4. Pág. 4
Encuesta Global de Seguridad de Información 2014 de EY
Las
respuestas 60 países
5continentes
Que representan empresas de diversas
actividades económicas.
Recoge las
respuestas 1825
Ejecutivos
(C-Suite) y gerencias de sistemas y
seguridad de información a través de
40 preguntas.
Encuesta
EY
17ava
Muestra el estado actual de seguridad
cibernética de la que se desprenden
planteamientos concretos para ponerlos
en acción hoy.
Perú
el 3% del
universo
Perú representa el 3% de toda la
muestra.
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
5. Pág. 5
Crimen cibernético
¡El crimen
cibernético es un
negocio! Hoy los
ataques:
1
Son más organizados, no
es solo aprovechar una
oportunidad
2 Son fuertemente
financiados
3 Son planeados, hay un objetivo
concreto
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
6. Pág. 6
Crimen cibernético (cont.)
El crimen
cibernético es un
asunto a ser
atendido por la
empresa
2
La evolución de la tecnología
informática plantea nuevos retos y
amenazas a la seguridad de
información
1 Los ataques aprovechan las
vulnerabilidades operativas
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
8. Pág. 8
Resultados: “¿Quién o qué considera usted que sea la fuente más
probable de un ataque?”
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
0% 100%50%
Global Perú
57%
90%
35%
66%
De acuerdo a un
estudio de EY Perú
sobre fraude, 81%
de los casos fueron
perpetrados por el
propio personal.
Empleado
Contratista trabajando en la empresa
Cliente
Proveedor
Otro socio de negocios
Carteles criminales
Ataque auspiciado por gobiernos
Asociación de hackers
Hacker solitario
10%
0%
12%
34%
14%
27%
53%
7%
27%
5%
46%
54%
0%
68%
50% 100%
41%
0%
9. Pág. 9
Resultados: “¿Qué amenazas y vulnerabilidades incrementaron su
exposición al riesgo en los últimos 12 meses?”
Principales Vulnerabilidades:
► Controles obsoletos de seguridad de información
► Colaboradores imprudentes o poco concientizados
► Uso de nueva tecnología
► Uso de redes sociales
Principales Amenazas:
► Robo de información financiera
► Robo de propiedad intelectual
► Fraude
► Suplantación de identidad
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
10. Pág. 10
Resultados: “¿A qué área u oficina reportan directamente los responsables
de la seguridad de información en su organización?”
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Gerente de Tecnologías de Información
Departamento de TI pero no directamente al CIO
Gerente de Finanzas
Gerente de Operaciones
Gerente General
Gerente de riesgos
Departamento de Auditoría Interna
Líder de la unidad de negocio
Otro
Departamento Legal y de Cumplimiento
La conformación de un
comité ejecutivo permite
formalizar las
responsabilidades de
cada área participante.
La ejecución de los
aspectos técnicos de los
temas de seguridad de
información
corresponden al área
informática, al igual que
definiciones de control
que deben contar con la
opinión y respaldo de las
demás gerencias.
49%
52%
15%
26%
5%
9%
24%
9%
24%
14%
0%
8%
2%
9%
0%
0%
0%
8%
9%
7%
Global Perú
11. Pág. 11
Resultados: ”Indique si el presupuesto designado a la seguridad de
información cambiará en los próximos 12 meses.”
La gerencia requiere un
mejor entendimiento de
las amenazas y
vulnerabilidades de su
empresa frente a los
ataques cibernéticos,
debido a que las
amenazas se
incrementan año a año y
la preparación y
prevención en las
empresas se debe
mejorar.
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Se reducirá en más de 25%
Se reducirá entre el 15% y 25%
Se reducirá entre el 5% y el 15%
Permanecerá igual (entre +5% y -5%)
Se incrementará entre el 15% y 25%
Se incrementará en más del 25%
Se incrementará entre el 5% y 15%
Global Perú
0%
9%
2%
12%
66%
31%
29%
43%
2%
3%
0%
1%
0%
1%
12. Pág. 12
Resultados: “En su opinión, ¿cuál es la probabilidad de que su
organización sea capaz de detectar un ataque sofisticado?”
