Riesgo Legal Cibernético - amis.com.mx · DEFINICION DE RIESGO Riesgo nombre masculino 1....
Transcript of Riesgo Legal Cibernético - amis.com.mx · DEFINICION DE RIESGO Riesgo nombre masculino 1....
Riesgo Legal
Cibernético
3
RIESGO LEGAL CIBERNETICO
DEFINICION DE RIESGO
Riesgonombre masculino
1. Posibilidad de que se produzca un contratiempo o una desgracia, de que alguien o algo sufra perjuicio o daño.
"alto riesgo de contagio; subrayó el riesgo de que las sociedades se descapitalicen en favor de sus filiales extranjeras para pagar menos impuestos; los servicios meteorológicos advierten del riesgo de tormentas en el tercio oriental del país; jugar en bolsa conlleva mayor riesgo que comprar bonos del tesoro"
2. Situación en que puede darse esa posibilidad."era un amante del riesgo"
DEFINICION DE RIESGOLEGAL CIBERNETICO
El riesgo legal proviene de la legislación que afecta a los contratos mercantiles o financieros realizados. ...
Evidentemente, las pérdidas debidas al incumplimiento de la legislación también se contemplan dentro de la definición de dicho riesgo.
Estos Riesgos de Incumplimiento pueden ser Externos o Internos.
EL EXTREMO
• Un empleado de la empresa de software Voova tras ser despedido: entró a las cuentas de Amazon Web Services de la empresa y borró la información de 23 servidores.
• la empresa perdió un número significativo de clientes, entre ellos Coachline.com, una empresa de transporte europea. Voova calcula el daño estimado en 700 mil dólares.
• utilizó unas credenciales robadas para colarse en la cuenta de un antiguo colega (Andy “Speedy” Gonzalez) y comenzó a manipular la configuración de la cuenta. Lo siguiente fue borrar los servidores AWS de Voova.
• El ex-empleado pasará menos de 2 años en prisión.
• La empresa podría haberse salvado de haber implementado más factores de autenticación.
¿Queeeé?
¿PERO QUÉ PROTEGEMOS?
8
Información concreta sobre hechos, elementos, etc., que permite estudiarlos, analizarlos o conocerlos.
En Informática… es Cifra, letra o palabra que se suministra a la computadora como entrada y la máquina almacena en un determinado formato.
El DATO
¿A QUE NOS ENFRENTAMOS?
9
La forma en que el Dato es diseñado, recopilado y almacenado no ha cambiado en los últimos 10, 20 o 30 años.
El Dato se desarrolla para y dentro del contexto especifico de un negocio o industria.
El modelo tradicional crea y utiliza datos específicos para cada función y para cada aplicación.
• Plataformas disgregadas, muchos y variados sistemas que no están integrados.
• Cada sistema con su propia lógica, tipo de dato y proceso de almacenamiento.
• Es común encontrar que un mismo usuario puede trabajar con varios sistemas, por lo que requiere de varios usuarios y passwords.
• No toda la información de la institución esta dentro de algún sistema, se mantiene un uso intensivo del papel.
INSTITUCION
ASEGURADOS
AUTORIDADES
REASEGURO
EXTERNOS
AGENTES
PROVEEDORES
¿MI INFORMACIÓN, TU INFORMACION, NUESTRA INFORMACION?
• Los riesgos asociados al manejo de datos se complican, ya que trascienden a la organización.
• Damos y recibimos información de diferentes fuentes en diferentes tiempos.
• Asegurar una trazabilidad de la misma se complica más si consideras el intercambio por correo electrónico, exceles, Google drives y USBs.
