SlideShare una empresa de Scribd logo
1 de 55
Toma de Decisiones en Condiciones VUCA
Análisis de dos casos de ataques cibernéticos de robo de
información
Análisis Cuantitativo del Riesgo
Etica e incertidumbre
David Solís
Resumen
La privacidad de los datos y la seguridad cibernética son riesgos reales para las
empresas.
Los delitos cibernéticos representan una seria amenaza para las empresas no sólo
en el aspecto económico y pueden llevar la organización al colapso: a raíz de la
filtración de los datos, ya sea robo o pérdida,, la mayoría de los empleados
responsables pueden ser despedidos o enfrentar cargos por responsabilidad
profesional, la empresa puede enfrentar investigaciones regulatorias, multitud de
demandas, interrupción de los servicios de negocio, caída del precio de las
acciones y la reputación de la empresa puede debilitarse. El hacking es un
problema grave, una amenaza potencial para todos las empresas habilitadas por
sistemas de software.
Cómo las empresas responden a este tipo de incidentes puede dañar su reputación
y confianza. Dado que las implicaciones son a menudo complejas, el procedimiento
de toma decisiones para frenar los daños potenciales es a menudo difícil. La
Dirección y Administración deben evaluar las iniciativas y decisiones desde el punto
de vista ético.
Estado Actual de los Incidentes de Infiltración 1
Casos de Estudio 2
Línea de Tiempo 3
Marcos de Referencia 4
Conclusiones 5
Referencias 6
Q & A 7
1,378,509,261
1,792
52.2%
4.2%
NUMERO DE INCIDENTES
REGISTROS COMPROMETIDOS EN 2016
INCIDENTES DONDE SE
DESCONOCE EL NUMERO DE
REGISTROS COMPROMETIDOS
INCIDENTES DONDE LOS DATOS
ESTABAN ENCRIPTADOS CADA SEG.
44
CADA MINUTO
2,623
CADA DIA
3,776,738
CADA HORA
157,364
FRECUENCIADEREGISTROS
PERDIDOSOROBADOS
Fuente:
Breach Level Index
Fuente: goo.gl/9YPGXN
Estado Actual de los Incidentes de Infiltración 1
Casos de Estudio 2
Línea de Tiempo 3
Marcos de Referencia 4
Conclusiones 5
Referencias 6
Q & A 7
Perfiles
13
Target - Propósito y Convicciones
14
Home Depot - Valores
16
‣ Noviembre / Diciembre 2013
‣ Los hackers se conectaron a la red con credenciales
robadas a la empresa de calefacción y ventilación Fazio
Mechanical Services, que robaron a través de un sofisticado
ataque de phishing.
‣ Los hackers fueron capaces de cargar programas de
malware en los sistemas POS de Target y permanecer sin ser
detectados.
‣ Se comprometieron los datos de tarjetas de 40 millones e
información personal de 70 millones de clientes.
110 MILLONES PERSONAS
AFECTADAS
‣ Repercusiones
• Las ganancias cayeron 41% durante los primeros seis meses del
año fiscal.
• Los costos acumulados son de $292 millones, se han recuperado
$90 millones por seguros, siendo $202 millones los costos netos.
• El CEO Gregg Steinhafel y la CIO Beth Jacob renunciaron.
‣ ¿Qué podría haber hecho Target de manera diferente?
• Asegurar adecuadamente el acceso de terceros a su red.
• Segmentar la red para que terceros no pudieran acceder
información sensible.
• Pruebas periódicas de sus sistema para identificación temprana
de vulnerabilidades.
‣ Septiembre 2014 (Abril 2014)
‣ Los hackers utilizaron credenciales de terceros para entrar
en la red y instalaron malware en los POS’ a través de una
vulnerabilidad sin actualización.
‣ La infracción involucró 56 millones de tarjetas y 53 millones
de direcciones de correo electrónico de clientes.
‣ Home Depot enfrenta al menos 44 demandas.
‣ Los costos acumulados a enero de 2017 son de $298
millones, se han recuperado $100 millones por seguros,
siendo $198 millones los costos netos.
109 MILLONES PERSONAS
AFECTADAS
‣ ¿Cuáles fueron las áreas de oportunidad?
• La alta dirección fue complaciente con la seguridad de la
información. La respuesta de la compañía fue lenta y tardó en
tomar medidas. Cuando los empleados pidieron capacitación en
seguridad, la respuesta de la dirección fue: “Nosotros Vendemos
martillos”
• Presuntamente se utilizaba una versión no actualizada del
software antivirus de Symantec para proteger su red.
• Riguroso control de los empleados. Home Depot contrató a un
ingeniero de software para la supervisión de la seguridad en 2.200
tiendas. Dicho ingeniero había estado en prisión por desactivar
deliberadamente las computadoras en la empresa anterior.
• Pruebas periódicas de sus sistema para identificación temprana de
vulnerabilidades.
Estado Actual de los Incidentes de Infiltración 1
Casos de Estudio 2
Línea de Tiempo 3
Marcos de Referencia 4
Conclusiones 5
Referencias 6
Q & A 7
Precio Acción - Home Depot
24
Precio Acción - Home Depot
25
56
m
illion
custom
ercredit
and
debitcard
accounts
53
m
illion
custom
erem
ail
addresses
Precio Acción - Target
26
Precio Acción - Target
27
Precio Acción - Target
28
Precio Acción - Target
28
In future years, Target Canada will serve as a gold standard case study in
what retailers should not do when they enter a new market.
From opening too many stores at once to a lack of a sales website, Target
took multiple missteps — some of them operational, some strategic — in
order to flop as spectacularly as it did in Canada, the sum total of which
resulted in a group of highly disenchanted consumers.
“We missed the mark from the beginning by taking on too much too
fast,” chief executive Brian Cornell conceded in a company blog post on
Thursday as the company announced it is shutting down its 133 Canadian
stores just two years after its much-anticipated launch.
29
29
Precio Acción - Target
30
31
Precio Acción - Target
32
Precio Acción - Target
32
Las acciones de Target cayeron el 28 de febrero de
2017, pero no se debió a su política del uso del baño de
casi un año. La caída se debió a la plática sobre las
expectativas financieras durante un evento del día del
inversionista realizada ese mismo día.
34
Wall Street was expecting Target to project earnings of $5.30 per share,
but the company instead gave guidance of $3.80 to $4.20 per share which
was “well below” expectations, prompting the drop in share value
What is dogging Target and other retailers has been competition with all-
online retailers like Amazon, which do not have the overhead cost of
brick-and-mortar locations.
Although Target offers online shopping, profit there tends to be lower due
to associated costs like shipping and price competition from the likes
of Amazon.
Department stores across the country are paying the price for
underestimating Amazon this holiday season.
Impacto en el precio de la acción
35
This mismatch between the stock price and the medium and long-term
impact on companies’ profitability should be addressed through better
data. Shareholders still don’t have good metrics, tools, and approaches to
measure the impact of cyber attacks on businesses and translate that into
a dollar value. In most cases, at the time a security breach is disclosed, it
is almost impossible for shareholders to assess its full implications.
Shareholders should look beyond short-term effects and examine the
impact on other factors, such as overall security plans, profitability, cash
flow, cost of capital, legal fees associated with the breach, and
potential changes in management.
Precio de la acción vs ataque cibernético
36
‣ No entendemos las implicaciones.

