Post on 14-Oct-2018
www.controlrisks.com
Control Risks Mexico, S.A. de C.V. | Rubén Darío 218, Piso 20 | Col. Bosques de Chapultepec | C.P. 11580 Mexico, D.F.
Mexico
T: +52 55 5000 1700
8 de Septiembre, 2015 CONFIDENCIAL
James Hampshire Consultor Senior en Seguridad Cibernética – Control Risks
Instituto Mexicano de Ejecutivos de Finanzas, A.C.
SECTOR FINANCIERO MEXICANO:
DIAGNÓSTICO DE SEGURIDAD
CIBERNÉTICA
2 © Control Risks Group Limited
Objetivos de la sesión
• ¿Quiénes somos y qué hacemos en México?
• ¿Cuál es nuestra visión de la seguridad cibernética y de lo qué está mal?
• ¿Cuál es la situación en México?
• ¿Qué pueden hacer las empresas mexicanas?
3 © Control Risks Group Limited
Control Risks y MWR se han asociado para brindar una
oferta única de seguridad cibernética
Cyber Protect:
Desarrollo de defensas
cibernéticas
Threat Intelligence:
Comprensión de las
amenazas
Cyber Respond:
Respuesta
inmediata a
ataques
Consultoría de riesgo global con 36 oficinas
en todo el mundo y un patrimonio único en
gestión de riesgos, inteligencia e
investigaciones
Una de las consultorías técnicas en
seguridad de la información más
importantes del mundo
4 © Control Risks Group Limited
¿Qué estamos haciendo en México?
2015 es el año dual de México en el Reino Unido y
del Reino Unido en México -
http://mexicouk2015.mx/bienvenido
Control Risks, establecida en México desde 1995, es
un asesor que cuenta con la confianza de muchos
clientes dentro del sector financiero y una exclusiva
práctica en seguridad cibernética a nivel mundial
La seguridad en el ciberespacio es indispensable
para lograr prosperidad y crecimiento económico
El Ministerio de Asuntos Exteriores del Reino Unido
(UK Foreign and Commonwealth Office) ha
financiado un proyecto para realizar un "Diagnóstico
de Seguridad Cibernética"
5 © Control Risks Group Limited
Objetivos de la sesión
• ¿Quiénes somos y qué hacemos en México?
• ¿Cuál es nuestra visión de la seguridad cibernética y qué está mal?
• ¿Cuál es la situación en México?
• ¿Qué pueden hacer las empresas mexicanas?
6 © Control Risks Group Limited
¿Cómo vemos la seguridad cibernética?
Estados Nación
Criminales (incluyendo empleados)
Activistas
INFORMACIÓN SISTEMAS
INTEGRIDAD
(cambio de procesos)
DISPONIBILIDAD
(alteración o destrucción
de procesos)
CONFIDENCIALIDAD
(robo de información)
7 © Control Risks Group Limited
La seguridad cibernética supone un riesgo integral de
negocio con un gran impacto
Impacto técnico Impacto en el negocio
40 millones de tarjetas
de crédito y datos de 70
millones de clientes
comprometidos por
cibercriminales
CEO y CIO renunciaron;
reducción significativa de
los beneficios anuales
Terceros hackearon los
sistemas removiendo los
límites de retiro de
tarjetas prepagadas
En 10 horas, células
criminales retiraron $40
millones USD en 36,000
transacciones en cajeros
automáticos de 24 países
Ataques DDoS
provenientes de Irán
afectaron el acceso a
sitios web bancarios en
Estados Unidos
Tiempo de inactividad
significativo para los
sistemas de banca en
línea y grandes costos de
mitigación
8 © Control Risks Group Limited
¿Por qué los ataques cibernéticos son cada vez más
serios?
Proliferación de
capacidad
técnica
Expansión de la
superficie de
ataque
Aumento de la
conectividad de
internet en los
sistemas
• Compartir conocimientos y capacidad,
habilitada en foros en línea, han disminuido
las barreras de entrada
• Al mismo tiempo, conocimientos y tecnologías
avanzadas están cada vez más disponibles
• TICs habilitan todas las funciones de negocio
• Atacantes pueden dirigirse a una gran
cantidad de información, ej. financiera,
estrategia de negocio, información de RH,
comercial (datos de clientes)
• Todos los sistemas están cada vez más
conectados a internet
• Interconexión de los sistemas genera
vulnerabilidades
9 © Control Risks Group Limited
¿Cómo vemos el desarrollo de la amenaza global?
• Bajos precios del petróleo y tensiones políticas alrededor del mundo
• Estados Nación buscan un efecto físico a través de lo cibernético, p.e.: a
través de SCADA (Supervisión, Control y Adquisición de Datos).
Geopolítica generando impulso para el desarrollo de los Estados Nación
Incremento del profesionalismo y comercialización
Superposición de capacidades
• Proliferación facilitada por sitios criminales en la Red Obscura
• Ciberactivistas ahora vendiendo sus herramientas – no solo protestando sino
buscando ganancias
• Los Estados Nación seguirán usando “actores indirectos”
• Riesgo de que los actores con intenciones peligrosas puedan adquirir capacidad
cibernética avanzada
10 © Control Risks Group Limited
Sin embargo, gastar dinero no parece ser la respuesta…
Los "primeros hackers" condujeron a
una importante inversión en
seguridad cibernética por un gran
número de organizaciones
Sin embargo, la frecuencia de
ataques exitosos parece
haber aumentado
11 © Control Risks Group Limited
¿Qué está mal? Lo que vemos con muchos de nuestros
clientes
Defensa técnica con un fuerte enfoque en protección del perímetro
12 © Control Risks Group Limited
Los componentes clave del tratamiento de la seguridad
cibernética como un riesgo empresarial
Identificar y
proteger la
infraestructura
crítica
Defensas con
base en las
amenazas
específicas
Desarrollar
defensas
avanzadas e
integrales
Detectar y
responder, no
sólo identificar
ataques
¿Qué significa?
