Gestión del riesgo Ciber-SeguridadUn asunto estratégico
Octubre 2018
Bismark E. Rodríguez | CFA CIA CFSA CCSA CRMA AMLCA CPA PAGPartner | Head of Financial Services Risk Management(FSRM) Latam North EY | Financial Services Office
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 2
Acerca del expositor
Bismark E. RodríguezCFA CIA CFSA CCSA CRMA AMLCA CPA PAG
Partner | Head of Financial Services Risk Management(FSRM) Latam North
EY | Financial Services Office
► 27 años de experiencia profesional;► CPA UCLA – 1992;► Programa Avanzado de Gerencia (PAG) – IESA 1998;► Harvard Leadership Program – 2016► Líder de la práctica de Gestión de Riesgos para Servicios
Financieros de EY en la Región Norte de LATAM;► Miembro externo de comités de auditoría, riesgos y
cumplimiento de varias entidades financieras en lar región;► Facilitador internacional en temas como: Auditoría Interna,
COSO, ERM, Basilea, Solvencia, IAS39 e IFRS 9, Riesgo deCrédito y Operacional, Gobierno Corporativo y AML;
► Miembro desde 2012 al 2016 del International InternalAuditing Standard Board (IIASB) con The IIA;
► Desde 2017 es miembro del Comittee of Research andProfessional Education (CREA) de The IIA;
► Conferencista y articulista.
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Agenda
Estrategia de gestión del riesgo de ciber-seguridad
Tres líneas de enfoque estratégico de defensacontra los riesgos de ciber-seguridad
Regulaciones y riesgos sistémicos ante lasamenazas de la ciber-seguridad
El futuro de la ciber-seguridad
Contexto general en la industria
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Consideraciones finales: El Futuro de Riesgos
01ContextoSuperintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo Bancario
Gestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 5
Varias fuentes citan…
6.4 BillonesLa cantidad de correos electrónicos falsos enviados
a todo el mundo: todos los días
50%El número de autoridades locales en Inglaterra que
confían en un servidor de software sin soporte
1,946,181,599El total de registros que contienen datos personales y otrosdatos confidenciales comprometidos entre enero de 2017 y
Marzo 2018
550 MillonesEl número de correos electrónicos de phishing
enviados por una sola campaña durante el primertrimestre de 2018
1,464El número de funcionarios de gobierno en utilizando
"Contraseña123" como su contraseña
2 MillonesEl número de identidades robadas utilizadas para realizarcomentarios falsos durante una investigación de Estados
Unidos sobre la neutralidad de la red
US$729,000La cantidad perdida por un empresario en una estafa
combinando“Catphishing” y “whaling”
US$3.62mEl costo promedio de brechas de datos el año pasado
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 6
Varias fuentes citan…
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 7
Percepción
Hoy las entidades financieras son digitales por defecto
► Estamos en un mundo cada vez más conectado donde el panorama digital es vasto y todos los activospertenecientes o utilizados por una entidad representan un nodo más a la red.
► Las entidades dependen cada día más de la tecnología, la automatización y los datos operacionales paraimpulsar sus ganancias por productividad, una mejora de los márgenes, y los objetivos de reducción decostos.
► Al mismo tiempo, nunca ha sido más difícil para las organizaciones comprender y proteger el entorno digitalen el que operan o sus interacciones con él.
Percepción de nuestra Global Information Security Survey 2018
87%
De los encuestados dicenque necesitan hasta un50% más de presupuestopara ciber-seguridad 36%
de los consejos tienensuficiente conocimientode ciber-seguridad parauna supervisión efectivade los riesgoscibernéticos
89%
Dice que su función deseguridad cibernética nocumple completamentecon las necesidades de suorganización
1 El panorama tecnológico decada organización es un tantopersonalizado como complejo 2 Definir la “organización” es
difícil al difuminar aún más elperímetro de seguridad 3
Una mayor conectividad entre latecnología de la información y entornosde tecnología operativa (OT) menosmaduros amplía la "superficie deataque"
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 8
La Amenaza Cibernética
¿Cuál considera que es la fuente másprobable de un ataque?
Muy Probable
ProbableImprobable
Muy Improbable
¿En su opinión, cuál es laprobabilidad de que suorganización detecte un ataquecibernético sofisticado ?
