La ciberseguridad en la era Digital.

Estado actual y tendencias

Cyber Risk Services Leader
25 de Abril de 2019
“Los ataques cibernéticos son la principal amenaza
que se encuentra enfrentando la humanidad –
muchísimo mayor que las armas nucleares.”

Warren Buffet
(Omaha, Nebraska, 30 de agosto de 1930) Inversor y empresario.
Fortuna estimada de 87,000 millones de dólares

2
2017 Deloitte Cyber Risk Services
 Datos para contextualizar… Costo promedio por registro perdido o
robado (per capita cost)
Costo Total promedio de una
4,1 brecha de datos (millons) FSI Average
4 $206
2018 $148
4 +4,8%2017
3,9 +6,4% $141
$245
3,8 3,86 2016 $158
3,7 3,79 2015 $154
3,6 2014 $145
3,62 Cyber ataques por año
3,5
$- $50 $100 $150 $200 $250 $300
3,5 2017 US$141
3,4
3,3
1,5MM PROMEDIO 2014-18 Equipos de Incident
3,2 POR DÍA
$149,2 response (IR)
2014 2015 2016 2017 2018
4,000 reducen el costo en
POR SEGUNDO $14
3

50%
Criminal
Attack
221 días
Días promedio empresas
De las personas abren
los emails y clickean en
+1.8% +2.2% mantuvieron una
Incremento del
presencia después de la
links de phising dentro de Incremento del
la hora de recibido [2] tamaño de los Data tamaño de los Data
infiltración y antes de la
Breach entre 2016 y Breach entre 2017 y detección
2017 2018
 Datos para contextualizar… Costo promedio por registro perdido o
robado (per capita cost)
Costo Total promedio de una brecha de
4,1 datos (millons) FSI Average
4 $206
2018 $148
4 +4,8%2017
3,9 +6,4% $141
$245
3,8 3,86 2016 $158
3,7 3,79 2015 $154
3,6 2014 $145
3,62 Cyber ataques por año
3,5
$- $50 $100 $150 $200 $250 $300
3,5
1,5MM
3,4 2017 US$141

3,3 PROMEDIO 2014-18 Equipos de Incident

3,2 POR DÍA
$149,2 response (IR)
2014 2015 2016 2017 2018
4,000 reducen el costo en
POR SEGUNDO $14
3

50%
Criminal
Attack
221 días
De las personas abren los
emails y clickean en links de
+1.8% +2.2%
Días promedio empresas
mantuvieron una presencia
Incremento del tamaño de
después de la infiltración y
phising dentro de la hora de Incremento del tamaño de
recibido [2] los Data Breach entre los Data Breach entre
antes de la detección
2016 y 2017 2017 y 2018
 La velocidad de los ataques está incrementando y
los tiempos de respuesta disminuyendo
La velocidad de ataques acelera… … mientras el tiempo de respuesta de retrasa

El 72% de los ataques 59% de los ataques

En el 72% de 46% de las no es descubierto son contenidos dentro
ataques, tomo brechas de hasta 201 (2016) – de 70 días (2016)
solo minutos información
comprometer a ocurren en 191 (2017) 66 días (2017)
un sistema minutos 197 (2018) 69 (2018)

Las Organizaciones que identifican una brecha en Las Organizaciones que contienen una brecha en menos
menos de 100 días ahorran más de un millón de de 30 días ahorran más de un millón de dólares respecto
dólares respecto de las que no lo hacen. de las que lo hacen en más de 30 días.
*221 días para *81 días para
ataques criminales ataques criminales 5
Los impactos por ciberseguridad van más
allá de lo económico
Mientras que el costo promedio de una
filtración de seguridad puede estar bien
documentado, los efectos a largo plazo
sobre la reputación de la Organización,
la Marca y la pérdida de confianza de los
ciudadanos pueden incrementar dicho
costo. Muchas Organizaciones están
considerando la contratación de Ciber-
Seguros para limitar dichos costos.

