gestión del riesgo ciber-seguridad un asunto...

Gestión del riesgo Ciber-SeguridadUn asunto estratégico

Octubre 2018

Bismark E. Rodríguez | CFA CIA CFSA CCSA CRMA AMLCA CPA PAGPartner | Head of Financial Services Risk Management(FSRM) Latam North EY | Financial Services Office

Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo BancarioGestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)

Acerca del expositor

Bismark E. RodríguezCFA CIA CFSA CCSA CRMA AMLCA CPA PAG

Partner | Head of Financial Services Risk Management(FSRM) Latam North

EY | Financial Services Office

► 27 años de experiencia profesional;► CPA UCLA – 1992;► Programa Avanzado de Gerencia (PAG) – IESA 1998;► Harvard Leadership Program – 2016► Líder de la práctica de Gestión de Riesgos para Servicios

Financieros de EY en la Región Norte de LATAM;► Miembro externo de comités de auditoría, riesgos y

cumplimiento de varias entidades financieras en lar región;► Facilitador internacional en temas como: Auditoría Interna,

COSO, ERM, Basilea, Solvencia, IAS39 e IFRS 9, Riesgo deCrédito y Operacional, Gobierno Corporativo y AML;

► Miembro desde 2012 al 2016 del International InternalAuditing Standard Board (IIASB) con The IIA;

► Desde 2017 es miembro del Comittee of Research andProfessional Education (CREA) de The IIA;

► Conferencista y articulista.


Agenda

Estrategia de gestión del riesgo de ciber-seguridad

Tres líneas de enfoque estratégico de defensacontra los riesgos de ciber-seguridad

Regulaciones y riesgos sistémicos ante lasamenazas de la ciber-seguridad

El futuro de la ciber-seguridad

Contexto general en la industria


Consideraciones finales: El Futuro de Riesgos

01ContextoSuperintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo Bancario

Gestión de Riesgos Cibernéticos: un asunto estratégico | EY | Servicios Financieros (FSO)

Varias fuentes citan…

6.4 BillonesLa cantidad de correos electrónicos falsos enviados

a todo el mundo: todos los días

50%El número de autoridades locales en Inglaterra que

confían en un servidor de software sin soporte

1,946,181,599El total de registros que contienen datos personales y otrosdatos confidenciales comprometidos entre enero de 2017 y

Marzo 2018

550 MillonesEl número de correos electrónicos de phishing

enviados por una sola campaña durante el primertrimestre de 2018

1,464El número de funcionarios de gobierno en utilizando

"Contraseña123" como su contraseña

2 MillonesEl número de identidades robadas utilizadas para realizarcomentarios falsos durante una investigación de Estados

Unidos sobre la neutralidad de la red

US$729,000La cantidad perdida por un empresario en una estafa

combinando“Catphishing” y “whaling”

US$3.62mEl costo promedio de brechas de datos el año pasado


Varias fuentes citan…


Percepción

Hoy las entidades financieras son digitales por defecto

► Estamos en un mundo cada vez más conectado donde el panorama digital es vasto y todos los activospertenecientes o utilizados por una entidad representan un nodo más a la red.

► Las entidades dependen cada día más de la tecnología, la automatización y los datos operacionales paraimpulsar sus ganancias por productividad, una mejora de los márgenes, y los objetivos de reducción decostos.

► Al mismo tiempo, nunca ha sido más difícil para las organizaciones comprender y proteger el entorno digitalen el que operan o sus interacciones con él.

Percepción de nuestra Global Information Security Survey 2018

87%

De los encuestados dicenque necesitan hasta un50% más de presupuestopara ciber-seguridad 36%

de los consejos tienensuficiente conocimientode ciber-seguridad parauna supervisión efectivade los riesgoscibernéticos

89%

Dice que su función deseguridad cibernética nocumple completamentecon las necesidades de suorganización

1 El panorama tecnológico decada organización es un tantopersonalizado como complejo 2 Definir la “organización” es

difícil al difuminar aún más elperímetro de seguridad 3

Una mayor conectividad entre latecnología de la información y entornosde tecnología operativa (OT) menosmaduros amplía la "superficie deataque"


La Amenaza Cibernética

¿Cuál considera que es la fuente másprobable de un ataque?