40%
15%
12%
11%
10%
9%
5%
4%
3%
Empleados malintencionados odescuidados
Sindicato criminal
Hacktivistas
Atacante Lobo solitario
Contratista externo, in situ.
Atacante patrocinado por elestado
Proveedor
Otro socio de negocios
Cliente
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 9
La Amenaza Cibernética
¿Qué vulnerabilidades han aumentado más laExposición en los últimos 12 meses?
34%
25%
22%
14%
11%
9%
Empleados descuidados o inconscientes
Controles / arquitectura de seguridad dela información obsoletos
Computación en la nube
Informática móvil
Redes sociales
Acceso no autorizado
Fuente: www.diariolibre.com 20/09/2018.
Los sectores de salud, específicamenteen lo que tiene que ver con récord oregistros médicos; el financiero con lastarjetas de crédito; y el sistemaeducativo, con las universidades a lacabeza, son los más vulnerables a losciberataques en el mundo digital, lo queconlleva a pérdidas de datos y de dinero.
Según la empresa
estadounidense Fortinet
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 10
Para 77% de las organizaciones, el punto más obvio de vulnerabilidad provendráde un empleado descuidado o de un empleado con intenciones maliciosas.
64% de las organizaciones ven el phishing como la mayor amenaza, y cada vezestán más preocupados por la poca conciencia y comportamiento del usuario.
48% de las organizaciones no cuentan con la certificación de Controles de Sistemay Organización (SOC), a pesar de que los ataques avanzados son cada vez máscomunes
Solo el 8% tiene un sólido programa de respuesta a incidentes que incluye llevar acabo ejercicios de mesa de respuesta a crisis con regularidad - Plan de Respuesta aBrechas de Seguridad Cibernética (CBRP).
¿Qué está impulsando la necesidad de la gestión delriesgo cibernético?
¿Qué está impulsando la necesidad de la gestión del riesgocibernético?
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 11
TENDENCIAS
Big Data
Cloudcomputing
Digital
Nuevas tecnologías(cryptocurrency; block
chain)
Internet ofThings
DataProtection
Nuevasregulaciones
¿Cómo está incidiendo la ciber-seguridad en el mundodigital?
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
02Estrategia de la gestión del riesgo deciber-seguridad
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 13
38%
27%
20%
19%
18%
14%
9%
7%
7%
3%
2%
14%
23%
25%
29%
26%
36%
39%
48%
25%
37%
25%
44%
39%
49%
17%
14%
33%
33%
24%
15%
14%
12%
5%
11%
6%
35%
42%
16%
19%
21%
53%
46%
61%
0% 20% 40% 60% 80% 100%
Infraestructura digital y móvil
Asociación con actores FINTECH
“Big data”
Chatbots
Servicios utilitarios externos
RPA
Machine learning
Artificial intelligence
Internal blockchain/distributed ledger
External blockchain/distributed ledger
Esquems para identificar colaboracionesabiertas (crowd-sourcing)
Estado de los planes para reducir los costos a través de losbancos digitales en medio de una transformación digitalimportante multianual y multifacética:
Transformación digital y sus efectos en la gestión de riesgosEn el uso de tecnología para involucrar a los clientes, la industriaestá implementando una variedad de tecnologías para interactuarmejor con sus clientes, con algunas más avanzadas que otras:
56%
29%
26%
20%
19%
19%
15%
11%
27%
26%
30%
17%
25%
22%
27%
26%
30%
20%
8%
22%
31%
6%
18%
18%
30%
56%
34%
32%
0% 20% 40% 60% 80% 100%
Uso de APPs para interfase con clientes
Acceso biométrico
APIs que permiten a clientes interfasescon otras APPs
Tecnologia Open Source
Uso de Tecnologpia "Weareble"
Chatbots
Desarrollo de "Robo-Advisers"
Instalada Planeada En construcción No planeadoFuente: 2017 Risk Management Global Survey | EY -IIF
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 14
El sector financiero se enfrentará a impactos significativos en las siguientes tecnologías en su enfoque degestión de riesgos en los próximos tres años:
15%
10%
48%
14%
21%
5%
25%
13%
42%
25%
38%
33%
21%
18%
28%
34%
9%
46%
14%
38%
44%
28%
47%
5%
19%
16%
13%
48%
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
Sobre los próximos 3 años
Para el siguiente año
Sobre los próximos 3 años
Para el siguiente año
Sobre los próximos 3 años
Para el siguiente año
Sobre los próximos 3 años
Para el siguiente añoBlockchain / Librodistribuido
Robótica /Automatización
Inteligencia Artificial/ Aprendizajeautomático
Chatbots
33%
45%
Significativo Parcial Limitado No hay cambios reales
Transformación digital de la gestión de riesgos
Fuente: 2017 Risk Management Global Survey | EY -IIF
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 15
La era digital y los riesgo que enfrentaPrincipales riesgos tecnológicos
¿Los gestionamos?
