Gobiernos Corporativos y Ciberseguridad : El Upgrade del Experto Financiero al Experto en Ciberseguridad

Dentro de las responsabilidades de los Directores, se espera que supervisen y aseguren que la administración de la empresa fortalezca un proceso de administración de riesgo que permita identificar, evaluar, priorizar y definir técnicas de mitigación, orientadas a disminuir la exposición al riesgo,  ello asociado a todos los riesgos de la empresa, incluido el riesgo de Ciberseguridad, ya sea riesgos asociados a la denegación de servicios, brechas de datos, de información de clientes o robo de información entre otros.

Al parecer y lamentablemente, esta supervisión no está siendo muy efectiva, ya que los incidentes de brecha de datos cada año van aumentado. Según el sitio web Data Breach Index, del año 2013 a la fecha, han ocurrido más de 7.000 incidentes de brechas de datos o robo de ellos, los cuales alcanzan a cerca de 5 millones de registros comprometidos por día y 57 registros por segundo. Dentro de los casos más emblemáticos que se conocen, se encuentran JPMorgan Chase con 83 millones de registros afectados, Korea Credit Bureau con 104 millones de registros, Equifax con 143 millones de registros, Target y Home Depot con cerca de 110 millones cada uno.

El costo del robo o brecha de datos es significativo. Según el Instituto Ponemon, el costo organizacional directo promedio de una violación de datos en los Estados Unidos es de $ 7 millones y costo promedio por registro robado equivale a US 141 en promedio, según el estudio publicado el año 2017. Diversos estudios tanto del mundo empresarial como académico han investigado el impacto en valor bolsa de estas compañías, el cual dependiendo del estudio puede variar entre un 3% y 5%, luego de la divulgación de la brecha, con un desempeño negativo durante los 3 meses siguientes a la divulgación.

En la actualidad el grado de preocupación de las empresas y sobre todo los accionistas está creciendo aceleradamente, solo durante el año 2017 han surgido diversos artículos y columnas de opinión, publicados en páginas web del mundo empresarial y del mundo académico en relación al rol que cumplen los Directores en el tema de Ciberseguridad, solo a modo de ejemplo mencionamos algunos:

  • Dónde están los Directores? Preguntas para Equifax,
  • 10 Preguntas que los Directores se deben hacer en relación a la Supervisión de los Ciber Riesgos
  • Porqué el Directorio debe Reenfocar los riesgos claves
  • La Ciberseguridad debe ser una prioridad en la agenda de los Directores
  • Tendencias de Ciberseguridad para los Directores

Estos artículos pueden ser visitados en el sitio web de Harvard Law School Forum on Corporate Governance and Financial Regulation (https://corpgov.law.harvard.edu).

Muy pocas empresas han tomado acciones drásticas a nivel de Gobierno Corporativo. A modo de ejemplo mencionamos el caso de Equifax, quien por medio de un comunicado de prensa en septiembre del 2017, reveló haber sufrido una brecha de datos, que expuso los datos personales de más de 143 millones de usuarios. Por otra parte, también anunció el despido con efecto inmediato de su CIO (Chief Information Officer) y del CISO (Chief Security Information Officer), semanas después también fue desvinculado su CEO (Chief Executive Officer). Posteriormente, el 26 de octubre de ese mismo año, anunció la incorporación al Board de Directores de Scott McGregor, profesional con amplia experiencia en seguridad de datos, tecnologías de la Información, administración de riesgos y ciberseguridad, aumentando el Board de 10 a 11 directores (CNBC, 2017).

Dado el costo y la probabilidad creciente que las empresas sufran un ciberataque exitoso, es importante preguntar si los directorios y el management tienen suficiente conocimiento y están preparados adecuadamente para prevenir, monitorear y mitigar los riesgos de Ciberseguridad, o aquellas empresas que ya han sufrido un ataque han efectuado cambios en su Gobierno Corporativo. En realidad, las acciones que toman las empresas luego de un ataque está lejos de efectuar cambios, solo muy pocas compañías han incorporado directores independientes  a sus directorios luego de una brecha de datos, o han dado mayor visibilidad al CISO (Chief Information Secuirty Officer), acercando su dependencia al CEO (Chief Executive Officer) o un comité de primera línea, solo empresas como Target, Equifax y Ashley Madison, han incorporado a Directores Independientes con conocimiento y experiencia en Ciberseguridad, pero claramente considerando el nivel actual y el incremento de brechas de seguridad, estos son casos aislados.

