Nuevas percepciones sobre gobierno, riesgo y cumplimiento Octubre 2014
GestiĂłn de programas cibernĂŠticos Identificando maneras de llevar la delantera a los delitos cibernĂŠticos
“Cada día nos defendemos de 50 mil ataques cibernéticos”. CEO, organización global de energía.
Contenido Introducción Una amenaza existencial..................................................... Riesgo cibernético en aumento El aumento exponencial de los ataques................................. La responsabilidad de la junta Por qué la junta deja la seguridad a un lado.......................... Soluciones potenciales El éxito exige una solución holística...................................... Conclusión La seguridad cibernética debe ser una prioridad para la junta......
Introducción
Una amenaza existencial Los negocios dependen de la tecnología. Los sistemas digitales son la vida de una organización: pero también tienen el potencial de causar su caída. Las violaciones a la seguridad de información reportadas están aumentando un 50% por año. Esto no es sensacionalismo. Los expertos en seguridad en el gobierno han acuñado la frase “fatalidad cibernética” para significar una violación que pone a una empresa en la quiebra. No es difícil entender por qué los delitos cibernéticos se están acelerando y expandiendo. Desde el punto de vista de un atacante, los riesgos son limitados, y las recompensas potenciales altas: y en algunos territorios, el patrocinio del gobierno a los delitos cibernéticos significa que a los hackers les pagan sólo por intentar. Recurrir al delito digital es un cálculo fácil. Esto no es noticia para ningún líder de
negocios hoy en día. Pero como lo aclara nuestra Encuesta Global Information Security, las organizaciones aún están luchando por ofrecer la repuesta correcta a estos riesgos incrementales. Los negocios mejor preparados ahora reconocen que la responsabilidad por desviar los ataques cibernéticos ya no recae en sus departamentos informáticos; ahora es un tema para la junta y toda la empresa. La única forma cierta de contraatacar una amenaza es con un enfoque que centre la estrategia de seguridad cibernética en el mundo real de su estrategia de negocios. Una de las preguntas más comunes que escuchamos sobre la seguridad es “¿es esto realmente necesario para nosotros?” Por eso hemos preparado este informe para ayudarles a los miembros de las juntas y a los tomadores de decisión a nivel C-suite a entender la relación entre
su responsabilidad, la escala de la amenaza cibernética, y el enfoque sugerido que está agudamente enfocado en la estructura del negocio, su cultura y riesgos.
La pregunta no es “si” su compañía sufrirá un quebranto, o siquiera cuándo. Ya sucedió. Las preguntas reales son: ¿está su organización consciente de esto, y cuán bien protegido está para el futuro?
Este informe cubre: El riesgo cibernético en aumento La creciente complejidad y velocidad de los riesgos de seguridad cibernética, lo que éstos implican para la organización y la brecha en la respuesta. La responsabilidad de la junta La participación actual por parte de los miembros del C-suite en la seguridad cibernética, y los desafíos para integrar la gestión de riesgos en la planificación estratégica. Soluciones potenciales Las ventajas de adoptar un enfoque de gestión de programas cibernéticos holísticos para la seguridad de la información, basado en analíticas significativas.
El riesgo cibernético en aumento
La responsabilidad de la junta
Soluciones potenciales
Gestión de programas cibernéticos
1
El aumento exponencial de los ataques La importancia de llevar la delantera a los delitos cibernéticos
Áreas de enfoque para la seguridad cibernética de una organización • Gobierno y organización • Estrategia • Marco de políticas y normas • Métricas y reportes • Privacidad • Concientización • Gestión de la continuidad del negocio • Gestión de terceros • Operaciones • Arquitectura • Seguridad del host y/o almacenamiento • Seguridad de la red • Seguridad del software • Infraestructura de datos • Protección de datos • Gestión de activos • Gestión de identidad y acceso • Monitoreo de la seguridad • Gestión de incidentes • Gestión de amenazas y vulnerabilidad
A medida que las amenazas a la seguridad cibernética evolucionan con velocidad, complejidad e impacto sin igual, las organizaciones ya no se preguntan “¿estamos seguros?” sino “¿cómo podemos asegurar que nuestra información más importante cuente con suficiente seguridad?” En el mundo de hoy, que es pesado en información y conectado, está emergiendo una forma sorprendente de observar el panorama global de los negocios. Dada la naturaleza de misión crítica de los datos en casi todo aspecto de la empresa moderna - y el fuerte crecimiento en los criminales cibernéticos que buscan socavarla - las organizaciones en todos los sectores están enfrentándose no sólo a un riesgo escalador, sino a la casi certeza de que sufrirán una violación cibernética. Efectivamente, la dura realidad del ambiente de seguridad actual significa que es muy probable que ya lo hayan experimentado y que por lo tanto sólo hayan dos tipos de organizaciones: las que han sido violentadas y lo saben, y las que continúan estando peligrosamente inconscientes. Este oscuro panorama de negocios sirve como un poderoso llamada de atención que debería resonar en la mesa directiva. Habiendo tanto en juego propiedad intelectual; datos de clientes, operativos y financieros; la reputación de la organización - los líderes informados se están dando cuenta de que es tiempo para repensar de forma fundamental cómo se entiende la seguridad de la información y cómo se posiciona dentro de sus organizaciones. Seguridad de la información debe salir del ambiente exclusivo de tecnología y convertirlo en una prioridad de la organización El enfoque histórico del equipo de seguridad cibernética sobre las operaciones y el cumplimiento aún es incierto. Dos de los cuatro marcos principales son ITIL (marco de ops IT) y COBIT (marco de
2
Gestión de programas cibernéticos
auditoría), demostrando que muchas empresas aún están tomando el enfoque de “hacer lo que se requiere” v. “hacer lo que debemos hacer” para proteger a la empresa. Aunque el expertise en sistemas sigue siendo un ingrediente esencial en la seguridad de la información, sólo cuando se entiende la seguridad cibernética dentro de la estructura general de gestión de riesgos de la organización, puede la alta gerencia sentir confianza de que uno de sus activos más importantes “la información” está suficientemente protegida contra las amenazas de hoy y las de mañana. En este mundo de amenazas que están en constante evolución y que pueden causar daños potencialmente catastróficos y que algún momento podrían inclusive causar una fatalidad cibernética en la organización, una mejor gestión de las herramientas tecnológicas de protección que se utilizan diariamente, brindarían una mayor resistencia frente a estas amenazas cambiantes.
