Del “hackeo” a la inteligencia artificial<br />
Hackeo<br />
Automatizar el “hackeo”<br />
Análisis  implica  Clasificación<br />
201,076 piezas de lego <br />
¿Reduccionismo?<br />El  todoes igual<br />a la sumade sus partes<br />
Complejidad<br />
Salud<br />
Economía<br />
Clima<br />
Cómputo<br />
Sintetizar<br />
“En su escencia, todos los modelos están mal, pero algunos son útiles”<br />George E.P. Box<br />
3 Premisas<br />
1. Quién gestiona mejor el riesgo, prevalece<br />Las especies (genes) y los colectivos (memes) que mejor mitigan sus ries...
2. No somos capaces de gestionar el Riesgo Digital<br />Actualmente, no estamos preparados para gestionar los nuevos y cre...
3. Las empresas con las mejores estrategias de gestión del Riesgo Digital, prevalecerán<br />Los colectivos, empresas y pa...
Entropía<br />
Vida<br />
Mutaciones Exitosas<br />
Adaptación<br />
Mecanismos de gestión de riesgos<br />
Reproducción Rápida<br />
Veneno Potente<br />
Tamaño y Rugido<br />
Gen Egoísta<br />
Selección Natural<br />
Sobreadaptación<br />
Prevalecer<br />
¿Dos Sexos?<br />
Selección Sexual<br />
Coevolución<br />
1. Mutaciones<br />(experimentos)<br />
2. Velocidad de Mutaciones<br />(readaptación)<br />
Prevalecer<br />
¿Cómo le hicimos?<br />
Neocortex<br />
Ratón	   Chango		      Humano<br />Neocortex Mamífero<br />
Memoria<br />
Jerárquico<br />
Espacial y Temporal<br />
Predicción<br />
Contexto<br />
Contexto<br />
Mielina<br />
Repetición<br />
Emoción<br />
Emoción Negativa x4<br />
Predecir riesgos<br />Adaptarnos a nuevos riesgos<br />
Comunicar experiencia<br />
Estrategias de gestión de riesgo =<br />  Educación  +   Experiencia +  Experimentación<br />
Experimentación = Mutación<br />
         ¿Memes?<br />
Colectivos<br />
¿Por qué no entendemos<br />el Riesgo Digital?<br />
Riesgo Digital = ¿ Impacto x Probabilidad ?<br />
Riesgo Digital  Intencional = Amenaza x Accesibilidad<br />
¡La Amenaza se haincrementado de forma geométrica!<br />
¡LaAccesibilidad crecedeforma exponencial!!<br />
Riesgo Digital = Amenaza x Accesibilidad<br />Amenaza <br />
¡Nos sentimos anónimos!Esto escierto para los criminales también…<br />
¡Sin unapercepción deriesgo todos nosvolvemos trasgresores!<br />
Alreducirelriesgoderomper laleyhemosincrementadoelriesgoparatodos<br />
Rentabilidad = Retorno / Riesgo<br />
Hemos llegado a un nuevo equilibrio<br />Rentabilidad<br />Riesgo<br />
¡Hay mucho más que robar, con mucho menos riesgo!<br />
La Amenazase haincrementado de forma geométrica<br />
Riesgo Digital = Amenaza x Accesibilidad<br />Accesibilidad<br />
Hemos perdido el<br />Control<br />
Computadoras eran	deterministas<br />
Nuestro mundo digital se ha vuelto<br />indeterminista<br />
Las computadoras se han vuelto tan complejas que ya no son predecibles<br />
Necesitamos reinciarcomo una forma de regresara estados conocidos<br />
En sistemas caóticos sólo podemos predecir las primeras iteraciones<br />
Las redes incrementan complejidad<br />
36  Nodos<br />630  Conexiones<br />2,783,137,628,160 Sockets<br />
Más dispositivos = aún más conexiones<br />
Las conexiones<br />crecen<br />exponencialmente<br />
Elcrecimientode laRed genera<br />Valor<br />
   Perotambiénincrementa sucomplejidad<br />
Complejidad e impredicibilidadincrementan la frustración<br />
riesgo<br />Y el<br />
Por tanto, la anonimidad…<br />
…y la complejidad…<br />
…han generado cambios y crecimientos exponencialesen el Riesgo<br />
?<br />?<br />
¿Predicción temporo-espacial?<br />
Inmediatas: 	sin secuenciastemporales<br />
Etéreas: sin proximidad espacial<br />
Imperceptibles<br />
Masivo<br />
Estrategias de gestión de riesgo =<br />?<br />  Educación  +   Experiencia +  Experimentación<br />
¿Cómopodemos evaluar mejor<br />elRiesgo Digital?<br />
Cambio de Paradigma<br />
¿Cómo funciona el mundo de la seguridad hoy?<br />Administramos Vulnerabilidades<br />
Ingenieros<br />
¿Análisis deRiesgos(vulnerabilidades)deVíctor Chapela?<br />
Vulnerabilidades<br />Lo que amenace: <br /> generación de ingresos<br /> pertenencias o ahorros <br /> integridad física<...