• Debido a la proliferación de empresas habilitadas por tecnología y modelos
digitales de negocios se ha vuelto común escuchar noticias frecuentes de
ataques cibernéticos.
‣ No podemos medir su impacto.

• Dado que no se cuenta con herramientas suficientes para medir el impacto
de los ataques, se está a merced de las empresas para revelar los
impactos de sus propias brechas de datos corporativos. Los incidentes
pueden tener un efecto a largo plazo en la empresa, ya que aborda varios
juicios legales y la disminución de la confianza de los consumidores
‣ Las compañías no divulgan los incidentes inmediatamente.

• A menudo los sistemas infiltrados se encuentran comprometidos durante
varios meses antes de que la compañía llegue a ser consciente - y podría
ser otras pocas semanas o meses hasta que la compañía tenga un
diagnóstico completo para divulgar públicamente el incidente.
Razones por las que no hay impacto
Precio de la acción vs ataque cibernético
36
‣ No entendemos las implicaciones.

• Debido a la proliferación de empresas habilitadas por tecnología y modelos
digitales de negocios se ha vuelto común escuchar noticias frecuentes de
ataques cibernéticos.
‣ No podemos medir su impacto.

• Dado que no se cuenta con herramientas suficientes para medir el impacto
de los ataques, se está a merced de las empresas para revelar los
impactos de sus propias brechas de datos corporativos. Los incidentes
pueden tener un efecto a largo plazo en la empresa, ya que aborda varios
juicios legales y la disminución de la confianza de los consumidores
‣ Las compañías no divulgan los incidentes inmediatamente.

• A menudo los sistemas infiltrados se encuentran comprometidos durante
varios meses antes de que la compañía llegue a ser consciente - y podría
ser otras pocas semanas o meses hasta que la compañía tenga un
diagnóstico completo para divulgar públicamente el incidente.
Razones por las que no hay impacto
Es importante tener en cuenta que mientras el precio de
las acciones puede parecer no afectado, las empresas
enfrentan consecuencias en otras formas, incluyendo el
gasto de millones de dólares para actualizar sus sistemas
de seguridad y para resolver las demandas relacionadas.
Estado Actual de los Incidentes de Infiltración 1
Casos de Estudio 2
Línea de Tiempo 3
Marcos de Referencia 4
Conclusiones 5
Referencias 6
Q & A 7
VUCA - Significado
38
VUCA - Marco de Referencia
39
VUCA - Enfoque de Solución
40
Teorías Normativas de la Etica Empresarial
41
‣ La Dirección y Administración deben evaluar
las iniciativas y decisiones desde el punto de
vista ético.

‣ La mayoría de los ejecutivos no tienen una
formación formal en ética, filosofía y
razonamiento moral.

‣ Es difícil determinar o discutir normas
sociales.

