la innovación como estrategia de gestión del riesgo en el grupo bbva / innovation as risk...

os damos la bienvenida al Curso de Verano 2012:

INNOVACIÓN PARA LA SEGURIDAD TIC

TWITTER: @CIGTR hashtag: #i4s

Plan de Innovación en Seguridad

XII Cursos de Verano de Aranjuez - 2012

Curso de verano 2012

3

AGENDA

1. Evolución de la tecnología y evolución de las amenazas

2. Tecnologías para la protección. Innovación

3. Pricipales focos de interés para BBVA IT RF&S

4. ¿Cómo lo hacemos?

Plan de Innovación en Seguridad


4

La tecnología sigue cambiando el mundo a gran velocidad y su uso arrastra a las empresas, que deben adoptarlas para mantener su competitividad

Es poco probable que las organizaciones reduzcan la velocidad de adopción de nuevas tecnologías o que disminuya su participación en el ciberespacio, más bien todo lo contrario.

Las cadenas de valor de las empresas están más fraccionadas, las funciones se externalizan, y el riesgo interno empieza a venir también de fuera.

GPS

1997 2002 2008

Evolución tecnológica en las empresas


5

La adopción de las tecnologías modifica el mapa de riesgos

Migración a la nube de infraestructuras, utilidades y procesos de negocio.

Deconstrucción de procesos de negocio en sus componentes, creando cadenas de valor complejas, externalizadas y en muchos casos en entornos multitenancy. Los sistemas dejan de ser monolíticos.


6

La adopción de las tecnologías modifica el mapa de riesgos

Consumerización de dispositivos inteligentes. El dispositivo endpoint es un objeto personal, con uso híbrido para fines privados y de empresa. (Tendencia a disminución de desktops empresariales y al aumento de dispositivos portables laptop – tablet – smartphone)

Uso de dispositivos móviles para pagos (nfc, ewallets, apps, tpv en un móvil, etc).


7

Our Social Experience is Changing the Way We Want to Work

Social Computing Represents a New Normal

500M active Facebook users

30M consumer reviews of hotels can be found on Tripadvisor.com

In 60 days more content has been uploaded to YouTube than has been created by major broadcasters in the past 60 years

25% of search results for the world’s top 20 brands are linked to content created by consumers

7

Source: Intel


8

Evolución tecnológica en las empresas¿P.I.?

La aparición de impresoras 3D capaces de crear productos en tres dimensiones incrementarán la posibilidad de robo de propiedad intelectual, extendiendo a los objetos físicos las dificultades aparecidas para bienes inmateriales.


9

2,90

2,10

1,65

0,140,110,070,020,010,010,01

*2000

Tipo de amenazas: Robo/modificación de datos, denegación de servicio…

• Las amenazas se incrementan en paralelo a la evolución de la tecnología.

• Junto a los beneficios para el negocio, vienen nuevas vulnerabilidades y la posibilidad de nuevas formas de ataque a las empresas.

• Las amenazas se incrementan en paralelo a la evolución de la tecnología.

• Junto a los beneficios para el negocio, vienen nuevas vulnerabilidades y la posibilidad de nuevas formas de ataque a las empresas.

2000 – 2010 Incremento del riesgo en seguridad de la información


10

Virus en dispositivos móviles

2010

Ataques a la marca

Ataques a dispositivos conectados

Ciber-activismo profesionalizado

Ataques en el cloudRiesgo

2015

Perímetro extendido (dispositivos, nube, comercialización de big data …)

Convergen APT, hacktivismo y delincuencia

Ciclos de cambio y amenaza más rápidos

Perímetro extendido (dispositivos, nube, comercialización de big data …)

Convergen APT, hacktivismo y delincuencia

Ciclos de cambio y amenaza más rápidosAtaques de

infraestructura (electricidad…)

2010 – 2015 Aceleración y sofisticación de las amenazas

APTConvergencia


11

2010 2015

Virus en dispositivos móviles

Ataques a la marca

Ataques a dispositivos conectados

Ciber-activismo profesionalizado

Ataques en el cloud

Riesgo

Ataques de infraestructura (electricidad…)

APTConvergencia

To take advantage of technology and cyberspace, organisations must manage new risks beyond those traditionally covered by the information security function, including attacks on reputation and all manner of technology from telephones to industrial control systems.