Muy Probable

ProbableImprobable

Muy Improbable

¿En su opinión, cuál es laprobabilidad de que suorganización detecte un ataquecibernético sofisticado ?

40%

15%

12%

11%

10%

9%

5%

4%

3%

Empleados malintencionados odescuidados

Sindicato criminal

Hacktivistas

Atacante Lobo solitario

Contratista externo, in situ.

Atacante patrocinado por elestado

Proveedor

Otro socio de negocios

Cliente


La Amenaza Cibernética

¿Qué vulnerabilidades han aumentado más laExposición en los últimos 12 meses?

34%

25%

22%

14%

11%

9%

Empleados descuidados o inconscientes

Controles / arquitectura de seguridad dela información obsoletos

Computación en la nube

Informática móvil

Redes sociales

Acceso no autorizado

Fuente: www.diariolibre.com 20/09/2018.

Los sectores de salud, específicamenteen lo que tiene que ver con récord oregistros médicos; el financiero con lastarjetas de crédito; y el sistemaeducativo, con las universidades a lacabeza, son los más vulnerables a losciberataques en el mundo digital, lo queconlleva a pérdidas de datos y de dinero.

Según la empresa

estadounidense Fortinet


Para 77% de las organizaciones, el punto más obvio de vulnerabilidad provendráde un empleado descuidado o de un empleado con intenciones maliciosas.

64% de las organizaciones ven el phishing como la mayor amenaza, y cada vezestán más preocupados por la poca conciencia y comportamiento del usuario.

48% de las organizaciones no cuentan con la certificación de Controles de Sistemay Organización (SOC), a pesar de que los ataques avanzados son cada vez máscomunes

Solo el 8% tiene un sólido programa de respuesta a incidentes que incluye llevar acabo ejercicios de mesa de respuesta a crisis con regularidad - Plan de Respuesta aBrechas de Seguridad Cibernética (CBRP).

¿Qué está impulsando la necesidad de la gestión delriesgo cibernético?

¿Qué está impulsando la necesidad de la gestión del riesgocibernético?


TENDENCIAS

Big Data

Cloudcomputing

Digital

Nuevas tecnologías(cryptocurrency; block

chain)

Internet ofThings

DataProtection

Nuevasregulaciones

¿Cómo está incidiendo la ciber-seguridad en el mundodigital?


02Estrategia de la gestión del riesgo deciber-seguridad


38%

27%

20%

19%

18%

14%

9%

7%

7%

3%

2%

14%

23%

25%

29%

26%

36%

39%

48%

25%

37%

25%

44%

39%

49%

17%

14%

33%

33%

24%

15%

14%

12%

5%

11%

6%

35%

42%

16%

19%

21%

53%

46%

61%

0% 20% 40% 60% 80% 100%

Infraestructura digital y móvil

Asociación con actores FINTECH

“Big data”

Chatbots

Servicios utilitarios externos

RPA

Machine learning

Artificial intelligence

Internal blockchain/distributed ledger

External blockchain/distributed ledger

Esquems para identificar colaboracionesabiertas (crowd-sourcing)

Estado de los planes para reducir los costos a través de losbancos digitales en medio de una transformación digitalimportante multianual y multifacética:

Transformación digital y sus efectos en la gestión de riesgosEn el uso de tecnología para involucrar a los clientes, la industriaestá implementando una variedad de tecnologías para interactuarmejor con sus clientes, con algunas más avanzadas que otras:

56%

29%

26%

20%

19%

19%

15%

11%

27%

26%

30%

17%

25%

22%

27%

26%

30%

20%

8%

22%

31%

6%

18%

18%

30%

56%

34%

32%

0% 20% 40% 60% 80% 100%

Uso de APPs para interfase con clientes

Acceso biométrico

APIs que permiten a clientes interfasescon otras APPs

Tecnologia Open Source

Uso de Tecnologpia "Weareble"

Chatbots

Desarrollo de "Robo-Advisers"

Instalada Planeada En construcción No planeadoFuente: 2017 Risk Management Global Survey | EY -IIF