‣ Hay tres teorías de la ética empresarial que
son útiles para evaluar una iniciativa o
decisión.
42
Teorías Normativas de la Etica Empresarial
43
Teoría Definición Métricas
Accionista
Maximizar la inversión de
los accionistas de manera
legal y no fraudulenta.
¿Esta acción maximizará el valor del
accionista? ¿Pueden lograrse
objetivos sin comprometer los
estándares de la empresa y sin
infringir las leyes?
Stakeholder
Maximizar los beneficios
para todos los interesados
mientras se compensan los
los intereses en conflicto.
¿La acción propuesta maximiza los
beneficios colectivos para la
empresa? ¿Esta acción trata
injustamente a una de las partes
interesadas?
Compromiso
Social
Crear valor para la sociedad
de una manera justa y no
discriminatoria.
¿Esta acción crea un beneficio
"neto" para la sociedad? ¿La acción
propuesta discrimina a cualquier
g r u p o e n p a r t i c u l a r, y s u
implementación es socialmente
justa?
Notificación de Datos Personales y Acta
de Protección National Cybersecurity Protection Act of 2014
‣ Un solo estándar
nacional.
‣ Notificación a las
personas dentro de
3 0 d í a s d e l
incidente.
‣ El castigo puede ser
hasta de 30 años de
prisión.
Estado Actual de los Incidentes de Infiltración 1
Casos de Estudio 2
Línea de Tiempo 3
Marcos de Referencia 4
Conclusiones 5
Referencias 6
Q & A 7
Conclusiones
46
‣ Aunque los incidentes fueron parecidos, los casos de Target y Home
Depot son inconmensurables.

‣ Es más fácil y económico implementar un programa de
administración de seguridad de la información que asumir las
consecuencias de un ataque.

‣ La cyber seguridad tiene que ser un objetivo de la alta dirección.

‣ Es necesario evaluar decisiones e iniciativas desde la ética
empresarial para tener un balance entre los intereses de todos los
stakeholders.

‣ Aunque el precio de la acción puede no verse afectado después de
un incidente de seguridad, la credibilidad y reputación si son
afectadas y hay consecuencias cuyo costo económico es enorme.

‣ Se requiere un enfoque integral (TOGAF, COBIT, COSO, GRC),
administración de riesgos (ISO 31000) y cumplimento de estándares
de seguridad (ISO 27001, PCI DSS, HIPAA, entre otros).
Estado Actual de los Incidentes de Infiltración 1
Casos de Estudio 2
Línea de Tiempo 3
Marcos de Referencia 4
Conclusiones 5
Referencias 6
Q & A 7
48
Referencias
978-1-119-24428-8 978-1-466-67476-9 978-3-319-16888-3 978-3-319-40553-7 978-1-137-51358-8978-1-605-09002-3
Estado Actual de los Incidentes de Infiltración 1
Casos de Estudio 2
Línea de Tiempo 3
Marcos de Referencia 4
Conclusiones 5
Referencias 6
Q & A 7
Q & A

Más contenido relacionado

Similar a Toma de decisiones en condiciones VUCA

Costo de brechas Cibernéticas - Spanish 2020
Costo de brechas Cibernéticas - Spanish 2020Costo de brechas Cibernéticas - Spanish 2020
Costo de brechas Cibernéticas - Spanish 2020
bogotasur
 

Similar a Toma de decisiones en condiciones VUCA (20)

Costo de brechas Cibernéticas - Spanish 2020
Costo de brechas Cibernéticas - Spanish 2020Costo de brechas Cibernéticas - Spanish 2020
Costo de brechas Cibernéticas - Spanish 2020
 
Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1Curso ntp iso iec 17799 27002 1
Curso ntp iso iec 17799 27002 1
 
Presentacion Ejecutiva DDoS - Gestion de Incidencias.pdf
Presentacion Ejecutiva DDoS - Gestion de Incidencias.pdfPresentacion Ejecutiva DDoS - Gestion de Incidencias.pdf
Presentacion Ejecutiva DDoS - Gestion de Incidencias.pdf
 
Presentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaPresentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informatica
 
Propuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfPropuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdf
 
ciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdf
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptx
 
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfSERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
 
Consideraciones ciberseguridad para empresas
Consideraciones ciberseguridad para empresasConsideraciones ciberseguridad para empresas
Consideraciones ciberseguridad para empresas
 
Seguridad_Informatica_1.pptx
Seguridad_Informatica_1.pptxSeguridad_Informatica_1.pptx
Seguridad_Informatica_1.pptx
 
Ciberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers MéxicoCiberseguridad después del COVID-19 - Speakers México
Ciberseguridad después del COVID-19 - Speakers México
 
Areas de responsabilidad TIC
Areas de responsabilidad  TICAreas de responsabilidad  TIC
Areas de responsabilidad TIC
 
Ciberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casaCiberseguridad en tiempos de trabajo en casa
Ciberseguridad en tiempos de trabajo en casa
 
Security intelligence and big data (2015)
Security intelligence and big data (2015)Security intelligence and big data (2015)
Security intelligence and big data (2015)
 
Cómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridadCómo gestionar los riesgos de ciberseguridad
Cómo gestionar los riesgos de ciberseguridad
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidad
 
Plan de continuidad
Plan de continuidadPlan de continuidad
Plan de continuidad
 
Admón del riesgo en informática.
Admón del riesgo en informática.Admón del riesgo en informática.
Admón del riesgo en informática.
 