NORMAS RELACIONADAS CON LA SEGURIDAD Y CONFIDENCIALIDAD DE LA INFORMACION
• LEY GENERAL DE TRANSPARENCIA Y ACCESO A LA INFORMACION PUBLICA
• LEY GENERAL DE PROTECCION DE DATOS PERSONALES EN POSESION DE SUJETOS OBLIGADOS
• LES FEDERAL DE PROTECCION DE DATOS PERSONALES EN POSESION DE PARTICULARES
• REGLAMENTO DE LA LEY FEDERAL DE PROTECCION DE DATOS PERSONALES EN POSESIÓN DE PARTICULARES
• DISPOSICIONES DE CARÁCTER GENERAL APLICABLES A LAS INSTITUCIONES DE CREDITO (CUB)
• CIRCUAR 3/2019 BANXICO (REGLAS AL SPEI EN MATERIA DE MITIGACION DE RIESGOS)
• LEY DE PROTECCION Y DEFENSA AL USUARIO DE SERVICIOS FINANCIEROS
• LES FEDERAL DE PROTECCION AL CONSUMIDOR
NORMAS RELACIONADAS CON EL SECRETO
• SECRETO PROFESIONAL• SECRETO INDUSTRIAL• SECRETO BANCARIO• SECRETO FIDUCIARIO• SECRETO BURSATIL• SECRETO FISCAL• SECRETO POSTAL• SECRETO MEDICO• SECRETO TECNIVO, COMERRCIAL Y DE
FABRICACION DE PRODUCTOS• DELITO REVELACION DE SECRETOS
TIPOS DE INFORMACION
PUBLICA
INTERNA
RESERVADA
CONFIDENCIAL
DATO PERSONAL SENSIBLE,
PATROMINIAL O FINANCIERO
TITULAR
DERIVADA DEL SERVICIO
DE TERCEROS
14
Trazabilidad
Es la capacidad de rastrear todos los procesos, desde la adquisición de materias primas hasta la producción, consumo y eliminación, para poder aclarar "cuándo y dónde fue producido qué y por quién".
Rastreabilidad - (Definición de la Industria Manufactura)
Rastreabilidad está formado por Rastrear y Habilidad. Se registra la información necesaria, como fabricantes, proveedores y distribuidores. Esta información se rastrea en todos los procesos, desde la adquisición de materias primas y piezas en bruto, hasta el mecanizado, ensamblaje, distribución y venta, para garantizar que su historia se pueda rastrear.
TRAZABILIDADDefinida en la norma ISO 9001 de la
Organización Internacional de Normalización.
15
LA INTEGRIDAD DE EL DATO
DEBE DE SER ELEVADA A
RANGO CONSTITUCIONDENTRO DE LA
ORGANIZACION
Ciberseguridad
Privacidad
Planeación y Recuperación de Desastres
Seguridad Operacional
Seguridad Física
Seguridad del Personal
16
ELEMENTOS A CONSIDERAR DENTRO DEL MAPA DE DE INFORMACION INSTITUCIONAL
EVENTOS
INDICADORES DE DESEMPEÑO Y RESULTADO
CONTENIDORELACIONADO
ROLES, REGLASY PROCESOS
INFORMACIÓNCONTEXTUAL
METODO DE PROTECCIÓN
Copias Versionadas
(HDFS->Otros)
Copy/ReptHDFS->HDFS
HDFS SNAPSHOT
HDFS TRASH
VALOR DE LA INFORMACIÓN
Critica
Esencial
Necesaria
Deseable
17
ESTRATEGIA DE PROTECCION DE DATOS
18
GOBIERNO DE DATOS
GOBIERNO DE DATOS
Definiciones de Datos y Analíticos
Fuentes de Datos
Calidad del Datos y Dato
Maestro
Operación de Datos
Seguridad del Dato
Organización
Políticas
Catalogo de Datos
Lecciones Aprendidas de Ciberseguridad en La Era
de la Nube
Adolfo de MoureSecurity and Monitoring Solution Engineer,
Oracle México
Mayo, 2019
Confidential – Oracle Internal 20
Top 5 Retos y Desafíos de La NubeExperiencia, seguridad y gasto en primera posición
27%Falta de
