Seguridad, una visión desde el Riesgo, Gobierno y Cumplimiento
38
Ciberseguridad 2016 Juan Carlos Carrillo D’Herrera
-
Upload
juan-carlos-carrillo -
Category
Business
-
view
168 -
download
0
Transcript of Seguridad, una visión desde el Riesgo, Gobierno y Cumplimiento
Ciberseguridad 2016
Juan Carlos Carrillo D’Herrera
PwC
junio 2015Vitalmex: Gobierno y Estrategia de Seguridad
2
PwC
junio 2015Vitalmex: Gobierno y Estrategia de Seguridad
3
PwC
Incidentes de seguridad en los últimos 12 meses
PwC
Ataques más ágiles
5 de cada 6
empresas
han sido
hackeadas
317M
De nuevo
malware
1M
Nuevas
amenazas
por día
60%
De los
ataques
fueron a
PyMEs
Crecimiento de la
extorsión digital
Malware
inteligente
113%
Crecimiento
de
ransomware
45x veces más
dispositivos
comprometido
s
28% del malware
es sensible a
entornos
virtualizados
Ataques 0-day
TODOS
CRÍTICOS
Top 5 sin
parche por
295 días
Principales sectores atacados
Salud
+37%
Retail
+11%
Educación
+10%
Gobierno
+8%
Financiero
+6%
Amenazas en números
7
8
“You are going to get hacked. The bad guy will get you. Whether you are viewed as a
success by your board of directors is going to depend on your response.” Charles Blauner,
Citigroup
PwC
LA NUEVA ECONOMIA DE SEGURIDADCRIMEN GLOBAL EN PERSPECTIVA
$400 BILLONESMERCADO GLOBAL DE CIBERCRIMEN
$30BROBO DE
SMARTPHONES
$56BMERCADO DE
ROBO DEAUTOS
$85BMERCADO
DE COCAINA
$114BMERCADO
DE ROBO DETARJETAS DE CREDITO
Las intrusiones reportadas a las agencias gubernamentales en USA han aumentado 1,121% en 9 años
En aumento los ataques de seguridad de la información
0
10,000
20,000
30,000
40,000
50,000
60,000
70,000
2006 2007 2008 2009 2010 2011 2012 2013 2014
Security Incidents Reported to US Computer Emergency Readiness Team by US Federal Agencies
Fuente: GAO analysis of US Computer Emergency Readiness Team data for fiscal years 2006-2014, GAO-15-573T
5,503
11,91116,843
29,999
41,776 42,854
48,562
62,214
67,168
Incidentes de Seguridad reportados en todo el mundo
Aumento de 48% de 2013 a 2014Fuente: Global State of Information Security Survey 2015
PwC
0.0%De las fugas de informaciónfueron detectados
por programas de anti-viruso sistemas de prevención deintrusos
Source: Verizon 2013 Data Breach Investigations Report
12http://www.pwc.com/gx/en/economic-crime-survey/downloads.jhtml
Solo 6%De las empresas utilizan análisis de datos para minimizar el impacto económico del cibercrimen
PwC
de los ataques son
contra los
94%
de los datos más
sensibles estan en
66%
PwC
52%
34%
11%
4%
Database
Network
Application
Middleware
IT Layers Most Vulnerable To Attacks
67%
15%
15%
3%
Database
Network
Application
Middleware
Allocation of Resources To Secure IT Layer
Source: CSO Online MarketPulse, 2013
PwC
Fuentes de fuga de información
PwC Global State of Information Security
PwC
-100
0
100
200
300
400
500
600
700
800
900
2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
Hacking Malware Social Physical Misuse Error
MAYORES AMENAZAS HACKEO & MALWARE
HACKING
MALWARE
SOCIAL
PHYSICAL
1600%INCREASE
Source: 2014 Verizon DBIR
PwC
¿Dónde estaban los errores?
