Retos de gestión de riesgo cibernético en la Transformación Digital

Wilmar Arturo Castellanos

wcastellanos@deloitte.com
Febrero de 2019
Agenda

Tendencias tecnológicas

Tendencias de riesgo cibernético

Retos de Ciber Seguridad

Conclusiones

© Deloitte LLP and affiliated entities.

Tendencias tecnológicas

© Deloitte LLP and affiliated entities.

Continuas innovaciones tecnológicas

Computación cuántica La era Post-Digital

Vehiculos autónomos con
Sensores en todas las
inteligencia artificial adaptativa superficies para cuantificar
Nuevas tecnologías impactando continuamente todas las
Impresión / Manufactura 3D todo
industrias, creando demanda de nuevas habilidades y
IoT - Asistentes virtuales para el
experiencia… Inteligencia embebida mejora
hogar
evolutivamente las cualidades
Realidad aumentada del software
en la nube
Analíticas de big data Personalización masiva debido
a interacción más profunda
Smartphones con
Interfaz Táctil / Multi touch Todo digital gracias a la
Redes sociales virtualización de los derechos
y la propiedad
e-commerce
Servicio conversacional en
Computación Internet lenguaje natural mediante
Cliente
personal robots
Servidor

1970s 1980s 1990s 2000s 2010s 2020s Robótica y Automatización

para cubrir la última milla
entre canales de servicio y
sistemas legados
Computación
Arquitectura

Post Digital
e-commerce
Internet /

La copia extensiva por

Cliente -
Servidor

personal

conexión e inspección

Digital
Móvil
constante transforma el valor
Web

>25 yrs. ~15 yrs. ~10 yrs. <10 yrs. ~7 yrs. <5 yrs.
de la propiedad intelectual de
la forma al know-how

Los 10 trabajos más demandados en 2010 no existían en Para 2020, 100 millones de consumidores En los próximos 10 años, 30% de los trabajos
2004. 65 % de los niños graduados en USA trabajarán en comprarán mediante realidad aumentada y en Bancos serán remplazados por
cargos que aún no se han inventado más de 20% de las marcas abandonarán sus Automatización de Procesos y Tecnologías
© Deloitte LLP and affiliated entities. aplicaciones móviles Cognitivas 4
Los próximos 10 años marcarán puntos de quiebre para varias tecnologías
Una investigación del Foro Económico Mundial muestra que entre 10 y 20 transiciones
ocurrirán en los próximos 10 años

AÑO PROMEDIO EN EL CUAL SE ESPERA EL PUNTO DE QUIEBRE

2018 2021 2022 2023 2024 2025 2026

• Almacenamiento para • Robots y • loT • Tecnologías • Computación • 3D en productos • Automóviles

todos Servicios implantables en omnipresente para cliente final autónomos
• Wearables
humanos
• Hogar 100% • Inteligencia artificial • Ciudades inteligentes
• 3D Printing
• Súper computadora conectado en puestos
• Toma de decision final
de bolsillo ejecutivos
• Diagnóstico de la por una Inteligencia
salud humana Artificial
Hay transofrmaciones profundas que están ocurriendo rapidamente en la Sociedad humana cmo resultado de la evolución tecnológica

Tecnologías Implantables Revolución sensorial

El primer teléfono móvil implantable disponible comercialmente en 2023 1 billón de sensores estará conectado a Internet en 2022

El hogar conectado Ciudades inteligentes

50% del tráfico de Internet será generado por los aparatos La primera ciudad con más de 50.000 habitantes y sin semáforos en 2026
electrodomésticos en 2024
Visión como nuevo artefacto AI entra en el mundo corporativo
10% de las gafas de lectura se conectará La primera máquina de inteligencia artificial (AI) en una Junta Directiva
por 2026
Blockchain Robótica y servicios
10% del producto interno bruto global (PIB) almacenado en la tecnología El primer farmacéutico robótico en los Estados Unidos en 2021
blockchain en 2027

© Deloitte LLP and affiliated entities. 5

 Tendencias clave para el futuro de los negocios

Internet de las cosas Blockchains

Automatización de procesos robóticos Internet de las cosas (loT) se Blockchains son libros de
Tecnologías cognitivas
La automatización de procesos robóticos (EPR) se refiere a objetos físicos que están contabilidad distribuidos
La Inteligencia Artificial (AI) es que registran las
refiere al software configurable que automatiza incrustados en los ordenadores
la teoría y desarrollo de interacciones digitales de
las actividades manuales realizando tareas para que puedan detectar sus
sistemas computacionales una manera segura,
repetitivas y deterministas. El EPR imita la forma entornos, cambiar sus entornos y
capaces de desarrollar tareas transparente, inmutable y
en que las personas interactúan con los sistemas comunicarse con sistemas
Mayor

que usualmente requieren de auditable, sin tener que

y sigue reglas sencillas para tomar decisiones. remotos.
inteligencia humana. Las depender de
Convergencia de la industria tecnologías subyacentes son intermediarios de
Enfasis del mercado

La convergencia de la industria es el acercamiento referidas como tecnologías confianza.

de sectores industriales distintos para crear cognitivas.
posibilidades innovadoras en términos de productos,
Modelos de talento alternativos procesos y servicios que no existían antes.