Protección de datosy privacidad Redes sociales Cybersecurity Gestión de
programas
Gobierno de datos ygerencia
Integridad de datos
Calidad de datos
Infraestructura yarquitectura
Confidencialidad yrecuperación de TI Seguridad de TI Gestión de la
propiedad intelectualGestión de
requerimientos de TI Cloud computing
Dispositivosdigitales y móviles
Cambio tecnológico
Gestión de licenciasde software
Revisión de políticasde tercerización
Desarrollo deaplicaciones
El desafío de las IF es fortalecer sus procesosde administración de riesgos, y considerar en
su tratamiento los aspectos éticos queenfrentan.
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 16
¿Pero qué más?
Lo estratégico► Renovar marco ERM► Medir riesgos en el
desempeño► ROI, rentabilidad, costos
Lo regulatorio► Joint ventures.
► Nuevos servicios y negocios► Expectativas del regulador
La reputación► Experiencia de cliente
► Cyber-security► Gestión de marca y redes
sociales
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 17
La ciber-seguridad es el único riesgo que, si no se gestiona de maneraproactiva, puede comprometer la información confidencialEsto afectaría la marca, la lealtad del cliente hacia la entidad y su valor en el mercado
Los negocios como siempre están evolucionando dramáticamente. El advenimiento del mundo digital y lainterconectividad inherente ofrece un nuevo campo de juego de vulnerabilidades. Lo que solíamos saber y hacerya no es suficiente para protegernos de la avalancha de ciber-amenazas y ataques nuevos y emergentes.
Ser atacado es inevitable! Entonces, ¿cuán preparado está?¿puede dar respuestas claras a preguntas claves?
¿Sabe cómo mantener lacapacidad de detectar y
abordar nuevas amenazascibernéticas y riesgos
emergentes?
¿Sabe cómo evaluar estadoactual de la seguridad de su
entidad y cuánto debegastar en ciber-seguridad?
¿Sabe si sus ejecutivos y elconsejo están informados
sobre el riesgo cibernético ysu impacto en el negocio?
¿Sabe cómo influir en lamitigación del riesgo de
ciber-seguridad en lasunidades de negocio
autónomas?
Responder “no” a cualquiera de las preguntas aumentasignificativamente el perfil de riesgo de su organización
1
2
3
4
1.La ciber-seguridad es mucho más que un problema de TI;2.Las organizaciones en todo el mundo ahora reconocen
que los riesgos de ciber-seguridad son una de las tresprincipales preocupaciones;
3.Las actividades habituales como lanzamientos de nuevosproductos, fusiones y adquisiciones y expansión delmercado ahora tienen una dimensión ciber-seguridad;
4.Traer sus propias políticas de dispositivos (BYOD), juntocon la adopción de operaciones y servicios móviles ybasados en la nube, aumentan y cambian drásticamenteel panorama de riesgo de nuestra vida profesional ypersonal;
5.Vivimos y operamos en un ecosistema de entidades,personas y datos conectados digitalmente, lo que aumentala probabilidad de exposición al delito cibernético.
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 18
¿Están obsoletas las defensas ante el riesgo cibernético?
