El deber de la Junta Directiva: Abordar el Ciber Riesgo
Transcripción
El deber de la Junta Directiva: Abordar el Ciber Riesgo
El deber de la Junta Directiva: Abordar el Ciber Riesgo Wilmar Arturo Castellanos [email protected] Noviembre de 2014 Agenda 1 El panorama cambiante de amenazas 2 La necesidad de apoyo de la junta directiva 3 Estrategias para el éxito 4 Preguntas Copyright © 2014 Deloitte Development LLC. All rights reserved. El panorama cambiante de amenazas El panorama está evolucionando El negocio y el entorno de TI están cambiando... – Modelos de negocio nube, movilidad, tercerización – Entorno de TI de la empresa interrumpido—BYOD – Reguladores preocupados por las ciber amenazas Ambiente Regulatorio Cambiante …hay riesgos nuevos, persistentes y evolutivos … – Ataques más frecuentes, sofisticados y maliciosos – Un amplio rango de motivaciones – La información es fácilmente accesible y representa dinero – Los altos ejecutivos son el objetivo Ambiente de amenazas que evoluciona Ambiente de TI Cambiante …las empresas luchan por mantener el paso – Los riesgos evolucionan más rápido que la capacidad de reacción de las empresas – No hay disponibilidad de todas las habilidades – Entendimiento y soporte de la Junta – Presiones de presupuesto – Cómo “medir” el ciber riesgo – Transformar su pensamiento sobre ciber riesgo Copyright © 2014 Deloitte Development LLC. All rights reserved. La innovación que impulsa el crecimiento, también crea ciber riesgos Agentes de amenazas aprovechan las debilidades que son generadas por el crecimiento de los negocios y las innovaciones tecnológicas Las ciber amenazas son riesgos asimétricos: • • • La seguridad perfecta no es factible. En cambio, disminuir el impacto de los ciber incidentes es posible siendo: SEGUROS Pequeños, pero calificados grupos pueden generar un daño desproporcionado Las motivaciones son muy específicas, reducción del azar Distribuidos alrededor del mundo, buscan evadir la aplicación de la ley • La velocidad de las amenazas está en aumento • La ventana de respuesta se está reduciendo Los programas de ciber riesgos deben ser considerados una parte más de la gestión del negocio VIGILANTES RESISTENTES Copyright © 2014 Deloitte Development LLC. All rights reserved. El panorama de la ciber seguridad • Estados-nación y espías – Los que buscan robar secretos de seguridad nacional o propiedad intelectual. • Criminales organizados – Autores que usan herramientas sofisticadas para robar dinero e información privada o sensible acerca de los consumidores de una entidad (e.g., robo de identidad) • Terroristas – Los que buscan atacar la infraestructura económica clave de un Estado. • “Hacktivistas” – Individuos o grupos que buscan hacer una declaración social o política mediante el robo o publicación de información sensible de una organización. mesa redonda de la SEC sobre seguridad cibernética, marzo de 2014 Vectores de amenaza Matriz de amenazas Inteligencia ante la amenaza Capacidad de recuperación ante la amenaza La necesidad de apoyo de la junta directiva El rol de la Junta Directiva frente al ciber riesgo • • • • • Un panelista observó que aproximadamente el 1 por ciento de las juntas de directores (de compañías registradas SEC) tienen al menos un miembro con experticia en seguridad cibernética o en tecnología. …un creciente número de juntas está contratando expertos externos para que les ayuden con la evaluación de los riesgos de la seguridad cibernética… …los panelistas sugirieron que la junta de directores y el liderazgo principal son críticos para la efectividad de la preparación y la capacidad de recuperación de la compañía ante las amenazas a la seguridad cibernética. …los individuos que están en la estructura de gobierno (y en otros roles de liderazgo) de la entidad deben ser capaces de hacer las preguntas correctas, entender las implicaciones estratégicas de las amenazas, y centrarse en la competencia de los protocolos y de los programas de respuesta de la entidad. …la administración principal puede