1. Accidentes<br />
2. Enfermedades<br />
3. Agresiones<br />
¿Hallazgos del Análisis?<br />
Caminar es Peligroso<br />
Interacción física, peligrosísima<br />
¿Bañarse? - Prohibido<br />
Plan Director de Seguridad(personal)<br />
Clasificación de Activos Críticos<br />Cerebro			9.9<br />Boca y laringe		9.5<br />Médula Espinal		9.3<br />Corazón			9.1<...
Controles de Seguridad Propuestos<br />
Disponibilidad<br />
Acuerdo de Niveles de Servicio<br />
Para salir al jardín…<br />
Control para el robustecimiento de activos críticos<br />
Clonado: copia de seguridad<br />
Confidencialidad e Integridad<br />
Control de aislamiento bacteriológico<br />
Nunca más tendrás que ir a un baño público<br />
Controles de Aislamiento Bacteriológico<br />Cama<br />Casa<br />
Presupuesto del Plan Director de Seguridad Personal<br />5 Fases<br />Diseño				  9 meses	$  6.1M<br />Desarrollo			11 mes...
¿Quién querría meterse en mi PC? <br />
3 tipos de riesgos<br />RIESGO<br />
Incentivos Distintos<br />El mitigación del riesgo en relación al esfuerzo<br />
Disponibilidad siempre ha sido	la meta principal<br />
Facilitar AccesoeInteracción<br />
Riesgo Accidental esmitigadopor medio de Redundancia<br />
¿Cómo mitigamos nuestro riesgo oportunista?<br />
Para reducir Riesgos Oportunistasnecesitamos construir cercas<br />
Entre más grandes…<br />
…y mejores controles incluyas…<br />
… más resistente va a ser.<br />
Pero seguimos necesitando dar acceso…<br />
La analogía militarno aplica<br />
Necesitamos usar la analogía médica<br />
Necesitamos mantener nuestros			sistemas y redes 								sanos<br />
Entendersussignosvitales<br />
Usar mejores prácticas<br />
Introducir sólo componentes sanos<br />
Complementar con parches & actualizaciones<br />
Aislarlos de amenazas externas<br />
Generar alertas<br />
Guardarlogs<br />
Riesgo Oportunista Digital es como la Salud<br />La Suma de los esfuerzos me mantiene Sano<br />
…y define el tamaño de nuestra cerca<br />
¿Cómo mitigamos nuestro riesgo intencional?<br />
Elriesgo intencional esgestionadoaislando y filtrando nuestra información crítica<br />
Valor<br />Riesgo<br />
Controles divididos en dos grupos:<br />Redundancia<br />¿Disponibilidad?<br />Impacto alNegocio<br />BIA<br />Filtros yAu...
RiesgoIntencional<br />Riesgo Intencional = Impacto x Probabilidad<br />Amenaza x Accesibilidad<br />Impacto es determinad...
¿Cómo se calculael valor de la información?(la amenaza)<br />
Intencionalidad<br />Activos de Información <br />Información<br />Perfiles de Usuario<br />PérdidasPotenciales<br />Posib...
Necesitamos aceptar riesgo<br />El número de jugadas potenciales es infinta<br />
Con miles de partidas simultáneas<br />
En un ambiente altamente dinámico<br />
El tablero cambia diario<br />
Las piezascambian diario<br />
Las reglascambian diario<br />
Jugadores cambian diario<br />
El fin justifica los medios<br />Al prevenir riesgo intencional<br />Nada menorque asegurartodos los vectores es suficient...
