BDO Argentina | API (Aseguramiento de Procesos Tecnológicos)
CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados (Video)
En el marco del MEGAEVENTO INFOSECURITY 2018, participamos brindando esta exposición, cuyo objetivo fue determinar que es la ciberseguridad y como abordar problemas que surgen de las brechas entre los diferentes dominios de seguridad en el entorno del ciberespacio, desde los proyectos tecnológicos y su implicancia para el negocio.
1. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos
API
Aseguramiento de Procesos Informáticos
RAS | Risk Advisory Services | IT Assurance, Audit and Compliance
CIBERSEGURIDAD Y NEGOCIO
El costo de estar conectados
2. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos
BDO EN EL MUNDO BDO EN ARGENTINA
RANKING GLOBAL RANKING LOCAL RANKING DE
FIRMAS AUDITORAS
RANKING DE AUDITORÍA
International Accounting Bulletin
Enero 2016
Revista Mercado
Junio 2017
Comisión Nacional de Valores
2017
Prensa Económica
Enero 2017
5ª 5ª
5ª
5
Somos la quinta firma de
auditoría durante los
últimos 15 años.
Firma de auditoras de
empresas públicas de
Argentina.
“BDO logró la quinta
posición, con un
aumento de nada menos
que el 56% en el total de
las ventas de sus
auditadas.”
SOPORTE CONSULTORÍA RELACIÓN PRECIO - CALIDAD
5ª 1ª 2ª
Information Technology / Enero 2017 Information Technology / Enero 2017 Information Technology / Enero 2017
Resultado de la
Encuesta de opinión
a clientes
Clientes satisfechos / muy satisfechos
Dispuestos a recomendar BDO
Afirman que cumplimos sus expectativas
2015
93%
93%
92%
3. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
2,000+
IT AND
CYBERSECURITY
PROFESSIONALS
WORLDWIDE
160+
COUNTRIES
CCE
BDO CYBERSECURITY
CENTER OF
EXCELLENCE
CGA
BDO CYBERSECURITY
GLOBAL ALLIANCE
CSP
BDO CYBERSECURITY
STRATEGIC PARTNERSHIPS
Industry leaders in:
Cloud migration services
& security
Cyber threat intelligence
Network operations
centers & security
operations centers
Cybersecurity awareness,
training & simulations
4. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
GOBIERNO DE LA INFORMACIÓN Y
PRIVACIDAD DE DATOS
Mapeo de datos, Evaluaciones de
privacidad de datos, Estrategia de
privacidad de datos e
implementación, Evaluaciones de
gobierno de la información
EVALUACIONES DE RIESGO
CIBERNÉTICO
Evaluaciones de riesgos en
base a múltiples
frameworks, remediación
de riesgos cibernéticos,
auditoría de TI
INTELIGENCIA CIBERNÉTICA
Análisis web, redes sociales y
recursos de colaboración;
evaluación e implementación
de calidad de la seguridad
cibernética
RESPUESTA ANTE INCIDENTE
Investigaciones de violación de
datos; investigación de fraudes;
entrenamiento y pruebas;
simulaciones; análisis de datos
SERVICIOS DE SEGURIDAD GESTIONADOS
Evaluaciones de amenazas, pruebas de
penetración, evaluaciones de
vulnerabilidad, migración y seguridad en
la nube, gestión de incidentes y eventos
de seguridad
ESTRATEGIA DE CIBERSEGURIDAD,
POLÍTICA Y DISEÑO DEL PROGRAMA
Servicios de asesoramiento a CIOs y
CISOs, Consultoría de estrategia
cibernética, Cumplimiento
normativo, Consultoría de gobierno
de TI y Seguridad de la Información
PAYMENT CARD INDUSTRY (PCI)
Evaluación y remediación PCI,
evaluaciones de terceros, SAQ y ROC
Productos y servicios integrales de ciberseguridad
5. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Perfil del expositor
Fabián Descalzo
ITILv3:2011, ISO27001LA, ISO20000LA, COBIT 5
Gerente de Aseguramiento de Procesos Informáticos de la practica Risk Advisory Services | IT Assurance, Audit
and Compliance en BDO Argentina. Posee 28 años de experiencia en el área de gestión e implementación de
Gobierno de Seguridad de la Información, Gobierno de TI, Compliance y Auditoría de TI en Argentina y
Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e Internacionales en
compañías de primer nivel de diferentes áreas de negocio.