Recursos / Experiencia
25%Gobierno y
Control
22%Gestión de Múltiples
Servicios Cloud
21%Gestión de
Gastos2018 Right Scale State of the Cloud Report
29%Seguridad
Regulaciones de Privacidad & Seguridad en Aumento
EU GDPR
PCI-DSS
NZPA
APP
APPI
Ch GDPL
HK PDPOSi PDPA
Th OIA
Ru DPA
IT Act
SAECTA
MDPA
APDPL
CLPPL
Art. 5
CDPL
LFPDPPP
FOIPPAPIPEDA
NY DFS 50048 State Data Privacy laws
Patriot Act CIPHIPAA
GLBA
ISO-27001
SOX
LFPDPSO
Los Robos de InformaciónSiguen Ocurriendo (y aumentando…)
98M
TargetDEC ‘13
1BYahooDec ’16
150M
AdobeOct ‘13
56MHome Depot
Sep ‘14
150MeBayMay ‘14
76M
JPMCOct ‘14
80MAnthem
Feb ‘15
2M
VodafoneOct ‘13
42MCupid Media
Jan ’13
TBs IPSonyNov ’14
2M
OrangeFeb/Apr ‘14
20MCredit Bureau
12MTelecom
S. KoreaJan ‘14
200M ExperianMar ’14
22MBenesse
EducationJul ‘14
Japan
EspionageKaspersky
Jun ‘15
400GBIP Theft
HackingTeamJul ‘15
Carphone Warehouse
Aug ’15
2.4M
4MTalk Talk
Oct 15
5MVTech
Nov ‘15
30MBSNL Telco
Journal
Jul ‘15
US Voters191M, Dec 15
KmartOct ‘15
11MPremera
Blue CrossMar ‘15
4.6MScottradeOct ’15
US OPM, 22M Jun ’15
15MT-MobileOct ’15
400M
Friend FinderDec ‘16
93MMéxico – INE
Apr ‘16
154MUS VoterJun ‘16
50MTurkish Govt
Apr ‘16
32MAshley
MadisonJul ’15
55MPhilippinesVoter listApr ‘16
3.2MDebit cards
Oct ‘16
SabreMar ‘16
CIAApr ‘17
77MEdmodoMay ‘17
146M
EquifaxJuly ‘17
70MT-MobileOct ‘17
57M
UberNov ‘17
26MTicketflyJun ‘18
92M
MyHeritageJun ‘18
50MFacebook
Sep ‘18
40MCheggOct ‘18
GoogleOct ‘18
Confidential – Oracle Internal 24
Cargas de Trabajo enTodas Partes
Las cargas de trabajo se mueven
rápidamente a la Nube
El 71% de las grandes empresas desplazarán alguna
carga de trabajo a la nube.
Las empresas planean usar un promedio de 6 nubes para ejecutar sus cargas de trabajo
2016 McKinsey, 2016 Right Scale
Oracle ConfidentialCopyright © 2017, Oracle and/or its affiliates. All rights reserved. |
Confidential – Oracle Internal25
Nuevos Perímetros deSeguridad
Las soluciones de seguridad tradicionales resultan inefectivas
91% de las organizaciones tiene preocupaciones alrededor de la
seguridad para la adopción de la nube pública
Solo 14% confía en las herramientas de seguridad de red para la
protección de la nube pública
2016 Cloud Security Research Report, Crowd Research Partners
Oracle Confidential
Copyright © 2017, Oracle and/or its affiliates. All rights reserved. |
Confidential – Oracle Internal 26
Guerra por talentos practicantesde la seguridad
El 66% de las vacantes de ciberseguridad no pueden ser
ocupadas por candidatos capacitados
El 95% de las fallas de seguridad en la nube para 2020 se deberán
a un error humano
Escasez de RecursosEspecializados
The Economist Intelligence Unit, Gartner
Oracle ConfidentialCopyright © 2017, Oracle and/or its affiliates. All rights reserved. |
Oracle Public 27
Oracle PublicCopyright © 2016, Oracle and/or its affiliates. All rights reserved. |
2019: ¿Ya es Momento para Seguridad y Cumplimiento?