La defensa debe		ser optimizada<br />
Optimizar la velocidad<br />
Optimizar recursos<br />
Método de gestión por valor<br />Posibles<br />Incidentes<br />Incidentes<br />Reales<br />Incidentes<br />Aplicables<br /...
Definición delvalor de lainformación por tipo dedato<br />Análisis del proceso de negocio<br />Inventario del ciclo de vid...
Resguardando aquello que tiene mayor valor paraterceros<br />
Así es como estimamos amenaza<br />
¿Cómo se calcula la vulnerabilidad?<br />
Activos y 	<br />Perfil de Usuarios<br />
Activos y <br />Perfil de Usuarios<br />
Accesos<br />Información<br />Usuario<br />Conexión<br />Nodos de Información<br />Nodos de Usuario<br />Transfer<br />Pro...
Segmentar por Accesos<br />
Medir Accesibilidad<br />
Agrupando Riesgo Intencional<br />
Redundancia<br />Disponibilidad<br />Impacto al Negocio<br />Activos<br />Filtros y Autenticación<br />Confidencialidad e ...
Enfocar controles <br />	en los riesgos principales<br />
Determinarlas<br />  fronteras <br />deconfianza<br />
¿Controles?<br />
Riesgo Intencional<br />Amenaza<br />Accesibilidad<br />
Riesgo Intencional<br />Accesibilidad para Terceros<br />Filtrar, Aislar, Autenticar<br />Reducir Rentabilidad<br />Regist...
Tres Vectores para gestionar Riesgo<br />Accesibilidad<br />para terceros<br />Valor<br />para terceros<br />Anonimidad<br...
Default Close<br />Default Open<br />Disponibilidad<br />Confidencialidad<br />Accesibilidad<br />
Filtrar y Aislar<br />Controles mínimos de Accesibilidad<br />Riesgo<br />Intencional<br />Riesgo Accidental<br />Riesgo O...
Peor<br />Esfuerzo<br />Mejor<br />Esfuerzo<br />Suma de <br />Esfuerzos<br />Riesgo<br />Intencional<br />Riesgo Accident...
Estrategias para gestionar Riesgo<br />Redundancia<br />Monitoreo y<br />Reacción<br />Accesibilidad<br />para terceros<br...
¿Cómo aplica todo esto en una regulación?<br />
Objetivo de la Seguridad en la Ley<br />“Evitar el acceso no autorizado a los datos personales resguardados por el respons...
Estrategia<br />Mitigar con base en el riesgo<br />Por tipos de datos<br />Por número de titulares<br />2<br />3<br />5<br...
Monitoreo y<br />Reacción<br />Filtrado y Autenticación<br />Controles de Gestión de Riesgos Intencionales<br />Disociació...
Se sugerirá cumplir un área máximapor nivel de Riesgo<br />Accesibilidad<br />para terceros<br />Filtrar y Aislar<br />Áre...
Implantación de Controles<br />4<br />4<br />5<br />5<br />4<br />4<br />4<br />5<br />500k<br />3<br />3<br />4<br />5<br...
EficienteEficaz<br />
Definir estrategias de gestiónpriorizadas en riesgo intencional<br />
Modelo Evolutivo de Gestión de Riesgos<br />
Cibermemes<br />
Fraude deTarjeta<br />
6 a 8 tipos de nodos<br />
Al menos 5 topologías<br />Millions?<br />
190 Pares de Datos<br />PAN<br />BIN<br />MCG<br />MCG Risk<br />MCC<br />MCC Risk<br />Merchant ID<br />Country<br />Entr...
270 Estrategias de Segmentación<br />
5 Secuencias (Perspectivas)<br />
Combinaciones<br />6 x<br />5 x<br />190 x<br />270 x<br />5 x<br />PAN<br />BIN<br />MCG<br />MCG Risk<br />MCC<br />MCC ...
Un fraudeporcada 10,000 transacciones<br />1 Fraude<br />
Incorporamos secuencias temporales<br />
ModelosCórticosdeMemoria Temporal Jerárquica<br />
Y no supervisados<br />Supervisados<br />
Modelospredictivosmucho másprecisos<br />
Bases de Datos Negativas<br />
Confianza<br />Contexto<br />
Víctor Chapela<br />Santiago Moral<br />www.RiskVolution.com<br />
www.riskvolution.com<br />Víctor Chapela	<br />victor@sm4rt.com<br />
Upcoming SlideShare
Loading in …5
×

RiskVolution Aranjuez Julio de 2011 - Victor Chapela

1,258 views

Published on

Presentación de la sinopsis de RiskVolution impartida en Aranjuez, España.