El espectro de amenazas La naturaleza de la seguridad digital hoy se entiende mejor desde dos perspectivas: interna y externa.
•
Amenazas internas
Las amenazas internas para la seguridad de la información van desde descuido (errores de usuario, pérdida de dispositivos móviles) hasta maliciosas (fraude interno, robo de datos). A medida que las compañías apoyan la productividad por medio de una rápida integración de los dispositivos de sus colaboradores (BYOD, bring your own device), el cómputo en la nube y otros aspectos de la movilidad total, hay un incremento relacionado con el riesgo al que se expone la información almacenada o consultada por medio de estos canales. La disponibilidad inherente de estos sistemas no sólo produce vulnerabilidades, sino que también demanda procesos de integración cada vez más complejos. A medida que los equipos de TI están obligados a integrar sistemas nuevos marcos existentes inadecuados o insuficientemente compatibles, la seguridad de la información podría verse comprometida de manera inconsciente.
•
Amenazas externas
Los atacantes de hoy están bien financiados, son persistentes y sofisticados. Las personas y los procesos son también objetivos tanto como la tecnología. Los delincuentes cibernéticos se ven motivados a evolucionar lo más rápido posible; las respuestas deben ser igual de ágiles para mantener el ritmo de los atacantes.
56%
de los encuestados dicen que “es poco o altamente improbable” que su organización logre detectar un ataque sofisticado.
Evolución continua de las amenazas a la seguridad cibernética Atacantes no sofisticados (“script kiddies”)
• •
Experimentación Lo atacan porque usted está en la Internet y es vulnerable
Riesgo
Atacantes sofisticados (hackers)
• •
Monetización Lo atacan porque usted está en la Internet y tiene información valiosa
•
El empleado actual, o antiguo inconforme busca un beneficio financiero de la venta de propiedad intelectual.
1980s/1990s •
Ataques patrocinados por gobiernos (amenazas avanzadas y persistentes), hacktivismo, robo de identidad
Espionaje corporativo (interno)
• • •
Usted es un objetivo debido a su identidad, lo que usted hace o el valor de su propiedad intelectual. Ataque cibernéticos para promover fines políticos Aumento en el robo de información personalmente identificable (PII del inglés).
20xx
Hay amenazas multidimensionales y de rápida evolución en todos los sectores
El espectro de riesgo exacto varía según la industria. Se requiere de un entendimiento más estratégico del valor de los datos para que la habilidad de la organización se desarrolle, en vez de sólo un enfoque en el desempeño de la red o de la plataforma. Una consolidación rápida por medio de fusiones y adquisiciones significa que muchas compañías ahora operan en múltiples industrias y ubicaciones. El marco de seguridad de una organización podría ser suficiente para su sector o geografía original, pero la expansión requiere que las medidas de seguridad se revisen en este paso. Gestión de programas cibernéticos
3
La brecha de la respuesta Cada vez las empresas dependen más de los datos digitales para impulsar su crecimiento. ¡Los “malos” han reconocido esto, han reforzado sus técnicas y están disfrutando de un éxito importante; mientras los “buenos” aún intentan luchar una guerra moderna con bayonetas! Un programa de seguridad bien definido puede ayudar a la administración a tomar una decisión informada sobre cómo invertir en la seguridad. Como mínimo, necesitan tener mejores datos sobre cómo se protegen los activos de información claves, un rol en el cual seguridad de la información está mucho mejor preparada, que la que la auditoría interna y otras funciones impulsadas por riesgos/ cumplimiento. Las inversiones en TI y áreas relacionadas para abordar la seguridad digital podrían estar mal dirigidas. Las empresas no han adaptado su visión de la seguridad, ya que aún identifican la disponibilidad del sistema como su principal prioridad. Los ataques de denegación del servicio son incovenientes, pero el robo de datos sensibles puede dañar al liderazgo y ser costoso para los accionistas. Los mejores controles para contener el daño de un ataque cibernético muchas veces están bajo en la lista de prioridades - es decir, la PI de alto valor, la gestión del acceso privilegiado y la fuerte capacidad de monitoreo. Las organizaciones tienden a invertir en proteger los activos de TI, a la vez invirtiendo menos de lo necesario en un entendimiento completo y estratégico de la naturaleza de las amenazas que más probablemente los desvíen de sus objetivos de negocios. Uno de cada cuatro encuestados (25%) de nuestra Global
Information Security Survey 2014* (GISS) dijo no tener un programa para identificar vulnerabilidades. Inclusive las organizaciones que entienden y reconocen la verdadera naturaleza de las amenazas que podrían causarles más daño responden muchas veces inadecuadamente. Las debilidades que exponen a las organizaciones a un mayor riesgo caen en categorías amplias:
• • •
• •
La seguridad cibernética está mal alineada a las prioridades organizacionales. Los procedimientos de respuesta están desactualizados o incompletos y están muy enfocados en las TI. Las soluciones tradicionalmente han dependido de mejoras “bolt-on” y una cantidad de productos heterogéneos de software de seguridad. Las líneas de responsabilidad en las organizaciones no están claras. Las metricas e indicadores estan subutilizados.