Los modelos de talentos alternativos son formas flexibles de

Modelos de negocios alternativos
mejorar los modelos de talentos que están siendo adoptados
por las organizaciones, ya que cada vez más empleados Los modelos de negocios alternativos son
prefieren no trabajar a tiempo completo o permanente. enfoques no tradicionales de creación de
valor que pueden permitir a las
Menor

Economía de la plataforma organizaciones encontrar nuevas

oportunidades de crecimiento e ingresos.
Una plataforma se define como un medio habilitado para la tecnología que Riesgos algorítmicos
crea valor facilitando los intercambios entre muchas entidades. La
economía de la plataforma se define como la aparición de ecosistemas Los riesgos algorítmicos son riesgos que
basados en plataformas que permiten la estandarización de productos, emanan del uso de algoritmos de software en
servicios y procesos de negocios a través de una infraestructura compartida varias tareas automatizadas y
y están impulsando la creación y escala de valor al permitir efectos de red. semiautomatizadas o en la toma de decisiones.

0-2 años Tiempo de maduración 2-4 años

© Deloitte LLP and affiliated entities.

Leyenda Tendencia TI Tendencia de negocio Tendencia de riesgo 6
Tendencias de riesgo cibernético

© Deloitte LLP and affiliated entities.

El cambiante panorama del negocio y del riesgo cibernético

VAPOR

Era del cumplimiento

ELECTRICIDAD

DIGITAL
Era del riesgo

HIPER-CONECTADO
E INTELIGENTE

Era de la madurez y la ubicuidad

© Deloitte LLP and affiliated entities. 8

 La Transformación Digital, Herramienta Estratégica de las Organizaciones

El desafío:
Analytics
Cloud
cómo facilitar el
Digital Finance & crecimiento y mejorar
Payments la rentabilidad de la
Organización
Mobile Robotics & mediante el uso
Banking Cognitive
Automation seguro de las nuevas
tecnologías

BlockChain

Virtual Reality
IoT

© Deloitte LLP and affiliated entities.

Foro económico mundial
El panorama global del riesgo 2019

Económico Social
Ambiental Tecnológico
Geopolítico
© Deloitte LLP and affiliated entities.
Source: World Economic Forum Global Risks Perception Survey 2019
 El panorama cambiante del ciberriesgo
Global Risk 2019 del Foro Económico Mundial

El costo de los
ciberataques se está
incrementando. Los ataques se están
incrementando tanto
Se estima pérdidas financieras
en 2019 relacionadas con en prevalencia como
ataques de robo de datos y en poder disruptivo
dinero en un 82% e interrupción
de las operaciones en un 80%

Malware y ransomware
ha resurgido en la dark
net

las noticias falsas y el robo de

identidad aumentan en 2019, lo
mismo se estima en la pérdida de
Los cibercriminales privacidad para las empresas y
han aumentado sus Los ciberataques de
los gobiernos gran escala ahora se
objetivos potenciales
así como su oferta de consideran normales
servicios
© Deloitte LLP and affiliated entities.
Tendencias globales de riesgo cibernético

Un mayor número de sistemas y dispositivos conectados continúa expandiendo la superficie de ataque de una organización

La cadena de suministro o el envenenamiento del socio comercial o la entrada lateral están en aumento

Ataques más frecuentes, focalizados y sofisticados

Patrones de ataque cada vez más parecidos al comportamiento normal

Ransomware y los ataques de integridad de datos aumentarán en sofisticación y frecuencia

Escasez y alto costo del talento cualificado

Capacidades asimétricas de guerra a través del crimen como plataforma de servicio

La mala higiene de la seguridad sigue afectando organizaciones

Aumento de los costos de prevención y remediación

© Deloitte LLP and affiliated entities. 12

El ambiente de Ataques y Amenazas evoluciona globalmente

Consistente con el aumento del nivel de Riesgo, los Objetivos y Métodos de Ataque continúan
migrando a situaciones de mayor complejidad

En el Pasado Actualmente

• Impacto en la operación • Foco específico en acceder

e infraestructura de IT a los recursos informáticos
más críticos (“Crown
• Ataques Genéricos jewels”)
• Mecanismos de ataques • Ataques dirigidos, no solo
ruidosos y relativamente oportunistas
fáciles de detectar • Se utilizan técnicas
silenciosas
• Se busca la “persistencia”
sin ser detectado
© Deloitte LLP and affiliated entities.
Retos de Ciber Seguridad

© Deloitte LLP and affiliated entities.

