Respondiendo a la amenaza cibernética

Responding to Cyber Threat

Market Infrastructure Panel

Taller Seguridad Informática
Cyber Security Workshop

ACSDA
Miami / 29-30 de noviembre 2018
1. Escenario Mundial y Regional
World and Latam Outlook

2. Regulador Chile
Chilean Authorities

3. En que está el DCV

What are DCV doing?
BCI 2018: Horizon Scan Report
 Ciber ataque (Cyber Attack) - Modus Operandi

(1) Reconocimiento
(Recognition)
▶ Detección vulnerabilidades
▶ Identifica ambientes

▶ Identifica roles

▶ Compromiso de credenciales

▶ Identifica VPN

▶ etc.

(3) Preparación (4) Ejecución

Preparation Attack
▶ Apertura Cuentas ▶ Alteración de software
▶ Contrata mulas (malware)
▶ Contrata insider ▶ Transferencia desde

(2) Subasta ▶ Canal de C&C cuentas falsas

▶ Túneles internos ▶ Alteración de
Auction ▶ Estudia procesos
▶ Hacker ofrece sus transacciones reales
activos en la darknet internos ▶ Alteración de

▶ Identifica umbrales de transacciones

▶ Le pone un precio

▶ Grupo contraoferta y fraude rechazadas

▶ Realizan algunas pruebas ▶ Suplantación de roles
pide muestra
▶ Grupo prueba la clave
▶ Eliminación de rastros
"Mercancía” ▶ Disrupción del negocio
▶ Cierra acuerdo
(DoS)
NotPetya: El mayor Ciberataque (biggest cyber attack)
OEA 2018: Estado de la Ciberseguridad en el sector bancario Latam
(OAS 2018 - Cibersecurity in Latam Bank sector)
ISSA > CiberSeguridad (What ISSA says)
1. Escenario Mundial y Regional
World and Latam Outlook

2. Regulador Chile
Chilean Authorities

3. En que está el DCV

What are DCV doing?
 Ciberseguridad - Escenario Chile (Chilean Authorities)

• Iniciativas Gubernamentales (Goverment initiatives)

200.000
dispositivo
s en Mirai
Malwar
e ATM • Política Nacional / Ley de Delito informático /
Instructivo Presidencial / Ley Marco
Troyano
Troyano
Mazain
roba info
Ransomwar
e
Remcos
ataca sector
(National regulation / Computer crime law)
fianciera financiero

• Otros ámbitos (Other areas)

• Regulación Infraestructura Crítica
Ataques
Extorsión APT
criptominado
Sector Industria
en diversas
financiero financiera
industrias
Armada
Collective (Critical Infrastructure Regulation)

La amenaza globalizada
• Nuevas normas SBIF (Superintendencia de Bancos , -
Global Treath > CMF) (Banks Authorities new rules)
APT38 • Ciberseguridad / Directorios responsables / Base
FancyBear
de incidentes / Reporte de incidentes / Informar
Lazarouz
incidentes a usuarios y clientes / Requerimientos
Carbanak
APT28
para para servicios en la nube
(Cybersecurity / Board responsabilities / Incidents mgmt
Estados y criminales & disclosure )
(Countries & Criminals)
Mirada Regulador – CMF (Comisión para el Mercado Financiero)
(FMI’s Authority)
Mirada Regulador – BCCh (Banco Central de Chile)
(Chilean Central Bank)

Interconected
Capital
Market
1. Escenario Mundial y Regional
World and Latam Outlook

2. Regulador Chile
Chilean Authorities

3. En que está el DCV

What is DCV doing?
 Marco general de seguridad (Security Framework)

• Contexto de Ciberseguridad y otros dominios de seguridad ISO 27032

Cybersecurity context and other domains

Seguridad de la Información (Information)

Seguridad de los aplicativos (Apps)

Ciberseguridad
(Cybersecurity)

Seguridad de Seguridad de Internet

(Internet security)
Redes(Networks)

Protección de la infraestructura Crítica de Información

(Critical Information Infrastructure Protection)
 Gestión de Seguridad (Procesos y Sistemas de Gestión) -
Security Management
Gobernabilidad (Governance)
Finanzas,
Ciberseguridad
planificación y
TI
desarrollo
Gerencia
General Seguridad de la Comité
de Comité
información TI y
riesgo
Proceso
Riesgo Comité de s
Continuidad de gestión Directori
negocios o

Gestión (Mgmt)
Certificación ISO 22301
Seguridad de
la
información
Gestión de 27001
riesgos
ISO 27001
Gestión de
riesgos de la
AT 205 SSAE (2013)
Continuidad
ISO 31000 de Negocios
S.I.
ISO 27005 Monitoreo Control
ISO 22301

Cyber
Cyber
REVISIÓN
REGULADOR REVISIÓN
IOSCO
seguridad (Industria)
resiliencia AUDITORIA ALTA
ISO 27032 /
IOSCO INTERNA
COMITÉ DE ADMINISTRACIÓN
VIGILANCIA
 Situación actual SGSI (ISMS status)
Criterio de
aceptación de Proceso de Tratamiento
Acciones para abordar riesgos de SI
Compromiso de la de Riesgos de SI
riesgos y oportunidades
dirección

