Estrategia de Ciberseguridad

Estrategia
Ciberseguridad
BANCO X
PASO 1 – PRIORIZAR Y ALCANCE

3
PASO 1 – PRIORIZAR Y ALCANCE
DRIVER #1 DRIVER #2 DRIVER #3
DATOS DE CLIENTE SOPORTE E-BANKING ASOCIADO A BIA NIVEL DE
MACRO PROCESO PROCESO ALCANCE
(3) Alto volumen (2) Medio (3) soporte directo (2) soporte (3) Bia < 4h (2) 4h - 24h (1) 24h CRITICIDAD
volumen (1) bajo volumen parcial (1) soporte limitado - mas

ESTRATEGICO BANCA PERSONAL 3 3 3 9 x

ESTRATEGICO E-BANKING 3 3 3 9 x
SERVICIOS BANCA
OPERACIONALES 3 3 3 9 x
PERSONAL
OPERACIONALES TECNOLOGIA 3 3 3 9
ESTRATEGICO BANCA EMPRESAS 1 3 3 7
ESTRATEGICO BI ANÁLITICA 3 3 1 7
SERVICIOS BANCA
OPERACIONALES 1 3 3 7
EMPRESA
ESTRATEGICO DISEÑO DE PRODUCTOS 2 3 1 6
ESTRATEGICO INVERSIONES 1 2 3 6
OPERACIONALES MARKETING 3 1 1 5
OPERACIONALES RECUPERACIONES 3 1 1 5
OPERACIONALES RECURSOS HUMANOS 3 1 1 5
OPERACIONALES INFRAESTRUCTURA 1 1 1 3
OPERACIONALES SEGURIDAD FISICA 1 1 1 3

4
PASO 2 – ORIENTAR
PROCESO ACTIVO DE INFORMACIÓN

BANCA PERSONAL Datos de identificación y contactabilidad de clientes

BANCA PERSONAL Saldo de cuentas

BANCA PERSONAL Saldo de deudas

BANCA PERSONAL Estado de cuenta

E-BANKING Transacciones bancarias

SERVICIOS BANCA PERSONAL Reclamos de clientes

5
 PASO 2 – ORIENTAR
OBJETIVO DE NEGOCIO REQUERIMIENTO NIVEL DE IMPORTANCIA ALCANCE

Eficiencia operativa mediante la Reducción de

Asegurar la disponibilidad del canal e-banking CRITICO X
agencias

Crecimiento de cartera de clientes asegurando

Reducir escenarios de fraude financiero en canal e-banking CRITICO X
canales digitales

Reducción de gastos mediante la tercerización de

Reducir el riesgo de ciberseguridad en servicios de terceros CRITICO X
servicios de terceros

Asegurar el cumplimiento normativo Cumplir con normativa de privacidad de clientes CRITICO X

