CyberSecurity en entornos empresariales
www.pwc.es
Index
• Background
• Una preocupación global
• Entonces… ¿Qué es Ciberseguridad?
• Una respuesta empresarial
2
PwC
Background
Background Caso I: Target
4
“During fourth quarter 2013, Target experienced a data breach in which an intruder gained unauthorized access to our network and stole certain payment card and other guest information. The Company incurred $17 million of net expense in the fourth quarter, reflecting $61 million of total expenses.”
Fuente: SEC 8-K Report .
Target Corp:
• Fundada en 1902
• Aprox 1760 supermercados en USA
• Aprox 72 billion $ (facturación 2012)
• Aprox 360.000 empleados
• Cotiza en la bolsa de NY y S&P 500
Background Caso II: Sony –Parte I
5
Sony
Founded at 1946
Tokyo and Nueva York Market
Aprox: 72 billion $ (Revenue 2012)
Aprox: 146.000 employees
6
Background Caso III: Carnabak y otros ataques desde “dentro”
Background Caso IV: Dispositivos Médicos
7
8
Background Caso n … y de lo que sabemos
http://www.informationisbeautiful.net/visualiz
ations/worlds-biggest-data-breaches-hacks/
http://hackmageddon.com/2014-
cyber-attacks-timeline-master-index/
9
Background Caso n*m .. y de lo que no sabemos
Fuente: Verizon
10
Background Conclusión 1
PwC
Una preocupación Global
Nuevas amenazas globales y dinámicas Lo que preocupa a los directivos
12
2013/2014 Club Bilderberg
“Cyber Warfare and Asymetric threats”
2014 Global CEO Survey
13
Nuevas amenazas globales y dinámicas Lo que preocupa al mundo
14
Nuevas amenazas globales y dinámicas Lo que preocupa al mundo
15
Nuevas amenazas globales y dinámicas Y al regulador
16
Nuevas amenazas globales y dinámicas Conclusión 2
PwC
Entoces… ¿Qué es Ciberseguridad?
18
Cybersecurity essentials ¿Qué entendemos por Cybersecurity?
Ciudadano
Estado Usuario
Empresa
Cliente
Proveedor Directivo
Espionaje Industrial
Fugas de información Robo de datos
Movilizaciones sociales
Hacktivismo
Desórdenes públicos Delitos Telemáticos
Fraude sectorial
Suplantación
Acoso a personas
Chantaje a empresas Crimen Organizado
Disrupción de negocio
Espionaje de estado
Cyber Ataques
Cyber Terrorismo
Entendemos por Cyberseguridad al programa o actividad que se encarga de gestionar los riesgos vinculados o
coordinados a través de la tecnología y que por su difusión,
volumen y repercusión pueden generar un elevado impacto
en la Organización.
El programa de Cyberseguridad debe definir, implantar y
mantener una estrategia en respuesta a estos riesgos, entendiendo que por su especial naturaleza (Low
probability High Impact Threats), el marco de gestión
tradicional de la seguridad no es suficiente.
Amenazas globales y delocalizadas
Ataques Masivos (Alto Impacto)
Replicación industrial o geográfica
Persistencia y Complejidad
Impacto en Medios
19
Cybersecurity essentials La amenaza como núcleo de actuación
Amenaza ¿Qué?
¿Quien?
¿Cómo?
¿Cuándo?
¿Dódnde?
Preventivos
Detectivos
Anticipar
Contener
Responder
Correctivos
INTELIGENCIA
Gestión de la
Seguridad
Ciclo de Vida Tradicional Seguridad
Ciberseguridad
El programa de Cybersecurity debe contemplar un cambio
de enfoque y prioridad, si bien gran parte de sus objetivos y
las iniciativas que lo componen están estrechamente alineadas con el ciclo de vida de la seguridad tradicional.
Sin embargo, el modo de priorizar y establecer el perímetro
de actuación cambia drásticamente, tanto en su modelo
(incorporando acciones de contención e inteligencia),
activos (actuando dentro y fuera de la Entidad) y clasificación (actuando sobre los activos esenciales
amenazados por un vector de ataque o adversario).
20
El programa de Cybersecurity Un nuevo contexto de amenaza
21
Ecosistema Global de Negocio
Contexto de negocio, dinamizador de oportunidades y reiesgos
Modelado de Amenazas De “lo que preocupa” a “lo que me ocupa”
Adaptación de las amenazas vinculadas a la tecnología a la realidad de una organización, evaluando su vigencia y criticidad en base al ecosistema en el que opera, compuesto por tres niveles; Interno,
Stakeholders y Contexto.
Amenazas globales de una empresa
22
Information Technology
Operational Technology
Consumer Technology
“Cybersecurity” contempla todas las “capas”
Horizonte de Activos Esenciales Tangibilizando la amenaza en entornos críticos afectados
Below the lina: Información y tecnologías que trascienden mi ámbito de control
Tecnologías especificas (ej. Militar , ICS,etc)
Fabricación, producción, procesos core de negocio
Información Crítica (acuerdos, compras, etc.)
Entornos de operación
$ Medios de pago/ ATM mercados financieros
Telecomunicaciones Sistemas y datos.
Accesos, terceros, clientes, portales, proveedores, etc.
I+D/ diseño de productos
Sistemas Industriales de control (SCADA)
Tecnologías emergentes
Presencia en Internet, redes sociales, medios, Cloud, etc
23
Vectores de ataque Nuevas oportunidades comportan nuevos vectores de ataque
Empleados
Partners /
Proveedores
Colectivos
Hactivismo
Competidor
Empresas
Estados
Terrorismo
Medios /
Prensa
Cirmen /
Mafias
Hacking
Malware
eCrime
Cyber Terrorismo
eFraud
Cyber Espionaje
APT´s
DDoS
Hacktivismo
Redes Sociales
Spoofing
Corporate Attack
Ingenieria social
Intrusión física
Soborno
Lucro
Compro miso
Ego
Ideología
Replicabilidad
Especialización
Complejidad
Difusión
Sectorización
Localización
Anonimidad
Masificación
24
Cybersecurity essentials Conclusión 3
PwC
Una respuesta empresarial
28
Conclusión
“You can never be totally safe”
Iain Loban, Director GCHQ
PwC
Construimos relaciones, creamos valor
El presente documento ha sido preparado a efectos de orientación general sobre materias de interés y no constituye asesoramiento profesional alguno. No deben llevarse a cabo actuaciones en base a la información contenida en este documento, sin obtener el específico asesoramiento profesional. No se efectúa manifestación ni se presta garantía alguna (de carácter expreso o tácito) respecto de la exactitud o integridad de la información contenida en el mismo y, en la medida legalmente permitida. PricewaterhouseCoopers Asesores de Negocios, S.L., sus socios, empleados o colaboradores no aceptan ni asumen obligación, responsabilidad o deber de diligencia alguna respecto de las consecuencias de la actuación u omisión por su parte o de terceros, en base a la información contenida en este documento o respecto de cualquier decisión fundada en la misma.
© 2014 PricewaterhouseCoopers S.L. Todos los derechos reservados. "PwC" se refiere a PricewaterhouseCoopers S.L, firma miembro de PricewaterhouseCoopers International Limited; cada una de las cuales es una entidad legal separada e independiente.
¿Preguntas?
Top Related