Con demasiada frecuencia se asume que el cumplimiento
de regulaciones es un problema del CIOporque tener sus
datos personales son el activo vital de su línea de negocio.
Un aspecto de atención de cualquier CFO, es la posibilidad
de hacerse acreedores de multas
y sanciones si se descubre que
infringieron las regulaciones de
protección de datos.
Como un enlace directo a los clientes
y sus datos, los equipos del CMO se
ven ahora especialmente
afectados por las regulaciones de
privacidad de datos personales.
Como CHRO, probablemente se están preguntando
cómo las regulaciones
afectarán los datos del personal que pueda tener su
empresa, donde sea que se encuentren
sus empleados.
Asegurar los Activos Estratégicos
• Descubrir y clasificar los datos
• Proteger datos entre ambientes
• Redactar los datos de la capa de aplicación
• Cifrado de datos sensibles
• Gestión de claves de cifrado
• Monitorear, alertar, and bloquear28Copyright © 2017, Oracle and/or its affiliates. All rights reserved.
Los Robos de Información Ocurren Facilmente
Gestionar adecuadamente
las Identidades de Usuarios
• Ciclo de vida de usuarios y sus identidades
• Solicitudes y aprobación de accesos
• Segregación de funciones y privilegios
• Cambiar sus contraseñas periódicamente
• Contraseñas de uso único (One Time Passwords)
29Copyright © 2017, Oracle and/or its affiliates. All rights reserved.
Las Contraseñas Dejaron de Ser Suficiente
Mejorar la Detección de Amenazas
• Revisión continua de los “logs”
• Usar fuentes de información de amenazasde 3ros
• Implementar Inteligencia Artificial o machine learning para detectar y alertar el comportamiento anómalo de los usuarios
• Detectar nuevas correcciones de software y alertar
30Copyright © 2017, Oracle and/or its affiliates. All rights reserved.
Inteligencia Artificial vs Seres Humanos
Las Nuevas TecnologíasTraen Nuevos
Desafíos..Se require contar con nuevas herramientas
Confidential – Oracle Internal 31
Firewall
IDS/IPS
Proxy
VPN
IDMDMZ
Router
DLP
SIEM
IDaaSEMM
SWG
CASB
SIEMUEBA
WAF
API Management
Vulnerability Assessment
Oracle ConfidentialCopyright © 2017, Oracle and/or its affiliates. All rights reserved. |
Modernización de las Operaciones de Seguridad
Un Nuevo Modelo de SeguridadAdaptativa
Confidential – Oracle Internal 32
Prevenir
DetectarResponder
Predecir
Responder y remediarautomáticamente para asistir a los equipos de seguridad ya ajustados
Descubrir amenazaspara reconocer y mitigar riesgo
Visibilidad y
Verificación
Contínua
Proteger proactivamentedatos y apliaciones para asegurar que los datossensibles están seguros
Detectar actividadanómala y comportamiento de usuarios cuando ocurren
Oracle ConfidentialCopyright © 2017, Oracle and/or its affiliates. All rights reserved. |
Cybersecurity & Privacysector asegurador
Las organizaciones están experimentando constantemente el impacto negativo causado por los ciber ataques, no solamente en contra de la información de su organización, sino dirigidos a dañar su marca y la experiencia del cliente.