56% de las empresas
encuestadas a nivel
Global y 53% en el Perú
declaran tener poca
probabilidad de detectar
un ataque sofisticado. A
nivel internacional y local
hay una alta exposición a
varios riesgos, entre
ellos los reputacionales.
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Global Perú
22%
24%
34%
29%
36%
34%
8%
12%
56% 53%
Global Perú
Muy improbable
(0% – 20% de probabilidad)
Improbable
(20% – 25% de probabilidad)
Probable
(50% – 80% de probabilidad)
Muy probable
(80% – 100% de probabilidad)
13. Pág. 13
Resultados: “¿Cuáles son los principales motivos que dificultan la
efectividad de la seguridad de información?”
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
37%
53%
68%
63%
20%
32%
46%
30%
29%
51%
12%
20%
Global Perú
Sin personal calificado,
herramientas técnicas y
presupuestos
adecuados, será difícil
para las empresas
mejorar su nivel de
prevención y mitigación
de riesgos de seguridad
de información.
Falta de recursos especializados
Restricciones presupuestarias
Falta de conciencia o soporte ejecutivo
Problemas de gestión y gobernabilidad
Falta de herramientas de calidad para
la gestión de seguridad de la información
Fragmentación del cumplimiento
de normas / regulaciones
14. Pág. 14
Resultados: “¿Qué porcentaje de gasto o esfuerzo se asigna a los
controles de seguridad de información?”
37%
25% 22%
16%
Fortalecer controles existentes Controles detectivos nuevos Controles preventivos nuevos Controles de gobierno de TI
nuevos
Perú
21%
29%
21%
18%
Fortalecer controles existentes Controles detectivos nuevos Controles preventivos nuevos Controles de gobierno de TI
nuevos
Global
Nuevos controles
detectivos
atienden las
necesidades
derivadas del uso
de nueva
tecnología digital.
El fortalecer los
controles
existentes
atiende las
necesidades de
hoy.
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
15. Pág. 15
Resultados: “¿Existe un rol o función en el área de seguridad de información dedicada al
análisis y evaluación de tecnologías emergentes y el impacto en la seguridad de
información?”
No
20%
No, pero
planeo
implementarlo
63%
Si
17%
Perú
No
39%
No, pero
planeo
implementarlo
19%
Si
42%
Global
El uso de las tecnologías emergentes (cloud, computación móvil, entre otras) sin el análisis de impacto en
la seguridad de información puede generar vulnerabilidades en la empresa.
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
17. Pág. 17
¿Cómo adelantarse a los delitos cibernéticos?
Las organizaciones
necesitan establecer y
mejorar los fundamentos
de su seguridad de
información.
Focalizándonos en las tres As:
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Activar Adaptar Anticipar
Debido al cambio constante de
las organizaciones y la
tecnología, las amenazas
cibernéticas están
evolucionando; por lo tanto, la
seguridad cibernética tiene que
adaptarse a estos cambios de
entorno y requerimientos.
Las organizaciones necesitan
conocer las tendencias
tecnológicas y organizacionales
para estar mejor preparadas
frente a los ataques cibernéticos.
19. Pág. 19
Los fundamentos de la
seguridad cibernética
Participación de
ejecutivos
Acceso a datosRecursos Costo vs. valorDesempeño
¿Cuáles son los problemas?
¿Cuáles son las implicancias?
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
20. Pág. 20
Actividades que se deben realizar
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Realizar un diagnóstico de las
amenazas existentes y diseñar e
implementar un plan de acción
orientado a resolver las amenazas.
Contar con el apoyo del
Directorio en temas de
seguridad de
información.
Gestionar la seguridad de
información a partir de políticas,
procedimientos y estándares
actualizados.
Establecer el Centro de
Operaciones de Seguridad para
el monitoreo y respuesta a
incidentes.
