Perspectivas sobre Gobierno, Riesgo y …€¢ El panorama de las amenazas cibernéticas •...

Advisory Services

Perspectivas sobre Gobierno, Riesgo y Cumplimiento

Adelántese a los delitos cibernéticosEncuesta Global de Seguridad de Información

2015

• El panorama de las amenazas cibernéticas

• Adelántese a los delitos cibernéticos —Enfóquese en las tres “As”

• Activar

• Adaptar

• Anticipar

• Una organización, tres historias

• Sumario

• Metodología de la Encuesta

3

11

15

23

29

41

43

45

Contenido

Perspectivas sobre Gobierno, Riesgo y Cumplimiento - Adelántese a los delitos cibernéticos | 1

Bienvenidos

En EY tenemos una perspectiva integrada sobre todos los aspectos del riesgo en una organización y somos líderes en el mercado en seguridad de información, asesoría en sistemas de información, riesgos y controles. Como líder en servicios profesionales, EY trabaja de la mano con sus clientes de diversos tamaños y sectores de la economía, aportando sus conocimientos y experiencia en cada trabajo.

Como parte de nuestro compromiso con la calidad de servicio a sus clientes, EY realiza inversiones importantes en sus profesionales, metodología y tecnología. Innova utilizando herramientas tales como el análisis integral de datos y la optimización de controles, para proporcionar servicios más eficientes y rentables a sus clientes.

EY tiene el firme compromiso de aportar al progreso del país y con el crecimiento sostenible de sus clientes. Es así que compartimos nuestros conocimientos, para construir un mundo mejor, contribuyendo con el desarrollo y crecimiento sostenible de las empresas peruanas. Por ello, ponemos a su disposición nuestra segunda publicación de “Perspectivas sobre Gobierno, Riesgo y Cumplimiento”, mediante la cual buscamos proveer a las empresas peruanas de una herramienta que consolide conceptos técnicos y prácticos en lo relacionado a su gestión de seguridad de información.

La evolución de las tecnologías de cómputo y comunicaciones plantean un reto para la seguridad de la información frente al surgimiento de un nuevo tipo de amenaza, la delincuencia cibernética. “El estar preparados es la única manera de estar delante de los delincuentes cibernéticos”. Ese es el mensaje de EY a las empresas en todo el mundo como resultado de las respuestas de 1,825 organizaciones que respondieron la “17va. Encuesta Global de Seguridad de Información 2014”, que este año se centra en explorar qué tan bien gestionan las organizaciones las amenazas cibernéticas y qué están haciendo para mitigar los riesgos de hoy. En esta encuesta participaron una muestra significativa de empresas peruanas cuyos resultados se muestran de forma comparativa en el presente informe.

“Perspectivas sobre Gobierno, Riesgo y Cumplimiento”, tiene como fin brindar un análisis y las distintas estrategias que han resultado de nuestra “Encuesta Global de Seguridad de Información 2014” para que las distintas organizaciones en el Perú puedan enfrentar los desafíos en un mundo cambiante y alcanzar sus metas de desarrollo. El enfoque de nuestros servicios ha logrado integrar la gestión de seguridad de información con la mejora de desempeño y rentabilidad de nuestros clientes. Cuenten con nosotros como sus socios en su proceso de crecimiento sostenible. Nos ponemos a su disposición para asistirlos.

Jorge AcostaSocio Líder de Advisory Services [email protected]

2 | Perspectivas sobre Gobierno, Riesgo y Cumplimiento - Adelántese a los delitos cibernéticos

En los medios de comunicación, se muestran regularmente que las amenazas cibernéticas van en aumento en términos de persistencia, sofisticación y organización. Por una parte, se observan amenazas de ingeniería social, que aprovechan la credulidad de las personas que reciben mensajes por correo electrónico, y por otro lado, la forma cómo desde un punto técnico, logran burlar las barreras informáticas.

En nuestra “Encuesta Global de Seguridad de Información 2014”, hemos identificado que las empresas en el Perú y en el mundo están progresando al construir los fundamentos para desarrollar un programa de seguridad cibernética (Estrategia que gobierne la tecnología, los procesos, los procedimientos y los servicios de manera que permitan salvaguardar los activos -físicos y lógicos- de su organización). Sin embargo, la mayoría de las empresas encuestadas a nivel local reportaron aún estar en un nivel “inicial” de madurez en la prevención y detección de riesgos informáticos, con un nivel “moderado” en el ámbito global. En consecuencia, todavía hay mucho camino por recorrer con relación a este aspecto.

Por otro lado, los resultados de la encuesta también nos indican que cada vez son más el número de empresas que han adoptado un “nuevo enfoque” en la seguridad de la información y actualmente están buscando construir los fundamentos básicos de la seguridad cibernética en sus organizaciones. Estas empresas están adaptando sus medidas de seguridad de información a los cambios en su estrategia de negocio y operaciones y en las condiciones externas. Estas empresas buscan ahora cambiar su forma de pensar reactivamente ante las amenazas futuras.

Los invitamos a revisar nuestro análisis de resultados de nuestra “Encuesta Global de Seguridad de Información” que hemos preparado para las empresas en el Perú, el cual se encuentra enfocado en los tres niveles de seguridad de información necesarios para que su empresa debe desarrollar para adelantarse a los delitos cibernéticos:

• Activar El primer nivel está focalizado en los fundamentos o las bases que las organizaciones deben desarrollar para proteger sus activos de información. En esta sección analizaremos: ¿Cuál es el estado actual en las organizaciones a nivel local y global? y ¿Cuáles son los elementos más importantes que necesitan tomar en consideración para el año 2015?

• Adaptar El segundo nivel busca centrarnos en el cambio. ¿Qué están haciendo actualmente las organizaciones para adaptar las medidas de seguridad de información a los cambios en su negocio?, ¿Están las organizaciones de hoy en condiciones para salvaguardar sus activos de información a medida que las amenazas cibernéticas se hacen más sofisticadas y se integran a tecnologías más avanzadas?

• Anticipar El último nivel se focaliza en cómo las empresas líderes pueden alcanzar el “estado de preparación”, tener confianza en su capacidad de evaluación de riesgos y encontrarse preparado para afrontar las amenazas futuras. En otras palabras: la forma de anticipar y adelantarse a los delitos cibernéticos.

La comprensión e implementación de estos tres niveles, permitirá que su organización pueda pasar de ser un blanco fácil para los hackers o piratas informáticos a estar verdaderamente preparada para afrontar los riesgos y amenazas futuras.

Extendemos nuestro agradecimiento y aprecio a todas las organizaciones peruanas que participaron de nuestra “Encuesta Global de Seguridad de Información” para compartir sus experiencias con nosotros.

Alejandro MagditsSocio de Advisory Services [email protected]

Elder CamaSocio de Advisory Services [email protected]

Adelántese a los delitos cibernéticosEncuesta Global de Seguridad de Información 2014 - Perú

3

El panorama de las amenazas cibernéticas


Global Information Security Survey2012, Fighting to close the gapwww.ey.com/giss2012

Global Information Security Survey2013, Under cyber attackwww.ey.com/giss2013

El perímetro de seguridad desaparece

Los informes técnicos, las estadísticas y las tecnologías futuras nos indican que las amenazas cibernéticas (ciberamenazas) seguirán multiplicándose.

Con el advenimiento de la era digital (Big Data) y los cambios en los dispositivos tecnológicos (sistemas de información en la nube - cloudcomputing), se abre todo un nuevo campo de acción lleno de vulnerabilidades. En nuestras encuestas Globales de Seguridad de Información de los años 2012 - Fighting to close the gap - y 2013 -Under cyber attack- describimos esta tendencia.

A continuación, presentamos un resumen de las cinco (05) principales razones por las cuales resulta cada vez más complejo alcanzar una “estrategia de seguridad efectiva” en nuestras organizaciones.

Estas razones ilustran que los mecanismos de seguridad implementados en las organizaciones de hoy se encuentran día a día bajo mayor presión, debido a que los delitos informáticos aprovechan las vulnerabilidades que posee el perímetro tradicional de defensa -Cortafuegos (firewalls o mecanismos de filtrado de paquetes, sistemas de detección y prevención de intrusos -IDS e IDPS)- y que como consecuencia crean mayores motivaciones para nuevas amenazas.

1 Cambio En el mundo actual (post-crisis económica), los negocios necesitan moverse y actuar rápidamente. Lanzamiento de nuevos productos, fusiones, adquisiciones, expansión de mercado, cada vez se encuentran en aumento. Estos cambios, naturales en los negocios, tienen un impacto negativo en la seguridad de información de las organizaciones.

2 Movilidad La progresiva adopción de la computación móvil o dispositivos móviles ha sobrepasado las fronteras organizacionales, con tecnologías de la información cada vez más orientadas a los usuarios y más alejadas de las organizaciones. El uso de Internet, los smartphones y las tablets han permitido que la información de las empresas sea accesible casi en cualquier lugar.

3 Ecosistema Vivimos y trabajamos en un ecosistema de organizaciones, personas y datos digitalmente interconectados, lo cual incrementa la probabilidad de exposición a los delitos informáticos, tanto en el ambiente de trabajo, como en el hogar.

4 La nube Los servicios de sistemas de información en la nube (cloudcomputing), la tercerización de la gestión y el almacenamiento de datos empresariales, crean nuevos canales o nuevas puertas para la materialización de los delitos informáticos.

5 Infraestructura Los sistemas de tecnologías para la gestión de operaciones, tradicionalmente cerrados y administrados en el back-office, ahora tienen asignados direcciones IP que permiten que las amenazas cibernéticas puedan atentar contra ellos.

Alerta!Los empleados de nuestra organización (colaboradores internos) y los hackers o piratas informáticos ahora son la fuente de riesgo más probable para un ataque informático.


Colaboradores internos 90%

57%

Contratistas o proveedores externos que trabajan dentro de la organización

66%

35%

Clientes0%

10%

Proveedores 34%

12%

Otros socios de negocios 27%

14%

Sindicatos 7%

53%

Ataques realizados por organizaciones paramilitares o terroristas

5%

27%Piratería cibernética (grupo de

atacantes informáticos que protestan por una causa común. Ej. Grupo

Anonimous)

54%

46%

Hackers independientes 68%

41%

¿Cuál considera usted que es la fuente más probable de un ataque informático?

El creciente poder de ataque de los criminales cibernéticosEl poder de los hackers o piratas informáticos está aumentando a una asombrosa velocidad. Hoy en día los hackers están mejor organizados y tienen acceso a mayores fuentes de financiamiento y, por consecuencia, son más sofisticados que antes. Estos piratas informáticos se encuentran constantemente buscando vulnerabilidades en todos los entornos operativos de los negocios, no sólo en el ámbito tecnológico, sino que ahora sobrepasan e incluyen a los empleados de las organizaciones a ser vulneradas así como a los procesos de negocio.

En nuestras encuestas anteriores, los colaboradores internos eran vistos como la fuente más probable de un ataque informático. En nuestra última Encuesta de Seguridad de Información (Noviembre 2014), los empleados siguen siendo vistos como un riesgo significativo. Sin embargo, por primera vez, se encontró que cuando se combinaron los diferentes tipos de atacantes externos -organizaciones criminales (patrocinados por algún sindicato o grupo) u otras agrupaciones que se encuentran en contra de la política empresarial-, estas amenazas fueron consideradas como una fuente mayor de riesgo. En el Perú, nuestros encuestados consideraron que la principal fuente de un probable ataque informático sería interna (el 90% de los encuestados consideró como posible fuente de ataque a los colaboradores internos y el 66% a los contratistas o proveedores que trabajan en la compañía) y el 68% de nuestros encuestados considera a los hackers como la segunda fuente más probable de un ataque informático.

Perú Global


Los obstáculos que enfrentan las empresas de hoyEn las siguientes secciones de este informe vamos a revisar lo que las empresas están haciendo para hacer frente a estos desafíos, pero en primer lugar debemos tener en cuenta cuáles son los obstáculos o trabas que necesitan ser removidos con urgencia para que las empresas puedan estar preparadas para responder a cualquier ataque informático.

