Presentación acerca del contenido del libro RiskVolution. Impartida en Barcelona durante el evento anual del ISMS Forum, España. Requiere de explicación ya que no estuvo diseñada mas que como soporte a la presentación en vivo. Eventualmente subiré una con más texto que permita entender mejor los conceptos. Por lo pronto los invito al sitio del libro www.riskvolution.com donde hay mucha más información.

1. www.riskvolution.com

2. Santiago Moral
Víctor Chapela

3. “En su esencia,
todos los modelos están mal,
pero algunos son útiles”
George E.P. Box

4. 3 Premisas

5. 1. Quién gestiona mejor
el riesgo, prevalece
Las especies (genes) y los colectivos (memes) que
mejor mitigan sus riesgos son las que sobreviven

6. 2. No somos capaces de
gestionar el Riesgo Digital
Actualmente, no estamos preparados para
gestionar los nuevos y crecientes riesgos digitales

7. 3. Las empresas con las
mejores estrategias de
gestión del Riesgo Digital,
prevalecerán
Los colectivos, empresas y países que encuentren las
mejores estrategias de gestión de riesgos digitales
prevalecerán sobre sus contemporáneos

11. Mutaciones Exitosas

12. Adaptación

13. Mecanismos de gestión de riesgos

14. Reproducción Rápida

15. Veneno Potente

16. Tamaño y Rugido

17. Gen
Egoísta

18. Selección
Natural

22. Sobreadaptación

23. Prevalecer

24. ¿Dos Sexos?

25. Selección Sexual

26. Coevolución

30. 1. Mutaciones
(experimentos)

34. 2. Velocidad de
Mutaciones
(readaptación)

35. Prevalecer

36. ¿Cómo le hicimos?

37. Neocortex

39. Neocortex Mamífero
Ratón Chango Humano

41. Memoria

42. Jerárquico

43. Espacial y Temporal

45. Predicción

50. Mielina

51. Repetición

52. Emoción

53. Emoción
Negativa x4

54. Predecir riesgos
Adaptarnos a nuevos riesgos

55. Comunicar experiencia

56. Estrategias de gestión de riesgo =
Educación + Experiencia + Experimentación

57. Experimentación = Mutación

58. ¿Memes?

59. Colectivos

62. ¿Por qué no
entendemos
el Riesgo Digital?

63. Riesgo Digital =
Impacto x
Probabilidad

64. Riesgo Digital =
Amenaza x
Vulnerabilidad

65. ¡La Amenaza se ha
incrementado
de forma
geométrica!

66. ¡Las
Vulnerabilidades
crecen de
forma
exponencial!!

67. Riesgo Digital =
Amenaza x
Vulnerabilidad

68. ¡Nos sentimos
anónimos!
Esto es cierto
para los
criminales
también…

69. ¡Sin una
percepción de
riesgo todos
nos volvemos
trasgresores!

70. Al reducir el riesgo de romper la ley
hemos incrementado el riesgo para
todos

71. Rentabilidad =
Retorno / Riesgo

72. Hemos llegado a un nuevo equilibrio
Rentabilidad
Riesgo

73. ¡Hay mucho más que robar,
con mucho menos riesgo!

74. La Amenaza se ha
incrementado
de forma
geométrica

75. Riesgo Digital =
Amenaza x
Vulnerabilidad

76. Hemos
perdido el
Control

77. Computadoras
eran
deterministas

78. Nuestro
mundo
digital se
ha vuelto

79. Las computadoras se han vuelto tan
complejas que ya no son predecibles

80. Necesitamos reinciar
como una forma de regresar
a estados conocidos

81. En sistemas caóticos sólo
podemos predecir las primeras
iteraciones

82. Las redes incrementan complejidad

85. 36 Nodos
630 Conexiones
2,783,137,628,160 Sockets

86. Más dispositivos = aún más conexiones

88. El crecimiento de la Red
genera
Valor

89. Pero también incrementa su
complejidad

90. Complejidad e impredicibilidad
incrementan la frustración

91. Y el
riesgo

92. Por tanto, la anonimicidad…

93. …y la complejidad…

94. …han generado
cambios y
crecimientos
exponenciales
en el Riesgo

96. ¿Predicción
temporo-espacial?