Docente del módulo 27001 de las Diplomaturas de “IT Governance, Uso eficiente de Frameworks” y “Gobierno y
Gestión de Servicios de TI” del Instituto Tecnológico Buenos Aires (ITBA), Docente del Módulo de Auditoría de IT
de la Diplomatura en Delitos Informáticos para EDI en la Universidad Nacional de Río Negro y Docente en
Sistemas de Gestión IT, Seguridad de la Información y Auditoría IT para TÜV Rheinland.
Miembro del Comité Directivo de ISACA Buenos Aires Chapter, Miembro del Comité Directivo del “Cyber Security
for Critical Assets LATAM” para Qatalys Global sección Infraestructura Crítica, Miembro del Comité Científico del
IEEE (Institute of Electrical and Electronics Engineers)
CERTIFICACIONES:
• COBIT5 Foundation (Certificate Number 02363587-01-2EVV - APMG International)
• Lead Auditor ISO/IEC 20000:2011 (Certificate Number 17-6510 - TÜV Rheinland)
• ISMS Auditor / Lead Auditor ISO/IEC 27001 (Certificate Number IT2566710 - IRCA / TÜV Rheinland)
• Dirección de seguridad de la información (Universidad CAECE)
• ITIL® version 3:2011, Certification for Information Management (EXIN License EXN4396338)
• ITIL® version 3:2011, Certification for Accredited Trainer (EXIN Accreditation)
• Foundation ISO/IEC 20000-1:2011, Implementación de SGSIT (LSQA - LATU)
• Internal Audit ISO/IEC 20000:2011, Auditor Interno en SGSIT (LSQA - LATU)
6. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Agenda
Consideraciones preliminares sobre ciberseguridad
Cyber: La dependencia tecnológica
Probabilidad e impacto, variables en aumento
Información, TIC y ciberseguridad
Delitos cibernéticos
Los cinco mandatos de la ciberseguridad
Los cinco dilemas de la ciberseguridad
Modernización vs. protección de infraestructura crítica
Protección de datos vs. intercambio de información
Implementando Estrategias de Seguridad Cibernética
Ciberdefensa Colectiva
El camino hasta ahora
Conclusión
7. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Consideraciones preliminares sobre ciberseguridad
El ciberespacio es un entorno
complejo resultante de la
interacción de personas,
software y servicios en
Internet a través de
dispositivos tecnológicos y
redes conectadas a él.
ACTIVOS
La
información
Software
Hardware
Servicios de
infraestructu
ra
Las personas,
sus
habilidades y
experiencia
Los activos
intangibles
8. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Consideraciones preliminares sobre ciberseguridad
Aborda problemas que surgen de las brechas entre los diferentes dominios de seguridad en el
entorno del ciberespacio
Seguridad de la
información
Seguridad en
internet
Seguridad de la
red
Seguridad en
las TICs
Cibercrimen
Ciberseguridad
9. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Probabilidad e impacto, variables en aumento
Fuente: SYMANTEC – 2017 Estadística global en 157 países
Ranking
Industria Cantidad de identidades Porcentaje
1 Servicios 914,382,512 90.1
2 Manufactura 56.782.089 5.6
3 Comercio al por menor 13.173.167 1.3
4 Minería 9.758.832 1.0
5 Construcción 7,963,470 0.8
6 Transporte y servicios públicos 6,243,712 0.6
7 Finanzas, Seguros y Bienes Raíces 3.554.225 0.4
8 Comercio al por mayor 2,051,635 0,2
9 Administración pública 1,198,971 0,1
10 establecimientos no clasificables 685 <0.1
Sectores vulnerados por robo de identidad
10. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Probabilidad e impacto, variables en aumento
Fuente: SYMANTEC – 2017 Estadística global en 157 países
Daños por cibercrimen
será de 6 billones de
dólares en el mundo en
2021
En 2022 se prevé que
6.000 millones de
personas podrían ser
blanco de la ciber-
delincuencia
Por cada especialista en
seguridad habrá 3
Ciber-delincuentes
El malware móvil,
mantiene un
crecimiento del 150%
La demanda de rescate
promedio en las nuevas
familias descubierta
aumentó de U$S 294 a
U$S 1,077
Solo para las empresas
industriales, el ataque
ransomware de NotPetya de
junio de 2017, implicó
perdidas de más de € 1.000
millones.
