Headline Verdana Bold ¿Cómo pasar al siguiente …...global de firmas miembro en más de 150...
Transcript of Headline Verdana Bold ¿Cómo pasar al siguiente …...global de firmas miembro en más de 150...
Headline Verdana Bold¿Cómo pasar al siguiente nivel de gestión de la ciberseguridad?
Marzo 13 de 2018
El panorama cambiante
del ciberriesgo
Author, legal entity or date
Presentation title[To edit, click View > Slide Master > Slide Master]
Member firms and DTTL: Insert appropriate copyright[To edit, click View > Slide Master > Slide Master]
3
• En el informe Global Risk 2017 del Foro Económico Mundial, el ciberriesgo es reconocido como uno de los principales riesgos globales.
El panorama cambiante del ciberriesgo
Presentation title[To edit, click View > Slide Master > Slide Master]
Member firms and DTTL: Insert appropriate copyright[To edit, click View > Slide Master > Slide Master]
4
• Según una encuesta reciente de Nasdaq y Tanium, más del 90 por ciento de los ejecutivos corporativos dicen que sus organizaciones no están preparadas para manejar un ciberataque importante.
El panorama cambiante del ciberriesgo
72% de los ataques
necesitan solo
minutos para
comprometer
sistemas
46% de las fugas de
datos ocurren en
minutos
72%de los ataques no
son descubiertos
por semanas o
más
59%De los ataques son
contenidos (post-
descubrimiento)
dentro de semanas
o más
La velocidad de ataque se está acelerando...
...mientras que los tiempos de respuesta se retrasan
Presentation title[To edit, click View > Slide Master > Slide Master]
Member firms and DTTL: Insert appropriate copyright[To edit, click View > Slide Master > Slide Master]
5
• Hay varios factores clave que están reconfigurando el panorama:
El panorama cambiante del ciberriesgo
Desaparición del perímetro La naturaleza cambiante de los negocios
Tecnologías Exponenciales Inteligencia Artificial
Redes Móviles Plataformas Colaborativas
Internet de las cosas
• Principales efectos en materia de ciberriesgo:
−Nuevos vectores de ataque
−Aumento de la superficie de ataque
Moviéndose al
siguiente nivel
de
ciberseguridad
Author, legal entity or date
Presentation title[To edit, click View > Slide Master > Slide Master]
Member firms and DTTL: Insert appropriate copyright[To edit, click View > Slide Master > Slide Master]
7
• Las organizaciones deben:
−asegurarse de que han establecido capacidades de ciberseguridad básicas que pueden protegerlo de las amenazas actuales
−invertir en capacidades que pueden protegerlo de cualquier amenaza que pueda surgir en el futuro.
Moviéndose al siguiente nivel de ciberseguridad
Seguro
Defensas reales contra un
ataque, que incluyen desde ciberestrategias a políticas y
procedimientos para sistemas y controles
ResilienteCapacidad para responder a
los ataques y para recuperarse rápidamente con un impacto mínimo en la organización, su
reputación y marca
Vigilante Sistemas de alerta temprana,
que permiten identificar amenazas potenciales antes de
que golpeen y detectar rápidamente ataques y
violaciones de seguridad a medida que ocurren
Presentation title[To edit, click View > Slide Master > Slide Master]
Member firms and DTTL: Insert appropriate copyright[To edit, click View > Slide Master > Slide Master]
8
La gestión del ciberriesgo empieza con la junta y la alta gerencia. 10 preguntas clave que debe tener en mente la junta.
1. ¿Demostramos la debida diligencia, propiedad y gestión del ciberriesgo?
2. ¿Tenemos el líder apropiado y el talento organizacional?
3. ¿Hemos establecido un marco apropiado de escalamiento de riesgo cibernético que incluya nuestro apetito al riesgo y mecanismos de notificación?
4. ¿Estamos enfocados e invirtiendo en las iniciativas adecuadas? ¿Cómo estamos evaluando y midiendo los resultados de nuestras decisiones?
5. ¿Cómo nuestro programa de riesgo cibernético y capacidades se alinean a los estándares de la industria y se pone a la par de nuestros competidores?
6. ¿Tenemos una mentalidad cibernéticamente enfocada y una cultura de consciencia cibernética en toda la organización?
7. ¿Qué hemos hecho para proteger a la organización contra riesgos cibernéticos de terceras partes?
8. ¿Podemos contener daños rápidamente y movilizar diversos recursos de respuesta cuando un incidente cibernético ocurra?
9. ¿Cómo evaluamos la efectividad del programa de riesgo cibernético de nuestra organización?
10.¿Somos un vínculo fuerte y seguro en los ecosistemas altamente conectados en los que operamos?
Presentation title[To edit, click View > Slide Master > Slide Master]
Member firms and DTTL: Insert appropriate copyright[To edit, click View > Slide Master > Slide Master]
9
Las tres líneas de defensa deben participar en la gestión del ciberriesgoEl gobierno de ciberseguridad debe abarcar las 3 líneas de defensa
• Dueños de los riesgos asociados a sus operaciones y responsables por tomar riesgos dentro del apetito de riesgo establecido.
