4. Panorama de Ataques
4
Atacantes moviéndose rápidamente
Incremento de
extorsiones digitales
Malware mas
inteligente
Ataques del Día-
Zero
Múltiples sectores atacados
5 de las 6
compañías
mas grandes
atacadas
317M
nuevo
malware
creado
1M nuevos
threats
diariamente
60% de los
ataques
dirigidos a
PyME
113%
Incremento de
ransomware
45X
móviles
rehenes
28% del
malware fue
“Virtual
Machine
Aware”
24
Máximo
Histórico
Top 5
unpatched
for 295 days
24
Salud
+ 37%
Retail
+11%
Educación+
10%
Gobierno
+8%
Financiero
+6%
Source: Symantec Internet Security Threat
Report 2015
9. Gestión de Riesgo y Cumplimiento – Principales
Preocupaciones
9
Cumplimiento
de Leyes
Estar adelante
de las
amenazas
Tener foco en
las prioridades
Construir un
programa de
riesgos
sostenible
Conectar al
negocio
Dificultad para traducir problemas
tecnológicos a necesidades del negocio.
Sólo 1 de cada 8 departamentos tecnológicos
son influenciadores para el negocio
10. Retos que limitan la Evolución de la Seguridad
10
• Enfoque manual, menor exactitud
• Vistas Incompletas
• Incapacidad de actualización en ambientes
dinámicos
Recolección
de Datos
Manual
Operación en
Silos
• Áreas tecnológicas vistas como el “Dr No”
• Visibilidad limitada en operaciones tecnológicas
• Incapacidad de comunicar en términos del negocio
• Propensos a errores o disputas
• Limitado a una captura estática
• Falta de métricas para el seguimiento
Evaluaciones
Subjetivas
11. Como Enfrentar los Retos
11
2
• Plantear conclusiones
justificadas
• Priorizar problemas
basados en riesgos del
negocio en lugar de su
severidad técnica
• Remediación basada en
prioridades
Priorización Basada en
Riesgos
1
• Transmitir el impacto de
los riesgos tecnológicos
en términos relevantes
al negocio
• Impulsar conciencia,
acciones y
responsabilidad basado
en métricas
• Eliminación de silos
entre áreas de seguridad
y operativas
Mejorar la Visibilidad
3
• Evaluaciones
automáticas y ciclo de
vida de la remediación
• Simplifica el proceso de
evaluaciones continuas
para tener información
exacta y actualizada
• Habilitación de respuesta
a incidentes sobre
demanda
Automatización
12. 12
Centrado en
Cumplimiento
Centrado en
Riesgo
• Impulsado por mandatos
externos
• Foco en pasar/fallar puntos
de control
• Alto número de auditorias
• Necesidades Internas y Contexto
Externo
• Foco en mejora continua
• Acciones basadas en priorización de
riesgos
• Soluciones holísticas para Negocio
Gestión de Riesgo y Cumplimiento – Principales
Preocupaciones
14. 14
Causas Principales de la Fuga de Datos
Fuente: Symantec
Hackers
Datos Publicados
Accidentalmente
Robo o Pérdida de
Equipo o USB
Robo Interno
Desconocido
Fraude
34%
29%
27%
6%
2%
2%
87
72
69
15
6
4
253TOTAL
Cantidad
de Incidentes
Combinados, el robo o
pérdida de un dispositivo
+ la fuga accidental
representó el 56% de los
incidentes de violación de
datos.
#ISTR #Symantec
16. 16
Seguridad de la Información y Cumplimiento
Regulatorio…..
• Sudeban (Venezuela)
• Resol. JB 3066:2014 (Ecuador)
• Circular 042 SF (Colombia)
• Ley 1581 Protección de datos
(Colombia
• Ley LFPDPPP (México)
• Ley 19.628 Protección de datos
(Chile)
18. EVALUACIÓN CONTROLES
EVIDENCIA
Vision de Symantec para la Gestión de Riesgo y
Cumplimiento
Ambiente
PLAN
• Definición de Riesgos y Objetivos del
Negocio
• Creación de Políticas y Mandatos
• Mapeo de Controles
REPORTEO
• Demostración de niveles de
cumplimiento
• Correlación de riesgos y activos del
negocio
• Gráficos de nivel ejecutivo
EVALUACIÓN
• Identificación de desviaciones de
estándares técnicos
• Descubrimiento de
vulnerabilidades críticas
• Evaluación de controles
• Información de terceros
REMEDIACIÓN
• Priorización basada en el riesgo
• Seguimiento del proceso de
remediación
• Integración con Mesas de Ayuda
Stakeholders
Security / Audit IT / Operations Business / Mgmt.
19. ASSETS CONTROLS
EVIDENCE
EVALUACIÓN CONTROLES
EVIDENCIA
Symantec Control Compliance Suite – Overview
Ambiente
PLAN
• Define business risk objectives
• Create policies for multiple mandates
• Map to controls and de-duplicate
REPORT
• Demonstrate compliance to multiple
stakeholders
• Correlate risk across business assets
• High level dashboards with drill down
ASSESS
• Identify deviations from technical
standards
• Discover critical vulnerabilities
• Evaluate procedural controls
• Combine data from 3rd party sources
REMEDIATE
• Risk-based prioritization
• Closed loop tracking of deficiencies
• Integration with ticketing systems
PLAN REPORTEO
EVALUACIÓN REMEDIACIÓN
CCSStandards
Manager
CCS
Assessment
Manager
Symantec&
ExtendedData
Connectors CCS Reporting
& Analytics
CCS Dynamic
Dashboards
Symantec
ServiceDesk
3rd Party
Ticketing
Integration
Symantec
Workflow
Integration
CCS Policy
Manager
CCS Risk
Manager
CCS Content
Stakeholders
Security / Audit IT / Operations Business / Mgmt.
