Segurinfo Santa Fé 2014 Tendencias de Gestión de Seguridad ... Santa... · y modelos “en la...
Transcript of Segurinfo Santa Fé 2014 Tendencias de Gestión de Seguridad ... Santa... · y modelos “en la...
Segurinfo Santa Fé 2014 Tendencias de Gestión de Seguridad de la Información
Andrés L. Gil Rosario, Diciembre 2014
Agenda
• Seguridad de la Información y Cyber Riesgos Hoy
• Principales tendencias en Gestión de Seguridad
• Consideraciones Finales
@2014 Deloitte - Segurinfo Santa Fe 2014 1
Seguridad de la Información y Cyber Riesgos Hoy
Arial Bold: this is dummy text it is not here to be read it is here to show how this document will look
Arial Bold: this is dummy text it is not here to be read it is here to show how this document will look
Arial Bold: this is dummy text it is not here to be read it is here to show how this document will look
Evolución de la Tecnología del la Información En la era del cambio continuo
3 @2014 Deloitte - Segurinfo Santa Fe 2014
Seguridad de la información Evolución Junto con la Tecnología
4
Firewall Antivirus DMZ IDS IPS SIEM IDM WAF KPI DLP
Establecer un PERIMETRO 1
Proteger estaciones de trabajo 3
Proteger Servidores críticos 2
4
01/ 02/ 03/
CONFIDENCIALIDAD
DISPONIBILIDAD
INTEGRIDAD
@2014 Deloitte - Segurinfo Santa Fe 2014
Conexto Actual Las nuevas tecnologías hicieron desaparecer los límites y fronteras
5
BYOD Redes Sociales Cloud
Mobile Streamming
@2014 Deloitte - Segurinfo Santa Fe 2014
En la Era de la Información… Y los Cyber Ataques
6 @2014 Deloitte - Segurinfo Santa Fe 2014
Que impacto tiene en las Organizaciones y Empresas?
@2014 Deloitte - Segurinfo Santa Fe 2014 7
01 Alta dependencia de los recursos informáticos y del acceso a información
02 Ambientes de procesamiento cada vez más complejos, con múltiples plataformas, ambientes virtualizados, tecnología tercerizada y modelos “en la nube”
03 Aumento de los ataques y expuestos de seguridad, tanto en cantidad como en sofisticación
04 Preocupación por la confidencialidad de la información, especialmente cuando la información puede afectar al negocio o a las personas
05 Riesgos de fraude y de impacto en la imagen derivados de incidentes de seguridad
8 @2014 Deloitte - Segurinfo Santa Fe 2014
Chief Information Security Officer Prioridades del CISO
– Proteger todo tipo de información en todo lugar, entendiendo las tecnologías y sus riesgos asociados
– Gestionar los cyber riesgos y la seguridad en función de las necesidades del negocio.
– Asegurar el cumplimiento de las regulaciones y políticas internas
– Identificar, monitorear y resolver todo tipo de incidente de seguridad
– Rol estratégico de “evangelizador” y educador
– Ayudar a la organización a viabilizar negocios complejos desde el punto de vista de seguridad
– Reducir los costos asociados a la gestión de tecnología y a la protección de la información.
Principales tendencias en Gestión de Seguridad
Encuestas Globales de Seguridad de Deloitte
10 @2014 Deloitte - Segurinfo Santa Fe 2014
• Incluyen a Organizaciones de distintas
industrias: • FSI – Financial Services Industry • TMT – Technology, Media &
Telecommunications • E&R – Energia y Recursos
Naturales
• Se realizan mediante entrevistas personales de nuestros Socios y Gerentes de nuestros servicios de Cyber Risk con CISOs (Chief Information Security Officers) y ejecutivos responsables en la gestión de Seguridad de la Información de organizaciones a nivel global
• El objetivo es poder contar con información de primera mano, del nivel ejecutivo, sobre las tendencias, necesidades e intereses de las Organizaciones en materia de Seguridad de la información
11 @2014 Deloitte - Segurinfo Santa Fe 2014
Principales Tendencias Observadas Estudio de Tendencias de Seguridad 2014
– Incremento de los presupuestos destinados a gestionar la seguridad de la información
– Foco en proteger la información sensible y formalizar la función de privacidad.
– Necesidad de gestionar adecuadamente los riesgos de ataques internos y externos, desarrollando capacidades de respuesta ante incidentes.
– Las organizaciones gestionan cada vez más los riesgos vinculados a la adopción de nuevas tecnologías, tales como servicios en cloud, aplicaciones mobile y la utilización de redes sociales,
– Desafío de establecer un equilibrio entre los costos de las iniciativas referentes a seguridad de la información y la materialización de las amenazas e implementación de nuevas tecnologías
12 @2014 Deloitte - Segurinfo Santa Fe 2014
Estudio de Tendencias de Seguridad 2014
• 1. ¿A quién, dentro de su organización, reporta el ejecutivo responsable de seguridad ?