Diseñar e implementar controles para la
seguridad cibernética.
► Diagnosticar la efectividad de la prevención
de la pérdida de datos y los procesos de
gestión de identidad y acceso.
► Fortalecer la seguridad de los activos de TI.
Probar los planes de
continuidad y los procedimientos
de respuesta a incidentes.
22. Pág. 22
Ciclo de mejora
Enfoque de adaptabilidad
Tomar el control
► Liderazgo visible desde la alta dirección.
► Rendimiento de cuentas de la gerencia participante.
► Tomar decisiones difíciles y definir cronogramas.
Implementar e innovar
►Desplegar programas que cubran todas las áreas de la
empresa.
►Ser creativo y motivador en la transformación de las
operaciones y el conocimiento.
Difundir
► Integrar y alinear la
estrategia de seguridad de
información con la estrategia
del negocio estableciendo
una red interna que propicie
la integración y habilite el
desempeño seguro del
negocio.
► Concientizar y difundir los
temas de seguridad de
información para que el
personal se sienta
responsable.
Re-evaluar y continuar
► Evaluar utilizando métricas
definidas a lo largo de
periodos.
► Gestionar riesgos y
dependencias.
► Diagnóstico empleando
pensamiento crítico y
retando lo existente.
► Considerar la asesoría
externa como apoyo.
► Propiciar la mejora continua
a través de acciones
concretas.
Ciclo de Mejora
Continua
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
23. Pág. 23
Aplique mejoras vitales
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Aplique
mejoras
vitales
Estableciendo un equipo con
conocimiento suficiente para adaptarse
a las nuevas amenazas y pueda tratar
los incidentes ágilmente.
Focalizar en la capacitación,
concientización y difusión.
Confirmar que se cuenta con un
equipo sólido
Focalizado en la tecnología, las
aplicaciones y en la interacción con el
negocio.
Contar con un Centro de
Operaciones de Seguridad (SOC)
Asignar
Responsabilidades
Implementar métricas para la
seguridad de información y sus
actores en la empresa.
Reducir las excepciones a las
políticas y protocolos establecidos.
Considerar el impacto de las
amenazas en clientes y proveedores.
Compartir los conocimientos sobre
seguridad de información con las
empresas vinculadas.
Considerar las entidades
vinculadas
24. Pág. 24
Identifique el ecosistema en el que se encuentra
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Factores no
controlables
Factores variables Límites del entorno de seguridad
25. Pág. 25
Actividades que se deben realizar
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Diseñe e implemente un
programa de transformación
integrado considerando la
participación de la alta
gerencia.
Defina una matriz RACI
para la seguridad
cibernética.
Despliegue un programa de
concientización y capacitación
sobre seguridad cibernética a
todos los empleados.
Decida que hacer
internamente y que contratar
como servicios de terceros.
Identifique y analice su
ecosistema.
Atienda las amenazas a las que
pueden estar expuestos sus
proveedores y clientes, y los
riesgos asociados.
27. Pág. 27
Los ataques no se pueden evitar
¿Qué tan preparado está?
¿Puede responder “si” a estas cinco preguntas clave?
1. ¿Sabe usted lo que su empresa tiene que otros quieren?
2. ¿Sabe usted cómo los planes de negocio pueden hacer
sus activos vulnerables?
3. ¿Sabe usted cómo estos activos pueden ser accesados o
modificados?
4. ¿Usted sabría si está recibiendo un ataque cibernético y si
estos activos están comprometidos?
5. ¿Tiene usted un plan para hacer frente a un ataque
cibernético y mitigar los eventuales daños?
Activos valiosos
Propiedad Intelectual
Información de Personas
Información Financiera
Información de Negocio
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
28. Pág. 28
El riesgo no se puede resolver
pero se puede administrar
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Evitar las amenazas a la seguridad
de información
Tres elementos para la gestión de riesgos de seguridad de información.
¿Qué es lo que
la organización
necesita estar
atenta?
¿Cuáles son
las brechas de
conocimiento
que tenemos?