Muchas empresas están reaccionando a lo que se comenta en los medios vs. los controles en los que se enfocan los atacantes. Las compañías necesitan identificar dónde están en riesgo y asegurar esas áreas antes de avanzar a tecnologías emergentes que no han sido completamente adoptadas por sus contrapartes de negocios; por ejemplo, pocas compañías tienen datos en la nube o usan dispositivos moviles para procesos de misión critica, solamente apps de productividad y CRM. Más de un tercio de las compañías ni siquiera observan su postura de seguridad para el internet - muchas veces el fruto más accesible para los atacantes - con un 60% de empresas que no conocen el riesgo de sus sistemas basados en la nube con cara al Internet, y menos de un 10% de estos sistemas han sido probados en lo últimos 12 meses.*
4
Gestión de programas cibernéticos
Las organizaciones globales tienen la complejidad adicional de gestionar la seguridad cibernética en regiones o sectores con diferentes normas, produciendo conflictos e inconsistencias. De forma similar, diferentes unidades empresariales también podrían tener marcos de seguridad que chocan o compiten, como ocurre muchas veces en las entidades creadas por medio de fusiones y adquisiciones. El potencial para que los delitos cibernéticos den un golpe fatal nunca ha sido mayor. Las amenazas de rápido crecimiento e incrementalmente complejas impulsadas por adversarios externos o internos se ven empeoradas por brechas sistémicas. Se necesita de un enfoque completamente nuevo para entender la seguridad cibernética para poder llevarle la delantera a los atacantes.
No es sólo que el ritmo y la complejidad del cambio se están acelerando, sino que la severidad del impacto empeora en espiral. La brecha en la capacidad de una organización para manejar el ritmo del cambio es un problema, pero los peligros de no hacerlo son más serios que antes.
*Todas las estadísticas de la encuesta en este informe se refieren a la Global Information Security Survey 2014 de EY, la cual captura las respuestas de 1.825 líderes del C-suite y ejecutivos/gerentes de TI y seguridad de la información, representando a la mayoría de las empresas globales más grandes y reconocidas. Se recibieron respuestas de 60 países y casi todas las industrias. Para mayor información acceda a: www.ey.com/GISS2014
El riesgo está aumentando Los negocios en todos los sectores y geografías están dependiendo en una gama creciente de sistemas de información - y en las tecnologías que los habilitan. Sin embargo cada avance tecnológico tiene tanto peligro como promesa. Siempre que el cambio tecnológico tome momentum y la información se hace más crítica para las actividades principales, la velocidad y severidad de las amenazas a la seguridad se intensifican. La vasta cantidad de investigación global sobre la prevalencia de los delitos cibernéticos revela que casi todas las empresas ya han sufrido algún tipo de quebrantamiento - aunque no estén conscientes de ello para nada. Es más, el riesgo de un ataque cibernético está subiendo, a medida que los atacantes se vuelven más sofisticados, ágiles y bien financiados. Los hallazgos clave de nuestra GISS revelan una preocupación ominosa entre los ejecutivos de seguridad de la información:
• • •
Un 67% de los encuestados ven un incremento en el riesgo de amenazas externas, mientras un 53% reportan un incremento en las vulnerabilidades internas. Un 31% reportan un incremento de al menos 5% en el número de incidentes de seguridad que experimentan de un año a otro. Un poco más de un tercio de los encuestados (36%) reportaron no tener ningún programa de inteligencia sobre amenazas para detectar de dónde vienen o podrían venir los ataques cibernéticos. Poco menos de un tercio (32%) tienen solamente un programa informal.
Ninguna de estas tendencias debería ser una noticia para la mayoría de los líderes de negocios. Aunque algunos han logrado avances inclusive en los últimos 12 meses, muchos continúan estando peligrosamente lentos para ver que la seguridad es un riesgo que merece la completa participación de los altos ejecutivos.
67%
han visto las amenazas incrementar en los últimos 12 meses.
25%
de los encuestados dicen no tener ningún programa implementado para identificar las vulnerabilidades.
Reporte desde el campo: participación de altos miembros en la seguridad cibernética Cada año, EY encuesta a los ejecutivos de seguridad de la información alrededor del mundo para descubrir las principales tendencias y temas emergentes que dominan su enfoque. Aunque nuestra investigación revela grandes avances en el nivel organizacional más alto tomando responsabilidad sobre la seguridad de la información, aún hay mucho por hacer:
• • •
Menos de la mitad de los encuestados (49%) alinean su estrategia de seguridad de la información con la estrategia general de negocios de la organización; más de la mitad aún la alinean con la estrategia de TI. Solamente un 39% de los encuestados han alineado su estrategia de seguridad de la información con el apetito de riesgos o tolerancia de su organización. Mientras que el 49% de los encuestados indican que su presupuesto de seguridad de la información ha sido aproximadamente el mismo en los últimos 12 meses, 5% reportan una disminución en el presupuesto.
