Documentos de Académico
Documentos de Profesional
Documentos de Cultura
ACSDA
Miami / 29-30 de noviembre 2018
1. Escenario Mundial y Regional
World and Latam Outlook
2. Regulador Chile
Chilean Authorities
(1) Reconocimiento
(Recognition)
▶ Detección vulnerabilidades
▶ Identifica ambientes
▶ Identifica roles
▶ Compromiso de credenciales
▶ Identifica VPN
▶ etc.
2. Regulador Chile
Chilean Authorities
La amenaza globalizada
• Nuevas normas SBIF (Superintendencia de Bancos , -
Global Treath > CMF) (Banks Authorities new rules)
APT38 • Ciberseguridad / Directorios responsables / Base
FancyBear
de incidentes / Reporte de incidentes / Informar
Lazarouz
incidentes a usuarios y clientes / Requerimientos
Carbanak
APT28
para para servicios en la nube
(Cybersecurity / Board responsabilities / Incidents mgmt
Estados y criminales & disclosure )
(Countries & Criminals)
Mirada Regulador – CMF (Comisión para el Mercado Financiero)
(FMI’s Authority)
Mirada Regulador – BCCh (Banco Central de Chile)
(Chilean Central Bank)
Interconected
Capital
Market
1. Escenario Mundial y Regional
World and Latam Outlook
2. Regulador Chile
Chilean Authorities
Ciberseguridad
(Cybersecurity)
Gestión (Mgmt)
Certificación ISO 22301
Seguridad de
la
información
Gestión de 27001
riesgos
ISO 27001
Gestión de
riesgos de la
AT 205 SSAE (2013)
Continuidad
ISO 31000 de Negocios
S.I.
ISO 27005 Monitoreo Control
ISO 22301
Cyber
Cyber
REVISIÓN
REGULADOR REVISIÓN
IOSCO
seguridad (Industria)
resiliencia AUDITORIA ALTA
ISO 27032 /
IOSCO INTERNA
COMITÉ DE ADMINISTRACIÓN
VIGILANCIA
Situación actual SGSI (ISMS status)
Criterio de
aceptación de Proceso de Tratamiento
Acciones para abordar riesgos de SI
Compromiso de la de Riesgos de SI
riesgos y oportunidades
dirección
Proceso de
Roles, responsabilidades Valoración de
y autoridades Riesgos de SI
Evidencia de
Política de SI Análisis de
competencia
Riesgos y
recursos
Requerimientos oportunidades
legales y regulatorios Alcance que se deben
atender
Evidencia de
concientización
Análisis de Contexto de la
Liderazgo Planeación Soporte
partes organización
interesadas
Necesidades de
comunicación internas y
externas
Asuntos / factores
internos y
externos
Control de
documentos
Gestión de no Operación
conformidades Mejora
Planeación y
control
operacional
Gestión de
acciones
correctivas
Resultados de la
Resultados del valoración de riesgos de
tratamiento de riesgos SI
de SI
Mejora
continua Evaluación del
desempeño
Declaración de
aplicabilidad
Aprobación de riesgo
residual (Dueños del
Monitoreo, riesgo)
medición, análisis
y evaluación Programa de Revisión de Plan(es) de
Auditoría interna gestión tratamiento de
Resultados del riesgos de SI
monitoreo y medición
Aprobación de planes de
tratamiento (Dueños del
Resultados de Resultados de la riesgo)
revisión de gestión
Auditoría
interna
Gobierno Pruebas
Identificacion
Entendimiento
IOSCO- Guía Protección
Situacional
Cyberesilencia Detección
Aprendizaje y
Recuperación Evolución
Identificacion
Protección
NIST 1.1 Detección
Defender
Recuperación
Sistemas Gestión de la
Seguridad de la Información
ISO 27001
Modelo conceptual de relaciones y de evaluación de riesgo (Model of relations and risk assessment)
Mejora Operación
continua
Evaluación del
desempeño
ISO 27.001
Modelo conceptual de relaciones y de evaluación de riesgo (Model of relations and risk
assessment)
Controles
NIST
Stakeholders/Partes ISO 27.032 ciberseguridad
interesadas. Guía IOSCO cyberseguridad
Persona u organización que
puede afectar, ser afectada,
o se percibe a sí mismo
afectada por una decisión o
actividad.
Vulnerabilidad. Riesgos. Evaluación de los activos
Debilidad de un activo o ISO 31.000
de un control que puede
ser explotada por una
amenaza.
Priorización de activos
Identificar Controlar el
Bloquear intentos movimiento lateral, acceso y proteger
de ingreso y de escalamiento activos y usuarios
comunicación. privilegios, robo críticos
(Block) credenciales, etc (Control access, protect
(lateral movement, critical assets & users)
escalation, credentials)
• NG FW
• Firewall / IPS • Anti-DDoS *
Perímetro (Perimeter) • Antispam • Sandbox Navegación
• URL Filltering • Sandbox Correo *
• FW DNS
Red Interna (intranet) • Segmentación • Micro Segmentación *
Desktop • Antivirus • EDR + NG AV *
• Clave • Gestión de Usuarios
Usuarios (users) Privilegiados *
• 2FA *
Servidores (Servers) • Vulnerability Manager * • Parchado Virtual
Base de Datos y Datos • DAM
(Data and DB’s) • DLP *
Aplicaciones (Apps) • WAF * • RASP
• Hunting *
• SIEM • Inteligencia Amenaza *
Gestión (Mgmt)
• Monitoreo * • Inteligencia Amenaza
Avanzada
www.dcv.cl Depósito Central de Valores, DCV