Asegurar la información frente a eventos de pérdida de datos ALTO

Incluir aspectos de ciberseguridad en el diseño de productos ALTO

Remediar vulnerabilidades de nivel ALTO dentro de los 6 meses. ALTO

6
 PASO 2 – ORIENTAR
4 Critico 16
3 Alto 12
2 Medio 8
1 Bajo 4

R1. Asegurar la R2. Reducir escenarios de R3. Reducir el riesgo de

R4. Cumplir con normativa NIVEL
disponibilidad del canal e- fraude financiero en canal e- ciberseguridad en servicios
de privacidad de clientes CRITICIDAD
banking banking de terceros
1. IDENTIFICAR (ID)
1. Gestión de activos (ID.AM) 1 1 2 4 8 MEDIO
2. Entorno empresarial (ID.BE) 1 1 1 1 4 BAJO
3. Gobernanza (ID.GV) 1 1 1 1 4 BAJO
4. Evaluación de riesgos (ID.RA) 1 1 4 4 10 ALTO
5. Estrategia de gestión de riesgos (ID.RM) 1 1 4 4 10 ALTO
6. Gestión del riesgo de la cadena de suministro (ID.SC) 1 1 4 4 10 ALTO
2. PROTEGER (PR)
1. Gestión de identidad, autenticación y control de acceso (PR.AC) 4 3 4 4 15 CRITICO
2. Concienciación y capacitación (PR.AT) 1 4 1 4 10 ALTO
3. Seguridad de los datos (PR.DS) 2 4 1 4 11 ALTO
4. Procesos y procedimientos de protección de la información (PR.IP) 4 4 4 1 13 CRITICO
5. Mantenimiento (PR.MA) 1 1 1 4 7 MEDIO
6. Tecnología de protección (PR.PT) 3 4 4 4 15 CRITICO
3. DETECTAR (DE)
1. Anomalías y Eventos (DE.AE) 4 4 4 4 16 CRITICO
2. Monitoreo Continuo de la Seguridad (DE.CM) 4 4 4 4 16 CRITICO
3. Procesos de Detección (DE.DP) 4 4 4 4 16 CRITICO
4. RESPONDER (RS)
1. Planificación de la Respuesta (RS.RP) 4 4 4 4 16 CRITICO
2. Comunicaciones (RS.CO) 4 4 4 4 16 CRITICO
3. Análisis (RS.AN) 4 4 4 4 16 CRITICO
4. Mitigación (RS.MI) 4 4 4 4 16 CRITICO
5. Mejoras (RS.IM) 4 4 4 4 16 CRITICO
5. RECUPERAR (RC)
1. Planificación de la recuperación (RC.RP) 4 1 1 4 10 ALTO
2. Mejoras (RC.IM) 4 1 1 4 10 ALTO
3. Comunicaciones (RC.CO) 4 1 1 4 10 ALTO

7
PASO 3 – PERFIL ACTUAL
1 BASICO
2 EN DEFINICIÓN
3 MEDIBLE
4 MONITOREADO
5 OPTIMIZADO

NIVEL CRITICIDAD PERFIL ACTUAL

1. IDENTIFICAR (ID) 2.2
1. Gestión de activos (ID.AM) CRITICO 2
2. Entorno empresarial (ID.BE) BAJO 2
3. Gobernanza (ID.GV) BAJO 2
4. Evaluación de riesgos (ID.RA) ALTO 3
5. Estrategia de gestión de riesgos (ID.RM) ALTO 3
6. Gestión del riesgo de la cadena de suministro (ID.SC) ALTO 1
2. PROTEGER (PR) 2.7
1. Gestión de identidad, autenticación y control de acceso (PR.AC) CRITICO 4
2. Concienciación y capacitación (PR.AT) ALTO 3
3. Seguridad de los datos (PR.DS) ALTO 1
4. Procesos y procedimientos de protección de la información (PR.IP) CRITICO 2
5. Mantenimiento (PR.MA) MEDIO 3
6. Tecnología de protección (PR.PT) CRITICO 3
3. DETECTAR (DE) 2.3
1. Anomalías y Eventos (DE.AE) CRITICO 3
2. Monitoreo Continuo de la Seguridad (DE.CM) CRITICO 1
3. Procesos de Detección (DE.DP) CRITICO 3
4. RESPONDER (RS) 1.8
1. Planificación de la Respuesta (RS.RP) CRITICO 3
2. Comunicaciones (RS.CO) CRITICO 1
3. Análisis (RS.AN) CRITICO 2
4. Mitigación (RS.MI) CRITICO 2
5. Mejoras (RS.IM) CRITICO 1
5. RECUPERAR (RC) 2.0
1. Planificación de la recuperación (RC.RP) ALTO 3
2. Mejoras (RC.IM) ALTO 1
3. Comunicaciones (RC.CO) ALTO 2