Impulsado por regulaciones externas
Concentra en aspectos técnicospara la recuperación ante desastres
Apoyados por sistemas heredados
Cubrir la organización es el límiteal preparar el DRP
Limitado intercambio de conocimientos
Enfoque reactivo
Procesos mayormente manuales
Los desastres son provocadosprincipalmente por fallas técnicas
Mejora continua
Enfoque holístico para resistir yreaccionar ante amenazas disruptivas
Impulsado por las expectativas delconsumidor y la generación del valor
Fortalecida por las tecnologías SMART
Intercambio de conocimientos fluido entreempresas y entidades gubernamentales
Cobertura amplia con un enfoqueque se extiende fuera de la organización
Enfoque proactivo
Se identifican y abordan causas complejasde interrupción
Procesos automatizados e integrados
Innovación continua y reingeniería
Res
ilien
cia
Trad
icio
nal
Ciber
resiliencia
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 19
La credibilidad digital define la ruta hacia la diferenciación yventaja competitiva en un entorno que rápidamente setransforma tecnológicamente
En tanto se incrementa la complejidad digital ylas expectativas de partes interesadas, lacredibilidad digital es una capa o nivel queimpulsa la confianza de la organización paraaprovechar las oportunidades de un Nuevomercado.
► Actitud: ¿Cómo los usuarios sienten el ambiente digital?► Comportamiento: ¿Cómo los usuarios responden a las fricciones en experiencia digital?► Ambiente: Mecanismos para construir credibilidad digital y robustecerla► Experiencia: ¿Cómo los usuarios experimentan el ambiente digital?
4Dimensiones
Social MediaCloud
Internet of Things
Mobile
E-Commerce
Data Integrity
Credibilidaddigital
Expectativas de partes interesadas
Data Security
. . . . . . . . . . . . . . . .
Confianza digital
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 20
Dos enfoques de riesgos ante la transformación digital
Enfoque Análogo – Mitigar y Proteger
RiskIntelligence
Compararrelevancia de
riesgos nuevosversus registros
históricos
Desarrollar elalgoritmo de
riesgo
Mejorar yactualizar lainteligenciade riesgos
Manejar riesgosen tiempo real
Análisis deRiesgos
Emergentes
Base deDatosDRA
IdentificarRiesgos
AnalizarRiesgos
Evaluar ymanejaropciones
Monitoreocontinuo
y/o periodico
Comunicar y seguimiento a riesgos
Seleccionar /Adaptar
Gestión deRiesgos
Evaluar el modelooperacional
Registro de Riesgos Reportes yrespuestas
Cambios del modelo
Gestión delproceso
Modelo Operacional DigitalRisk
Procesode
Riesgos
Enfoque Digital – Detectar y Responder
La gestión de riesgo va a requerir reporte y acción en “tiempo real”
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
03Regulaciones y riesgos sistémicosante las amenazas de ciber-seguridad
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 22
Establecer un programaefectivo de ciber-seguridad esun desafío importante para lasempresas independientementede la industria y la geografía.Sin embargo, el desafío esmucho mayor para lasempresas que operar a nivelinternacional, ya que debencumplir con las regulacionesde múltiples jurisdicciones ymúltiples reguladores.
Aunque muchas empresas yacuentan con programas paraabordar los riesgos de ciber-seguridad, una vez que seestablezcan lasreglamentaciones formales enlas diferentes jurisdicciones, lasempresas deberían encontrar laforma de lograr un marco decontrol eficiente y eficaz parael cumplimiento con lasregulaciones en materia deciber-seguridad.
El Foro Económico Mundialcalifica el cibercrimen comouno de los 5 riesgos másgraves que enfrenta el mundoen la actualidad, con lo cualpodemos dimensionar que esun asunto a tomar en serio,sobre todo en la gestión de losnegocios donde hay muchopeligro en juego.
1 2 3
Perspectivas de la regulación global en ciber-seguridad
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 23
Requerimientos comunes de la regulación global sobreciber-seguridad
Usar un enfoque basado en el riesgopara comprender las amenazas deciber-seguridad.
Establecer una estructura de gobiernopara impulsar la credibilidad delprograma general de ciber-seguridad.
Identificar sistemas que están sujetos acontroles de seguridad.3
Monitoreo de sistemas de información parauna violación o intento de violación deseguridad.
Implementar programas formales degestión de incidentes y escalamiento paraidentificar y responder a infracciones ynotificar a los reguladores y las personasafectadas de manera oportuna.
Probar la efectividad del programaperiódicamente el programa de ciber-seguridad.
