¿El mayor riesgo es aquel que no puede prever? Evaluación continua de Ciberseguridad EY Estado actual: rápido aumento de las amenazas cibernéticas El mundo digital promueve la expansión de la innovación y genera nuevas oportunidades de negocio, por lo que gobiernos y empresas han dirigido su atención hacia sus beneficios. De esta manera, también ofrece un enorme potencial mediante la creación de nuevos mercados y productos, a través de la comprensión de los consumidores y de los ciudadanos, así como de encontrar diversas formas de conectarse con las personas. Sin embargo, debido a los cambios rápidos y constantes del entorno, muchas precauciones son omitidas y, como resultado, se subestiman los riesgos. Para que las organizaciones logren reconocer los retos actuales y comprendan qué deben hacer para mejorar, necesitan responderse las siguientes preguntas: Los ataques actuales en el mundo digital ¿Cómo se desarrollan los ataques? • ¿Cómo cambia el mundo? • ¿Cuáles son los peores escenarios? • ¿Cuáles son las principales amenazas y vulnerabilidades? • ¿Cómo detectar las señales sutiles? • ¿Cómo enfrentar los ataques? • ¿Por qué el estado de alerta máxima debe ser constante en una organización? ¿Por qué las empresas continúan siendo tan vulnerables? El cambio hacia la Defensa Activa • No hay suficientes medidas de control en el entorno actual • ¿Qué es la Defensa Activa? • No hay mecanismos para adaptarse al cambio • ¿Cómo construirla? • ¿Qué debe mejorar con su implementación? • El enfoque proactivo es lento para neutralizar los ciberataques Las amenazas cibernéticas han aumentado en número y en nivel de sofisticación, convirtiéndose en uno de los temas más relevantes relacionados con el riesgo. Como resultado de esto, los ciberatacantes son considerados como una preocupación inminente pues afecta desde los gobiernos, hasta las pequeñas, medianas y grandes empresas, internacionales o locales. Los ciberataques son motivados por factores complejos, entre ellos, la ideología que poseen los atacantes, o bien, por cuestiones financieras; incluso, existen programas en función de seguridad nacional. El impacto de los ataques varía, ya sea en la interrupción de los servicios (de cara al cliente), en fugas de información de activos sensibles (a través del espionaje industrial) así como en la destrucción de los datos y sistemas que soportan los negocios. Las organizaciones deben operar en este entorno cambiante y expuesto, por lo que es indispensable que protejan sus activos digitales para evitar ser víctimas de un ataque. Información clave ¿Se debe vivir en un estado de alerta máxima constante? • La ciberseguridad –junto con el cambio climático, la escasez de agua y el desempleo–‒ fue uno de los 10 temas prioritarios abordados en el Foro Económico Mundial 2015. • Para que su organización ocupe un lugar más seguro y sostenible en el mundo digital, es necesario aplicar la óptica de riesgo cibernético a todo lo que hace. • El punto de vista de gestión del riesgo tendrá un sentido diferente para los mandos directivos, así como para los socios, proveedores, vendedores y otras partes de la organización. El 66% de los encuestados, en la última edición de la Encuesta Global sobre Seguridad de la Información de EY, ha sufrido ataques NO detectados por su Centro de Operaciones de Seguridad (SOC, por sus siglas en inglés). • Se debe priorizar, racionalizar y trazar una ruta para la ciberseguridad con un enfoque personalizado, integral y eficaz para su organización. • A fin de orientar de manera eficiente su organización (a través de las capas de los riesgos y las amenazas) los líderes deben tener la confianza para establecer el nivel de riesgo y estar preparados para entrar en acción para manejar cualquier incidente. • • Un 59% de los encuestados identificó que la fuente más probable de un ataque son las organizaciones criminales. Así como los empleados (56%) y los Hacktivistas (54%). Beneficios de una asesoría eficaz • • • • Eficaz identificación de los riesgos de negocio (representados por las brechas en las capacidades actuales de defensa de seguridad cibernética). Enfoque proactivo frente a la gestión de riesgos de seguridad cibernética para los reguladores, accionistas y clientes. Mejor definición y alineación de la estrategia de seguridad e inversiones con beneficios de costo y riesgo para el negocio. Adaptar Su organización sufrirá incidentes cibernéticos, esto es parte integral del mundo digital. El punto de partida para la obtención de la confianza como organización es el conocimiento de la situación, es decir, comprender qué es un ciberataque. • • • Evaluación rápida e independiente de la situación actual para prevenir, detectar y reaccionar -‒ en tiempo-‒ a las amenazas cibernéticas. Activar ¿Se pueden detener los ataques? Anticipar ¿Cómo puede proteger a su organización de un incidente cibernético si no sabe qué es lo que los atacantes buscan de su negocio? ¿Cómo accederán los ciberatacantes a sus activos y cómo van a perjudicarle? ¿Cómo tendrá confianza si no conoce por completo la capacidad de su organización para responder, contener y recuperarse de un ataque? Para ello, las organizaciones están familiarizadas con los principios de la buena gestión de riesgos, lo cual es un punto de partida útil para pensar en la ciberseguridad: Principios clave de administración de riesgos… … aplicados a los riesgos cibernéticos Lo más importante es el enfoque, lo cual se logra al alinear el negocio a la cultura de riesgo. Conozca los activos de información críticos que podrían ser vulnerables a los ciberataques. Mida y emita un reporte de sus principios cualitativos y cuantitativos. Promueva que los riesgos cibernéticos sean más tangibles al definir los impactos y las métricas. Conceptualice la naturaleza integral del riesgo actual y futuro. Ordene los esfuerzos con los marcos de riesgo existentes (financieros, operativos, regulatorios, entre otros). Identifique el apetito y tipo de riesgo de cada unidad de negocio. Otorgue la debida relevancia a los riesgos cibernéticos de cada unidad y de cada uno de sus activos de información. Integre con la planeación regulatoria y de cumplimiento del negocio. Integre su apetito de riesgo en las decisiones de inversión para empoderar sus unidades de negocio. ¿Cómo podemos ayudarle? EY pone a su disposición a su equipo de profesionales experimentados en materia de ciberseguridad, quienes le ofrecerán un servicio de evaluación continua, los 365 días del año para detectar anomalías en la estrategia de seguridad cibernética actual de su organización para así identificar las áreas principales de mejora. También le proporcionaremos un primer acercamiento(piloto) evaluación rápida e independiente a su capacidad para prevenir, detectar y reaccionar ante la amplia gama de amenazas cibernéticas. Nuestra metodología, basada en talento y alternativas automatizadas, puede ejecutar un piloto en un plazo de dos semanas1, con la finalidad de entender el nivel de riesgo (de alto nivel) de su organización e informar sobre los riesgos principales detectados. Semana 1 (identificar) Semana 2 (diagnosticar) Analizar la información recolectada Establecer niveles de amenazas Evaluar vulnerabilidades Realizar informes técnico y ejecutivo Generar reportes de evaluación de ciberseguridad Implementar la herramienta tecnológica Recolectar información de la red Gestionar el mecanismo de alertas de detección de amenazas cibernéticas Contamos con una red mundial de Centros de Seguridad Avanzada, integrada por asesores con amplia experiencia y conocimiento en amenazas cibernéticas. Nuestros servicios son totalmente escalables y, por lo tanto, accesibles para todo tipo de empresas. Tras recibir el resultado del piloto, pondremos a su consideración la decisión de acceder a este servicio de evaluación continua multianual a fin de proteger su compañía los 365 días del año y reducir considerablemente sus niveles de riesgo. 1 Solicite un diagnóstico inicial de dos semanas directamente con su gerente de servicio a clientes y reciba un beneficio especial al evaluar el servicio. Para mayor información favor de contactar a: Alfredo Borgaro Gerente Senior de Servicio a Clientes +52 (1) 55 4499-8483 alfredo.borgaro@mx.ey.com Ivette Balseca Gerente de Servicio a Clientes +52 (1) 55 8530-3203 maria.balseca@mx.ey.com Para obtener más información acerca de nuestros servicios, envíe un correo electrónico a ciberseguridad@mx.ey.com EY | Aseguramiento | Asesoría de Negocios | Fiscal-Legal | Fusiones y Adquisiciones Acerca de EY EY es líder global en servicios de aseguramiento, asesoría, impuestos y transacciones. Las perspectivas y los servicios de calidad que entregamos ayudan a generar confianza y seguridad en los mercados de capital y en las economías de todo el mundo. Desarrollamos líderes extraordinarios que se unen para cumplir nuestras promesas a todas las partes interesadas. Al hacerlo, jugamos un papel fundamental en construir un mejor entorno de negocios para nuestra gente, clientes y comunidades. Para obtener más información acerca de nuestra organización, visite el sitio www.ey.com/mx. © 2016 Mancera S.C. Integrante de Ernst & Young Global Derechos Reservados EY se refiere a la organización global de firmas miembro conocida como Ernst & Young Global Limited, en la que cada una de ellas actúa como una entidad legal separada. Ernst & Young Global Limited no provee servicios a clientes