Desde el punto de vista regulatorio, el Congreso de Estados Unidos ingresó un proyecto de ley en marzo del 2017, actualmente en discusión, para Promover la transparencia en la supervisión de los riesgos de ciberseguridad en las empresas que cotizan en bolsa ( Proyecto de Ley 115 S 536is, Cybersecuirty Act 2017), en el cual se menciona lo siguiente:

(1) Divulgar si algún miembro del Directorio o la junta directiva de la empresa que informa tiene experiencia en ciberseguridad y el detalle necesario para describir completamente la naturaleza de la experiencia y ;

(2) Si ningún miembro del Directorio o Junta Directiva de la empresa que informa tiene experiencia en Ciberseguridad, será necesario describir qué otras medidas de Ciberseguridad la empresa ha tomado en cuenta a través de los responsables de identificar y evaluar nominados para cualquier miembro de la junta, como un comité de nominaciones.

Probablemente la historia de Enron se repita, y así como la ley Sarbanes Oxley incorporó un experto financiero en el Comité de Auditoría de las empresas, ahora además existirán Directores con habilidades en Ciberseguridad que permitan supervisar de mejor manera el valor de la empresa y la rentabilidad esperada por los accionistas.

por: José Lagos, Socio Principal de Cybertrust

Cursos de Verano 2018

Nuestra línea de servicios de CyberAcademia tiene como objetivo entregar educación continua en los diversos temas de nuestra especialidad. De esta forma, cumplimos tanto nuestra visión y compromiso con nuestra gente, nuestros clientes y el mercado en general.

 

Avoiso_hacking WEB_EneroCurso Hacking Web 

Descarga Aquí: Brochure Curso Hacking WEB-
Inscríbete en WELCU: https://welcu.com/cybertrust/curso-hacking-web

Aviso_Curso Seguridad en tecnologías operacionales_EneroCurso Seguridad en Tecnologías Operacionales (SCADA,PLC)

Descarga Aquí: Brochure Curso Seguridad en tecnologías operacionales
Inscríbete en WELCU: https://welcu.com/cybertrust/seguridad-en-tecnologias-operacionales

Avoiso_Investigacion forense_ENEROCurso Investigación Forense

Descarga Aquí:Brochure_Curso Investigacion Forense y Evidencia digital
Inscríbete en WELCU: https://welcu.com/cybertrust/curso-investigacion-forense

Aviso_Curso Ethical Hacking_ENEROCurso Ethical Hacking

Descarga Aquí:Brochure Curso Ethical Hacking
Inscríbete en WELCU: https://welcu.com/cybertrust/ethical-hacking

El CISO – Un Gerente de Negocios primero, luego un tecnólogo

La disrupción tecnológica y la ciberseguridad son temas claves en las juntas directivas de todo el mundo (Paredes, 2016). Estos objetivos plantean dos exigencias particulares a las organizaciones: La primera es nombrar un profesional adecuado para guiar a la organización en un camino bien protegido que asegure la protección  y permitir que el ejecutivo y el Directorio estén debidamente informados del estado de seguridad de la organización, capaz de tomar decisiones óptimas relacionadas con la seguridad (Val Hooper , McKissack , 2016), esta posición está relacionada con el CISO o Chief Information Security Officer.

 Dada la mayor conciencia de la seguridad informática / ciberseguridad y el reconocimiento de la importancia de salvaguardar sus activos de información, las organizaciones han establecido posiciones independientes de CISO, los cuales por lo general, pero no en la mayoría de los casos, están reportando directamente al CEO (Val Hooper , McKissack, 2016), con la finalidad que sea un puente entre los aspectos de negocio y los asuntos técnicos de seguridad. Aún cuando en la práctica, podemos encontrar que la posición de CISO puede depender de un CFO (Chief Financial Officer), CIO (Chief Information Officer) o de un CRO (Chief Risk Officer).

 Existen pocos estudios empíricos que definen el rol o roles del CISO en las organizaciones, la literatura académica es escasa, sin embargo, proporciona alguna información en relación a las responsabilidades y habilidades requeridas.

 Algunas publicaciones han sugerido que la prioridad de los CISO debe ser el negocio y en segundo lugar los aspectos técnicos de la seguridad de la información (Ioma, 2005). Si consideramos la dimensión del negocio, los CISO debieran estar evaluando los métodos para aumentar el valor del negocio e integrar las necesidades de seguridad con las metas y objetivos del negocio, obviamente esto va mucho más allá de proteger los activos de información (Witheen, 2005). El trabajo de un CISO se ha descrito como un profesional de negocio que puede integrar las habilidades de seguridad con el negocio (Kubilus, 2004).

 Una investigación académica (Witheen, 2008) reflejó que los CISO debieran tener principalmente siete deberes o responsabilidades y cinco habilidades o experiencia. Las responsabilidades o deberes se relacionan a la implementación de una política de seguridad de la información, la educación continua, la gestión, la relación con proveedores, el mantenimiento del modelo de seguridad actual, la planificación de recuperación de desastres y las investigaciones sobre violaciones o brechas de seguridad. En relación a las habilidades, éstas se relacionan con experiencia en seguridad TI, habilidades de comunicación, liderazgo, conocimientos en sistemas y habilidades de investigación.