Afortunadamente la similitud de requerimientos exigidas globalmente por los reguladores hace que el retode cumplimiento sea más manejable. Independientemente de las jurisdicciones muchas regulaciones sobreciber-seguridad se enfocan en amenazas y vulnerabilidades similares y requieren que las empresasadopten, entre otros, los siguientes aspectos mitigantes
621
54
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 24
¿Cómo abordar el desafío global de cumplimiento?Aquí hay algunos consejos prácticos para ayudar a las empresas a cumplir de manera eficiente yefectiva con las regulaciones de integridad cibernética.
Piense GlobalmenteTome una visión global de las regulaciones de integridad cibernética, desarrollando y ejecutandoestrategias y planes globales para aumentar la velocidad, la eficiencia y la coherencia.
BenchmarkingDebido a que muchas regulaciones están al menos parcialmente alineadas con los estándaresestablecidos. Estos estándares pueden ser una valiosa fuente de conocimientos y sinergias.
Cierre de la brecha de talentoEl cumplimiento de las normas de integridad cibernética requiere una experiencia profunda tantoen tecnología como en cumplimiento normativo.
Participe en la formulación de las reglasEl cumplimiento de las normas de integridad cibernética requiere una experiencia profunda tantoen tecnología como en cumplimiento normativo.
1234
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
04Tres líneas de enfoque estratégico de defensacontra los riesgos de ciber-seguridad
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 26
Los principios de las tres líneas de defensa (3LOD) prepara a las entidades a ver laseguridad como un riesgo relevante para el negocio que se debe gestionar de manerainterfuncional.
Alta Gerencia
Líne
asde
Def
ensa
Consejo de Administración / Comité de Auditoria
► Las unidades de negocio y la gerencia delínea son responsables de identificar ygestionar los controles directamente(diseño y ejecución para responder alriesgo - planificar, construir, ejecutar).
1 Línea frontal
Control de gestión
Medidas de control interno
► ciber-seguridad en la organización desempeña ungobierno sobre la gestión del riesgo de seguridad yla supervisión de los controles en la segunda líneade defensa, además proporciona soporte y facilidaden las actividades de gestión de riesgos.
2 Segunda línea
Planificación estratégica y gobernanza
Formulación de políticas y capacitación
Cumplimiento, monitoreo y reportes
Evaluación y verificación de controles
Evaluación y asesoramiento de riesgos
Inteligencia de seguridad y soporte
► Auditoria interna es responsablede proporcionar garantíasindependientes sobre laefectividad de la gestión deriesgo y control.
3 Tercera línea
Auditoria interna
Audi
toria
Ext
erna
Reg
ulad
or
Este modelo introduce el concepto de responsabilidad directa para decisiones de riesgo (primera línea), supervisión y desafío de decisiones de riesgo yestablecimiento del marco de gestión de riesgos (segunda línea) y una garantía independiente sobre la efectividad de los procesos de gestión, control y
gobernanza de riesgos (tercera línea).
Los principios del modelo 3LOD deben servir como un insumo de diseño crítico para el modelo de gobernanza de laorganización de ciber-seguridad que solidifica la ciber-seguridad como una función multifuncional para toda laempresa que protege contra los ciberataques y las amenazas.
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 27
Evolución de la gestión del riesgo cibernético
Controles de TIDesarrollo deprácticas yestándares paracontroles de TI
Creación del marco degobiernoCreación de un áreaindependiente deseguridad de lainformación
Desarrollo de la gestiónde identidad y accesoUn planteamiento firmepara controlar losaccesos
Gestión de inteligenciaFoco principal en larecopilación deinteligencia y monitoreode amenazas
CISO, construyeinfraestructura de primeralínea, métricas e informes
Defensa delequipo de TI entiempo real
Nuevas herramientassistema de gestión deaccesos e identidades (IAM)para ataques y pruebas depenetración.
Intercambio deinformación a lo largodel sector público /privado
Técnicas avanzadas demonitoreo
Mejor supervsión a nivelde Consejo
Construir el enfoque dela segunda y terceralínea
Gobierno CorporativoImplementar el enfoquede las tres líneas dedefensa (3LoD)orientado a la ciber-seguridad
AÑOS
Bandascriminales
Ataque a lossistemas depago
Amenazas /APTpatrocinadaspor el estado
Ataquessofisticados dehacking
Hackingmalicioso
Gestión del Riesgo Cibernético
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
05¿Cómo el riesgo cibernético impacta el marco degestión de riesgos y apetito por el riesgo de unaentidad?
