El deber de la Junta Directiva: Abordar el Ciber Riesgo

Transcripción

El deber de la Junta Directiva:
Abordar el Ciber Riesgo
Wilmar Arturo Castellanos
[email protected]
Noviembre de 2014
Agenda
1
El panorama cambiante de amenazas
2
La necesidad de apoyo de la junta directiva
3
Estrategias para el éxito
4
Preguntas
Copyright © 2014 Deloitte Development LLC. All rights reserved.
El panorama cambiante
de amenazas
El panorama está evolucionando
El negocio y el entorno de TI están cambiando...
– Modelos de negocio nube, movilidad, tercerización
– Entorno de TI de la empresa interrumpido—BYOD
– Reguladores preocupados por las ciber amenazas
Ambiente
Regulatorio
Cambiante
…hay riesgos nuevos, persistentes y evolutivos …
– Ataques más frecuentes, sofisticados y maliciosos
– Un amplio rango de motivaciones
– La información es fácilmente accesible y representa
dinero
– Los altos ejecutivos son el objetivo
Ambiente de
amenazas
que
evoluciona
Ambiente
de TI
Cambiante
…las empresas luchan por mantener el paso
– Los riesgos evolucionan más rápido que la
capacidad de reacción de las empresas
– No hay disponibilidad de todas las habilidades
– Entendimiento y soporte de la Junta
– Presiones de presupuesto
– Cómo “medir” el ciber riesgo
– Transformar su pensamiento sobre ciber riesgo
La innovación que impulsa el crecimiento,
también crea ciber riesgos
Agentes de amenazas aprovechan
las debilidades que son generadas
por el crecimiento de los negocios y
las innovaciones tecnológicas
Las ciber amenazas son riesgos asimétricos:
•
•
•
La seguridad perfecta no es
factible. En cambio, disminuir
el impacto de los ciber
incidentes es posible siendo:
SEGUROS
Pequeños, pero calificados grupos pueden
generar un daño desproporcionado
Las motivaciones son muy específicas,
reducción del azar
Distribuidos alrededor del mundo, buscan
evadir la aplicación de la ley
•
La velocidad de las amenazas está en
aumento
•
La ventana de respuesta se está reduciendo
Los programas de ciber riesgos
deben ser considerados una
parte más de la gestión del
negocio
VIGILANTES
RESISTENTES
El panorama de la ciber seguridad
• Estados-nación y espías – Los que buscan
robar secretos de seguridad nacional o
propiedad intelectual.
• Criminales organizados – Autores que usan
herramientas sofisticadas para robar dinero e
información privada o sensible acerca de los
consumidores de una entidad (e.g., robo de
identidad)
• Terroristas – Los que buscan atacar la
infraestructura económica clave de un
Estado.
• “Hacktivistas” – Individuos o grupos que
buscan hacer una declaración social o política
mediante el robo o publicación de
información sensible de una organización.
mesa redonda de la SEC sobre seguridad
cibernética, marzo de 2014
Vectores de
amenaza
Matriz de
amenazas
Inteligencia
ante la
amenaza
Capacidad de
recuperación
ante la
amenaza
La necesidad de
apoyo de la junta
directiva
El rol de la Junta Directiva frente al ciber
riesgo
•
•
•
•
•
Un panelista observó que aproximadamente el 1 por ciento de las juntas de directores (de
compañías registradas SEC) tienen al menos un miembro con experticia en seguridad
cibernética o en tecnología.
…un creciente número de juntas está contratando expertos externos para que les ayuden con la
evaluación de los riesgos de la seguridad cibernética…
…los panelistas sugirieron que la junta de directores y el liderazgo principal son críticos para la
efectividad de la preparación y la capacidad de recuperación de la compañía ante las
amenazas a la seguridad cibernética.
…los individuos que están en la estructura de gobierno (y en otros roles de liderazgo) de la
