La innovación como estrategia de Gestión del Riesgo en el Grupo BBVA / Innovation as Risk Management Strategy in the BBVA Group

782 views

Published on

Ponencia de Santiago Moral,Director de IT Risk, Fraud and Security, Grupo BBVA; y Francisco García Marín, Innovation for Security, Grupo BBVA.

Presentation by Santiago Moral, Director of IT Risk, Fraud and Security, BBVA Group; and Francisco García Marín, Innovation for Security, BBVA Group

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
782
On SlideShare
0
From Embeds
0
Number of Embeds
35
Actions
Shares
0
Downloads
14
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • concerns can persist about loss of control over certain sensitive data, and the lack of security for stored kernels.[22] Security is often as good as or better than other traditional systems, in part because providers are able to devote resources to solving security issues that many customers cannot afford.[23] However, the complexity of security is greatly increased when data is distributed over a wider area or greater number of devices and in multi-tenant systems that are being shared by unrelated users. In addition, user access to security audit logs may be difficult or impossible. Private cloud installations are in part motivated by users' desire to retain control over the infrastructure and avoid losing control of information security
  • concerns can persist about loss of control over certain sensitive data, and the lack of security for stored kernels.[22] Security is often as good as or better than other traditional systems, in part because providers are able to devote resources to solving security issues that many customers cannot afford.[23] However, the complexity of security is greatly increased when data is distributed over a wider area or greater number of devices and in multi-tenant systems that are being shared by unrelated users. In addition, user access to security audit logs may be difficult or impossible. Private cloud installations are in part motivated by users' desire to retain control over the infrastructure and avoid losing control of information security
  • concerns can persist about loss of control over certain sensitive data, and the lack of security for stored kernels.[22] Security is often as good as or better than other traditional systems, in part because providers are able to devote resources to solving security issues that many customers cannot afford.[23] However, the complexity of security is greatly increased when data is distributed over a wider area or greater number of devices and in multi-tenant systems that are being shared by unrelated users. In addition, user access to security audit logs may be difficult or impossible. Private cloud installations are in part motivated by users' desire to retain control over the infrastructure and avoid losing control of information security
  • Slide Purpose – These trends are not only about specific devices but also how we use technology and interrelate with each other as people . We can see this in the social trends we see outside of work and how information is created, shared and communicated today vs. just a short time ago. These trends and tools have dramatically re-shaped how business is done: Collaboration - the new normal for working together Prosumers – the new content generators Peer reviews - the new marketing/advertising Search engines - the new home page On-line conversations – the new customer survey Review the statements on the left - Some great examples here the number of Facebook users that are rapidly ramping, how quickly people are developing and delivering content on the Web. “ in the last sixty days, more content has been uploaded to YouTube than has ever been created in major broadcasts in sixty years.”   Implication for IT .. The pace of technology, the pace and availability of these services, the pace of content in the public market is going at a much faster pace and people (like myself) are used to consuming this and want it at this pace inside of business.   The challenge within IT is that we, who've tried to control and lockdown our footprint and lockdown the technology footprint for security and manageability concerns, need to really think about these trends that we're seeing in the consumer market and address them.   Then how do we support this from a business computing environment? The message here is that what used to be only in the social and the consumer environment is now starting to become the new normal inside our own business.
  • concerns can persist about loss of control over certain sensitive data, and the lack of security for stored kernels.[22] Security is often as good as or better than other traditional systems, in part because providers are able to devote resources to solving security issues that many customers cannot afford.[23] However, the complexity of security is greatly increased when data is distributed over a wider area or greater number of devices and in multi-tenant systems that are being shared by unrelated users. In addition, user access to security audit logs may be difficult or impossible. Private cloud installations are in part motivated by users' desire to retain control over the infrastructure and avoid losing control of information security
  • MAD-0280801109 (Comité Impulso)v15 La acelaración de las amenazas
  • MAD-0280801109 (Comité Impulso)v15 APT: Los instrumentos de ataque (malware) creados por estados o grandes organizaciones para la ciberguerra caen en manos de los delincuentes. Importante peligro de robo y/o modificación de información de forma sostenida en el tiempo y utilización aplazada. Ataques contra sistemas físicos. Ataques contra dispositivos móviles. Plataforma para atacar a sistemas corporativos.
  • MAD-0280801109 (Comité Impulso)v15 APT: Los instrumentos de ataque (malware) creados por estados o grandes organizaciones para la ciberguerra caen en manos de los delincuentes. Importante peligro de robo y/o modificación de información de forma sostenida en el tiempo y utilización aplazada. Ataques contra sistemas físicos. Ataques contra dispositivos móviles. Plataforma para atacar a sistemas corporativos.
  • Dos lineas de desarrollo
  • Good morning everyone! Thanks for inviting me to share with you why innovation is important for BBVA, How is our innovation model and what we are doing.
  • Dos lineas de desarrollo
  • Identify the main objectives that require protection: Architecture / Infrastructure: Access and management permissions Not authorized user access Perimetral protection Physical and logical security Information: Information classification Data structure Normative and regulatory compliance – Privacy Politics Access authorities (Big Data on the Cloud) Metadata information
  • Identify the main objectives that require protection: Architecture / Infrastructure: Access and management permissions Not authorized user access Perimetral protection Physical and logical security Information: Information classification Data structure Normative and regulatory compliance – Privacy Politics Access authorities (Big Data on the Cloud) Metadata information
  • EL concepto de I+D+i
  • Estas dos ultimas slides están pensadas para hablar de la exploración
  • Estas dos ultimas slides están pensadas para hablar de la exploración
  • La innovación como estrategia de Gestión del Riesgo en el Grupo BBVA / Innovation as Risk Management Strategy in the BBVA Group