Control de Aplicaciones - Hacking Corporativo - Auditoria Computacional
Control de Aplicaciones - Hacking Corporativo - Auditoria ComputacionalControl de Aplicaciones - Hacking Corporativo - Auditoria Computacional
Control de Aplicaciones - Hacking Corporativo - Auditoria Computacional
 

Más de David Solis

Más de David Solis (20)

Uso de Tecnología de Blockchain en una Infraestructura Financiera
Uso de Tecnología de Blockchain en una Infraestructura FinancieraUso de Tecnología de Blockchain en una Infraestructura Financiera
Uso de Tecnología de Blockchain en una Infraestructura Financiera
 
Industria de Seguros y Behavioral Economics
Industria de Seguros y Behavioral EconomicsIndustria de Seguros y Behavioral Economics
Industria de Seguros y Behavioral Economics
 
Percepción y Adopción de Tecnología: Disrupción en los Sistemas Financieros
Percepción y Adopción de Tecnología: Disrupción en los Sistemas FinancierosPercepción y Adopción de Tecnología: Disrupción en los Sistemas Financieros
Percepción y Adopción de Tecnología: Disrupción en los Sistemas Financieros
 
Ciencia, método y filosofía
Ciencia, método y filosofíaCiencia, método y filosofía
Ciencia, método y filosofía
 
American Options Valuation
American Options ValuationAmerican Options Valuation
American Options Valuation
 
Algoritmo EM
Algoritmo EMAlgoritmo EM
Algoritmo EM
 
Calibración del Modelo Heston usando Evolución Diferencial
Calibración del Modelo Heston usando Evolución DiferencialCalibración del Modelo Heston usando Evolución Diferencial
Calibración del Modelo Heston usando Evolución Diferencial
 
Reproducible Research
Reproducible ResearchReproducible Research
Reproducible Research
 
Prueba Kolmogorov-Smirnov
Prueba Kolmogorov-SmirnovPrueba Kolmogorov-Smirnov
Prueba Kolmogorov-Smirnov
 
Gestión de Continuidad de Negocio
Gestión de Continuidad de NegocioGestión de Continuidad de Negocio
Gestión de Continuidad de Negocio
 
Guía para la elaboración de un artículo científico
Guía para la elaboración de un artículo científicoGuía para la elaboración de un artículo científico
Guía para la elaboración de un artículo científico
 
Un Juego Diferencial Estocástico para Reaseguro
Un Juego Diferencial Estocástico para ReaseguroUn Juego Diferencial Estocástico para Reaseguro
Un Juego Diferencial Estocástico para Reaseguro
 
Valuación de Opciones Europeas con el Modelo de Heston utilizando Métodos de ...
Valuación de Opciones Europeas con el Modelo de Heston utilizando Métodos de ...Valuación de Opciones Europeas con el Modelo de Heston utilizando Métodos de ...
Valuación de Opciones Europeas con el Modelo de Heston utilizando Métodos de ...
 
Valuación de Opciones Europeas con el Modelo de Heston utilizando Métodos de ...
Valuación de Opciones Europeas con el Modelo de Heston utilizando Métodos de ...Valuación de Opciones Europeas con el Modelo de Heston utilizando Métodos de ...
Valuación de Opciones Europeas con el Modelo de Heston utilizando Métodos de ...
 
Caso Enron. Contabilidad Creativa, Ética Cuestionable o Actos Delictivos
Caso Enron. Contabilidad Creativa, Ética Cuestionable o Actos DelictivosCaso Enron. Contabilidad Creativa, Ética Cuestionable o Actos Delictivos
Caso Enron. Contabilidad Creativa, Ética Cuestionable o Actos Delictivos
 
Breve introducción a control óptimo y programación dinámica
Breve introducción a control óptimo y programación dinámicaBreve introducción a control óptimo y programación dinámica
Breve introducción a control óptimo y programación dinámica
 
Organizational Change Management for IT Projects
Organizational Change Management for IT ProjectsOrganizational Change Management for IT Projects
Organizational Change Management for IT Projects
 
Persi Diaconis y el lanzamiento de monedas
Persi Diaconis y el lanzamiento de monedasPersi Diaconis y el lanzamiento de monedas
Persi Diaconis y el lanzamiento de monedas
 
Valuación de Opciones Europeas con el Modelo de Heston utilizando el Método d...
Valuación de Opciones Europeas con el Modelo de Heston utilizando el Método d...Valuación de Opciones Europeas con el Modelo de Heston utilizando el Método d...
Valuación de Opciones Europeas con el Modelo de Heston utilizando el Método d...
 
