Ciberseguridad:
Pasar de Barrera a Habilitadora de Innovación
The better the question. The better the answer. The better the world works.
Ricardo CéspedesSenior Manager
Cybersecurity
Presentada por:
Ciberseguridad: Pasar de Barrera a Habilitadora de Innovación
Aclaración:
© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
Agenda
• Nuestra Actualidad
• Por que estamos fallando
• Convirtiéndonos en habilitadores de innovación
Panorama Actual
Fuentes: Norton LifeLock Cyber Safety Insight 2018, Verizon DBIR 2019. Ponemon Cost of Breach 2019, (ISC)2 Cybersecurity Workforce 2018.
279DíasIdentificar y ContenerBrechas
39%AtaquesGrupos Organizados
33%AtaquesIng. Social
136MilProfesionales Faltantes
LA
52%AtaquesTécnicas de Hacking
800MUsuarios victimas de
Cibercrimen 2018
117MVictimas Robo de
Identidad
US$3.9MCosto medio por Brecha
36%De los Directorios cuentan con un conocimiento suficiente de ciberseguridad para supervisar los riesgos cibernéticos.
► Criminales sofisticados en la región con foco en atacar empresas locales
• Malware persistente enfocando en bancos y datos personales• Ataques a dispositivos móviles a través de SMS y Chats• Operaciones complejas de Fraude en múltiples etapas
Es altamente probable que se victimice a funcionarios por fraudes financierosBYOD representa un riesgo alto en las organizacionesAutenticación RobustaEducación y concientización son indispensables
► Bajo nivel de madurez en ciberseguridad expone a las empresas Chilenas a ataques generalizados que han afectado las operaciones e impactado el negocio
• Wannacry y otros ataques de tipo APT afectaron múltiples organizaciones de diferentes rubros durante el 2018.
Asegurar cumplimiento con estándares de la industria, específicamente: Gestión de vulnerabilidades, Configuraciones de seguridad para ambientes de nube e IoT, Continuidad de negocio, Backup, practicas de recuperación, Monitoreo, Inteligencia de AmenazaRevisión de seguridad de fabricantes, Gestión de riesgos de proveedores.
► Marco regulatorio desactualizado dificulta la aplicación de medidas efectivas para el combate a grupos del cibercrimen, como también le restan competitividad al país con respecto a sus vecinos y a nivel global.
• Están en proceso varios proyectos de ley que aun no se concretan.
• Ante la incertidumbre sobre el alcance de las regulaciones propuestas se acaban postergando las inversiones en la preparación para el cumplimiento.
Anticiparse a los procesos regulatorios adoptando practicas basadas en estándares y normativas relacionadas.Acompañar de cerca los diferentes proyectos de ley y sus implicaciones.
Principales Amenazas Impactos a las empresas
“El mundo se esta convirtiendo altamente digitalizado y fusionado a nivel tecnológico. Si no estamos preparados para asegurar las siguientes olas de cambio, estaremos arriesgando detener el progreso
Dave BurgAmericas Advisory Cybersecurity Leader at EY
¿Por qué Estamos Fallando?Alinear la ciberseguridad con el negocio continua siendo un desafío clave
• Los Ciber ataques están aumentando en cantidad y complejidad
• Las áreas de Ciberseguridad no logran mantener el ritmo de la disrupción digital
• La falta de leyes adecuadas potencia la impunidad de los cibercriminales
Fuerzas
Internas y
Externas
• La Ciberseguridad y la Transformación Digital son vitales para muchas organizaciones, pero
comúnmente no se encuentran alineadas.
• Las organizaciones no están desafiando constantemente a su estructura de ciberseguridad para
que se adapte a los nuevos modelos de negocio y perfiles de riesgo, ocasionando una
desaceleración en adopción de la innovación
• La participación de ciberseguridad en los proyectos de innovación no es obligatoria.
Alineamiento
del Negocio
• En muchos casos la cultura corporativa de las organizaciones ve a ciberseguridad como
una función de cumplimiento y no como una función para la innovación.