Obstáculo 1 - Falta de agilidadNo sólo las amenazas se encuentran en aumento, nuestros encuestados también nos dicen que todavía persisten vulnerabilidades que tratan de sobrepasar las defensas cibernéticas, lo cual significa que existe un peligro claro y real, debido a que las empresas no se están moviendo lo suficientemente rápido como para mitigar dichas vulnerabilidades. En el Perú y en el mundo, más del 80% de los encuestados dice que no cuentan con información actualizada sobre los riesgos o vulnerabilidades que podrían afectar a sus sistemas de información. Lo cual indica que las empresas no están considerando el establecimiento de fundamentos de seguridad cibernética. Vea la sección “Activar” para aprender más sobre las áreas de su organización que requieren mayor atención, de acuerdo a los resultados de nuestra encuesta.

Vulnerabilidades(La exposición a la posibilidad de ser atacado o dañado)

Acceso no autorizado (ej. debido a la falta de protección de los datos)

Uso de redes sociales

Uso de computación móvil

Uso de sistemas de información en la nube (cloudcomputing)

Colaboradores imprudentes o poco concientizados

Controles obsoletos de seguridad de la información

Prioridad: 1ra 2da 3ra 4ta 5ta

14% 20% 23% 24% 19%

7% 25% 24% 20% 24%

16% 25% 22% 20% 17%

17% 22% 18% 18% 25%

38% 19% 16% 14% 13%

35% 17% 15% 16% 17%

El panorama de las amenazas informáticas

Amenazas(La posibilidad de una acción hostil por parte de los actores externo)

Ataques por fallas desconocidas por el fabricante

Correo no deseado

Phishing o suplantación de identidad

Desastres naturales (interrupciones eléctricas, inundaciones, terremotos, etc)

Software malicioso (ej. virus, gusanos, y troyanos)

Ataques internos (ej. parte de colaboradores descontentos)

Fraude

Espionaje (ej. de los competidores)

Ataques informáticos para robar información de propiedad intelectual

Ataques informáticos para robar información financiera (números de

tarjeta de crédito, información bancaria, etc)

Ataques informáticos para interrumpir o degradar los servicios de la organización

16% 20% 19% 20% 25%

13% 18% 19% 20% 30%

17% 22% 21% 22% 18%

15% 14% 16% 21% 34%

15% 19% 24% 25% 17%

11% 20% 23% 18% 28%

19% 23% 22% 21% 15%

16% 24% 20% 18% 22%

20% 24% 22% 17% 17%

28% 23% 18% 19% 12%

25% 20% 21% 16% 18%

Prioridad: 1ra 2da 3ra 4ta 5ta



Obstáculo 2 - Falta de presupuestoComo hemos mencionado anteriormente, la falta de presupuesto es uno de los principales obstáculos. En años anteriores, habíamos sido relativamente positivos sobre el presupuesto disponible para la seguridad de información, debido a que año a año se registraban incrementos en el presupuesto asignado de las empresas. Ahora, por primera vez, vemos que casi la mitad de las organizaciones que contestaron nuestra encuesta a nivel mundial manifiestan que sus presupuestos se mantendrán iguales, y casi la tercera parte, indica que reducirán sus presupuestos entre el 5% y 15% en los próximos 12 meses.

En el Perú, casi la tercera parte de los encuestados indica que el presupuesto permanecerá igual, pero las dos terceras partes de los mismos indican que su presupuesto se reducirá entre 5% y 15% en los próximos 12 meses. A pesar que estamos experimentando cada vez mayor interés sobre los delitos informáticos en todo el mundo, parece que este interés no se traduce en más recursos para la seguridad cibernética.

66%de los encuestados indica que el presupuesto asignado a la seguridad de información se reducirá entre el 5% y 15% en los próximos 12 meses.

43%de los encuestados indica que el presupuesto asignado a la seguridad de información se mantendrá igual en los próximos 12 meses.

En el Perú

En el Mundo

37%de los encuestados manifestó que la falta de recursos calificados, dificulta las operaciones de seguridad de información.

En el Perú

53%de las organizaciones menciona que la falta de recursos especializados es uno de los principales obstáculos que dificulta las operaciones de seguridad de información.

En el Mundo


Obstáculo 3 - Falta de capacidadesEl obstáculo más importante es la falta de capacidades técnicas para garantizar la seguridad de la información. Aunque este obstáculo se profundiza, cada año nuestra encuesta demuestra que la falta de especialistas es un problema persistente y creciente en las empresas. También existe la necesidad de desarrollar capacidades en otras disciplinas para integrar la seguridad de información en los procesos fundamentales de los negocios. Las organizaciones sofisticadas no sólo se defienden contra los ataques cibernéticos; utilizan la inteligencia analítica para anticipar lo que podría pasar con ellas y tienen plena confianza en su entorno operativo para saber que se encuentran preparadas (véase el capítulo “Anticipar”).

Sin embargo, la encuesta también señala que es muy difícil contratar a especialistas capacitados en inteligencia de amenazas, emitir conclusiones pertinentes y aplicables, y tomar las decisiones y respuestas adecuadas. A nivel global, el 53% de los encuestados cita a la falta de recursos calificados como el principal desafío en la función de seguridad de información.En el Perú, el 37% de los encuestados manifestó que la falta de recursos calificados, dificulta las operaciones de seguridad de información.

A nivel global, el 5% de las organizaciones ya cuenta con un equipo especializado en inteligencia de amenazas, compuesto por analistas y asesores externos, que evalúan los ataques cibernéticos. En el Perú, el porcentaje no alcanza el 2%.


Conclusión de los aspectos que hemos desarrollado hasta el momento: existe un panorama de amenazas en rápida expansión, el poder de piratas informáticos está creciendo, y las empresas siguen luchando con una serie de obstáculos. No es fácil adelantarse a los delitos cibernéticos.

La creciente amenaza a las tecnologías de informaciónLa resiliencia o la capacidad que tienen las organizaciones para sobreponerse a situaciones adversas producidas por ataques cibernéticos a sus sistemas de información, se vuelve cada vez más importante y desafiante. Las nuevas tecnologías, las presiones regulatorias y los cambiantes requisitos empresariales exigen más medidas para salvaguardar los activos de información. Sin embargo, proteger los activos de información no es una tarea fácil debido a la complejidad de las aplicaciones, las funcionalidades de los sistemas heredados, las diferentes arquitecturas de los proveedores de tecnologías, y las diferencias culturales entre los usuarios de negocio y los usuarios de la tecnología de información.Debido a la relativa facilidad para acceder a los sistemas de información a través de direcciones IP, éstos son a menudo un blanco para los piratas informáticos. Es por ello que la protección de los sistemas de información debería incluirse en el enfoque básico de las empresas para incrementar su madurez cibernética. Algunos ejemplos de ataques a los sistemas de información: • Virus infecta los sistemas de una clínica o una compañía de seguros

ocasionando la divulgación de la información y la pérdida de la confidencialidad.

• Ataque al sistema de operaciones de un banco, producto de una mala manipulación del sistema de aire acondicionado que provocó la caída (o el shut down) de los servidores de sistemas debido al sobrecalentamiento de los equipos.

Más del 80% no tiene información acerca

de los riesgos o vulnerabilidades de los

sistemas.

53% indica que es poco probable detectar un ataque sofisticado.

83% dice que no están enfocados en el análisis ni en la evaluación de

tecnologías emergentes.

27% no tiene un programa de identificación de vulnerabilidades.

49% no tiene un programa de inteligencia

de amenazas.

45% dice que la función de seguridad

satisface parcialmente las necesidades de la

organización.

46% no cuenta con un Centro de Operaciones

de Seguridad de Información (SOC).

Un paso adelanteFunción de Seguridad

CibernéticaIncremento de problemas in

tern

os

Incr

em

ento de amenaza externa

Crecienteataque de

criminales

cibernéticos

Fallas en

el perímetro

de seguridad

Amen

azas

sem

ultip

lican

Falta de

agilidad

Falta depresupuesto

Falta de

habilidades

En los siguientes capítulos discutiremos los tres niveles del camino a la madurez en la seguridad cibernética: Activar, Adaptar y Anticipar (las tres As) — los cuales deben ser ejecutados en secuencia (y recurrentemente de forma consistente) para que su organización se encuentre a la vanguardia de la seguridad cibernética y sea capaz de proteger sus activos de información. Hemos identificado que las estrategias de las empresas para contrarrestar la delincuencia cibernética pueden ser divididas en estos tres niveles y en cada nivel se deberían implementar las medidas de seguridad que se recomiendan en este informe.

Adelántese a los delitos cibernéticos Enfóquese en las tres As

11

Activar Adaptar Anticipar


Activar Adaptar AnticiparLas organizaciones necesitan contar con una base sólida de seguridad cibernética para proteger los activos de información. Esto comprende un amplio conjunto de medidas de seguridad que proporcionen una defensa básica (pero no exhaustiva) contra los ataques cibernéticos. En esta etapa, las organizaciones establecerán sus fundamentos; es decir, “activarán” su programa de seguridad cibernética.

Las organizaciones están en constante cambio, ya sea por el ingreso de nuevos competidores al mercado, supervivencia o por crecimiento. Las amenazas también cambian. Por lo tanto, las bases o fundamentos de seguridad de información que aplique la organización, deben adaptarse para mantener el ritmo y responder al dinamismo y necesidades cambiantes de los negocios, de lo contrario, serán cada vez menos efectivas. En este nivel, las organizaciones trabajan para mantener la seguridad cibernética al día; es decir, que se “adapten” constantemente a los nuevos requerimientos y exigencias del mercado.

Las organizaciones necesitan desarrollar tácticas para detectar y detraer posibles ataques cibernéticos. Deben saber exactamente lo que se necesita para proteger (sus “joyas de la corona”), y desarrollar escenarios de respuesta adecuados ante posibles ataques/incidentes (incluyendo accidentes): esto requiere una madura capacidad de respuesta a amenazas cibernéticas, una sólida metodología de evaluación de riesgo, mecanismos especializados de respuesta a incidentes, y una organización informada. En esta etapa, las organizaciones tienen más confianza en su capacidad para manejar las amenazas más predecibles y ataques inesperados; es decir, se “anticipan” a los delitos cibernéticos.

Básico o Inicial Dinámico ProactivoSeguridad cibernética añadida Seguridad cibernética integrada Seguridad cibernética predictiva

Focalizada en resguardar el entorno actual Focalizada en un entorno cambiante Focalizada en el entorno actual y futuro

Proceso estático o reactivo ante los ataques Proceso dinámico Proceso proactivo

En caso de: Marque las casillas a continuación e identifique el nivel de madurez de su organización en seguridad de información.

Marque las casillas a continuación e identifique el nivel de madurez de su organización en seguridad de información.


Gestión de incidentes de seguridad � Nunca ha tenido un incidente de seguridad de la información que afecte sus operaciones.

� Los incidentes de seguridad han sido reportados por terceras partes (ej. proveedor de servicio, regulador, auditoría externa).

� No existe seguridad de quién debiera responder.

� No hay una única persona definida para exponer la información pública.

� No cuenta con un plan de respuesta a incidentes de seguridad de información.

� Organización detecta y reacciona oportunamente a sus propios incidentes de seguridad de información.

� Existe un plan de respuesta ante incidentes de seguridad.

� El equipo de respuesta ante incidentes incluye el liderazgo de TI.

� Se establecen relaciones públicas.

� Aceptan que pueden ser vulnerados por un atacante o son conscientes que ya lo fueron.

� La organización está preparada para reducir las brechas futuras basada en el análisis de las amenazas.

� La alta dirección es parte activa del equipo de respuesta ante incidentes.

� Ante la ocurrencia de un incidente de seguridad de información, las comunicaciones externas son controladas y están basadas en hechos con posiciones defendibles.

Discusiones de la alta dirección � No es un tema del Directorio.

� Las discusiones se centran en los resultados de las herramientas y/o políticas establecidas.

� El negocio no se involucra en el equipo de liderazgo de seguridad.

� Existen planes de recuperación de desastres.

� Se consideran el entorno regulatorio, los cambios regulatorios y su impacto.

� Directivos del negocio y TI discuten y reconocen las posibles amenazas y sus impactos.

� Parte de la agenda del Directorio.