El sector financiero se enfrentará a impactos significativos en las siguientes tecnologías en su enfoque degestión de riesgos en los próximos tres años:

15%

10%

48%

14%

21%

5%

25%

13%

42%

25%

38%

33%

21%

18%

28%

34%

9%

46%

14%

38%

44%

28%

47%

5%

19%

16%

13%

48%

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

Sobre los próximos 3 años

Para el siguiente año






Para el siguiente añoBlockchain / Librodistribuido

Robótica /Automatización

Inteligencia Artificial/ Aprendizajeautomático

Chatbots

33%

45%

Significativo Parcial Limitado No hay cambios reales

Transformación digital de la gestión de riesgos

Fuente: 2017 Risk Management Global Survey | EY -IIF


La era digital y los riesgo que enfrentaPrincipales riesgos tecnológicos

¿Los gestionamos?

Protección de datosy privacidad Redes sociales Cybersecurity Gestión de

programas

Gobierno de datos ygerencia

Integridad de datos

Calidad de datos

Infraestructura yarquitectura

Confidencialidad yrecuperación de TI Seguridad de TI Gestión de la

propiedad intelectualGestión de

requerimientos de TI Cloud computing

Dispositivosdigitales y móviles

Cambio tecnológico

Gestión de licenciasde software

Revisión de políticasde tercerización

Desarrollo deaplicaciones

El desafío de las IF es fortalecer sus procesosde administración de riesgos, y considerar en

su tratamiento los aspectos éticos queenfrentan.


¿Pero qué más?

Lo estratégico► Renovar marco ERM► Medir riesgos en el

desempeño► ROI, rentabilidad, costos

Lo regulatorio► Joint ventures.

► Nuevos servicios y negocios► Expectativas del regulador

La reputación► Experiencia de cliente

► Cyber-security► Gestión de marca y redes

sociales


La ciber-seguridad es el único riesgo que, si no se gestiona de maneraproactiva, puede comprometer la información confidencialEsto afectaría la marca, la lealtad del cliente hacia la entidad y su valor en el mercado

Los negocios como siempre están evolucionando dramáticamente. El advenimiento del mundo digital y lainterconectividad inherente ofrece un nuevo campo de juego de vulnerabilidades. Lo que solíamos saber y hacerya no es suficiente para protegernos de la avalancha de ciber-amenazas y ataques nuevos y emergentes.

Ser atacado es inevitable! Entonces, ¿cuán preparado está?¿puede dar respuestas claras a preguntas claves?

¿Sabe cómo mantener lacapacidad de detectar y

abordar nuevas amenazascibernéticas y riesgos

emergentes?

¿Sabe cómo evaluar estadoactual de la seguridad de su

entidad y cuánto debegastar en ciber-seguridad?

¿Sabe si sus ejecutivos y elconsejo están informados

sobre el riesgo cibernético ysu impacto en el negocio?

¿Sabe cómo influir en lamitigación del riesgo de

ciber-seguridad en lasunidades de negocio

autónomas?

Responder “no” a cualquiera de las preguntas aumentasignificativamente el perfil de riesgo de su organización

1

2

3

4

1.La ciber-seguridad es mucho más que un problema de TI;2.Las organizaciones en todo el mundo ahora reconocen

que los riesgos de ciber-seguridad son una de las tresprincipales preocupaciones;

3.Las actividades habituales como lanzamientos de nuevosproductos, fusiones y adquisiciones y expansión delmercado ahora tienen una dimensión ciber-seguridad;

4.Traer sus propias políticas de dispositivos (BYOD), juntocon la adopción de operaciones y servicios móviles ybasados en la nube, aumentan y cambian drásticamenteel panorama de riesgo de nuestra vida profesional ypersonal;

5.Vivimos y operamos en un ecosistema de entidades,personas y datos conectados digitalmente, lo que aumentala probabilidad de exposición al delito cibernético.


¿Están obsoletas las defensas ante el riesgo cibernético?