2.2
8
PASO 3 – PERFIL ACTUAL 1
2
3
BASICO
EN DEFINICIÓN
MEDIBLE
NIVEL CRITICIDAD PERFIL ACTUAL 4 MONITOREADO
1. IDENTIFICAR (ID) 2.2 5 OPTIMIZADO
1. Gestión de activos (ID.AM) CRITICO 2
2. Entorno empresarial (ID.BE) BAJO 2
3. Gobernanza (ID.GV) BAJO 2
4. Evaluación de riesgos (ID.RA) ALTO 3
5. Estrategia de gestión de riesgos (ID.RM) ALTO 3
6. Gestión del riesgo de la cadena de suministro (ID.SC) ALTO 1
2. PROTEGER (PR) 2.7
1. Gestión de identidad, autenticación y control de acceso (PR.AC) CRITICO 4
2. Concienciación y capacitación (PR.AT) ALTO 3
3. Seguridad de los datos (PR.DS) ALTO 1 FOCO EN CAPACIDADES
4. Procesos y procedimientos de protección de la información (PR.IP) CRITICO 2
5. Mantenimiento (PR.MA) MEDIO 3 CRITICAS ASOCIADAS A
6. Tecnología de protección (PR.PT)
3. DETECTAR (DE)
CRITICO 3
2.3
NIVEL DE MADUREZ BAJO
1. Anomalías y Eventos (DE.AE) CRITICO 3
2. Monitoreo Continuo de la Seguridad (DE.CM) CRITICO 1
3. Procesos de Detección (DE.DP) CRITICO 3
4. RESPONDER (RS) 1.8
1. Planificación de la Respuesta (RS.RP) CRITICO 3
2. Comunicaciones (RS.CO) CRITICO 1
3. Análisis (RS.AN) CRITICO 2
4. Mitigación (RS.MI) CRITICO 2
5. Mejoras (RS.IM) CRITICO 1
5. RECUPERAR (RC) 2.0
1. Planificación de la recuperación (RC.RP) ALTO 3
2. Mejoras (RC.IM) ALTO 1
3. Comunicaciones (RC.CO) ALTO 2

2.2 9
PASO 3 – PERFIL ACTUAL

10
PASO 3 – ARQUITECTURA ACTUAL

11
PASO 4 – GESTION DE RIESGOS
Impacto Nivel de
Escenario de riesgo P I
Negocio Riesgo

Financiero. Indisponibilidad Escenario de ciberataques desde terceros. Medio Alto Alto

de servicios bancarios de Encriptación de estaciones de trabajo de CCFF y BD de aplicaciones críticas debido a limitada gestión de riesgos de
clientes. terceros.

Reputacional / Legal. Escenario de Fuga de Información. Alto Alto Alto

Sanción del regulador por Fuga de datos de información financiera de clientes por limitados controles frente a ataques APT, como son: uso de
fuga de datos sensibles de contraseñas compartidas o de fácil adivinación, evento de auditoría no estandarizados en las plataformas y procesos de
clientes. detección limitados, entre otros.

Legal / Financiero. Fraude Escenario indisponibilidad de E-Banking. Medio Alto Alto

financiero en cuentas de Indisponibilidad de canal e-banking por limitados controles de monitoreo y respuesta frente a escenarios de ciberatques.
clientes.

12
 PASO 5 – PERFIL OBJETIVO PROPÓSITO
Situación actual VISIÓN:
Promover la eficiencia y la estabilidad
del sistema financiero a través de sólidas
capacidades de seguridad cibernética y
experiencia, colaboración e intercambio
REQUERIMIENTO de información, y supervisión integral.
MISIÓN:
Fortalecer la resiliencia
cibernética del sistema
financiero canadiense contra
un entorno de amenazas en
evolución

R1 Asegurar la disponibilidad del canal e-banking

Foco | Objetivo Estratégico 2022

Reducir escenarios de fraude financiero en 1. Reducir la incidencia y la gravedad de las infracciones de

R2
canal e-banking seguridad cibernética
2. Fortalecer el equipo cibernético y las capacidades para
Reducir el riesgo de ciberseguridad en
R3 permitir una seguridad y operaciones bancarias innovadoras
servicios de terceros
3. Regular y promover los principales estándares de seguridad
Cumplir con normativa de privacidad de
R4 cibernética a través de las funciones de supervisión del Banco
clientes