Una razón por la cual NotPetya logró infectar tantas máquinas tan rápidamente, es porque los
usuarios no vieron una actualización de software automatizada como un riesgo de seguridad
11. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Información, TIC y ciberseguridad
Garantía de la
Información
Seguridad Informática
Garantiza disponibilidad y
funcionamiento de los
sistemas
Seguridad de la
Información
Aseguramiento de la
información y evaluación
de qué información debe
protegerse
Seguridad de las TIC
confidencialidad, integridad y disponibilidad
Cadena de
suministro de TIC
12. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Información, TIC y ciberseguridad
ISO/IEC 20000
ITIL
ISO/IEC 27001
NIST Serie SP 800
ISO/IEC 38500
COBIT 5
ISO/IEC
27032
13. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Información, TIC y ciberseguridad
Modelo de
Negocio
Modelo de
Negocio
Usuariosdel
Servicio
Usuariosdel
Servicio
PatronesdeusoPatronesdeuso
VisiónyalcanceVisiónyalcance
Diseño del ServicioDiseño del Servicio
Diseño y ArquitecturaDiseño y Arquitectura
Capacidady
disponibilidad
Capacidady
disponibilidad
ContinuidadContinuidad
SeguridadSeguridad
Análisisydiseño
aplicativo
Análisisydiseño
aplicativo
NiveldeServicioNiveldeServicio
Construcción del
Servicio
Construcción del
Servicio
Montaje de
infraestructura
Montaje de
infraestructura
HDWySFWde
base
HDWySFWde
base
ComunicacionesComunicaciones
Construcción
de software
Construcción
de software
DesarrolloDesarrollo
PruebasPruebas
14. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Delitos cibernéticos
15. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Delitos cibernéticos
Mercado negro de la información:
Donde todo tiene un precio
16. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Mandatos y dilemas de la ciberseguridad
17. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Mandatos y dilemas de la ciberseguridad
18. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Modernización vs. protección de infraestructura crítica
ISO / IEC TR 27019: 2013 proporciona principios
rectores basados en ISO / IEC 27002 para la
gestión de la seguridad de la información aplicada
a los sistemas de control de procesos utilizados
en la industria de los servicios de energía.
19. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Protección de datos vs. intercambio de información
CAPA DE USUARIO
CAPA TÉCNICA O
INFRAESTRUCTURA
CAPA DE
COMUNICACIONES CAPA DE
PROvEEDORES
CAPA
DOCUMENTAL
CAPA
REGULATORIA
20. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Implementando Estrategias de Seguridad Cibernética
Tipo de datos a utilizar
Interacción
con otras
aplicaciones
vínculos y accesos externos
Controles sobre
la operación de
3ras partes
Aplicar
marco
normativo
interno
Regulaciones del
negocio a aplicar
internamente y
con terceros
Otras
Regulaciones
Seguridad perimetral
Documentar
controles a
terceros
21. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Ciberdefensa Colectiva
Experiencias
Previsión
Protección coordinada
Conocimiento
Actualización
Participación
Equipos de trabajo
interempresariales
Relación con entidades
gubernamentales de
seguridad
Asociaciones y
Cámaras Empresarias
Publicaciones
Organismos
Internacionales
22. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
El camino hasta ahora
Empresas sufrieron
incidentes que vulneraron
su seguridad
Cree que el nivel de
seguridad de su empresa
es Débil o inexistente.
Fuente: BDO Argentina – 2018 Estadística LATAM en 500 empresas
4 sobre 10 45%
¿Cuenta su organización con un
área de seguridad de la
información?
¿Cuenta con presupuesto para la
gestión de seguridad de la
información?
¿Posee dentro de su estrategia
temas relacionados con
ciberseguridad?
23. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos| API Aseguramiento de Procesos Informáticos
Conclusión
Personas
Tecnología
Procesos
Operación de los procesos y
aplicación de conocimiento
Servicios e infraestructura
adecuada para el Negocio
Adecuados para el
cumplimiento de los
objetivos
24. CIBERSEGURIDAD Y NEGOCIO El costo de estar conectados
| API Aseguramiento de Procesos Informáticos
API
Aseguramiento de Procesos Informáticos
RAS | Risk Advisory Services | IT Assurance, Audit and Compliance
Maipú 942, PB. C1006ACN
Rondeau 2664, PB - C1262ABH
Buenos Aires, ARGENTINA
www.bdoargentina.com
Auditoría y
Control IT
Ciberseguridad e
Infraestructura TI
Governance, Risk
& Compliance
Seguridad de
la Información
Pablo Silberfich – Socio API (pilberfich@bdoargentina.com)
Fabián Descalzo - Gerente API (fdescalzo@bdoargentina.com)