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 29
El desafío de las organizaciones
La 21° edición de la encuesta “EY GlobalInformation Security” captura las respuestas demás de 1,400 C-suite Líderes y seguridadinformática y directores y ejecutivos de TI, querepresentan a reconocidas organizacionesglobales La encuesta fue realizada entre abril yjulio de 2018
Distribución de los participantes
¿El riesgo cibernético solo seconvierte en una prioridad una vezque has sido atacado?► “Más de la mitad de los encuestados
en la última EY Global Information
Security Survey manifiestan un
crecimiento exponencial de las
amenazas cibernéticas a nivel global
y los mismos han experimentado un
incidente significativo de este tipo
en el último año.“
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 30
El desafío de las organizaciones
Proteger la entidadEnfocarse en identificar activos y construyendo líneas de defensa
Optimizar la ciber-seguridadCentrarse en detener el valor bajo actividades, aumentando la eficienciay reinvirtiendo los fondos en tecnologías emergentes e innovadoras paramejorar optimizar la ciber-seguridad
Habilitar el crecimientoEnfóquese en la implementación de la seguridad por diseño como un factor clave deéxito para las transformaciones digitales
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 31
Proteger a la entidadGobierno Corporativo
GobiernoCorporativo
01¿Lo queestá enjuego?
02
Protección
03Brechas
. 04
¿Cuáles son los temores de lasorganizaciones y cómo sesonsideran las mayoresamenazas que enfrentan?
Las organizaciones deben abordar lamedida en que la ciber-seguridad esparte integrante de la estrategia de laorganización, y si hay fondossuficientes para la inversión necesariaen defensa
La madurez de la ciber-seguridad deuna organización y lasvulnerabilidades más comunes sonclave
¿Cómo se identifican lasbrechas y la forma en que lasorganizaciones responden soncuestiones críticas?
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 32
Proteger a la entidadGobierno Corporativo: ¿Es la ciber-seguridad parte de la estrategia y en el presupuesto?
39% de lo encuestados expresó que menos del 2% de supersonal total de TI trabaja únicamente en ciber-seguridad
De las organizaciones la “Protección“ no forma
parte de su estrategia
Ha visto un aumento en su presupuesto este año
Anticipa un aumento en su presupuesto elaño que viene
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 33
Proteger a la entidad¿Qué es lo que está en juego?
17%
12%
12%
11%
11%
9%
8%
6%
5%
5%
Información de Clientes
Información Financiera
Planes Estratégicos
Información de Miembros de Consejo
Password de clientes
Información R&D
Información M&
Propiedad Intelectual
Propiedad intelectual no patentada
Información de proveedores
Top 10 de Información más valiosa para losdelincuentes cibernéticos
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 34
Proteger a la entidad
34%
26%
13%
10%
8%
5%
4%
Despreocupados / empleadosinconscientes
Controles de seguridad obsoletos
Acceso no autorizado
Relacionado con el uso de lacomputación en la nube
Relacionados con smartphones /tablets
Relacionados con las redes sociales
Relacionado con el internet de lascosas
Vulnerabilidades con la mayor exposición al riesgo en los últimos 12 meses
De organizaciones ve a losempleados descuidados /inconscientes como la mayorvulnerabilidad
No tiene ningún programa, o estáobsoleto para uno o más de lossiguientes:
• inteligencia de amenazas• Identificación de vulnerabilidad• Detección de infracciones• Respuesta de incidencia• Protección de Datos• Vulnerabilidad en gestión deidentidades y accesos
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 35
Proteger a la entidadBrechas
SOCNegociosTerceros
OtroNo tienen incidentessignificativos
De las organizacionesinforman una lista deinfracciones en susinformes de seguridad de lainformación
No tuvo incidentes(o aún no los conocen)
Aumentó su presupuesto deciber-seguridad.después de un incidente grave
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
¿La función de seguridad de la informaciónsatisface las necesidades de la organización?
¿Dónde están las brechas de ciberseguridad en laorganización?
Page 36
Optimizar la ciber-seguridad¿Dónde están las brechas?¿Dónde se necesitan los recursos con mayor urgencia?