entidad deben ser capaces de hacer las preguntas correctas, entender las implicaciones
estratégicas de las amenazas, y centrarse en la competencia de los protocolos y de los
programas de respuesta de la entidad.
…la administración principal puede jugar un rol importante en la creación de una cultura de
seguridad cibernética que “comienza en la junta”.
mesa redonda de la SEC sobre seguridad cibernética, marzo de 2014
La JD debería establecer el apetito al riesgo y
focalizarse en lo prioritario
¿Quién me podría atacar?
• Ciber criminales
• "Hacktivistas”
¿Qué están buscando, cuáles son
los riesgos clave que debo
mitigar?
¿Qué tácticas podrían utilizar?
• Estados (Países)
• Desde adentro /
socios de negocio
• Competidores
Programa de ciber riesgo y
gobierno
SEGUROS
¿ Tenemos
implementados
controles para
defendernos de
las amenazas
conocidas y
emergentes?
VIGILANTES
¿Podemos
detectar
actividades
maliciosas o sin
autorización,
incluso las
desconocidas?
• Hackers expertos
RESISTENTES
¿Podemos
actuar y
recuperarnos
rápidamente
para minimizar
el impacto?
mitigar?
• Robo de propiedad
intelectual / Planes
Estratégicos
• Fraude Financiero
• Daño reputacional
gobierno
SEGUROS
¿ Tenemos
implementados
controles para
defendernos de
las amenazas
conocidas y
emergentes?
VIGILANTES
¿Podemos
detectar
actividades
maliciosas o sin
autorización,
incluso las
desconocidas?
RESISTENTES
¿Podemos
actuar y
recuperarnos
rápidamente
para minimizar
el impacto?
• Interrupción de la
operación del negocio
• Destrucción de
infraestructura crítica
• Amenazas a la
seguridad y salud
mitigar?
Programa
dede
ciber
Programa
ciberriesgo y
riesgogobierno
y gobierno
SEGUROS
¿ Tenemos
implementados
controles para
defendernos de
las amenazas
conocidas y
emergentes?
VIGILANTES
¿Podemos
detectar
actividades
maliciosas o sin
autorización,
incluso las
desconocidas?
RESISTENTES
¿Podemos
actuar y
recuperarnos
rápidamente
para minimizar
el impacto?
• Phishing, malware, etc.
• Vulnerabilidades en
software o hardware
• Terceros comprometidos
• Ataques multi-canales
• Robo de credenciales
mitigar?
Seguros
•
•
•
•
Defensas perímetro
Gestión de las
•
vulnerabilidades
Gestión de activos
•
Vigilantes
•
gobierno
SEGUROS
¿ Tenemos
implementados
controles para
defendernos de
las amenazas
conocidas y
emergentes?
VIGILANTES
¿Podemos
detectar
actividades
maliciosas o sin
autorización,
incluso las
desconocidas?
RESISTENTES
¿Podemos
actuar y
recuperarnos
rápidamente
para minimizar
el impacto?
•
Inteligencia de
amenazas
Monitoreo de
la seguridad
•
•
Gestión de las
identidades
Ciclo de
desarrollo seguro
de sistemas
Protección de
datos
Análisis del
comportamiento
Analíticas de
riesgos
Resistentes
•
•
Respuestas a
incidentes
Análisis forense
•
•
•
Continuidad del
negocio
Recuperación de
desastres
Gestión de crisis
El apoyo de la JD es clave
Junta Directiva y
Presidente
“Tone at the top”
Creación de conciencia de ciber riesgo
Gobierno del ciber riesgo
Alta Dirección
(COO, CAO, CRO)
Empoderar
Dirección
de
Dirección
IT (CIO)
Información (CIO)
Liderar (No delegar)
Dirección de
Riesgo de IT /
(CISO/CITRO)
Definir el balance
adecuado
Lideres líneas de
negocio
Apoyar la integración
de la gestión del ciber
riesgo
Ejecutar la Estrategia
Gestionar e
informar riesgos
Dominios TI
Gestión integral del ciber
riesgo totalmente integrado
a las disciplinas TI
Arquitectura e
Desarrollo de
ingeniería
Infraestructura
aplicaciones
Operaciones
de Seguridad
Otras
funciones
Estrategias para el éxito
Estableciendo un amplio programa de riesgo
cibernético
Un marco de gestión de riesgo cibernético puede ayudar a las organizaciones a racionalizar