Recuperar la operación en caso de
incidentes
¿Qué nivel de
respuesta tenemos a
incidentes graves?
¿Es posible
mantener la
continuidad de la
operación y del
negocio?
Mantener la seguridad de los datos
¿Qué es lo que
la organización
necesita estar
atenta?
¿Dónde están
localizados?
¿De que manera
se deben
proteger?
¿Qué políticas y
conductas se
requieren?
¿Qué monitoreo se
deben implementar?
¿Qué tan bien está
actuando el personal
frente a los controles
existentes?
¿Qué recursos son
clave para
recuperar la
operación?
¿Qué tanto
dependemos de
terceros?
¿Cómo afecta a
nuestros clientes?
29. Pág. 29
Anticipar: tomar acción
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Diseñe e implemente una
estrategia de inteligencia
sobre las amenazas
cibernéticas que apoye las
decisiones de negocio.
Defina niveles de
responsabilidad (RACI) que
propicien la cooperación y
compartir recursos donde
sea ventajoso.
Entienda el valor de los
activos de información de la
empresa y el impacto de no
tenerlos o de que los tengan
otros.
Asegúrese que todo el personal
sabe y aplica las políticas,
procedimientos y estándares de
seguridad de información.
En el caso de incidentes use
análisis forense de datos
para entender de donde
llegan las amenazas y poder
prevenir futuros eventos.
30. Pág. 30
Aspectos legales –
Ley de delitos informáticos
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Convenio sobre la delincuencia cibernética, Budapest 23.11.2001.
Ley Nro. 30096. Ley de delitos informáticos. 22.10.2013.
Modificación de artículos del código penal.
Marco legal frente a acciones ilícitas.
► Acceso ilícito a un sistema informático
► Atentado a la integridad de los datos
informáticos
► Proposiciones por medios tecnológicos
a niños con fines sexuales
► Tráfico ilegal de datos informáticos
Ley Nro. 30171. Ley que modifica la Ley de delitos informáticos. 10.03.2014.
► Fraude informático
► Interceptación de datos informáticos
► Suplantación de identidad
► Abuso de dispositivos o mecanismos
informáticos
31. Pág. 31
Aspectos legales –
Ley de protección de datos personales
¡Adelántese a los delitos cibernéticos! — EY Encuesta Global de Seguridad de Información 2014
Fecha límite para la adecuación a la normativa 8 mayo 2015.
Ley Nro. 29733. Ley de protección de datos personales. 03.07.2011.
Reglamento de la Ley Nro. 29733. 22.03.2013.
Responsabilidad
► Titular de datos personales
► Titular del banco de datos personales
► Autoridad nacional de protección de datos
Directiva de seguridad de información. Ley de protección de datos personales. 11.2013.
Medidas de seguridad
► Clasificación de categorías de tratamiento de banco de
datos
► Condiciones de seguridad externas e internas
► Requisitos de seguridad
► Medidas de seguridad organizativas
► Medidas de seguridad jurídicas
► Medidas de seguridad técnicas
Sistema de gestión de seguridad de información NTP – ISO / IEC 27001
33. ¡Adelántese a los delitos cibernéticos!
Presentación de resultados
Encuesta Global de EY sobre Seguridad de
Información 2014
Enero 2015
Notas del editor
Que sea introduccióin mejor que contexto actual, pasarla despues del indice
Esto será la lámina antes de la definición de Mover antes de la lámina de Ciber crimen (o mejor crimenes cibernéticos como indique antes
Los aspectos (que debemos indicar, en dos palabras maximo cada uno) estan cubiertos con los resultados que exponemos?
Poner solo Los números grandes en amarillo (que se vea bien) Como, que aparezcan 1 a uno
1825 ejecutivos
6 aspectos … indicar los aspectos
60 paises 5 continentes
Peru casi el 3% de universo o algo así.
Cambiar los textos como he indicado antes de Cibercrimen y Crimenes ciberneticos a los largo del doumento
Para cada bullet ver un grafico no texto (de los 3 primeros) Pls Lucchie tu misma eres ayuda a Alex.