� Directivos del negocio y de TI discuten como mejorar la seguridad cibernética del negocio.

� Existe un liderazgo a nivel directivo y con sus pares.

Métricas y reportes � Modelos de madurez establecidos y gestionados.

� Número de recursos (personas).

� Cumplimiento de normas y/o estándares.

� Presupuesto de Seguridad de Información.

� Ataques / Incidentes.

� Se conoce el impacto monetario producido por algún incidente.

� Análisis de riesgo y medidas de cuantificación o scoring avanzados.

� Seguridad cibernética apoya y soporta el crecimiento del negocio.

� La seguridad de información está alineada con los objetivos del negocio.


Activar Adaptar AnticiparLas organizaciones necesitan contar con una base sólida de seguridad cibernética para proteger los activos de información. Esto comprende un amplio conjunto de medidas de seguridad que proporcionen una defensa básica (pero no exhaustiva) contra los ataques cibernéticos. En esta etapa, las organizaciones establecerán sus fundamentos; es decir, “activarán” su programa de seguridad cibernética.

Las organizaciones están en constante cambio, ya sea por el ingreso de nuevos competidores al mercado, supervivencia o por crecimiento. Las amenazas también cambian. Por lo tanto, las bases o fundamentos de seguridad de información que aplique la organización, deben adaptarse para mantener el ritmo y responder al dinamismo y necesidades cambiantes de los negocios, de lo contrario, serán cada vez menos efectivas. En este nivel, las organizaciones trabajan para mantener la seguridad cibernética al día; es decir, que se “adapten” constantemente a los nuevos requerimientos y exigencias del mercado.

Las organizaciones necesitan desarrollar tácticas para detectar y detraer posibles ataques cibernéticos. Deben saber exactamente lo que se necesita para proteger (sus “joyas de la corona”), y desarrollar escenarios de respuesta adecuados ante posibles ataques/incidentes (incluyendo accidentes): esto requiere una madura capacidad de respuesta a amenazas cibernéticas, una sólida metodología de evaluación de riesgo, mecanismos especializados de respuesta a incidentes, y una organización informada. En esta etapa, las organizaciones tienen más confianza en su capacidad para manejar las amenazas más predecibles y ataques inesperados; es decir, se “anticipan” a los delitos cibernéticos.

Básico o Inicial Dinámico ProactivoSeguridad cibernética añadida Seguridad cibernética integrada Seguridad cibernética predictiva

Focalizada en resguardar el entorno actual Focalizada en un entorno cambiante Focalizada en el entorno actual y futuro

Proceso estático o reactivo ante los ataques Proceso dinámico Proceso proactivo

En caso de: Marque las casillas a continuación e identifique el nivel de madurez de su organización en seguridad de información.



Gestión de incidentes de seguridad � Nunca ha tenido un incidente de seguridad de la información que afecte sus operaciones.

� Los incidentes de seguridad han sido reportados por terceras partes (ej. proveedor de servicio, regulador, auditoría externa).

� No existe seguridad de quién debiera responder.

� No hay una única persona definida para exponer la información pública.

� No cuenta con un plan de respuesta a incidentes de seguridad de información.

� Organización detecta y reacciona oportunamente a sus propios incidentes de seguridad de información.

� Existe un plan de respuesta ante incidentes de seguridad.

� El equipo de respuesta ante incidentes incluye el liderazgo de TI.

� Se establecen relaciones públicas.

� Aceptan que pueden ser vulnerados por un atacante o son conscientes que ya lo fueron.

� La organización está preparada para reducir las brechas futuras basada en el análisis de las amenazas.

� La alta dirección es parte activa del equipo de respuesta ante incidentes.

� Ante la ocurrencia de un incidente de seguridad de información, las comunicaciones externas son controladas y están basadas en hechos con posiciones defendibles.

Discusiones de la alta dirección � No es un tema del Directorio.

� Las discusiones se centran en los resultados de las herramientas y/o políticas establecidas.

� El negocio no se involucra en el equipo de liderazgo de seguridad.

� Existen planes de recuperación de desastres.

� Se consideran el entorno regulatorio, los cambios regulatorios y su impacto.

� Directivos del negocio y TI discuten y reconocen las posibles amenazas y sus impactos.

� Parte de la agenda del Directorio.

� Directivos del negocio y de TI discuten como mejorar la seguridad cibernética del negocio.

� Existe un liderazgo a nivel directivo y con sus pares.

Métricas y reportes � Modelos de madurez establecidos y gestionados.

� Número de recursos (personas).

� Cumplimiento de normas y/o estándares.

� Presupuesto de Seguridad de Información.

� Ataques / Incidentes.

� Se conoce el impacto monetario producido por algún incidente.

� Análisis de riesgo y medidas de cuantificación o scoring avanzados.

� Seguridad cibernética apoya y soporta el crecimiento del negocio.

� La seguridad de información está alineada con los objetivos del negocio.

14

Establecer las basesToda organización requiere de una base sólida para su seguridad cibernética. Fijar estos fundamentos no es una tarea fácil y los requerimientos dependerán del sector de la industria y la geografía.

Esto no es nuevo: en nuestra Encuesta Global de Seguridad de la Información 2012 (Fighting to close the gap) exploramos la brecha entre las medidas adoptadas por las empresas para su seguridad cibernética y los fundamentos y componentes necesarios. Estos fundamentos son el primer paso para el logro de una adecuada seguridad cibernética.


15

Las organizaciones que han activado los fundamentos básicos de la seguridad cibernética, pero que no desarrollaron esfuerzos adicionales, mostraron las siguientes deficiencias en sus capacidades:

1. AñadidaLa seguridad cibernética de la organización ha sido “añadida” a los procesos y actividades del negocio. Sin embargo, aún no se ha integrado al negocio, no es vista como una actividad que genere valor y es considerada como un factor de costo que debería limitarse. Si el desarrollo de planes y procesos se limita solamente a la obtención de certificaciones de seguridad, la organización se queda atascada en esta etapa con una seguridad cibernética añadida no funcional.

2. Focalizada en resguardar el entorno actualEn este nivel la seguridad cibernética se inicia con el examen de los riesgos sobre los cuales la organización ya es conciente, en base a su experiencia previa. El objetivo es asegurarse de que los mecanismos de seguridad se encuentran implementados para resolver cualquier debilidad previamente identificada. Si las discusiones se reducen a la evaluación de riesgos, la eficacia de los controles y la mitigación de riesgos, la organización se mantiene en esta etapa.

3. Proceso estático En este nivel se tiene por objeto permitir al negocio llevar a cabo sus funciones del día a día de forma segura. La organización asume un enfoque estático basado en normas y orientada al cumplimiento, confiando en su reporte de métricas de cumplimiento - sólo puede hacer frente a las amenazas en un mundo “sin cambios”.

Activar


Componentes ¿Cuáles son los problemas? Resultados de la Encuesta Implicancias

Participación de nivel ejecutivo

• El liderazgo en la estrategia de seguridad cibernética, su planeamiento y ejecución proviene de niveles organizacionales inferiores.

• No existe un sistema de gestión de amenazas consistente, las amenazas no suelen ser discutidas por el Directorio.

En el Mundo:En aproximadamente el 80% de empresas, la función de Seguridad de Información depende de los Gerentes de Sistemas de Información y de los Departamentos de Tecnología de Información. Sólo el 14% reporta directamente a la Gerencia General.En el Perú:El 24% de los encuestados indica que los responsables de la seguridad de información reportan a la Gerencia General.

• Las organizaciones deben involucrar a su Alta Dirección en los diversos aspectos de Seguridad de información.

• La falta de participación del nivel ejecutivo, abre las puertas a errores y a los delincuentes cibernéticos; la seguridad cibernética no cuenta con la dirección e inversiones necesarias.

Recursos • Las tareas de seguridad cibernética no son ejecutadas por personal calificado, ni se disponen de los recursos necesarios.

• Los equipos de seguridad cibernética no tienen la visibilidad y conocimiento acerca de los ataques. En el Mundo:

Menos del 20% de las organizaciones tiene información actualizada de los riesgos cibernéticos que enfrenta su compañía.Sólo el 20% cuenta con fuentes de información públicas disponible sobre los ataques cibernéticos en su industria.

En el Perú El 12% de los encuestados indica que tiene información disponible acerca de los riesgos a los que enfrenta la compañía.Sólo el 23% cuenta con fuentes de información disponibles sobre ataques en su industria.

• Las amenazas cibernéticas no son consideradas o la respuesta se da demasiado tarde.

• El éxito de los criminales cibernéticos en el phishing (suplantación de identidad) es el resultado de la falta de concientización en temas de seguridad cibernética.

Rendimiento • Muchas organizaciones de seguridad cibernética se han dispersado demasiado y son muy débiles. Mantienen muchas capacidades cibernéticas y –como resultado- con menor eficacia.

• La eficacia de la seguridad cibernética no es medida ni evaluada.

En el Mundo: El 46% de los encuestados indica que los aspectos y resultados de seguridad de información son presentados regularmente a la alta dirección. En el Perú:Sólo el 20% de los encuestados indica que los aspectos de seguridad de información son presentados regularmente a la alta dirección. Lo cual nos indica, que sólo en 1 de cada 5 empresas, la alta dirección tiene conocimiento de eventos que pueden afectar su seguridad y su operación.

• Las organizaciones deben definir formas de medir la efectividad de su seguridad cibernética y realizar un monitoreo continuo para asegurar un apropiado desempeño.

Acceso a datos • Los empleados son un potencial riesgo para la seguridad cibernética de una empresa, su programa de gestión de identidades y accesos es débil.

• Procesos manuales excesivos, revisiones irregulares o reportes inadecuados facilitan que los empleados puedan tener acceso a la información confidencial de manera inapropiada.

• La rotación de personal y empleados es un riesgo clave para la seguridad cibernética.

En el Mundo: Casi las dos terceras partes de las organizaciones no cuentan con programas de gestión de identidades y de accesos definidos y automatizados.En el Perú:Sólo el 18% de los encuestados informa que tiene algún programa de gestión de identidades y accesos.

• Hemos visto que los empleados son vistos como una gran amenaza para la seguridad cibernética; mientras que las organizaciones están buscando a los delincuentes informáticos en el exterior, los fraudes ya están ocurriendo desde el interior.

Valor vs. Costo • Muchas organizaciones consideran elevados los costos de la seguridad cibernética.

• Las organizaciones no consideran los beneficios de los mecanismos de seguridad cibernética con los que cuentan actualmente.

• Las organizaciones subestiman significativamente los costos y pérdidas potenciales asociados a un ataque cibernético.

En el Mundo: 63% menciona a las restricciones presupuestales como el principal obstáculo.Casi el 50% de las organizaciones no tendrá un aumento en su presupuesto durante los próximos 12 meses.

En el Perú:Más del 50% de las organizaciones reducirá su presupuesto entre el 5% y 15% en los próximos 12 meses.68% mencionan a las restricciones presupuestales como el principal obstáculo.

• Las organizaciones deben entender que se encuentran permanentemente bajo ataque, los delincuentes no muestran signos de darse por vencidos, el próximo ataque podría ser fatal.

Todas las empresas, independientemente de su nivel de avance en el desarrollo de mecanismos para la seguridad cibernética, deben lograr el dominio de los requisitos fundamentales de seguridad. Sin embargo, en base a los resultados de nuestra última encuesta, se ha observado que muchas organizaciones ni siquiera cuentan con todos los componentes fundamentales o básicos de seguridad cibernética en operación.

Sobre la base de los resultados de la encuesta de este año, y en la experiencia de EY al trabajar con nuestros clientes globales, en este reporte nos hemos centrado en cinco áreas y/o componentes críticos:

• Participación del nivel ejecutivo• Recursos• Rendimiento• Acceso a datos• Valor vs. Costo

Elder CamaSocio de Advisory Services


Componentes ¿Cuáles son los problemas? Resultados de la Encuesta Implicancias

Participación de nivel ejecutivo

• El liderazgo en la estrategia de seguridad cibernética, su planeamiento y ejecución proviene de niveles organizacionales inferiores.

• No existe un sistema de gestión de amenazas consistente, las amenazas no suelen ser discutidas por el Directorio.

