Cómo afrontar los riesgos tecnológicos en ciberseguridad - Deloitte
Seminario Cómo afrontar los riesgos tecnológicos en ciberseguridad: presente y futuro Ciberseguridad Situación actual 2 Como afrontar riesgos en ciberseguridad Situación actual Evolución histórica • Hace 40 años el 99% de las empresas almacenaban la información en archivadores de papel, y las búsquedas eran manuales. • Las comunicaciones se realizaban a través de telefonía analógica, controladas por las compañías telefónicas. • Las computadoras se usaban con fines académicos, educativos y militares. 3 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Situación actual Evolución histórica • En la actualidad hemos mejorado la productividad y la forma de comunicarnos, alcanzando unos niveles impensables hace 40 años. • Pero también nos hemos vuelto tecnológicamente dependientes, y la dependencia conlleva riesgos. 4 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Situación actual Internet 5 © 2012 Deloitte, S.L. Escenarios de riesgo 6 Como afrontar riesgos en ciberseguridad Escenarios de riesgo En ciberseguridad contemplamos dos grupos de amenazas principales: • Amenazas lógicas. Aquellas que afectan a la información de la empresa. • Amenazas reputacionales. Aquellas que afectan a la reputación de la marca o la empresa. 7 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Escenarios de riesgo Por industria 8 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Estrategias corporativas en ciberseguridad 9 Como afrontar riesgos en ciberseguridad Estrategias corporativas en ciberseguridad • Las estrategias corporativas en ciberseguridad tienen que ir orientadas hacia minimizar los riesgos existentes. • Tienen que existir planes integrales, no esperar a que surja un incidente de seguridad (reactividad). Cultura Riesgo Tecnología Estrategia Ciberseguridad Visibilidad Desarrollo Políticas 10 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Estrategias corporativas en ciberseguridad • La concienciación del personal es uno de los principales pilares. • Introducir la ciberseguridad dentro de la cultura corporativa es uno de los grandes retos. • Sin el aspecto cultural el riesgo derivado de la ingeniería social nunca se reducirá lo suficiente. Cultura Riesgo Tecnología Estrategia Ciberseguridad Desarrollo Visibilidad Políticas 11 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Estrategias corporativas en ciberseguridad • Tener un conocimiento claro a corto, medio y largo plazo de las tecnologías que se usan en la organización. • Evitar el uso de tecnologías porque sean lo último o porque me lo recomienda el fabricante. • Hay que ser coherente con la integración de nuevas tecnologías y los sistemas de información que se están usando actualmente. Cultura Riesgo Tecnología Estrategia Ciberseguridad Desarrollo Visibilidad Políticas 12 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Estrategias corporativas en ciberseguridad • La aparición de vulnerabilidades en seguridad tiene su principal componente en métodos ineficientes de desarrollo de software. • Generar ciclos seguros de desarrollo de software (SDLC). • Incluir en los pliegos de contratación de sistemas de información pruebas de evaluación de vulnerabilidades y metodologías reconocidas internacionalmente (Ej.: OWASP) Cultura Riesgo Tecnología Estrategia Ciberseguridad Desarrollo Visibilidad Políticas 13 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Estrategias corporativas en ciberseguridad • Incluir las políticas de ciberseguridad dentro de las políticas corporativas tradicionales, tales como políticas de calidad o normas internas. • El establecimiento de políticas obligatorias mejora la concienciación, ya que manda un mensaje directo desde gerencia hacia abajo. Cultura Riesgo Tecnología Estrategia Ciberseguridad Desarrollo Visibilidad Políticas 14 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Estrategias corporativas en ciberseguridad • Las amenazas de ciberseguridad contra una organización no acaban en su infraestructura tecnológica, pero sí su visibilidad. • Conocer su visibilidad para prevenir ataques informáticos, detectar robo de información o cualquier otra amenaza externa a la infraestructura tecnológica. Cultura Riesgo Tecnología Estrategia Ciberseguridad Desarrollo Visibilidad Políticas 15 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Estrategias corporativas en ciberseguridad • Cada organización es diferente, por alcance, ámbito, industria, relaciones, competencia, enemigos,… • Conocer el riesgo que tenemos en cada amenaza es el indicador que necesitamos para establecer una planificación estratégica. Cultura Riesgo Tecnología Estrategia Ciberseguridad Desarrollo Visibilidad Políticas 16 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Estrategias corporativas en ciberseguridad Fuga de información • Minimizar los riesgos de amenazas internas mediante la implantación de soluciones DLP (Data Leakage Prevention), especialmente si se encuentran en entornos de alta disponibilidad (DLP gestionado). • Cerrar la brecha de seguridad de los dispositivos móviles mediante soluciones MDM (Mobile Devices Management). 17 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Estrategias corporativas en ciberseguridad Robo de información • Análisis estático. Reducción de las vulnerabilidades existentes en aplicaciones informáticas mediante el uso de ciclos seguros de desarrollo de software (SDLC) y herramientas automatizadas de análisis de código fuente. • Análisis dinámico. Ciclos de evaluación de vulnerabilidades y pruebas de intrusión a nivel de infraestructura y aplicaciones. • Cerrar la brecha de seguridad de los dispositivos móviles mediante soluciones MDM (Mobile Devices Management). 18 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Estrategias corporativas en ciberseguridad Denegación de servicios • Cibervigilancia. Detección de ataques planificados contra organizaciones en redes sociales, especialmente organizaciones en el punto de mira del hacktivismo. • Prevención DDoS. Implantación de soluciones tecnológicas para mitigar el impacto de ataques de denegación de servicios. 