fraude en la era digital: entender los nuevos peligros ... · los nuevos peligros para mitigar los...

FRAUDE EN LA ERA DIGITAL: ENTENDER LOS NUEVOS PELIGROS PARA MITIGAR LOS RIESGOS

Raúl SaccaniSocio Deloitte Forensic & Dispute Services

RIESGOS DE CIBERSEGURIDAD EN LA

ORGANIZACIÓN MUNDIAL

TENDENCIAS, RETOS Y ESTRATEGIAS PARA

UNA GESTIÓN EFICAZ

CONTEXTO Y DESAFÍOS DE CIBERSEGURIDAD

– Alta dependencia de los recursos informáticos y del acceso a información

– Ambientes de procesamiento cada vez más complejos y heterodoxos: múltiples plataformas, ambientes virtualizados, tecnología tercerizada y modelos “en la nube”

– Aumento de los ataques y expuestos de seguridad, tanto en cantidad como en sofisticación, con foco en los canales electrónicos de atención a clientes

– Preocupación por la confidencialidad de la información, especialmente cuando la información puede afectar al negocio o a las personas

– Riesgos de fraude y de impacto en la imagen derivados de incidentes de seguridad

– Si bien la seguridad de la información es reconocida como un tema crítico, muchas veces no recibe la atención y apoyo que debería de los niveles de alta dirección

EN LA ERA DE LA INFORMACIÓN YDE LOS CYBER-ATAQUES …

ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN PARA BANCOS EN LATINOAMÉRICA, PRINCIPALES TENDENCIAS OBSERVADAS

1. Incremento de los presupuestos destinados a gestionar la seguridad de la información

2. Foco en proteger la información sensible y formalizar la función de privacidad.

3. Necesidad de gestionar adecuadamente los riesgos de ataques internos y externos,

desarrollando capacidades de respuesta ante incidentes.

4. Las organizaciones gestionan cada vez más los riesgos vinculados a la adopción de nuevas

tecnologías, tales como servicios en cloud, aplicaciones mobile y la utilización de redes

sociales,

5. Desafío de establecer un equilibrio entre los costos de las iniciativas referentes a seguridad de

la información y la materialización de las amenazas e implementación de nuevas tecnologías

ENCUESTA DE SEGURIDAD DE LA INFORMACIÓN PARA BANCOS EN LATINOAMÉRICA, DELOITTE 2014 RESULTADOS DE LA ENCUESTA

• 1. ¿A quién, dentro de su organización, reporta el ejecutivo responsable de seguridad ?

0.0%

2.4%

2.4%

2.4%

2.4%

2.4%

2.4%

4.9%

4.9%

4.9%

9.8%

9.8%

12.2%

12.2%

17.1%

22.0%

Chief Privacy Officer (CPO)

Chief Financial Officer (CFO)

Presidente

Ejecutivo de IT

Auditoría interna

Legal y Compliance

No aplica/ No sabe

Comité ejecutivo

Chief Technology Officer (CTO)

Chief Administrative Officer (CAO)

Comité de seguridad

Otro

Chief Information Officer (CIO)

Chief Operations Officer (COO)

Chief Risk Officer (CRO)

Chief Executive Officer (CEO)


• 2. Cuáles son los principales obstáculos que enfrenta su organización en su capacidad de formar un programa de seguridad de información efectivo?

17%

20%

29%

34%

10%

7%

24%

10%

17%

10%

0%

2%

Falta de apoyo ejecutivo o del negocio

La falta de claridad sobre el mandato, las funciones y…

La falta de visibilidad e influencia dentro de la organización

La falta de suficiente presupuesto y/o recursos

La falta de recursos competentes

El complejo panorama internacional legal y normativo (por ejemplo…

El aumento de complejidad de las amenazas

La gestión de los riesgos asociada con nuevas tecnologías

La falta de una estrategia de seguridad de la información y el…

Otro

Sin barreras

No aplica / no sabe

36.6%

31.7%

29.3%

24.4%

22.0%

19.5%

19.5%

17.1%

14.6%

14.6%

14.6%

14.6%

12.2%

12.2%

12.2%

7.3%

7.3%

4.9%

2.4%

2.4%

2.4%

0.0%

Cumplimiento regulatorio y legislativo de seguridad de la…

Protección de Datos

Gobierno de seguridad de la información

Medición y reporte en seguridad de la información

Continuidad del Negocio

Estrategia y roadmap de seguridad de la información de…

Alineación de la seguridad de la información con el negocio

Seguridad de la red móvil

Administración de identidad y acceso

Seguridad relativa a avances tecnológicos

Remediación en el cumplimiento de los elementos de…

Otro

Capacitación y concientización en seguridad de información

Seguridad cibernética

Recuperación de Desastres

Puesta en funcionamiento de la seguridad de información

Seguridad de aplicaciones

Gestión de amenazas internas

Gestión del talento en seguridad de la información

Seguridad de terceros

Privacidad

No aplica / no sabe


• 3. ¿Cuáles serán principales iniciativas de seguridad de su organización para el 2014?