En el Mundo:En aproximadamente el 80% de empresas, la función de Seguridad de Información depende de los Gerentes de Sistemas de Información y de los Departamentos de Tecnología de Información. Sólo el 14% reporta directamente a la Gerencia General.En el Perú:El 24% de los encuestados indica que los responsables de la seguridad de información reportan a la Gerencia General.

• Las organizaciones deben involucrar a su Alta Dirección en los diversos aspectos de Seguridad de información.

• La falta de participación del nivel ejecutivo, abre las puertas a errores y a los delincuentes cibernéticos; la seguridad cibernética no cuenta con la dirección e inversiones necesarias.

Recursos • Las tareas de seguridad cibernética no son ejecutadas por personal calificado, ni se disponen de los recursos necesarios.

• Los equipos de seguridad cibernética no tienen la visibilidad y conocimiento acerca de los ataques. En el Mundo:

Menos del 20% de las organizaciones tiene información actualizada de los riesgos cibernéticos que enfrenta su compañía.Sólo el 20% cuenta con fuentes de información públicas disponible sobre los ataques cibernéticos en su industria.

En el Perú El 12% de los encuestados indica que tiene información disponible acerca de los riesgos a los que enfrenta la compañía.Sólo el 23% cuenta con fuentes de información disponibles sobre ataques en su industria.

• Las amenazas cibernéticas no son consideradas o la respuesta se da demasiado tarde.

• El éxito de los criminales cibernéticos en el phishing (suplantación de identidad) es el resultado de la falta de concientización en temas de seguridad cibernética.

Rendimiento • Muchas organizaciones de seguridad cibernética se han dispersado demasiado y son muy débiles. Mantienen muchas capacidades cibernéticas y –como resultado- con menor eficacia.

• La eficacia de la seguridad cibernética no es medida ni evaluada.

En el Mundo: El 46% de los encuestados indica que los aspectos y resultados de seguridad de información son presentados regularmente a la alta dirección. En el Perú:Sólo el 20% de los encuestados indica que los aspectos de seguridad de información son presentados regularmente a la alta dirección. Lo cual nos indica, que sólo en 1 de cada 5 empresas, la alta dirección tiene conocimiento de eventos que pueden afectar su seguridad y su operación.

• Las organizaciones deben definir formas de medir la efectividad de su seguridad cibernética y realizar un monitoreo continuo para asegurar un apropiado desempeño.

Acceso a datos • Los empleados son un potencial riesgo para la seguridad cibernética de una empresa, su programa de gestión de identidades y accesos es débil.

• Procesos manuales excesivos, revisiones irregulares o reportes inadecuados facilitan que los empleados puedan tener acceso a la información confidencial de manera inapropiada.

• La rotación de personal y empleados es un riesgo clave para la seguridad cibernética.

En el Mundo: Casi las dos terceras partes de las organizaciones no cuentan con programas de gestión de identidades y de accesos definidos y automatizados.En el Perú:Sólo el 18% de los encuestados informa que tiene algún programa de gestión de identidades y accesos.

• Hemos visto que los empleados son vistos como una gran amenaza para la seguridad cibernética; mientras que las organizaciones están buscando a los delincuentes informáticos en el exterior, los fraudes ya están ocurriendo desde el interior.

Valor vs. Costo • Muchas organizaciones consideran elevados los costos de la seguridad cibernética.

• Las organizaciones no consideran los beneficios de los mecanismos de seguridad cibernética con los que cuentan actualmente.

• Las organizaciones subestiman significativamente los costos y pérdidas potenciales asociados a un ataque cibernético.

En el Mundo: 63% menciona a las restricciones presupuestales como el principal obstáculo.Casi el 50% de las organizaciones no tendrá un aumento en su presupuesto durante los próximos 12 meses.

En el Perú:Más del 50% de las organizaciones reducirá su presupuesto entre el 5% y 15% en los próximos 12 meses.68% mencionan a las restricciones presupuestales como el principal obstáculo.

• Las organizaciones deben entender que se encuentran permanentemente bajo ataque, los delincuentes no muestran signos de darse por vencidos, el próximo ataque podría ser fatal.


Actividades básicas que todas las organizaciones necesitan “activar”Las organizaciones que aún no han alcanzado el nivel básico de la seguridad cibernética tienen que actuar rápido. Para ayudarles, aquí resumimos las seis acciones que frecuentemente las empresas pasan por alto y que, sin embargo, son críticas:

1. Evaluar el nivel de la seguridad y elaborar una hoja de ruta.

Realizar una evaluación de las amenazas cibernéticas, una evaluación del estado de madurez de la organización, desarrollar el estado (nivel) objetivo, realizar un análisis de brechas y diseño de la implementación de la hoja de ruta, alineadas con las prácticas líderes como la ISO 27001.

2. Obtener el amplio apoyo del Directorio para la transformación de seguridad.

Redefinir el gobierno de seguridad de información, por ejemplo, dicha función debe ubicarse fuera del Departamento de Tecnología de Información y asegurar que el Directorio entiende la importancia de dicha función y sus procesos.

3. Revisar y actualizar las políticas, procedimientos y estándares de seguridad.

Implementar un sistema de gestión de la seguridad de información (SGSI).

4. Establecer un Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés).

Desarrollar un monitoreo de los casos conocidos y procedimientos de respuesta a incidentes.

5. Diseñar e implementar controles de seguridad cibernética.

Evaluar la efectividad de los procesos de prevención de pérdida de datos y programa de gestión de identidades y de accesos. Fortalecer la seguridad de los activos de Tecnología de Información, tales como servidores, firewalls, componentes de red y bases de datos.

6. Probar el plan de continuidad del negocio y los procedimientos de respuesta de incidentes.

Promover pruebas de penetración de la red, puntos de acceso y aplicaciones de software; e identificar debilidades que podrían ser explotadas.

42% no cuenta con un SOC.

46% no cuenta con un SOC.

En el Perú

En el Mundo


Centro de Operaciones de SeguridadLos procesos y tecnologías que soportan la función de Seguridad de Información son fundamentales para la seguridad cibernética. Estos son mucho más efectivos y son centralizados, estructurados y coordinados, por lo que un Centro de Operaciones de Seguridad (SOC, por sus siglas en Inglés) es un punto de inicio valioso. Un SOC que funciona de manera adecuada puede convertirse en el centro de la detección eficaz, permite que las funciones de seguridad de información respondan de manera más rápida, trabajen en un ambiente de colaboración y compartan el conocimiento de modo más efectivo. Si bien el Centro de Operaciones de Seguridad puede ser subcontratado, es importante asegurarse de que cumpla con las necesidades de las operacionales de su negocio – lo cual implica desarrollar un SOC hecho a la medida - y que su conocimiento de las amenazas de seguridad cibernética y cuestiones se encuentren actualizados y alineados con la estrategia de negocio.

Más de la mitad de los encuestados no fueron capaces de responder a la pregunta acerca de lo bien que el SOC se alineó con las necesidades de las operaciones, o declaró que lo desconocen, o que el SOC no interactuó con el negocio.

En el Perú, casi la mitad de los encuestados dice que no cuenta con un SOC y el 12% indica que con personal interno cumplen con todas las funciones del SOC. Sólo el 18% de los encuestados tiene información de que el SOC está cumpliendo con las necesidades de las operaciones del negocio.

Los resultados de nuestro último estudio indican que en el mundo el 42% de las organizaciones encuestadas no tienen un SOC. Para aquellas que sí lo tienen, se identificó que los beneficios de la centralización no se están cumpliendo o no son comunicados ni entendidos por las organizaciones.

Alejandro MagditsSocio de Advisory Services


Existe un similar desconocimiento sobre cómo el SOC se mantiene al día con las últimas amenazas cibernéticas. En el Perú y en el mundo, más del 50% de los encuestados, o bien no podía responder a la pregunta, o no sabía si el SOC se mantenía al día con las últimas amenazas y el tiempo que el SOC tarda para iniciar una investigación sobre un incidente descubierto o alertado.

Antes de que cualquier mejora pueda ser implementada, las organizaciones deben estar mejor informadas sobre lo que hace su SOC.

¿Qué funciones del Centro de Operaciones de Seguridad de Información (SOC) se subcontratan?

No contamos con un Centro de Operaciones de Seguridad de

Información (SOC)

46% 42%

Cumplimos con todas las funciones indicadas en el interior de la empresa

12% 20%

Contamos con vigilancia de la red de datos en tiempo real

41% 26%

Investigación de incidentes 34% 18%

Análisis y evaluación forense 7% 15%

Inteligencia de seguridad de información

17% 20%

Análisis de las amenazas 29% 14%

Simulaciones y pruebas de seguridad para mitigar las amenazas

20% 7%

Análisis y gestión de vulnerabilidades 32% 23%

Pruebas de penetración 20% 32%

Perú Global

37% no cuenta con actualizaciones en tiempo real de los riesgos cibernéticos.

En el Perú y el Mundo


¿Cuánto tiempo en promedio tarda el SOC para iniciar una investigación?

En general, es necesario mejorar la infraestructura tecnológica y los parámetros del SOC. Si se tendría conocimiento de más beneficios del SOC, entonces la capacidad general de una organización para protegerse a sí misma, incluso en las funciones más básicas, empezaría a generar beneficios.

Dentro de 10 minutos 25%

12%

En 1 hora 2%

25%

En 4 horas 7%

13%

En 1 día 15%

13%

Más de 1 día 0%

4%

No se sabe o no se tiene información 51%

33%

Perú Global

Adopte un enfoque dinámico Las organizaciones que han establecido las bases de la seguridad cibernética han emprendido el desafío, pero para mantenerse competitiva, una empresa debe constantemente adaptarse a un entorno empresarial lleno de cambios y a las amenazas de la mano con esos cambios. Como resultado, los requisitos de seguridad cibernética de las organizaciones también deben cambiar –cambios en la infraestructura y su capacidad y utilización de la tecnología hace que aparezcan nuevos riesgos. Si una organización no se adapta, sus bases de seguridad cibernética quedarán obsoletas rápidamente.

22

AdaptarEn este nivel se añade las siguientes características al nivel “Activar”:

1. Seguridad cibernética integradaLa seguridad cibernética es considerada y se relaciona con todo lo que una organización hace: ya sea el desarrollo de un nuevo proceso de negocio, la apertura de una nueva fábrica o la adquisición o introducción de un nuevo producto. Los cambios son inmediatamente evaluados desde una perspectiva de seguridad cibernética y los requisitos cambiantes de la seguridad están integrados en todos los procesos del negocio. Como resultado, la seguridad cibernética es actualizada continuamente.

2. Focalizada en un entorno cambianteUna empresa con un nivel de seguridad de información más avanzado se adapta continuamente a los cambios de su entorno y curso del negocio. Por ejemplo: la digitalización de sus operaciones o el uso de servicios de sistemas de información en la nube (cloud computing) puede introducir nuevos riesgos que la organización no enfrentaba antes. Incrementar el nivel de conciencia de los cambios de negocio permite que la evaluación de riesgos incorpore las modificaciones internas y sea capaz de reaccionar a las amenazas.

3. Proceso dinámico La seguridad cibernética de la organización es flexible, ágil y está bajo constante revisión. Continuamente se adapta para proteger mejor el negocio.


23


Ciclo de mejora

Tomar las riendas• Liderazgo visible desde lo más alto de la organización.

• La alta dirección se hace responsable y todos los líderes de la organización están involucrados.

• Aceptar las decisiones difíciles y establecer un cronograma.

Implementar e innovar• Desarrollar un programa para toda la organización.

• Ser audaces y creativos para transformar las ideas tradicionales y las operaciones.

Difundir• Integrar y alinear la

seguridad cibernética con los principios del negocio y la estrategia.

• Establecer una red en toda la organización para impulsar la integración y facilitar el desempeño del negocio.

• Crear conciencia y confianza, para que todos se sientan responsables en la organización.

Reevaluar continuamente y continuar• Comparar los resultados

contra las métricas establecidas y hacer seguimiento a las mejoras.

• Gestionar riesgos y sus relaciones.

• Desafiar el conocimiento.

• Buscar Asesoría Externa.

