posicionamiento del ciso ante la alta gerencia
TRANSCRIPT
Page 3
Ejercicio práctico
• Qué es lo más confidencial?
• Qué no podría perder por ningún motivo?
• Qué es irremplazable?• Qué causaría el mayor
daño a su vida?• Qué impactaría su
reputación?
Fotos
Archivos secretos
Correo electrónico
Social media
Información bancaría (tarjeta de
crédito, extractos, cuentas)
Historial de
búsquedas
Historial de navegación
Historial de llamadas
Page 4
CiberseguridadEvolución de las amenazas
El CelebGate
Salieron a la luz
hasta 500 imágenes
y videos cortos de
numerosas
celibridades debido
a un error de
seguridad del
servidor del servicio
iCloud de Apple.
Ramnit
El botnet infectó a
3.2 millones de
ordenadores en
todo el mundo. La
Europol tuvo que
apagar sus
servidores de
commando.
Banco Central
de Bangladesh
Hackers lograron
acceder a los
sistemas y transferir
81 millones de
dólares a varios
casinos de Filipinas.
WannaCry
En mayo de 2017 los
computadores con sistema
operativo Microsoft Windows
fueron vulnerables a un
ransomware que encriptaba
la información para pedir
pagos por su liberación
2013
Las 30 compañías
multinacionales más
grandes indicaron la
existencia de tráfico
malicioso en sus redes
internas.*
2014
Solo el 48% de los
SecOps managers
consideran tener
un proceso claro y
comprendido.*
2015
Por la sofisticación
de las amenazas
el 47% de las
compañías
realizan auditorías
de seguridad
externas.*
2016
El 49% de las
organizaciones
reconocen haberse
enfrentado al escrutinio
público por una brecha
de ciberseguridad.*
2017
El 53% de los ataques
resultaron en daños
financieros de más de
$500,000 USD.*
*Información obtenida de los reportes anuales de seguridad de Cisco.
Page 5
Daño a la reputación1 Multas y sanciones regulatorias. 2
La pérdida de confianza de los inversionistas3
Litigios de los accionistas4
La pérdida de oportunidades de negocio existentes y futuras
5Perjuicio o disminución de la ventaja competitiva. 6
La pérdida de la confianza de los clientes7
Materialización de riesgos de seguridad de la información¿Qué impacto puede tener?
Page 6
Encuesta Global de Seguridad de la Información EY 2017
El 73 % de los encuestados están preocupados por el bajo nivel de conciencia sobre seguridad de la información de los usuarios de dispositivos móviles.
El 46% están preocupados por su capacidad para identificar sus activos , como mantenerlos libres de virus o brechas de seguridad.
El 35% le preocupa su capacidad para gestionar el incremento de los puntos de acceso a la organización.
Page 7
“Hay dos tipos de empresas: las que han sido hackeadas; y las que todavía no saben que han sido hackeadas.” John Chambers
The better the question. The better the answer. The better the world works.
¿El dinero invertido en ciberseguridad está generando valor?
Page 9
Tratar exhaustivamente de detener las violaciones de seguridad es una pérdida
de recursos. Las empresas tienen que equilibrar controles preventivos
adecuados con
capacidades detectoras fuertes.
Riesgo regulatorio
¿Cómo responden gobiernos y entes reguladores ante la creciente
amenaza al riesgo de información?
Fallas de control
¿Las brechas o debilidades en los controles de TI y seguridad pueden
ser factores que contribuyan?
Riesgo de información
¿Cómo la empresa direcciona las
áreas de riesgo de seguridad claves, la resistencia y
la fuga de datos?
RR
RR
FC
RI
EME
RN
CSC
SIPD
AI
Riesgo reputacional
¿Cómo afecta la reputación un Seguridad de la información?
Expansión en mercados emergentes
¿Aumentar el mercado de la empresa impacta la continuidad del
negocio?
Reorganización del negocio
¿Qué tanto cambia nuestro perfil de riesgos de información?
Centros de servicios compartidos
¿Utilizar terceros o centros de servicios compartidos
incrementan los riesgos de
seguridad y el abastecimiento de
TI?
Seguridad y datos
¿Está la empresa cubierta contra la fuga de datos, pérdida y
empleados deshonestos?
Adquisiciones e integración ¿Qué tan exitosas son las
inversiones de la empresa al
integrar la información que
pertenece a una empresa
adquirida?
El éxito de una estrategia de
una seguridad de la
información sofisticada y
eficaz reside en la capacidad
de mirar hacia adelante a
futuras oportunidades y
amenazas.