Source: 2014 Verizon DBIR
TARGET 70M Records
JPMC 76M Records
ANTHEM 80M Records
ADOBE152M Records
HOME DEPOT56M Records
DEFAULT PASSWORDSOLUTIONRegular password reset Strong password policy
UNENCRYPTED DATASOLUTIONFile system encryptionDatabase encryption
STOLEN CREDENTIALSSOLUTIONMulti-factor authenticationWeb-fraud detection
UNPATCHED SERVERSOLUTIONMulti-factor authenticationAutomated config & patch
WEAK PASSWORDSSOLUTIONMulti-factor authenticationAutomated config & patch
Ciertas tienen mayores costos de fugas de
Ponemon Institute© Research Report Page 6
Certain industries have higher data breach costs. Figure 4 reports the per capita costs for the
consolidated sample by industry classification. Heavily regulated industries such as healthcare,
financial, pharmaceuticals, transportation and communications had a per capita data breach cost substantially above the overall mean of $136. Retailers and public sector organizations had a per
capita cost well below the overall mean value. Figure 4. Per capita cost by industry classification Consolidated view (n=277). Measured in US$
78
81
103
103
111
113
114
125
125
129
134
150
169
207
215
233
0 50 100 150 200 250
Retail
Public services
Industrial
Media
Education
Consumer
Hospitality
Energy
Research
Technology
Services
Communications
Transportation
Pharmaceuticals
Financial
Healthcare
92 % de las fugas de información están atribuidos a 9 tipos de ataques
Ataque a punto de venta (POS)
Ataque a aplicación web
Mal uso interno
Robo o perdida física
Errores varios
Software de criminales
Skimmers de tarjetas
Ataques de denegación de servicio
Ciber espionaje
20
22
PwC
PwC 24
https://www.privacyassociation.org/privacy_perspectives/post/dont_fall_for_the_encrytion_fallacy
PwC
€
£
฿¥
$
Pasaportes reales
escaneados 1 a 2 US
Cuentas de juegos en Internet
12 a 3,500 US
Tarjetas de créditorobadas
50 centavos- 20 US
1,000 cuentas de correos electrónicos
10 US
1,000 seguidores2 a 12 US
Enviar spam70 a 150 US
Género
2.9 US
Nombre
3.9 US
Localización GPS
16 US
No. Teléfono
5.9 US
Historial de compra
20 US
Historial de crédito
30 US
Passwords
76 US
Fuente:
Ponemon Institute, Privacy and Security in a Connected Life, Marzo 2015 http://goo.gl/C5pj89
¿Cuánto cuestan los datos robados y servicios de ataque en el mercado clandestino?
Symantec http://goo.gl/e41bec
Expediente clínico
150 US
¿Cuánto valen los datos personales en el mercado negro?
PwC
Articulo 64
• Multas desde 100 a 320,000 dias de salario minimo vigente en el Distrito Federal
• Tratandose de infracciones cometidas en el tratamiento de datos sensibles, las sanciones podran incrementarse hasta por dos veces, los montos establecidos.
Articulo 67, 68 y 69
• Se impondran de tres meses a cinco anos de carcelal que, con el fin de alcanzar un lucro indebido, trate datos personales mediante el engan o, aprovechandose del error en que se encuentre el titular o la persona autorizada para transmitirlos.
• Tratandose de datos personales sensibles, las penas a que se refiere este Capitulo se duplicaran.
– $7,010 pesos
– $89,728,000 pesos
– 3 meses
– 10 años
Multas, infracciones y penasArtículos Importantes
TOTAL:
$133,195, 698
Cálculos actualizado con información del sitio: www.inicio.ifai.org.mx
Fuente: IFAI, comunicado IFAI-OA/149/14 29 de noviembre de 2014
Multas INAI 2012-2015
PwC
Puntos de Cumplimiento CNBV
Artículos Importantes
Capitulo X CNBV, articulo 316 B10
• La administración de las llaves criptográficas
Capitulo X CNBV, articulo 316 B2
• Protección de las Sesiones
Capitulo X CNBV, articulo 316 B4
• Manejo de Contraseñas
Capitulo X CNBV, articulo 316 B7
• Call Centers
Capitulo X CNBV, articulo 316 B11
• Controles de acceso
31
Puntos de Cumplimiento PCIArtículos Importantes
• Requisito 3
– Proteger los datos almacenados de los propietarios de tarjetas.
• Requisito 7
– Restringir el acceso a los datos tomando como base la necesidad del funcionario de conocer la información
• Requisito 10
– Rastrear y monitorizar todo el acceso a los recursos de la red y datos de los propietarios de tarjetas
RIESGO
• De ataques o fugas
GOBIERNO
• Al Interior
CUMPLIMIENTO
• De los reguladores
PwC
La Seguridad no es un proyecto…
es un PROCESO•Logrando la protección de datos
aumentamos la confianza de los
socios, empleados y clientes, y
ampliamos la competitividad de
nuestras empresas.
Este documento contiene información que es confidencial y que será protegida por PricewaterhouseCoopers, S.C. la cual no podrá ser usada, revelada o duplicada para ningún otro
propósito fuera de la evaluación de este contenido.
Cualquier otro uso o la revelación en su totalidad o en parte de esta información sin el permiso de PricewaterhouseCoopers está prohibido.
© 2015 PricewaterhouseCoopers. Todos los derechos reservados.
© 2015 PricewaterhouseCoopers. All rights reserved. PricewaterhouseCoopers refers to the network of member firms of PricewaterhouseCoopers International Limited, each of which is a separate and independent legal entity.