97. Inmediatas: sin secuencias
temporales

98. Etéreas:
sin proximidad
espacial

99. Imperceptibles

100. Masivo

101. Estrategias de gestión de riesgo =
Educación + Experiencia + Experimentación

103. ¿Cómo podemos
evaluar mejor
el Riesgo Digital?

104. 3 tipos de riesgos
Intencional Oportunista Accidental
Anonimicidad Complejidad
RIESGO

105. Incentivos Distintos
Intencional Oportunista Accidental
Mínimo Suma de Mejor
Esfuerzo Esfuerzos Esfuerzo
El mitigación del riesgo en relación al esfuerzo

106. Disponibilidad siempre ha sido
nuestra meta principal

107. Facilitamos
Acceso e Interacción

108. Riesgo Accidental es mitigado
por medio de Redundancia

109. ¿Cómo mitigamos
nuestro riesgo
oportunista?

110. Para reducir Riesgos Oportunistas
necesitamos construir bardas

111. Entre más grandes…

112. …y
mejores
controles
incluyas…

113. … más resistente va a ser.

114. Pero
seguimos
necesitando
dar acceso…

115. La analogía militar
no aplica

116. Necesitamos usar la analogía médica

117. Necesitamos mantener nuestros
sistemas y redes
sanos

119. Usar mejores prácticas

120. Introducir sólo
componentes sanos

121. Complementar con parches
& actualizaciones

122. Aislarlos de amenazas externas
Intentional,
Privacy and Modeling and Managing
Why and how are Digital Understanding Opportunistic
Mexico’s Data Calculating Intentional &
Risks growing? Privacy Risk and Accidental
Protection Law Intentional Risk Privacy Risks
Risks

123. Generar alertas

124. Guardar logs

125. Riesgo Oportunista
Digital es como la
Salud
La Suma de los esfuerzos
me mantiene Sano

126. ¿Cómo mitigamos
nuestro riesgo
intencional?

127. El riesgo intencional es
gestionado aislando y filtrando
nuestra información crítica

128. Valor
Intencional Oportunista Accidental
Valor para Valor por Valor para la
terceros interrelación organización
Riesgo

129. Controles divididos en dos grupos:
¿Disponibilidad?
Impacto al BIA
Negocio
Redundancia
¿Confidencialidad
e Integridad?
Valor de IVA
Mercado y
Conectividad Filtros y
Autenticación

130. Information Value Analysis
• Riesgo de la Información =
Impacto x Probabilidad
• Impacto es determinado al estimar
el valor económico
• Probabilidad es medida al calcular
conexiones potenciales

131. ¿Cómo se calcula
elvalor de la
información?

132. Intencionalidad
Posibles Activos de Perfiles de Pérdidas
Información
Ataques Información Usuario Potenciales
Acceso a
Ataques Valor Nodos de Rentabilidad
Nodos de
Conocidos Económico Alto Riesgo Atacante
Alto Riesgo

133. Necesitamos aceptar riesgo
El número de jugadas potenciales
es infinta

134. Con miles de partidas
simultáneas

135. En un ambiente altamente
dinámico

137. Las piezas
cambian
diario

138. Las reglas
cambian diario

139. Jugadores
cambian
diario

140. El fin justifica los medios
Al prevenir riesgo intencional
Nada menor
que asegurar
todos
los vectores
es suficiente

141. La defensa debe
ser optimizada

142. Optimizar la
velocidad

143. Optimizar recursos

144. Método de gestión por valor
Posibles Incidentes Incidentes Incidentes
Incidentes Reales Aplicables Recurrentes
Medida del valor agregado Incidentes priorizados