jugar un rol importante en la creación de una cultura de seguridad cibernética que “comienza en la junta”. mesa redonda de la SEC sobre seguridad cibernética, marzo de 2014 Copyright © 2014 Deloitte Development LLC. All rights reserved. La JD debería establecer el apetito al riesgo y focalizarse en lo prioritario ¿Quién me podría atacar? • Ciber criminales • "Hacktivistas” ¿Qué están buscando, cuáles son los riesgos clave que debo mitigar? ¿Qué tácticas podrían utilizar? • Estados (Países) • Desde adentro / socios de negocio • Competidores Programa de ciber riesgo y gobierno SEGUROS ¿ Tenemos implementados controles para defendernos de las amenazas conocidas y emergentes? VIGILANTES ¿Podemos detectar actividades maliciosas o sin autorización, incluso las desconocidas? • Hackers expertos RESISTENTES ¿Podemos actuar y recuperarnos rápidamente para minimizar el impacto? Copyright © 2014 Deloitte Development LLC. All rights reserved. La JD debería establecer el apetito al riesgo y focalizarse en lo prioritario ¿Quién me podría atacar? ¿Qué están buscando, cuáles son los riesgos clave que debo mitigar? ¿Qué tácticas podrían utilizar? • Robo de propiedad intelectual / Planes Estratégicos • Fraude Financiero • Daño reputacional Programa de ciber riesgo y gobierno SEGUROS ¿ Tenemos implementados controles para defendernos de las amenazas conocidas y emergentes? VIGILANTES ¿Podemos detectar actividades maliciosas o sin autorización, incluso las desconocidas? RESISTENTES ¿Podemos actuar y recuperarnos rápidamente para minimizar el impacto? • Interrupción de la operación del negocio • Destrucción de infraestructura crítica • Amenazas a la seguridad y salud Copyright © 2014 Deloitte Development LLC. All rights reserved. La JD debería establecer el apetito al riesgo y focalizarse en lo prioritario ¿Quién me podría atacar? ¿Qué están buscando, cuáles son los riesgos clave que debo mitigar? ¿Qué tácticas podrían utilizar? Programa dede ciber Programa ciberriesgo y riesgogobierno y gobierno SEGUROS ¿ Tenemos implementados controles para defendernos de las amenazas conocidas y emergentes? VIGILANTES ¿Podemos detectar actividades maliciosas o sin autorización, incluso las desconocidas? RESISTENTES ¿Podemos actuar y recuperarnos rápidamente para minimizar el impacto? • Phishing, malware, etc. • Vulnerabilidades en software o hardware • Terceros comprometidos • Ataques multi-canales • Robo de credenciales Copyright © 2014 Deloitte Development LLC. All rights reserved. La JD debería establecer el apetito al riesgo y focalizarse en lo prioritario ¿Quién me podría atacar? ¿Qué están buscando, cuáles son los riesgos clave que debo mitigar? Seguros • • • • Defensas perímetro Gestión de las • vulnerabilidades Gestión de activos • ¿Qué tácticas podrían utilizar? Vigilantes • Programa de ciber riesgo y gobierno SEGUROS ¿ Tenemos implementados controles para defendernos de las amenazas conocidas y emergentes? VIGILANTES ¿Podemos detectar actividades maliciosas o sin autorización, incluso las desconocidas? RESISTENTES ¿Podemos actuar y recuperarnos rápidamente para minimizar el impacto? • Inteligencia de amenazas Monitoreo de la seguridad • • Gestión de las identidades Ciclo de desarrollo seguro de sistemas Protección de datos Análisis del comportamiento Analíticas de riesgos Resistentes • • Respuestas a incidentes Análisis forense • • • Continuidad del negocio Recuperación de desastres Gestión de crisis Copyright © 2014 Deloitte Development LLC. All rights reserved. El apoyo de la JD es clave Junta Directiva y Presidente “Tone at the top” Creación de conciencia de ciber riesgo Gobierno del ciber riesgo Alta Dirección (COO, CAO, CRO) Empoderar Dirección de Dirección IT (CIO) Información (CIO) Liderar (No delegar) Dirección de Riesgo de IT / (CISO/CITRO) Definir el balance adecuado Lideres líneas de negocio Apoyar la integración de la gestión del ciber riesgo Ejecutar la Estrategia Gestionar e informar riesgos Dominios TI Gestión integral del ciber riesgo totalmente integrado a las disciplinas