13
PASO 5 – PERFIL OBJETIVO
NIVEL CRITICIDAD PERFIL ACTUAL PERFIL OBJETIVO
1. IDENTIFICAR (ID) 2.2 4.3
1. Gestión de activos (ID.AM) CRITICO 2 5
2. Entorno empresarial (ID.BE) BAJO 2 3
3. Gobernanza (ID.GV) BAJO 2 3
4. Evaluación de riesgos (ID.RA) ALTO 3 5
5. Estrategia de gestión de riesgos (ID.RM) ALTO 3 5
6. Gestión del riesgo de la cadena de suministro (ID.SC) CRITICO 1 5
2. PROTEGER (PR) 2.7 3.5
1. Gestión de identidad, autenticación y control de acceso (PR.AC) CRITICO 4 4
2. Concienciación y capacitación (PR.AT) ALTO 3 3
3. Seguridad de los datos (PR.DS) ALTO 1 3
4. Procesos y procedimientos de protección de la información (PR.IP) CRITICO 2 3
5. Mantenimiento (PR.MA) MEDIO 3 3
6. Tecnología de protección (PR.PT) CRITICO 3 5
3. DETECTAR (DE) 2.3 5.0
1. Anomalías y Eventos (DE.AE) CRITICO 3 5
2. Monitoreo Continuo de la Seguridad (DE.CM) CRITICO 1 5
3. Procesos de Detección (DE.DP) CRITICO 3 5
4. RESPONDER (RS) 1.8 4.2
1. Planificación de la Respuesta (RS.RP) CRITICO 3 5
2. Comunicaciones (RS.CO) CRITICO 1 3
3. Análisis (RS.AN) CRITICO 2 5
4. Mitigación (RS.MI) CRITICO 2 5
5. Mejoras (RS.IM) CRITICO 1 3
5. RECUPERAR (RC) 2.0 4.3
1. Planificación de la recuperación (RC.RP) ALTO 3 5
2. Mejoras (RC.IM) ALTO 1 5
3. Comunicaciones (RC.CO) ALTO 2 3

2.2 4.3 14
PASO 5 – PERFIL OBJETIVO
JUSTIFICACIÓN:

Qué nuevas capacidades se

requieren en:

• Proceso de gestión de
riesgo
• Nuevo entorno requiere madurez
de gestión de cara a riesgos en
productos digitales.

• Gestión de riesgos para

terceros
• Nuevos terceros

15
PASO 5 – PERFIL OBJETIVO
OBJ1: REDUCIR LA INCIDENCIA Y LA GRAVEDAD DE LAS INFRACCIONES DE SEGURIDAD CIBERNÉTICA

RESULTADOS CLAVE:
[1] Los Riesgos de ciberseguridad en procesos críticos y terceros son evaluados y gestionados oportunamente.
[2] El gobierno de gestión de riesgos incorpora el perfil de los proveedores y planes de acción son ejecutados oportunamente.

Indicador clave:
[1.1] % Cobertura de proveedores evaluados anualmente en su perfil de ciberriesgo. (Valor actual: 0% | Valor Objetivo: 80%).
[2.1] % de Proveedores clasificados en su perfil de riesgo. (Valor actual: 0% | Valor Objetivo: 100% proveedores.)

16
PASO 5 – ARQUITECTURA TO BE
OBJ1: REDUCIR LA INCIDENCIA Y LA GRAVEDAD DE LAS INFRACCIONES DE SEGURIDAD CIBERNÉTICA

RESULTADOS CLAVE:
[1] Los Riesgos de ciberseguridad en procesos críticos y terceros son evaluados y gestionados oportunamente.
[2] El gobierno de gestión de riesgos incorpora el perfil de los proveedores y planes de acción son ejecutados oportunamente.

Indicador clave:
[1.1] % Cobertura de proveedores evaluados anualmente en su perfil de ciberriesgo. (Valor actual: 0% | Valor Objetivo: 80%).
[2.1] % de Proveedores clasificados en su perfil de riesgo. (Valor actual: 0% | Valor Objetivo: 100% proveedores.)