Métodos de Diferencias Finitas
Métodos de Diferencias FinitasMétodos de Diferencias Finitas
Métodos de Diferencias Finitas
 

Último

Proyecto de aprendizaje_ DÍA DE LA MADRE.docx
Proyecto de aprendizaje_ DÍA DE LA MADRE.docxProyecto de aprendizaje_ DÍA DE LA MADRE.docx
Proyecto de aprendizaje_ DÍA DE LA MADRE.docx
YURISAYRI
 
ArEvalo ASN SD TESIS TARAPOTO PERU 2022 PP
ArEvalo ASN SD TESIS TARAPOTO PERU 2022 PPArEvalo ASN SD TESIS TARAPOTO PERU 2022 PP
ArEvalo ASN SD TESIS TARAPOTO PERU 2022 PP
FLORDEMARAQUISPESALA
 
Metodología de la investigación, 4ta Edición - César A. Bernal-FREELIBROS.ME.pdf
Metodología de la investigación, 4ta Edición - César A. Bernal-FREELIBROS.ME.pdfMetodología de la investigación, 4ta Edición - César A. Bernal-FREELIBROS.ME.pdf
Metodología de la investigación, 4ta Edición - César A. Bernal-FREELIBROS.ME.pdf
CesarRafaelBarreraBe1
 

Último (20)

Programas Generación Digital · Generación D Pymes - Personas de Equipos Direc...
Programas Generación Digital · Generación D Pymes - Personas de Equipos Direc...Programas Generación Digital · Generación D Pymes - Personas de Equipos Direc...
Programas Generación Digital · Generación D Pymes - Personas de Equipos Direc...
 
López-Administración de proyectos estudios de
López-Administración de proyectos estudios deLópez-Administración de proyectos estudios de
López-Administración de proyectos estudios de
 
Aceros de Guatemala Orígenes y Propósito de la Corporación que Revolucionó la...
Aceros de Guatemala Orígenes y Propósito de la Corporación que Revolucionó la...Aceros de Guatemala Orígenes y Propósito de la Corporación que Revolucionó la...
Aceros de Guatemala Orígenes y Propósito de la Corporación que Revolucionó la...
 
Cosas generales sobre la empresa mezcal con orgullo
Cosas generales sobre la empresa mezcal con orgulloCosas generales sobre la empresa mezcal con orgullo
Cosas generales sobre la empresa mezcal con orgullo
 
PRESENTACION FIDELIZACION DE CLIENTES.ppt
PRESENTACION FIDELIZACION DE CLIENTES.pptPRESENTACION FIDELIZACION DE CLIENTES.ppt
PRESENTACION FIDELIZACION DE CLIENTES.ppt
 
Proyecto de aprendizaje_ DÍA DE LA MADRE.docx
Proyecto de aprendizaje_ DÍA DE LA MADRE.docxProyecto de aprendizaje_ DÍA DE LA MADRE.docx
Proyecto de aprendizaje_ DÍA DE LA MADRE.docx
 
Cantos de las comunidades cristianas.pdf
Cantos de las comunidades cristianas.pdfCantos de las comunidades cristianas.pdf
Cantos de las comunidades cristianas.pdf
 
Revista La Verdad - Edición Abril 2024
Revista La Verdad  -  Edición Abril 2024Revista La Verdad  -  Edición Abril 2024
Revista La Verdad - Edición Abril 2024
 
APE 7. SEMANA 7 PROYECTOS DE INVERSIÓN.pdf
APE 7. SEMANA 7 PROYECTOS DE INVERSIÓN.pdfAPE 7. SEMANA 7 PROYECTOS DE INVERSIÓN.pdf
APE 7. SEMANA 7 PROYECTOS DE INVERSIÓN.pdf
 
Planeación estratégica y PETI para la empresa.pptx
Planeación estratégica y PETI para la empresa.pptxPlaneación estratégica y PETI para la empresa.pptx
Planeación estratégica y PETI para la empresa.pptx
 
MENTORÍA en Habilidades Blandas Comunicación Efectiva, Trabajo en Equipo, L...
MENTORÍA en Habilidades Blandas Comunicación Efectiva, Trabajo en Equipo, L...MENTORÍA en Habilidades Blandas Comunicación Efectiva, Trabajo en Equipo, L...
MENTORÍA en Habilidades Blandas Comunicación Efectiva, Trabajo en Equipo, L...
 
PPT MEF en Vivo_Cuenta General de la República 2022 (PDF).pdf
PPT MEF en Vivo_Cuenta General de la República 2022 (PDF).pdfPPT MEF en Vivo_Cuenta General de la República 2022 (PDF).pdf
PPT MEF en Vivo_Cuenta General de la República 2022 (PDF).pdf
 
TRABAJO DE ECOMERCIO ADMINISTRACIÓN 1 CICLO
TRABAJO DE ECOMERCIO ADMINISTRACIÓN 1 CICLOTRABAJO DE ECOMERCIO ADMINISTRACIÓN 1 CICLO
TRABAJO DE ECOMERCIO ADMINISTRACIÓN 1 CICLO
 
Mezcal con orgullo: Empresa que fabrica mezcal
Mezcal con orgullo: Empresa que fabrica mezcalMezcal con orgullo: Empresa que fabrica mezcal
Mezcal con orgullo: Empresa que fabrica mezcal
 