Impulsado por regulaciones externas

Concentra en aspectos técnicospara la recuperación ante desastres

Apoyados por sistemas heredados

Cubrir la organización es el límiteal preparar el DRP

Limitado intercambio de conocimientos

Enfoque reactivo

Procesos mayormente manuales

Los desastres son provocadosprincipalmente por fallas técnicas

Mejora continua

Enfoque holístico para resistir yreaccionar ante amenazas disruptivas

Impulsado por las expectativas delconsumidor y la generación del valor

Fortalecida por las tecnologías SMART

Intercambio de conocimientos fluido entreempresas y entidades gubernamentales

Cobertura amplia con un enfoqueque se extiende fuera de la organización

Enfoque proactivo

Se identifican y abordan causas complejasde interrupción

Procesos automatizados e integrados

Innovación continua y reingeniería

Res

ilien

cia

Trad

icio

nal

Ciber

resiliencia


La credibilidad digital define la ruta hacia la diferenciación yventaja competitiva en un entorno que rápidamente setransforma tecnológicamente

En tanto se incrementa la complejidad digital ylas expectativas de partes interesadas, lacredibilidad digital es una capa o nivel queimpulsa la confianza de la organización paraaprovechar las oportunidades de un Nuevomercado.

► Actitud: ¿Cómo los usuarios sienten el ambiente digital?► Comportamiento: ¿Cómo los usuarios responden a las fricciones en experiencia digital?► Ambiente: Mecanismos para construir credibilidad digital y robustecerla► Experiencia: ¿Cómo los usuarios experimentan el ambiente digital?

4Dimensiones

Social MediaCloud

Internet of Things

Mobile

E-Commerce

Data Integrity

Credibilidaddigital

Expectativas de partes interesadas

Data Security

. . . . . . . . . . . . . . . .

Confianza digital


Dos enfoques de riesgos ante la transformación digital

Enfoque Análogo – Mitigar y Proteger

RiskIntelligence

Compararrelevancia de

riesgos nuevosversus registros

históricos

Desarrollar elalgoritmo de

riesgo

Mejorar yactualizar lainteligenciade riesgos

Manejar riesgosen tiempo real

Análisis deRiesgos

Emergentes

Base deDatosDRA

IdentificarRiesgos

AnalizarRiesgos

Evaluar ymanejaropciones

Monitoreocontinuo

y/o periodico

Comunicar y seguimiento a riesgos

Seleccionar /Adaptar

Gestión deRiesgos

Evaluar el modelooperacional

Registro de Riesgos Reportes yrespuestas

Cambios del modelo

Gestión delproceso

Modelo Operacional DigitalRisk

Procesode

Riesgos

Enfoque Digital – Detectar y Responder

La gestión de riesgo va a requerir reporte y acción en “tiempo real”


03Regulaciones y riesgos sistémicosante las amenazas de ciber-seguridad


Establecer un programaefectivo de ciber-seguridad esun desafío importante para lasempresas independientementede la industria y la geografía.Sin embargo, el desafío esmucho mayor para lasempresas que operar a nivelinternacional, ya que debencumplir con las regulacionesde múltiples jurisdicciones ymúltiples reguladores.

Aunque muchas empresas yacuentan con programas paraabordar los riesgos de ciber-seguridad, una vez que seestablezcan lasreglamentaciones formales enlas diferentes jurisdicciones, lasempresas deberían encontrar laforma de lograr un marco decontrol eficiente y eficaz parael cumplimiento con lasregulaciones en materia deciber-seguridad.

El Foro Económico Mundialcalifica el cibercrimen comouno de los 5 riesgos másgraves que enfrenta el mundoen la actualidad, con lo cualpodemos dimensionar que esun asunto a tomar en serio,sobre todo en la gestión de losnegocios donde hay muchopeligro en juego.

1 2 3

Perspectivas de la regulación global en ciber-seguridad


Requerimientos comunes de la regulación global sobreciber-seguridad

Usar un enfoque basado en el riesgopara comprender las amenazas deciber-seguridad.

Establecer una estructura de gobiernopara impulsar la credibilidad delprograma general de ciber-seguridad.

Identificar sistemas que están sujetos acontroles de seguridad.3

Monitoreo de sistemas de información parauna violación o intento de violación deseguridad.

