Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
Gestión de los riesgos cibernéticos en evolución por COVID -19
María Conchita JaimesPartner Cybersecurity services
Juan Mario PosadaManager Cybersecurity services
Diana Cogollo SilvaS. Manager Business Continuity
Perspectivas de ciberseguridad
Regulación y guías de
ciberseguridad
Resiliencia del negocio
Expertos de EY Colombia, presentan las áreas sobre las cuales debemos trabajar
Contexto de la ciberseguridad
COVID-19
Panorama Global de RiesgosInforme de riesgos 2020 – Foro Económico Mundial
Consecuencias de la fragmentación digital
Más del 50% de la población mundial ahora en línea Aproximadamente un millón de personas
se conectan diariamente en línea por primera vez Dos tercios de la población mundial poseen un
dispositivo móvil.
Mientras que la tecnología digital brinda grandes beneficios económicos y sociales para gran parte de la población global, temas como la desigualdad en el acceso a internet, la falta de un marco de gobierno tecnológico global y la ciber inseguridad representan un riesgo significativo.
La incertidumbre geopolítica y geoeconómica (incluyendo la posibilidad de un ciberespacio fragmentado) también amenazan con prevenir el pleno desarrollo potencial de las tecnologías de próxima generación. Los encuestados han calificado el “colapso de la infraestructura de información” como el sexto riesgo más impactante en los años hasta 2030.
No te quedes estancado en la disrupción de COVID-19
¿Qué hacer ahora? una perspectiva de ciberseguridad
Reconociendo el reto de responder ante COVID-19 con recursos limitados, será necesario tomar decisiones estratégicas. No pierdas de vista la ciberseguridad
Mensajes claves
La ciberseguridad puede que no sea la necesidad con mayor prioridad ahora mismo, pero si las empresas toman medidas eficaces oportunas, podrían prevenir exposiciones a ataques, ahorrando tiempo, dinero y protegiendo la reputación.
COVID-19 cambió la forma en que trabajamos. El teletrabajo ha aumentado el perfil de riesgo cibernético.
Los actores de amenazas cibernéticas están trabajando horas extras para sacar provecho de la pandemia.
Los empleados en teletrabajo pueden cometer errores o ser menos rigurosos en algunas actividades.
Las terceras partes estarán bajo presión; habrá escasez, surgirán nuevas vulnerabilidades.
No todos los proyectos son críticos en este momento; algunos deben ser pausados para que los recursos puedan ser reasignados en otros lugares y su uso sea más eficiente.
Los empleados se
pueden sentir
estresados y con
distracciones por las
preocupaciones de la
pandemia y sus
consecuencias. Esto
los podría llevar a
bajar la guardia.
Las naciones están
estableciendo la
persistencia en las
redes; los criminales
están aumentando los
esfuerzos para robar
credenciales y dinero;
los ataques de
ransomware se están
disparando
Un aumento de
trabajadores remotos
dará lugar a más errores
y potenciales amenazas
cibernéticas internas.
Surgirán nuevos riesgos a
medida que las directrices
obliguen a las empresas a
adoptar un esquema de
trabajo desde el hogar
para actividades que
nunca se pretendieron
realizar a distancia o de
forma aislada.
Equipos de soporte
se ven desbordados
por las llamadas, lo
que provoca largos
tiempos de espera,
clientes descontentos
y un mayor potencial
de fraude o
incumplimiento.
Algunos miembros del
equipo de seguridad de
la información y otro
personal clave pueden
enfermar; podría haber
escasez de personal
clave. Exigencia de
nuevas competencias
no disponibles
Las cadenas de
suministro se
interrumpen y se
produce una escasez.
Los vendedores pueden
incumplir o crear nuevas
vulnerabilidades
cibernéticas para su
negocio.
Retos
Mientras que la tecnología habilita nuestra fuerza de trabajo remota y ayuda a proteger nuestros sistemas,
las personas siguen siendo nuestro recurso más valioso
Habilitando proactivamente la ciberseguridad para la transformación empresarial
Las resilientesCompañías que no pueden parar durante la crisis, por ejemplo: salud, servicios públicos, servicios de emergencia, consumo masivo, agricultura, compañías esenciales de retail, seguridad.
Principales preocupaciones:
• Generar suficiente oferta por el crecimiento exponencial de consumo
• Fortalecer y apalancar sus capacidades con otras empresas e industrias
• Agotamiento y seguridad del personal
Las que se reconfiguraronOrganizaciones que ajustaron sus modelos operativos y de prestación de servicios (con trabajo remoto), por ejemplo: servicios financieros, servicios de consultoría, telecomunicaciones.