• 4. Utilizando una escala del 1-4, indicar el nivel de confianza en que los activos informáticos de su organización se encuentran protegidos de un ataque o brecha de seguridad (1=ninguna confianza en absoluto, 2=no mucha confianza, 3=algo de confianza, 4= mucha confianza)

Ninguna confianza en absoluto

No mucha confianza

Algo de confianza Mucha confianza

Ataque o brecha de seguridad originadainternamente.

0% 29% 48% 23%

Ataque o brecha de seguridad originada externamente.

0% 6% 52% 42%


• 5. ¿Su organización ha experimentado algún tipo de ataque externo durante los últimos 12 meses?

29.3%

70.7% Si

No

Ataques Una ocurrenciaMúltiples

ocurrencias

Robo de información causado por espionaje industrial o del Estado

0% 0%

Fraude financiero externo a través de los sistemas de información

2% 2,4%

Incidentes en la información causados por un ataque electrónico fuera de la organización

4,9% 2,4%

Incidentes en la información causados por un ataque físico fuera de la organización

4,9% 2,4%

Incidentes en la información causados por un proveedor fuera de las premisas de la organización

2,4% 2,4%

Incidente en la red móvil originada desde fuera de la organización

0% 0%

Software malicioso originado en las afueras de la organización

4,9% 7,3%

Ataques a sitios web 0% 2,4%

Otros 7,3% 2,4%


• 6. ¿Su organización ha experimentado algún tipo de ataque interno durante los últimos 12 meses?

53.7%

46.3%

Si

No

Ataques Una ocurrencia Múltiples ocurrencias

Fraude financiero interno a través de los sistemas de

información12,2% 2,4%

Incidente de seguridad causado desde adentro o por un socio

comercial9,8% 2,4%

Incidente de seguridad causado desde adentro de la

organización por un empleado17,1% 2,4%

Incidente de seguridad causado desde adentro de la

organización por un tercero12,2% 4,9%

Perdida accidental originada dentro de la organización 14,6% 2,4%

Incidentes en la información causados por un proveedor dentro

de la organización2% 4,9%

Incidente en la red móvil originada desde adentro de la

organización0% 2%

Software malicioso originado dentro de la organización 2,4% 4,9%

Otros 7,3% 12,2%


• 7. Califique las siguientes amenazas a medida que visualiza su impacto dentro de los siguientes 12 meses:

Amenaza Sin Impacto Impacto Bajo Impacto Medio Impacto alto N/C

Espionaje industrial o del Estado 29,3% 26,8% 24,4% 17,1% 2%

Ataques coordinados 17,1% 39,0% 24,4% 19,5% 0

Fraude financiero a través de sistemas de información 7,3% 31,7% 41,5% 19,5% 0

Abuso de los empleados de los sistemas de IT y la

información2,4% 31,7% 56,1% 9,8% 0

Errores y omisiones de los empleados 2,4% 22,0% 63,4% 12,2% 0

Incidentes con la información, incluyendo datos

personales2,4% 31,7% 51,2% 14,6% 0

Ataques explotando vulnerabilidades en la red móvil 17,1% 34,1% 24,4% 24,4% 0

Ataques explotando vulnerabilidades en aplicaciones

online de la organización9,8% 43,9% 34,1% 12,2% 0

Amenazas resultantes de la conjunción de las redes

sociales y las plataformas online dentro de la red

corporativa (por ejemplo: utilización de micro-blogging

por un gerente)

22,0% 41,5% 14,6% 22,0% 0

Amenazas resultantes de la adopción de tecnologías

emergentes que podrían contener vulnerabilidades19,5% 31,7% 36,6% 12,2% 0

Amenazas avanzadas persistentes 14,6% 56,1% 22,0% 7,3% 0

Riesgos sistémicos 9,8% 43,9% 36,6% 9,8% 0

Diversidad de reacciones culturales con respecto a la

seguridad de la información19,5% 29,3% 39,0% 7,3% 0

Incidentes de seguridad que involucran terceras partes 14,6% 36,6% 34,1% 14,6% 0

Hacktivismo o Ciberactivismo 17,1% 39,0% 17,1% 26,8% 0


• 8. ¿Cómo atiende su organización los riesgos de seguridad asociados con los dispositivos móviles?

