Upload
others
View
4
Download
0
Embed Size (px)
Citation preview
27/07/2018
1
Mejores Prácticas sobre Normativa de Ciberseguridad
Definición de Ciberseguridad 01
AGENDA
Amenazas Cibernéticas 02
Ataques Cibernéticos al Sistema Financiero Internacional 03
Normas Internacionales en Materia de Ciberseguridad 04
Inversiones en Ciberseguridad 05
Tendencias de los Ciberdelitos en el Sistema Financiero 06
Estrategia Nacional de Seguridad Cibernética 07
Pasos a Seguir 08
27/07/2018
2
Ciberseguridad
Integridad Disponibilidad
Confidencialidad Autenticidad
Usuarios Activos
Ciberseguridad
“Garantiza que se alcancen y mantengan las propiedades de seguridad de los activos de la organización y los usuarios contra los riesgos de seguridad correspondientes en el ciberentorno”.
01
Definición de Ciberseguridad 01
AGENDA
Amenazas Cibernéticas 02
Ataques Cibernéticos al Sistema Financiero Internacional 03
Normas Internacionales en Materia de Ciberseguridad 04
Inversiones en Ciberseguridad 05
Tendencias de los Ciberdelitos en el Sistema Financiero 06
Estrategia Nacional de Seguridad Cibernética 07
Pasos a Seguir 08
27/07/2018
3
Amenazas Cibernéticas
Amenazas Web
Ataques de Red
SPAM
Intrusiones a Redes
02
En el año 2017 se registraron 398 millones de ataques.
Aproximadamente se crean 45,833 virus por hora.
Amenazas Cibernéticas
0.00%
10.00%
20.00%
30.00%
40.00%
50.00%
60.00%
Ataques de Phishing
2015 2016 2017
En el año 2017, las tecnologías anti-phishing de Kaspersky detectaron 246,231,645 intentos de visitas a diferentes páginas de phishing, de las cuáles el 53.8% correspondían a páginas financieras.
54%
12%
10%
9% 8%
4% 1% 2%
Versiones de virus más utilizadas
Trickster
Zeus
Gozi
Cridex
Citadel
Panda
Spyeye
Other
02
27/07/2018
4
Amenazas Cibernéticas
24.30%
15.30%
12.40%
10.40%
9.80%
6.40%
5.80%
5.60%
4.80%
3.80%
1.40%
% de robo de información por tipo de industria
Administrativa
Educación
Minoristas
Profesional
Información
Manufactura
Otros servicios
Hospedaje
Pública
Salud
Financiera
Fuente: KPMG analysis with information from 2017 Data Breach Investigations Report, Verizon
02
Relación entre tamaño de la entidad financiera y pérdidas por ataques cibernéticos
Fuente: Cyber Risk for the Financial Sector. IMF Working Paper. June 2018
Total de activos en US$ Millones
Pérdidas directas en US$ Millones
02 Amenazas Cibernéticas
27/07/2018
5
Amenazas Cibernéticas
Información disponible en la Deep Web y Dark Net
02
Precios de los Ciberdelitos
*Precios en Euros
Amenazas Cibernéticas 02
27/07/2018
6
Mediante una mutación del virus Killdisk
9,500 equipos fueron
vulnerados
Detección de transacciones sospechosas en el sistema
Swift
Acciones legales en Hong Kong
luego de identificar el
robo de US$10M
Servicios en línea
disponibles
Se acepta públicamente
el ataque
Se reportan las pérdidas a la SBIF de
Chile
Ataque cibernético en paralelo como
medio distractor
Descripción del ataque cibernético al Banco de Chile
Ataques al sistema financiero Internacional 03
Definición de Ciberseguridad 01
AGENDA
Amenazas Cibernéticas 02
Ataques Cibernéticos al Sistema Financiero Internacional 03
Normas Internacionales en Materia de Ciberseguridad 04
Inversiones en Ciberseguridad 05
Tendencias de los Ciberdelitos en el Sistema Financiero 06
Estrategia Nacional de Seguridad Cibernética 07
Pasos a Seguir 08
27/07/2018
7
Normas internacionales en materia de ciberseguridad
ISO 27000 ISO/IEC 27032 Directrices para la Ciberseguridad
01
NIST Marco para mejorar la infraestructura crítica de Ciberseguridad
04
CPMI-IOSCO Guía de ciber resiliencia para infraestructuras del sector financiero
02
ISACA CSX Fundamentos de Ciberseguridad
05
G7 Elementos fundamentales de Ciberseguridad para el sector financiero
03
04
FSB Normas de seguridad cibernética y prácticas de supervisión
06
Normas internacionales en materia de ciberseguridad
04
El marco de trabajo se conforma de 8 elementos siendo los mismos: • Marco y estrategia de ciberseguridad. • Gobernanza. • Evaluación de los riesgos y controles. • Monitoreo. • Respuesta. • Recuperación. • Compartir información. • Aprendizaje continuo.