Los dos siguientes pueden estar en una lamina distinta.
Reports in the media regularly illustrate that cyber threats are increasing.
As we discussed in the GISS 2013 report, even if you have not experienced an attack yet, you should assume that your organization will have been targeted, or that your security has already been breached.
Cyber threats will continue to multiply and the damage caused by a cyber attack can severely impact a business.
The advent of the digital world, and the inherent interconnectivity of people, devices and organizations, opens up a whole new playing field of vulnerabilities. In our Global Information Security Surveys of 2012 (Fighting to close the gap) and 2013 (Under Cyber Attack) we described this trend.
What companies used to know and do to protect their most valued information (‘their crown jewels’) is no longer enough.
What everyone wants to know is “what can companies do about cybercrime?”
Cambiar los textos como he indicado antes de Cibercrimen y Crimenes ciberneticos a los largo del doumento
Para cada bullet ver un grafico no texto (de los 3 primeros) Pls Lucchie tu misma eres ayuda a Alex.
Los dos siguientes pueden estar en una lamina distinta.
Reports in the media regularly illustrate that cyber threats are increasing.
As we discussed in the GISS 2013 report, even if you have not experienced an attack yet, you should assume that your organization will have been targeted, or that your security has already been breached.
Cyber threats will continue to multiply and the damage caused by a cyber attack can severely impact a business.
The advent of the digital world, and the inherent interconnectivity of people, devices and organizations, opens up a whole new playing field of vulnerabilities. In our Global Information Security Surveys of 2012 (Fighting to close the gap) and 2013 (Under Cyber Attack) we described this trend.
What companies used to know and do to protect their most valued information (‘their crown jewels’) is no longer enough.
What everyone wants to know is “what can companies do about cybercrime?”
ALEX ESTE ES EL RESULTADO GLOBAL INCLUIR PERU
RESALTAR EL TEXTO DE ABAJO 81% en mayuscula pls si quieren grafico (imagen)
SE SUPONE QUE ELDER TIENE ESTO
In our previous surveys, employees were seen as the most likely source of an attack.
In this year’s GISS, employees are still seen as a significant risk. However, for the first time, we found that when the different types of external attacker were combined (criminal syndicates, state sponsored attackers, hacktivists and lone wolf hackers) these threats were considered to be significantly more likely as a risk source.
And nearly all our respondents have one or more external attackers included in their rating.
No tiene animación incluir el cuadro tapa el resultado directo
No hay uno de peru en el informe lo han puesto.
Las conclusiones son las mismas?
Esto es bueno o malo? Que consecuencias trae. Por que, tienen ejemplos para la presentación? Cuales son los retos futuros de esto
Debo combinar varias respuestas para concluir? Si es así, debemos pasar rapidamente los resultados (de pronto en una lámina la tratamos como 4 cuadrantes aparece la gráfica en grande, se reduce y se coloca en un cuadrante.
Primero sale global y luego que salga Peru
No debemos hablar aca de la razón inversa entre la variación del presupuesto y ´los crímenes cibernéticos? Esto es el trend es reducir la ivnersión en seguridad a pesar de que los crímenes y el riesgo se incrementan Los resultados se pueden cruzar?
Eta es otra distinta a mi pregunta anterior esto es ataque sofisticado, debemois resaltar las organizaciones criminales que atacan en masa como la noticia Rusa o en lo de TC
Primero sale global y luego que salga Peru
Por qu no lo ligamos a la rspuesta de que se terceriza o se tiene un equipo externo que soporta? (por la respuesta de personal especializado.)
Primero que pinte global y luego que baje peru comparando
Indicar que falta foco en lo nuevo e involucrar al Top management para ello
Al reves primero Global liuego peru
En movimeintoi pls de global y click para Peru (ojo no digo columna por columna en este caso
Ineteresante todos planean Entonces debe haber inversión
Mas especialistas
Es raro
Luego son TODAS los resultaos intreresantes que cubren todos los temas?