No satisface las necesidades
Satisface plenamente las necesidadesParcialmente, y hay planes para mejorar
Parcialmente, pero no hay planes para mejorar
Puede ser mejorado
Prioridades para mejorar cuando se produce una brecha: ¿cómo se desempeñan las organizaciones?
38%32%
27%
36%
49%
24%
62%68%
73%
64%
51%
76%
Identificación de Brechas Crisis Management Comunicación Interna Comunicación Externa Forense Retorno al "Business asusual"
BienNo Muy bien
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 37
Optimizar la ciber-seguridad¿Está la organización recopilando información sobre las Capacidades e incidentes de ciber-seguridad?¿Cómo se informa esto a las partes interesadas?
No satisface las necesidades
Satisface plenamente las necesidadesParcialmente, y hay planes para mejorar
Parcialmente, pero no hay planes para mejorar
Puede ser mejorado
¿Efectividad de los informes de seguridad de la información de la organización?
No recibo informes
Los informes cumplen todas mis expectativas
Los informes cumplen con algunas de las expectativas
Los informes no cumplen con las expectativas
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 38
Optimizar la ciber-seguridadLiderazgo
¿El Consejo de Administración tiene una comprensión completa de la seguridad de informaciónpara evaluar completamente los riesgos cibernéticos y las medidas preventivas?
No satisface las necesidades
Satisface plenamente las necesidadesParcialmente, y hay planes para mejorar
Parcialmente, pero no hay planes para mejorar
Puede ser mejorado
No recibo informes
Los informes cumplen todas mis expectativas
Los informes no cumplen con las expectativasLimitadoSi
No, pero intentando mejorarNo, y no hay planes para mejorar
De organizacionesdice que la información deseguridad influye plenamenteplanes de estrategia de negocios
Limitado
Si
No, pero intentando mejorar
No, y no hay planes para mejorar
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 39
Optimizar la ciber-seguridadDigitalización
No satisface las necesidades
Satisface plenamente las necesidades
Parcialmente, pero no hay planes para mejorar
Puede ser mejorado
No recibo informes
Los informes cumplen todas mis expectativas
Los informes no cumplen con las expectativasLimitadoSi
No, pero intentando mejorarNo, y no hay planes para mejorarLimitado
Si
29%
27%
11%
10%
10%
6%
5%
Poca conciencia y comportamiento delusuario
La pérdida de un dispositivo inteligente.
Secuestro de dispositivos
Los dispositivos no tienen el mismosoftware que se ejecuta en ellos
Los ingenieros de redes no puedenparchar las vulnerabilidades lo…
Los ciberdelincuentes venden hardwarecon troyanos o puertas traseras…
Problemas de interoperabilidad dehardware
De las organizaciones dicenque los smartphones han
incrementado susdebilidades
Están muy preocupados por elInternet de las Cosas
8%
4%Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo Bancario
Gestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 40
Optimizar la ciber-seguridadTecnologías Emergentes
No satisface las necesidades
Parcialmente, y hay planes para mejorar
Parcialmente, pero no hay planes para mejorar
Puede ser mejorado
No recibo informes
Los informes cumplen todas mis expectativas
Los informes no cumplen con las expectativasLimitadoSi
No, pero intentando mejorarLimitadoSi
No, pero intentando mejorar
No, y no hay planes para mejorar
Prioridades para la inversión en ciber-seguridad de este año
52%
38%
33%
25%
18%16% 15% 15% 14%
11% 11%
16%
27%
37% 36%39%
41%
48%
37%
50%52%
48%45%
48%
43% 44%
37%
Cloud computing Cybersecurityanalytics
Mobile computing Internet of things Robotic processautomation
Machine learning Artificialintelligence
Biometrics Blockchain
Prioridad Alta Prioridad Media Prioridad Baja
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
06Consideraciones FinalesSuperintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo Bancario
Gestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 42
Consideraciones finales
Aunque las inversiones en ciber-seguridad están en aumento y laprotección ha mejorado los ataques cibernéticos están aumentando
La ciber-seguridad debe ser un puntopermanente de la agenda de los Consejos deAdministración y Alta Gerencia
La ciber-seguridad debe estar en el ADN de laorganización; Debe formar parte de la estrategia
Sea más abierto alrededor de las operaciones deseguridad para impulsar comprensión de lasamenazas y fomentar la toma las medidasadecuadas
Centrarse en la ciber-seguridadcomo parte de la estrategia detransformación digital.