Requiere de explicación ya que no estuvo diseñada mas que como soporte a la presentación en vivo. Habrá pronto copia del video de la presentción que permitirá entender mejor los conceptos.

Por lo pronto los invito al sitio del libro http://www.riskvolution.com/es que incluye la sinopsis de RiskVolution.

Published in: Technology, Business
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,258
On SlideShare
0
From Embeds
0
Number of Embeds
137
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

RiskVolution Aranjuez Julio de 2011 - Victor Chapela

  1. 1. Del “hackeo” a la inteligencia artificial<br />
  2. 2. Hackeo<br />
  3. 3.
  4. 4.
  5. 5.
  6. 6. Automatizar el “hackeo”<br />
  7. 7. Análisis implica Clasificación<br />
  8. 8.
  9. 9.
  10. 10. 201,076 piezas de lego <br />
  11. 11.
  12. 12.
  13. 13. ¿Reduccionismo?<br />El todoes igual<br />a la sumade sus partes<br />
  14. 14. Complejidad<br />
  15. 15. Salud<br />
  16. 16. Economía<br />
  17. 17. Clima<br />
  18. 18. Cómputo<br />
  19. 19. Sintetizar<br />
  20. 20. “En su escencia, todos los modelos están mal, pero algunos son útiles”<br />George E.P. Box<br />
  21. 21. 3 Premisas<br />
  22. 22. 1. Quién gestiona mejor el riesgo, prevalece<br />Las especies (genes) y los colectivos (memes) que mejor mitigan sus riesgos son las que sobreviven<br />
  23. 23. 2. No somos capaces de gestionar el Riesgo Digital<br />Actualmente, no estamos preparados para gestionar los nuevos y crecientes riesgos digitales<br />
  24. 24. 3. Las empresas con las mejores estrategias de gestión del Riesgo Digital, prevalecerán<br />Los colectivos, empresas y países que encuentren las mejores estrategias de gestión de riesgos digitales prevalecerán sobre sus contemporáneos<br />
  25. 25.
  26. 26. Entropía<br />
  27. 27. Vida<br />
  28. 28. Mutaciones Exitosas<br />
  29. 29. Adaptación<br />
  30. 30. Mecanismos de gestión de riesgos<br />
  31. 31. Reproducción Rápida<br />
  32. 32. Veneno Potente<br />
  33. 33. Tamaño y Rugido<br />
  34. 34. Gen Egoísta<br />
  35. 35. Selección Natural<br />
  36. 36.
  37. 37.
  38. 38.
  39. 39. Sobreadaptación<br />
  40. 40. Prevalecer<br />
  41. 41. ¿Dos Sexos?<br />
  42. 42. Selección Sexual<br />
  43. 43. Coevolución<br />
  44. 44.
  45. 45.
  46. 46.
  47. 47. 1. Mutaciones<br />(experimentos)<br />
  48. 48.
  49. 49.
  50. 50.
  51. 51. 2. Velocidad de Mutaciones<br />(readaptación)<br />
  52. 52. Prevalecer<br />
  53. 53. ¿Cómo le hicimos?<br />
  54. 54. Neocortex<br />
  55. 55.
  56. 56. Ratón Chango Humano<br />Neocortex Mamífero<br />
  57. 57.
  58. 58. Memoria<br />
  59. 59. Jerárquico<br />
  60. 60. Espacial y Temporal<br />
  61. 61.
  62. 62. Predicción<br />
  63. 63.
  64. 64. Contexto<br />
  65. 65. Contexto<br />
  66. 66.
  67. 67. Mielina<br />
  68. 68. Repetición<br />
  69. 69. Emoción<br />
  70. 70. Emoción Negativa x4<br />
  71. 71. Predecir riesgos<br />Adaptarnos a nuevos riesgos<br />
  72. 72. Comunicar experiencia<br />
  73. 73. Estrategias de gestión de riesgo =<br /> Educación + Experiencia + Experimentación<br />
  74. 74. Experimentación = Mutación<br />
  75. 75. ¿Memes?<br />
  76. 76. Colectivos<br />
  77. 77.
  78. 78.
