Ecosistema Ciberseguridad Colombia: Retos Banca Digital
1.
2. El ecosistema de Ciberseguridad
en Colombia: retos y oportunidades
de la Banca Digital
EstudNET- Universidad Pontificia Bolivariana
3. Entidad que tiene como misión la formación integral de personas,
mediante la evangelización de la cultura, la búsqueda de la verdad,
en los procesos de docencia, investigación, proyección social y la
reafirmación de los valores desde el humanismo cristiano, para el
bien de la sociedad.
Consultora española especializada en ayudar a las
Empresas e Instituciones públicas a mejorar y
acreditar los sistemas y procesos de Seguridad de la
Información y de desarrollo del software, integrada
por profesionales con amplia experiencia.
4. El Grupo de Investigación en Empresa, TIC y Educación
(GeeTIC) , Seccional Bucaramanga de la Universidad
Pontificia Bolivariana, con el apoyo experto de EstudNET,
ha resultado seleccionada participado en la Convocatoria
nº 668 de Colciencias en colaboración con el MinTIC, para
“el fortalecimiento de la ciberseguridad en instituciones
del estado”, para la realización del proyecto “Estudio de
Viabilidad para la Creación de un Observatorio Nacional
de Ciberseguridad de Colombia (ONC_COL)”.
Esta ponencia presenta, por primera vez en un
foro bancario, el modelo de Ecosistema de
Ciberseguridad en Colombia (ECC), una de los
principales aportaciones del proyecto y, como
novedad, lo particulariza para la Banca Digital.
5. Agenda
Ecosistema de Ciberseguridad en Colombia
– Proyecto ONC_COL
– ECC: Definición, metodología, valor aportado.
– Análisis de las capacidades de Ciberseguridad en
Colombia: avances, retos y oportunidades.
Visión del ECC del sector financiero
– Caracterización: actores, activos, riesgos y amenazas
– Voz del Cliente: percepción de riesgos a la seguridad y la
privacidad de la información
– Modelos de evaluación y construcción de capacidades
– Mejores practicas para el fortalecimiento de capacidades
Participación: preguntas e intercambio de experiencias
6. Ecosistema de
Ciberseguridad en
Colombia
Jorge Máquez, CEO EstudNET @jmarquezpacios
Ing. Angélica Flórez, UPB Seccional Bucaramanga
Investigadora Principal Colciencias nº 668
“Fortalecimiento de la ciberseguridad en instituciones del estado de la
República de Colombia”
7. Estudio de Viabilidad para la Creación de un
Observatorio Nacional de Ciberseguridad de
Colombia (ONC_COL)
Septiembre 9 de 2015
Sobre la convocatoria 668
8. Estudio de viabilidad de la creación de un Observatorio
Nacional de Ciberseguridad en Colombia
Convocatoria 668 Colciencias: Cofinanciar proyectos de innovación
orientados al fortalecimiento de la Ciberseguridad a través de la generación,
adaptación, dominio y utilización de nuevas tecnologías que permitan
minimizar y contrarrestar los riesgos e incidentes de naturaleza cibernética
de las instituciones del estado.
Consultores
internacionales
Asesor Líder:
Jorge Márquez
Grupo
Investigación
Investigadora Principal:
Ing. Angélica Flórez
9. Análisis del Ecosistema
Ciberseguridad y
Ciberdefensa en
Colombia identificación de
capacidades no cubiertas,
las razones y la oportunidad
de la creación del ONC_COL.
Análisis de viabilidad
técnica, legal y
económica de la creación
del ONC_COL.
Validación con Stakeholders
Socialización
Participación en CONPES
Plan de acción para la
puesta en marcha
hoja de ruta de acciones a
corto, mediano y largo plazo
y el estudio económico.