145. Análisis del proceso de negocio
Definición del valor Inventario del ciclo de vida del dato
de la información Cumplimiento legal Valor de
y regulatorio (PIA) información (IVA)
por tipo de dato Categorías de Categorías de
Datos Datos
Inventario de Activos, Perfiles y Conexiones
Generación de Políticas
Definición controles, estándares y
procedimientos
Implantación y Auditoría

146. Así es como estimamos
amenaza
(impacto)

147. ¿Cómo se calcula la
vulnerabilidad?
(probabilidad)

150. COBIT Riesgos
Requerimientos de Negocio
Procesos de TI Recursos de TI
Conexiones Nodos

151. Tipos de Nodos
Conexión
Información Usuario

152. Segmentar el grafo

153. Medir Conectividad

154. Agrupamiento
Red de Nodos
Sistema
Aplicación
Perfiles de
Información
Usuario
Mínimo
Nodo
Económico

155. Agrupando Riesgo Intencional
Grupo de Usuarios
Sistema
Segmento de Red
Tipo de Dato

156. Disponibilidad
Impacto al Activos
Negocio
Redundancia
Confidencialidad
e Integridad Activos
Valor de Usuarios
Conectividad
Mercado Filtros y
Autenticación

157. Monitoreo y Reacción aplica a ambos
Disponibilidad
Impacto al
Negocio
Monitoreo y
Confidencialidad Respuesta
e Integridad
Valor de
Mercado

158. Default Close Default Open
Confidencialidad Disponibilidad

159. Enfocar controles
en los riesgos principales

160. Determinar las
fronteras
de confianza

161. Definir estrategias de gestión
priorizadas en riesgo intencional

162. Risk Operation Center
Filtrado y
Autenticación
Monitoreo y
Reacción
Redundancia

163. Modelo Evolutivo de
Gestión de Riesgos

164. Fraude de Tarjeta

165. Combinaciones
FDR Nodes?
Top Nodes
• Z1 Node
• KNN Node
6x
• SVN Node
Lower Nodes
• Temporal Node
• Spatial Node
• PCA Node
5x
1. PAN 11. Time
2. BIN 12. Relative to year
7,695,000
3. MCG 13. Relative to month
4. MCG Risk 14. Relative to week
5. MCC 15. Relative to day
6. MCC Risk 16. Amount
7. Merchant ID
8. Country
9. Entry Mode
10. Entry Mode Risk
17. Cents
18. Process Code
19. Network ID
20. Acquirer ID
190 x
Domestic International
e- e-
Brick & Brick &
merc ATM merc ATM
Mortar Mortar
hant hant
e- e-
Mag Mag.
com com
Chip Strip ATM Chip Strip ATM
merc merc
e e
270 x
e e
MCG MCG MCG ATM MCG MCG MCG ATM
1 (8) 1 (8) 2 (8) G(3) 1 (8) 1 (8) 2 (8) G(3)
8 8 8 3 8 8 8 3 Classic
Upsaca Credi
8 8 8 3 8 8 8 3
le t
Comm
8 8 8 3 8 8 8 3
ercial
8 8 8 3 8 8 8 3 Classic
Comm Debit
8 8 8 3 8 8 8 3
ercial
5x
MCC
Points of
Merchant /
ATM
Fraud patterns
Cardholder
Compromise
• Ordered • Ordered • Ordered • Filtered • Filtered
by: by: by: by: by:
• PAN • Merc • PAN • Fraud • PAN
• Time hant • MCC Tx with
/ • Time • Ordered Fraud
ATM by: • Ordered
ID • Time by:
• Time • Time

166. Un fraude por cada 10,000 transacciones
1 Fraude

167. Incorporamos secuencias temporales

168. Modelos Córticos de
Memoria Temporal Jerárquica

169. Supervisados
Y no supervisados

170. Bases de Datos Negativas

172. Modelos predictivos mucho más
precisos

173. Cibermemes

176. www.riskvolution.com