Falta mas es poca carne., Pls revisen
Dar movimeintoi primero global y luego perú. A la hora de que salga la donut de Peru el que piensa implementar slaga al final para que le den fuerza a la comentarios
Que aparezca con ,movimiento
Rewsaltas la primera A y pinta abajo el concepoto
Se apaga y resalta la segunda
Alex el wording debe estar ligado a un ejempli de que ocurre (es mas puedes inidcar una indutria)
Activate
Organizations need to have a solid foundation of cybersecurity. This comprises a comprehensive set of information security measures which will provide basic (but not good) defense against cyber attacks. At this stage, organizations establish their fundamentals — i.e., they “activate” their cybersecurity.
Adapt
Organizations change — whether for survival or for growth. Threats also change. Therefore, the foundation of information security measures must adapt to keep
pace and match the changing business requirements and dynamics otherwise they will become less and less effective over time. At this stage, organizations work to
keep their cybersecurity up-to-date; i.e., they ‘adapt’ to changing requirements.
Anticipate
Organizations need to develop tactics to detect and detract potential cyber attacks. They must know exactly what they need to protect (their ‘crown jewels’), and rehearse appropriate responses to likely attack/ incident scenarios (including accidents): this requires a mature cyber threat intelligence capability, a robust
risk assessment methodology, an experienced incident response mechanism, and an informed organization. At this stage, organizations are more confident about their
ability to handle more predictable threats and unexpected attacks; i.e., they ‘anticipate’ cyber attacks.
Every organization needs a solid foundation of cybersecurity.
Putting this foundation in place is not an easy task and the specifics of exactly what is needed will depend on industry sector and geography.
This is not new: in our Global Information Security Survey report of 2012 (Fighting to close the gap) we explored the gap between the actual cybersecurity measures taken and the necessary foundational cybersecurity components that should be in place.
Muy cargado – puedes hacer un brief con gráficos imagenes? Con ejemplos’
All businesses, no matter how advanced in their cybersecurity development, must achieve mastery of the foundational requirements of cybersecurity. However, our observation based on this year’s survey is that too many organizations do not even have all foundational components of cybersecurity in place.
We have focused on five critical areas, as this year’s survey, and EY’s experience from working with our global clients, has shown that this is where the biggest issues can arise:
• Executive buy-in
• Resources
• Performance
• Access to data
• Cost vs. value
Movimiento 1 a 1 y
Organizations that have not yet reached the foundational level of cybersecurity need to act fast. To help them, here are six of the most frequently overlooked yet critical actions to be considered urgently:
1. Security assessment and roadmap
Conduct a cyber threat assessment, current state maturity assessment, target state definition, gap analysis and design of implementation roadmap, alignment with leading practices such as ISO 27001.
2. Get Board-level support for a security transformation
Redefine cybersecurity governance, e.g., realigning cybersecurity outside of the IT function and ensure that the Board understand processes.
3. Review and update security policies, procedures and supporting standards
Implement an information security management system (ISMS)
4. Establish a Security Operations Center (SOC)
Develop monitoring of known cases and incident response procedures.
5. Design and implement cybersecurity controls.
Assess the effectiveness of data loss prevention processes and IAM. Harden the security of IT assets, such as servers and firewalls, network components and databases.
6. Test business continuity plans and incident response procedures
Instigate regular penetration testing of the network perimeter, ingress points and software applications; and identify exploitable weaknesses.
Organizations that have established the foundation of cybersecurity have commenced the journey, but to remain competitive, a business must constantly change and adapt to a changing business environment and to the evolving threats that come along with those changes.
As a result, the organizations’ cybersecurity requirements will need to change as well — changing the control infrastructure and technology capability/usage to support the improved situational awareness of known risks.
Movimeinto en funión a como vaya a explicar Alex
Organizations need to establish a system that enables them to manage this cycle in an efficient and effective manner so that they benefit from embracing new/different security opportunities which, in turn, enable the business and save costs.