  79. 79.
  80. 80.
  81. 81.
  82. 82. ¿Por qué no entendemos<br />el Riesgo Digital?<br />
  83. 83. Riesgo Digital = ¿ Impacto x Probabilidad ?<br />
  84. 84. Riesgo Digital Intencional = Amenaza x Accesibilidad<br />
  85. 85. ¡La Amenaza se haincrementado de forma geométrica!<br />
  86. 86. ¡LaAccesibilidad crecedeforma exponencial!!<br />
  87. 87. Riesgo Digital = Amenaza x Accesibilidad<br />Amenaza <br />
  88. 88. ¡Nos sentimos anónimos!Esto escierto para los criminales también…<br />
  89. 89. ¡Sin unapercepción deriesgo todos nosvolvemos trasgresores!<br />
  90. 90. Alreducirelriesgoderomper laleyhemosincrementadoelriesgoparatodos<br />
  91. 91. Rentabilidad = Retorno / Riesgo<br />
  92. 92. Hemos llegado a un nuevo equilibrio<br />Rentabilidad<br />Riesgo<br />
  93. 93. ¡Hay mucho más que robar, con mucho menos riesgo!<br />
  94. 94. La Amenazase haincrementado de forma geométrica<br />
  95. 95. Riesgo Digital = Amenaza x Accesibilidad<br />Accesibilidad<br />
  96. 96. Hemos perdido el<br />Control<br />
  97. 97. Computadoras eran deterministas<br />
  98. 98. Nuestro mundo digital se ha vuelto<br />indeterminista<br />
  99. 99. Las computadoras se han vuelto tan complejas que ya no son predecibles<br />
  100. 100. Necesitamos reinciarcomo una forma de regresara estados conocidos<br />
  101. 101. En sistemas caóticos sólo podemos predecir las primeras iteraciones<br />
  102. 102. Las redes incrementan complejidad<br />
  103. 103.
  104. 104.
  105. 105. 36 Nodos<br />630 Conexiones<br />2,783,137,628,160 Sockets<br />
  106. 106. Más dispositivos = aún más conexiones<br />
  107. 107. Las conexiones<br />crecen<br />exponencialmente<br />
  108. 108. Elcrecimientode laRed genera<br />Valor<br />
  109. 109. Perotambiénincrementa sucomplejidad<br />
  110. 110. Complejidad e impredicibilidadincrementan la frustración<br />
  111. 111. riesgo<br />Y el<br />
  112. 112. Por tanto, la anonimidad…<br />
  113. 113. …y la complejidad…<br />
  114. 114. …han generado cambios y crecimientos exponencialesen el Riesgo<br />
  115. 115. ?<br />?<br />
  116. 116. ¿Predicción temporo-espacial?<br />
  117. 117. Inmediatas: sin secuenciastemporales<br />
  118. 118. Etéreas: sin proximidad espacial<br />
  119. 119. Imperceptibles<br />
  120. 120. Masivo<br />
  121. 121. Estrategias de gestión de riesgo =<br />?<br /> Educación + Experiencia + Experimentación<br />
  122. 122.
  123. 123. ¿Cómopodemos evaluar mejor<br />elRiesgo Digital?<br />
  124. 124. Cambio de Paradigma<br />
  125. 125. ¿Cómo funciona el mundo de la seguridad hoy?<br />Administramos Vulnerabilidades<br />
  126. 126. Ingenieros<br />
  127. 127. ¿Análisis deRiesgos(vulnerabilidades)deVíctor Chapela?<br />
  128. 128. Vulnerabilidades<br />Lo que amenace: <br /> generación de ingresos<br /> pertenencias o ahorros <br /> integridad física<br />
  129. 129. 1. Accidentes<br />
  130. 130. 2. Enfermedades<br />
  131. 131. 3. Agresiones<br />
  132. 132.