6
 La recuperación
lleva años

Los impactos
por
ciberseguridad
van más allá de
lo Meses o años

económico
• Reparar el daño al Negocio.
• Rediseñar procesos y activos.
• Inversión en programas de
ciberseguridad para emerger más
Semanas o meses fuertes.
• Crear una infraestructura u operación interina
• Prepararse para acciones legales
• Resolver observaciones regulatorias o de auditoría.
• Gestión de clientes, Partners y otras relaciones.

Días o semanas
• Frenar el ataque
• Remediar los controles de seguridad
• Solucionar los problemas de continuidad de negocio 7

• Comunicarse con clientes, Partners y otras terceras partes

Impacto de una brecha de ciberseguridad (ejemplo)

Duración Costo (US$M)

AS: Protección de cliente post- 3 años
21
brecha
AS: Mejoras de Ciberseguridad
AS: Notificación de la brecha a
1 año
6 meses
14
Sobre la Superficie
10 Costos conocidos de un incidente
clientes
AS: Honorarios Legales 5 años 10 $59 Millones
AS: Respuesta Regulatoria 1 año 2

AS: Relaciones Públicas 1 año 1

AS: Investigación Técnica 6 semanas 1

Duración Costo (US$M)

LS: Pérdidas de contratos 5 años 830
Debajo la Superficie
LS: Pérdida de clientes 3 años 430 Costos menos predecibles
LS: Devaluación de la Marca 5 años 230

LS: Costo de atraer capital 5 años 60

$1,623 Millones
LS: Incremento de Prima de Seguro 3 años 40

LS: Disrupción Operacional Inmediato 30

LS: Disrupción de Talento 2 años 3

2017 Deloitte Cyber Risk Services

Encuesta de Ciberseguridad en Latinoamérica 2018
4 de cada 10 organizaciones sufrieron Las organizaciones en América Latina están

2
un incidente de ciberseguridad en los incrementando sus presupuestos

1
últimos 24 meses
El 70% de las organizaciones afirma no
tener certeza de la efectividad de su
proceso de respuesta ante incidentes
de ciberseguridad y sólo un 3% realizar
simulaciones para probar sus
capacidades efectivas de respuesta
ante un evento ciber
dedicados gestionar ciber-riesgos y
seguridad de la información
El 89% de las organizaciones le asigna una
importancia muy alta a la gestión de ciber-
riesgos en un contexto cada vez más digital
de los negocios

4
Las organizaciones cuentan con

3
capacidades limitadas de monitoreo de Casi 7 de cada 10 organizaciones han
ciberseguridad e inteligencia de implementado un programa de
amenazas. concientización en ciberseguridad.
Sólo un 31% de las Organizaciones
realiza inteligencia de amenazas y
comparte información con otras
organizaciones.

9
Importancia de la Ciberseguridad para las Organizaciones

Medianamente Extremadamen
Nada
importante te importante

2% 1% 8% 20% 69%

Poco Muy
importante importante

10
2017 Deloitte Cyber Risk Services
Gobierno de Ciberseguridad

Gobierno de ciber-riesgos y seguridad

de la información formalizado y 13%
funcionando
Roles y responsabilidades definidos,
claros y con tareas de detección,
prevención y proactividad
7%

Roles y responsabilidades definidos y

claros 12%

Roles y responsabilidades definidos

37%

No existen roles específicos para

gestionar la ciber seguridad 31%

11
2017 Deloitte Cyber Risk Services
Presupuesto asignado a Ciberseguridad

34%
29%

Sólo un 17% de las

El 63% de las
20%
organizaciones asigna a
Ciberseguridad entre un
1% y 5% del presupuesto
que de TI
organizaciones asigna un
equivalente al 11% ó mas
de su presupuesto de TI a
Ciberseguridad
11%

6%
6%

1-2% 3-5% 6-10% 11-20% > 20% 12

2017 Deloitte Cyber Risk Services
El eslabón
más débil:
Las Personas

13
Programas de Concientización

El factor humano sigue siendo un factor de vital

importancia para la seguridad de la información.

No cuenta con
programa de
concientización
31%

69%

Si cuenta con
programa de
concientización

14
2017 Deloitte Cyber Risk Services
 01 - Desgobierno de Datos
08 - Cyber warefare

02 – Extinción del único Factor de Autenticación

09 – Malware - protect or fail
03 – Zero Trust
10 – Incremento de Regulaciones
04 - Identity-as-a-Service

Cyber Strategic
Threat Landscape
11 - Secure by design

05 - Inteligencia Artificial ofensiva y defensiva.