los riesgos y gastos, y al mismo tiempo cumplir con la regulación y otros requisitos
Marco de Gestión del Riesgo Cibernético
Marco de
Conceptos
Crecimiento / Innovación
Seguro
Gobierno y
supervisión
Políticas y
normas
Gestión de
procesos
La estructura
organizacional,
comités, roles y
responsabilidades
de gestionar el
ciber riesgo.
Manejo de
expectativas para la
gestión de
tecnología y riesgo
de tecnología.
Procesos para
gestionar riesgos en
Línea 1
(“Operaciones y
gestión del riesgo”)
Línea 2
(“Supervisión del
Riesgo”)
Estrategia TI
Gestión y
dominios de
riesgo
Costos
Gestión de datos
Vigilante
Herramientas
y tecnología
Instrumentos y
tecnología que
apoyan el ciclo de
vida de gestión de
riesgos y la
integración de ciber
riesgo
Resistente
Medición de
riesgos
Cultura de riesgo
Informes que
identifican riesgos y
funcionamiento a
través de TI;
comunicados a
múltiples niveles de
dirección
Actitud en los niveles
superiores sobre el
apetito al riesgo,
entrenamiento
apropiado y
conciencia, etc. para
promover una cultura
positiva de riesgo.
Gestión de
Programas
Seguridad de la
información / Ciber
Riesgo (SI / CR)
Entrega del servicio y
operaciones
Gestión de
proveedores / terceros
Gestión de
aplicaciones
Gestion de la
continuidad del
servicio
Gestión Financiera
Gestión del Talento
Las acciones de la organización deberán ser
priorizadas al entorno de su industria y
operación
Principales preguntas para la JD
¿Estamos enfocados en lo correcto?
¿Tenemos el talento apropiado?
¿Somos proactivos o reactivos?
¿Estamos incentivando la colaboración
abierta?
¿Nos estamos adaptando al
cambio?
10 Pasos que la Junta debería considerar
1
Establezca un Comité de Ciber Riesgos separado del Comité de
Auditoría y defina un responsable para gestión de riesgos de negocio
incluyendo los ciber riesgos
2
Determine si el CISO (Oficial de Seguridad) debería reportar a una
gerencia diferente al CTO (Director de TI), basado en la tolerancia de
riesgo de la organización y el perfil de la información sensible.
3
Evalúe el plan existente de respuesta a incidentes cibernéticos. Enfoque
los controles en lo prioritario y qué hacer en caso de un incidente.
4
Revise la política de alto nivel que tenga la organización para crear una
cultura de conciencia al riesgo.
5
Determine si los requisitos de seguridad y privacidad para
proveedores (incluyendo proveedores de servicios en la nube,
hosting, mobile y de Software as a Service - SaaS) cumplen con el
programa de seguridad de la empresa
10 Pasos que la Junta debería considerar
6
Solicite informes regulares a la dirección sobre riesgos de privacidad y
seguridad – no basados en estados de avance de proyectos sino en
indicadores de riesgo claves
7
Lleve a cabo una reunión anual con el comité encargado de ciber
riesgo para revisar presupuestos de ciber seguridad y determinar si el
presupuesto para seguridad y gestión de riesgos cibernéticos se alinea
con el perfil de riesgo de la compañía y el apetito al riesgo
8
Realice revisiones anuales de seguridad y programas de privacidad
incluyendo respuesta a incidentes, notificación de contingencias,
recuperación de desastres y planes de comunicación de crisis.
9
Reevalúe anualmente el uso y la necesidad de seguros para ciber
amenazas.
10
Solicite a la administración mantenerlo regularmente actualizado
para garantizar que los controles de seguridad están en línea con la
tolerancia al riesgo de la organización.
Preguntas

El deber de la Junta Directiva: Abordar el Ciber Riesgo

Transcripción

Documentos relacionados

Cosas sobre el hospital