Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

La innovación como estrategia de Gestión del Riesgo en el Grupo BBVA / Innovation as Risk Management Strategy in the BBVA Group

848 views

Published on

Ponencia de Santiago Moral,Director de IT Risk, Fraud and Security, Grupo BBVA; y Francisco García Marín, Innovation for Security, Grupo BBVA.

Presentation by Santiago Moral, Director of IT Risk, Fraud and Security, BBVA Group; and Francisco García Marín, Innovation for Security, BBVA Group

  • Be the first to comment

  • Be the first to like this

La innovación como estrategia de Gestión del Riesgo en el Grupo BBVA / Innovation as Risk Management Strategy in the BBVA Group

  1. 1. os damos la bienvenida al Curso de Verano 2012: INNOVACIÓN PARA LA SEGURIDAD TIC TWITTER: @CIGTR hashtag: #i4s
  2. 2. Plan de Innovación en Seguridad XII Cursos de Verano de Aranjuez - 2012
  3. 3. Curso de verano 2012 3 AGENDA 1. Evolución de la tecnología y evolución de las amenazas 2. Tecnologías para la protección. Innovación 3. Pricipales focos de interés para BBVA IT RF&S 4. ¿Cómo lo hacemos? Plan de Innovación en Seguridad
  4. 4. Curso de verano 2012 4  La tecnología sigue cambiando el mundo a gran velocidad y su uso arrastra a las empresas, que deben adoptarlas para mantener su competitividad  Es poco probable que las organizaciones reduzcan la velocidad de adopción de nuevas tecnologías o que disminuya su participación en el ciberespacio, más bien todo lo contrario.  Las cadenas de valor de las empresas están más fraccionadas, las funciones se externalizan, y el riesgo interno empieza a venir también de fuera. GPS 1997 2002 2008 Evolución tecnológica en las empresas
  5. 5. Curso de verano 2012 5 La adopción de las tecnologías modifica el mapa de riesgos  Migración a la nube de infraestructuras, utilidades y procesos de negocio.  Deconstrucción de procesos de negocio en sus componentes, creando cadenas de valor complejas, externalizadas y en muchos casos en entornos multitenancy. Los sistemas dejan de ser monolíticos.
  6. 6. Curso de verano 2012 6 La adopción de las tecnologías modifica el mapa de riesgos  Consumerización de dispositivos inteligentes. El dispositivo endpoint es un objeto personal, con uso híbrido para fines privados y de empresa. (Tendencia a disminución de desktops empresariales y al aumento de dispositivos portables laptop – tablet – smartphone)  Uso de dispositivos móviles para pagos (nfc, ewallets, apps, tpv en un móvil, etc).
  7. 7. Curso de verano 2012 7 Our Social Experience is Changing the Way We Want to Work Social Computing Represents a New Normal 500M active Facebook users 30M consumer reviews of hotels can be found on Tripadvisor.com In 60 days more content has been uploaded to YouTube than has been created by major broadcasters in the past 60 years 25% of search results for the world’s top 20 brands are linked to content created by consumers 7 Source: Intel
  8. 8. Curso de verano 2012 8 Evolución tecnológica en las empresas ¿P.I.?  La aparición de impresoras 3D capaces de crear productos en tres dimensiones incrementarán la posibilidad de robo de propiedad intelectual, extendiendo a los objetos físicos las dificultades aparecidas para bienes inmateriales.
  9. 9. Curso de verano 2012 9 2,90 2,10 1,65 0,140,110,070,020,010,010,01 *2000 Tipo de amenazas: Robo/modificación de datos, denegación de servicio… • Las amenazas se incrementan en paralelo a la evolución de la tecnología. • Junto a los beneficios para el negocio, vienen nuevas vulnerabilidades y la posibilidad de nuevas formas de ataque a las empresas. 2000 – 2010 Incremento del riesgo en seguridad de la información
  10. 10. Curso de verano 2012 10 Virus en dispositivos móviles 2010 Ataques a la marca Ataques a dispositivos conectados Ciber-activismo profesionalizado Ataques en el cloud Riesgo 2015  Perímetro extendido (dispositivos, nube, comercialización de big data …)  Convergen APT, hacktivismo y delincuencia  Ciclos de cambio y amenaza más rápidosAtaques de infraestructura (electricidad…) 2010 – 2015 Aceleración y sofisticación de las amenazas APT Convergencia
  11. 11. Curso de verano 2012 11 2010 2015 Virus en dispositivo s móviles Ataques a la marca Ataqu es a dispos itivos conect ados Ciber- activismo profesionali zado Ataques en el cloud Riesgo Ataques de infraestruct ura (electricida d…) APT Converg encia To take advantage of technology and cyberspace, organisations must manage new risks beyond those traditionally covered by the information security function, including attacks on reputation and all manner of technology from telephones to industrial control systems. Threat Horizon 2014
  12. 12. Curso de verano 2012 12  Big Data La capacidad de procesar ingentes cantidades de datos y obtener información.  Reconocimiento de patrones anómalos (AI, clasificadores, etc.)  Nuevos desarrollos en Criptografía. Algoritmos que preserven formatos, índices, ordenamientos o que permiran operar sobre cifrado  Biometría de reconocimiento (imagen., voz, gestos, firmas, características de comportamiento).  Herramientas de análisis y gestión: Governance, Riesgos, SIEM.  Seguridad de dispositivos móviles. Las tecnologías para la protección también avanzan
  13. 13. Curso de verano 2012 13 La innovación en BBVA, palanca para potenciar la competitividad y el crecimiento Las líneas estratégicas de innovación en Seguridad de la Información responden a retos reales de negocio
