El cisne negro - Riesgo tecnológico en el mapa global de riesgo de las organizaciones
Andrés de Benito – Senior Manager, PwC
Agenda
01 Situación Actual
02 Enfoque ICT Risk
03 Cisnes Negros y los Ciberriesgos
PwC’s Business Security Solutions
Situación Actual
01
31.000:2018
VS
Riesgo TecnológicoEnterprise Risk Management (ERM)
• CIO
• CISO
• DPO
• CDO
• COO
• Legal Counsel
• CFO
• …
Riesgo TecnológicoOwnership?
PwC’s Business Security Solutions
Enfoque ICT Risk
02
ICT RiskNuevo Enfoque
Los findings de la evaluación van a tener consecuencias en elproceso supervisor
Las autoridades van a realizar una evaluación completa ydetallada
Desarrollado por la EBA para la supervisión de entidades financiera
El riesgo ICT1 pasa a ser protagonista, al nivel del riesgo decapital y de liquidez
La evaluación es de carácter técnico y muy específica
1 Guidelines on ICT Risk Assessment under the SREP, de aplicación 1 enero 2018
ICT RiskEnfoque PwC ICT Risk
IT RiskIT GovernanceFramework de
Gestión del Riesgo* ICT & Reporting
Organización
Cuerpo Normativo
Gestión de incidentes
Estrategia
Arquitectura
Infraestructura Financiación y costes
Gestión del cambio
* Incluyendo Cisnes Negros y Modelado de Amenazas
PwC’s Business Security Solutions
Cisnes Negros y los Ciberriesgos
03
PwC’s Business Security Solutions
11
El suceso:
Es altamente improbable
Tiene un gran impacto
Se racionaliza en retrospectiva
Cisnes Negros¿Qué son?
Nassim Nicholas Taleb
12
Dificultan la percepción y la toma de decisiones:
Sesgo de confirmación
Falacia de la narración
Muestra sesgada
Cisnes NegrosSesgos cognitivos
Daniel Kahneman Amos Tversky
Cyberrisk
? ? ?
CiberriesgosDificultad en su evaluación?
• Nuevos
• Complejos
• Cambiantes
• Interrelacionados
14
Preventivos
Detectivos
Anticipar
Contener
Responder
Correctivos
Inteligencia
Gestión de la Seguridad
Ciclo de Vida TradicionalSeguridad
Ciberseguridad
Amenaza¿Qué?
¿Quién?
¿Cómo?
¿Cuándo?
¿Dónde?
CiberriesgosEvolución del enfoque
15
CiberriesgosModelado de Amenazas
• Interrupción de un servicio core como distribución eléctrica, tesorería, etc.Denegación
• Influir y actuar en ámbitos estratégicos, replicar un negocio, etc.Suplantación
• Fuga masiva de información crítica, patentes, propiedad intelectual, etc.Exfiltración
• Robo continuado, interno o externo, etc.Fraude
• Modificación de información corporativa, reputacional, de procesos, etcManipulación
• Publicación de información sensible en medios públicos, grupos cerrados, etc.Revelación
• Secuestro de información, de sucursales o acceso a fábricas o edificiosExtorsión
16
CiberriesgosConoce a tu enemigo
Amenaza
Uso de la tecnología para
provocar un impacto significativo
en una entidad u organización
Modelado
Amenaza Teatro de Operaciones Impacto
Incidente
Teatro de Operaciones
Área afectada dependiente de la
tecnología que por su naturaleza es
considerada crítica frente a una
amenaza
Impacto
Capacidad de medir el perjuicio
global ocasionado tras la
materialización de un incidente de
seguridad
Estrategia de Respuesta
VulnerabilidadAdversario
Vector Materialización
RemediaciónDisminución
Adversario
Potencial organización, grupo,
usuario, con interés en provocar
un impacto negativo
Vulnerabilidad
Debilidad de un sistema o
combinación de debilidades que
puede ocasionar un incidente de
seguridad.
Estrategia de Respuesta
Capacidad de actuación sobre
una vulnerabilidad y su
explotación en un entorno para
minimizar el impacto.
Priorización de
amenazas por su
naturaleza, sector,
entorno geopolítico, etc.
Explotación
Análisis de escenarios de
potenciales incidentes
por sus autores,
motivación y tipología.
Capacidad de identificar
y erradicar
vulnerabilidades
Capacidad de aislar,
contener, analizar y
responder a un incidente
provocado por un ataque
Acciones dirigidas a
prevenir, detectar y
resolver vectores de
ataques
Acciones orientadas a
actuar y minimizar el
impacto de un incidente
Ejecución de acciones
dirigidas a materializar
una vulnerabilidad
CiberriesgosEntiende el tablero de juego
18
CiberriesgosNivel de capacidades vs exposición
PwC’s Business Security Solutions
Muchas gracias!
© 2018 PwC. All rights reserved. Not for further distribution without the permission of PwC. “PwC” refers to the network of member firms of
PricewaterhouseCoopers International Limited (PwCIL), or, as the context requires, individual member firms of the PwC network. Each
member firm is a separate legal entity and does not act as agent of PwCIL or any other member firm. PwCIL does not provide any services
to clients. PwCIL is not responsible or liable for the acts or omissions of any of its member firms nor can it control the exercise of their
professional judgment or bind them in any way. No member firm is responsible or liable for the acts or omissions of any other member firm
nor can it control the exercise of another member firm’s professional judgment or bind another member firm or PwCIL in any way.
Andrés de Benito
Senior Manager de Ciberseguridad, PwC España
+34 686 508 [email protected]
http://www.pwc.es/es/digital/seguridad.html
Recommended