• No solamente del negocio, incluyen las funciones de tecnología
• Responsables de implementar el marco de referencia de gestión de ciberriesgo
1. TI, unidades de negocio y de
soporte
• Establecen las políticas de gestión, la infraestructura, los procesos y los procedimientos para los riesgos
• Realizan el reporte y agregación de los riesgos para la gerencia
• Responsable del diseño, mantenimiento prueba y reporte del marco de referencia de gestión de ciberriesgo
2. Riesgos y Cumplimiento
• Provee aseguramiento objetivo de los riesgos y de la capacidad de la organización para gestionarlos
• Reporta a la alta gerencia y los cuerpos de gobierno tales como el comité de auditoría y la junta directiva
• Responsable de monitorear la adherencia y la efectividad de marco de referencia de gestión de ciberriesgo
3. Auditoría Interna
Presentation title[To edit, click View > Slide Master > Slide Master]
Member firms and DTTL: Insert appropriate copyright[To edit, click View > Slide Master > Slide Master]
10
Un marco de referencia completo y personalizado permite tener en cuenta todos los aspectos para gestionar la ciberseguridadDefina o seleccione un marco de referencia que incluya prácticas líderes y requerimientos legales, regulatorios y de negocio.
Dominios de CiberseguridadSeg
uro
Vig
ila
nte
Resi
lie
nte
Gestión de crisis
Monitoreo
Seguridad de la nube
Seguridad del software
Seguridad de la Infraestructura
Protección de datos
Gestión de acceso e identidades
Gestión de amenazas y vulnerabilidades
Resiliencia de la empresa
Gestión del programa
Gobierno
Gestión de empleados
Gestión de terceros
Presentation title[To edit, click View > Slide Master > Slide Master]
Member firms and DTTL: Insert appropriate copyright[To edit, click View > Slide Master > Slide Master]
11
Junta Directiva Comités de gerencia Grupos de trabajo
La medición y reporte claro en todos los niveles permiten evaluar la gestión actual de la ciberseguridad y las áreas a fortalecerEstablezca un marco de reporte claro y personalizado para que las partes interesadas puedan comunicarse efectivamente
Presentation title[To edit, click View > Slide Master > Slide Master]
Member firms and DTTL: Insert appropriate copyright[To edit, click View > Slide Master > Slide Master]
12
La inteligencia artificial (IA) puede ayuda a resolver algunos de los retos…Explore alternativas que permitan hacer más eficiente y efectivo el uso de los recursos asignados a la gestión del ciberriesgo
IA puede solucionar algunos de los retos de la ciberseguridad. Actualmente las aplicaciones de IA son utilizadas para detecciónde ciberataques y fraudes potenciales en transacciones por internet. La mejora del aprendizaje de las aplicaciones de IA para atacar o defender determinará si los sistemas en línea llegarán a ser más seguros o propensos a ciberataques exitosos.
The Global Risks Report 2017. World Economic Forum
SIN TECNOLOGÍAS COGNITIVAS CON TECNOLOGÍAS COGNITIVAS
Los profesionales gastan demasiado tiempo en actividades rutinarias y repetitivas, desperdiciando tiempo valioso y talento ya escaso
El tiempo y talento se enfocan en las tareas que requieren el ingenio humano
Gestión de contraseñas
Bloque de cuentas
Alertas del firewall
Alertas de incidentes
El típico día de trabajo está lleno de tareas ordinarias, mientras que las ideas y eventos clave eluden el talento sobrecargado.
Se identifican nuevas tendencias que permiten una seguridad proactiva
Las tareas rutinarias se automatizan
El aprendizaje de máquina incrementa el talento humano ejecutando más rápido las tareas
Mensajes
finales
Author, legal entity or date
Presentation title[To edit, click View > Slide Master > Slide Master]
Member firms and DTTL: Insert appropriate copyright[To edit, click View > Slide Master > Slide Master]
14
Mensajes finales
1. Cada nueva oportunidad derivada de los avances en tecnologías de la información genera nuevas amenazas, dentro de las que se encuentran las asociadas a Ciberriesgos
2. Para ser exitosos en la gestión de la ciberseguridad, tenemos que ir más allá del enfoque tradicional de gestión de riesgos
3. Las ciberamenazas que estamos enfrentando requieren que nuestras organizaciones definan estrategias que les permitan permanecer seguras, vigilantes y resilientes
4. Al interior de nuestras organizaciones debemos formar un frente unido en la gestión de la ciberseguridad, de los contrario los ciberdelincuentes explotarán las grietas en nuestro “reino dividido” y las joyas de la corona estarán en riesgo.
Deloitte es una compañía privada del Reino Unido limitada por garantía ("DTTL"), su red de firmas miembro, y a sus entidades relacionadas. DTTL y cada una de sus firmas miembro son entidades legalmente separadas e independientes. DTTL (también denominada “Deloitte Global”) no presta servicios a clientes. Una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro puede verse en el sitio web www.deloitte.com/about.
Deloitte presta servicios de auditoría, consultoría, asesoramiento financiero, gestión de riesgos, impuestos, legal, y servicios relacionados a organizaciones públicas y privadas de diversas industrias. Deloitte presta sus servicios a cuatro de cada cinco de las empresas listadas en el ranking Fortune Global 500®, a través de una red global de firmas miembro en más de 150 países, brindando sus capacidades de clase mundial y servicios de alta calidad a clientes, suministrando el conocimiento necesario para que los mismos puedan hacer frente a sus más complejos retos de negocios. Para conocer más acerca de cómo los más de 244.000 profesionales generan un impacto que trasciende, conéctese con nosotros a través de Facebook, LinkedIn o Twitter.
La presente comunicación es para su distribución interna y podrá ser empleada sólo entre el personal de Deloitte Touche Tohmatsu Limited, sus firmas miembro y entidades relacionadas (colectivamente, la "Red Deloitte"). La Red Deloitte no se hace responsable de ninguna pérdida que pueda sufrir cualquier persona que tome como base el contenido de esta comunicación.
© 2017. For information, contact Deloitte Touche Tohmatsu Limited.