• Las áreas de Ciberseguridad comúnmente no están habilitadas ni poseen capacidad para
el desarrollo ágil
Cultura
Cómo puede ser ciberseguridad un diferenciador? Educando usuarios acerca de sus comportamientos de seguridad e incentivando la reducción del riesgo
➢ Presentando resultados individualmente de los impactos a nivel de ciberseguridad y el negocio
➢ Personalización de interfaz de usuario basado en comportamiento del usuario
➢ Proveer incentivos por comportamiento positivo de riesgo de los usuarios
Benefits
Cybersecurity-
digital
convergence
Business
risk
factors
La Ciberseguridad en el futuro será guiada por las ambiciones del negocio y las fuerzas disruptivas de la transformación digital
Las estrategias de innovación en ciberseguridad deben tener una mirada completa tanto interna como externa y de forma transversal
En un mundo cada vez más interconectado una mirada de ciberseguridad interna, focalizada principalmente en la empresa no es suficiente:
► Se requiere una nueva mirada de riesgo de ciberseguridad
► Se requiere un nuevo enfoque para conectarse con los Stakeholders
► Compartir abiertamente logros y fracasos
Un ecosistema interconectado requiere una mirada progresista en ciberseguridad que se pueda enfocar equilibradamente en:
► Influenciar la dinámica de toda la empresa y sus socios de negocio
► Construir a partir de las contribuciones de todos los actores tanto internos como externos y las ideas movidas por la innovación
► La estandarización e integración de los diversos framewroks de seguridad
La Ciberseguridad como un habilitador de la innovaciónLa ciberseguridad debe ser parte de la jornada de transformación hacia el futuro
Rápido al Valor Lean & Ágil Decisivo Colaborativo
Moverse a soluciones tan rápido como posible con foco en las metas del negocio por encima del cumplimiento
Usar metodologías agiles basadas en sprints para desarrollo de soluciones que permitan entregar logros rápidamente a través de la experimentación donde se logre un resultado exitoso o falle rápidamente
Tomar decisiones rápidamente, así esto implique dar de baja iniciativas que inicialmente se veían prometedoras .
Trabajar para entregar resultados, compartir logros y fracasos manteniendo un aprendizaje continuo en conjunto con las partes interesadas con el mismo nivel de seguridad y la definición conjunta de éxito
Factores de éxito para una organización de ciberseguridad efectivaDebemos repensar el rol que juega la ciberseguridad en la protección del futuro
Liderazgo de
Ciberseguridad
El rol del líder de ciberseguridad siempre ha estado y estará en constante evolución. Los lideres de ciberseguridad deben tornarse más públicos y focalizados en el negocio.
Las organizaciones de seguridad deben tener un mejor alineamiento y
adaptación a los requerimientos del negocio, y al mismo tiempo ser más ágiles,
rápidas y flexibles para adaptarse a las nuevas amenazas y requisitos a medida
que se presenten
Organización de
Ciberseguridad
Tecnologías emergentes y de punta como la automatización de procesos por robots
(RPA) y la inteligencia artificial pueden soportar a los lideres de ciberseguridad y las
áreas completas de seguridad en mantener el ritmo acorde a la velocidad del cambio,
desplegando los limitados recursos de forma más efectiva.
Soporte
Tecnológico
La Fuerza esta en la unión La ciberseguridad es un esfuerzo colectivo y no un logro individual
► Las organizaciones de ciberseguridad deben apostarle al poder de lo colectivo para enfrentar los desafíos y amenazas que van surgiendo.
► Las organizaciones deben mantener un nivel superior de vigilancia global para predecir de mejor forma los ataques regionales o locales.
Agremiaciones de Profesionales de Ciberseguridad
• International System Security CertificationConsortium (ISC)2
• Information Security Forum
• Global Center for Cybersecurity World Economic Forum
Colaboración Publico - Privada
• Financial Services Information Sharing and Analysis Center
• Health Information Sharing and Analysis Center
Otras Agremiaciones
• TruSight –Transforming Third Party risk Management
• Sheltered Harbor –Creada por la industria financiera para proteger al consumidor
Un Llamado a la Acción El comienzo del camino hacia el futuro de la ciberseguridad
► Aceptar que podrás necesitar abandonar tu postura actual de ciberseguridad y comenzar de cero.
► Revisar tus modelos operacionales actuales de ciberseguridad y dedicar recursos hacia la innovación.
► Operar la función de innovación de ciberseguridad como un área de desarrollo de producto (No como centro de costo)
► Actualizar a los equipos responsables de ciberseguridad para definir métricas de negocio y reportar sobre los resultados.
Is cybersecurity about more than protection?
The better the question. The better the answer. The better the world works.
Global Information Security Survey
2018-19 results
Gracias por asistir a esta sesión.
Preguntas y Respuestas
Para mayor información:
Ricardo Céspedes
Para descargar esta presentación visite
www.segurinfo.org