¿El mayor riesgo es aquel que no puede prever? Evaluación

Anuncio
¿El mayor riesgo
es aquel que no
puede prever?
Evaluación continua
de Ciberseguridad EY
Estado actual: rápido aumento de las amenazas cibernéticas
El mundo digital promueve la expansión de la innovación y genera nuevas oportunidades de negocio, por lo que gobiernos y empresas han
dirigido su atención hacia sus beneficios.
De esta manera, también ofrece un enorme potencial mediante la creación de nuevos mercados y productos, a través de la comprensión de
los consumidores y de los ciudadanos, así como de encontrar diversas formas de conectarse con las personas. Sin embargo, debido a los
cambios rápidos y constantes del entorno, muchas precauciones son omitidas y, como resultado, se subestiman los riesgos.
Para que las organizaciones logren reconocer los retos actuales y comprendan qué deben hacer para mejorar, necesitan responderse las
siguientes preguntas:
Los ataques
actuales en el
mundo digital
¿Cómo se
desarrollan los
ataques?
• ¿Cómo cambia el
mundo?
• ¿Cuáles son los peores
escenarios?
• ¿Cuáles son las
principales amenazas
y vulnerabilidades?
• ¿Cómo detectar las
señales sutiles?
• ¿Cómo enfrentar los
ataques?
• ¿Por qué el estado de
alerta máxima debe
ser constante en una
organización?
¿Por qué las
empresas continúan
siendo tan
vulnerables?
El cambio
hacia la
Defensa Activa
• No hay suficientes
medidas de control en el
entorno actual
• ¿Qué es la Defensa Activa?
• No hay mecanismos para
adaptarse al cambio
• ¿Cómo construirla?
• ¿Qué debe mejorar con su
implementación?
• El enfoque proactivo es
lento para neutralizar los
ciberataques
Las amenazas cibernéticas han aumentado en número y en nivel de sofisticación, convirtiéndose en uno de los temas más relevantes
relacionados con el riesgo. Como resultado de esto, los ciberatacantes son considerados como una preocupación inminente pues afecta
desde los gobiernos, hasta las pequeñas, medianas y grandes empresas, internacionales o locales. Los ciberataques son motivados por
factores complejos, entre ellos, la ideología que poseen los atacantes, o bien, por cuestiones financieras; incluso, existen programas en
función de seguridad nacional. El impacto de los ataques varía, ya sea en la interrupción de los servicios (de cara al cliente), en fugas de
información de activos sensibles (a través del espionaje industrial) así como en la destrucción de los datos y sistemas que soportan los
negocios.
Las organizaciones deben
operar en este entorno
cambiante y expuesto,
por lo que es indispensable
que protejan sus activos
digitales para evitar ser
víctimas de un ataque.
Información clave
¿Se debe vivir en un estado de alerta máxima constante?
•
La ciberseguridad –junto con
el cambio climático, la escasez
de agua y el desempleo–‒ fue
uno de los 10 temas prioritarios
abordados en el Foro Económico
Mundial 2015.
•
Para que su organización ocupe un lugar más seguro y sostenible en el mundo digital,
es necesario aplicar la óptica de riesgo cibernético a todo lo que hace.
•
El punto de vista de gestión del riesgo tendrá un sentido diferente para los mandos
directivos, así como para los socios, proveedores, vendedores y otras partes de la
organización.
El 66% de los encuestados, en
la última edición de la Encuesta
Global sobre Seguridad de la
Información de EY, ha sufrido
ataques NO detectados por
su Centro de Operaciones de
Seguridad (SOC, por sus siglas
en inglés).
•
Se debe priorizar, racionalizar y trazar una ruta para la ciberseguridad con un enfoque
personalizado, integral y eficaz para su organización.
•
A fin de orientar de manera eficiente su organización (a través de las capas de los
riesgos y las amenazas) los líderes deben tener la confianza para establecer el nivel de
riesgo y estar preparados para entrar en acción para manejar cualquier incidente.
•
•
Un 59% de los encuestados
identificó que la fuente más
probable de un ataque son las
organizaciones criminales.
Así como los empleados (56%)
y los Hacktivistas (54%).
Beneficios de una
asesoría eficaz
•
•
•
•
Eficaz identificación de
los riesgos de negocio
(representados por las brechas
en las capacidades actuales
de defensa de seguridad
cibernética).
Enfoque proactivo frente
a la gestión de riesgos de
seguridad cibernética para
los reguladores, accionistas y
clientes.
Mejor definición y alineación
de la estrategia de seguridad
e inversiones con beneficios de
costo y riesgo para el negocio.
Adaptar
Su organización sufrirá incidentes cibernéticos, esto es parte integral del mundo digital.
El punto de partida para la obtención de la confianza como organización es el conocimiento
de la situación, es decir, comprender qué es un ciberataque.