Entrega de Premios Vocación Digital Raiola 2024
Entrega de Premios Vocación Digital Raiola 2024Entrega de Premios Vocación Digital Raiola 2024
Entrega de Premios Vocación Digital Raiola 2024
 
Infografía RESPONSABILIDAD CIVIL Y PENAL - CULPA PATRONAL
Infografía RESPONSABILIDAD CIVIL Y PENAL - CULPA PATRONALInfografía RESPONSABILIDAD CIVIL Y PENAL - CULPA PATRONAL
Infografía RESPONSABILIDAD CIVIL Y PENAL - CULPA PATRONAL
 
ArEvalo ASN SD TESIS TARAPOTO PERU 2022 PP
ArEvalo ASN SD TESIS TARAPOTO PERU 2022 PPArEvalo ASN SD TESIS TARAPOTO PERU 2022 PP
ArEvalo ASN SD TESIS TARAPOTO PERU 2022 PP
 
Metodología de la investigación, 4ta Edición - César A. Bernal-FREELIBROS.ME.pdf
Metodología de la investigación, 4ta Edición - César A. Bernal-FREELIBROS.ME.pdfMetodología de la investigación, 4ta Edición - César A. Bernal-FREELIBROS.ME.pdf
Metodología de la investigación, 4ta Edición - César A. Bernal-FREELIBROS.ME.pdf
 
576Presentación CULPA PATRONAL (Responsabilidad Civil y Penal).pdf
576Presentación CULPA PATRONAL (Responsabilidad Civil y Penal).pdf576Presentación CULPA PATRONAL (Responsabilidad Civil y Penal).pdf
576Presentación CULPA PATRONAL (Responsabilidad Civil y Penal).pdf
 
JAMAL SPORTS.pptx.documento_de_explicacion
JAMAL SPORTS.pptx.documento_de_explicacionJAMAL SPORTS.pptx.documento_de_explicacion
JAMAL SPORTS.pptx.documento_de_explicacion
 