0,0%
2,4%
2,4%
2,4%
2,4%
2,4%
2,4%
4,9%
4,9%
4,9%
9,8%
9,8%
12,2%
12,2%
17,1%
22,0%
Chief Privacy Officer (CPO)
Chief Financial Officer (CFO)
Presidente
Ejecutivo de IT
Auditoría interna
Legal y Compliance
No aplica/ No sabe
Comité ejecutivo
Chief Technology Officer (CTO)
Chief Administrative Officer (CAO)
Comité de seguridad
Otro
Chief Information Officer (CIO)
Chief Operations Officer (COO)
Chief Risk Officer (CRO)
Chief Executive Officer (CEO)
13 @2014 Deloitte - Segurinfo Santa Fe 2014
Estudio de Tendencias de Seguridad 2014 • 2. Qué áreas se encuentran dentro del alcance de las responsabilidades de
la función de Seguridad de información (por ej: CISO)? 93%
90% 83%
80% 78% 78%
73% 73% 73%
71% 66%
63% 56% 56%
54% 54% 54%
51% 46%
41% 39%
37% 34% 34%
27% 17%
15% 0% 0%
Estrategia y planificación de SI Gobierno de SI (políticas, normas, estándares)
Respuesta ante incidentes Monitoreo de SI
Cumplimiento y control de SI Administración de vulnerabilidades
Indicadores, métricas y reportes de SI Administración de accesos
Seguridad de los datos Concientización y capacitación en SI
Administración de usuarios Seguridad de las aplicaciones
Presupuesto de SI Evaluación del riesgo de SI
Administración del programa de riesgos en SI Arquitectura de SI
Seguridad de la infraestructura Seguridad del perímetro de la red
Administración del riesgo de IT Consultoría de riesgo en SI
Plan de recuperación ante desastres Investigaciones
Administración de la seguridad con terceros Administración de continuidad de negocio
Administración de fraude Seguridad física
Comprobación de antecedentes Otras
No aplica/ No sabe
14 @2014 Deloitte - Segurinfo Santa Fe 2014
Estudio de Tendencias de Seguridad 2014 • 3. Cuáles son los principales obstáculos que enfrenta su organización en su
capacidad de formar un programa de seguridad de información efectivo?
17%
20%
29%
34%
10%
7%
24%
10%
17%
10%
0%
2%
Falta de apoyo ejecutivo o del negocio
La falta de claridad sobre el mandato, las funciones y responsabilidades
La falta de visibilidad e influencia dentro de la organización
La falta de suficiente presupuesto y/o recursos
La falta de recursos competentes
El complejo panorama internacional legal y normativo (por ejemplo en cuanto a la privacidad)
El aumento de complejidad de las amenazas
La gestión de los riesgos asociada con nuevas tecnologías
La falta de una estrategia de seguridad de la información y el roadmap de implementación
Otro
Sin barreras
No aplica / no sabe
15 @2014 Deloitte - Segurinfo Santa Fe 2014
Estudio de Tendencias de Seguridad 2014
36,6%
31,7%
29,3%
24,4%
22,0%
19,5%
19,5%
17,1%
14,6%
14,6%
14,6%
14,6%
12,2%
12,2%
12,2%
7,3%
7,3%
4,9%
2,4%
2,4%
2,4%
0,0%
Cumplimiento regulatorio y legislativo de seguridad de la información
Protección de Datos
Gobierno de seguridad de la información
Medición y reporte en seguridad de la información
Continuidad del Negocio
Estrategia y roadmap de seguridad de la información de seguridad
Alineación de la seguridad de la información con el negocio
Seguridad de la red móvil
Administración de identidad y acceso
Seguridad relativa a avances tecnológicos
Remediación en el cumplimiento de los elementos de seguridad
Otro
Capacitación y concientización en seguridad de información
Seguridad cibernética
Recuperación de Desastres
Puesta en funcionamiento de la seguridad de información
Seguridad de aplicaciones
Gestión de amenazas internas
Gestión del talento en seguridad de la información
Seguridad de terceros
Privacidad
No aplica / no sabe
• 4. ¿Cuáles serán principales iniciativas de seguridad de su organización?