  14. 14. Curso de verano 2012 14 Principales focos de interés Advanced PaymentsAdvanced Payments Habilitar medios de pago avanzado. CloudCloud Crear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo. Acreditación de los proveedores. Big DataBig Data Posibilitar su uso y comercialización manteniendo la anonimidad. Detección de actividades anómalas. Digital Identity and Authentication Digital Identity and Authentication Impulsar sistemas de autenticación simples y no intrusivos y facilitar nuevos negocios mediante la compartición de identidades. Digital Channels and New Devices Digital Channels and New Devices El aumento en el uso de los dispositivos móviles y del concepto “BYOD” cambia el foco y las tendencias de la seguridad del puesto cliente hacia soluciones basadas en hardware y la virtualización Risk ManagementRisk Management Desarrollar métodos avanzados de Gestión de Riesgos, de Governance y de gestión de eventos de seguridad. AntifraudeAntifraude Mejorar los sistemas automáticos de detección y prevención.
  15. 15. Curso de verano 2012 15 Definir y desarrollar los servicios de seguridad necesarios para desplegar procesos de negocio en la nube, permitiendo una administración centralizada eficiente o estableciendo controles realizados por terceros. La Agilidad: From innovative idea to production in < 1 day (Intel) Soluciones específicas para mejorar el entorno Google Apps CloudCloud Crear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo. Acreditación de proveedores.
  16. 16. Curso de verano 2012 16 CloudCloud Crear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo. Acreditación de proveedores.
  17. 17. Curso de verano 2012 17 CloudCloud Crear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo. Acreditación de proveedores.
  18. 18. Curso de verano 2012 18  Protección perimetral.  Perfil de dispositivos de acceso  Servicios de identidad. Federación, acceso, provisioning  DLP  Protección frente a malware.  Servicios de cifrado.  Protección de API administrativas. Servicios de seguridad en la nube CloudCloud Crear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo. Acreditación de proveedores.
  19. 19. Curso de verano 2012 19 Protección de dispositivos de consumo para generalizar su acceso a sistemas corporativos Digital Channels and New Devices Digital Channels and New Devices El aumento en el uso de los dispositivos móviles y del concepto “BYOD” cambia el foco y las tendencias de la seguridad del puesto cliente hacia soluciones basadas en hardware y la virtualización Consumer Overtakes Business in 2009 Source: Gartner April ‘10BYODBYOD MDMMDM CloudCloud
  20. 20. Curso de verano 2012 20 Big DataBig Data Posibilitar su uso y comercialización manteniendo la anonimidad. Detección de actividades anómalas. Transformar fuentes de datos antes no exploradas por su volumen en información valiosa para uso propio o comercialización. Requiere garantía absoluta de que se proteja la información individualizada.
  21. 21. Curso de verano 2012 21 Big DataBig Data Posibilitar su uso y comercialización manteniendo la anonimidad. Detección de actividades anómalas. Utilizar las técnicas de Big Data para la protección, analizando a fondo volúmenes ingentes de información histórica  Detectar y prevenir el fraude.  Identificar ciberataques.  Mejorar la clasificación.  Demostrar la efectividad de controles.  etc
  22. 22. Curso de verano 2012 / Junio 2012 22 Digital Identity and Authentication Digital Identity and Authentication Impulsar sistemas de autenticación simples y no intrusivos y facilitar nuevos negocios mediante la compartición de identidades.
  23. 23. Curso de verano 2012 / Junio 2012 23 Risk ManagementRisk Management Desarrollar métodos avanzados de Gestión de Riesgos, de Governance y de gestión de eventos de seguridad. Redes complejas Metodologías avanzadas
  24. 24. Curso de verano 2012 / Junio 2012 24 AntifraudeAntifraude Mejorar los sistemas automáticos de detección y prevención. ROC curve UPV Fusion 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% 0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100% False Positive Ratio TruePositiveRatio Alarms vs VDR 0 10 20 30 40 50 60 0 200 400 600 800 1.000 Alarms VDR UPV Fusion Lynx Investigar en algoritmos que mejoren los ratios de detección de comportamientos fraudulentos. Apoyo en herramientas Big Data.
  25. 25. Curso de verano 2012 25 ¿Cómo lo hacemos? Start-ups, Caplitalriesgo Universidades y Centros de Investigación Empresas tecnológicas
  26. 26. Curso de verano 2012 26 Observatorio tecnológico Prospección Propuesta Prueba
  27. 27. Curso de verano 2012 27 Apoyo al emprendimiento tecnológico
  28. 28. Curso de verano 2012 28 Principales focos de interés Advanced PaymentsAdvanced Payments Habilitar medios de pago avanzado. CloudCloud Crear servicios de seguridad que permitan migrar procesos a la nube sin incremento del riesgo. Acreditación de proveedores. Big DataBig Data Posibilitar su uso y comercialización manteniendo la anonimidad. Detección de actividades anómalas. Digital Identity and Authentication Digital Identity and Authentication Impulsar sistemas de autenticación simples y no intrusivos y facilitar nuevos negocios mediante la compartición de identidades. Digital Channels and New Devices Digital Channels and New Devices El aumento en el uso de los dispositivos móviles y del concepto “BYOD” cambia el foco y las tendencias de la seguridad del puesto cliente hacia soluciones basadas en hardware y la virtualización Risk ManagementRisk Management Desarrollar métodos avanzados de Gestión de Riesgos, de Governance y de gestión de eventos de seguridad. AntifraudeAntifraude Mejorar los sistemas automáticos de detección y prevención.

×