Toma de decisiones en condiciones VUCA

  • 1. Toma de Decisiones en Condiciones VUCA Análisis de dos casos de ataques cibernéticos de robo de información Análisis Cuantitativo del Riesgo Etica e incertidumbre David Solís
  • 2. Resumen La privacidad de los datos y la seguridad cibernética son riesgos reales para las empresas. Los delitos cibernéticos representan una seria amenaza para las empresas no sólo en el aspecto económico y pueden llevar la organización al colapso: a raíz de la filtración de los datos, ya sea robo o pérdida,, la mayoría de los empleados responsables pueden ser despedidos o enfrentar cargos por responsabilidad profesional, la empresa puede enfrentar investigaciones regulatorias, multitud de demandas, interrupción de los servicios de negocio, caída del precio de las acciones y la reputación de la empresa puede debilitarse. El hacking es un problema grave, una amenaza potencial para todos las empresas habilitadas por sistemas de software. Cómo las empresas responden a este tipo de incidentes puede dañar su reputación y confianza. Dado que las implicaciones son a menudo complejas, el procedimiento de toma decisiones para frenar los daños potenciales es a menudo difícil. La Dirección y Administración deben evaluar las iniciativas y decisiones desde el punto de vista ético.
  • 3. Estado Actual de los Incidentes de Infiltración 1 Casos de Estudio 2 Línea de Tiempo 3 Marcos de Referencia 4 Conclusiones 5 Referencias 6 Q & A 7
  • 4.
  • 5. 1,378,509,261 1,792 52.2% 4.2% NUMERO DE INCIDENTES REGISTROS COMPROMETIDOS EN 2016 INCIDENTES DONDE SE DESCONOCE EL NUMERO DE REGISTROS COMPROMETIDOS INCIDENTES DONDE LOS DATOS ESTABAN ENCRIPTADOS CADA SEG. 44 CADA MINUTO 2,623 CADA DIA 3,776,738 CADA HORA 157,364 FRECUENCIADEREGISTROS PERDIDOSOROBADOS Fuente: Breach Level Index
  • 7.
  • 8.
  • 9.
  • 10.
  • 11.
  • 12.
  • 13. Estado Actual de los Incidentes de Infiltración 1 Casos de Estudio 2 Línea de Tiempo 3 Marcos de Referencia 4 Conclusiones 5 Referencias 6 Q & A 7
  • 15. Target - Propósito y Convicciones 14
  • 16.
  • 17. Home Depot - Valores 16
  • 18. ‣ Noviembre / Diciembre 2013 ‣ Los hackers se conectaron a la red con credenciales robadas a la empresa de calefacción y ventilación Fazio Mechanical Services, que robaron a través de un sofisticado ataque de phishing. ‣ Los hackers fueron capaces de cargar programas de malware en los sistemas POS de Target y permanecer sin ser detectados. ‣ Se comprometieron los datos de tarjetas de 40 millones e información personal de 70 millones de clientes. 110 MILLONES PERSONAS AFECTADAS
  • 19. ‣ Repercusiones • Las ganancias cayeron 41% durante los primeros seis meses del año fiscal. • Los costos acumulados son de $292 millones, se han recuperado $90 millones por seguros, siendo $202 millones los costos netos. • El CEO Gregg Steinhafel y la CIO Beth Jacob renunciaron. ‣ ¿Qué podría haber hecho Target de manera diferente? • Asegurar adecuadamente el acceso de terceros a su red. • Segmentar la red para que terceros no pudieran acceder información sensible. • Pruebas periódicas de sus sistema para identificación temprana de vulnerabilidades.
  • 20.
  • 21. ‣ Septiembre 2014 (Abril 2014) ‣ Los hackers utilizaron credenciales de terceros para entrar en la red y instalaron malware en los POS’ a través de una vulnerabilidad sin actualización. ‣ La infracción involucró 56 millones de tarjetas y 53 millones de direcciones de correo electrónico de clientes. ‣ Home Depot enfrenta al menos 44 demandas. ‣ Los costos acumulados a enero de 2017 son de $298 millones, se han recuperado $100 millones por seguros, siendo $198 millones los costos netos. 109 MILLONES PERSONAS AFECTADAS
  • 22. ‣ ¿Cuáles fueron las áreas de oportunidad? • La alta dirección fue complaciente con la seguridad de la información. La respuesta de la compañía fue lenta y tardó en tomar medidas. Cuando los empleados pidieron capacitación en seguridad, la respuesta de la dirección fue: “Nosotros Vendemos martillos” • Presuntamente se utilizaba una versión no actualizada del software antivirus de Symantec para proteger su red. • Riguroso control de los empleados. Home Depot contrató a un ingeniero de software para la supervisión de la seguridad en 2.200 tiendas. Dicho ingeniero había estado en prisión por desactivar deliberadamente las computadoras en la empresa anterior. • Pruebas periódicas de sus sistema para identificación temprana de vulnerabilidades.
  • 23.
  • 24. Estado Actual de los Incidentes de Infiltración 1 Casos de Estudio 2 Línea de Tiempo 3 Marcos de Referencia 4 Conclusiones 5 Referencias 6 Q & A 7
  • 25. Precio Acción - Home Depot 24
  • 26. Precio Acción - Home Depot 25 56 m illion custom ercredit and debitcard accounts 53 m illion custom erem ail addresses
  • 27. Precio Acción - Target 26
  • 28. Precio Acción - Target 27
  • 29. Precio Acción - Target 28
  • 30. Precio Acción - Target 28 In future years, Target Canada will serve as a gold standard case study in what retailers should not do when they enter a new market. From opening too many stores at once to a lack of a sales website, Target took multiple missteps — some of them operational, some strategic — in order to flop as spectacularly as it did in Canada, the sum total of which resulted in a group of highly disenchanted consumers. “We missed the mark from the beginning by taking on too much too fast,” chief executive Brian Cornell conceded in a company blog post on Thursday as the company announced it is shutting down its 133 Canadian stores just two years after its much-anticipated launch.
  • 31. 29
  • 32. 29
  • 33. Precio Acción - Target 30
  • 34. 31
  • 35. Precio Acción - Target 32
  • 36. Precio Acción - Target 32 Las acciones de Target cayeron el 28 de febrero de 2017, pero no se debió a su política del uso del baño de casi un año. La caída se debió a la plática sobre las expectativas financieras durante un evento del día del inversionista realizada ese mismo día.
  • 37.
  • 38. 34 Wall Street was expecting Target to project earnings of $5.30 per share, but the company instead gave guidance of $3.80 to $4.20 per share which was “well below” expectations, prompting the drop in share value What is dogging Target and other retailers has been competition with all- online retailers like Amazon, which do not have the overhead cost of brick-and-mortar locations. Although Target offers online shopping, profit there tends to be lower due to associated costs like shipping and price competition from the likes of Amazon. Department stores across the country are paying the price for underestimating Amazon this holiday season.