Implementar programas formales degestión de incidentes y escalamiento paraidentificar y responder a infracciones ynotificar a los reguladores y las personasafectadas de manera oportuna.

Probar la efectividad del programaperiódicamente el programa de ciber-seguridad.

Afortunadamente la similitud de requerimientos exigidas globalmente por los reguladores hace que el retode cumplimiento sea más manejable. Independientemente de las jurisdicciones muchas regulaciones sobreciber-seguridad se enfocan en amenazas y vulnerabilidades similares y requieren que las empresasadopten, entre otros, los siguientes aspectos mitigantes

621

54


¿Cómo abordar el desafío global de cumplimiento?Aquí hay algunos consejos prácticos para ayudar a las empresas a cumplir de manera eficiente yefectiva con las regulaciones de integridad cibernética.

Piense GlobalmenteTome una visión global de las regulaciones de integridad cibernética, desarrollando y ejecutandoestrategias y planes globales para aumentar la velocidad, la eficiencia y la coherencia.

BenchmarkingDebido a que muchas regulaciones están al menos parcialmente alineadas con los estándaresestablecidos. Estos estándares pueden ser una valiosa fuente de conocimientos y sinergias.

Cierre de la brecha de talentoEl cumplimiento de las normas de integridad cibernética requiere una experiencia profunda tantoen tecnología como en cumplimiento normativo.

Participe en la formulación de las reglasEl cumplimiento de las normas de integridad cibernética requiere una experiencia profunda tantoen tecnología como en cumplimiento normativo.

1234


04Tres líneas de enfoque estratégico de defensacontra los riesgos de ciber-seguridad


Los principios de las tres líneas de defensa (3LOD) prepara a las entidades a ver laseguridad como un riesgo relevante para el negocio que se debe gestionar de manerainterfuncional.

Alta Gerencia

Líne

asde

Def

ensa

Consejo de Administración / Comité de Auditoria

► Las unidades de negocio y la gerencia delínea son responsables de identificar ygestionar los controles directamente(diseño y ejecución para responder alriesgo - planificar, construir, ejecutar).

1 Línea frontal

Control de gestión

Medidas de control interno

► ciber-seguridad en la organización desempeña ungobierno sobre la gestión del riesgo de seguridad yla supervisión de los controles en la segunda líneade defensa, además proporciona soporte y facilidaden las actividades de gestión de riesgos.

2 Segunda línea

Planificación estratégica y gobernanza

Formulación de políticas y capacitación

Cumplimiento, monitoreo y reportes

Evaluación y verificación de controles

Evaluación y asesoramiento de riesgos

Inteligencia de seguridad y soporte

► Auditoria interna es responsablede proporcionar garantíasindependientes sobre laefectividad de la gestión deriesgo y control.

3 Tercera línea

Auditoria interna

Audi

toria

Ext

erna

Reg

ulad

or

Este modelo introduce el concepto de responsabilidad directa para decisiones de riesgo (primera línea), supervisión y desafío de decisiones de riesgo yestablecimiento del marco de gestión de riesgos (segunda línea) y una garantía independiente sobre la efectividad de los procesos de gestión, control y

gobernanza de riesgos (tercera línea).

Los principios del modelo 3LOD deben servir como un insumo de diseño crítico para el modelo de gobernanza de laorganización de ciber-seguridad que solidifica la ciber-seguridad como una función multifuncional para toda laempresa que protege contra los ciberataques y las amenazas.


Evolución de la gestión del riesgo cibernético

Controles de TIDesarrollo deprácticas yestándares paracontroles de TI

Creación del marco degobiernoCreación de un áreaindependiente deseguridad de lainformación

Desarrollo de la gestiónde identidad y accesoUn planteamiento firmepara controlar losaccesos

Gestión de inteligenciaFoco principal en larecopilación deinteligencia y monitoreode amenazas

CISO, construyeinfraestructura de primeralínea, métricas e informes

Defensa delequipo de TI entiempo real

Nuevas herramientassistema de gestión deaccesos e identidades (IAM)para ataques y pruebas depenetración.

