Desafíos para prevención y detección en la era digital · • Capitulo X CNBV, articulo 316 B11...
Transcript of Desafíos para prevención y detección en la era digital · • Capitulo X CNBV, articulo 316 B11...
Ciberfraude
Desafíos para prevención y detección en la era digital
PwCjunio2015 Vitalmex:GobiernoyEstrategiadeSeguridad 2
PwCjunio2015 Vitalmex:GobiernoyEstrategiadeSeguridad 3
5
6
“Youaregoingtogethacked.Thebadguywillgetyou.Whetheryouareviewedasasuccessbyyourboardofdirectorsisgoingtodependonyourresponse.”CharlesBlauner,Citigroup
LA NUEVA ECONOMIA DE SEGURIDADCRIMEN GLOBAL EN PERSPECTIVA
$400 BILLONESMERCADOGLOBALDECIBERCRIMEN
$30BROBODE
SMARTPHONES
$56BMERCADODEROBODEAUTOS
$85BMERCADODECOCAINA
$114BMERCADODEROBODE
TARJETASDECREDITO
LasintrusionesreportadasalasagenciasgubernamentalesenUSAhanaumentado1,121%en9años
En aumento los ataques de seguridad de la información
0
10,000
20,000
30,000
40,000
50,000
60,000
70,000
2006 2007 2008 2009 2010 2011 2012 2013 2014
SecurityIncidentsReportedtoUSComputerEmergencyReadinessTeambyUSFederalAgencies
Fuente:GAOanalysisofUSComputerEmergencyReadinessTeamdataforfiscalyears2006-2014,GAO-15-573T
5,50311,911
16,843
29,999
41,776 42,85448,562
62,21467,168
IncidentesdeSeguridadreportadosentodoelmundo
Aumentode48%de2013a2014Fuente:GlobalState ofInformation SecuritySurvey 2015
PwC
0.0%De las fugas de informaciónfuerondetectadospor programas de anti-viruso sistemas de prevención deintrusos
Source:Verizon2013DataBreachInvestigationsReport
10http://www.pwc.com/gx/en/economic-crime-survey/downloads.jhtml
Solo6%Delasempresasutilizananálisisdedatosparaminimizarelimpactoeconómicodelcibercrimen
PwC
delosataquessoncontralos
94%
delosdatosmássensiblesestanen
66%
52%
34%
11%
4%
Database
Network
Application
Middleware
ITLayersMostVulnerableToAttacks
67%
15%
15%
3%
Database
Network
Application
Middleware
AllocationofResourcesToSecureITLayer
Source:CSOOnlineMarketPulse,2013
PwC
Fuentes de fuga de información
PwCGlobalStateofInformationSecurity
-100
0
100
200
300
400
500
600
700
800
900
2004 2005 2006 2007 2008 2009 2010 2011 2012 2013
Hacking Malware Social Physical Misuse Error
MAYORES AMENAZAS HACKEO & MALWARE
HACKING
MALWARE
SOCIAL
PHYSICAL
1600%INCREASE
Source:2014VerizonDBIR
PwC
¿Dónde estaban los errores?
Source:2014VerizonDBIR
TARGET70MRecords
JPMC76MRecords
ANTHEM80MRecords
ADOBE152MRecords
HOMEDEPOT56MRecords
DEFAULTPASSWORDSOLUTIONRegularpasswordresetStrongpasswordpolicy
UNENCRYPTEDDATASOLUTIONFilesystemencryptionDatabaseencryption
STOLENCREDENTIALSSOLUTIONMulti-factorauthenticationWeb-frauddetection
UNPATCHEDSERVERSOLUTIONMulti-factorauthenticationAutomatedconfig &patch
WEAKPASSWORDSSOLUTIONMulti-factorauthenticationAutomatedconfig &patch
Ciertas tienen mayores costos de fugas de
Ponemon Institute© Research Report Page 6
Certain industries have higher data breach costs. Figure 4 reports the per capita costs for the consolidated sample by industry classification. Heavily regulated industries such as healthcare, financial, pharmaceuticals, transportation and communications had a per capita data breach cost substantially above the overall mean of $136. Retailers and public sector organizations had a per capita cost well below the overall mean value. Figure 4. Per capita cost by industry classification Consolidated view (n=277). Measured in US$
78
81
103
103
111
113
114
125
125
129
134
150
169
207
215
233
0 50 100 150 200 250
Retail
Public services
Industrial
Media
Education
Consumer
Hospitality
Energy
Research
Technology
Services
Communications
Transportation
Pharmaceuticals
Financial
Healthcare
92 % de las fugas de información están atribuidos a 9 tipos de ataques
Ataqueapuntodeventa(POS)
Ataqueaaplicaciónweb
Malusointerno
Robooperdidafísica
Erroresvarios
Softwaredecriminales
Skimmersdetarjetas
Ataquesdedenegacióndeservicio
Ciberespionaje
18
20
22
https://www.privacyassociation.org/privacy_perspectives/post/dont_fall_for_the_encrytion_fallacy
PwC
•Ar^culo64
•Ar^culo67,68y69
– $7,010 pesos– $89,728,000
pesos
– 3 meses – 10 años
Multas,infraccionesypenasArtículosImportantes
TOTAL:$133,195, 698
Cálculosactualizadoconinformacióndelsitio:www.inicio.ifai.org.mx
Fuente:IFAI,comunicadoIFAI-OA/149/1429denoviembrede2014
Multas INAI 2012-2015
PwC
Puntos de Cumplimiento CNBVArtículos Importantes
• CapituloXCNBV,articulo316B10• Laadministracióndelasllavescriptográficas
• CapituloXCNBV,articulo316B2• ProteccióndelasSesiones
• CapituloXCNBV,articulo316B4• ManejodeContraseñas
• CapituloXCNBV,articulo316B7• CallCenters
• CapituloXCNBV,articulo316B11• Controlesdeacceso
28
PuntosdeCumplimientoPCIArtículosImportantes
• Requisito3– Protegerlosdatosalmacenadosdelospropietariosdetarjetas.
• Requisito7– Restringirelaccesoalosdatostomandocomobaselanecesidaddelfuncionariodeconocerlainformación
• Requisito10– Rastrearymonitorizartodoelaccesoalosrecursosdelaredydatosdelospropietariosdetarjetas
RIESGO• Deataquesofugas
GOBIERNO• AlInterior
CUMPLIMIENTO• Delosreguladores
La Seguridad no es un proyecto… es un PROCESO
•Logrando la protección de datos aumentamos la confianza de los socios,
empleados y clientes, y ampliamos la competitividad de nuestras empresas.
EstedocumentocontieneinformaciónqueesconfidencialyqueseráprotegidaporPricewaterhouseCoopers,S.C.lacualnopodráserusada,reveladaoduplicadaparaningúnotropropósito
fueradelaevaluacióndeestecontenido.
CualquierotrousoolarevelaciónensutotalidadoenpartedeestainformaciónsinelpermisodePricewaterhouseCoopersestáprohibido.
©2015PricewaterhouseCoopers.Todoslosderechosreservados.
©2015PricewaterhouseCoopers.Allrightsreserved.PricewaterhouseCoopersreferstothenetworkofmemberfirmsofPricewaterhouseCoopersInternationalLimited,eachofwhichisaseparateandindependentlegalentity.