Gestión del ciber riesgo y los retos para su aplicación Ha sido salvado
Perspectivas
Gestión del ciber riesgo y los retos para su aplicación
República Dominicana demuestra ser un país de vanguardia con la publicación de la resolución JM 181101-02 en materia de seguridad cibernética y de la información. Ya hemos visto como el crimen organizado viene cambiando su modo de operar y ha encontrado en los sistemas financieros una fuente de ingreso rápida e interesante para ellos, donde Latinoamérica es un mercado atractivo que desean explotar como observamos con los incidentes de seguridad sufridos en México y Chile.
Lo más importante de la regulación dominicana está en los beneficios de su aplicación. Por un lado, tenemos al ciudadano quien llega a estar más protegido por las acciones de protección y respuesta ante situaciones que afecten la seguridad de sus datos. Por otro lado, las organizaciones logran una mejora en la gestión de sus riesgos, protegiéndose ante posibles situaciones que le generen pérdidas monetarias.
Cuando iniciamos la lectura de la resolución, podemos identificar que algunos de sus apartados son técnicos y requieren de un especialista para comprender su objetivo y como lograrlo. Sin embargo, en Deloitte hemos definido un enfoque pasado en buenas prácticas, orientado a guiar a los directivos de las organizaciones en su esfuerzo de apoyar la gestión del ciber riesgo y lograr una mejor comunicación interna cuando se aplica un mismo entendimiento. El modelo fue llamado Deloitte Cyber Security Framework y cubre los siguientes componentes:
Gobierno
Establece la estructura requerida para brindar soporte a todo modelo de gestión del ciber riesgo, enfocando en definir una estrategia, articular dicha estrategia por medio de estructuras de gobierno con roles y responsabilidades, generando una cultura organizacional consiente de la importancia de la ciber seguridad y su rol en ella.
Asegurar
Se enfoca en la protección de la información que soporta los procesos claves del negocio, implementando procesos y controles que responden a la realidad y circunstancias del mismo.
Vigilar
Reconoce la necesidad de establecer una cultura proactiva de estar atentos a las amenazas a fin de desarrollar una capacidad de detectar patrones de comportamiento que puedan indicar o predecir un ataque a la información crítica.
Responder
Significa tener la capacidad de controlar rápidamente un ataque y movilizar los recursos necesarios para manejar el impacto, incluyendo costos directos y disrupción del negocio, así como también daños a la reputación y marca.
Habiendo explicado las grandes áreas que llega a cubrir la resolución, nos queda la siguiente incógnita: ¿Por dónde debo iniciar?
Para responder a esa pregunta, realizamos un planteamiento de metodología de implementación que le permita identificar el nivel adecuado de controles a implementar basado en su negocio y perfil de riesgo.
Fase 1: Perfil del Negocio
Comprender el modelo de negocio, la misión y la estrategia para identificar las joyas de la corona organizativas.
Fase 2: Análisis de Amenazas
Comprenda las amenazas a las que están más expuestas las joyas de la corona para identificar capacidades cibernéticas relevantes.
Fase 3: Evaluación Estado Actual
Comprenda la madurez actual del estado de las capacidades cibernéticas para proporcionar una línea de base para mejoras futuras.
Fase 4: Estado Futuro & Recomendaciones
Defina la madurez del estado objetivo para las capacidades cibernéticas e identifique recomendaciones prácticas para abordar la brecha.
Fase 5: Reporte
Genere informes y paneles que visualizan las amenazas, la madurez actual / objetivo de las capacidades y la madurez cibernética en general.
Fase 6: Hoja de Ruta
Defina proyectos para abordar las brechas y crear planes de trabajo estratégicos para mejorar la madurez y la resistencia cibernética.
Hay que tener en cuenta que el desarrollo de un modelo de gestión de ciberseguridad es como la gestión de un programa, donde se agrupan diferentes proyectos que poseen un mismo objetivo, en nuestro caso implementar un sistema de gestión de ciberseguridad. A medida que avance irá descubriendo que cada área representa un reto en la gestión de controles, verá que existen varias opciones en la implementación de los mismos, algunas de ellas ofrecen automatización e inteligencia, llegando a tener un precio más elevado que otras manuales. En este caso es recomendable que evalúe su nivel de exposición a la amenaza que atenta contra su seguridad, para poder decidir si tiene sentido el costo beneficio de la medida a implementar. Por otra parte, verá que ese balance es necesario para lograr tener un tamaño de estructura organizacional acorde con perfil de Organización, si no selecciona bien los controles podría estar sub-dimensionando o sobre-dimensionando la cantidad de recursos que requiere para atender las tareas de ciberseguridad.
Patrones y retos en los fraudes tecnológicos
Deloitte en su Encuesta sobre Ciber Riesgos & Seguridad de la Información en las Entidades Financieras de Latinoamérica, ha identificado 5 patrones de comportamiento en los fraudes tecnológicos que proponen retos que deben ser considerados durante el desarrollo de las fases 2 y 3 de la metodología de implementación:
| Patrones de comportamiento | Retos | |
|---|---|---|
| 1 | Los vectores de ataque han cambiado de tecnología a personas. | Modelamiento de riesgos de los actores. |
| Monitoreo probabilístico de usuarios objetivo. | ||
| 2 | Los patrones de ataque están comenzando a parecerse cada vez más a comportamientos normales. Esto es porque han aumentado los casos de amenazas que permanecen ocultas a la vista. Algunas de estas amenazas se adaptan y tienen la capacidad de entrar en un modo inactive, haciéndose difícil su detección. | Aprendizaje. |
| Modelo de riesgos adaptable. | ||
| Inteligencia lateral y de evasión. | ||
| Analíticas para riesgos. | ||
| 3 | Los criminales, los actores estatales e incluso los Hactivistas están construyendo una mejor inteligencia y capacidad, y tienen una red más amplia de recursos que las organizaciones (brecha ampliada de capacidad). | Mejor inteligencia. |
| Inteligencia ampliada. | ||
| Mayor inteligencia. | ||
| 4 | Crecimiento del compromiso de la seguridad de la cadena de suministro y de los socios de negocio (entrada lateral). | Inteligencia de negocio. |
| Perfilamiento de amenazas adaptable. | ||
| Tecnología inteligente. | ||
| 5 | Las amenazas avanzadas desafían las estrategias tradicionales basadas en firma. | Aprendizaje. |
| Perfilamiento de amenazas adaptable. | ||
Si bien hemos visto la importancia de la resolución, cómo lograr un entendimiento de alto nivel sobre las áreas que propone, una metodología de implementación y consideraciones en el diseño del programa de implementación de cara a los patrones de ataque, no debemos olvidar que para que todo lo anterior tenga éxito lo más importante es el equipo humano que forme para atender la resolución, la cultura organizacional que impregne de entusiasmo y escepticismo ante situaciones que tengan el potencial de afectar la Organización.
Recommendations
Tendencias en riesgos en el sector financiero
El plan de auditoría basado en riesgos y la matriz de riesgo de legitimación de capitales
