PDF de programación - EY vencer al cibercrimen

Perspectivas
sobre gobierno, riesgo
y cumplimiento

Octubre 2013

Vencer al cibercrimen

Administración del Programa de Seguridad
desde la perspectiva del comité directivo

1

Perspectivas sobre gobierno, riesgo y cumplimiento - Administración del Programa de Seguridad | “Combatimos
50,000
ciberataques
todos los días”

CEO, organización global de energía

Contenidos

Introducción

Una amenaza existencial ...............................................

Riesgo cibernético en aumento

El crecimiento exponencial del riesgo ............................

5

6

Responsabilidad del comité directivo

¿Por qué la seguridad es marginada por la mesa
directiva? ......................................................................

10

Soluciones potenciales

El éxito demanda una solución holística .........................

12

Conclusión

La ciberseguridad debe ser una prioridad del comité
directivo .......................................................................

18

2

| Perspectivas sobre gobierno, riesgo y cumplimiento - Administración del Programa de Seguridad Introducción
Una amenaza existencial

“La cuestión no es si su
compañía será vulnerada o
incluso cuándo sucederá.
Las verdaderas preguntas
son: ¿está consciente de
ello y qué tan bien está
protegido para el futuro?”

Ken Allan, Líder Global EY, Seguridad de la
Información.

Los negocios dependen de la tecnología. Los sistemas digitales son ahora
la columna vertebral de su compañía, pero también tienen el potencial de
acarrear consigo su destrucción.

Esto no es sensacionalismo. Las brechas de seguridad informática están
incrementando anualmente en un 50%. Expertos de seguridad del gobierno
han acuñado el término “ciberfatalidad”, refiriéndose a una brecha digital que
pone a una compañía fuera de negocios.

No es difícil ver, por qué el crimen cibernético está creciendo. Póngase
en los zapatos del hacker por un segundo. Los riesgos son limitados, las
recompensas potenciales son grandes. Y en algunos territorios, el patrocinio
gubernamental del crimen cibernético significa que los hackers son
remunerados solo por intentarlo. Voltear hacia el crimen cibernético, es un
cálculo fácil.

Estas son apenas noticias para cualquier líder de negocios de la actualidad.
Pero tal y como nuestra última Encuesta de Seguridad Global deja claro,
las organizaciones siguen luchando por ofrecer la respuesta adecuada a
los riesgos que van en aumento. En particular, los líderes están teniendo
dificultades al alinear sus estrategias de seguridad con las estrategias de
negocios del mundo real.

Los negocios mejor preparados ahora reconocen que la responsabilidad de
rechazar los ciberataques no debe recaer por completo sobre el área de TI.
Es un tema del comité directivo. La única manera segura de contrarrestar la
amenaza es con un enfoque estratégico que base su seguridad digital en el
mundo real de sus negocios.

Preparamos este reporte para ayudar a los miembros del comité directivo
y a los tomadores de decisiones de nivel C a entender la relación entre su
responsabilidad, la escala de la ciberamenaza y un enfoque sugerido que está
precisamente enfocado a la estructura, cultura y riesgos de su empresa.

El riesgo tecnológico

va en aumento

Responsabilidad del

comité directivo

Soluciones
potenciales

El reporte cubre:
El riesgo tecnológico va en aumento
Los riesgos cibernéticos emergentes, lo que significan para tu organización y la respuesta
inadecuada (páginas 6 - 9)
Responsabilidad del comité directivo
El estado actual del compromiso ejecutivo con la ciberseguridad y los retos de integrar la
administración de riesgos a la planeación estratégica (páginas 10 -11)
Soluciones potenciales
Las ventajas de adoptar un enfoque holístico a la seguridad informática de la
administración del programa de seguridad (Security Program Management)basado en un
análisis valioso (páginas 12-17).

3

Perspectivas sobre gobierno, riesgo y cumplimiento - Administración del Programa de Seguridad | El riesgo tecnológico

va en aumento

Responsabilidad del

comité directivo

Soluciones
potenciales

Requerimientos de
seguridad de la información
en una organización:

• Arquitectura
• Administración de activos
• Concientización
• Administración de la

continuidad de negocios

Infraestructura de datos

•
• Protección de datos
• Gobierno y organización
• Seguridad a nivel host
• Control de acceso y manejo de

identidad

• Administración de incidentes
• Métricas y reportes
• Seguridad de la red
• Operaciones
• Marco de trabajo de política y

estándares
• Privacidad
• Monitoreo de seguridad
• Seguridad de software
• Estrategia
• Administración de terceros
• Administración de amenazas y

vulnerabilidades

4

Riesgo cibernético en aumento
El crecimiento
exponencial del riesgo

La importancia de mantenerse adelante del
cibercrimen

De la misma manera en que las ciberamenazas evolucionan a una velocidad,
complejidad e impacto sin paralelos, las organizaciones ya no preguntan
“¿estamos seguros?”, sino “¿cómo podemos asegurar que la información más
importante para nuestro negocio estará lo suficientemente segura?”.