TI Arquitectura e Desarrollo de ingeniería Infraestructura aplicaciones Operaciones de Seguridad Otras funciones Copyright © 2014 Deloitte Development LLC. All rights reserved. Estrategias para el éxito Estableciendo un amplio programa de riesgo cibernético Un marco de gestión de riesgo cibernético puede ayudar a las organizaciones a racionalizar los riesgos y gastos, y al mismo tiempo cumplir con la regulación y otros requisitos Marco de Gestión del Riesgo Cibernético Marco de Conceptos Crecimiento / Innovación Seguro Gobierno y supervisión Políticas y normas Gestión de procesos La estructura organizacional, comités, roles y responsabilidades de gestionar el ciber riesgo. Manejo de expectativas para la gestión de tecnología y riesgo de tecnología. Procesos para gestionar riesgos en Línea 1 (“Operaciones y gestión del riesgo”) Línea 2 (“Supervisión del Riesgo”) Estrategia TI Gestión y dominios de riesgo Costos Gestión de datos Vigilante Herramientas y tecnología Instrumentos y tecnología que apoyan el ciclo de vida de gestión de riesgos y la integración de ciber riesgo Resistente Medición de riesgos Cultura de riesgo Informes que identifican riesgos y funcionamiento a través de TI; comunicados a múltiples niveles de dirección Actitud en los niveles superiores sobre el apetito al riesgo, entrenamiento apropiado y conciencia, etc. para promover una cultura positiva de riesgo. Gestión de Programas Seguridad de la información / Ciber Riesgo (SI / CR) Entrega del servicio y operaciones Gestión de proveedores / terceros Gestión de aplicaciones Gestion de la continuidad del servicio Gestión Financiera Gestión del Talento Las acciones de la organización deberán ser priorizadas al entorno de su industria y operación Copyright © 2014 Deloitte Development LLC. All rights reserved. Principales preguntas para la JD ¿Estamos enfocados en lo correcto? ¿Tenemos el talento apropiado? ¿Somos proactivos o reactivos? ¿Estamos incentivando la colaboración abierta? ¿Nos estamos adaptando al cambio? Copyright © 2014 Deloitte Development LLC. All rights reserved. 10 Pasos que la Junta debería considerar 1 Establezca un Comité de Ciber Riesgos separado del Comité de Auditoría y defina un responsable para gestión de riesgos de negocio incluyendo los ciber riesgos 2 Determine si el CISO (Oficial de Seguridad) debería reportar a una gerencia diferente al CTO (Director de TI), basado en la tolerancia de riesgo de la organización y el perfil de la información sensible. 3 Evalúe el plan existente de respuesta a incidentes cibernéticos. Enfoque los controles en lo prioritario y qué hacer en caso de un incidente. 4 Revise la política de alto nivel que tenga la organización para crear una cultura de conciencia al riesgo. 5 Determine si los requisitos de seguridad y privacidad para proveedores (incluyendo proveedores de servicios en la nube, hosting, mobile y de Software as a Service - SaaS) cumplen con el programa de seguridad de la empresa Copyright © 2014 Deloitte Development LLC. All rights reserved. 10 Pasos que la Junta debería considerar 6 Solicite informes regulares a la dirección sobre riesgos de privacidad y seguridad – no basados en estados de avance de proyectos sino en indicadores de riesgo claves 7 Lleve a cabo una reunión anual con el comité encargado de ciber riesgo para revisar presupuestos de ciber seguridad y determinar si el presupuesto para seguridad y gestión de riesgos cibernéticos se alinea con el perfil de riesgo de la compañía y el apetito al riesgo 8 Realice revisiones anuales de seguridad y programas de privacidad incluyendo respuesta a incidentes, notificación de contingencias, recuperación de desastres y planes de comunicación de crisis. 9 Reevalúe anualmente el uso y la necesidad de seguros para ciber amenazas. 10 Solicite a la administración mantenerlo regularmente actualizado para garantizar que los controles de seguridad están en línea con la tolerancia al riesgo de la organización. Copyright © 2014 Deloitte Development LLC. All rights reserved. Preguntas