64%
87%
El tiempo de inactividad promedio total como resultado de incidentes de seguridad
De los CEOs dicen que la forma en que administran los datos de las personas los diferenciara
Experiencia del Cliente
Marca
13%De las empresas afectadas por el delito cibernético en los últimos 24 meses, reportan un impacto reputacional “alto”
PwC, 20th Annual CEO Survey, January 2017
PwC, Global Economic Crime Survey 2016, February 2016
PwC, Consumer Intelligence Series: Protect.me, November 2017
19 horas
PwC, CIO and CSO, The Global State of Information Security® Survey 2018, October 2017
De los consumidores llevarán sus negocios a otra parte si no confían en que una empresa maneje sus datos de forma responsable
71%
PwC, Consumer Intelligence Series: Protect.me, November 2017
De los consumidores dejarían de hacer negocios con una empresa que exponga sus datos confidenciales sin permiso
Confianza
El número actual de vacantes de ciberseguridad sin llenar
1 millón
Cybersecurity Ventures, Cybersecurity Jobs Report, June 2017
Riesgos en la era digital
Nuestro Punto de Vista en el Sector
Personas de alto riesgo
DomiciliosNombre y edades
BienesPercepciones económicas
Datos de salud
Expedientes digitalizados
Datos de tarjetas
Activo vital para Instituciones de seguros
Proteger la información para evitar pérdidas no esperadasRobo de información (y pérdidas) sin identificarlo por una inadecuada gestión.
Riesgos para la organización
Multas por incumplimiento
Costos de atención
Pérdidas por indisponibilidad de servicios
Daños a la reputación
Pérdida de competitividad
Las instituciones deben cumplir con las regulaciones aplicables, tales como: Circular Única de Seguros y Fianzas (CUSF), LFPDPPP, GDPR y recientemente CCPA.
• Manuales
• Registros
• Pólizas
• Facturas
• Propuestas
• Papel
• Conversaciones
• Ajustadores
• Call center
• Agentes de seguros
• Archiveros
• Internet
• Móviles
• Computadoras
• Servidores
• Equipo de comunicaciones
• BYOD
Situación Actual
En México las multas impuestas por el INAI desde 2016 por violaciones a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
$350 millones
De las multas han sido impuestas a empresas del sector financiero y del sector de seguros por la violación a los datos personales.
50%
50%
35%
15%
Sectores con mayor incidencia en multas
Servicios Financieros yde Seguros
Servicos deentretenimiento,cultura y deporte
Consumo al por menor
En un periodo de 5 años se llevaron a cabo 1,692 investigaciones preliminares al sector privado y al 30 de noviembre de 2017 se concluyeron mil 550.
* Datos estadísticos proporcionados por el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales.
Riesgos legales asociados a ciberseguridad
Riesgos
• Demandas por parte de clientes, empleados, proveedores, aliados de negocio, e Instituciones Financieras.
• Multas o sanciones por incumpliendo regulatorio.
• Litigios y disputas.
• Incremento de los riesgos reputacionales y financieros.
Causas
• Falta claridad en los clausulados de contratos o interpretación errónea (Ejemplo: Las pólizas de seguros de
ciberseguridad y privacidad).
• Tratamiento inadecuado y/o inoportuno de los incidentes de seguridad y privacidad.
• Proveedores que no cuentan con los controles requeridos de protección de datos.
• Incumplimiento de los principios que establece la ley, ejemplo: uso indebido o falta de transparencia en el
tratamiento de los datos, falta de consentimiento del titular, falta de actualización y presentación de avisos
de privacidad.
Elementos clave a considerar
• Establecer un programa de Seguridad de la Información, considerando las mejores prácticas tales como: ISO 27001, NIST, COBIT, entre otros (*).
• Establecer un programa de privacidad que monitoree el cumplimiento de los artículos que establecen las leyes y sus principios (1.licitud, 2.consentimiento, 3. información, 4.calidad, 5. finalidad, 6. lealtad, 7.proporcionalidad, 8. responsabilidad y 9. Confidencialidad).
• Establecer un programa para la gestión de terceras partes, priorizando a los proveedores con base en el servicio proporcionado y el nivel de acceso.
• Revisar la existencia de cláusulas especificas para el manejo de: indemnizaciones, transferencia de riesgo, responsabilidad legal, terminación, privacidad y protección de datos, así como revisiones periódicas.
• Establecer un programa para la gestión de riesgos, así como para vigilar el cumplimiento con diversas leyes y regulaciones.
