la innovación como estrategia de gestión del riesgo en el grupo bbva / innovation as risk...
Upload: centro-de-investigacion-para-la-gestion-tecnologica-del-riesgo-cigtr
Post on 12-May-2015
304 views
DESCRIPTION
Ponencia de Santiago Moral,Director de IT Risk, Fraud and Security, Grupo BBVA; y Francisco García Marín, Innovation for Security, Grupo BBVA. Presentation by Santiago Moral, Director of IT Risk, Fraud and Security, BBVA Group; and Francisco García Marín, Innovation for Security, BBVA GroupTRANSCRIPT
os damos la bienvenida al Curso de Verano 2012:
INNOVACIÓN PARA LA SEGURIDAD TIC
TWITTER: @CIGTR hashtag: #i4s
Plan de Innovación en Seguridad
XII Cursos de Verano de Aranjuez - 2012
Curso de verano 2012
3
AGENDA
1. Evolución de la tecnología y evolución de las amenazas
2. Tecnologías para la protección. Innovación
3. Pricipales focos de interés para BBVA IT RF&S
4. ¿Cómo lo hacemos?
Plan de Innovación en Seguridad
Curso de verano 2012
4
La tecnología sigue cambiando el mundo a gran velocidad y su uso arrastra a las empresas, que deben adoptarlas para mantener su competitividad
Es poco probable que las organizaciones reduzcan la velocidad de adopción de nuevas tecnologías o que disminuya su participación en el ciberespacio, más bien todo lo contrario.
Las cadenas de valor de las empresas están más fraccionadas, las funciones se externalizan, y el riesgo interno empieza a venir también de fuera.
GPS
1997 2002 2008
Evolución tecnológica en las empresas
Curso de verano 2012
5
La adopción de las tecnologías modifica el mapa de riesgos
Migración a la nube de infraestructuras, utilidades y procesos de negocio.
Deconstrucción de procesos de negocio en sus componentes, creando cadenas de valor complejas, externalizadas y en muchos casos en entornos multitenancy. Los sistemas dejan de ser monolíticos.
Curso de verano 2012
6
La adopción de las tecnologías modifica el mapa de riesgos
Consumerización de dispositivos inteligentes. El dispositivo endpoint es un objeto personal, con uso híbrido para fines privados y de empresa. (Tendencia a disminución de desktops empresariales y al aumento de dispositivos portables laptop – tablet – smartphone)
Uso de dispositivos móviles para pagos (nfc, ewallets, apps, tpv en un móvil, etc).
Curso de verano 2012
7
Our Social Experience is Changing the Way We Want to Work
Social Computing Represents a New Normal
500M active Facebook users
30M consumer reviews of hotels can be found on Tripadvisor.com
In 60 days more content has been uploaded to YouTube than has been created by major broadcasters in the past 60 years
25% of search results for the world’s top 20 brands are linked to content created by consumers
7
Source: Intel
Curso de verano 2012
8
Evolución tecnológica en las empresas¿P.I.?
La aparición de impresoras 3D capaces de crear productos en tres dimensiones incrementarán la posibilidad de robo de propiedad intelectual, extendiendo a los objetos físicos las dificultades aparecidas para bienes inmateriales.
Curso de verano 2012
9
2,90
2,10
1,65
0,140,110,070,020,010,010,01
*2000
Tipo de amenazas: Robo/modificación de datos, denegación de servicio…
• Las amenazas se incrementan en paralelo a la evolución de la tecnología.
• Junto a los beneficios para el negocio, vienen nuevas vulnerabilidades y la posibilidad de nuevas formas de ataque a las empresas.
• Las amenazas se incrementan en paralelo a la evolución de la tecnología.
• Junto a los beneficios para el negocio, vienen nuevas vulnerabilidades y la posibilidad de nuevas formas de ataque a las empresas.
2000 – 2010 Incremento del riesgo en seguridad de la información
Curso de verano 2012
10
Virus en dispositivos móviles
2010
Ataques a la marca
Ataques a dispositivos conectados
Ciber-activismo profesionalizado
Ataques en el cloudRiesgo
2015
Perímetro extendido (dispositivos, nube, comercialización de big data …)
Convergen APT, hacktivismo y delincuencia
Ciclos de cambio y amenaza más rápidos
Perímetro extendido (dispositivos, nube, comercialización de big data …)
Convergen APT, hacktivismo y delincuencia
Ciclos de cambio y amenaza más rápidosAtaques de
infraestructura (electricidad…)
2010 – 2015 Aceleración y sofisticación de las amenazas
APTConvergencia
Curso de verano 2012
11
2010 2015
Virus en dispositivos móviles
Ataques a la marca
Ataques a dispositivos conectados
Ciber-activismo profesionalizado
Ataques en el cloud
Riesgo
Ataques de infraestructura (electricidad…)
APTConvergencia
To take advantage of technology and cyberspace, organisations must manage new risks beyond those traditionally covered by the information security function, including attacks on reputation and all manner of technology from telephones to industrial control systems.
Threat Horizon 2014
Curso de verano 2012
12
Big Data La capacidad de procesar ingentes cantidades de datos y obtener información.
Reconocimiento de patrones anómalos (AI, clasificadores, etc.)
Nuevos desarrollos en Criptografía. Algoritmos que preserven formatos, índices, ordenamientos o que permiran operar sobre cifrado
Biometría de reconocimiento (imagen., voz, gestos, firmas, características de comportamiento).
Herramientas de análisis y gestión: Governance, Riesgos, SIEM.
Seguridad de dispositivos móviles.