  133. 133. ¿Hallazgos del Análisis?<br />
  134. 134. Caminar es Peligroso<br />
  135. 135. Interacción física, peligrosísima<br />
  136. 136. ¿Bañarse? - Prohibido<br />
  137. 137. Plan Director de Seguridad(personal)<br />
  138. 138. Clasificación de Activos Críticos<br />Cerebro 9.9<br />Boca y laringe 9.5<br />Médula Espinal 9.3<br />Corazón 9.1<br />Pulmones 8.7<br />Hígado 8.2<br />Sistema Digestivo 8.0<br />Riñones 7.6<br />Brazos 7.3<br />Ojos 6.9<br />Piernas 6.8<br /> …<br />
  139. 139. Controles de Seguridad Propuestos<br />
  140. 140. Disponibilidad<br />
  141. 141. Acuerdo de Niveles de Servicio<br />
  142. 142. Para salir al jardín…<br />
  143. 143. Control para el robustecimiento de activos críticos<br />
  144. 144. Clonado: copia de seguridad<br />
  145. 145. Confidencialidad e Integridad<br />
  146. 146. Control de aislamiento bacteriológico<br />
  147. 147. Nunca más tendrás que ir a un baño público<br />
  148. 148. Controles de Aislamiento Bacteriológico<br />Cama<br />Casa<br />
  149. 149.
  150. 150.
  151. 151.
  152. 152.
  153. 153. Presupuesto del Plan Director de Seguridad Personal<br />5 Fases<br />Diseño 9 meses $ 6.1M<br />Desarrollo 11 meses $ 3.5M<br />Aprovisionamiento 6 meses $17.3M<br />Implementación 8 meses $ 5.1M<br />Pruebas y liberación 6 meses $ 2.1M<br />Presupuesto 40 meses $ 34.1M<br />
  154. 154. ¿Quién querría meterse en mi PC? <br />
  155. 155. 3 tipos de riesgos<br />RIESGO<br />
  156. 156. Incentivos Distintos<br />El mitigación del riesgo en relación al esfuerzo<br />
  157. 157. Disponibilidad siempre ha sido la meta principal<br />
  158. 158. Facilitar AccesoeInteracción<br />
  159. 159. Riesgo Accidental esmitigadopor medio de Redundancia<br />
  160. 160. ¿Cómo mitigamos nuestro riesgo oportunista?<br />
  161. 161. Para reducir Riesgos Oportunistasnecesitamos construir cercas<br />
  162. 162. Entre más grandes…<br />
  163. 163. …y mejores controles incluyas…<br />
  164. 164. … más resistente va a ser.<br />
  165. 165. Pero seguimos necesitando dar acceso…<br />
  166. 166. La analogía militarno aplica<br />
  167. 167. Necesitamos usar la analogía médica<br />
  168. 168. Necesitamos mantener nuestros sistemas y redes sanos<br />
  169. 169. Entendersussignosvitales<br />
  170. 170. Usar mejores prácticas<br />
  171. 171. Introducir sólo componentes sanos<br />
  172. 172. Complementar con parches & actualizaciones<br />
  173. 173. Aislarlos de amenazas externas<br />
  174. 174. Generar alertas<br />
  175. 175. Guardarlogs<br />
  176. 176. Riesgo Oportunista Digital es como la Salud<br />La Suma de los esfuerzos me mantiene Sano<br />
  177. 177. …y define el tamaño de nuestra cerca<br />
  178. 178. ¿Cómo mitigamos nuestro riesgo intencional?<br />
  179. 179. Elriesgo intencional esgestionadoaislando y filtrando nuestra información crítica<br />
  180. 180. Valor<br />Riesgo<br />
  181. 181. Controles divididos en dos grupos:<br />Redundancia<br />¿Disponibilidad?<br />Impacto alNegocio<br />BIA<br />Filtros yAutenticación<br />¿Confidencialidad e Integridad?<br />Valor de Mercado y Conectividad<br />IVA<br />
  182. 182. RiesgoIntencional<br />Riesgo Intencional = Impacto x Probabilidad<br />Amenaza x Accesibilidad<br />Impacto es determinado al estimar el valor económico<br />Probabilidadesmedida al calcularconexiones potenciales<br />
  183. 183. ¿Cómo se calculael valor de la información?(la amenaza)<br />
  184. 184. Intencionalidad<br />Activos de Información <br />Información<br />Perfiles de Usuario<br />PérdidasPotenciales<br />Posibles<br />Ataques<br />Nodos de Alto Riesgo<br />Valor Económico<br />Acceso a Nodos de Alto Riesgo<br />Rentabilidad Atacante<br />Ataques Conocidos<br />