• Estar dispuesto a cambiar y a impulsar el cambio.

Ciclo de Mejora Contínua

Ciclo de mejora: el enfoque de adaptabilidadLas organizaciones experimentan cambios constantes. Aquí algunos ejemplos:

• ►La necesidad de integrar nuevas tecnologías (redes sociales, sistemas de información en la nube, datos digitales, big data, etc.) a los procesos de negocio.

• ►El aumento exponencial de dispositivos móviles (BYOD, etc.), desapareciendo los límites entre los negocios y la vida personal.

• ►El crecimiento de la administración de tecnologías y servicios de almacenamiento de información remoto, con mayor dependencia en aplicaciones complejas (muchas almacenadas remotamente).

• ►La integración de la infraestructura de los procesos de control con las áreas de soporte y el ambiente externo.

• ►Entornos y requerimientos regulatorios cambiantes.

Como resultado, las organizaciones deben de hacer frente a un ciclo interminable de nuevas amenazas y desafíos que requieren la adopción de un ciclo continuo de mejoras y re-evaluaciones de la seguridad cibernética. Las organizaciones deben establecer un sistema que les permita gestionar este ciclo de una manera eficiente y eficaz para que se beneficien con nuevas y distintas oportunidades de seguridad, que posibilita la operación del negocio y el ahorro de costos.

En lugar de un aumento en el número de organizaciones que reportaron que su función de Seguridad de Información cumple con las expectativas de su organización, nuestro estudio este año encontró una disminución del 4%.

2013 2014

17% 13%

Este año, se ha identificado una disminución del 5% con respecto a que la función de seguridad cumple parcialmente con las necesidades de la organización.

2013 2014

68% 63%

En el Mundo


Correr hacia atrás para entender la realidadPara superar los delitos cibernéticos, es esencial mantener las medidas de seguridad cibernética 100% alineadas con su negocio. Este reto ha sido prioritario en la agenda de varios años, y las mejoras se han hecho año tras año. Sin embargo, por primera vez en cinco años, las encuestas de seguridad nos muestran que las organizaciones van efectivamente hacia atrás.

Las organizaciones siguen mejorando su seguridad cibernética, pero las amenazas están cambiando a un ritmo aún más rápido. EY anticipó esta tendencia hace dos años*. Esto también indica que las organizaciones son cada vez más concientes de la realidad de las amenazas – ya sea de las noticias o experiencias personales.

Este año nuestra encuesta encontró que:

• ► 13% de los encuestados informa que su función de Seguridad de Información satisface plenamente las necesidades de su organización — esto es por debajo del 17% en 2013**.

• El año pasado, el 68% de los encuestados sintió que la función de Seguridad de Información cumple sólo en parte su función y las mejoras estaban en camino. Esta cifra ha bajado a 63% este año.

Estos resultados demuestran que las organizaciones deben tomar más en serio la seguridad cibernética. Utilizando el ciclo de mejora continua descrito puede ayudar a retomar el camino a sus objetivos.

Nuestra encuesta también exploró qué medidas de seguridad cibernética no están cumpliendo con las necesidades de las organizaciones.

¿Qué enunciado describe mejor la madurez de su programa de detección de brechas?

No tenemos un programa de detección de brechas

2013 12%

2014 16%

*Ver Global Information Security Survey 2012 de EY — Fighting to close the gap (www.ey.com/giss2012)**Ver Global Information Security Survey 2013 de EY — Under cyber attack (www.ey.com/giss2013)


Cómo realizar mejoras significativas ¿Cuáles son las áreas que necesitan atención adicional?, ¿Qué acciones rápidas y sencillas producen resultados que permiten a las organizaciones progresar fácilmente?. Aquí hay cuatro áreas de mejora (aplicable para la mayoría de las organizaciones):

1. Mejora del Centro de Operaciones de Seguridad (SOC)

Un SOC que funcione de manera adecuada es un activo importante para superar la delincuencia cibernética. Si existe una unidad de seguridad en la organización que debe ser conciente de las amenazas más recientes, es el SOC. En términos generales, en el mundo sólo un tercio de los encuestados consideró que su SOC se mantenía al día con las últimas amenazas - éste es un resultado alarmante.

Una de las causas fundamentales es que – en muchos casos – los SOC están excesivamente enfocados en la tecnología. Aunque las características de la tecnología son importantes (lo que puede ser medido y monitoreado), el punto de partida debe ser la empresa (lo que hay que medir y monitorear).

La interacción con el negocio es clave. En el Perú, el 25% de los encuestados nos dice que no hay interacción entre el SOC y el negocio -22% a nivel global- y un 58% más que no sabía de qué se trataba (36% a nivel global). ¿Cómo puede el SOC enfocarse en los riesgos clave (y riesgos cambiantes) si la empresa no está relacionada con el SOC de manera regular?

2. Crear un equipo de seguridad cibernética

Consolidar enfoques y actividades de seguridad cibernética alrededor de un equipo único y centralizando en éste el conocimiento, va a permitir a las organizaciones ser capaces de adaptarse de manera más fácil a las nuevas amenazas. Este equipo puede ser organizado de forma centralizada o distribuida a través de funciones/fronteras, dependiendo del tamaño y las necesidades de la organización.

Este equipo también debe centrarse en el entrenamiento, desarrollo de habilidades y concientizar a la organización y hacer que la práctica de seguridad de información sea parte de la vida diaria de todos los empleados – los miembros de este equipo deben actuar como embajadores que practican lo que predican.

3. Establecer compromiso

Una mejor comunicación y medición del desempeño son claves para lograr cambios de comportamiento. Si los empleados entienden que sus propios empleos están bajo amenaza, que la seguridad de la organización se encuentra amenazada y que la seguridad cibernética es un factor de evaluación de desempeño, se alentaría a un cambio permanente en la conciencia y la conducta de los empleados. Insertar los comportamientos requeridos en los contratos de los empleados –especialmente para los que tienen acceso a información crítica– e incluirlo en sus evaluaciones de desempeño ayudaría a incrementar el compromiso. Las violaciones a los protocolos de seguridad de información (incluso si no hubiera consecuencias significativas) deben tomarse en serio.

En el Mundo

En el Perú

55%de las organizaciones no incluye seguridad de información en las evaluaciones de desempeño de los empleados.

68%de las organizaciones no incluye seguridad de información en las evaluaciones de desempeño de los empleados.


Además de informar a los empleados sobre las amenazas cibernéticas, se debe encontrar maneras de hacer de ellos los “ojos y oídos” de la organización, asegurando que exista un claro procedimiento de reporte para escapar de actividades sospechosas que todos los empleados en la organización puedan aplicar. En nuestra encuesta, en el Perú, las áreas de seguridad de información que tendrían una prioridad “baja” de atención en los próximos 12 meses serían las actividades forenses de fraude y las redes sociales. Sin embargo, estas áreas pueden ser la primera manera de detectar que la organización está en riesgo de un ataque.

4. Ir más allá de las fronteras

Con un ciclo de transformación establecido, las organizaciones pueden empezar a mirar más allá de sus propias fronteras y comenzar a evaluar el impacto de un ataque cibernético en sus socios comerciales, proveedores, vendedores – una comunidad que puede ser descrita como su “ecosistema de negocios”. Su propia transformación efectiva habrá revelado prácticas líderes y ahora estas prácticas pueden ser comunicadas a este ecosistema, de modo que sus proveedores y vendedores puedan ser obligados contractualmente a cumplir estas prácticas.

Tomar medidas para mejorar y transformarSi su organización se encuentra entre los niveles de “Activar” y “Adaptar”, aquí se tienen cinco pasos que se deben considerar con urgencia:

1. Definir qué realizar en casa y qué tercerizar. Por ejemplo, decidir si se quedan con un equipo único en su propio

SOC proporcionando capacidad completa interna, o tercerizar a un proveedor de servicios de seguridad (MSSP), o pasar a un modelo mixto.

2. Diseñar e implementar un programa de transformación. Apoyar una medida de mejora en la madurez de la seguridad

cibernética, por encima del nivel básico donde los proyectos de seguridad sean entregados por separado, poco a poco. Obtenga ayuda externa en el diseño del programa y en proporcionar la gestión del programa.

3. Definir una matriz de asignación de responsabilidades (RACI) para seguridad cibernética.

4. Definir el ecosistema de la organización. Considerar el impacto en cadena de fallas de seguridad en las

terceras partes del ecosistema y ejecutar acciones para eliminar o disminuir potenciales brechas de seguridad en su interacción con ellos.

5. Incluir entrenamientos de Concientización de Seguridad Cibernética para los empleados.

Realizar un análisis de madurez, definir un nivel objetivo de madurez y analizar las brechas. Desarrollar e implementar un plan de capacitación para el personal (incluyendo a los contratistas).

Manténgase siempre preparado Hoy en día existen muchos aspectos que una organización puede realizar para responder a las nuevas amenazas que surgen diariamente. Pero una organización que sólo reacciona cuando las amenazas se han concretado, puede descubrir que ha actuado demasiado tarde.

La única manera de estar preparado en este entorno complejo y dinámico es entender los futuros desafíos, adoptar la seguridad cibernética como un aspecto básico del negocio y como una capacidad fundamental para sobrevivir y prosperar. Alcanzar y mantenerse exitoso es un eterno camino, y el implementar y mantener un programa de seguridad cibernética es parte del mismo.

Las organizaciones deben pasar de estar en un estado de “Preparación” a un estado de “Anticipación” para que puedan ser capaces de preveer lo que es probable que suceda y responder apropiadamente. Para lograr esto hay que dejar de lado la mentalidad de “víctima” y la sensación perpetua de permanecer siempre en un estado de “incertidumbre” acerca de las amenazas cibernéticas que son desconocidas, dejando a la organización abierta a sorpresas desagradables y perjudiciales.

Esto significa que las organizaciones deben crear conciencia y desarrollar capacidades avanzadas, desarrollar estrategias convincentes e instalar componentes de seguridad en el negocio, es decir promover la confianza en la habilidad de hacer frente a los ataques cibernéticos en todas las áreas de negocio.

28

AnticiparPara que una organización se encuentre en nivel “Anticipar”, se deben cumplir las siguientes características:

1. Seguridad cibernética predictiva• Esté alerta, listo para actuar y responder rápidamente, de forma

equilibrada. El liderazgo acepta las amenazas y riesgos cibernéticos como un asunto propio del negocio, y la seguridad cibernética es parte de un proceso dinámico de toma de decisiones. Esto permite que los mecanismos de acción preventiva y respuesta actúen sin tropiezos y rápidamente.

• Conozca sus “joyas de la corona”. La organización no puede estar preparada para responder a ataques si no conoce cuáles son los activos más valiosos para su negocio. Se debe priorizar los activos y entender el impacto que ocasionaría si son penetrados, comprometidos o deshabilitados en cualquier sentido.

2. Focalizada en el entorno futuro• Conocer su entorno, interno y externo. Tomar conciencia de

la situación es crítico para entender el panorama global de la amenaza y cómo se relaciona con la organización. La investigación y análisis de información (inteligencia) de amenazas cibernéticas puede dar este conocimiento – incorpora fuentes de riesgo externas e internas y cubre tanto el presente como el futuro, mientras aprende del pasado.

• Aprender y evolucionar constantemente. Nada es estático – ni los piratas cibernéticos, ni la organización ni ninguna parte de su entorno operativo – por lo tanto el ciclo de mejora continua prevalece. Conviértase en una organización que aprende: estudie la información (incluso la data forense); mantenga y explore nuevas relaciones colaborativas; actualice la estrategia regularmente y mantenga su seguridad cibernética en constante evolución.

3. Proceso proactivo • Confíe en sus mecanismos de respuesta a incidentes y crisis.

Organizaciones que se encuentran en un estado de anticipación regularmente ensayan sus respuestas a incidentes. Esto incluye juegos de guerra y ejercicios hipotéticos, para simular escenarios complejos que pongan a prueba las capacidades de la organización.


29


Activos Valiosos

1. ¿Usted conoce lo que tiene que otros pueden querer?

2. ¿Usted entiende cómo el crecimiento en su negocio puede haber hecho que sus activos sean más vulnerables?