19 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Estrategias corporativas en ciberseguridad Acceso no autorizado • Monitorización activa. Monitorización y correlación de eventos de seguridad que se generan en los dispositivos perimetrales de la organización. • Concienciación. Mejora de las políticas corporativas para el establecimiento de contraseñas seguras y la gestión de la información. 20 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Futuro 21 Como afrontar riesgos en ciberseguridad Futuro La previsión de ciberamenazas para los próximos años: Ataques dirigidos y ciberespionaje Acciones de hacktivismo Ciberguerra Cibervigilancia - OSSINT Ataques contra entornos cloud y virtuales Malware para dispositivos móviles 22 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Futuro Ataques dirigidos • Se estima un incremento de los ataques sofisticados dirigidos contra organizaciones. • Incremento de ataques contra organizaciones “puente”. • Los ataques dirigidos tendrán como prioridad la obtención de información confidencial (espionaje industrial) o el acceso a sistemas financieros. 23 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Futuro Acciones de hacktivismo • Incremento de ataques informáticos contra entidades públicas y grandes compañías. • El hacktivismo se está convirtiendo en un fenómeno creciente, con mayor número de seguidores, con un conocimiento cada vez más especializado en seguridad informática. • Amenazas relacionadas con robo de información (libertad de información) y ataques de denegación de servicios. 24 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Futuro Ciberguerra • Incremento de ataques informáticos orquestados por gobiernos, con la intención de robar información sensible o comprobar la seguridad de infraestructuras críticas nacionales de otros países. • Es una nueva forma de guerra fría entre países enemistados o con intereses contrapuestos en materia de recursos o ideologías. • Malware con propósitos y objetivos específicos: Stuxnet. 25 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Futuro Cibervigilancia - OSSINT • Uso por parte de entidades públicas de sistemas de cibervigilancia y gestión de amenazas. • Se trata de integrar los tradicionales sistemas informáticos de las fuerzas y cuerpos de seguridad con herramientas automatizadas de inteligencia de red y monitorización de amenazas en Internet. • Ejemplos de la Policía Federal do Brasil y la Policía Montada de Canadá. 26 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Futuro Ataques contra entornos cloud y virtuales • Incremento de ataques informáticos dirigidos contra entornos en la nube con el objetivo de robar información. • Los sistemas en cloud disponen de mayor accesibilidad y disponibilidad que los sistemas informáticos tradicionales, pero supone también una mayor exposición de ataques externos. • Incremento de ataques contra sistemas de máquinas virtuales, ya que con un único ataque consigue amenazas a multitud de organizaciones que comparten recursos de computación. 27 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Futuro Malware contra dispositivos móviles • Incremento del malware contra dispositivos móviles. • La modificación de malware tradicional para el entorno móvil. Ejemplo: Zeus. • El incremento de la productividad y el uso que le damos a los dispositivos móviles, como mayores transacciones bancarias o compras en comercio electrónico, provoca una consecuencia lógica incrementando el interés de los delincuentes por estas plataformas. 28 Como afrontar riesgos en ciberseguridad © 2012 Deloitte, S.L. Cesar Novo Partner | Enterprise Risk Services Republica Dominicana T. 809 563 5151 Ext. 4710 D. 809 562 4712 C. 809 519 0383 [email protected] David Montero Senior Manager | CyberSoc España [email protected] © 2012 Deloitte, S.L. Deloitte se refiere a Deloitte Touche Tohmatsu Limited, (private company limited by guarantee, de acuerdo con la legislación del Reino Unido) y a su red de firmas miembro, cada una de las cuales es una entidad independiente. En www.deloitte.com/about se ofrece una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembro. Deloitte presta servicios de auditoría, asesoramiento fiscal y legal, consultoría y asesoramiento en transacciones corporativas a entidades que operan en un elevado número de sectores de actividad. Con una red de firmas miembro interconectadas a escala global que se extiende por más de 150 países, Deloitte aporta las mejores capacidades y un servicio de máxima calidad a sus clientes, ofreciéndoles la información que necesitan para abordar los complejos desafíos a los que se enfrentan. Deloitte cuenta en la región con más de 200.000 profesionales, que han asumido el compromiso de convertirse en modelo de excelencia. . Esta publicación contiene exclusivamente información de carácter general, y Deloitte Touche Tohmatsu Limited, Deloitte Global Services Limited, Deloitte Global Services Holdings Limited, la Verein Deloitte Touche Tohmatsu, así como sus firmas miembro y las empresas asociadas de las firmas mencionadas (conjuntamente, la “Red Deloitte”), no pretenden, por medio de esta publicación, prestar servicios o asesoramiento en materia contable, de negocios, financiera, de inversiones, legal, fiscal u otro tipo de servicio o asesoramiento profesional. Esta publicación no podrá sustituir a dicho asesoramiento o servicios profesionales, ni será utilizada como base para tomar decisiones o adoptar medidas que puedan afectar a su situación financiera o a su negocio. Antes de tomar cualquier decisión o adoptar cualquier medida que pueda afectar a su situación financiera o a su negocio, debe consultar con un asesor profesional cualificado. Ninguna entidad de la Red Deloitte se hace responsable de las pérdidas sufridas por cualquier persona que actúe basándose en esta publicación. 30 Título presentación (opcional) © 2012 Deloitte, S.L.
© Copyright 2024