fidelización

Buenas practicas

• Reclutamiento hackers

• Hackatons, Retos, Premios, …

Retos

• “Adelantarse a los malos”

• Entender motivaciones

Capacidad

Clave

Gestionar el Talento de Ciberseguridad

8

Visión

Enfoque Negocio

Análisis y evaluación

Controles

Métricas

Alcance

• Estrategias de gestión de riesgos

• Inversión vs niveles de riesgo

• Vulnerabilidades 0Day y propias

Buenas practicas

• Sensibilizar a los Clientes

• Transferir riesgos a terceros

Retos

• Anticipación amenazas

• Aprender de los incidentes

Capacidad

Clave

7

Gestionar los Riesgos

Visión

Resiliencia

Compromisos de recuperación

Riesgo legal y reputacional

Alcance

• Planes de contingencia

• Ejercicios y evaluación

• Cumplimiento normatividad

Buenas practicas

• Cooperación c/ Socios

• Aprender de los incidentes

Retos

• Coste de redundancia

• Reporting institucional

Capacidad

Clave

Continuidad de Negocio

8

“¿Cómo “¿Cómo “¿Cómo “¿Cómo podemos utilizar la podemos utilizar la podemos utilizar la podemos utilizar la tecnología para tecnología para tecnología para tecnología para dar dar dar dar más seguridad a más seguridad a más seguridad a más seguridad a

los ciudadanos?”los ciudadanos?”los ciudadanos?”los ciudadanos?”

Presidente Juan Manuel Santos #Andicom30