Adelantarse a los delitos cibernéticos: Encuesta Global de Seguridad de la Información 2014 de EY
Gestión de programas cibernéticos
5
¿Por qué la seguridad queda marginada por los Directivos? Impacto de la Ciberdelincuencia: ponerle un alto al negocio Los riesgos y vulnerabilidades asociadas con las tecnologías y los flujos de información de hoy en día van mucho más allá del pensamiento convencional de TI. Un ataque cibernético puede afectar a la propia capacidad de una organización de cumplir su misión. En el mejor de los casos, las violaciones de la seguridad son una distracción costosa sobre actividades propias del negocio; en el peor de los casos, puede conducir a una falla catastrófica. En medio se encuentra una amplia gama de impactos de negocios que amenazan las operaciones, la capacidad de producción, los datos de los clientes y / o empleados, la exposición de los pasivos y la propiedad intelectual, cualquiera de las cuales podrían poner en peligro la continuidad y la integridad del negocio. El potencial de daño a la reputación - en el mercado, entre los accionistas y con los socios - no puede ser exagerado. Sin embargo, cuando las juntas y los altos directivos no son conscientes del contexto más amplio de la exposición al riesgo, siguen siendo imprudentemente ajenos a los peligros que ellos debería estar identificando y mitigando. En lugar de dejar que los riesgos aumenten, la cuestión de la seguridad cibernética debe llevarse a la sala de juntas: sólo aquí puede ocupar el lugar que le corresponde como una parte esencial de la estrategia global de gestión de riesgos de la organización.
Demandas de competencia, y un entendimiento anticuado de las amenazas, desplazan a la discusión de la seguridad. Con tanto en riesgo, ¿por qué los ejecutivos de nivel C y sus juntas son reacios a abordar la seguridad cibernética? Las razones varían según la organización, pero la mayoría están enraizadas en estos importantes obstáculos: 6
Gestión de programas cibernéticos
•
Una apretada agenda
La seguridad cibernética es uno de los muchos problemas apremiantes que demandan la participación a nivel de la Junta, sobre todo en un momento de inestabilidad económica.• El silo de TI La seguridad cibernética tradicionalmente ha sido considerada como un problema de TI que se centra en la protección de los sistemas informáticos que procesan y almacenan la información, más que en el valor estratégico de la información.
•
“No es nuestro problema”
La seguridad cibernética se ha visto como un problema significativo sólo en determinados sectores como el militar o los servicios financieros. Pero si su sector se basa en datos digitales para operar y competir, sus sistemas de información y de TI son dignos de una gestión de riesgos adecuada.
•
Difícil de medir
A diferencia de muchos tipos de riesgo organizacionales, las amenazas cibernéticas son difíciles de predecir, por lo que los riesgos y las posibles repercusiones son difíciles de medir. Los altos líderes pueden sentir que carecen de la experiencia necesaria para tomar decisiones en toda la empresa o pueden ser cautelosos de no encaminarse demasiado en procesos técnicos.
•
Recompensa invisible
Frente a las demandas por la competencia de los escasos recursos, puede ser difícil para la alta dirección invertir dinero, personas y tiempo en lo desconocido e impredecible y no en los entregables de los accionistas o necesidades más evidentes.
•
Prioridades equivocadas
Las organizaciones han sobreinvertido en controles preventivos a expensas de la capacidad de detección / respuesta.
Lo que los líderes de negocios están preguntando sobre su preparación en seguridad cibernética El éxito de una estrategia de seguridad cibernética sofisticada y eficaz reside en la capacidad de mirar a las futuras oportunidades y amenazas. El liderazgo ejecutivo debe considerar si el marco de seguridad de la organización podría responder a estas preguntas: Riesgo regulatorio • ¿Cómo responderán los gobiernos y reguladores a la creciente amenaza del riesgo de la información? Shocks geopolíticos • ¿Cuál es la exposición de nuestra organización a estos shocks? ¿Qué tan reactiva es nuestra organización de TI? Riesgo de reputación • ¿Cómo podría un ataque cibernético afectar nuestra reputación y la marca? Fallas de control • ¿Las brechas o debilidades en nuestros controles de TI y seguridad podrían ser factores contribuyentes? Riesgo de información • ¿Cómo nuestra organización hará frente a las áreas clave de riesgo de la seguridad, la resistencia y la fuga de datos? Expansión y mercados emergentes • ¿El aumentar la huella de nuestra empresa aumenta el desafío de la continuidad del negocio? Remodelación de la empresa • ¿Cuánto cambiaría nuestro perfil de riesgo de información? Centros de servicios compartidos ¿El uso de terceros o centros de servicios compartidos aumentará los riesgos para nuestra seguridad y abastecimiento de TI?
•
IP y seguridad de datos • ¿Nuestra organización está cubierta contra la fuga de datos, pérdidas y empleados deshonestos? Adquisiciones e integración • ¿Qué tan exitosas son las inversiones de nuestra organización si no podemos integrar la información que pertenece a una empresa adquirida? Estar en los titulares • Los hacktivistas son ideológicos por naturaleza. ¿Cómo podrían los temas como la política fiscal, la remuneración y la gestión ambiental hacer que la empresa se convierta en un objetivo cibernético?
Tratando exhaustivamente de detener los incumplimientos es un desperdicio de recursos. Las compañías tienen que equilibrar los controles preventivos adecuados con fuertes capacidades detectivescas.