Principales preocupaciones:
• Transición de la fuerza laboral a trabajo remoto
• Estabilizar la prestación del servicio y el mantenimiento
• Aumentar la capacidad tecnológica y asegurar mayor conectividad
Las que se reinventaronOrganizaciones que pueden reasignar algunos recursos y activos para otras actividades o que encuentran nuevos usos, como: manufactura, calzado, vestuario, algunas compañías de retail.
Principales preocupaciones:
• Reconfigurar sus procesos rápidamente
• Reinventar y estabilizar la operación
Las que están en riesgoOrganizaciones con una disminución exponencial de consumo, por ejemplo: aerolíneas, turismo, movilidad, entretenimiento y deporte.
Principales preocupaciones:
• Generar confianza a los empleados y a los consumidores
• El bienestar de los empleados que necesitan ser retirados o despedidos
• Rediseñar sus productos y servicios o diseñar un nuevo portafolio
Las organizaciones de hoy deben innovar para sobrevivir, pero al hacerlo enfrentan amenazas cada vez mayores de ciberataques.
A la luz de las consecuencias potencialmente desastrosas, las organizaciones necesitan una nueva perspectiva que considere los riesgos desde el inicio de cualquier producto o servicio, en lugar de una idea de último momento.
A raíz de la pandemia, han aparecido cuatro tipos de compañía
El gasto en ciberseguridad está impulsado por prioridades defensivas en lugar de innovación y transformación. El 77% del gasto en nuevas iniciativa se centra en riesgo o cumplimiento. Uno de cada cinco encuestados gasta el 5% o menos de su presupuesto de ciberseguridad para apoyar nuevas iniciativas de negocio.Los equipos de seguridad cibernética de EY creen que es hora de una nueva versión de la seguridad cibernética: un enfoque proactivo, pragmático y estratégico que considere el riesgo y la seguridad desde el inicio de cualquier nueva iniciativa y fomente la confianza en cada etapa. Esto es seguridad por diseño
Operar con normalidad la función de ciberseguridad transformada y optimizada para permitir una nueva realidad empresarial
• La ciberseguridad como asesor de negocios y habilitador de la transformación.
• Realineación de la estrategia y hoja de ruta de ciberseguridad.
• Realineación del gobierno, la gestión y estructura operacional de la seguridad.
• Revisión de la metodología de evaluación de riesgos para reflejar las nuevas necesidades operacionales.
• Nuevos indicadores de desempeño (KPI) e indicadores claves de riesgos (KRI) para que las empresas visualicen el desempeño cibernético en este nuevo entorno.
Comenzar a planear para el futuro y continúe habilitando el teletrabajo, el control de costos, el trabajo con terceros
• Evaluación de riesgos actualizada.
• Reevaluación y reajuste de la hoja de ruta de la estrategia de ciberseguridad.
• Actualización de las capacidades de colaboración.
• Análisis de traslado de cargas de trabajo a la nube para aprovechar los beneficios de rendimiento.
• Actualización de parches y estrategia de actualización.
• Estrategias y acuerdos de contratación/compra revisados.
Asignar recursos cibernéticos para apoyar a la empresa en la habilitación del teletrabajo
• Desarrollo de políticas y procedimientos de teletrabajo
• Despliegue de una ruta de concienciación sobre la seguridad virtual para los empleados que incursionan en esta modalidad.
• Pre configuración de dispositivos cifrados para que los empleados los usen mientras trabajan desde casa.
• Tecnología actualizada de protección de equipos de punto final.
• Revisión de las capacidades de monitoreo.
• Gestión de vulnerabilidades cada vez más rigurosas.
• Plataformas de colaboración seguras.
• Aprovechamiento del apoyo de terceros para aumentar capacidades de personal y de recursos para las nuevas áreas de riesgo cibernético.