12 - Cyber en Boards
06 - Cloud & ShadowIT

07 - IoT
13 – Los impactos son más que económicos

15
2017 Deloitte Cyber Risk Services
El viaje de la transformación de Ciberseguridad.

1 Capture los requisitos de la

Entidad y conviértalos en
Políticas de cumplimiento
3 Defina e implemente
controles de monitoreo y
5
respuesta ante incidentes en
torno a eventos reales

Comprenda qué es Para los datos críticos Realice pruebas y

realmente importante identifique los simulaciones de
para su Organización e controles a respuesta ante
identifique el valor implementar en incidentes
Confidencialidad,
2 Integridad y
Disponibilidad
4
16
El viaje de la transformación de Ciberseguridad.
1 - Ciber-Estrategia
Comunicarse con los grupos
BENEFICIOS
de interés internos y externos
Comprender el nivel Aumentar el valor
Comprender Foco en las de madurez actual y de inversiones en
Desarrollar una
las amenazas prioridades estrategia Ciber
capacidades de Ciber Ciberseguridad

DESARROLLAR SU ESTRATEGIA
COMPRENDER Y ANALIZAR CIBER RIESGO
CIBER
Colaboración con las partes interesadas sobre el ciber riesgo permitiendo a las Medir el impacto de las inversiones
organizaciones evaluar y desarrollar una estrategia de ciberseguridad. A partir de su perfil en ciber seguridad en la organización
actual y sus capacidades, aumentar el valor en las inversiones en seguridad. e identificar los proyectos y las
iniciativas de ciber seguridad
relevantes.

Panorama de las Conocimiento del Cyber Framework

Amenazas Negocio

17
El viaje de la transformación de Ciberseguridad.
1 – Ciber-Estrategia

1 5
Estar alineada a los objetivos de la
Los proyectos deben tener una
organización y con la realidad
sinergia entre sí y crear la base
existente.
para futuras mejoras.

2 Definir un Marco de Gobierno. 6 Se deben considerar mejoras a

nivel de Personas, Procesos y
Tecnología.

3 7
Incrementar la seguridad de acuerdo Deben definirse métricas de mejora
a los datos críticos y el apetito al continua.
riesgo.

La estrategia debe ser conocida y

4 8
Definir no más de 3 proyectos en el
aprobada por las autoridades
año.
máximas.
18
 El viaje de la transformación de Ciberseguridad.
2 – Secure – Protección de los Datos

Gestion de Datos Privacidad de Datos

Descubrimiento de datos Transparencia de uso de los
Exactitud e integridad de los datos personales.
insumos, análisis e informes. Inventario de datos personales.
Implicaciones legales del uso Gobierno regulatorio e
de datos. implicaciones de privacidad
Gestion del consentimiento

Ética de los datos utilizados y Confidencialidad de la

finalidad de la analítica. información.
Protección de datos a lo largo
Fiabilidad y puntualidad de los de su ciclo de vida
datos.
Gestión de riesgos de terceros Informes de Protección de
datos y analytics Datos

19
 ¿Realmente conoces tus datos?
Crear o Almacenar y Analizar y Compartir o Retener o
coleccionar procesar usar transferir destruir

¿Quién es el ¿Qué requisitos

¿Dónde se generan los ¿Cómo se deben
propietario de los ¿Cómo se equilibra la reglamentarios se
datos críticos?¿Cómo elminar los
datos críticos, dónde necesidad de acceso a aplican al intercambio
se depuran los datos? datos?¿Qué tan
se almacenan y cómo los datos con el uso y transferencia de
Gestión de ¿Cómo estás efectiva es su política
gobierna los datos de datos? datos dentro o fuera
reduciendo errores? de retención?
datos personales? de su Organización?