3. ¿Usted conoce cómo estos activos pudieron ser accedidos o los servicios interrumpidos?

4. ¿Usted sabría si ha sido atacado y si se han comprimido activos?

5. ¿Tiene un plan para reaccionar ante un ataque y reducir al mínimo el daño causado?

Propiedadintelectual

Informacióndel personal

Informaciónfinanciera

Informaciónde negocios

En las siguientes páginas se describe lo que una organización puede hacer para adelantarse y se encuentre preparada para responder “sí” a todas las preguntas anteriores.

Prepárese para anticiparUna organización en estado de “Anticipar” tiene un punto de vista totalmente diferente; ve el mundo en forma diferente y responde en una forma que los criminales cibernéticos no esperarían. Requiere comportamientos reflexivos, considerados y colaborativos. Las organizaciones aprenden, se preparan y ensayan. Ninguna organización o gobierno puede predecir o prever todos (o siquiera la mayoría) de los ataques; pero puede disminuir el grado en que es atractiva como objetivo, incrementar su resistencia y limitar el daño de un potencial ataque.

Aprender a permanecer siempre a la vanguardia es retador y toma tiempo, pero los beneficios para la organización son considerables. La organización será capaz de explotar las oportunidades ofrecidas por el mundo digital, minimizando su exposición a riesgos y el costo de lidiar con ellos.

Para empezar, una organización y sus líderes deben saber las respuestas a todas estas preguntas para tener seguridad. Si alguna de estas respuestas es “no”, es ahí donde se deben enfocar y los cambios deben realizarse.

Ser atacado es inevitable, ¿cuán preparado se encuentra usted? Puede responder “Sí” a estas cinco preguntas:

53%dice que es improbable o poco probable que su organización sea capaz de detectar un ataque sofisticado.

71%de los encuestados ve un incremento de riesgo en amenazas externas.

56%dice que es improbable o poco probable que su organización sea capaz de detectar un ataque sofisticado.

67%de los encuestados ve un incremento de riesgo en amenazas externas.

En el Mundo

En el Mundo

En el Perú

En el Perú

En aumento Sin cambios Disminuyendo


¿Cómo el entorno de riesgos de seguridad de información, en el cual opera, ha cambiado en los últimos 12 meses?

Observo que las amenazas están 71% 9% 20%

Observo que las vulnerabilidades están 49% 14% 37%

Entienda las amenazas de su entorno y establezca la detección tempranaLos estudios globales de crímenes cibernéticos revelan que casi todas las compañías han sufrido de algún tipo de violación a su seguridad de información, y en algunos casos, no están al tanto de las mismas. Así mismo, el riesgo de un ataque cibernético está en aumento pues los hackers se han vuelto más sofisticados, ágiles y más preparados. Nuestro estudio lo indica así: en el mundo, el 56% de las organizaciones y el 53% en el Perú, indican que es “improbable o “muy improbable” que su organización sea capaz de detectar un ataque sofisticado.

El potencial de que los crímines cibernéticos golpeen fuertemente, nunca ha sido tan alto. Las amenazas crecientes y complejas por adversarios externos o internos se exacerban por las brechas sistémicas. Se necesita un nuevo enfoque total para entender la seguridad cibernética organizacional para estar un paso adelante de los atacantes.

Los negocios en todos los sectores y geografías dependen de manera creciente de sistemas de información y en las tecnologías que los soportan. Sin embargo, cada avance tecnológico está tan lleno de peligros como de ventajas.

La seguridad de información está cambiando rápidamente a un ritmo acelerado. Los hackers son cada vez más implacables, por lo que la respuesta a los incidentes de seguridad de información se convierte en un desafío cada vez más complejo. De acuerdo con los resultados de la encuesta, en el mundo, el 67% de las organizaciones ven un incremento de riesgo en amenazas externas y el 53% reportan un incremento en vulnerabilidades internas en los últimos 12 meses. En el Perú, el 71% de los encuestados ve un incremento de riesgo en amenazas externas y el 49% reporta un incremento en vulnerabilidades internas en los últimos 12 meses.

49%de los encuestados no cuenta con un programa de inteligencia ante amenazas cibernéticas.

36%de los encuestados no cuenta con un programa de inteligencia ante amenazas cibernéticas.

En el Mundo

En el Perú


No es suficiente saber dónde están las amenazas. La organización necesita entender la naturaleza de éstas y cómo (y dónde) éstas podrían manifestarse, y evaluar cuál sería el impacto. Una alerta temprana y detección de intrusiones es clave para estar en estado de alerta. En todo caso, la mayoría de organizaciones son capaces de detectar sólo ataques simples, lo cual significa que podría no saber que ya han sido infiltrados por un ataque más sofisticado y no podrá ser capaz de detectar ataques futuros de esa naturaleza.

Incorporar o establecer un programa de investigación y análisis de información (programa de inteligencia) ante amenazas cibernéticas, puede ayudar a mantener a la organización adelante del crimen cibernético. A nivel táctico, esta capacidad se delegará al SOC, pero el alcance de esta función se extenderá al nivel estratégico y a la alta dirección si se efectúa bien.

Aún entre las organizaciones que si entienden la verdadera naturaleza de las amenazas que podrían causarles más daño, no se han implementado respuestas adecuadas. En el mundo, el 36% de las organizaciones indica que no cuenta con un programa de inteligencia de amenazas y el 32% indica que sólo cuenta con un programa informal al respecto. En el Perú, casi la mitad de los encuestados (49%) informa que no tiene ningún programa de inteligencia de amenazas para detectar de dónde provienen los ataques cibernéticos. Poco menos de un tercio (27 %) tiene sólo un programa informal al respecto.

Las preguntas más comunes que nos hacemos:

• ¿Qué es lo que está sucediendo afuera, de lo cual la organización pueda aprender?

• ¿Cómo evitar que la organización sea un blanco habitual?

• ¿Cómo están lidiando otras organizaciones contra amenazas y ataques específicos?

• ¿Cómo la organización puede ayudar a otros contra estos ataques y amenazas?

• ¿La organización entiende la diferencia entre un ataque dirigido y uno aleatorio?

• ¿Qué amenazas son relevantes?

Todas estas preguntas pueden ser respondidas mediante inteligencia de ataques cibernéticos, pero nuestra encuesta indica que pocas organizaciones tienen idea de lo que es y puede ofrecer.

27%de los encuestados indica que no cuenta con un programa de identificación de vulnerabilidades en su organización.

25%de los encuestados indicó que no contaba con un programa para identificar vulnerabilidades.

En el Mundo

En el Perú


No tenemos un programa de inteligencia ante amenazas cibernéticas

Tenemos un programa de inteligencia ante amenazas cibernéticas informal que incorpora

información de terceros de confianza y listas de distribución por correo electrónico

Tenemos un programa de inteligencia ante amenazas cibernéticas formal que incluye una

suscripción para la recepción de información de amenazas de proveedores externos y fuentes

internas, así como una herramienta de gestión de incidentes y eventos de seguridad

Tenemos un equipo de inteligencia ante amenazas cibernéticas que se alimenta

reuniendo amenazas externas e internas e información de vulnerabilidad para analizar la

credibilidad y relevancia en nuestro entorno

Tenemos una función de inteligencia ante amenazas cibernéticas avanzada que se alimenta

de amenazas internas y externas, analistas dedicados a la inteligencia y asesores externos que evalúan la información para la credibilidad, la relevancia y la exposición contra los ataques

cibernéticos

49%

27%

12%

12%

10%

0%

17%

36%

32%

¿Qué afirmación describe mejor la madurez de su programa de inteligencia ante amenazas cibernéticas?

5%

El programa de inteligencia es más que sólo recolectar información de datos. El ciclo comprende una secuencia de actividades:

1. Determinar las necesidades del programa de inteligencia ¿De qué necesita estar al tanto la organización? ¿Dónde están las brechas

de información?

2. Recolectar información Existen varias fuentes de información pública disponibles con

información externa, y hay muchas fuentes de datos en los sistemas propios de la compañía.

3. Analizar y evaluar la información recolectada para emitir un informe de inteligencia

Esto puede ser tercerizado o elaborado internamente. Un entendimiento del negocio es crucial para que una evaluación sea significativa.

4. Distribuir y comunicar el reporte


5. Tomar acciones apropiadas

Para que el programa de inteligencia ante amenazas cibernéticas sea efectivo, deberá ser ejecutado rápidamente. Algunas actividades pueden ser automatizadas y las técnicas, herramientas y servicios deben estar disponibles para ésto. Otros elementos no pueden ser automatizados y van a requerir intervención humana. Existe una variedad de servicios de inteligencia ante amenazas cibernéticas disponibles y estos deben ser evaluados específicamente para los requerimientos, necesidades y madurez de la organización. Sin embargo, la falla de muchos de estos servicios es que inundan a la organización con información que no es significativa o accionable, y usualmente terminan siendo ignorados.

El programa de inteligencia ante amenazas cibernéticas también puede llegar a ser muy útil al momento de crear valor en la gestión de riesgos, al identificar las potenciales deficiencias de la red actual y ecosistema, lo cual debe dar lugar a cambios en el proceso que permitan a la organización ser más ágil: las decisiones se tomarían más rápido; los datos serían protegidos; las brechas serían descubiertas, priorizadas y mitigadas. Un programa de inteligencia ante amenazas cibernéticas sólido puede ser desplegado posteriormente con un buen programa de métricas, normalmente vinculado al programa de Big Data de la compañía.

Tome una visión del pasado, presente y futuroLos objetivos de la organización necesitan acompañar los esfuerzos en el futuro, así como aprender del pasado y estar preparados para el presente. Las organizaciones deben estar informadas de nuevas /diferentes tendencias en tipos de ataque y en los métodos, herramientas y técnicas para lidiar con ellos. Es vital estar informados acerca de tecnologías emergentes, y seguir explorando las oportunidades de explotarlas en beneficio del negocio, manteniendo la vista en los nuevos riesgos y debilidades que puedan introducir. Nuestra última encuesta de seguridad de información muestra que la mayoría de organizaciones aún están preocupadas y focalizadas con su actual estado y no ven hacia el futuro.

En el Perú


Plan de la continuidad del negocio y plan de recuperación ante desastres

Sistemas de información en la nube (cloudcomputing)

Prevención de pérdida y/o fuga de la información

Soporte forense

Prevención de fraude

Gestión de identidad y acceso de usuarios

Capacidad de respuesta ante incidentes

Rediseño del plan de seguridad de la información

Riesgos y amenazas internas

Propiedad intelectual

Integración de la seguridad TI y operaciones tecnológicas

Tecnologías móviles

Tercerización de las actividades de seguridad

Medidas de privacidad

Administración de accesos privilegiados

Seguridad en tecnologías emergentes (ej. computación en la nube, virtualización, computación móvil)

Rediseño de la arquitectura de seguridad

Concientización y capacitación en seguridad

Administración de los incidentes y eventos de seguridad y la Unidad Centralizada de Seguridad de la Información

Seguridad en las operaciones (ej. cifrado, gestión de parches de seguridad, antivirus)

Pruebas de seguridad (ej. ataques, penetración)

Redes sociales

Gestión de riesgos de terceras partes

Gestión de amenazas y vulnerabilidad

Invertir más Mantener la inversión Invertir menos

En comparación con el año anterior, ¿planea su organización hacer una mayor, menor o igual inversión el próximo año sobre las siguientes actividades?