Pls ejemplos pountuales para cada uno pls dejen con movimiento
1. Improve the Security Operating Center (SOC)
Broadly, only a third of respondents felt that their SOC was keeping up to date with the latest threats — this is an alarming result. Although the features of the technology are important (what can be measured and monitored), the starting point should be the business (what needs to be measured and monitored).
Interaction with the business is key: 22% of GISS respondents tell us that there is no or limited interaction between the SOC and the business — and a further 36% did not know. How can a SOC focus on the right risks (and changing risks) if the business is not connected to the SOC on a regular basis?
2. Create a core cybersecurity team
Consolidate cybersecurity approaches and activities around a core team: by establishing the cybersecurity knowledge in a core team, organizations will be able to adapt to new threats more easily. This core team can be organized centrally or distributed across functions/borders depending on the size and the requirements of the organization. The core team should also focus on training, skills and awareness, and make the practice of information security part of everyday life—the core team should act as ambassadors who practice what they preach.
3. Establish accountability
Greater accountability and performance measurement are key ways to achieve behavior change. If employees understood that their own job security was under threat because the security of the organization was under threat, and that cybersecurity was a performance metric, this could encourage a permanent change in awareness and behavior. Embed the required behaviors into employee contracts — especially for those with access to critical information — and include it in their performance evaluations.
Breaches of information security protocols (even if there were no significant consequences) should be taken very seriously.
Make employees the “eyes and ears” of the organization and ensure there is a clear escalation process everyone can follow in the event of an employee noticing something suspicious.
In our survey, forensics support and social media are the lowest ranked areas on information security priority, yet these techniques and channels can be the first way of spotting that the organization is at risk of an attack.
4. Go beyond the borders
With a transformation cycle in place, organizations can start to look beyond their own borders, and begin to assess the impact of a cyber attack on their business partners, suppliers, vendors — a community that can be described as their business “ecosystem” (see next slide). Their own effective transformation will have revealed leading practices, and now these practices can be communicated to the ecosystem so that suppliers and vendors could be contractually obliged to conform.
Los factores del ecosistema puedes djarlos con imágenes que sean uniformes (estandar) ver con Lucchie
Our research shows that in the battle against cybercrime most companies spend the majority of their time and resources building a fence around their internal organization — including their data, systems and personnel. This is a starting point, but the perimeter is no longer stable, and a fence no longer possible.
Most of today’s business is done outside the defensive fence. In order for organizations to be able to communicate with their business partners, they must create “holes” in the fence. As a result a cybersecurity system should also include the broader network, including: clients, customers, suppliers/vendors, business partners and even their alumni — together called “the business ecosystem.”
For an organization to be able to effectively manage the risks in its ecosystem, it needs to clearly define the limits of that ecosystem. It also needs to decide what it is willing to manage within those boundaries: is it just the risks faced by groups that are one step from the organization itself (e.g., suppliers); or should the organization also try to influence the mitigation of risks faced by groups that are two steps from the center (e.g., the suppliers of suppliers)?
Organizations need to ask:
• What is our “security limit;” in other words: with how many partners should we work to enhance overall cybersecurity?
• How much can we do to manage the risk in the business ecosystem?
• Are we prepared to accept a certain level of risk from the business ecosystem?
Movimiento pls
Organizations that have not yet reached the foundational level of cybersecurity need to act fast. To help them, here are six of the most frequently overlooked yet critical actions to be considered urgently:
1. Security assessment and roadmap
Conduct a cyber threat assessment, current state maturity assessment, target state definition, gap analysis and design of implementation roadmap, alignment with leading practices such as ISO 27001.
2. Get Board-level support for a security transformation
Redefine cybersecurity governance, e.g., realigning cybersecurity outside of the IT function and ensure that the Board understand processes.
3. Review and update security policies, procedures and supporting standards
Implement an information security management system (ISMS)
4. Establish a Security Operations Center (SOC)
Develop monitoring of known cases and incident response procedures.
