El documento analiza la gestión del riesgo digital y su complejidad en un mundo donde las amenazas y la accesibilidad han aumentado exponencialmente. Destaca la importancia de adaptar estrategias de educación, experiencia y experimentación para mitigar estos riesgos, al tiempo que se evalúa el impacto y la probabilidad de las amenazas. También se proponen control de vulnerabilidades y estrategias para manejar riesgos intencionales, accidentales y oportunistas en un entorno digital cada vez más indeterminado.

1. Del “hackeo” a la inteligencia artificial

2. Hackeo

6. Automatizar el “hackeo”

7. Análisis implica Clasificación

10. 201,076 piezas de lego

13. ¿Reduccionismo?El todoes iguala la sumade sus partes

14. Complejidad

15. Salud

16. Economía

17. Clima

18. Cómputo

19. Sintetizar

20. “En su escencia, todos los modelos están mal, pero algunos son útiles”George E.P. Box

21. 3 Premisas

22. 1. Quién gestiona mejor el riesgo, prevaleceLas especies (genes) y los colectivos (memes) que mejor mitigan sus riesgos son las que sobreviven

23. 2. No somos capaces de gestionar el Riesgo DigitalActualmente, no estamos preparados para gestionar los nuevos y crecientes riesgos digitales

24. 3. Las empresas con las mejores estrategias de gestión del Riesgo Digital, prevaleceránLos colectivos, empresas y países que encuentren las mejores estrategias de gestión de riesgos digitales prevalecerán sobre sus contemporáneos

26. Entropía

27. Vida

28. Mutaciones Exitosas

29. Adaptación

30. Mecanismos de gestión de riesgos

31. Reproducción Rápida

32. Veneno Potente

33. Tamaño y Rugido

34. Gen Egoísta

35. Selección Natural

39. Sobreadaptación

40. Prevalecer

41. ¿Dos Sexos?

42. Selección Sexual

43. Coevolución

47. 1. Mutaciones(experimentos)

51. 2. Velocidad de Mutaciones(readaptación)

52. Prevalecer

53. ¿Cómo le hicimos?

54. Neocortex

56. Ratón Chango HumanoNeocortex Mamífero

58. Memoria

59. Jerárquico

60. Espacial y Temporal

62. Predicción

64. Contexto

65. Contexto

67. Mielina

68. Repetición

69. Emoción

70. Emoción Negativa x4

71. Predecir riesgosAdaptarnos a nuevos riesgos

72. Comunicar experiencia

73. Estrategias de gestión de riesgo = Educación + Experiencia + Experimentación

74. Experimentación = Mutación

75. ¿Memes?

76. Colectivos

82. ¿Por qué no entendemosel Riesgo Digital?

83. Riesgo Digital = ¿ Impacto x Probabilidad ?

84. Riesgo Digital Intencional = Amenaza x Accesibilidad

85. ¡La Amenaza se haincrementado de forma geométrica!

86. ¡LaAccesibilidad crecedeforma exponencial!!

87. Riesgo Digital = Amenaza x AccesibilidadAmenaza

88. ¡Nos sentimos anónimos!Esto escierto para los criminales también…

89. ¡Sin unapercepción deriesgo todos nosvolvemos trasgresores!

90. Alreducirelriesgoderomper laleyhemosincrementadoelriesgoparatodos

91. Rentabilidad = Retorno / Riesgo

92. Hemos llegado a un nuevo equilibrioRentabilidadRiesgo

93. ¡Hay mucho más que robar, con mucho menos riesgo!

94. La Amenazase haincrementado de forma geométrica

95. Riesgo Digital = Amenaza x AccesibilidadAccesibilidad

96. Hemos perdido elControl

97. Computadoras eran deterministas

98. Nuestro mundo digital se ha vueltoindeterminista

99. Las computadoras se han vuelto tan complejas que ya no son predecibles

100. Necesitamos reinciarcomo una forma de regresara estados conocidos

101. En sistemas caóticos sólo podemos predecir las primeras iteraciones

102. Las redes incrementan complejidad

105. 36 Nodos630 Conexiones2,783,137,628,160 Sockets

106. Más dispositivos = aún más conexiones

107. Las conexionescrecenexponencialmente

108. Elcrecimientode laRed generaValor

109. Perotambiénincrementa sucomplejidad

110. Complejidad e impredicibilidadincrementan la frustración

111. riesgoY el

112. Por tanto, la anonimidad…

113. …y la complejidad…

114. …han generado cambios y crecimientos exponencialesen el Riesgo

115. ??

116. ¿Predicción temporo-espacial?

117. Inmediatas: sin secuenciastemporales

118. Etéreas: sin proximidad espacial

119. Imperceptibles

120. Masivo

121. Estrategias de gestión de riesgo =? Educación + Experiencia + Experimentación

123. ¿Cómopodemos evaluar mejorelRiesgo Digital?

