Ciberfraude

Desafíos para prevención y detección en la era digital

PwCjunio2015 Vitalmex:GobiernoyEstrategiadeSeguridad 2

PwCjunio2015 Vitalmex:GobiernoyEstrategiadeSeguridad 3

5

6

“Youaregoingtogethacked.Thebadguywillgetyou.Whetheryouareviewedasasuccessbyyourboardofdirectorsisgoingtodependonyourresponse.”CharlesBlauner,Citigroup

LA NUEVA ECONOMIA DE SEGURIDADCRIMEN GLOBAL EN PERSPECTIVA

$400 BILLONESMERCADOGLOBALDECIBERCRIMEN

$30BROBODE

SMARTPHONES

$56BMERCADODEROBODEAUTOS

$85BMERCADODECOCAINA

$114BMERCADODEROBODE

TARJETASDECREDITO

LasintrusionesreportadasalasagenciasgubernamentalesenUSAhanaumentado1,121%en9años

En aumento los ataques de seguridad de la información

0

10,000

20,000

30,000

40,000

50,000

60,000

70,000

2006 2007 2008 2009 2010 2011 2012 2013 2014

SecurityIncidentsReportedtoUSComputerEmergencyReadinessTeambyUSFederalAgencies

Fuente:GAOanalysisofUSComputerEmergencyReadinessTeamdataforfiscalyears2006-2014,GAO-15-573T

5,50311,911

16,843

29,999

41,776 42,85448,562

62,21467,168

IncidentesdeSeguridadreportadosentodoelmundo

Aumentode48%de2013a2014Fuente:GlobalState ofInformation SecuritySurvey 2015

PwC

0.0%De las fugas de informaciónfuerondetectadospor programas de anti-viruso sistemas de prevención deintrusos

Source:Verizon2013DataBreachInvestigationsReport

10http://www.pwc.com/gx/en/economic-crime-survey/downloads.jhtml

Solo6%Delasempresasutilizananálisisdedatosparaminimizarelimpactoeconómicodelcibercrimen

PwC

delosataquessoncontralos

94%

delosdatosmássensiblesestanen

66%

52%

34%

11%

4%

Database

Network

Application

Middleware

ITLayersMostVulnerableToAttacks

67%

15%

15%

3%

Database

Network

Application

Middleware

AllocationofResourcesToSecureITLayer

Source:CSOOnlineMarketPulse,2013

PwC

Fuentes de fuga de información

PwCGlobalStateofInformationSecurity

-100

0

100

200

300

400

500

600

700

800

900

2004 2005 2006 2007 2008 2009 2010 2011 2012 2013

Hacking Malware Social Physical Misuse Error

MAYORES AMENAZAS HACKEO & MALWARE

HACKING

MALWARE

SOCIAL

PHYSICAL

1600%INCREASE

Source:2014VerizonDBIR

PwC

¿Dónde estaban los errores?

Source:2014VerizonDBIR

TARGET70MRecords

JPMC76MRecords

ANTHEM80MRecords

ADOBE152MRecords

HOMEDEPOT56MRecords

DEFAULTPASSWORDSOLUTIONRegularpasswordresetStrongpasswordpolicy

UNENCRYPTEDDATASOLUTIONFilesystemencryptionDatabaseencryption

STOLENCREDENTIALSSOLUTIONMulti-factorauthenticationWeb-frauddetection

UNPATCHEDSERVERSOLUTIONMulti-factorauthenticationAutomatedconfig &patch

WEAKPASSWORDSSOLUTIONMulti-factorauthenticationAutomatedconfig &patch

Ciertas tienen mayores costos de fugas de

Ponemon Institute© Research Report Page 6

Certain industries have higher data breach costs. Figure 4 reports the per capita costs for the consolidated sample by industry classification. Heavily regulated industries such as healthcare, financial, pharmaceuticals, transportation and communications had a per capita data breach cost substantially above the overall mean of $136. Retailers and public sector organizations had a per capita cost well below the overall mean value. Figure 4. Per capita cost by industry classification Consolidated view (n=277). Measured in US$

78

81

103

103

111

113

114

125

125

129

134

150

169

207

215

233

0 50 100 150 200 250

Retail

Public services

Industrial

Media

Education

Consumer

Hospitality

Energy

Research

Technology

Services

Communications

Transportation

Pharmaceuticals

Financial

Healthcare

92 % de las fugas de información están atribuidos a 9 tipos de ataques

Ataqueapuntodeventa(POS)

Ataqueaaplicaciónweb

Malusointerno

Robooperdidafísica

Erroresvarios

Softwaredecriminales

Skimmersdetarjetas

Ataquesdedenegacióndeservicio

Ciberespionaje

18

20

22

https://www.privacyassociation.org/privacy_perspectives/post/dont_fall_for_the_encrytion_fallacy

PwC

•Ar^culo64

•Ar^culo67,68y69

– $7,010 pesos– $89,728,000

pesos

– 3 meses – 10 años

Multas,infraccionesypenasArtículosImportantes

TOTAL:$133,195, 698

Cálculosactualizadoconinformacióndelsitio:www.inicio.ifai.org.mx

Fuente:IFAI,comunicadoIFAI-OA/149/1429denoviembrede2014

Multas INAI 2012-2015

PwC

Puntos de Cumplimiento CNBVArtículos Importantes

• CapituloXCNBV,articulo316B10• Laadministracióndelasllavescriptográficas

• CapituloXCNBV,articulo316B2• ProteccióndelasSesiones

• CapituloXCNBV,articulo316B4• ManejodeContraseñas

• CapituloXCNBV,articulo316B7• CallCenters

• CapituloXCNBV,articulo316B11• Controlesdeacceso

28

PuntosdeCumplimientoPCIArtículosImportantes

• Requisito3– Protegerlosdatosalmacenadosdelospropietariosdetarjetas.

• Requisito7– Restringirelaccesoalosdatostomandocomobaselanecesidaddelfuncionariodeconocerlainformación

• Requisito10– Rastrearymonitorizartodoelaccesoalosrecursosdelaredydatosdelospropietariosdetarjetas

RIESGO• Deataquesofugas

GOBIERNO• AlInterior

CUMPLIMIENTO• Delosreguladores

La Seguridad no es un proyecto… es un PROCESO

•Logrando la protección de datos aumentamos la confianza de los socios,

empleados y clientes, y ampliamos la competitividad de nuestras empresas.

EstedocumentocontieneinformaciónqueesconfidencialyqueseráprotegidaporPricewaterhouseCoopers,S.C.lacualnopodráserusada,reveladaoduplicadaparaningúnotropropósito

fueradelaevaluacióndeestecontenido.

CualquierotrousoolarevelaciónensutotalidadoenpartedeestainformaciónsinelpermisodePricewaterhouseCoopersestáprohibido.

©2015PricewaterhouseCoopers.Todoslosderechosreservados.

©2015PricewaterhouseCoopers.Allrightsreserved.PricewaterhouseCoopersreferstothenetworkofmemberfirmsofPricewaterhouseCoopersInternationalLimited,eachofwhichisaseparateandindependentlegalentity.