17
PASO 6 – DEFINIR PRIORIZAR GAPS
NIVEL CRITICIDAD PERFIL ACTUAL PERFIL OBJETIVO GAP
1. IDENTIFICAR (ID) 2.2 4.3 2.2
1. Gestión de activos (ID.AM) CRITICO 2 5 3
2. Entorno empresarial (ID.BE) BAJO 2 3 1
3. Gobernanza (ID.GV) BAJO 2 3 1
4. Evaluación de riesgos (ID.RA) ALTO 3 5 2
5. Estrategia de gestión de riesgos (ID.RM) ALTO 3 5 2
6. Gestión del riesgo de la cadena de suministro (ID.SC) CRITICO 1 5 4
2. PROTEGER (PR) 2.7 3.5 0.8
1. Gestión de identidad, autenticación y control de acceso (PR.AC) CRITICO 4 4 0
2. Concienciación y capacitación (PR.AT) ALTO 3 3 0
3. Seguridad de los datos (PR.DS) ALTO 1 3 2
4. Procesos y procedimientos de protección de la información (PR.IP) CRITICO 2 3 1
5. Mantenimiento (PR.MA) MEDIO 3 3 0
6. Tecnología de protección (PR.PT) CRITICO 3 5 2
3. DETECTAR (DE) 2.3 5.0 2.7
1. Anomalías y Eventos (DE.AE) CRITICO 3 5 2
2. Monitoreo Continuo de la Seguridad (DE.CM) CRITICO 1 5 4
3. Procesos de Detección (DE.DP) CRITICO 3 5 2
4. RESPONDER (RS) 1.8 4.2 2.4
1. Planificación de la Respuesta (RS.RP) CRITICO 3 5 2
2. Comunicaciones (RS.CO) CRITICO 1 3 2
3. Análisis (RS.AN) CRITICO 2 5 3
4. Mitigación (RS.MI) CRITICO 2 5 3
5. Mejoras (RS.IM) CRITICO 1 3 2
5. RECUPERAR (RC) 2.0 4.0 2.0
1. Planificación de la recuperación (RC.RP) ALTO 3 5 2
2. Mejoras (RC.IM) ALTO 1 4 3
3. Comunicaciones (RC.CO) ALTO 2 3 1

2.2 4.2 2.0

PASO 6 – DEFINIR PRIORIZAR GAPS
OBJ1: REDUCIR LA INCIDENCIA Y LA GRAVEDAD DE LAS INFRACCIONES DE SEGURIDAD CIBERNÉTICA

RESULTADOS CLAVE:
[1] Los Riesgos de ciberseguridad en procesos críticos y terceros son evaluados y gestionados oportunamente.
[2] El gobierno de gestión de riesgos incorpora el perfil de los proveedores y planes de acción son ejecutados oportunamente.

Indicador clave:
[1.1] % Cobertura de proveedores evaluados anualmente en su perfil de ciberriesgo. (Valor actual: 0% | Valor Objetivo: 80%).
[2.1] % de Proveedores clasificados en su perfil de riesgo. (Valor actual: 0% | Valor Objetivo: 100% proveedores.)

PROYECTOS CLAVE:
[1] IDENTIFICAR: Inventario de activos (1. Gestión de activos (ID.AM)
[2] IDENTIFICAR: Gestión de riesgo de proveedores (Evaluación de riesgos (ID.RA)) Estrategia de gestión de riesgos (ID.RM) Gestión del riesgo de la cadena de suministro (ID.SC)
PASO 6 – DEFINIR PRIORIZAR GAPS
PASO 6 – DEFINIR PRIORIZAR GAPS
PROYECTOS QW Q1-23 Q2-23 Q3-23 Q4-23 Q1-24 Q2-23 Q3-23 Q4-24 Q1-25 Q2-25 Q3-25 Q4-25
IDENTIFICAR
Inventario de activos X
Cuantificación financiera de ciberriesgos X
Gestión de riesgo de proveedores

PROTEGER
Protección de canal e-banking X
Programa de cultura y prácticas de ciberseguridad en personas
Programa de Gestión de Identidades
DETECTAR
Expandir Gestión de vulnerabilidades X
SIEM en la nube
RESPONDER
Automatización de respuesta (SOAR) X
Programa de TableTops
RECUPERAR
DRP Productos digitales X
PASO 7 – IMPLEMENTAR
PROYECTOS QW Q1-23 Q2-23 Q3-23 Q4-23 Q1-24 Q2-23 Q3-23 Q4-24 Q1-25 Q2-25 Q3-25 Q4-25
IDENTIFICAR
Inventario de activos X
Cuantificación financiera de ciberriesgos X
Gestión de riesgo de proveedores

PROTEGER
Protección de canal e-banking X
Programa de cultura y prácticas de ciberseguridad en personas
Programa de Gestión de Identidades
DETECTAR
Expandir Gestión de vulnerabilidades X
SIEM en la nube
RESPONDER
Automatización de respuesta (SOAR) X
Programa de TableTops
RECUPERAR
DRP Productos digitales X
CUADRO DE MANDO
Estrategia de Ciberseguridad