24%

2%

32%

51%

22%

15%

20%

17%

29%

12%

22%

29%

24%

24%

2%

2%

56%

85%

61%

39%

61%

73%

63%

66%

51%

46%

70%

63%

52%

54%

90%

71%

46% 44% 10%

12% 86% 2%

32% 68% 0%

37% 46% 17%

20% 56% 24%

31% 49% 20%

27% 44% 29%

20%

13%

7%

10%

17%

12%

17%

17%

20%

42%

8%

8%

24%

22%

8%

27%

85% 12%3%

Compañía1

Compañía2

Colaboración

Amen

aza

inte

rna

Compe

tidor

es d

e la

indu

stri

a

Opor

tuni

stas

Amenaz

as a

simét

ricas

Crim

inales

cibe

rnét

icos

P

irater

ía cib

erné

tica

Economía global y local

Eventos globales

Am

enaza internaCom

petidores de la industria

Oportunistas

Amenazas asim

étricasCrim

inales cibernéticos

Piratería cibernética

Clima

Plataformas para compartir información y servicios de inteligencia existen en varias formas (específicos de la industria, entre industrias, gubernamentales o entidades independientes con presencia gubernamental, etc.); gobiernos y grandes organizaciones han empezado a tomar un rol clave en establecer las políticas y prácticas marco para soportar el desarrollo de ecosistemas cibernéticos resistentes, por ejemplo, el Cyber Resilience Review (CRR) de US-CERT y la iniciativa Partnering for Cyber Resilience (PCR) del Foro Económico Mundial. Estos foros agregarán información crítica a la organización y proveerán pistas estratégicas sobre los posibles actores en futuros escenarios, técnicas de mitigación, contexto de la industria y acciones del gobierno.

La colaboración también le brinda a la organización una mayor conciencia de sus socios y cadena de suministros, y la habilidad de influenciar y aprender de todo el ecosistema. Organizaciones más grandes necesitan entender que su seguridad cibernética es normalmente más madura que la de algunos de sus proveedores; por lo cual, el compartir el conocimiento sobre seguridad, o coordinar las actividades de seguridad cibernética con proveedores, puede ser mucho más efectivo que permitir que recorran el camino solos.


Involucrarse y colaborarLa colaboración es necesaria en el nivel “Anticipar”. Todas las organizaciones (e individuos) enfrentan estos retos y, mientras las capacidades maduran, las organizaciones aprenden que la colaboración rinde frutos, especialmente si se hace en forma orientada. El compartir información a través del ecosistema de un negocio en un grupo grande (ya sea en un entorno ad-hoc, semi-formal o formal moderado), es el ingrediente secreto para las organizaciones que tienen el mayor éxito entendiendo, enfocando y mitigando intrusiones en sus redes.

Una solución compartida ajusta las capas de seguridad alrededor del ecosistema. Sin embargo, requiere que la organización desarrolle un “modelo de confianza”, basado en autenticación, acuerdos de seguridad, etc. Cualquier ejercicio de respuesta a incidentes deberá incluir terceras partes y otros jugadores en un mayor ecosistema ¿Estamos realmente protegidos?.

Del total de encuestados en el mundo, el 27% de los encuestados indican que se realiza una evaluación de riesgos periódica a sus socios externos con la finalidad de identificar cómo están protegiendo la información de su organización. En el Perú, sólo el 5% realiza esa evaluación a sus socios externos.

5%indica que se realiza una evaluación de riesgos a sus socios externos.

27%de los encuestados indica que se realiza una evaluación de riesgos periódica a sus socios externos sobre cómo protegen la información de la organización.

En el Mundo

En el Perú


¿Cómo se asegura que sus socios externos, proveedores o contratistas están protegiendo la información de su organización?

Evaluaciones realizadas por el área de seguridad de información, área de riesgos, o por la función de auditoría interna de su organización (ej. cuestionarios, visitas de

campo, pruebas de seguridad)

A todos los socios externos se les realiza una evaluación de riesgos y se les efectúa

una revisión periódica

Se mantiene y actualiza periódicamente un inventario de todos los proveedores que

brindan servicios a la organización y que tienen una conexión con la red de datos de la organización y realiza una transferencia

de datos

Evaluaciones externas independientes de los socios externos, proveedores o contratistas (ej. SSAE 16, ISAE-3402)

Autoevaluaciones u otras certificaciones realizadas a los socios externos,

proveedores o contratistas

Sólo son evaluados los proveedores o contratistas críticos o de alto riesgo

Los proveedores de sub-servicios (o cuartas partes) son identificados y evaluados por medio de cuestionarios relacionados a la

evaluación de procesos

No se realizan revisiones

Perú Global

54%24%

15%13%

17%8%

10%34%

5%27%

27%22%

27%29%

54%56%

83%de las organizaciones no tiene una función que se focalice en el análisis y evaluación de tecnologías emergentes y su impacto en su organización.

58%de las organizaciones no tiene una función que se focalice en el análisis y evaluación de tecnologías emergentes y su impacto en su organización.

En el Mundo

En el Perú


Los líderes se están dando cuenta de que es tiempo para un replanteamiento de cómo la seguridad cibernética es entendida y de cómo está posicionada dentro de las organizaciones. La seguridad cibernética no debería ser vista como un freno a la tecnología emergente y estrategias de salida al mercado, pues cuando se realizan de la manera correcta proporcionan una ventaja competitiva. Sin embargo, nuestra encuesta 2014, muestra que la mayoría de organizaciones todavía están preocupadas por su estado actual y no están mirando hacia futuro. En el mundo, en el 42% de las organizaciones, la función de seguridad de la información se centra en el análisis y evaluación de tecnologías emergentes y en su impacto. En el Perú, el 17% de los encuestados manifestó que se centran en el análisis y evaluación de las tecnologías emergentes y su impacto.

Economía cibernéticaLas organizaciones usan estas cuatro preguntas para evaluar el impacto de un ataque cibernético, para entender su impacto en los resultados, en su marca y su reputación.

• ¿Cómo el valor de las acciones se verá afectado?

• ¿Serán afectos nuestros compradores?

• ¿Se traducirá en ingresos menores?

• ¿Cuáles serán los costos de reparar el daño a todos los sistemas internos y/o reemplazar los equipos (hardware), debido a que la organización no estaba preparada para un ataque?

Las técnicas de economía cibernética están siendo desarrolladas para ayudar a las organizaciones a convertir estas preguntas en números tangibles.

¿Cuenta usted con un rol o función en el área de seguridad de la información que se focalice en el análisis y evaluación de tecnologías emergentes y en el impacto de las mismas en la seguridad de información de su organización?

Global Perú

Sí 17%Sí 42%

No20%

No39%

No, pero planeo implementarlo19%

No, pero planeo implementarlo63%

7%afirma tener un robusto programa de respuesta a incidentes que incluye a terceros y se integra con su función de amenazas y vulnerabilidades.

6%afirma tener un robusto programa de respuesta a incidentes que incluye a terceros y se integra con su función de amenazas y vulnerabilidades.

En el Mundo

En el Perú


Llevar a cabo diferentes escenarios de acción¿Su organización está segura de que todos saben qué hacer en caso de que un ataque cibernético se lleve a cabo? Si no es así, entonces el daño del ataque será mucho mayor de lo esperado.

Un pobre manejo de incidentes ha llevado a fuertes impactos en muchas compañías. Una vez que una intrusión es detectada, teniendo conocimiento de los activos críticos y ramificaciones asociadas, la organización podrá poner en acción los mecanismos adecuados. Los stakeholders, compradores, empleados, reguladores — todos estos actores juegan una parte en determinar qué tan bien la organización maneja un ataque cibernético.

Estar en un estado de alerta requiere que la organización ensaye diferentes escenarios de acción. Por lo menos una vez al año, la organización debería ensayar sus mecanismos de respuesta a crisis mediante complejos escenarios de ataques cibernéticos. Diferentes servicios están disponibles para ayudar a la organización a ensayar en forma realista pero segura. Será difícil pero las lecciones aprendidas serán invaluables. Algunos reguladores en los distintos países, ahora requieren que ciertos escenarios se realicen y los resultados sean reportados.

EY está trabajando con muchas compañías que desarrollan simulaciones de seguridad cibernética para alentar a las jefaturas a pensar de forma más amplia y seria sobre futuras amenazas y oportunidades, ayudándoles a moverse en la dirección adecuada para “Anticipar”.



Tomar acción y adelantarseSi su organización está lista para moverse al nivel de “Anticipar”, hay 5 acciones vitales que sugerimos se lleven a cabo:

1. Diseñar e implementar una estrategia de inteligencia.El área de Seguridad de Información debe trabajar con el Directorio para ayudarle a entender cómo usar el servicio o programa de inteligencia ante amenazas cibernéticas y así apoyar decisiones de negocio estratégicas y apalancar la seguridad cibernética.

2. Definir y dirigir el ecosistema extendido de seguridad cibernética. Trabajar con otros en el ecosistema extendido de la organización, para definir la matriz de asignación de responsabilidades (RACI) de seguridad de información y modelos de confianza para coordinar la cooperación, compartiendo capacidades y ventajas.

3. Asumir un enfoque de economía cibernética.Entender cuáles son los activos cibernéticos más importantes y su valor para los criminales cibernéticos, luego reevaluar los planes para invertir en seguridad.

4. Usar el análisis de datos forenses y el programa de inteligencia ante amenazas cibernéticas.Tomar ventaja de las últimas herramientas técnicas para analizar de dónde vienen las más probables amenazas y cuándo podrían ocurrir, incrementando la habilidad para combatirlas.

5. Asegurar que todos entiendan qué está pasando.Una buena comunicación y adecuados controles mantendrán al tanto a los empleados y seguirán actuando como los ojos y oídos de la organización.

ActivarEl escenario: Esta compañía sufrió de una significativa intrusión en la información de sus clientes. El anuncio fue publicitado primero por una fuente externa y en última instancia confirmado por la compañía. La compañía respondió rápidamente, confirmando la intrusión en sus sistemas al público e informando que habían identificado y resuelto el problema, con un mínimo impacto.

Sin embargo, una semana después, la misma fuente externa declaró que el daño había sido significantemente mayor a lo informado por la compañía, y millones de detalles de tarjetas de crédito habían sido robados. La compañía aceptó este hecho como cierto. La fuente hizo más descubrimientos, y después de muchas idas y vueltas en los medios por varias semanas se descubrió que el número de registros perdidos fue más de 10 veces el número originalmente citado y que existía evidencia de que la intrusión estaba aún en actividad y no había sido resuelta.

Finanzas: La historia resonó en los medios por dos meses, justo antes de la época más complicada del año. Perdieron muchos clientes, pero el mayor costo fue una pérdida porcentual de dos dígitos en el precio de las acciones y la utilidad. Eventualmente el costo total de la intrusión se espera iba a ser arriba del 5% de la utilidad total.

Operacional: La compañía desperdició muchos meses de esfuerzo enfocándose en responder y manejar la crisis mediática en lugar de arreglar el problema. Tuvo que identificar y proveer servicios de monitoreo de crédito, trabajar con bancos y compradores para apaciguar sus preocupaciones y finalmente tratar de restaurar la confianza del público.

Personal: Esto llevó al despido y renuncia de muchos ejecutivos y líderes en toda la organización, incluyendo el CEO y el CIO.


Una organización, tres historiasLíneas abajo se encuentra una historia familiar, dicha en tres diferentes formas. Si bien es un ejemplo ficticio, las reacciones, impactos y eventos están basados en nuestras experiencias con clientes y los eventos que se desenvolvieron durante este tiempo. Compañías en los diferentes niveles, “Activar”, “Adaptar” o “Anticipar” identificarán, reaccionarán, responderán y se recuperarán de estos incidentes en diferentes formas. Evaluaremos los impactos en ellos:

1. Financieramente | 2. Operacionalmente | 3. Personalmente

Nuestro caso de estudio incluye tres versiones (“Activar”, “Adaptar”, “Anticipar”) de una gran compañía de telecomunicaciones (>US$12b en utilidades) con una gran operación de venta al por menor (>400 puntos y centros de venta) y una interacción directa con sus clientes, tanto en persona como on-line. Ellos sufrieron una intrusión en la data de sus usuarios y observaremos sus diferentes experiencias.

AdaptarEl escenario: Esta compañía sufrió una significativa intrusión de la información de sus clientes. El anuncio fue publicitado primero por una fuente externa y en última instancia confirmado por la compañía, pero la compañía no comentó nada durante casi una semana. La empresa dió una respuesta medida, confirmando la intrusión, que ellos habían ubicado el problema y estaban esperando la conclusión de la investigación para confirmar la extensión del problema. Dos semanas después anunciaron públicamente y confirmaron la pérdida total. Estando seguros de haber identificado el origen de la intrusión, pusieron en práctica controles para mitigar el problema mientras trabajaban en la solución permanente.