Gestión de programas cibernéticos
7
8
Gesti贸n de programas cibern茅ticos
El éxito exige una solución integral Los líderes tienen que adoptar un enfoque holístico para la planificación y gestión de la seguridad cibernética.
Un fuerte enfoque en la estructura, la cultura y los riesgos de su negocio le permitirá proteger mejor los datos esenciales para la supervivencia y el éxito de su organización. Para muchos, esto requiere de una transformación fundamental en cómo se entiende la seguridad de la información dentro de la empresa. La creación de un programa de seguridad en torno a la inteligencia sobre amenazas y también los riesgos de negocio apoyará la resiliencia en un paisaje de riesgo que cambia constantemente. EY ve las ventajas de un enfoque de múltiples niveles que une a la gestión de la seguridad con el desempeño del negocio:
• • • • •
Mejor alineación con los objetivos de negocios Aumento de la disponibilidad, la escalabilidad y la flexibilidad Aplicación global de estándares cruzados Ciclo riguroso de identificación y gestión de riesgos Enfoque en el futuro para anticipar los desafíos emergentes
Deje que el rendimiento del negocio sea su impulsor. Estos cuatro objetivos conectan su estrategia de seguridad con el desempeño del negocio: identificar los riesgos reales; proteger lo que más importa; mantener un programa empresarial; optimizar el rendimiento del negocio.
Identificar los riesgos reales • Definir el apetito de riesgos general de la organización y como se ajusta el riesgo de información. • Identificar la información y las aplicaciones más importantes, dónde están establecidas y quién tiene o necesita acceso. • Identificar el panorama de amenazas y desarrollar modelos predictivos destacando sus exposiciones reales.
• Mejorar el gobierno — hacer de la seguridad una prioridad a nivel de la junta. • Permitir que la buena seguridad impulse el cumplimiento, no viceversa. • Medir los indicadores líder para resolver problemas cuando todavía son pequeños.
Mantener un programa empresarial
Proteger
lo que más importa
• Desarrollar una estrategia de seguridad centrada en los impulsores del negocio y la protección de los datos de gran valor. • Asumir que ocurrirán incumplimientos - mejorar los procesos que planifican, protegen, detectan y responden. • Equilibrar los fundamentos con la gestión de amenazas emergentes.
• Alinear todos los aspectos de seguridad (información, privacidad, continuidad física y del negocio) con el negocio. • Gastar con prudencia en los controles y la tecnología - invertir más en las personas y los procesos. • Considerar selectivamente la externalización de las áreas operacionales del programa de seguridad.
Optimizar
el rendimiento del negocio
Gestión de programas cibernéticos
9
Un enfoque holístico basado en análisis significativos Son pocas las empresas que hoy en día tienen las habilidades y recursos apropiados en casa para asegurar eficazmente sus activos de información y al mismo tiempo optimizar el rendimiento del negocio. Las organizaciones en todos los sectores pueden beneficiarse de una evaluación objetiva de sus programas y estructuras de seguridad de la información. El marco de Gestión de Programas Cibernéticos (CPM, por sus siglas en inglés) de EY se basa en un análisis significativo de cómo la seguridad de la información forma y se ajusta a la estructura de gestión de riesgos global de una organización. En su fundación existe un claro enfoque en las prioridades estratégicas de la organización y los objetivos de negocio (ver el siguiente gráfico).
Marco de Gestión de Programas Cibernéticos (CPM) de EY Impulsores de negocios
Arquitectura
Operaciones
Conciencia
Servicios Seguridad de redes
Seguridad de software
Gestión de identidad y acceso
Gestión de activos
Gestión de terceros
Gestión de la continuidad del negocio
Seguridad de alojamiento
Protección de datos
Gestión de amenazas y vulnerabilidad
Monitoreo de seguridad
Privacidad
Gestión de incidentes
Protección de la tecnología
Operaciones funcionales
Resiliencia
Inteligencia
Gobierno y organización
Infraestructura de datos
Cumplimiento
Estrategia
Infraestructura de datos Eventos
Alertas
Logs
Métricas e informes
Una evaluación CPM ayuda con:
• • • • • 10
La comprensión de la exposición al riesgo de su organización. La evaluación de la madurez de su programa de seguridad cibernética actual e identificación de las oportunidades de mejora. La construcción de una hoja de ruta con prioridades para las inversiones en proyectos e iniciativas de cambio organizacional. La recopilación de información para crear benchmarks en comparación con otras organizaciones. La validación de que sus inversiones en seguridad han mejorado su nivel de seguridad.
Gestión de programas cibernéticos
De acuerdo con los encuestados de nuestra GISS 2014:
Evaluación de su programa de seguridad cibernética La Evaluación del Programa de Seguridad Cibernética de EY ha sido desarrollada por nuestra práctica de Asesoría en Seguridad Cibernética como un medio para evaluar objetivamente el programa de seguridad de cualquier organización.