CCSVendor
RiskManager*
20. 20
EVALUACIÓN CONTROLES
EVIDENCIA
Base de Datos Relacional
Controles
Técnicos Nativos
1 Cuestionarios2 Información de
Terceros
3
Reportes y
Gráficos
4
Vision Symantec - Gestión de Riesgo y Cumplimiento
Solving IT Risk and Compliance Challenges
21. Definir, Divulgar y Gestionar Políticas
Control Compliance Suite Policy Manager
• Políticas pre-configuradas
(Out-of-box)
• Políticas alineadas a controles
• Actualizaciones automáticas
de regulaciones
• Ciclo de vida de políticas de TI
automático
Corporate Policy Lifecycle
1. Define 2. Review
5. Track Acceptances
/ Exceptions
3. Approve
4. Distribute
21
22. Automatizar la Valoración de Riesgos de Activos de
Información y la carga de Controles
Control Compliance Suite Standards Manager
1. Define Standards
3. Analyze and Fix
2. Managed/Unmanaged Assets
Evaluate (agent and/or agent-less)
• Evaluación automática de
controles técnicos
• El mejor contenido pre-empacado
de su clase
• Administración de excepciones
• Soporte de colección de datos
basado en agentes y sin agentes
22Solving IT Risk & Compliance Challenges - Symantec Confidential
23. Evaluación Automática de Controles y Procedimientos
Control Compliance Suite Assessment Manager
• Evaluación automática de controles
procesales
• Remplazo de procesos manuales
costosos
• Cuestionarios Web
• Cobertura de 60+
regulaciones/marcos
• Seguimiento de respuestas,
aceptaciones, excepciones y
requerimientos de clarificaciones
• Entrenamientos de seguridad –
Evaluación del riesgo a proveedores
Consolidate responses
Administer Survey
Analyze Results
Distribute via web
Respondents
23Solving IT Risk & Compliance Challenges - Symantec Confidential
24. Valoraciones de riesgos en Terceras Partes
Solving IT Risk & Compliance Challenges - Symantec Confidential24
• Programa de evaluación de riesgos a
proveedores escalable
• Puntuaciones calculadas
automáticamente basadas en evidencia
• Niveles de proveedores basados en el
riesgo de la información y criticidad del
negocio
• Repositorio centralizado basado en
Web
Control Compliance Suite Vendor Risk Manager
Assign
vendor
tier
Initiate vendor
assessment
schedule
Collect
vendor
evidence
Route and
review
submitted
evidence
Authorize or
remediate
vendor
Continuous
vendor risk
monitoring
Vendor Risk Manager
25. Administración y Recolección Centralizados de datos y
evidencias
Control Compliance Suite Infrastructure
• Combinación de evidencia de
múltiples sistemas
• Formato de evidencias y mapeo de
políticas y regulaciones
• Vistas con información del
cumplimiento
• Mayor visibilidad en lis riesgos de TI
• Minimizar tareas administrativas
Connect to
Evidence
Provider
1
Collect
evidence
Format and
store data
Map data to policies
and regulations
Trigger
data
evolution
Trigger
reporting job
3
2
5
4
6
25Solving IT Risk & Compliance Challenges - Symantec Confidential
26. Mitigación Basada en Riesgo
Control Compliance Suite Infrastructure
• Asignación de puntuación de
riesgos y puntuación de
complimiento
• Priorización de tareas de
remediación
• Integración con mesas de ayuda
de terceros
• Integración con Symantec
ServiceDesk
• Guías de remediación detalladas
para una respuesta más ágil
26Solving IT Risk & Compliance Challenges - Symantec Confidential
27. Definición de Objetivos de Seguridad, Riesgo,
Cumplimiento y Métricas
Control Compliance Suite Risk Manager
• Definición de riesgos y
umbrales basados en el
negocio
• Mapeo de riesgos a activos,
controles y dueños
• Generación de gráficos
basados en riesgo para
diferentes usuarios
• Reducción del riesgo sobre el
tiempo
• Remediación del riesgo
basado en prioridades del
negocio
Overall Risk Score: 8.8
Overall Risk Score: 6.9
Overall Risk Score: 2.1
Overall Risk Score: 1.3
My Online Web Store
High exposure to current malware threats
High # of compliance assessment failure
No evidence on successful incident response testing
HR System
Medium exposure to current malware threats
High # of compliance assessment failure
No evidence on successful incident response testing
Inventory System
Low exposure to current malware threats
No compliance failures
Finance System
Low exposure to current malware threats
Zero information leakage incidents
27Solving IT Risk & Compliance Challenges - Symantec Confidential
28. Generación de Reportes de Riesgo y Cumplimiento,
Atención automáticade Auditorias
Control Compliance Suite Infrastructure
• Gráficos y reportes dinámicos
• Combinar información de CCS e
información de terceros
• Múltiples vistas y filtros
• Gráficos granulares y detallados
• Reportes personalizables a
múltiples niveles
Risk dashboard
28Solving IT Risk & Compliance Challenges - Symantec Confidential