Threat Horizon 2014


12

Big Data La capacidad de procesar ingentes cantidades de datos y obtener información.

Reconocimiento de patrones anómalos (AI, clasificadores, etc.)

Nuevos desarrollos en Criptografía. Algoritmos que preserven formatos, índices, ordenamientos o que permiran operar sobre cifrado

Biometría de reconocimiento (imagen., voz, gestos, firmas, características de comportamiento).

Herramientas de análisis y gestión: Governance, Riesgos, SIEM.

Seguridad de dispositivos móviles.

Las tecnologías para la protección también avanzan


13

La innovación en BBVA, palanca para potenciar la competitividad y el crecimiento

Las líneas estratégicas de innovación en Seguridad de la Información responden a retos reales de negocio


14

Principales focos de interés

Advanced Payments Advanced Payments Habilitar medios de pago avanzado.

CloudCloudCrear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo.Acreditación de los proveedores.

Big Data Big Data Posibilitar su uso y comercialización manteniendo la anonimidad. Detección de actividades anómalas.

Digital Identity and Authentication Digital Identity and Authentication

Impulsar sistemas de autenticación simples y no intrusivos y facilitar nuevos negocios mediante la compartición de identidades.

Digital Channels and New Devices Digital Channels and New Devices

El aumento en el uso de los dispositivos móviles y del concepto “BYOD” cambia el foco y las tendencias de la seguridad del puesto cliente hacia soluciones basadas en hardware y la virtualización

Risk Management Risk Management Desarrollar métodos avanzados de Gestión de Riesgos, de Governance y de gestión de eventos de seguridad.

AntifraudeAntifraude Mejorar los sistemas automáticos de detección y prevención.


15

Definir y desarrollar los servicios de seguridad necesarios para desplegar procesos de

negocio en la nube, permitiendo una administración centralizada eficiente o estableciendo controles realizados por

terceros.

La Agilidad: From innovative idea to production in < 1 day (Intel)

Soluciones específicas para mejorar el entorno Google Apps

CloudCloudCrear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo.Acreditación de proveedores.


16



17



18

Protección perimetral.

Perfil de dispositivos de acceso

Servicios de identidad. Federación, acceso, provisioning

DLP

Protección frente a malware.

Servicios de cifrado.

Protección de API administrativas.

Servicios de seguridad en la nube



19

Protección de dispositivos de consumo para generalizar su acceso a sistemas corporativos



Consumer Overtakes Business in 2009

Source: Gartner April ‘10BYODBYODBYODBYOD

MDMMDMMDMMDMCloudCloudCloudCloud


20


Transformar fuentes de datos antes no exploradas por su volumen en información valiosa para uso propio o comercialización.

Requiere garantía absoluta de que se proteja la información individualizada.


21


Utilizar las técnicas de Big Data para la protección, analizando a fondo volúmenes ingentes de información histórica

Detectar y prevenir el fraude.

Identificar ciberataques. Mejorar la clasificación. Demostrar la efectividad de

controles. etc

Curso de verano 2012 / Junio 2012

22




23


Redes complejas

Metodologíasavanzadas


24


ROC curve UPV Fusion

0%

10%

20%

30%

40%

50%

60%

70%

80%

90%

100%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

False Positive Ratio

True

Pos

itive

Rati

o

Alarms vs VDR

0

10

20

30

40

50

60

0 200 400 600 800 1.000

Alarms

VDR UPV Fus ion

Lynx

Investigar en algoritmos que mejoren los ratios de detección de comportamientos fraudulentos.Apoyo en herramientasBig Data.


25

¿Cómo lo hacemos?

Start-ups,Caplital riesgo

Universidades y Centros de Investigación

Empr

esas

te

cnol

ógic

as


26

Observatorio tecnológicoProspección

PropuestaPrueba


27

Apoyo al emprendimiento tecnológico


28

Principales focos de interés

Advanced Payments Advanced Payments Habilitar medios de pago avanzado.









la innovación como estrategia de gestión del riesgo en el grupo bbva / innovation as risk...

Documents

innovacin en seguridad

riesgo en seguridad

las tecnologas para

tpv en

competitividad y

innovacin en bbva

las cadenas

evolucin tecnolgica