• 36% no tienen un programa de inteligencia de amenazas • 25% no tienen un programa de vulnerabilidad • 16% no tienen un programa de detección de incumplimiento • 13% no tienen una capacidad de respuesta a incidentes • 12% no tienen un programa de gestión de identidad y acceso • 8% no tienen un programa de protección de datos
Desarrollado en colaboración con los líderes mundiales que operan en varios sectores y regiones, y con base en los dominios del marco de CPM, el modelo medirá su programa contra 300 puntos de datos de evaluación de madurez. Usted podrá ver la cobertura de “área de superficie” de su programa, como se compara con la de sus semejantes y la cantidad de trabajo aún queda por hacer. El enfoque propietario de varios niveles de EY se adapta a su entorno de negocios específico. Se tiene en cuenta la estructura de su organización, los objetivos de negocios y la naturaleza de la industria y región (es) en las que existe: esto permite un análisis amplio y de alto nivel, así como una inmersión total en las áreas y componentes específicos. Las métricas “dashboard” le permiten dar un vistazo a lo que se necesita para apoyar la evaluación continua, la transformación y la sostenibilidad de la estrategia de seguridad de la información. Por ejemplo, los índices de madurez (ver siguiente figura) ayudan a posicionar a la organización a lo largo del espectro relevante para sus estados actuales, competitivos y futuros. Esta y otras herramientas de evaluación y benchmarking están diseñadas para activar un análisis significativo y recomendaciones prácticas que pueden mover a su organización de su estado actual a la preparación deseada. Al mismo tiempo, usted equipará mejor a su organización para limitar su exposición a las amenazas cibernéticas impredecibles y cambiantes.
Evaluación del Programa de Seguridad Cibernética 0 meses
12 meses
18 meses
24 meses
1. Monitoreo de redes y gestión de registros
36 meses Impacto primario
2. Conciencia de seguridad Empresa
3. Mejora de la respuesta a incidentes
Tu
Operaciones comerciales
Nivel de esfuerzo
4. Inventario de activos de alto valor
Infraestructura de datos
Métricas e informes
Marco de políticas y normas
Gestión de incidentes
Arquitectura
Gestión de continuidad del negocio
5. Reorganización de la función de seguridad
Bajo
6. Desarrollo de la arquitectura de seguridad
Medio
Alto
Operaciones Conciencia
Privacidad Gestión de terceros
7. Segmentación de redes
Seguridad de redes
Monitoreo de seguridad
8. Normas de políticas y directrices
Estrategia Gobierno y organización
Seguridad de almacenamiento
Gestión de activos Seguridad de software Gestión de amenazas y Protección de datos vulnerabilidad Gestión de identidad y acceso
9. Gestión de cuentas con privilegio 10. Optimización de herramientas de seguridad
Madurez del estado actual de la Matriz
11. Guía de Adquisición / Integración
Madurez del estado actual captivo Madurez del estado futuro captivo
12. Análisis de seguridad 13. Gobierno, riesgo y control (GRC) 14. Gestión de amenazas y vulnerabilidad (TVM) 15. Dispositivos no gestionados
Un ejemplo de un “gráfico araña” de la madurez clasificando los requisitos de seguridad cibernética en una organización (ver página 2)
Gestión de programas cibernéticos
11
CPM es el marco para los procesos, personas y tecnología que una organización utiliza para establecer, implementar, operar, supervisar, revisar, mantener y mejorar un programa de seguridad en el contexto de los objetivos y actividades generales de negocios de una organización.
Alineación de la gestión de la seguridad con el desempeño del negocio CPM es una aplicación global de estándares cruzados, creada con todas las ventajas de un enfoque de múltiples niveles, ofreciendo un ciclo riguroso de identificación y gestión de riesgos. Proporciona a su organización una perspectiva práctica centrada en el futuro para ayudarle a anticipar los nuevos desafíos de las nuevas tecnologías y tendencias del negocio. CPM une la gestión de la seguridad con el rendimiento del negocio a través de una mejor alineación con sus objetivos estratégicos, ayudando a las organizaciones a:
• • • • •
Identificar los riesgos reales Proteger lo que más importa Mantener un programa de empresarial Optimizar el rendimiento empresarial Aumentar la disponibilidad, la escalabilidad y la flexibilidad
Las evaluaciones de CPM son de especial interés para los comités de alta dirección y de auditoría de las compañías que: no están seguros de su exposición actual a riesgos; están aumentando su equipo de seguridad cibernética y están interesados en una nueva perspectiva sobre cómo sus capacidades actuales se comparan a las de otros de su grupo de pares; y están interesados en invertir en seguridad cibernética, pero necesitan priorizar proyectos y gastos. También puede proporcionar información muy valiosa para las organizaciones que han experimentado recientemente un incumplimiento público o privado que resultó en la pérdida de datos, daño a la reputación y el deterioro de la marca.
CPM le ayuda a equilibrar costos, riesgos y valor Una evaluación CPM permite realizar el acto de equilibrio de reducir costos a la vez que identifica brechas en capacidades de seguridad existentes; los hallazgos pueden ayudarle a hacer inversiones estratégicas priorizadas para abordar las necesidades del negocio, aumentar el valor de la compañía y mantener su organización segura.
Equilibrar costos, riesgos y valor
Costo
¿Nuestras capacidades de ciberseguridad son eficientes y eficaces? ¿Tenemos: • los recursos apropiados? • las iniciativas, procesos y tecnologías adecuadas? • las inversiones adecuadas?
12
Riesgo
Valor
¿Nuestro programa de seguridad cibernéticas actualmente: • nos protege adecuadamente de amenazas nuevas y emergentes? • dentifica brechas y remedia la causa principal de problemas de seguridad? • responde proactivamente a los cambios en el entorno empresarial y regulatorio?
¿Nuestro programa de seguridad cibernética: • nos mantendrá competitivos? • protegerá la imagen y el valor de la marca? • protegerá los activos más importantes para la organización? • habilitará nuevas iniciativas de negocio?