51.2%

34.1%

29.3%

26.8%

24.4%

22.0%

22.0%

19.5%

17.1%

14.6%

14.6%

12.2%

12.2%

12.2%

7.3%

7.3%

7.3%

4.9%

Formula una política de clientes o uso aceptable de dispositivos

Implementa contraseñas complejas

Despliega sistema de gestión de dispositivos móviles (MDM)

Implementa borrado de dispositivos después de un cierto número de…

Integra la seguridad y uso del dispositivo en campañas de concientización

Controla el acceso a internet forzando la navegación a través de la red…

Encripta el almacenamiento tanto en el dispositivo como en los…

Despliega certificados para los dispositivos

Apaga las conexiones no deseas en los dispositivos (p.e. Bluetooth)

Instala software para protección contra malware

Desecha los dispositivos de manera segura

Instala una herramienta de DLP

Selecciona las aplicaciones apropiadas para grupos definidos de usuarios

Selecciona software para monitorear el uso de las aplicaciones y el flujo…

Respaldos en intervalos regulares

No aplica / No soportan dispositivos móviles

No lo se

No se atienden los riesgos de seguridad


• 8. ¿Cómo hace frente a los riesgos de seguridad asociados con las redes sociales?

39.0%

26.8%

41.5%

46.3%

24.4%

7.3%

9.8%

Implementación de controles técnicos para controlar o bloquearel uso organizacional

Implementación de servicio de protección de marca en línea paraevitar daños a la marca

Revisar y actualizar las políticas organizacionales para incluir lostérminos de uso aceptable de las redes sociales y sitios de blogs

Educar a los usuarios acerca de los blogs y las redes sociales através de programas de capacitación y sensibilización para…

No hace uso de redes sociales

No gestiona riesgos de seguridad

No sabe


• 10. ¿Cómo caracterizaría que su organización ha adoptado las siguientes tecnologías?

Tecnología Implementada En PilotoEn piloto dentro de los próximos 12

meses

Sin planes de

implementarN/C

Antivirus 95% 5% 0% 0% 0%

Firewalls 100% 0% 0% 0% 0%

Intrusion Detection and/or Prevention Systems (IDS/IPS) 76% 12% 10% 0% 2%

Filtro de contenido 71% 20% 7% 0% 2%

Soluciones antispam 80% 12% 2% 0% 5%

Antispyware software 73% 12% 5% 7% 2%

Soluciones antiphishing 51% 10% 15% 20% 5%

Encripción de correo electrónico 27% 17% 24% 27% 5%

Autenticación de correo electrónico 49% 12% 10% 20% 10%

Tecnología de Data Loss Prevention 22% 22% 29% 17% 10%

Encripción de archivos en dispositivos móviles 20% 7% 32% 29% 12%

Encripción de dispositivos de almacenamiento 29% 7% 27% 27% 10%

Seguridad/ Encripción de datos en reposo 32% 10% 22% 27% 10%

Administración de vulnerabilidades 56% 15% 10% 12% 7%

Análisis del comportamiento de la red 49% 15% 10% 17% 10%

Soluciones de seguridad para redes Wireless 44% 20% 15% 15% 7%

Network access control (NAC) 46% 10% 27% 12% 5%

Dispositivos biométricos p/autenticación de usuarios 17% 15% 5% 56% 7%

Single Sign On 15% 2% 29% 44% 10%

Sistemas web para administración de accesos 37% 15% 7% 27% 15%

Identity management 10% 5% 12% 59% 15%

Herramientas de centralización de logs y monitoreo 54% 22% 17% 2% 5%

Herramientas para administración de incidentes 34% 20% 20% 15% 12%

Herramientas para cumplimiento regulatorio 24% 12% 29% 24% 10%

Seguridad de los servicios en la web 39% 15% 17% 20% 10%

CONCLUSIONES

1. La seguridad de la información constituye un área de atención creciente en lasorganizaciones de de América Latina.

2. Mientras que las amenazas se multiplican y se hacen más sofisticadas, las organizaciones seven obligadas a fortalecer sus capacidades de gestionar la seguridad y a contar concapacidades adecuadas de respuesta ante incidentes.

3. Las nuevas tecnologías (mobile, redes sociales, servicios en la nube “cloud”) generan nuevosdesafíos que están siendo atacados mediante nuevas políticas y nuevas iniciativas deprotección de información sensible.

4. Las organizaciones deben desarrollar un Programa de Seguridad de la Información queincluya iniciativas de corto, mediano y largo plazo, definiendo la incorporación de tecnologíasde seguridad para garantizar una adecuada protección de la información y del negocio.

fraude en la era digital: entender los nuevos peligros ... · los nuevos peligros para mitigar los...

Documents