G7 Elementos fundamentales de Ciberseguridad para el Sector Financiero
03
27/07/2018
8
Normas internacionales en materia de ciberseguridad
04
Gestión del Riesgo Cibernético
• Governanza • Gestión del
Riesgo • Recursos • Entrenamiento y
cultura
• Inteligencia de amenazas
• Análisis y monitoreo
• Intercambio de información
• Controles preventivos
• Controles detectivos
• Controles correctivos
Controles de Ciberseguridad
Colaboración en inteligencia de
amenazas
Normas internacionales en materia de ciberseguridad
04
• Conexiones • Gestión de
relaciones
• Planificación resiliencia de los incidentes
• Detección, Respuesta y Mitigación
• Escalamiento y reportes
Administración de Dependencias
Externas
Resiliencia y Administración de Ciber incidentes
27/07/2018
9
Innovador
Avanzado
Intermedio
Evolucionando
Normas internacionales en materia de ciberseguridad
04
Base
Nivel de madurez
Equipo de Respuesta a Incidentes
de Seguridad de la Información
CSIRT Servicios de Seguridad
QUE PROVEE
Organización o equipo
ES UNA
Prevenir Detectar Responder
PARA
Incidentes Cibernéticos
A LOS
Sectores de comunidad
definida
01
04
02
05
03
Responden a una emergencia de incendio
06
NACIONALES
GOBIERNO | PRIVADAS
MILITAR | POLICÍA
ACADEMIA
OTROS SECTORES
Responden y gestionan un incidente informático
Investigan como y porque ocurrió el incidente con el fin de evitar que se repita
Realizan actividades de educación, análisis de riesgos o promociones de regulaciones
07 Bomberos CSIRT
04 Normas internacionales en materia
de ciberseguridad
27/07/2018
10
Base de conocimiento
Reportes
Investigación y desarrollo
Inteligencia de amenazas
Recolección de logs
Correlación
Sistema de gestión de eventos e información
de seguridad
SIEM
Gestión de tickets
SOC
SOC
“Provee capacidades de monitoreo centralizado para identificar, detectar y responder a cualquier incidente de seguridad que pueda afectar la infraestructura, servicios, personas y clientes de una organización”.
04 Normas internacionales en materia
de ciberseguridad
Definición de Ciberseguridad 01
AGENDA
Amenazas Cibernéticas 02
Ataques Cibernéticos al Sistema Financiero Internacional 03
Normas Internacionales en Materia de Ciberseguridad 04
Inversiones en Ciberseguridad 05
Tendencias de los Ciberdelitos en el Sistema Financiero 06
Estrategia Nacional de Seguridad Cibernética 07
Pasos a Seguir 08
27/07/2018
11
Definición de Ciberseguridad 01
AGENDA
Amenazas Cibernéticas 02
Ataques Cibernéticos al Sistema Financiero Internacional 03
Normas Internacionales en Materia de Ciberseguridad 04
Inversiones en Ciberseguridad 05
Tendencias de los Ciberdelitos en el Sistema Financiero 06
Estrategia Nacional de Seguridad Cibernética 07
Pasos a Seguir 08
Tendencia de los Ciberdelitos en el Sistema Financiero
06
27/07/2018
12
Definición de Ciberseguridad 01
AGENDA
Amenazas Cibernéticas 02
Ataques Cibernéticos al Sistema Financiero Internacional 03
Normas Internacionales en Materia de Ciberseguridad 04
Inversiones en Ciberseguridad 05
Tendencias de los Ciberdelitos en el Sistema Financiero 06
Estrategia Nacional de Seguridad Cibernética 07
Pasos a Seguir 08
Estrategia Nacional de Seguridad Cibernética
07
27/07/2018
13
Iniciativas de Ley
Define la ciberdelincuencia Define ciberdelitos Crea tipos penales contra la
confidencialidad, integridad y la disponibilidad de datos y sistemas informáticos
Crea tipos penales para delitos informáticos • Falsificación informática • Apropiación de identidad ajena • Abuso de dispositivos • Fraude informático
Ciberdelitos contra las personas Protección de habeas data
Principal contenido
Reglamentos vigentes
27/07/2018
14
Derecho comparado
Argentina
Brasil
Canadá
Chile
Colombia
Costa Rica
El Salvador
Guatemala
Honduras
México
Nicaragua
Panamá
Fuente: Global Cybersecurity Index (GCI) 2017. ITU.
Ley penal cibercrimen Ley de ciberseguridad
Definición de Ciberseguridad 01
AGENDA
Amenazas Cibernéticas 02
Ataques Cibernéticos al Sistema Financiero Internacional 03
Normas Internacionales en Materia de Ciberseguridad 04
Inversiones en Ciberseguridad 05
Tendencias de los Ciberdelitos en el Sistema Financiero 06
Estrategia Nacional de Seguridad Cibernética 07
Pasos a Seguir 08
27/07/2018
15
Muchas gracias