Gestión de programas cibernéticos
La incertidumbre puede conducir a la duda y la inacción puede dañar la marca y la reputación de la compañía, interrumpir la continuidad del negocio y dar lugar a una serie de ramificaciones financieras y problemas legales.
Gestión de programas cibernéticos
13
La seguridad cibernética debe ser una prioridad de los Directivos La pérdida accidental de datos o ataque deliberado - de cualquier manera, la violación de la seguridad es una característica inevitable y recurrente del actual panorama empresarial mundial. Mientras que el mundo tradicional y el digital convergen, las amenazas a la seguridad en las operaciones de negocios son cada vez más complejas. Las nuevas tecnologías, la movilidad del usuario y el enorme volumen de datos que se intercambia diariamente representan oportunidades para que los atacantes se enfoquen en los activos digitales que impulsan a las empresas modernas. Un ataque es todo lo que hace falta para poner en peligro no solo la estabilidad de la organización si no su propia existencia. La mayoría de las organizaciones luchan para mantener el ritmo de la velocidad vertiginosa con la que la tecnología y las amenazas evolucionan dando lugar a las lagunas peligrosas que surgen entre el riesgo y la respuesta. Esta deja a las organizaciones abiertas de par en par –no solo a desventajas competitivas y posible colapso sino también a presión del mercado,entes de control y de las partes interesadas para mejorar la seguridad. Ante la gran importancia, los líderes empresariales exitosos serán aquellos que transformen su estrategia de seguridad cibernética al brindarle la debida atención y alinearla con los principales objetivos de la empresa. Una mayor comprensión de las amenazas conocidas y desconocidas, información crítica para el negocio y cómo distribuir la seguridad digital de forma efectiva a través de la empresa será fundamental para mejorar y proteger el rendimiento de los negocios. Es imperativo responsabilizar a nivel directivo por la estrategia de la seguridad de la información. Los líderes empresariales están en mejor posición para mitigar las amenazas cibernéticas, reducir las violaciones y garantizar la prosperidad en el entorno actual de negocios sin fronteras, basada en datos cuando la seguridad cibernética recorre la estrategia de gestión de riesgos de toda la organización, en lugar de bordearla de forma intermitente.
¿Qué papel debe jugar la junta? Los líderes informados se están dando cuenta que es hora de un replanteamiento fundamental de la forma en qué se entiende y se coloca la seguridad cibernética dentro de sus organizaciones. La seguridad cibernética no debe ser vista como un obstáculo para la nueva tecnología que emerge a ritmo acelerado y las estrategias de lanzamiento al mercado -cuando se hace adecuadamente, le dan una ventaja competitiva. La junta directiva de la empresa debe establecer el tono para mejorar la seguridad y determinar si toda la junta o comité debe ser responsable de la supervisión. En algunos casos, se les asignará supervisión a un comité de riesgos, un comité ejecutivo/operativo o el comité de auditoría. Estos comités deben estar bien informados sobre los procesos de la empresa y aprovechar esa información para comprender si la administración tiene a las personas y los procesos correctos. Las empresas necesitan cambiar su mentalidad para pasar de ser la presa a ser los cazadores. Cada empresa debe establecer un “equipo rojo” que se enfoque en identificar las debilidades en seguridad antes de que los tipos malos puedan hacerlo. Las empresas también deben establecer un “equipo” formal que tenga un enfoque diligente y reglamentado para detectar actividad maliciosa. El objetivo: personas inteligentes apoyadas por tecnología bien adaptada que sigue procesos definidos claramente.
14
Gestión de programas cibernéticos
Preguntas para la Junta •
¿Nuestra seguridad cibernética está centrada en la protección de los activos que generan dinero para nuestra compañía?
•
¿Qué tan bien protegemos la información de alto valor, especialmente teniendo en cuenta la fuerza de trabajo cada vez más móvil de hoy en día?
•
¿Nuestra estrategia de seguridad cibernética está alineada con nuestros objetivos empresariales?
•
¿Cómo medimos la efectividad de nuestro programa de seguridad cibernética?
•
¿Estamos gastando en las prioridades del área de seguridad adecuadas?
•
¿Sabríamos si fuéramos a la víctima de un incumplimiento?
•
¿Nuestro equipo de seguridad cibernética está organizada, capacitada, equipada, abastecida y financiada apropiadamente?
Gestión de programas cibernéticos
15
Entender los problemas La mayoría de los miembros de la junta son expertos desde el punto de vista financiero, pero pueden carecer de amplio conocimiento en cuestiones tecnológicas y, por consiguiente, confiar más en los empleados de tecnología dentro de la empresa para que les faciliten perspectivas sobre la gestión de riesgos de TI. Según las circunstancias, algunos directores pueden considerar la posibilidad de poner a alguien con un profundo conocimiento de los problemas de TI en la junta directiva o el comité de auditoría. Mientras que los oficiales de tecnología son capaces de proporcionar datos, tales como el número de tentativas de infracción puede resultarles difícil convertir los datos en información útil que pueda ayudarle a los altos directivos a comprender mejor los posibles riesgos que enfrenta la organización. Aparte de eso, los miembros de la junta y del comité de auditoría pueden no saber cómo evaluar la calidad de la información que reciben o hacer las preguntas de seguimiento correctas. La seguridad cibernética se debe discutir en la sala de juntas de forma trimestral o con mayor frecuencia. El enfoque histórico de prevención ya no es válido. El enfoque de la Junta Directiva debe cambiarse a un estado de preparación y respuesta dinámica: mantener un equilibrio entre el enfoque en personas, procesos y herramientas para ayudarlos a adelantarse a los delitos cibernéticos.