  185. 185. Necesitamos aceptar riesgo<br />El número de jugadas potenciales es infinta<br />
  186. 186. Con miles de partidas simultáneas<br />
  187. 187. En un ambiente altamente dinámico<br />
  188. 188. El tablero cambia diario<br />
  189. 189. Las piezascambian diario<br />
  190. 190. Las reglascambian diario<br />
  191. 191. Jugadores cambian diario<br />
  192. 192. El fin justifica los medios<br />Al prevenir riesgo intencional<br />Nada menorque asegurartodos los vectores es suficiente<br />
  193. 193. La defensa debe ser optimizada<br />
  194. 194. Optimizar la velocidad<br />
  195. 195. Optimizar recursos<br />
  196. 196. Método de gestión por valor<br />Posibles<br />Incidentes<br />Incidentes<br />Reales<br />Incidentes<br />Aplicables<br />Incidentes<br />Recurrentes <br />Medida del valor agregado<br />Incidentes priorizados<br />
  197. 197. Definición delvalor de lainformación por tipo dedato<br />Análisis del proceso de negocio<br />Inventario del ciclo de vida del dato<br />Valor de información (IVA)<br />Cumplimiento legal y regulatorio (PIA) <br />Categorías de Datos<br />Categorías de Datos<br />Inventario de Activos, Perfiles y Conexiones<br />Generación de Políticas<br />Definición controles, estándares y procedimientos<br />Implantación y Auditoría<br />
  198. 198. Resguardando aquello que tiene mayor valor paraterceros<br />
  199. 199. Así es como estimamos amenaza<br />
  200. 200. ¿Cómo se calcula la vulnerabilidad?<br />
  201. 201. Activos y <br />Perfil de Usuarios<br />
  202. 202. Activos y <br />Perfil de Usuarios<br />
  203. 203. Accesos<br />Información<br />Usuario<br />Conexión<br />Nodos de Información<br />Nodos de Usuario<br />Transfer<br />Process<br />Store<br />Consulta<br />
  204. 204. Segmentar por Accesos<br />
  205. 205. Medir Accesibilidad<br />
  206. 206. Agrupando Riesgo Intencional<br />
  207. 207.
  208. 208.
  209. 209.
  210. 210.
  211. 211. Redundancia<br />Disponibilidad<br />Impacto al Negocio<br />Activos<br />Filtros y Autenticación<br />Confidencialidad e Integridad<br />Valor de Mercado<br />Accesos<br />
  212. 212. Enfocar controles <br /> en los riesgos principales<br />
  213. 213. Determinarlas<br /> fronteras <br />deconfianza<br />
  214. 214. ¿Controles?<br />
  215. 215. Riesgo Intencional<br />Amenaza<br />Accesibilidad<br />
  216. 216. Riesgo Intencional<br />Accesibilidad para Terceros<br />Filtrar, Aislar, Autenticar<br />Reducir Rentabilidad<br />Registrar y Monitorear<br />Anonimidad de Terceros<br />Rentabilidad para Terceros<br />Disociar y Separar<br />Valor para Terceros <br />
  217. 217. Tres Vectores para gestionar Riesgo<br />Accesibilidad<br />para terceros<br />Valor<br />para terceros<br />Anonimidad<br />de los terceros<br />
  218. 218. Default Close<br />Default Open<br />Disponibilidad<br />Confidencialidad<br />Accesibilidad<br />
  219. 219. Filtrar y Aislar<br />Controles mínimos de Accesibilidad<br />Riesgo<br />Intencional<br />Riesgo Accidental<br />Riesgo Oportunista<br />∞<br />Filtrado<br />Confidencialidad<br />Integridad<br />ImpactoInterno<br />AmenazaExterna<br />Accesibilidad<br />Redundancia<br />Disponibilidad<br />0<br />Privado Público<br />
  220. 220. Peor<br />Esfuerzo<br />Mejor<br />Esfuerzo<br />Suma de <br />Esfuerzos<br />Riesgo<br />Intencional<br />Riesgo Accidental<br />Riesgo Oportunista<br />∞<br />Filtrado<br />Confidencialidad<br />Integridad<br />Impacto Interno<br />AmenazaExterna<br />Accesibilidad<br />Redundancia<br />Disponibilidad<br />0<br />Privado Público<br />1 canal<br />1 momento<br />1<br />1<br />1 p<br />Autenticada<br />1 dispositivo<br />AmenazaExterna<br />Impacto Interno<br />