Entender el Escenario de Amenazas Propio de la Entidad

http://informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/
© Deloitte LLP and affiliated entities.
Entender el Escenario de Amenazas Propio de la Entidad

http://informationisbeautiful.net/visualizations/worlds-biggest-data-
breaches-hacks/

© Deloitte LLP and affiliated entities.

Evaluación de capacidades de ciber seguridad
Conciencia Situacional

Obtener un entendimiento adecuado sobre las amenazas que enfrenta una organización, cuáles son los activos e
información en riesgo y cuáles son las tácticas que emplearía un agente amenaza para lograr su cometido, de tal
manera que podamos responder a las siguientes preguntas:

• Criminales Cibernéticos (Cyber criminals)

¿Quién podría atacarnos?
• Hacktivistas (hackers con fines políticos y sociales)
• Colaboradores con fines maliciosos
• Proveedores deshonestos
• Competidores
• Hacker habilidoso con fines individuales

• Robo de información sensible (corporativa,

¿Cuáles son los riesgos clave
del negocio que necesito
mitigar?
reportes del consejo ejecutivo, información
financiera, información de inversionistas, etc.)
• Reclamos de fraude
• Fraude financiero
• Incumplimiento al Sistema de Calidad
• Incumplimiento a su Visión Misión y Valores.
• Incumplimiento Regulatorio

¿Qué tipo de tácticas y • Ingeniería Social

técnicas podría emplear un • Vulnerabilidades en software o hardware
atacante o agente amenaza? • Ataques a través de infraestructura de terceros
• Credenciales de autenticación robadas

”En última instancia, la ciberseguridad se trata de la marca y la reputación

© Deloitte LLP and affiliated entities.
frente a sus partes interesadas" © 2019 Deloitte Asesores y Consultores Ltda. 6
Evaluación de capacidades de ciber seguridad
Conciencia Situacional
Siendo la tecnología un factor de riesgo con mayor evolución y complejidad, la seguridad se vuelve fundamental a la luz
de las crecientes amenazas cibernéticas que enfrentan las organizaciones. Es por ello que presentamos un ejercicio
integral que permite a las organizaciones identificar riesgos en 3 ejes fundamentales:

Cyber Security Assessment

(CSA)

Pruebas de penetración / externas

Cyber Threat Hunting (CTH)
e internas (PT)

© Deloitte LLP and affiliated entities. © 2019 Deloitte Asesores y Consultores Ltda. 18
Modelo de referencia
Cyber Security Framework ®

Actualizar constantemente
estándares de control,
metodologías y marcos de
referencia, acorde con las
tendencias cambiantes
(expansión de tecnologías
emergentes, actuales y futuras)

© Deloitte LLP and affiliated entities. 19

Modelo de referencia
Cyber Strategy Framework (CSF)

El Cyber Security Assessment es un diagnóstico que permite dar a conocer a la organización las capacidades actuales de su organización
en relación a la protección, monitoreo y recuperación ante un incidente. A continuación se muestra un gráfico para dar un entendimiento
de las actividades en este rubro:

BENEFICIOS

Entendimiento Entendimiento
Identificar el Desarrollo de la
del panorama de del nivel actual
Enfoque valor de las ruta crítica de
amenazas para la de madurez en
en inversiones las iniciativas de
organización. capacidades de
prioridade en ciberseguridad
ciberseguridad
s cibersegurida
d
DESARROLLO DE ESTRATEGIA DE
ENTENDIMIENTO Y ANÁLISIS DE RIESGOS CIBERNÉTICOS
CIBERSEGURIDAD

Permite a las organizaciones evaluar y desarrollar una estrategia cibernética alineada a su Identificar proyectos e iniciativas
negocio y perfil específico de amenazas informáticas mediante la optimización del nivel de relevantes para la organización.
madurez de sus capacidades cibernéticas y haciendo más efectivas las inversiones en
ciberseguridad.

Panorama de Entendimiento de negocio Capacidades de Identificación de Generación de ruta

amenazas ciberseguridad iniciativas critica
© Deloitte LLP and affiliated entities. © 2019 Deloitte Asesores y Consultores Ltda 20
Cyber Threat Hunting (CTH) - ¿Qué es?