124. Cambio de Paradigma

125. ¿Cómo funciona el mundo de la seguridad hoy?Administramos Vulnerabilidades

126. Ingenieros

127. ¿Análisis deRiesgos(vulnerabilidades)deVíctor Chapela?

128. VulnerabilidadesLo que amenace: generación de ingresos pertenencias o ahorros integridad física

129. 1. Accidentes

130. 2. Enfermedades

131. 3. Agresiones

133. ¿Hallazgos del Análisis?

134. Caminar es Peligroso

135. Interacción física, peligrosísima

136. ¿Bañarse? - Prohibido

137. Plan Director de Seguridad(personal)

138. Clasificación de Activos CríticosCerebro 9.9Boca y laringe 9.5Médula Espinal 9.3Corazón 9.1Pulmones 8.7Hígado 8.2Sistema Digestivo 8.0Riñones 7.6Brazos 7.3Ojos 6.9Piernas 6.8 …

139. Controles de Seguridad Propuestos

140. Disponibilidad

141. Acuerdo de Niveles de Servicio

142. Para salir al jardín…

143. Control para el robustecimiento de activos críticos

144. Clonado: copia de seguridad

145. Confidencialidad e Integridad

146. Control de aislamiento bacteriológico

147. Nunca más tendrás que ir a un baño público

148. Controles de Aislamiento BacteriológicoCamaCasa

153. Presupuesto del Plan Director de Seguridad Personal5 FasesDiseño 9 meses $ 6.1MDesarrollo 11 meses $ 3.5MAprovisionamiento 6 meses $17.3MImplementación 8 meses $ 5.1MPruebas y liberación 6 meses $ 2.1MPresupuesto 40 meses $ 34.1M

154. ¿Quién querría meterse en mi PC?

155. 3 tipos de riesgosRIESGO

156. Incentivos DistintosEl mitigación del riesgo en relación al esfuerzo

157. Disponibilidad siempre ha sido la meta principal

158. Facilitar AccesoeInteracción

159. Riesgo Accidental esmitigadopor medio de Redundancia

160. ¿Cómo mitigamos nuestro riesgo oportunista?

161. Para reducir Riesgos Oportunistasnecesitamos construir cercas

162. Entre más grandes…

163. …y mejores controles incluyas…

164. … más resistente va a ser.

165. Pero seguimos necesitando dar acceso…

166. La analogía militarno aplica

167. Necesitamos usar la analogía médica

168. Necesitamos mantener nuestros sistemas y redes sanos

169. Entendersussignosvitales

170. Usar mejores prácticas

171. Introducir sólo componentes sanos

172. Complementar con parches & actualizaciones

173. Aislarlos de amenazas externas

174. Generar alertas

175. Guardarlogs

176. Riesgo Oportunista Digital es como la SaludLa Suma de los esfuerzos me mantiene Sano

177. …y define el tamaño de nuestra cerca

178. ¿Cómo mitigamos nuestro riesgo intencional?

179. Elriesgo intencional esgestionadoaislando y filtrando nuestra información crítica

180. ValorRiesgo

181. Controles divididos en dos grupos:Redundancia¿Disponibilidad?Impacto alNegocioBIAFiltros yAutenticación¿Confidencialidad e Integridad?Valor de Mercado y ConectividadIVA

182. RiesgoIntencionalRiesgo Intencional = Impacto x ProbabilidadAmenaza x AccesibilidadImpacto es determinado al estimar el valor económicoProbabilidadesmedida al calcularconexiones potenciales

183. ¿Cómo se calculael valor de la información?(la amenaza)

184. IntencionalidadActivos de Información InformaciónPerfiles de UsuarioPérdidasPotencialesPosiblesAtaquesNodos de Alto RiesgoValor EconómicoAcceso a Nodos de Alto RiesgoRentabilidad AtacanteAtaques Conocidos

185. Necesitamos aceptar riesgoEl número de jugadas potenciales es infinta

186. Con miles de partidas simultáneas

187. En un ambiente altamente dinámico

188. El tablero cambia diario

189. Las piezascambian diario

190. Las reglascambian diario

191. Jugadores cambian diario

192. El fin justifica los mediosAl prevenir riesgo intencionalNada menorque asegurartodos los vectores es suficiente

193. La defensa debe ser optimizada

194. Optimizar la velocidad

195. Optimizar recursos

196. Método de gestión por valorPosiblesIncidentesIncidentesRealesIncidentesAplicablesIncidentesRecurrentes Medida del valor agregadoIncidentes priorizados

197. Definición delvalor de lainformación por tipo dedatoAnálisis del proceso de negocioInventario del ciclo de vida del datoValor de información (IVA)Cumplimiento legal y regulatorio (PIA) Categorías de DatosCategorías de DatosInventario de Activos, Perfiles y ConexionesGeneración de PolíticasDefinición controles, estándares y procedimientosImplantación y Auditoría

198. Resguardando aquello que tiene mayor valor paraterceros

199. Así es como estimamos amenaza

200. ¿Cómo se calcula la vulnerabilidad?