5. Design and implement cybersecurity controls.
Assess the effectiveness of data loss prevention processes and IAM. Harden the security of IT assets, such as servers and firewalls, network components and databases.
6. Test business continuity plans and incident response procedures
Instigate regular penetration testing of the network perimeter, ingress points and software applications; and identify exploitable weaknesses.
There is only so much an organization can do to respond to threats that have already arisen. But an organization that can only react to new threats once they have become active may well find out that it has acted too late.
The only way to get ahead in this complex and dynamic environment is to grasp the challenges head on — embrace cybersecurity as a core aspect of the business, and as an integral capability to survive and thrive. Becoming successful and staying successful is a never-ending journey, and building and maintaining the
organization’s cybersecurity capability is part of this.
The ambition should be to move to a state of readiness — to be able to anticipate what is likely to happen and to prepare, act and respond accordingly. To do this means shedding the “victim” mindset of operating in a perpetual state of uncertainty (and anxiety) about unknown cyber threats, leaving the organization open to unpleasant and damaging surprises.
It means building awareness and advanced capabilities, developing a compelling strategy and installing cybersecurity components throughout the business: it means promoting confidence in the organization’s ability to deal with cybercrime.
Pls al incio de la seción se repartiran estas preguntas (si para este momento las tenemos tabuladas será fantastiuco. Dar movimiento Pls
Learning how to stay ahead is challenging and takes time, but the benefits for the organization are considerable. The organization will be able to exploit the opportunities offered by the digital world, while minimizing exposure to risks and the cost of dealing with them.
To start, an organization and its leadership must know answers to all of these questions to be confident. If any of the answers is “no,” that is where to focus and where changes need to be made.
For cyber threat intelligence to be effective, this cycle will need to be performed quickly.
Some activities can be automated, and techniques, tools and services are available for this. Other elements cannot be automated, and will require human involvement and intervention.
There are a variety of cyber threat intelligence services available, and these will need to be evaluated specifically for the organization’s requirements, appetite and maturity. However, the flaw of many of these services is that they flood the organization with information that is not meaningful or actionable, and often end up
being ignored.
Movimiento pls
Organizations that have not yet reached the foundational level of cybersecurity need to act fast. To help them, here are six of the most frequently overlooked yet critical actions to be considered urgently:
1. Security assessment and roadmap
Conduct a cyber threat assessment, current state maturity assessment, target state definition, gap analysis and design of implementation roadmap, alignment with leading practices such as ISO 27001.
2. Get Board-level support for a security transformation
Redefine cybersecurity governance, e.g., realigning cybersecurity outside of the IT function and ensure that the Board understand processes.
3. Review and update security policies, procedures and supporting standards
Implement an information security management system (ISMS)
4. Establish a Security Operations Center (SOC)
Develop monitoring of known cases and incident response procedures.
5. Design and implement cybersecurity controls.
Assess the effectiveness of data loss prevention processes and IAM. Harden the security of IT assets, such as servers and firewalls, network components and databases.
6. Test business continuity plans and incident response procedures
Instigate regular penetration testing of the network perimeter, ingress points and software applications; and identify exploitable weaknesses.
For cyber threat intelligence to be effective, this cycle will need to be performed quickly.
Some activities can be automated, and techniques, tools and services are available for this. Other elements cannot be automated, and will require human involvement and intervention.
There are a variety of cyber threat intelligence services available, and these will need to be evaluated specifically for the organization’s requirements, appetite and maturity. However, the flaw of many of these services is that they flood the organization with information that is not meaningful or actionable, and often end up
being ignored.
For cyber threat intelligence to be effective, this cycle will need to be performed quickly.
Some activities can be automated, and techniques, tools and services are available for this. Other elements cannot be automated, and will require human involvement and intervention.
There are a variety of cyber threat intelligence services available, and these will need to be evaluated specifically for the organization’s requirements, appetite and maturity. However, the flaw of many of these services is that they flood the organization with information that is not meaningful or actionable, and often end up
being ignored.