16 @2014 Deloitte - Segurinfo Santa Fe 2014
Estudio de Tendencias de Seguridad 2014 • 5. Utilizando una escala del 1-4, indicar el nivel de confianza en que los activos
informáticos de su organización se encuentran protegidos de un ataque o brecha de seguridad (1=ninguna confianza en absoluto, 2=no mucha confianza, 3=algo de confianza, 4= mucha confianza)
Ninguna confianza en
absoluto
No mucha confianza
Algo de confianza
Mucha confianza
Ataque o brecha de seguridad originada internamente. 0% 29% 48% 23%
Ataque o brecha de seguridad originada externamente. 0% 6% 52% 42%
17 @2014 Deloitte - Segurinfo Santa Fe 2014
Estudio de Tendencias de Seguridad 2014 • 6. ¿Su organización ha experimentado algún tipo de ataque externo durante los
últimos 12 meses?
29,3%
70,7% Si No
Ataques Una ocurrencia
Múltiples ocurrencias
Robo de información causado por espionaje industrial o del Estado 0% 0%
Fraude financiero externo a través de los sistemas de información 2% 2,4%
Incidentes en la información causados por un ataque electrónico fuera de la organización 4,9% 2,4%
Incidentes en la información causados por un ataque físico fuera de la organización 4,9% 2,4%
Incidentes en la información causados por un proveedor fuera de las premisas de la organización
2,4% 2,4%
Incidente en la red móvil originada desde fuera de la organización 0% 0%
Software malicioso originado en las afueras de la organización 4,9% 7,3%
Ataques a sitios web 0% 2,4%
Otros 7,3% 2,4%
18 @2014 Deloitte - Segurinfo Santa Fe 2014
Estudio de Tendencias de Seguridad 2014 • 7. ¿Su organización ha experimentado algún tipo de ataque interno durante los
últimos 12 meses?
53,7% 46,3%
Si No
Ataques Una ocurrencia
Múltiples ocurrencias
Fraude financiero interno a través de los sistemas de información 12,2% 2,4%
Incidente de seguridad causado desde adentro o por un socio comercial 9,8% 2,4%
Incidente de seguridad causado desde adentro de la organización por un empleado 17,1% 2,4%
Incidente de seguridad causado desde adentro de la organización por un tercero 12,2% 4,9%
Perdida accidental originada dentro de la organización 14,6% 2,4%
Incidentes en la información causados por un proveedor dentro de la organización 2% 4,9%
Incidente en la red móvil originada desde adentro de la organización 0% 2%
Software malicioso originado dentro de la organización 2,4% 4,9%
Otros 7,3% 12,2%
19 @2014 Deloitte - Segurinfo Santa Fe 2014
Estudio de Tendencias de Seguridad 2014 • 8. Califique las siguientes amenazas a medida que visualiza su impacto dentro de los
siguientes 12 meses: Amenaza Sin Impacto Impacto Bajo Impacto Medio Impacto alto N/C
Espionaje industrial o del Estado 29,3% 26,8% 24,4% 17,1% 2%
Ataques coordinados 17,1% 39,0% 24,4% 19,5% 0 Fraude financiero a través de sistemas de
información 7,3% 31,7% 41,5% 19,5% 0
Abuso de los empleados de los sistemas de IT y la información 2,4% 31,7% 56,1% 9,8% 0
Errores y omisiones de los empleados 2,4% 22,0% 63,4% 12,2% 0 Incidentes con la información, incluyendo datos
personales 2,4% 31,7% 51,2% 14,6% 0
Ataques explotando vulnerabilidades en la red móvil 17,1% 34,1% 24,4% 24,4% 0
Ataques explotando vulnerabilidades en aplicaciones online de la organización 9,8% 43,9% 34,1% 12,2% 0
Amenazas resultantes de la conjunción de las redes sociales y las plataformas online dentro de la red corporativa (por ejemplo: utilización
de micro-blogging por un gerente)
22,0% 41,5% 14,6% 22,0% 0
Amenazas resultantes de la adopción de tecnologías emergentes que podrían contener
vulnerabilidades 19,5% 31,7% 36,6% 12,2% 0
Amenazas avanzadas persistentes 14,6% 56,1% 22,0% 7,3% 0 Riesgos sistémicos 9,8% 43,9% 36,6% 9,8% 0
Diversidad de reacciones culturales con respecto a la seguridad de la información 19,5% 29,3% 39,0% 7,3% 0
Incidentes de seguridad que involucran terceras partes 14,6% 36,6% 34,1% 14,6% 0
Hacktivismo o Ciberactivismo 17,1% 39,0% 17,1% 26,8% 0
20 @2014 Deloitte - Segurinfo Santa Fe 2014
Estudio de Tendencias de Seguridad 2014 • 9. ¿Cómo atiende su organización los riesgos de seguridad asociados con los
dispositivos móviles?