Intercambio deinformación a lo largodel sector público /privado

Técnicas avanzadas demonitoreo

Mejor supervsión a nivelde Consejo

Construir el enfoque dela segunda y terceralínea

Gobierno CorporativoImplementar el enfoquede las tres líneas dedefensa (3LoD)orientado a la ciber-seguridad

AÑOS

Bandascriminales

Ataque a lossistemas depago

Amenazas /APTpatrocinadaspor el estado

Ataquessofisticados dehacking

Hackingmalicioso

Gestión del Riesgo Cibernético


05¿Cómo el riesgo cibernético impacta el marco degestión de riesgos y apetito por el riesgo de unaentidad?


El desafío de las organizaciones

La 21° edición de la encuesta “EY GlobalInformation Security” captura las respuestas demás de 1,400 C-suite Líderes y seguridadinformática y directores y ejecutivos de TI, querepresentan a reconocidas organizacionesglobales La encuesta fue realizada entre abril yjulio de 2018

Distribución de los participantes

¿El riesgo cibernético solo seconvierte en una prioridad una vezque has sido atacado?► “Más de la mitad de los encuestados

en la última EY Global Information

Security Survey manifiestan un

crecimiento exponencial de las

amenazas cibernéticas a nivel global

y los mismos han experimentado un

incidente significativo de este tipo

en el último año.“


El desafío de las organizaciones

Proteger la entidadEnfocarse en identificar activos y construyendo líneas de defensa

Optimizar la ciber-seguridadCentrarse en detener el valor bajo actividades, aumentando la eficienciay reinvirtiendo los fondos en tecnologías emergentes e innovadoras paramejorar optimizar la ciber-seguridad

Habilitar el crecimientoEnfóquese en la implementación de la seguridad por diseño como un factor clave deéxito para las transformaciones digitales


Proteger a la entidadGobierno Corporativo

GobiernoCorporativo

01¿Lo queestá enjuego?

02

Protección

03Brechas

. 04

¿Cuáles son los temores de lasorganizaciones y cómo sesonsideran las mayoresamenazas que enfrentan?

Las organizaciones deben abordar lamedida en que la ciber-seguridad esparte integrante de la estrategia de laorganización, y si hay fondossuficientes para la inversión necesariaen defensa

La madurez de la ciber-seguridad deuna organización y lasvulnerabilidades más comunes sonclave

¿Cómo se identifican lasbrechas y la forma en que lasorganizaciones responden soncuestiones críticas?


Proteger a la entidadGobierno Corporativo: ¿Es la ciber-seguridad parte de la estrategia y en el presupuesto?

39% de lo encuestados expresó que menos del 2% de supersonal total de TI trabaja únicamente en ciber-seguridad

De las organizaciones la “Protección“ no forma

parte de su estrategia

Ha visto un aumento en su presupuesto este año

Anticipa un aumento en su presupuesto elaño que viene


Proteger a la entidad¿Qué es lo que está en juego?

17%

12%

12%

11%

11%

9%

8%

6%

5%

5%

Información de Clientes

Información Financiera

Planes Estratégicos

Información de Miembros de Consejo

Password de clientes

Información R&D

Información M&

Propiedad Intelectual

Propiedad intelectual no patentada

Información de proveedores

Top 10 de Información más valiosa para losdelincuentes cibernéticos


Proteger a la entidad

34%

26%

13%

10%

8%

5%

4%

Despreocupados / empleadosinconscientes

Controles de seguridad obsoletos

Acceso no autorizado

Relacionado con el uso de lacomputación en la nube

Relacionados con smartphones /tablets

Relacionados con las redes sociales

Relacionado con el internet de lascosas

Vulnerabilidades con la mayor exposición al riesgo en los últimos 12 meses

De organizaciones ve a losempleados descuidados /inconscientes como la mayorvulnerabilidad

No tiene ningún programa, o estáobsoleto para uno o más de lossiguientes:

• inteligencia de amenazas• Identificación de vulnerabilidad• Detección de infracciones• Respuesta de incidencia• Protección de Datos• Vulnerabilidad en gestión deidentidades y accesos


Proteger a la entidadBrechas

SOCNegociosTerceros

OtroNo tienen incidentessignificativos

De las organizacionesinforman una lista deinfracciones en susinformes de seguridad de lainformación

No tuvo incidentes(o aún no los conocen)

Aumentó su presupuesto deciber-seguridad.después de un incidente grave


¿La función de seguridad de la informaciónsatisface las necesidades de la organización?