Límites SGSI Objetivos de SI

Proceso de
Roles, responsabilidades Valoración de
y autoridades Riesgos de SI
Evidencia de
Política de SI Análisis de
competencia
Riesgos y
recursos
Requerimientos oportunidades
legales y regulatorios Alcance que se deben
atender
Evidencia de
concientización

Análisis de Contexto de la
Liderazgo Planeación Soporte
partes organización
interesadas
Necesidades de
comunicación internas y
externas

Asuntos / factores
internos y
externos
Control de
documentos

Gestión de no Operación
conformidades Mejora
Planeación y
control
operacional
Gestión de
acciones
correctivas
Resultados de la
Resultados del valoración de riesgos de
tratamiento de riesgos SI
de SI
Mejora
continua Evaluación del
desempeño
Declaración de
aplicabilidad
Aprobación de riesgo
residual (Dueños del
Monitoreo, riesgo)
medición, análisis
y evaluación Programa de Revisión de Plan(es) de
Auditoría interna gestión tratamiento de
Resultados del riesgos de SI
monitoreo y medición
Aprobación de planes de
tratamiento (Dueños del
Resultados de Resultados de la riesgo)
revisión de gestión
Auditoría
interna

Reutilización 22301 Implementado Parcialmente implementado No implementado

15
ISO 22301 reuse Implemented Partially implemented Not implemented
 Marco general de seguridad y la ciberseguridad (Security and Cibersecurity Framework)

Gobierno Pruebas
Identificacion
Entendimiento
IOSCO- Guía Protección
Situacional
Cyberesilencia Detección
Aprendizaje y
Recuperación Evolución

Identificacion
Protección
NIST 1.1 Detección
Defender
Recuperación

Directrices para la Ciber

Seguridad
ISO 27032

Sistemas Gestión de la
Seguridad de la Información
ISO 27001
 Modelo conceptual de relaciones y de evaluación de riesgo (Model of relations and risk assessment)

Sistema de Gestión de Seguridad de la Informacion

Contexto, liderazgo,
planeación, soporte

Mejora Operación
continua

Evaluación del
desempeño

ISO 27.001
 Modelo conceptual de relaciones y de evaluación de riesgo (Model of relations and risk
assessment)

Controles
 NIST
Stakeholders/Partes  ISO 27.032 ciberseguridad
interesadas.  Guía IOSCO cyberseguridad
Persona u organización que
puede afectar, ser afectada,
o se percibe a sí mismo
afectada por una decisión o
actividad.
Vulnerabilidad. Riesgos. Evaluación de los activos
Debilidad de un activo o  ISO 31.000
de un control que puede
ser explotada por una
amenaza.

Priorización de activos

Nivel de riesgo de amenazas

de Seguridad- Ciberseguridad
Determinación de riesgo Estrategias / Planes / Respuestas
residual (potencial) y vivo  Sistema de gestión de continuidad de negocios. ISO 22.301
CMC
(materializado)  Plan de manejo de crisis – ciberseguridad. BS 11.200

CCE CRT CRI CAP

 Ciberseguridad - Estrategia de protección frente al APT (Advanced
Persistent Threat Strategy)

Control del ingreso Detección del Defensa de activos

(Access) críticos (Defense)
movimiento(Identify)

Identificar Controlar el
Bloquear intentos movimiento lateral, acceso y proteger
de ingreso y de escalamiento activos y usuarios
comunicación. privilegios, robo críticos
(Block) credenciales, etc (Control access, protect
(lateral movement, critical assets & users)
escalation, credentials)

Inteligencia + Visibilidad + Respuesta

(Intelligence + Visibility + Response)
 Ciberseguridad - Controles propuestos
(Cybersecurity new controls)

Seguridad Tradicional Controles Avanzados APT

(Traditional) (Advanced)

• NG FW
• Firewall / IPS • Anti-DDoS *
Perímetro (Perimeter) • Antispam • Sandbox Navegación
• URL Filltering • Sandbox Correo *
• FW DNS
Red Interna (intranet) • Segmentación • Micro Segmentación *
Desktop • Antivirus • EDR + NG AV *
• Clave • Gestión de Usuarios
Usuarios (users) Privilegiados *
• 2FA *
Servidores (Servers) • Vulnerability Manager * • Parchado Virtual
Base de Datos y Datos • DAM
(Data and DB’s) • DLP *
Aplicaciones (Apps) • WAF * • RASP

• Hunting *
• SIEM • Inteligencia Amenaza *
Gestión (Mgmt)
• Monitoreo * • Inteligencia Amenaza
Avanzada
www.dcv.cl Depósito Central de Valores, DCV

DCV - Av. Apoquindo 4001 Piso 12, Las Condes.

DCV Registros - Huérfanos 770 Piso 22, Santiago Centro.