51,2%
34,1%
29,3%
26,8%
24,4%
22,0%
22,0%
19,5%
17,1%
14,6%
14,6%
12,2%
12,2%
12,2%
7,3%
7,3%
7,3%
4,9%
Formula una política de clientes o uso aceptable de dispositivos
Implementa contraseñas complejas
Despliega sistema de gestión de dispositivos móviles (MDM)
Implementa borrado de dispositivos después de un cierto número de accesos fallidos
Integra la seguridad y uso del dispositivo en campañas de concientización
Encripta el almacenamiento tanto en el dispositivo como en los dispositivos removibles
Despliega certificados para los dispositivos
Apaga las conexiones no deseas en los dispositivos (p.e. Bluetooth)
Instala software para protección contra malware
Desecha los dispositivos de manera segura
Instala una herramienta de DLP
Selecciona las aplicaciones apropiadas para grupos definidos de usuarios
Selecciona software para monitorear el uso de las aplicaciones y el flujo de la …
Respaldos en intervalos regulares
No aplica / No soportan dispositivos móviles
No lo se
No se atienden los riesgos de seguridad
Controla acceso a internet forzando la navegación a través de la red de la organización
21 @2014 Deloitte - Segurinfo Santa Fe 2014
Estudio de Tendencias de Seguridad 2014 • 10. ¿Cómo hace frente a los riesgos de seguridad asociados con las redes
sociales?
39,0%
26,8%
41,5%
46,3%
24,4%
7,3%
9,8%
Implementación de controles técnicos para controlar o bloquear el uso organizacional
Implementación de servicio de protección de marca en línea para evitar daños a la marca
Revisar y actualizar las políticas organizacionales para incluir los términos de uso aceptable de las …
Educar a los usuarios acerca de los blogs y las redes sociales a través de programas de …
No hace uso de redes sociales
No gestiona riesgos de seguridad
No sabe
22 @2014 Deloitte - Segurinfo Santa Fe 2014
Estudio de Tendencias de Seguridad 2014 • 11. ¿Cómo caracterizaría que su organización ha adoptado las siguientes tecnologías?
Tecnología Implementada En Piloto En piloto dentro de los
próximos 12 meses Sin planes de implementar N/C
Antivirus 95% 5% 0% 0% 0% Firewalls 100% 0% 0% 0% 0% Intrusion Detection and/or Prevention Systems (IDS/IPS) 76% 12% 10% 0% 2% Filtro de contenido 71% 20% 7% 0% 2% Soluciones antispam 80% 12% 2% 0% 5% Antispyware software 73% 12% 5% 7% 2% Soluciones antiphishing 51% 10% 15% 20% 5% Encripción de correo electrónico 27% 17% 24% 27% 5% Autenticación de correo electrónico 49% 12% 10% 20% 10% Tecnología de Data Loss Prevention 22% 22% 29% 17% 10% Encripción de archivos en dispositivos móviles 20% 7% 32% 29% 12% Encripción de dispositivos de almacenamiento 29% 7% 27% 27% 10% Seguridad/ Encripción de datos en reposo 32% 10% 22% 27% 10% Administración de vulnerabilidades 56% 15% 10% 12% 7% Análisis del comportamiento de la red 49% 15% 10% 17% 10% Soluciones de seguridad para redes Wireless 44% 20% 15% 15% 7% Network access control (NAC) 46% 10% 27% 12% 5% Dispositivos biométricos para la autenticación de usuarios 17% 15% 5% 56% 7% Single Sign On 15% 2% 29% 44% 10% Sistemas web para administración de accesos 37% 15% 7% 27% 15% Identity management 10% 5% 12% 59% 15% Herramientas de centralización de logs y monitoreo 54% 22% 17% 2% 5% Herramientas para administración de incidentes 34% 20% 20% 15% 12% Herramientas para cumplimiento regulatorio 24% 12% 29% 24% 10% Seguridad de los servicios en la web 39% 15% 17% 20% 10%
Consideraciones Finales
24 @2014 Deloitte - Segurinfo Santa Fe 2014
Gestión y más gestión… Conclusiones Finales
– La seguridad de la información constituye un área de atención creciente en las organizaciones de América Latina.
– Mientras que las amenazas se multiplican y se hacen más sofisticadas, las organizaciones se ven obligadas a fortalecer sus capacidades de gestionar la seguridad y a contar con capacidades adecuadas de respuesta ante incidentes.
– Las nuevas tecnologías (mobile, redes sociales, servicios en la nube “cloud”) generan nuevos desafíos que están siendo atacados mediante nuevas políticas y nuevas iniciativas de protección de información sensible.
– Las organizaciones deben desarrollar un Programa de Seguridad de la Información que incluya iniciativas de corto, mediano y largo plazo, definiendo la incorporación de tecnologías de seguridad para garantizar una adecuada protección de la información y del negocio.