Los líderes ejecutivos deberían considerar si el marco de seguridad de la información de la
organización podría responder a las siguientes preguntas:
Responsabilidad de la alta Dirección
Page 10
Chief Information Security Officer - CISORol y función
Evolución de la naturaleza de las ciberamenazas
Reestructurar el rol para cerrar las brechas de habilidades y liderazgo
• Crecimiento de los activos de información
• Creciente dificultad para cumplir con las regulaciones
• Presencia de dispositivos móviles
Habilidades
Té
cn
ica
s Neg
ocio
Diseñar escenarios sofisticados de las tácticas de los hackers.
Conocer las herramientas y estrategias de defensa
Entender las vulnerabilidades de los sistemas tecnológicos
Desarrollar y retener el mejor talento en ciberseguridad.
Alinear la estrategia de negocio y la estrategia de
ciberseguridad.
Comunicar efectivamente las brechas técnicas a la gerencia
Responsabilidades
Asegurar que las políticas, procesos y tecnologías; protejan, defiendan y prevengan las ciberamenazas.
Monitorear, detectar y atrapar eventos sospechosos y actividades no autorizadas.
Minimizar el impacto de los incidentes, asegurando que los recursos entren en operación tan rápido como sea posible.
Asegurar cumplimiento de los requerimientos internos y externos. Educando a la organización sobre los riesgos.
Page 11
Chief Information Security Officer - CISOPrograma
Dirigir el cambio y mantener las mejoras en el tiempo a través de un gobierno fuerte.
Gobierno
Tolerancia al riesgo
Prioridades del negocio
Inteligencia de amenazas
Complicar a los atacantes alcanzar sus objetivos
Tener las habilidades de identificar un ataque antes
de que tenga un impacto significativo.
Responder y remediar un ataque de forma eficiente y
efectiva.
Mantener unos recursos humanos consciente de la
seguridad.
o Se debe dirigir
a los riesgos
que más le
importan al
negocio.
o No todos los
ataques se
pueden
prevenir, se
deben tener
habilidades de
detección y
respuesta.
Page 12
CISO ante la gerencia
• Determinar que tan efectivo es el programa de monitoreo y respuesta a incidentes.
• Entender el impacto de la tecnología en la estrategia, en el modelo de negocio y la ciberseguridad.
• Anticiparse y planear cualquier cambio en la regulación.
• Educar a la gerencia para tener una comunicación más abierta.
El CISO debe mantener una participación consistente
en las reuniones de gerencia y comités ejecutivos.
Chief Information Security Officer - CISORelación con la gerencia
Dada la escala de las amenazas, la ciberseguridad es un tema
clave para las gerencias y juntas directivas de la compañía.
Amenazas e incidentes
• Entender los riesgos
cibernéticos a los que
se enfrentan y cómo
puede afectar el
negocio.
• Conocer los
incidentes más
significativos para
entender el impacto.
La seguridad es una problemática de toda la
compañía y no solo de tecnología.
Madurez
organizacional
• A través de marcos de
referencia asesorar el
programa de
ciberseguridad y
medir su efectividad.
• Asegurar que se
reduzca el riesgo de
recibir ataques.
Auditoría
independiente
• Complementar la
comunicación con la
auditoría externa para
que evalúe los riesgos
legales que puede
conllevar el programa
de seguridad
cibernética.
Presupuesto
• Asegurar que el CISO
tenga los recursos
adecuados para tener
un programa capaz de
detectar, responder y
recuperar la
organización ante
cualquier ataque
cibernético.
Page 13
Chief Information Security Officer - CISORelación con otras áreas del negocio
El comportamiento de los
empleados genera la mayor
exposición. Hay que enfocarse
en educación e influencia.
• Trabajar en conjunto con
recursos humanos para
mitigar amenazas internas.
• No limitarse a capacitaciones,
dirigirse a los líderes de las
líneas para construir una
cultura de vigilancia.
Apoyarse en consultores
externos es una forma eficiente
de educar al equipo.
• Formatos
• Métodos
• Frameworks
Se debe trabajar de la mano con
la seguridad física, proteger el
acceso físico a las instalaciones
no se debe sub estimar.
• Controles de acceso acordes
al tipo de información que se
maneja en la oficina o sala.
• Protección de amenazas
ambientales (temperatura,
detección de humo, energía).
Para que los esfuerzos sean exitosos, los empleados a lo largo de la organización deben estar
comprometidos con detener potenciales amenazas de seguridad.
La ciberseguridad ya no puede ser una disciplina técnica dentro del equipo de tecnología.