¿Dónde están las brechas de ciberseguridad en laorganización?

Optimizar la ciber-seguridad¿Dónde están las brechas?¿Dónde se necesitan los recursos con mayor urgencia?

No satisface las necesidades

Satisface plenamente las necesidadesParcialmente, y hay planes para mejorar

Parcialmente, pero no hay planes para mejorar

Puede ser mejorado

Prioridades para mejorar cuando se produce una brecha: ¿cómo se desempeñan las organizaciones?

38%32%

27%

36%

49%

24%

62%68%

73%

64%

51%

76%

Identificación de Brechas Crisis Management Comunicación Interna Comunicación Externa Forense Retorno al "Business asusual"

BienNo Muy bien


Optimizar la ciber-seguridad¿Está la organización recopilando información sobre las Capacidades e incidentes de ciber-seguridad?¿Cómo se informa esto a las partes interesadas?




Puede ser mejorado

¿Efectividad de los informes de seguridad de la información de la organización?

No recibo informes

Los informes cumplen todas mis expectativas

Los informes cumplen con algunas de las expectativas

Los informes no cumplen con las expectativas


Optimizar la ciber-seguridadLiderazgo

¿El Consejo de Administración tiene una comprensión completa de la seguridad de informaciónpara evaluar completamente los riesgos cibernéticos y las medidas preventivas?




Puede ser mejorado

No recibo informes


Los informes no cumplen con las expectativasLimitadoSi

No, pero intentando mejorarNo, y no hay planes para mejorar

De organizacionesdice que la información deseguridad influye plenamenteplanes de estrategia de negocios

Limitado

Si

No, pero intentando mejorar

No, y no hay planes para mejorar


Optimizar la ciber-seguridadDigitalización


Satisface plenamente las necesidades


Puede ser mejorado

No recibo informes



No, pero intentando mejorarNo, y no hay planes para mejorarLimitado

Si

29%

27%

11%

10%

10%

6%

5%

Poca conciencia y comportamiento delusuario

La pérdida de un dispositivo inteligente.

Secuestro de dispositivos

Los dispositivos no tienen el mismosoftware que se ejecuta en ellos

Los ingenieros de redes no puedenparchar las vulnerabilidades lo…

Los ciberdelincuentes venden hardwarecon troyanos o puertas traseras…

Problemas de interoperabilidad dehardware

De las organizaciones dicenque los smartphones han

incrementado susdebilidades

Están muy preocupados por elInternet de las Cosas

8%

4%Superintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo Bancario


Optimizar la ciber-seguridadTecnologías Emergentes


Parcialmente, y hay planes para mejorar


Puede ser mejorado

No recibo informes



No, pero intentando mejorarLimitadoSi

No, pero intentando mejorar

No, y no hay planes para mejorar

Prioridades para la inversión en ciber-seguridad de este año

52%

38%

33%

25%

18%16% 15% 15% 14%

11% 11%

16%

27%

37% 36%39%

41%

48%

37%

50%52%

48%45%

48%

43% 44%

37%

Cloud computing Cybersecurityanalytics

Mobile computing Internet of things Robotic processautomation

Machine learning Artificialintelligence

Biometrics Blockchain

Prioridad Alta Prioridad Media Prioridad Baja


06Consideraciones FinalesSuperintendencia de Bancos (SIB) de la Republica Dominicana | III Congreso de Gestión de Riesgo Bancario


Consideraciones finales

Aunque las inversiones en ciber-seguridad están en aumento y laprotección ha mejorado los ataques cibernéticos están aumentando

La ciber-seguridad debe ser un puntopermanente de la agenda de los Consejos deAdministración y Alta Gerencia

La ciber-seguridad debe estar en el ADN de laorganización; Debe formar parte de la estrategia

Sea más abierto alrededor de las operaciones deseguridad para impulsar comprensión de lasamenazas y fomentar la toma las medidasadecuadas

Centrarse en la ciber-seguridadcomo parte de la estrategia detransformación digital.