•
•
•
Evaluación rápida e
independiente de la situación
actual para prevenir, detectar
y reaccionar -‒ en tiempo-‒ a las
amenazas cibernéticas.
Activar
¿Se pueden detener los ataques?
Anticipar
¿Cómo puede proteger a su organización de un incidente cibernético si no sabe
qué es lo que los atacantes buscan de su negocio?
¿Cómo accederán los ciberatacantes a sus activos y cómo van a perjudicarle?
¿Cómo tendrá confianza si no conoce por completo la capacidad de su
organización para responder, contener y recuperarse de un ataque?
Para ello, las organizaciones están familiarizadas con los principios de la buena gestión de
riesgos, lo cual es un punto de partida útil para pensar en la ciberseguridad:
Principios clave de
administración de riesgos…
… aplicados a los riesgos
cibernéticos
Lo más importante es el enfoque, lo cual
se logra al alinear el negocio a la cultura
de riesgo.
Conozca los activos de información
críticos que podrían ser vulnerables a
los ciberataques.
Mida y emita un reporte de sus principios
cualitativos y cuantitativos.
Promueva que los riesgos
cibernéticos sean más tangibles al
definir los impactos y las métricas.
Conceptualice la naturaleza integral del
riesgo actual y futuro.
Ordene los esfuerzos con los marcos
de riesgo existentes (financieros,
operativos, regulatorios, entre
otros).
Identifique el apetito y tipo de riesgo de
cada unidad de negocio.
Otorgue la debida relevancia a los
riesgos cibernéticos de cada unidad
y de cada uno de sus activos de
información.
Integre con la planeación regulatoria y de
cumplimiento del negocio.
Integre su apetito de riesgo en
las decisiones de inversión para
empoderar sus unidades de negocio.
¿Cómo podemos ayudarle?
EY pone a su disposición a su equipo de profesionales experimentados en materia de ciberseguridad, quienes le ofrecerán un servicio de
evaluación continua, los 365 días del año para detectar anomalías en la estrategia de seguridad cibernética actual de su organización
para así identificar las áreas principales de mejora.
También le proporcionaremos un primer acercamiento(piloto) evaluación rápida e independiente a su capacidad para prevenir, detectar y
reaccionar ante la amplia gama de amenazas cibernéticas.
Nuestra metodología, basada en talento y alternativas automatizadas, puede ejecutar un piloto en un plazo de dos semanas1, con la
finalidad de entender el nivel de riesgo (de alto nivel) de su organización e informar sobre los riesgos principales detectados.
Semana 1
(identificar)
Semana 2
(diagnosticar)
Analizar la información recolectada
Establecer niveles de amenazas
Evaluar vulnerabilidades
Realizar informes técnico y ejecutivo
Generar reportes
de evaluación de
ciberseguridad
Implementar la herramienta tecnológica
Recolectar información de la red
Gestionar el mecanismo de alertas de
detección de amenazas cibernéticas
Contamos con una red mundial de Centros de Seguridad Avanzada,
integrada por asesores con amplia experiencia y conocimiento
en amenazas cibernéticas. Nuestros servicios son totalmente
escalables y, por lo tanto, accesibles para todo tipo de empresas.
Tras recibir el resultado del piloto, pondremos a su consideración
la decisión de acceder a este servicio de evaluación continua
multianual a fin de proteger su compañía los 365 días del año y
reducir considerablemente sus niveles de riesgo.
1
Solicite un diagnóstico inicial de dos semanas directamente con su gerente de servicio
a clientes y reciba un beneficio especial al evaluar el servicio.
Para mayor información favor de contactar a:
Alfredo Borgaro
Gerente Senior de Servicio a Clientes
+52 (1) 55 4499-8483
[email protected]
Ivette Balseca
Gerente de Servicio a Clientes
+52 (1) 55 8530-3203
[email protected]
Para obtener más información acerca de nuestros servicios, envíe un correo electrónico a [email protected]
EY | Aseguramiento | Asesoría de Negocios | Fiscal-Legal | Fusiones y Adquisiciones
Acerca de EY
EY es líder global en servicios de aseguramiento, asesoría, impuestos y
transacciones. Las perspectivas y los servicios de calidad que entregamos ayudan
a generar confianza y seguridad en los mercados de capital y en las economías de
todo el mundo. Desarrollamos líderes extraordinarios que se unen para cumplir
nuestras promesas a todas las partes interesadas. Al hacerlo, jugamos un papel
fundamental en construir un mejor entorno de negocios para nuestra gente, clientes
y comunidades.
Para obtener más información acerca de nuestra organización, visite el sitio
www.ey.com/mx.
© 2016 Mancera S.C.
Integrante de Ernst & Young Global
Derechos Reservados
EY se refiere a la organización global de firmas miembro conocida como Ernst & Young Global Limited, en la que cada una de
ellas actúa como una entidad legal separada. Ernst & Young Global Limited no provee servicios a clientes
Descargar