COVID 19 – El hoy, el después y el más allá de la ciberseguridad
Now Next Beyond
Regulaciones relacionadas con la ciberseguridad
Algunas regulaciones relacionadas con la ciberseguridad
Regulación de
Colombia
asociada a la
Ciberseguridad
Guías y
Lineamientos
Guía -
Seguridad de la
información
MiPymes21 guías
anexas de
seguridad de
MINTIC
Políticas
Públicas
Conpes 3854
de 2016
Conpes 1701
de 2011
Manual de
política digital
Leyes y
Decretos
Ley 1581 de
2012 –
Protección
de datos
personales
Ley 1753 de
2015 – Plan
Nacional de
Desarrollo
2014-2018
Ley 1955 de
2019 – Plan
Nacional de
Desarrollo
2018-2022
Decreto 1078
de 2015 –
Política de
Gobierno
Digital
Decreto 620 de
2020 – Uso y
operación de
servicios
ciudadanos
digitales
Ley 1273 de
2009 –
Delitos
Informáticos
Tratamiento de
datos personales
para fines de
Comercio
Electrónico
Guía para la
implementación del
principio de
responsabilidad
demostrada
(“Accountability”)
Ley 1266 de
2008 -
Habeas
data
financieroDecreto
1377 de
2013 Decreto
1074 de
2015
Directrices OCDE
para la Seguridad
de Sistemas y Redes
de Información:
Hacia Una Cultura De
Seguridad
Guidelines on the
Protection of Privacy
and Transborder
Flows of Personal
Data
Algunas regulaciones relacionadas con la ciberseguridad
1
3
4
LEY 1712 DE 2014 Ley de transparencia y del derecho de acceso a la información pública nacional
LEY 1266 DE 2008Ley de Habeas Data y regulación del manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países
LEY 1581 DE 2012Ley de Protección de Datos Personales
Entidad Pública
Entidad Privada
¿Aplica?A continuación, se presentan las regulaciones o políticas nacionales y suámbito de aplicación :
DECRETO 620 DE 2020Establece los lineamientos generales en el uso y operación de los servicios ciudadanos digitales, bajo medidas de protección de la información
5
2Conpes 3854 de 2016Política Nacional de Seguridad Digital
*Solo aplicaría si es unproveedor de algunaEntidad Pública
Más allá de la resiliencia
Una pandemia no es un evento de una sola vez, y podrían venir periodos de enfermedad en 2 o 3 olas en cualquier
momento en los próximos 3 a 12 meses. Es probable que la duración de la pandemia se
sitúe entre 12 y 18 meses.
Canadian Centre for Occupational Health and Safety
Una pandemia puede ocasionar la ausencia de la fuerza de trabajo crítica, no solo la de su empresa, sino también la de toda su cadena de valor.
“
Los planes de continuidad tradicionales no son suficientes para manejar disrupciones relacionadas con una pandemia
DimensiónInterrupciones de negocio
Interrupciones relacionadas a pandemias
Escala Es localizada: impacta de manera específica a una empresa, geografía, instalación, tercero, fuerza laboral
Es sistémica: impacta a todas las partes incluyendo mano de obra, clientes, proveedores y competidores
Velocidad Por lo general, están contenidos y son aislados rápidamente una vez que se determina la causa raíz de la falla
Se propaga rápidamente como contagio del mercado a nivel de una geografía o a nivel global con graves impactos en cascada
Duración Generalmente son de corta duración, por ejemplo, una semana
Extendida y de más larga duración, por ejemplo, durante varios meses
Escasez de mano de obra Puede resultar en escasez temporal de mano de obra o la necesidad de relocalización de personal
Puede resultar rápidamente en una escasez de mano de obra significativa, por ejemplo, más de la mitad de la fuerza laboral
Coordinación externa Puede requerir cierta coordinación con el público, el gobierno, los reguladores, funcionarios de cumplimiento y salud
Requiere un alto grado de coordinación con el público, el gobierno, los reguladores, funcionarios de cumplimiento y salud, incluso en más de una jurisdicción
Disponibilidad de infraestructura
Requiere confianza en la disponibilidad de infraestructura pública (por ejemplo, energía, transporte público, telecomunicaciones, internet) para complementar las estrategias misionales del negocio
Puede limitar o restringir la disponibilidad de infraestructura pública a medida que aumenta la escala y gravedad del evento, especialmente en la medida que otras empresas también se ven afectadas por el mismo problema
Dimensión Interrupciones relacionadas a pandemias Acciones
Escala Es sistémica: impacta a todas las partes incluyendo mano de obra, clientes, proveedores y competidores
• Nuevas alianzas globales • Alianzas con el gobierno• Alianzas con otros sectores de la economía• Nuevos clientes, productos o servicios
Velocidad Se propaga rápidamente como contagio del mercado a nivel de una geografía o a nivel global con graves impactos en cascada
• Implementar una gestión de riesgos holística, incluyendo los riesgos de toda su cadena de suministro y partes interesadas y contribuya a gestionar los impactos al interior de su organización.
• Las probabilidades cambian y el apetito de riesgo se modifica.