    1. 1. os damos la bienvenida al Curso de Verano 2012: INNOVACIÓN PARA LA SEGURIDAD TIC TWITTER: @CIGTR hashtag: #i4s
    2. 2. Plan de Innovación en Seguridad XII Cursos de Verano de Aranjuez - 2012
    3. 3. Curso de verano 2012 3 AGENDA 1. Evolución de la tecnología y evolución de las amenazas 2. Tecnologías para la protección. Innovación 3. Pricipales focos de interés para BBVA IT RF&S 4. ¿Cómo lo hacemos? Plan de Innovación en Seguridad
    4. 4. Curso de verano 2012 4  La tecnología sigue cambiando el mundo a gran velocidad y su uso arrastra a las empresas, que deben adoptarlas para mantener su competitividad  Es poco probable que las organizaciones reduzcan la velocidad de adopción de nuevas tecnologías o que disminuya su participación en el ciberespacio, más bien todo lo contrario.  Las cadenas de valor de las empresas están más fraccionadas, las funciones se externalizan, y el riesgo interno empieza a venir también de fuera. GPS 1997 2002 2008 Evolución tecnológica en las empresas
    5. 5. Curso de verano 2012 5 La adopción de las tecnologías modifica el mapa de riesgos  Migración a la nube de infraestructuras, utilidades y procesos de negocio.  Deconstrucción de procesos de negocio en sus componentes, creando cadenas de valor complejas, externalizadas y en muchos casos en entornos multitenancy. Los sistemas dejan de ser monolíticos.
    6. 6. Curso de verano 2012 6 La adopción de las tecnologías modifica el mapa de riesgos  Consumerización de dispositivos inteligentes. El dispositivo endpoint es un objeto personal, con uso híbrido para fines privados y de empresa. (Tendencia a disminución de desktops empresariales y al aumento de dispositivos portables laptop – tablet – smartphone)  Uso de dispositivos móviles para pagos (nfc, ewallets, apps, tpv en un móvil, etc).
    7. 7. Curso de verano 2012 7 Our Social Experience is Changing the Way We Want to Work Social Computing Represents a New Normal 500M active Facebook users 30M consumer reviews of hotels can be found on Tripadvisor.com In 60 days more content has been uploaded to YouTube than has been created by major broadcasters in the past 60 years 25% of search results for the world’s top 20 brands are linked to content created by consumers 7 Source: Intel
    8. 8. Curso de verano 2012 8 Evolución tecnológica en las empresas ¿P.I.?  La aparición de impresoras 3D capaces de crear productos en tres dimensiones incrementarán la posibilidad de robo de propiedad intelectual, extendiendo a los objetos físicos las dificultades aparecidas para bienes inmateriales.
    9. 9. Curso de verano 2012 9 2,90 2,10 1,65 0,140,110,070,020,010,010,01 *2000 Tipo de amenazas: Robo/modificación de datos, denegación de servicio… • Las amenazas se incrementan en paralelo a la evolución de la tecnología. • Junto a los beneficios para el negocio, vienen nuevas vulnerabilidades y la posibilidad de nuevas formas de ataque a las empresas. 2000 – 2010 Incremento del riesgo en seguridad de la información
    10. 10. Curso de verano 2012 10 Virus en dispositivos móviles 2010 Ataques a la marca Ataques a dispositivos conectados Ciber-activismo profesionalizado Ataques en el cloud Riesgo 2015  Perímetro extendido (dispositivos, nube, comercialización de big data …)  Convergen APT, hacktivismo y delincuencia  Ciclos de cambio y amenaza más rápidosAtaques de infraestructura (electricidad…) 2010 – 2015 Aceleración y sofisticación de las amenazas APT Convergencia