Finanzas: Este incidente generó tres historias en los medios, pero entraron y salieron de los medios rápidamente. Si bien la intrusión fue grave, la compañía no experimentó gran queja de parte de los consumidores. Se brindó monitoreo crediticio e introdujeron ofertas especiales para tener de vuelta a los compradores en las tiendas, con cierto costo. En el lapso de tres meses recuperaron los niveles de utilidad previa a la intrusión, precio de acciones y operaciones.

Operacional: Esta historia salió de los medios en un mes. La compañía puso más tiempo y esfuerzo en arreglar el problema en lugar de responder a la presión de los medios. Tuvieron que trabajar con los bancos, marcas y compradores y sus esfuerzos se centraron en el soporte al negocio.

Personal: Durante este difícil episodio, la compañía mostró un sólido liderazgo durante la crisis, y mantuvo la confianza de compradores, accionistas y el directorio.

AnticiparEl escenario: Esta compañía sufrió una intrusión significativa a la información de sus clientes. En los meses previos al ataque, la compañía trabajó con sus pares, la ley y sus equipos internos de inteligencia de amenazas recolectando actividad de atacantes e identificando los riesgos hacia la compañía. También analizaron otras intrusiones en su sector. Como resultado, fueron capaces de desarrollar controles de protección y segregación, y crearon escenarios de ataque cibernéticos y ejercicios de respuesta. Finalmente no fueron capaces de detener el ataque, pero no fue expuesta información personal o financiera sensible, tampoco se perdió información debido a que los datos habían sido almacenados de manera separada y protegida bajo diferentes controles. Gracias al monitoreo adicional, la intrusión fue detectada primero internamente. Poco tiempo después del incidente, la compañía declaró públicamente acerca del suceso y cómo había sido manejado.

Finanzas: Mientras que el costo de recuperarse de la intrusión fue significativo, el impacto en las acciones, quejas del consumidor y exposición a los medios fue mínimo o nulo. El costo se limitó a la investigación y actividades de saneamiento. La compañía fue capaz de controlar la atención de los medios con suficiente seguridad como para no tener que ofrecer un servicio de monitoreo de crédito, lo cual es una respuesta usual en estos casos. Solo esta actividad ahorró por lo menos US$350m en costo potencial de respuesta y fortaleció la confianza de los compradores.

Operacional: No hubo prácticamente presencia de los medios más allá de la declaración realizada por la misma compañía, por lo cual pudieron enfocarse en volver a los negocios en forma usual. El costo de la investigación y saneamiento se convirtió en costo operacional adicional, por lo cual la investigación de la intrusión no afectó negativamente sus procesos ni debilitó sus defensas – un error frecuente que crea un efecto aftershock, que puede causar subsecuentes intrusiones.

Personal: No hubo despidos ni renuncias, y hay evidencia de confianza renovada en sus ejecutivos.


Sumario

En dónde están las organizaciones en este momentoLos riesgos están creciendo y cambiando rápidamente. Todos los días, criminales cibernéticos trabajan en nuevas técnicas para filtrarse en las organizaciones, incluyendo la suya. Lo hacen al nivel de poder causar daños, acceder a data sensible y robar propiedad intelectual. Todos los días sus ataques se vuelven más sofisticados y difíciles de vencer.

Debido a este nivel de desarrollo en curso, no podemos predecir exactamente qué tipos de amenaza emergerán el próximo año, o en 5 ó 10 años. Sólo podemos decir que estas amenazas serán más peligrosas que las de hoy en día. También podemos estar seguros de que mientras viejas fuentes de amenazas cibernéticas se desvanecen, nuevas emergen para tomar su lugar. A pesar de esta incertidumbre — de hecho, debido a ella — la organización debe ser clara acerca del tipo de seguridad cibernética que necesita.

Qué necesitan hacer las organizacionesPara tener una buena seguridad cibernética, el primer paso es tener los fundamentos correctos. Dada la gran atención que recientes ataques cibernéticos han recibido, nadie puede decir que no conoce los peligros; por lo tanto, hay pocas excusas para las organizaciones que aún no han establecido la seguridad cibernética básica en sus sistemas y procesos.

Una vez que los fundamentos han sido dominados, la siguiente etapa es hacer la seguridad cibernética más dinámica y más alineada e integrada a los procesos clave del negocio. Sin tomar este paso crucial, las organizaciones permanecen vulnerables — particularmente cuando ellas, el entorno y las amenazas cibernéticas que enfrentan cambian.

Y entonces viene la oportunidad real: la oportunidad de estar delante del crimen cibernético. Enfocando la seguridad cibernética en lo desconocido – el futuro y el más amplio ecosistema de su negocio — usted puede empezar a construir capacidades antes de necesitarlas y empezar a prepararse para las amenazas antes de que aparezcan.


¿Qué es? Elementos para construir el sistema de seguridad cibernética Estado

Anticipar se trata de buscar en lo desconocido. Basado en la inteligencia ante amenazas cibernéticas, se identifican hackeos potenciales, se toman medidas antes que se produzca ningún daño.

Anticipar es un nivel emergente. Más de una organización está usando programas de inteligencia ante las amenazas para estar un paso adelante del delito cibernético. Es una innovación adicional a lo expuesto más abajo.

Adaptar se trata de cambiar. Los sistemas de seguridad cibernética cambian cuando cambia el entorno. Se enfoca en proteger el negocio de mañana.

Adaptar no está implementado ampliamente todavía. No es una práctica común que las organizaciones evalúen las implicancias en la seguridad cibernética cada vez que existen cambios en el negocio.

Activar establece una base. Es un conjunto de medidas complejas de seguridad cibernética enfocadas en proteger el negocio como está actualmente.

Activar es parte de un tema de seguridad cibernética de cada empresa. No todas las medidas necesarias se han tomado ya; existen varias actividades todavía por nacer.

Activar

Adaptar

Anticipar

Dónde quisiéramos que las organizaciones esténLas organizaciones deben estar adelante y ver más allá del negocio — nuevas amenazas son creadas hoy día y se necesita estar a la delantera. Aunque la encuesta de este año no sugiere que ellas llegarán pronto, quisiéramos ser proactivos, la seguridad cibernética inteligente debe ser una norma en toda la organización.

Nos gustaría ver que los negocios tomen la iniciativa y logren que el crimen cibernético se vuelva menos rentable y menos efectivo. En otras palabras, retirar el poder de los ataques y estar adelante de los crímenes cibernéticos.


La encuesta fue realizada entre junio 2014 y agosto 2014. Participaron más de 1,800 encuestados entre las principales industrias de 60 países.

Para nuestra encuesta, invitamos CIOs, CISOs, CFOs, CEOs y otros ejecutivos de seguridad de información. Distribuimos un cuestionario a profesionales de EY en cada país, junto con instrucciones para una administración consistente del proceso de encuesta.

La mayoría de respuestas de la encuesta fueron recolectadas durante entrevistas. Cuando esto no fue posible, el cuestionario fue conducido online.

Si desea participar en futuros EY Global Information Security Surveys, por favor contacte a su representante local de EY u oficina local, o visite www.ey.com/giss y complete un simple formulario de solicitud.

Metodología de la encuesta

Encuestados por monto de ingresos anuales totales

Encuestados por área (1,825)

US$10—US$50 billón 167

US$1—US$10 billón 441

US$100 million—US$1 billón 479

US$10—US$100 millón 314

Menos US$10 millón 209

Gobierno / ONG 119

No aplica 215

EMEIA 39%

América 26%

Asia-Pacífico 22%

Japón 13%


Aeronaútica y Defensa 63

Administración de activos 60

Automotriz 62

Banca y Mercado de Capitales 308

Tecnología limpia 2

Consumo masivo 132

Productos Industriales y Químicos 146

Gobierno y Sector Público 119

Salud y Farmacéuticas 70

Seguros 138

Ciencias de la Vida 40

Medios y Entretenimiento 44

Minería 43

Petróleo y Gas 55

Energía y Servicios Públicos 68

Capital privado 1

Servicios profesionales 68

Construcción e Inmobiliaria 56

Retail y Distribución 100

Tecnología 117

Telecomunicaciones 62

Transporte 71

Encuestados por sector de industria

Menos de 1,000 664

1,000 a 5,000 557

5,000 a 15,000 283

15,000 a 50,000 194

Más de 50,000 127

Chief Information Officer 208

Chief Information Security Officer 283

Chief Security Officer 54

Chief Technology Officer 41

Information Security Executive 233

Information Technology Executive 346

Internal Audit Director/manager 72

Network/System Administrator 38

Other C-suite, Executive, Vice President 60

Otros 490

Encuestados por roles y títulos

Encuestados por cantidad de empleados


1,825Encuestados

60Países

25Industrias

Rol de participantes

Cómo puede ayudar EY

En EY, hemos integrado todos los aspectos de riesgo organizacional y seguridad cibernética en un área clave de enfoque, en el que EY es un líder reconocido en el actual panorama de tecnología móvil, social media y cloud computing.

Nuestros profesionales en seguridad cibernética toman el reto de administrar la información y riesgos en operaciones de negocios. Nos especializamos en conocimiento técnico profundo de la industria y administración del riesgo de TI para entregar servicios enfocados en diseño, implementación y racionalización de controles que potencialmente reduzcan el riesgo de las aplicaciones de nuestros clientes, infraestructura y data.

La seguridad cibernética es discutida regularmente en los Directorios; sabemos el impacto en el negocio y los detalles técnicos y cómo presentarlos a los ejecutivos, resultando en profundas conclusiones sobre los riesgos y más profundas discusiones de nivel ejecutivo.

Apuntamos a ser un confiable asesor para nuestros clientes mientras enfrentan el reto de proteger y asegurar sus activos. Por ejemplo, ayudamos a nuestros clientes a:

• Alinear la estrategia de seguridad de información con las necesidades del negocio.

• Contener e investigar intrusiones cibernéticas complejas, y sanear enfoques de detección y respuesta.

• Optimizar su seguridad de información haciendo su Cyber Program Management (CPM) más eficiente en costos y sostenible.

• Mejorar las capacidades de Centros de Operaciones de Seguridad (SOC).

• Asistir en monitorear, mantener y reforzar el cumplimiento con políticas de administración de accesos, así como el cumplimiento con asuntos legales y regulatorios.

• Evaluar la adecuación de recursos y habilidades para implementar tecnologías y procesos.

Nuestros servicios de Seguridad Cibernética incluyen aspectos claves de “Activar”, “Adaptar” y “Anticipar”, fases mencionadas en este reporte para ayudarle a adelantarse a los delitos cibernéticos.


Jorge AcostaSocio LíderTelf: +51 1 411 [email protected]

Elder CamaSocioTelf: +51 1 411 4444 Anx. [email protected]

Rafael HuamánSocioTelf: +51 1 411 [email protected]

Renato UrdanetaSocioTelf: +51 1 411 [email protected]

Víctor MenghiSocioTelf: +51 1 411 [email protected]

Numa ArellanoSocio Telf: +51 1 411 [email protected]

José Carlos BellinaSocio Telf: +51 1 411 4444 Anx. [email protected]

Alejandro Magdits SocioTelf: +51 1 411 [email protected]

Raúl VásquezSocioTelf: +51 1 411 [email protected]

Contactos

/ EYPeru

EY | Assurance | Tax | Transactions | Advisory

Acerca de EYEY es un líder global en servicios de auditoría, impuestos, transacciones y consultoría. La calidad de servicio y conocimientos que aportamos ayudan a brindar confianza en los mercados de capitales y en las economías del mundo. Desarrollamos líderes excepcionales que trabajan en equipo para cumplir nuestro compromiso con nuestros stakeholders. Así, jugamos un rol fundamental en la construcción de un mundo mejor para nuestra gente, nuestros clientes y nuestras comunidades.

Para más información visite ey.com/pe

© 2015 EYAll Rights Reserved.

Descarga nuestras publicaciones en: ey.com/PE/EYPeruLibrary

/ EYPeru/ EYPeruIntegrate

/ company/ernstandyoung

@EYPeru

/ EYPeru

Perspectivas sobre Gobierno, Riesgo y …€¢ El panorama de las amenazas cibernéticas •...

Documents

Transcript of Perspectivas sobre Gobierno, Riesgo y …€¢ El panorama de las amenazas cibernéticas •...