Continuar el enfoque en las tecnologíasemergentes. Los ciber-delincuentestambién están invirtiendo enInteligencia artificial

Los proyectos digitalesdependerán delestablecimiento de laconfianza con clientes


Impactos en el modelo de gobierno corporativo ante elpanorama digital

Operativos

Mercado

Gente

Estratégicos

Requieren unarenovada visión delos nuevosrequerimientos denegocio en el entornodigital

Implica conocer como lanueva tecnología puedetransformar la forma enque se ejecutanactividades de negocio,clientes, soporte,control, reportes, etc.

Precisa definirescenarios y factibilidadeconómica de losemprendimientos asícomo el impactofinanciero

Demanda revisar elmapa de capacidadesdigitales y si laorganización estápreparada para elcambio


El futuro de la gestión de riesgos en la era de latransformación digital

Gestión de datosmás científica y

generarcapacidad de

predicción

Mayorautomatizaciónpara toma de

decisiones

Capacidades paravisualizar

inteligentementeinterfaces de

clientes, canalesy apps

Talentocapacitado,motivado yreforzadacultura de

riesgoretribuido

Modelosoperacionales

ágiles yprocesos

automatizados

Arquitectura einfraestructuraflexible, segura,

altamentedisponible,

eficiente y efectiva

Adaptado a lasexpectativas de partesinteresadas (clientes,

proveedores, accionistas,colaboradores,

acreedores, reguladores)

RPA yAutomatización

para reducirerrores, detectar

fallos, identificar ytratar más rápido

los riesgos

Menoresperdidas pordeterioro de

crédito yfraude

operacional

Incremento deingresos a través

de mejorconocimiento de

patrones decomportamiento y

necesidades declientes

Retención deltalento, reducción

de perdidasoperativas ycapacidades

incrementadaspara generar ideas

Fidelización ycaptación de

clientes eincremento de

laproductividad

Confianzadigital,

incremento dela eficiencia yseguridad y

privacidad dedatos

Mejorada gestióndel capital,reservas

patrimoniales yriesgos

reputacionales


Q&AEY | Assurance | Tax | Transactions | Advisory

About EYEY is a global leader in assurance, tax, transaction and advisory services.The insights and quality services we deliver help build trust and confidencein the capital markets and in economies the world over. We developoutstanding leaders who team to deliver on our promises to all of ourstakeholders. In so doing, we play a critical role in building a better workingworld for our people, for our clients and for our communities.

EY refers to the global organization, and may refer to oneor more, of the member firms of Ernst & Young Global Limited, each ofwhich is a separate legal entity. Ernst & Young Global Limited, a UKcompany limited by guarantee, does not provide services to clients. Formore information about our organization, please visit ey.com.

Ernst & Young LLP is a client-serving member firm of Ernst & Young GlobalLimited operating in the US.

About EY’s Advisory Services

In a world of unprecedented change, EY Advisory believes a better workingworld means solving big, complex industry issues and capitalizing onopportunities to help deliver outcomes that grow, optimize and protectclients’ businesses. Through a collaborative, industry-focused approach,EY Advisory combines a wealth of consulting capabilities – strategy,customer, finance, IT, supply chain, people and organizational change,program management and risk – with a complete understanding of a client’smost complex issues and opportunities, such as digital disruption,innovation, analytics, cybersecurity, risk and transformation. EYAdvisory’s high-performance teams also draw on the breadth of EY’sAssurance, Tax and Transaction Advisory Services professionals, as well asthe organization’s industry centers of excellence, to help clients deliversustainable results.

© 2018 Ernst & Young LLP.All Rights Reserved.

ey.com

Bismark RodriguezCFA CIA CCSA CFSA CFA CRMA AMLCA CPA MBAPartner – Financial Services Office (FSO)Head of Financial Services Risk Management (FSRM)Latam NorthOffice: +507 208-0100 | Mobile: +1 239 738-3643Mobile: + 507 6678-5681e-mail: [email protected]


gestión del riesgo ciber-seguridad un asunto...

Documents