¿Cuál es la alineación
¿Cómo se etiquetan
entre sus bases de ¿Cómo lograr la ¿Cómo se monitorea el ¿Está su estrategia de
los datos en la
datos, interpretación consumo y la monetización de datos
Informes de entrada? ¿Se puede
almacenamiento de responsable de los transferencia de datos alineada con su marco
detectar ingestión
datos y datos y plataformas de datos? confidenciales? de retención de datos?
maliciosa?
análisis informes?

¿Se están utilizando

¿Necesita el ¿Los datos
los datos de acuerdo ¿Puede manejar las
consentimiento para ¿Tiene un inventario transferidos a terceros
con los compromisos solicitudes individuales
recopilar los datos? actualizado de los se hacen de acuerdo
legales y las para eliminar sus
Privacidad de ¿Necesitas datos personales? con las regulaciones
regulaciones datos?
anonimizarlo? de privacidad?
datos internacionales?

¿Mantienes los datos

¿Cómo clasifica sus Si un actor o amenaza demasiado tiempo?
¿Se protegen los datos
datos y determina ¿Cómo gobiernas los accediera a los datos ¿Cómo se aseguran
mediante cifrado y
cómo deben controles? en tránsito, ¿podría las copias de
Protección de controles de acceso?
protegerse? ser utilizable? seguridad y los 20

datos archivos?
El viaje de la transformación de Ciberseguridad.
3 – Secure - Protección
Seguro

Gestión del Programa

Seguridad de
Protección de Información Infraestructuras

Administración de Personal Gestión de Accesos e

Identidades

Gestión de Terceros

Seguridad Cloud

Seguridad Software

21
 El viaje de la transformación de Ciberseguridad.
4 – Vigilancia – Secutity Operation Centers (SOC)

Inicial Gestionada Optimizada

Reinvención del SOC y gestión

de cartera.
Las organizaciones líderes se esfuerzan por Detección de fuga de
datos
La mayoría de las organizaciones están por aquí Detección de amenazas
de delitos cibernéticos
Business Risk Management

Anomalía del proceso de

Persistent Threat negocio y detección de
Monitoring casos de uso

Threat Intelligence Controles de

detección de fraude
Detección de patrones y
anomalías.
Activos Integrados e Advanced
Controles Despliegue SIEM y / Información de Identidad
o MSS. Cyber Threats
detectivos
tradicionales
Outlier, Temporal,
Análisis Estadístico La mayoría de las organizaciones quieren estar
Aplicación, base de
aquí.
datos y sistemas
Correlación centrados en el
Definición del Proceso SOC, avanzada y negocio.
Consolidación de registros Funciones y Responsabilidades tendencias
y reportes

Infraestructura Base Visibilidad mejorada Soluciones centradas en el negocio

22
 Deception
La importancia de la integración Cuentas de correo

Monitoreo de Ciberseguridad Engaño

Monitoreo de Amenazas/Casos de Uso
Aplicaciones Servicios de
Objetivos Tipo de Ataque Descubrimiento compartición
Servicios Web Resultado Hipótesis

Infraestructura Critica
de Ciberseguridad
SOC+ Honey
pots/Spam
traps

Cyber Simulation
Red Team / Blue Team / Purple Team Amenazas
Materializadas

Descubrimiento
Investigación

Threat Intelligence
Análisis e Inteligencia de
amenazas Cyber Threat
Incident Response
Hunting Atacante

Penetration
Preparación Contención Erradicación Recuperación Retroalimentación Testing
Capacidad
Negocio Infraestructura

Victimas

Cyber Information
Sharing (CSIRT)
 El viaje de la transformación de Ciberseguridad.
5 – Resiliencia

Este marco de trabajo provee beneficios significativos en la implementación, debido a su flexibilidad y arquitectura de
componentes, diseñados para cumplir las expectativas de nuestros clientes incorporando componentes de las mejores
prácticas y normas internacionales tales como BS 11.200, PAS 200, ISO 22.301, DRII y BCI.

24
Las oportunidades y los riesgos en la era
digital se encuentran entrelazados –
Cero Riesgo implica Cero Oportunidad.

Continuo descubrimiento, evaluación y

adaptabilidad a los constantes cambios
en los riesgos y confianza serán
capacidades claves de los profesionales
de ciberseguridad durante las siguientes
décadas.

25
Muchas Gracias!
nicorrado@deloitte.com