  • 39. Impacto en el precio de la acción 35 This mismatch between the stock price and the medium and long-term impact on companies’ profitability should be addressed through better data. Shareholders still don’t have good metrics, tools, and approaches to measure the impact of cyber attacks on businesses and translate that into a dollar value. In most cases, at the time a security breach is disclosed, it is almost impossible for shareholders to assess its full implications. Shareholders should look beyond short-term effects and examine the impact on other factors, such as overall security plans, profitability, cash flow, cost of capital, legal fees associated with the breach, and potential changes in management.
  • 40. Precio de la acción vs ataque cibernético 36 ‣ No entendemos las implicaciones. • Debido a la proliferación de empresas habilitadas por tecnología y modelos digitales de negocios se ha vuelto común escuchar noticias frecuentes de ataques cibernéticos. ‣ No podemos medir su impacto. • Dado que no se cuenta con herramientas suficientes para medir el impacto de los ataques, se está a merced de las empresas para revelar los impactos de sus propias brechas de datos corporativos. Los incidentes pueden tener un efecto a largo plazo en la empresa, ya que aborda varios juicios legales y la disminución de la confianza de los consumidores ‣ Las compañías no divulgan los incidentes inmediatamente. • A menudo los sistemas infiltrados se encuentran comprometidos durante varios meses antes de que la compañía llegue a ser consciente - y podría ser otras pocas semanas o meses hasta que la compañía tenga un diagnóstico completo para divulgar públicamente el incidente. Razones por las que no hay impacto
  • 41. Precio de la acción vs ataque cibernético 36 ‣ No entendemos las implicaciones. • Debido a la proliferación de empresas habilitadas por tecnología y modelos digitales de negocios se ha vuelto común escuchar noticias frecuentes de ataques cibernéticos. ‣ No podemos medir su impacto. • Dado que no se cuenta con herramientas suficientes para medir el impacto de los ataques, se está a merced de las empresas para revelar los impactos de sus propias brechas de datos corporativos. Los incidentes pueden tener un efecto a largo plazo en la empresa, ya que aborda varios juicios legales y la disminución de la confianza de los consumidores ‣ Las compañías no divulgan los incidentes inmediatamente. • A menudo los sistemas infiltrados se encuentran comprometidos durante varios meses antes de que la compañía llegue a ser consciente - y podría ser otras pocas semanas o meses hasta que la compañía tenga un diagnóstico completo para divulgar públicamente el incidente. Razones por las que no hay impacto Es importante tener en cuenta que mientras el precio de las acciones puede parecer no afectado, las empresas enfrentan consecuencias en otras formas, incluyendo el gasto de millones de dólares para actualizar sus sistemas de seguridad y para resolver las demandas relacionadas.
  • 42. Estado Actual de los Incidentes de Infiltración 1 Casos de Estudio 2 Línea de Tiempo 3 Marcos de Referencia 4 Conclusiones 5 Referencias 6 Q & A 7
  • 44. VUCA - Marco de Referencia 39
  • 45. VUCA - Enfoque de Solución 40
  • 46. Teorías Normativas de la Etica Empresarial 41 ‣ La Dirección y Administración deben evaluar las iniciativas y decisiones desde el punto de vista ético. ‣ La mayoría de los ejecutivos no tienen una formación formal en ética, filosofía y razonamiento moral. ‣ Es difícil determinar o discutir normas sociales. ‣ Hay tres teorías de la ética empresarial que son útiles para evaluar una iniciativa o decisión.
  • 47. 42
  • 48. Teorías Normativas de la Etica Empresarial 43 Teoría Definición Métricas Accionista Maximizar la inversión de los accionistas de manera legal y no fraudulenta. ¿Esta acción maximizará el valor del accionista? ¿Pueden lograrse objetivos sin comprometer los estándares de la empresa y sin infringir las leyes? Stakeholder Maximizar los beneficios para todos los interesados mientras se compensan los los intereses en conflicto. ¿La acción propuesta maximiza los beneficios colectivos para la empresa? ¿Esta acción trata injustamente a una de las partes interesadas? Compromiso Social Crear valor para la sociedad de una manera justa y no discriminatoria. ¿Esta acción crea un beneficio "neto" para la sociedad? ¿La acción propuesta discrimina a cualquier g r u p o e n p a r t i c u l a r, y s u implementación es socialmente justa?
  • 49. Notificación de Datos Personales y Acta de Protección National Cybersecurity Protection Act of 2014 ‣ Un solo estándar nacional. ‣ Notificación a las personas dentro de 3 0 d í a s d e l incidente. ‣ El castigo puede ser hasta de 30 años de prisión.
  • 50. Estado Actual de los Incidentes de Infiltración 1 Casos de Estudio 2 Línea de Tiempo 3 Marcos de Referencia 4 Conclusiones 5 Referencias 6 Q & A 7
  • 51. Conclusiones 46 ‣ Aunque los incidentes fueron parecidos, los casos de Target y Home Depot son inconmensurables. ‣ Es más fácil y económico implementar un programa de administración de seguridad de la información que asumir las consecuencias de un ataque. ‣ La cyber seguridad tiene que ser un objetivo de la alta dirección. ‣ Es necesario evaluar decisiones e iniciativas desde la ética empresarial para tener un balance entre los intereses de todos los stakeholders. ‣ Aunque el precio de la acción puede no verse afectado después de un incidente de seguridad, la credibilidad y reputación si son afectadas y hay consecuencias cuyo costo económico es enorme. ‣ Se requiere un enfoque integral (TOGAF, COBIT, COSO, GRC), administración de riesgos (ISO 31000) y cumplimento de estándares de seguridad (ISO 27001, PCI DSS, HIPAA, entre otros).
  • 52. Estado Actual de los Incidentes de Infiltración 1 Casos de Estudio 2 Línea de Tiempo 3 Marcos de Referencia 4 Conclusiones 5 Referencias 6 Q & A 7
  • 53. 48 Referencias 978-1-119-24428-8 978-1-466-67476-9 978-3-319-16888-3 978-3-319-40553-7 978-1-137-51358-8978-1-605-09002-3
  • 54. Estado Actual de los Incidentes de Infiltración 1 Casos de Estudio 2 Línea de Tiempo 3 Marcos de Referencia 4 Conclusiones 5 Referencias 6 Q & A 7
  • 55. Q & A