Las tecnologías para la protección también avanzan
Curso de verano 2012
13
La innovación en BBVA, palanca para potenciar la competitividad y el crecimiento
Las líneas estratégicas de innovación en Seguridad de la Información responden a retos reales de negocio
Curso de verano 2012
14
Principales focos de interés
Advanced Payments Advanced Payments Habilitar medios de pago avanzado.
CloudCloudCrear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo.Acreditación de los proveedores.
Big Data Big Data Posibilitar su uso y comercialización manteniendo la anonimidad. Detección de actividades anómalas.
Digital Identity and Authentication Digital Identity and Authentication
Impulsar sistemas de autenticación simples y no intrusivos y facilitar nuevos negocios mediante la compartición de identidades.
Digital Channels and New Devices Digital Channels and New Devices
El aumento en el uso de los dispositivos móviles y del concepto “BYOD” cambia el foco y las tendencias de la seguridad del puesto cliente hacia soluciones basadas en hardware y la virtualización
Risk Management Risk Management Desarrollar métodos avanzados de Gestión de Riesgos, de Governance y de gestión de eventos de seguridad.
AntifraudeAntifraude Mejorar los sistemas automáticos de detección y prevención.
Curso de verano 2012
15
Definir y desarrollar los servicios de seguridad necesarios para desplegar procesos de
negocio en la nube, permitiendo una administración centralizada eficiente o estableciendo controles realizados por
terceros.
La Agilidad: From innovative idea to production in < 1 day (Intel)
Soluciones específicas para mejorar el entorno Google Apps
CloudCloudCrear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo.Acreditación de proveedores.
Curso de verano 2012
16
CloudCloudCrear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo.Acreditación de proveedores.
Curso de verano 2012
17
CloudCloudCrear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo.Acreditación de proveedores.
Curso de verano 2012
18
Protección perimetral.
Perfil de dispositivos de acceso
Servicios de identidad. Federación, acceso, provisioning
DLP
Protección frente a malware.
Servicios de cifrado.
Protección de API administrativas.
Servicios de seguridad en la nube
CloudCloudCrear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo.Acreditación de proveedores.
Curso de verano 2012
19
Protección de dispositivos de consumo para generalizar su acceso a sistemas corporativos
Digital Channels and New Devices Digital Channels and New Devices
El aumento en el uso de los dispositivos móviles y del concepto “BYOD” cambia el foco y las tendencias de la seguridad del puesto cliente hacia soluciones basadas en hardware y la virtualización
Consumer Overtakes Business in 2009
Source: Gartner April ‘10BYODBYODBYODBYOD
MDMMDMMDMMDMCloudCloudCloudCloud
Curso de verano 2012
20
Big Data Big Data Posibilitar su uso y comercialización manteniendo la anonimidad. Detección de actividades anómalas.
Transformar fuentes de datos antes no exploradas por su volumen en información valiosa para uso propio o comercialización.
Requiere garantía absoluta de que se proteja la información individualizada.
Curso de verano 2012
21
Big Data Big Data Posibilitar su uso y comercialización manteniendo la anonimidad. Detección de actividades anómalas.
Utilizar las técnicas de Big Data para la protección, analizando a fondo volúmenes ingentes de información histórica
Detectar y prevenir el fraude.
Identificar ciberataques. Mejorar la clasificación. Demostrar la efectividad de
controles. etc
Curso de verano 2012 / Junio 2012
22
Digital Identity and Authentication Digital Identity and Authentication
Impulsar sistemas de autenticación simples y no intrusivos y facilitar nuevos negocios mediante la compartición de identidades.
Curso de verano 2012 / Junio 2012
23
Risk Management Risk Management Desarrollar métodos avanzados de Gestión de Riesgos, de Governance y de gestión de eventos de seguridad.
Redes complejas
Metodologíasavanzadas
Curso de verano 2012 / Junio 2012
24
AntifraudeAntifraude Mejorar los sistemas automáticos de detección y prevención.
ROC curve UPV Fusion
0%
10%
20%
30%
40%
50%
60%
70%
80%
90%
100%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
False Positive Ratio
True
Pos
itive
Rati
o
Alarms vs VDR
0
10
20
30
40
50
60
0 200 400 600 800 1.000
Alarms
VDR UPV Fus ion
Lynx
Investigar en algoritmos que mejoren los ratios de detección de comportamientos fraudulentos.Apoyo en herramientasBig Data.
Curso de verano 2012
25
¿Cómo lo hacemos?
Start-ups,Caplital riesgo
Universidades y Centros de Investigación
Empr
esas
te
cnol
ógic
as
Curso de verano 2012
26
Observatorio tecnológicoProspección
PropuestaPrueba
Curso de verano 2012
27
Apoyo al emprendimiento tecnológico
Curso de verano 2012
28
Principales focos de interés
Advanced Payments Advanced Payments Habilitar medios de pago avanzado.
CloudCloudCrear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo.Acreditación de proveedores.
Big Data Big Data Posibilitar su uso y comercialización manteniendo la anonimidad. Detección de actividades anómalas.
Digital Identity and Authentication Digital Identity and Authentication
Impulsar sistemas de autenticación simples y no intrusivos y facilitar nuevos negocios mediante la compartición de identidades.
Digital Channels and New Devices Digital Channels and New Devices
El aumento en el uso de los dispositivos móviles y del concepto “BYOD” cambia el foco y las tendencias de la seguridad del puesto cliente hacia soluciones basadas en hardware y la virtualización
Risk Management Risk Management Desarrollar métodos avanzados de Gestión de Riesgos, de Governance y de gestión de eventos de seguridad.
AntifraudeAntifraude Mejorar los sistemas automáticos de detección y prevención.