87%
de las organizaciones sienten que su función sobre seguridad cibernética no satisface completamente las necesidades de la organización.
Consideraciones importantes para el comité de auditoría Es importante medir el pulso de la tolerancia de la empresa al riesgo y evaluar las decisiones tomadas por la administración sobre la cual las brechas son tolerables. Las preguntas deben incluir:
• • • • • • •
¿Ha experimentado la empresa un aumento en el número de brechas de seguridad cibernética? ¿Qué ha hecho la empresa para reforzar su programa de seguridad cibernética? ¿La seguridad de la información es una función de TI dentro de la empresa? Si es así, ¿a quién le rinden cuentas? ¿Hay alguien en la junta o el comité de auditoría con experiencia en TI? ¿El comité de auditoría se involucra en la planificación para permitir una mejor gestión de los riesgos en la seguridad cibernética? ¿Qué tan a menudo el comité discute temas sobre seguridad cibernética? ¿Quién le presenta ésta información a la junta? ¿Comunican los problemas de tal manera que se puedan dar a entender? ¿El comité de auditoría busca o recibe actualizaciones de rutina sobre los riesgos y los avances en seguridad cibernética?
16
Gestión de programas cibernéticos
61%
de las organizaciones aún no han alineado su estrategia de seguridad cibernética con su apetito por el riesgo
¿Quiere aprender más? Insights on governance, risk and compliance (Perspectivas sobre gobernabilidad, riesgo y cumplimiento) es una serie continua de informes sobre pensamiento de liderazgo enfocado en TI y otros riesgos del negocio así como los numerosos desafíos y oportunidades relacionados. Estas publicaciones oportunas y de actualidad están diseñadas para ayudarle a comprender los problemas y proporcionarle información valiosa sobre nuestro punto de vista. Favor visitar nuestra serie sobre Insights on governance, risk and compliance en ey.com/GRCinsights
Gestión de programas cibernéticos
17
En EY, tenemos una perspectiva integrada en todos los aspectos de riesgo organizacional. Somos los líderes del mercado en auditoría interna y riesgo financiero y controles, y seguimos ampliando nuestras capacidades en otras áreas de riesgo, incluso dirección de empresas, riesgo y cumplimiento, así como gestión de riesgo empresarial. Innovamos en áreas tales como consultoría de riesgos, análisis de riesgo y tecnologías de riesgo para estar adelante de nuestra competencia. Utilizamos el conocimiento técnico líder en la industria sobre gestión de riesgo relacionado con TI para proporcionar servicios de control de TI centrados en el diseño, implementación y racionalización de los controles que reducen potencialmente los riesgos en las aplicaciones, infraestructura y datos de nuestros clientes. La seguridad en la información es un área clave de enfoque donde EY es un líder reconocido en el panorama actual de la tecnología móvil, redes sociales y almacenamiento en la nube (cloud computing).
18
Gestión de programas cibernéticos
Acerca de los servicios de asesoría de EY Mejorar el rendimiento empresarial mientras que se gestiona el riesgo es un desafío empresarial cada vez más complejo. Si su enfoque es la transformación amplia del negocio amplio o más específicamente lograr el crecimiento, la optimización o protección de su negocio, tener los asesores correctos de su lado puede hacer una gran diferencia. Nuestros 30.000 profesionales en asesoramiento forman una de las redes globales de asesoramiento más amplias de cualquier organización profesional, con equipos multidisciplinarios de expertos que trabajan con nuestros clientes para ofrecer un servicio al cliente a potente y excepcional. Utilizamos metodologías probadas e integradas para ayudarle a solucionar los problemas empresariales más desafiantes, ofrecer un excelente desempeño en condiciones complejas del mercado y generar la confianza de las partes interesadas a largo plazo. Entendemos que usted necesita servicios que se adapten a los asuntos relacionados con su industria, por lo que aportamos nuestra amplia experiencia en el sector y conocimiento profundo de la materia para asumirlo de una forma proactiva y objetiva. Sobre todo, nos hemos comprometido a medir los logros e identificar dónde su estrategia e iniciativas de cambio están entregando el valor que su empresa necesita. Para obtener más información acerca de cómo nuestros servicios de asesoría sobre riesgos pueden ayudarle a su organización, póngase en contacto con:
EY Colombia Gustavo Díaz Claudia Gómez
| Partner | Partner
| Colombia | Colombia
| gustavo.diaz@co.ey.com | claudia.gomez@co.ey.com
EY Centroamérica, Panamá, República Dominicana y Venezuela Bismark Rodríguez César Novo Leonidas Rey Marelvys Hincapié Julio De La Espada Elimar Villarroel
| Partner | Panamá | Executive Director | Rep. Dominicana | Senior Manager | Costa Rica | Senior Manager | Panamá | Senior Manager | Panamá | Senior Manager | Venezuela
| bismark.rodriguez@pa.ey.com | cesar.novo@do.ey.com | leonidas.rey@cr.ey.com | marelvys.hincapie@pa.ey.com | julio.de-la-espada@pa.ey.com | elimar.villarroel@ve.ey.com
Gestión de programas cibernéticos
19
ORGANIZACION REGIONAL: Venezuela - Tel. +58(212) 905-6687 - Costa Rica - Tel. (506) 2208-9800 - Guatemala - Tel. (502) 2386-2400 - Panamá - (507) 208-0100 - República Dominicana - Tel. (809) 472-3973