Duración Extendida y de más larga duración, por ejemplo, durante varios meses
• Modificar la gestión de continuidad del negocio incluyendo planes a largo plazo
Escasez de mano de obra
Puede resultar rápidamente en una escasez de mano de obra significativa, por ejemplo, más de la mitad de la fuerza laboral
• Estrategias de reclutamiento en continuidad• Alianzas con terceros que provean mano de obra• Automatización de tareas
Coordinación externa
Requiere un alto grado de coordinación con el público, el gobierno, los reguladores, funcionarios de cumplimiento y salud, incluso en más de una jurisdicción
• Iniciar enlaces gremiales, gubernamentales en su área de influencia que contribuya a generar planes integrales y coordinados con las principales entidades, sus clientes, sus competidores, sus proveedores
Disponibilidad de infraestructura
Puede limitar o restringir la disponibilidad de infraestructura pública a medida que aumenta la escala y gravedad del evento, especialmente en la medida que otras empresas también se ven afectadas por el mismo problema
• Planes que consideren escenarios más extremos, por ejemplo ausencia de servicios públicos, transporte público.
• Continuar con los esfuerzos de digitalización
La nueva continuidad implica pensar fuera de la caja
Las empresas deben considerar pandemias en la gestión de resiliencia para dar una respuesta integral y brindar continuidad a productos y servicios críticos, incluida la ciberseguridad.
¿Cómo avanzarpara lograr
retornos rápidos y efectivos?
Las estadísticas revelan que las organizaciones no están preparadas para responder a un evento de pandemia, probablemente debido a la naturaleza poco frecuente de su ocurrencia.
Sin embargo, los actores de amenazas cibernéticas suelen ser los más rápidos en reaccionar durante tiempos inciertos y la pandemia de COVID-19 no es diferente.
¿Cómo avanzar para lograrretornos rápidos y efectivos?
La ausencia de miembros clave del equipo de Ciberseguridad de la organización, debido a enfermedades propias o de sus familiares, puede derivar en la necesidad de contratar terceros con profesionales capacitados y experimentados para ayudar en la entrega de proyectos o servicios, brindar orientación profesional para continuar avanzando en su programa de Ciberseguridad o complementar sus funciones a través de servicios administrados de Ciberseguridad. • Servicios de monitoreo y detección de amenazas a través del CyberSOC • Servicios de Ciber Inteligencia contextual • Servicios de respuesta a incidentes con apoyo forense.
Una evaluación rápida de los impactos, riesgos y la resiliencia organizacional ante el COVID-19. La evaluación se centra en los aspectos operativos, tecnológicos, de Ciberseguridad. Financieros, Laborales y Fiscales para dar recomendaciones priorizadas y un plan de estabilización inmediato para abordar los riesgos y los impactos al negocio
ESQUEMAS COLABORATIVOSA medida que las
organizaciones recurren a modelos de trabajo remoto, se enfrentan al desafío de capacitar rápidamente a los gerentes y empleados sobre roles y responsabilidades relacionadas con la protección de la tecnología y los datos. EY puede crear e implementar rápidamente un programa de capacitación, junto con las políticas necesarias para ayudar a su organización a proteger las joyas de la corona en estos momentos de crisis
EY entiende como sus procesos de negocio y su fuerza laboral se verán afectadas como resultado del COVID-19. Con nuestra presencia global y experiencia en una amplia gama de servicios de gestión de crisis, Podemos implementar Centros de Comando y Control de Negocios para apoyar y complementar su equipo. EY también puede proporcionar expertos para cubrir escasez de mano de obra en áreas estratégicas de su negocio
Fortalecimiento de las funciones de Ciberseguridad
Evaluación del Impacto y Plan COVID-19
Soporte de Comando y Control de Operaciones de Crisis
Sensibilización y Entrenamiento de Ciberseguridad y privacidad
PARA LOGRAR RETORNOS RÁPIDOS Y ÁLTAMENTE
EFECTIVOS
EY | Assurance | Tax | Transactions | Advisory
About EY
EY is a global leader in assurance, tax, transaction and advisory services. The insights and quality services we deliver help build trust and confidence in the capital markets and in economies the world over. We develop outstanding leaders who team to deliver on our promises to all of our stakeholders. In so doing, we play a critical role in building a better working world for our people, for our clients and for our communities.
EY refers to the global organization, and may refer to one or more, of the member firms of Ernst & Young Global Limited, each of which is a separate legal entity. Ernst & Young Global Limited, a UK company limited by guarantee, does not provide services to clients. Information about how EY collects and uses personal data and a description of the rights individuals have under data protection legislation are available via ey.com/privacy. For more information about our organization, please visit ey.com.
© 2020 EYGM Limited. All Rights Reserved.
EYG no. 001466-20Gbl.
ED None
This material has been prepared for general informational purposes only and is not intended to be relied upon as accounting, tax or other professional advice. Please refer to your advisors for specific advice.