El cisne negro - Riesgo tecnológico en el mapa global de riesgo de las organizaciones

Andrés de Benito – Senior Manager, PwC

Agenda

01 Situación Actual

02 Enfoque ICT Risk

03 Cisnes Negros y los Ciberriesgos

PwC’s Business Security Solutions

Situación Actual

01

31.000:2018

VS

Riesgo TecnológicoEnterprise Risk Management (ERM)

• CIO

• CISO

• DPO

• CDO

• COO

• Legal Counsel

• CFO

• …

Riesgo TecnológicoOwnership?

PwC’s Business Security Solutions

Enfoque ICT Risk

02

ICT RiskNuevo Enfoque

Los findings de la evaluación van a tener consecuencias en elproceso supervisor

Las autoridades van a realizar una evaluación completa ydetallada

Desarrollado por la EBA para la supervisión de entidades financiera

El riesgo ICT1 pasa a ser protagonista, al nivel del riesgo decapital y de liquidez

La evaluación es de carácter técnico y muy específica

1 Guidelines on ICT Risk Assessment under the SREP, de aplicación 1 enero 2018

ICT RiskEnfoque PwC ICT Risk

IT RiskIT GovernanceFramework de

Gestión del Riesgo* ICT & Reporting

Organización

Cuerpo Normativo

Gestión de incidentes

Estrategia

Arquitectura

Infraestructura Financiación y costes

Gestión del cambio

* Incluyendo Cisnes Negros y Modelado de Amenazas

PwC’s Business Security Solutions

Cisnes Negros y los Ciberriesgos

03

PwC’s Business Security Solutions

11

El suceso:

Es altamente improbable

Tiene un gran impacto

Se racionaliza en retrospectiva

Cisnes Negros¿Qué son?

Nassim Nicholas Taleb

12

Dificultan la percepción y la toma de decisiones:

Sesgo de confirmación

Falacia de la narración

Muestra sesgada

Cisnes NegrosSesgos cognitivos

Daniel Kahneman Amos Tversky

Cyberrisk

? ? ?

CiberriesgosDificultad en su evaluación?

• Nuevos

• Complejos

• Cambiantes

• Interrelacionados

14

Preventivos

Detectivos

Anticipar

Contener

Responder

Correctivos

Inteligencia

Gestión de la Seguridad

Ciclo de Vida TradicionalSeguridad

Ciberseguridad

Amenaza¿Qué?

¿Quién?

¿Cómo?

¿Cuándo?

¿Dónde?

CiberriesgosEvolución del enfoque

15

CiberriesgosModelado de Amenazas

• Interrupción de un servicio core como distribución eléctrica, tesorería, etc.Denegación

• Influir y actuar en ámbitos estratégicos, replicar un negocio, etc.Suplantación

• Fuga masiva de información crítica, patentes, propiedad intelectual, etc.Exfiltración

• Robo continuado, interno o externo, etc.Fraude

• Modificación de información corporativa, reputacional, de procesos, etcManipulación

• Publicación de información sensible en medios públicos, grupos cerrados, etc.Revelación

• Secuestro de información, de sucursales o acceso a fábricas o edificiosExtorsión

16

CiberriesgosConoce a tu enemigo

Amenaza

Uso de la tecnología para

provocar un impacto significativo

en una entidad u organización

Modelado

Amenaza Teatro de Operaciones Impacto

Incidente

Teatro de Operaciones

Área afectada dependiente de la

tecnología que por su naturaleza es

considerada crítica frente a una

amenaza

Impacto

Capacidad de medir el perjuicio

global ocasionado tras la

materialización de un incidente de

seguridad

Estrategia de Respuesta

VulnerabilidadAdversario

Vector Materialización

RemediaciónDisminución

Adversario

Potencial organización, grupo,

usuario, con interés en provocar

un impacto negativo

Vulnerabilidad

Debilidad de un sistema o

combinación de debilidades que

puede ocasionar un incidente de

seguridad.

Estrategia de Respuesta

Capacidad de actuación sobre

una vulnerabilidad y su

explotación en un entorno para

minimizar el impacto.

Priorización de

amenazas por su

naturaleza, sector,

entorno geopolítico, etc.

Explotación

Análisis de escenarios de

potenciales incidentes

por sus autores,

motivación y tipología.

Capacidad de identificar

y erradicar

vulnerabilidades

Capacidad de aislar,

contener, analizar y

responder a un incidente

provocado por un ataque

Acciones dirigidas a

prevenir, detectar y

resolver vectores de

ataques

Acciones orientadas a

actuar y minimizar el

impacto de un incidente

Ejecución de acciones

dirigidas a materializar

una vulnerabilidad

CiberriesgosEntiende el tablero de juego

18

CiberriesgosNivel de capacidades vs exposición

PwC’s Business Security Solutions

Muchas gracias!

© 2018 PwC. All rights reserved. Not for further distribution without the permission of PwC. “PwC” refers to the network of member firms of

PricewaterhouseCoopers International Limited (PwCIL), or, as the context requires, individual member firms of the PwC network. Each

member firm is a separate legal entity and does not act as agent of PwCIL or any other member firm. PwCIL does not provide any services

to clients. PwCIL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their

professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of any other member firm

nor can it control the exercise of another member firm’s professional judgment or bind another member firm or PwCIL in any way.

Andrés de Benito

Senior Manager de Ciberseguridad, PwC España

+34 686 508 567andres.debenito.orbananos@es.pwc.com

http://www.pwc.es/es/digital/seguridad.html