En el mundo actual densamente conectado de información, una nueva
manera de ver el horizonte global de negocios está surgiendo. Dada la
naturaleza de misión crítica de los datos en casi todos los aspectos de la
empresa moderna, y el impresionante aumento de los cibercriminales que
buscan comprometerla, las organizaciones en todos los sectores de la
industria enfrentan no solamente un riesgo en incremento, sino la certeza
cercana de que sufrirán una brecha de seguridad de la información.

De hecho, la difícil realidad del entorno de seguridad actual significa que
muchas de esas organizaciones ya experimentaron una brecha, y que
pueden existir solo dos tipos de organizaciones: aquellas que ya han sido
comprometidas y están conscientes de ello, y aquellas que se encuentran
peligrosamente en desconocimiento.

Este drástico cambio del panorama de negocios es una poderosa llamada de
atención que debe resonar alrededor de la mesa del comité directivo. Con
tanto en juego –propiedad intelectual, información de clientes, financiera
y operacional, reputación organizacional– los líderes informados se están
dando cuenta de que es tiempo para repensar cómo está siendo entendida y
posicionada la seguridad informática en su organización.

Ya no es suficiente tratar la función de seguridad como una más del área de TI
o alguna otra administración técnica. Mientras la experiencia en los sistemas
se mantenga como un ingrediente esencial de preparación para la respuesta a
incidentes, solo cuando la ciberseguridad es entendida dentro de la estructura
de administración de riesgos organizacional es que el liderazgo ejecutivo
podrá tener la confianza de que su activo de negocios más importante, su
información, está lo suficientemente protegida de las amenazas actuales, y la
futuras.

En un mundo de amenazas en constante evolución que pueden causar daños
potencialmente catastróficos y que podrían algún día generar una ciber
fatalidad, una mejor protección habilita el desempeño efectivo del negocio
y refuerza la capacidad de la compañía de operar día con día, y proveer una
resistencia más sólida ante amenazas en continua evolución.

| Perspectivas sobre gobierno, riesgo y cumplimiento - Administración del Programa de Seguridad El riesgo tecnológico va en aumento

El espectro de amenazas

La naturaleza de la seguridad digital actual se entiende mejor desde dos
perspectivas: interna y externa.

Amenazas internas

Las amenazas internas a la seguridad de la información van desde las no
intencionales (errores simples del usuario, pérdida de dispositivos móviles)
a los maliciosos (fraude interno, robo de datos). Así como las compañías
respaldan la productividad a través de la rápida integración del modelo Bring
Your Own Device (BYOD), cómputo en la nube y otros aspectos de total
movilidad, incrementa proporcionalmente el riesgo al que la información
almacenada o accedida a través de estos canales es expuesta.

No solo la accesibilidad inherente de esos sistemas crea vulnerabilidades, sino
que también demanda más procesos de integración, de mayor complejidad.
De la manera en que los equipos de TI son forzados a colocar nuevos sistemas
sobre marcos de trabajo existentes inadecuados o insuficientes, la seguridad
de la información puede verse comprometida, aunque inconscientemente.

Amenazas externas

Los hackers actuales cuentan con fondos considerables, son persistentes
y sofisticados. La gente y los procesos son cada vez más un blanco, tanto
como los sistemas tecnológicos. Los cibercriminales están motivados para
evolucionar tan rápido como sea posible; las defensas deben ser igualmente
ágiles para mantener el paso.

Las amenazas de rápida evolución y multidimensionales
existen en todos los sectores

El espectro de amenazas exacto varía por industria. Lo que se requiere es
un entendimiento más estratégico del valor de los datos que habilitan a la
empresa a prosperar, más que el desempeño de la red o plataforma.

La rápida consolidación a través de fusiones o adquisiciones significa que las
compañías ahora operan a través de múltiples industrias. El marco de trabajo
de seguridad de una organización puede ser suficiente para su sector o
geografía originales, pero la expansión llama a que la seguridad sea revisada a
cada paso.

5

Perspectivas sobre gobierno, riesgo y cumplimiento - Administración del Programa de Seguridad | El riesgo tecnológico va en aumento

No es simplemente que la
velocidad y complejidad
del cambio estén
aceleradas, sino que la
severidad y el impacto
ascienden en espiral. La
brecha en la habilidad de
una organización para
administrar la dinámica del
cambio es un problema,
pero los peligros de no
hacerlo son mucho más
serios que antes.

Mike Trovato, Líder de