Estudio de viabilidad de la creación de un
Observatorio Nacional de Ciberseguridad en
Colombia: ONC_COL
12/14-03/15
04/15-08/15
04/15-08/15
09/15-12/15
10. Componentes del Ecosistema de
Ciberseguridad en Colombia
Amenazas
Activos Capacidades
Relaciones
Entidades
Ecosistema de
Ciberseguridad
de Colombia
Persona natural o
jurídica considerado un
agente activo o pasivoBienes, tangibles o
intangibles de pertenencia
de las Entidades
Recursos con los cuales
se cuentan o se requieren
para lograr la gestión de
las amenazas a las cuales
se encuentran expuestos
los activos
Riesgo al cual se
encuentran expuestos los
activos
Interacción entre
los componentes
11. Entidades del Ecosistema de
Ciberseguridad de Colombia
Sector PúblicoSector Público
Infraestructura CríticaInfraestructura CríticaCiudadaníaCiudadanía
Centros de InvestigaciónCentros de Investigación AtacantesAtacantes
Sector PrivadoSector Privado
12. Entidades ECC
SECTOR PÚBLICOSECTOR PÚBLICO
Entidades e instituciones del Estado de
Colombia, de naturaleza pública, que tienen
entre sus objetivos misionales funciones
relacionadas al fortalecimiento de la
Ciberseguridad y la Ciberdefensa.
13. Entidades ECC
Conjunto de pequeñas, medianas y grandes
empresas que hacen parte del eje productivo
de la industria y de toda aquella otra persona
jurídica de carácter no pública que participa
del ecosistema.
SECTOR PRIVADOSECTOR PRIVADO
14. Entidades ECC
Conjunto de personas naturales residentes en
territorio colombiano.
CIUDADANÍACIUDADANÍA
15. Entidades ECC
Entidades que prestan servicios esenciales los
cuales son considerados como estratégicos
del país. Ej: Servicios energéticos, financieros,
entre otros.
OPERADORES
INFRAESTRUCTURA CRÍTICA
OPERADORES
INFRAESTRUCTURA CRÍTICA
16. Entidades del ECC
Instituciones que realizan innovación e
investigación en materia de Ciberseguridad,
tales como universidades, centros
tecnológicos, centros de excelencia, tanques
de pensamiento, entre otros.
CENTROS DE
INVESTIGACIÓN
CENTROS DE
INVESTIGACIÓN
17. Entidades ECC
Personas naturales o jurídicas que intentan
acceder, interceptar o dañar un sistema
informático afectando la integridad,
confidencialidad y disponibilidad de los datos y
los sistemas.
ATACANTESATACANTES
18. Entidades ECC
Sector Público
Presidente Congreso
Cancillería
MinTIC
MinDefensa
MinJusticia
MinHacienda
MinCITCCOC CCP
ColCERT
DNP
Fiscalía-CTI Rama Judicial
Administración
Pública
CRC SIC SFC
Infraestructura
crítica
DNI
20. Centros de InvestigaciónCentros de Investigación
Centros de Innovación e
Investigación
Think Thank
Centros de ExcelenciaAcademia
Entidades ECC
Colciencias
22. Fortalecimiento de las capacidades
MEDIDAS
ORGANIZA.
• Agencia coordinadora
• Visión integral
• Marco institucional claro
• Política de protección de las infraestructuras críticas
• Política de Estado integral y de largo plazo
• Enfoque global basado en riesgos
• Coordinación de todos los actores clave con responsabilidad en el ámbito de la
Ciberseguridad
• Fortalecimiento de las entidades actuales operativas: ColCERT, CCP y CCOC
• Creación de una entidad Observatorio de Ciberseguridad: diagnóstico,
métricas, sensibilización, capacitación y acreditación
MEDIDAS
TECNOLÓGICAS
• Centros de operaciones: sólida capacidad analítica y herramientas técnicas
• Capacidad analítica, análisis avanzado de datos
• Centros de excelencia en Ciberseguridad
23. Fortalecimiento de las capacidades
MEDIDAS
LEGALES
• Adhesión al Convenio Budapest
• Normativa que armonice la inteligencia vs privacidad
• Optimizar los protocolos y medios para la conservación de la evidencia digital
• Implementar legislativamente la retención mandatoria de datos de tráfico
• Protocolo internacional de persecución ciberdelitos (Red 24/7)
• Fiscales y jueces especializados en ciberdelitos
• Capacitación para jueces, fiscales y policías
• Obligación reporte incidentes en Infraestructuras Críticas
MEDIDAS DE
CAPACITACIÓN
• Elaborar una estrategia de capacitación en Ciberseguridad en colaboración con el sector
privado, la academia y el sector público.