• Tener una lista actualizada de los activos
críticos de la empresa, y una
comprensión cuantificada de su valor
• Inteligencia de las amenazas, detallada y
de diferentes fuentes, para ser utilizada
en ejercicios de priorización
• Pruebas de penetración dirigidas por
expertos y basadas en inteligencia;
asignación de roles en la empresa para
supervisar la seguridad de la información
• Presupuestos asignados adecuadamente
entre protección, detección y respuesta;
planes de gestión de crisis probados y
adaptados a la seguridad cibernética
1
2
3
4
Dar prioridad a
defender lo más
importante para su
organización
Dar prioridad a la
defensa contra las
amenazas que se
enfrentan
Defender
eficazmente contra
la forma de operar
de las actores
La mayoría del
daño se produce
después de que la
seguridad ha sido
violada
¿Por qué? ¿Qué?
13 © Control Risks Group Limited
Objetivos de la sesión
• ¿Quiénes somos y qué hacemos en México?
• ¿Cuál es nuestra visión de la seguridad cibernética y qué está mal?
• ¿Cuál es la situación en México?
• ¿Qué pueden hacer las empresas mexicanas?
14 © Control Risks Group Limited
¿Por qué economías emergentes como México son cada
vez más atacadas por cibercriminales?
Impulsores económicos
y geopolíticos
Asuntos sociales y
domésticos
Defensas menos
desarrolladas
México se convierte
cada vez más en el
blanco de todo tipo de
actores cibernéticos
maliciosos
15 © Control Risks Group Limited
El sector financiero en México se enfrenta a una gran
amenaza cibercriminal
Cibercriminales
Actores
Estados Nación
Ciberactivistas
Intención Capacidad Riesgo
ALTA ALTA ALTA
BAJA MUY
ALTA MEDIO
BAJA BAJA BAJA
Amenazas clave
• Extorsión – DDoS
• Extorsión –
Ransomware
• Fraude cibernético
• APT
• Spear-phishing
• Ingeniería social
• DDoS
• Desconfiguración web
• Inyección SQL
16 © Control Risks Group Limited
La madurez en seguridad cibernética sigue un camino:
muchas instituciones financieras mexicanas tiene mucho
por recorrer
Madurez actual
Madurez Objetivo
INCIDENTAL
• Algunos controles, principalmente técnicos, en operación
BÁSICO
• Controles básicos en operación, el riesgo cibernético es eminentemente de carácter técnico
ESTABLECIDO
• Gestión basada en las amenazas de forma consistente, utilizando sólidos controles técnicos y observando las amenazas cibernéticas como riesgos de negocio
ELEVADO
• Visión para contrarrestar ataques avanzados y persistentes
AVANZADO
• Protección de tipo militar contra el más alto nivel de amenaza
Nivel
sectorial
Nivel de Madurez
1 2 3 4 5
Instituciones
financieras
pequeñas y
medianas en
México
Objetivo
17 © Control Risks Group Limited
La causa de muchos problemas es la falta de
comprensión de la amenaza
El impacto en el
negocio de un ataque cibernético no es comprendido
La falta de
comprensión detallada y granular de la amenaza
La seguridad de la
información no se está manejando como riesgo estratégico del
negocio
Incremento de la
inversión en los negocios no se ha hecho
Las organizaciones están mal
preparadas para responder a violaciones en la información
Controles técnicos, entre otros,
no alineados con el riesgo del negocio
Procesos de seguridad de la
información son aplicados inconsistentemente y carecen de
propiedad
La falta de propiedad completa y
establecimiento de direcciones sin una estrategia integral de
seguridad cibernética
18 © Control Risks Group Limited
Objetivos de la sesión
• ¿Quiénes somos y qué hacemos en México?
• ¿Cuál es nuestra visión de la seguridad cibernética y qué está mal?
• ¿Cuál es la situación en México?
• ¿Qué pueden hacer las empresas mexicanas?
19 © Control Risks Group Limited
La ruta para mejorar la seguridad cibernética
Estrategia y Gobernanza: a) Establecimiento del entendimiento de
la amenaza institucional b) Implementación de estructuras internas y dotación de recursos para la seguridad
cibernética
Controles Técnicos: a) Controles técnicos alineados con la
amenaza y el valor de los activos b) Defensas técnicas validadas por
pruebas de penetración internas periódicas
Procesos de seguridad de la
información a) Nivel de vulnerabilidad entendido
b) Vulnerabilidades de procesos clave abordados, incluyendo terceros y RH.
Detección y Respuesta: a) Procesos de detección técnica
b) Procesos de respuesta a violaciones c) Plan de continuidad integrando gestión
de crisis y seguridad cibernética d) Pruebas y ejercicios regulares
HABILITADORES DEL NIVEL SECTOR
Habilitador 1: Entendimiento compartido y detallado de la amenaza
Habilitador 2: Plataforma para colaborar y compartir información sobre amenazas cibernéticas
Habilitadores 3: Relaciones mutuamente beneficiosas entre las empresas y autoridades clave
20 © Control Risks Group Limited
Preguntas que hacerle al equipo de TI, y las respuestas
de las que preocuparse
¿Cuáles son nuestros activos clave
protegidos y cuáles son sus
principales amenazas?
¿Cuáles fueron los resultados de
nuestra prueba de penetración más
reciente?
¿Hemos tenido casos de violación en
los sistemas de seguridad de la
información?
Nosotros protegemos todo
No se pudo entrar y/o hemos
parchado todos los huecos
No