Presentació de Javier Urtiaga, soci responsable de Ciberseguretat a PwC, presentada a la Trobada dels Serveis Informàtics de les Universitats de Catalunya (TSIUC) celebrada el 3 de desembre a La Salle Campus Barcelona – Universitat Ramon Llull sota el lema “Gestió de riscos de les TIC”.
4. Background
Caso I: Target
4
“During fourth quarter 2013, Target experienced a
data breach in which an intruder gained unauthorized
access to our network and stole certain payment card
and other guest information. The Company incurred
$17 million of net expense in the fourth quarter,
reflecting $61 million of total expenses.”
Fuente: SEC 8-K Report .
Target Corp:
• Fundada en 1902
• Aprox 1760 supermercados en USA
• Aprox 72 billion $ (facturación 2012)
• Aprox 360.000 empleados
• Cotiza en la bolsa de NY y S&P 500
5. Background
Caso II: Sony –Parte I
5
Sony
Founded at 1946
Tokyo and Nueva York Market
Aprox: 72 billion $ (Revenue 2012)
Aprox: 146.000 employees
8. 8
Background
Caso n … y de lo que sabemos
http://www.informationisbeautiful.net/visualiz
ations/worlds-biggest-data-breaches-hacks/
http://hackmageddon.com/2014-
cyber-attacks-timeline-master-index/
12. Nuevas amenazas globales y dinámicas
Lo que preocupa a los directivos
12
2013/2014 Club Bilderberg
“Cyber Warfare and Asymetric
threats”
2014 Global
CEO Survey
18. 18
Cybersecurity essentials
¿Qué entendemos por Cybersecurity?
Ciudadano
Estado
Usuario
Empresa
Cliente
Proveedor Directivo
Espionaje Industrial
Fugas de información
Robo de datos
Movilizaciones sociales
Hacktivismo
Desórdenes públicos
Delitos Telemáticos
Fraude sectorial
Suplantación
Acoso a personas
Chantaje a empresas
Crimen Organizado
Disrupción de negocio
Espionaje de estado
Cyber Ataques
Cyber Terrorismo
Entendemos por Cyberseguridad al programa o actividad
que se encarga de gestionar los riesgos vinculados o
coordinados a través de la tecnología y que por su difusión,
volumen y repercusión pueden generar un elevado impacto
en la Organización.
El programa de Cyberseguridad debe definir, implantar y
mantener una estrategia en respuesta a estos riesgos,
entendiendo que por su especial naturaleza (Low
probability High Impact Threats), el marco de gestión
tradicional de la seguridad no es suficiente.
Amenazas globales y delocalizadas
Ataques Masivos (Alto Impacto)
Replicación industrial o geográfica
Persistencia y Complejidad
Impacto en Medios
19. 19
Cybersecurity essentials
La amenaza como núcleo de actuación
Amenaza¿Qué?
¿Quien?
¿Cómo?
¿Cuándo?
¿Dódnde?
Preventivos
Detectivos
Anticipar
Contener
Responder
Correctivos
INTELIGENCIA
Gestión de la
Seguridad
Ciclo de Vida
Tradicional
Seguridad
Ciberseguridad
El programa de Cybersecurity debe contemplar un cambio
de enfoque y prioridad, si bien gran parte de sus objetivos y
las iniciativas que lo componen están estrechamente
alineadas con el ciclo de vida de la seguridad tradicional.
Sin embargo, el modo de priorizar y establecer el perímetro
de actuación cambia drásticamente, tanto en su modelo
(incorporando acciones de contención e inteligencia),
activos (actuando dentro y fuera de la Entidad) y
clasificación (actuando sobre los activos esenciales
amenazados por un vector de ataque o adversario).
21. 21
Ecosistema Global de Negocio
Contexto de negocio, dinamizador de oportunidades y reiesgos
Modelado de Amenazas
De “lo que preocupa” a “lo que me ocupa”
Adaptación de las amenazas vinculadas a la tecnología a la realidad de una organización, evaluando
su vigencia y criticidad en base al ecosistema en el que opera, compuesto por tres niveles; Interno,
Stakeholders y Contexto.
Amenazas globales de una empresa
22. 22
Information
Technology
Operational
Technology
Consumer
Technology
“Cybersecurity” contemplatodas las “capas”
Horizonte de Activos Esenciales
Tangibilizando la amenaza en entornos críticos afectados
Below the lina: Información y tecnologíasque trascienden miámbitode control
Tecnologías especificas
(ej. Militar , ICS,etc)
Fabricación, producción,
procesos core de negocio
Información
Crítica
(acuerdos,
compras, etc.)
Entornos de operación
$Medios de pago/ ATM
mercados financieros
Telecomunicaciones
Sistemas y datos.
Accesos, terceros,
clientes, portales,
proveedores, etc.
I+D/ diseño de productos
Sistemas Industriales
de control (SCADA)
Tecnologías
emergentes
Presencia en Internet, redes sociales,
medios, Cloud, etc