    11. 11. Curso de verano 2012 11 2010 2015 Virus en dispositivo s móviles Ataques a la marca Ataqu es a dispos itivos conect ados Ciber- activismo profesionali zado Ataques en el cloud Riesgo Ataques de infraestruct ura (electricida d…) APT Converg encia To take advantage of technology and cyberspace, organisations must manage new risks beyond those traditionally covered by the information security function, including attacks on reputation and all manner of technology from telephones to industrial control systems. Threat Horizon 2014
    12. 12. Curso de verano 2012 12  Big Data La capacidad de procesar ingentes cantidades de datos y obtener información.  Reconocimiento de patrones anómalos (AI, clasificadores, etc.)  Nuevos desarrollos en Criptografía. Algoritmos que preserven formatos, índices, ordenamientos o que permiran operar sobre cifrado  Biometría de reconocimiento (imagen., voz, gestos, firmas, características de comportamiento).  Herramientas de análisis y gestión: Governance, Riesgos, SIEM.  Seguridad de dispositivos móviles. Las tecnologías para la protección también avanzan
    13. 13. Curso de verano 2012 13 La innovación en BBVA, palanca para potenciar la competitividad y el crecimiento Las líneas estratégicas de innovación en Seguridad de la Información responden a retos reales de negocio
    14. 14. Curso de verano 2012 14 Principales focos de interés Advanced PaymentsAdvanced Payments Habilitar medios de pago avanzado. CloudCloud Crear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo. Acreditación de los proveedores. Big DataBig Data Posibilitar su uso y comercialización manteniendo la anonimidad. Detección de actividades anómalas. Digital Identity and Authentication Digital Identity and Authentication Impulsar sistemas de autenticación simples y no intrusivos y facilitar nuevos negocios mediante la compartición de identidades. Digital Channels and New Devices Digital Channels and New Devices El aumento en el uso de los dispositivos móviles y del concepto “BYOD” cambia el foco y las tendencias de la seguridad del puesto cliente hacia soluciones basadas en hardware y la virtualización Risk ManagementRisk Management Desarrollar métodos avanzados de Gestión de Riesgos, de Governance y de gestión de eventos de seguridad. AntifraudeAntifraude Mejorar los sistemas automáticos de detección y prevención.
    15. 15. Curso de verano 2012 15 Definir y desarrollar los servicios de seguridad necesarios para desplegar procesos de negocio en la nube, permitiendo una administración centralizada eficiente o estableciendo controles realizados por terceros. La Agilidad: From innovative idea to production in < 1 day (Intel) Soluciones específicas para mejorar el entorno Google Apps CloudCloud Crear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo. Acreditación de proveedores.
    16. 16. Curso de verano 2012 16 CloudCloud Crear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo. Acreditación de proveedores.
    17. 17. Curso de verano 2012 17 CloudCloud Crear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo. Acreditación de proveedores.
    18. 18. Curso de verano 2012 18  Protección perimetral.  Perfil de dispositivos de acceso  Servicios de identidad. Federación, acceso, provisioning  DLP  Protección frente a malware.  Servicios de cifrado.  Protección de API administrativas. Servicios de seguridad en la nube CloudCloud Crear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo. Acreditación de proveedores.