Se realiza un diagnóstico que permite identificar si el ambiente tecnológico de la organización ha sido comprometido,
es decir, si se tiene presencia de un agente o agentes maliciosos dentro de la organización sin que estemos al tanto de
ello. Es un complemento a las pruebas de penetración.

Para esto se desarrolla un enfoque de pruebas basado en hipótesis de investigación, definiendo objetivos específicos
para cada una de estas en diferentes tipos de activos críticos o equipos de cómputo de usuarios; tras definida una
estrategia de investigación, se realiza un despliegue técnico que permita al equipo de investigadores monitorear la
actividad de los activos y redes dentro del alcance de la investigación.

Estrategia e Hipótesis de investigación Investigación

Despliegue de tecnología (Agentes en

3 tipos de hipótesis:
• Se definirá un tipo Basadas en Inteligencia de
de investigación y Amenazas
alcance de IoCs y TTPs
objetivos
Basadas en Conciencia
• Se establecerá situacional
una hipótesis Conocer las joyas de la corona
host y sensores de red) para identificar
comportamiento malicioso dentro de la
red interna de la organización. Toda la
actividad sospechosa es documentada
y comunicada para tomar medidas
correctivas.

Basadas en Experiencia
Experiencia previa del Investigar Identificar Alertar
investigador

© Deloitte LLP and affiliated entities. © 2019 Deloitte Asesores y Consultores Ltda 21
Reducir la brecha entre Ataque y Respuesta
La brecha existente entre la velocidad en que se completan los ataques y los tiempos de respuesta de las organizaciones
constituye uno de los principales desafíos de las organizaciones actuales en materia de Ciber Resiliencia

Source: Verizon Data Breach Investigations Report 2018

© Deloitte LLP and affiliated entities.
 Atender a los Desafíos en el Desarrollo de Capacidades de Respuesta Ante
Incidentes y Ciber Resiliencia

Las organizaciones siguen sufriendo por pobres medidas y prácticas de seguridad como la falta de
1
aplicación de parches o la puesta en producción en Internet de aplicaciones sin un adecuado testeo de
seguridad

Usualmente las organizaciones se preocupan únicamente en la amenaza externa, ignorando

2 escenarios de ataques internos

3 Los usuarios finales siguen siendo el foco de los ataques, vía ataques de phishing y de ingeniería
social

4 Las capacidades de Respuesta ante Ciber Incidentes no son comparables con las
capacidades de los atacantes y de las herramientas de que estos disponen.

5 La generación de rédito para los atacantes hace que se generen más atacantes y haya más
motivación para la generación de ataques
© Deloitte LLP and affiliated entities.
Retos para el CISO

Abrazar el futuro con optimismo, con la conciencia de oportunidad y de

riesgo.

La pregunta no es si acaso podríamos ser impactados por un evento de ciber

riesgo, la pregunta es cuándo fuimos / seremos impactados

• Gobierno y Prevención

• Aseguramiento y protección (Seguro)

• Detección y Ciber inteligencia accionable (Vigilante)

• Preparación ante lo inevitable (Resiliente)

• Respuesta y comunicación (Resiliente)

© Deloitte LLP and affiliated entities. 24

Conclusiones

© Deloitte LLP and affiliated entities.

Conclusiones

Abrazar el futuro con optimismo, monitorear tendencias internas y externas

Edúquese y comprenda las oportunidades

Comprometer el negocio y tecnología para entender las necesidades actuales

y previstas, así como casos de uso

Comprenda los riesgos, limitaciones y conozca sus zonas de confianza

Actualizar estándares de control, metodologías y marcos de referencia

© Deloitte LLP and affiliated entities.

About Deloitte

Deloitte provides audit & assurance, consulting, financial advisory, risk advisory, tax and related services to public and private clients spanning
multiple industries. Deloitte serves four out of five Fortune Global 500® companies through a globally connected network of member firms in more
than 150 countries and territories bringing world-class capabilities, insights and service to address clients' most complex business challenges.
To learn more about how Deloitte's approximately 264,000 professionals—9,400 of whom are based in Canada—make an impact that matters,
please connect with us on LinkedIn, Twitter or Facebook.

Deloitte LLP, an Ontario limited liability partnership, is the Canadian member firm of Deloitte Touche Tohmatsu Limited. Deloitte refers to one or
more of Deloitte Touche Tohmatsu Limited, a UK private companies limited by guarantee, and its network of member firms, each of which is a
legally separate and independent entity. Please see www.deloitte.com/about for a detailed description of the legal structure of Deloitte Touche
Tohmatsu Limited and its member firms.

© Deloitte LLP and affiliated entities.