Continuar el enfoque en las tecnologíasemergentes. Los ciber-delincuentestambién están invirtiendo enInteligencia artificial
Los proyectos digitalesdependerán delestablecimiento de laconfianza con clientes
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 43
Impactos en el modelo de gobierno corporativo ante elpanorama digital
Operativos
Mercado
Gente
Estratégicos
Requieren unarenovada visión delos nuevosrequerimientos denegocio en el entornodigital
Implica conocer como lanueva tecnología puedetransformar la forma enque se ejecutanactividades de negocio,clientes, soporte,control, reportes, etc.
Precisa definirescenarios y factibilidadeconómica de losemprendimientos asícomo el impactofinanciero
Demanda revisar elmapa de capacidadesdigitales y si laorganización estápreparada para elcambio
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 44
El futuro de la gestión de riesgos en la era de latransformación digital
Gestión de datosmás científica y
generarcapacidad de
predicción
Mayorautomatizaciónpara toma de
decisiones
Capacidades paravisualizar
inteligentementeinterfaces de
clientes, canalesy apps
Talentocapacitado,motivado yreforzadacultura de
riesgoretribuido
Modelosoperacionales
ágiles yprocesos
automatizados
Arquitectura einfraestructuraflexible, segura,
altamentedisponible,
eficiente y efectiva
Adaptado a lasexpectativas de partesinteresadas (clientes,
proveedores, accionistas,colaboradores,
acreedores, reguladores)
RPA yAutomatización
para reducirerrores, detectar
fallos, identificar ytratar más rápido
los riesgos
Menoresperdidas pordeterioro de
crédito yfraude
operacional
Incremento deingresos a través
de mejorconocimiento de
patrones decomportamiento y
necesidades declientes
Retención deltalento, reducción
de perdidasoperativas ycapacidades
incrementadaspara generar ideas
Fidelización ycaptación de
clientes eincremento de
laproductividad
Confianzadigital,
incremento dela eficiencia yseguridad y
privacidad dedatos
Mejorada gestióndel capital,reservas
patrimoniales yriesgos
reputacionales
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)
Page 45
Q&AEY | Assurance | Tax | Transactions | Advisory
About EYEY is a global leader in assurance, tax, transaction and advisory services.The insights and quality services we deliver help build trust and confidencein the capital markets and in economies the world over. We developoutstanding leaders who team to deliver on our promises to all of ourstakeholders. In so doing, we play a critical role in building a better workingworld for our people, for our clients and for our communities.
EY refers to the global organization, and may refer to oneor more, of the member firms of Ernst & Young Global Limited, each ofwhich is a separate legal entity. Ernst & Young Global Limited, a UKcompany limited by guarantee, does not provide services to clients. Formore information about our organization, please visit ey.com.
Ernst & Young LLP is a client-serving member firm of Ernst & Young GlobalLimited operating in the US.
About EY’s Advisory Services
In a world of unprecedented change, EY Advisory believes a better workingworld means solving big, complex industry issues and capitalizing onopportunities to help deliver outcomes that grow, optimize and protectclients’ businesses. Through a collaborative, industry-focused approach,EY Advisory combines a wealth of consulting capabilities – strategy,customer, finance, IT, supply chain, people and organizational change,program management and risk – with a complete understanding of a client’smost complex issues and opportunities, such as digital disruption,innovation, analytics, cybersecurity, risk and transformation. EYAdvisory’s high-performance teams also draw on the breadth of EY’sAssurance, Tax and Transaction Advisory Services professionals, as well asthe organization’s industry centers of excellence, to help clients deliversustainable results.
© 2018 Ernst & Young LLP.All Rights Reserved.
ey.com
Bismark RodriguezCFA CIA CCSA CFSA CFA CRMA AMLCA CPA MBAPartner – Financial Services Office (FSO)Head of Financial Services Risk Management (FSRM)Latam NorthOffice: +507 208-0100 | Mobile: +1 239 738-3643Mobile: + 507 6678-5681e-mail: [email protected]
Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)