    19. 19. Curso de verano 2012 19 Protección de dispositivos de consumo para generalizar su acceso a sistemas corporativos Digital Channels and New Devices Digital Channels and New Devices El aumento en el uso de los dispositivos móviles y del concepto “BYOD” cambia el foco y las tendencias de la seguridad del puesto cliente hacia soluciones basadas en hardware y la virtualización Consumer Overtakes Business in 2009 Source: Gartner April ‘10BYODBYOD MDMMDM CloudCloud
    20. 20. Curso de verano 2012 20 Big DataBig Data Posibilitar su uso y comercialización manteniendo la anonimidad. Detección de actividades anómalas. Transformar fuentes de datos antes no exploradas por su volumen en información valiosa para uso propio o comercialización. Requiere garantía absoluta de que se proteja la información individualizada.
    21. 21. Curso de verano 2012 21 Big DataBig Data Posibilitar su uso y comercialización manteniendo la anonimidad. Detección de actividades anómalas. Utilizar las técnicas de Big Data para la protección, analizando a fondo volúmenes ingentes de información histórica  Detectar y prevenir el fraude.  Identificar ciberataques.  Mejorar la clasificación.  Demostrar la efectividad de controles.  etc
    22. 22. Curso de verano 2012 / Junio 2012 22 Digital Identity and Authentication Digital Identity and Authentication Impulsar sistemas de autenticación simples y no intrusivos y facilitar nuevos negocios mediante la compartición de identidades.
    23. 23. Curso de verano 2012 / Junio 2012 23 Risk ManagementRisk Management Desarrollar métodos avanzados de Gestión de Riesgos, de Governance y de gestión de eventos de seguridad. Redes complejas Metodologías avanzadas
    24. 24. Curso de verano 2012 / Junio 2012 24 AntifraudeAntifraude Mejorar los sistemas automáticos de detección y prevención. ROC curve UPV Fusion 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% False Positive Ratio TruePositiveRatio Alarms vs VDR 0 10 20 30 40 50 60 0 200 400 600 800 1.000 Alarms VDR UPV Fusion Lynx Investigar en algoritmos que mejoren los ratios de detección de comportamientos fraudulentos. Apoyo en herramientas Big Data.
    25. 25. Curso de verano 2012 25 ¿Cómo lo hacemos? Start-ups, Caplitalriesgo Universidades y Centros de Investigación Empresas tecnológicas
    26. 26. Curso de verano 2012 26 Observatorio tecnológico Prospección Propuesta Prueba
    27. 27. Curso de verano 2012 27 Apoyo al emprendimiento tecnológico
    28. 28. Curso de verano 2012 28 Principales focos de interés Advanced PaymentsAdvanced Payments Habilitar medios de pago avanzado. CloudCloud Crear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo. Acreditación de proveedores. Big DataBig Data Posibilitar su uso y comercialización manteniendo la anonimidad. Detección de actividades anómalas. Digital Identity and Authentication Digital Identity and Authentication Impulsar sistemas de autenticación simples y no intrusivos y facilitar nuevos negocios mediante la compartición de identidades. Digital Channels and New Devices Digital Channels and New Devices El aumento en el uso de los dispositivos móviles y del concepto “BYOD” cambia el foco y las tendencias de la seguridad del puesto cliente hacia soluciones basadas en hardware y la virtualización Risk ManagementRisk Management Desarrollar métodos avanzados de Gestión de Riesgos, de Governance y de gestión de eventos de seguridad. AntifraudeAntifraude Mejorar los sistemas automáticos de detección y prevención.

    ×