• Establecer un programa de atención y respuesta a incidentes, incluyendo procedimientos para el manejo de riesgos legales, financieros y reputacionales.
• Llevar a cabo capacitaciones continuas para empleados, clientes y terceras partes sobre el manejo y uso de datos, así como la atención y respuesta a incidentes.
1
2
3
4
5
6
7
Circular Única de Seguros y Fianzas CUSF
Capítulo 3.1. Del Sistema De Gobierno Corporativo
3.1.2. El sistema de gobierno corporativo de las Instituciones y Sociedades Mutualistas considerará una estructura organizacionalclaramente definida, con una asignación precisa de responsabilidades y, en términos de lo previsto por la LISF y las presentesDisposiciones, deberá aprobar las políticas y criterios necesarios para el establecimiento, implementación y mantenimiento de: VI.Medidas necesarias para garantizar la seguridad y confidencialidad de la información, tomando en cuenta su naturaleza.
La CUSF estipula las disposiciones y lineamientos aplicables para el cumplimiento de la Ley deInstituciones de Seguros y Fianzas.
En el Capítulo 4.10. del Uso de Medios Electrónicos para la Contratación de Operaciones de Seguros y deFianzas, se establecen distintas obligaciones de las instituciones en relación con tecnologías de la información yseguridad de la misma.
Sección 4.10.23“…Las Instituciones y Sociedades Mutualistas estarán obligadas a realizar revisiones de seguridad, enfocadasa verificar la suficiencia en los controles aplicables a la infraestructura de cómputo y telecomunicacionesutilizada para la realización de operaciones y prestación de servicios a través de Medios Electrónicos…”
Sección 4.10.18
En caso de que Información Sensible del Usuario sea modificada, extraída, extraviada, eliminada o las Instituciones y Sociedades Mutualistas supongan osospechen de algún incidente que involucre accesos no autorizados a dicha información, deberán llevar a cabo una investigación inmediata paradeterminar si la información ha sido o puede ser mal utilizada y en este caso deberán notificar esta situación, dentro de los siguientes 3 días hábiles, a susUsuarios afectados, a fin de prevenirlos de los riesgos derivados del mal uso de la información que haya sido extraída, extraviada, modificada, eliminada ocomprometida, debiendo informarles las medidas que deberán tomar.
Revisiones de seguridad1
Autenticación de clientes2
Cifrado y Accesos a base de Datos3
Almacenamiento de información sensible
4
Continuidad de la operación5
Todas las áreas de negocio juegan un rol ante la gestión del riesgo cibernético
Cybersecurity is not an IT issue
It is a business issue
Legal
• Seguimiento de la evolución del ambiente regulatorio de ciber
• Monitorear las decisiones tomadas
por los reguladores en respuesta a los ciber incidentes
• Estar al tanto de los factores que pueden anular el seguro cibernético
Nivel Ejecutivo
• Instituir una estrategia de ciberseguridad
• Asegurarse de la calidad de la información para que esta sea bien transmitida y asimilada
• Implementar programas para los
usuarios de concienciación de
seguridad
• Apoyar el gasto en seguridad
basado en la estrategia
Auditoría y Riesgos
• Asegurar un comprensión
completa y una cobertura de
los riesgos tecnológicos
• Llevar a cabo los due diligencenecesarios para mitigar el riesgo
de asociarse con terceras partes
• Abordar los riesgos asociados con los sistemas operativos (no financieros)
• Abordar problemas básicos de auditoría de TI
IT
• Realizar evaluaciones forenses
• Estar al tanto del panorama cambiante de los vectores de ataque
•Probar los planes de respuesta ante incidentes
• Implementar procesos de monitoreo efectivos
• Utilizar nuevas estrategias: simulaciones de ciberataques, masificación de sesiones de
entrenamiento de seguridad y concientización de seguridad de datos y data analytics
GRACIASPOR SU ATENCIÓN