201. Activos y Perfil de Usuarios

202. Activos y Perfil de Usuarios

203. AccesosInformaciónUsuarioConexiónNodos de InformaciónNodos de UsuarioTransferProcessStoreConsulta

204. Segmentar por Accesos

205. Medir Accesibilidad

206. Agrupando Riesgo Intencional

211. RedundanciaDisponibilidadImpacto al NegocioActivosFiltros y AutenticaciónConfidencialidad e IntegridadValor de MercadoAccesos

212. Enfocar controles en los riesgos principales

213. Determinarlas fronteras deconfianza

214. ¿Controles?

215. Riesgo IntencionalAmenazaAccesibilidad

216. Riesgo IntencionalAccesibilidad para TercerosFiltrar, Aislar, AutenticarReducir RentabilidadRegistrar y MonitorearAnonimidad de TercerosRentabilidad para TercerosDisociar y SepararValor para Terceros

217. Tres Vectores para gestionar RiesgoAccesibilidadpara tercerosValorpara tercerosAnonimidadde los terceros

218. Default CloseDefault OpenDisponibilidadConfidencialidadAccesibilidad

219. Filtrar y AislarControles mínimos de AccesibilidadRiesgoIntencionalRiesgo AccidentalRiesgo Oportunista∞FiltradoConfidencialidadIntegridadImpactoInternoAmenazaExternaAccesibilidadRedundanciaDisponibilidad0Privado Público

220. PeorEsfuerzoMejorEsfuerzoSuma de EsfuerzosRiesgoIntencionalRiesgo AccidentalRiesgo Oportunista∞FiltradoConfidencialidadIntegridadImpacto InternoAmenazaExternaAccesibilidadRedundanciaDisponibilidad0Privado Público1 canal1 momento111 pAutenticada1 dispositivoAmenazaExternaImpacto Interno

221. Estrategias para gestionar RiesgoRedundanciaMonitoreo yReacciónAccesibilidadpara tercerosFiltrar y AislarFiltrado y AutenticaciónDisociación ySeparaciónDisociar y SepararMonitorear y RegistrarValorpara tercerosDisuasiónDe los terceros

222. ¿Cómo aplica todo esto en una regulación?

223. Objetivo de la Seguridad en la Ley“Evitar el acceso no autorizado a los datos personales resguardados por el responsable”

224. EstrategiaMitigar con base en el riesgoPor tipos de datosPor número de titulares23554500k2344550k12345Cantidad de Datos5k1223450011123Datos de bajo riesgoDatos de alto riesgoRiesgo del dato

225. Monitoreo yReacciónFiltrado y AutenticaciónControles de Gestión de Riesgos IntencionalesDisociación ySeparación

226. Se sugerirá cumplir un área máximapor nivel de RiesgoAccesibilidadpara tercerosFiltrar y AislarÁreaMonitorear y RegistrarDisociar y SepararValorpara tercerosAnonimidadde los terceros

227. Implantación de Controles44554445500k3345Número de Titulares50k22345k122345001123Datos de bajo riesgoDatos de alto riesgoRiesgo del dato

228. EficienteEficaz

229. Definir estrategias de gestiónpriorizadas en riesgo intencional

230. Modelo Evolutivo de Gestión de Riesgos

231. Cibermemes

232. Fraude deTarjeta

233. 6 a 8 tipos de nodos

234. Al menos 5 topologíasMillions?

235. 190 Pares de DatosPANBINMCGMCG RiskMCCMCC RiskMerchant IDCountryEntryModeEntryModeRiskTimeRelativetoyearRelativetomonthRelativetoweekRelativetodayAmountCentsProcessCodeNetwork IDAcquirer ID

236. 270 Estrategias de Segmentación

237. 5 Secuencias (Perspectivas)

238. Combinaciones6 x5 x190 x270 x5 xPANBINMCGMCG RiskMCCMCC RiskMerchant IDCountryEntryModeEntryModeRiskTimeRelativetoyearRelativetomonthRelativetoweekRelativetodayAmountCentsProcessCodeNetwork IDAcquirer ID7,695,000

239. Un fraudeporcada 10,000 transacciones1 Fraude

240. Incorporamos secuencias temporales

241. ModelosCórticosdeMemoria Temporal Jerárquica

242. Y no supervisadosSupervisados

243. Modelospredictivosmucho másprecisos

244. Bases de Datos Negativas

245. ConfianzaContexto

248. Víctor ChapelaSantiago Moralwww.RiskVolution.com

249. www.riskvolution.comVíctor Chapela victor@sm4rt.com