  221. 221. Estrategias para gestionar Riesgo<br />Redundancia<br />Monitoreo y<br />Reacción<br />Accesibilidad<br />para terceros<br />Filtrar y Aislar<br />Filtrado y Autenticación<br />Disociación ySeparación<br />Disociar y Separar<br />Monitorear y Registrar<br />Valor<br />para terceros<br />Disuasión<br />De los terceros<br />
  222. 222. ¿Cómo aplica todo esto en una regulación?<br />
  223. 223. Objetivo de la Seguridad en la Ley<br />“Evitar el acceso no autorizado a los datos personales resguardados por el responsable”<br />
  224. 224. Estrategia<br />Mitigar con base en el riesgo<br />Por tipos de datos<br />Por número de titulares<br />2<br />3<br />5<br />5<br />4<br />500k<br />2<br />3<br />4<br />4<br />5<br />50k<br />1<br />2<br />3<br />4<br />5<br />Cantidad de Datos<br />5k<br />1<br />2<br />2<br />3<br />4<br />500<br />1<br />1<br />1<br />2<br />3<br />Datos de bajo riesgo<br />Datos de alto riesgo<br />Riesgo del dato<br />
  225. 225. Monitoreo y<br />Reacción<br />Filtrado y Autenticación<br />Controles de Gestión de Riesgos Intencionales<br />Disociación ySeparación<br />
  226. 226. Se sugerirá cumplir un área máximapor nivel de Riesgo<br />Accesibilidad<br />para terceros<br />Filtrar y Aislar<br />Área<br />Monitorear y Registrar<br />Disociar y Separar<br />Valor<br />para terceros<br />Anonimidad<br />de los terceros<br />
  227. 227. Implantación de Controles<br />4<br />4<br />5<br />5<br />4<br />4<br />4<br />5<br />500k<br />3<br />3<br />4<br />5<br />Número de Titulares<br />50k<br />2<br />2<br />3<br />4<br />5k<br />1<br />2<br />2<br />3<br />4<br />500<br />1<br />1<br />2<br />3<br />Datos de bajo riesgo<br />Datos de alto riesgo<br />Riesgo del dato<br />
  228. 228. EficienteEficaz<br />
  229. 229. Definir estrategias de gestiónpriorizadas en riesgo intencional<br />
  230. 230. Modelo Evolutivo de Gestión de Riesgos<br />
  231. 231. Cibermemes<br />
  232. 232. Fraude deTarjeta<br />
  233. 233. 6 a 8 tipos de nodos<br />
  234. 234. Al menos 5 topologías<br />Millions?<br />
  235. 235. 190 Pares de Datos<br />PAN<br />BIN<br />MCG<br />MCG Risk<br />MCC<br />MCC Risk<br />Merchant ID<br />Country<br />EntryMode<br />EntryModeRisk<br />Time<br />Relativetoyear<br />Relativetomonth<br />Relativetoweek<br />Relativetoday<br />Amount<br />Cents<br />ProcessCode<br />Network ID<br />Acquirer ID<br />
  236. 236. 270 Estrategias de Segmentación<br />
  237. 237. 5 Secuencias (Perspectivas)<br />
  238. 238. Combinaciones<br />6 x<br />5 x<br />190 x<br />270 x<br />5 x<br />PAN<br />BIN<br />MCG<br />MCG Risk<br />MCC<br />MCC Risk<br />Merchant ID<br />Country<br />EntryMode<br />EntryModeRisk<br />Time<br />Relativetoyear<br />Relativetomonth<br />Relativetoweek<br />Relativetoday<br />Amount<br />Cents<br />ProcessCode<br />Network ID<br />Acquirer ID<br />7,695,000<br />
  239. 239. Un fraudeporcada 10,000 transacciones<br />1 Fraude<br />
  240. 240. Incorporamos secuencias temporales<br />
  241. 241. ModelosCórticosdeMemoria Temporal Jerárquica<br />
  242. 242. Y no supervisados<br />Supervisados<br />
  243. 243. Modelospredictivosmucho másprecisos<br />
  244. 244. Bases de Datos Negativas<br />
  245. 245. Confianza<br />Contexto<br />
  246. 246.
  247. 247.
  248. 248. Víctor Chapela<br />Santiago Moral<br />www.RiskVolution.com<br />
  249. 249. www.riskvolution.com<br />Víctor Chapela <br />victor@sm4rt.com<br />

×