• Mesa Nacional del talento en Ciberseguridad con participación público- privada
• Estrategia para la detección, atracción y desarrollo del talento en Ciberseguridad
MEDIDAS DE
COOPERACIÓN
• Canales de intercambio bidireccional de información para el CCOC-CCP-ColCERT
• Cooperación entre el sector público y privado
• Colaboración institucional con las entidades operadoras de infraestructuras críticas
• Involucrar a todos los interesados en el desarrollo de la estrategia y su implementación
• Estrategia escrita para la cooperación internacional
24. Visión del ECC en el sector financiero
Jorge Márquez, CEO EstudNET
@jmarquezpacios
Consultor internacional Colciencias nº 668
“Fortalecimiento de la ciberseguridad en instituciones del estado de la
República de Colombia”
30. Capacidades en Ciberseguridad
Índice Mundial de Ciberseguridad (IMC), de la Unión
Internacional de Telecomunicaciones (UIT), proporciona un
esquema metodológico de identificación y evaluación de
las capacidades necesarias para enfrentar con éxito los
riesgos cibernéticos.
30
El IMC evalúa el compromiso de un país con la
Ciberseguridad con "el objetivo de fomentar la
cultura de la Ciberseguridad y su integración
en el núcleo de las tecnologías de la
información y la comunicación".
31. 31
¿Cual es el grado de preparación de Colombia?
Colombia ocupa el 9º lugar a nivel mundial. IMC 2014
37. Visión
Sistema de gestión integrado
Análisis de Riesgos
Métricas
BYOD
Alcance
• Localizaciones, Uds. Organizativas
• Activos: Datos, hw, sw, redes,
RRHH, servicios
• Amenazas
• BYOD
Buenas practicas
• Sensibilización y capacitación
• Cooperación sectorial e
institucional
Retos
• Privacidad vs Cloud, BigData..
• Cultura de Seguridad
Capacidad
clave
Crear una estrategia de Ciberseguridad
7
38. Visión
Competencias clave
Modelo recursos int. vs externo
Desarrollo seguro
Alcance
• Evaluación de competencias
• Captación, desarrollo y
fidelización
Buenas practicas
• Reclutamiento hackers
• Hackatons, Retos, Premios, …
Retos
• “Adelantarse a los malos”
• Entender motivaciones
Capacidad
Clave
Gestionar el Talento de Ciberseguridad
8
39. Visión
Enfoque Negocio
Análisis y evaluación
Controles
Métricas
Alcance
• Estrategias de gestión de riesgos
• Inversión vs niveles de riesgo
• Vulnerabilidades 0Day y propias
Buenas practicas
• Sensibilizar a los Clientes
• Transferir riesgos a terceros
Retos
• Anticipación amenazas
• Aprender de los incidentes
Capacidad
Clave
7
Gestionar los Riesgos
40. Visión
Resiliencia
Compromisos de recuperación
Riesgo legal y reputacional
Alcance
• Planes de contingencia
• Ejercicios y evaluación
• Cumplimiento normatividad
Buenas practicas
• Cooperación c/ Socios
• Aprender de los incidentes
Retos
• Coste de redundancia
• Reporting institucional
Capacidad
Clave
Continuidad de Negocio
8
41. “¿Cómo“¿Cómo“¿Cómo“¿Cómo podemos utilizar lapodemos utilizar lapodemos utilizar lapodemos utilizar la
tecnología paratecnología paratecnología paratecnología para dardardardar más seguridad amás seguridad amás seguridad amás seguridad a
los ciudadanos?”los ciudadanos?”los ciudadanos?”los ciudadanos?”
Presidente Juan Manuel Santos
#Andicom30