 El CISO debiera ser una posición de nivel estratégico, responsable de asegurar que los activos de información y los sistemas de TI estén protegidos y seguros, y que dicha protección esté en línea con la dirección estratégica de la organización. Es imprescindible que el CISO trabaje bien con la gente y tenga una buena comprensión del negocio. Demasiado énfasis en la experiencia técnica, sin un equilibrio de conocimientos empresariales y habilidades interpersonales podría ser perjudicial para la organización (Whitman y Mattord, 2010), incluso la sobreespecialización puede ser realmente un inconveniente, el CISO es un gerente de negocios primero y luego un tecnólogo (Whitman y Mattord, 2010).

 Por: José Antonio Lagos, Socio principal de Cybertrust

 

Referencias

·     Ioma (2005) So You Want to Be a CISO? The Pay’s Good-But It’s Not Easy. Security Director’s Report. 5(7) 1,-10.

·     Kubilus,  N.  (2004)  IT  and  Security:  Converging Roles. ComputerWorld. Nov 22, 2004. pp. 44.

·      Paredes, D. (2016). Tech disruption and cybersecurity top board- room agenda in NZ. CIO. Retrieved from http://www.cio.co.nz/article/593402/tech-disruption-cybersecurity-top- boardroom-agenda-nz/

·      Val Hooper , McKissack (2016) The emerging role of the CISO Victoria University of  Wellington,  P.O.  Box  600,  Wellington 6014,  New Zealand

·      Whitten (2005), The Chief Information Secuirty Officer: An Analysis of the Skills Required for Success

·     Whitman, M. E., & Mattord, H. J. (2010). The management of   information   security   (3rd   ed.).   Boston Learning.

Nueva Ley de Protección de Datos en Europa

Estamos a menos de 7 meses de la entrada en vigencia de la nueva ley de protección de datos Europea, conocida por su acrónimo GDPR, la cual entrará en vigencia el 25 de mayo de 2018.

 Las empresas a las cuales aplicará esta ley son organizaciones con presencia física en al menos un país miembro de la Unión Europea, Organizaciones que procesan o almacenan datos sobre individuos que residen en la unión europea y organizaciones que utilizan servicios de terceros que procesan o almacenan información sobre individuos que residen en la Unión Europea.

 Por lo tanto, si usted reside en la Unión Europea o trabaja con una organización que posee empleados o clientes en la Unión Europea, es muy probable que se vea alcanzado por la GDPR.

 

La GDPR – General Data Protection Regulation. es un nuevo marco legal en la Unión europea que reemplazará la actual Directiva de Protección de Datos. Mientras que la actual Directiva son solo recomendaciones o mejores prácticas a tener en consideración sobre el tratamiento de los datos personales y/o sensibles, la GDPR es una ley que responsabilizará legalmente a las empresas.

 

La GDPR busca proteger los datos personales de los ciudadanos y la manera de cómo las empresas los procesan, almacenan y destruyen cuando estos datos ya no son necesarios para las empresas. La ley otorga autoridad a los ciudadanos por el procesamiento de sus datos personales, estableciendo  8 derechos específicos, siendo estos:

 

§  Derecho a estar informado: Proporciona transparencia sobre cómo son utilizados sus datos personales.

§  Derecho al acceso: Provee acceso a sus datos, a cómo son utilizados, y a cualquier información suplementaria que pueda ser utilizada juntos con sus datos.

§  Derecho a la rectificación: Otorga el derecho a que sus datos personales sean rectificados en caso de ser incorrectos o incompletos.

§  Derecho a ser borrado (o derecho a ser olvidado): Es el derecho a que sus datos personales sean removidos de cualquier lugar si no existe una razón convincente para que estén almacenados.

§  Derecho a restringir el procesamiento: Permite que sus datos sean almacenados, pero no procesados. Por ejemplo, puede recurrir a este derecho si siente que datos erróneos acerca de usted son almacenados a la espera de ser rectificados.

§  Derecho a la portabilidad de datos: Puede solicitar copias de la información almacenada sobre usted, para utilizar en cualquier otro lugar. Tal es el caso de si aplicara para productos financieros entre distintas entidades.

§  Derecho a objetar: Otorga el derecho a objetar acerca del procesamiento de sus datos. Un ejemplo podría ser la objeción de que sus datos sean utilizados por organizaciones de marketing directo.

§  Derecho sobre la toma de decisiones y creación de perfiles automáticos: Permite objetar sobre la toma de decisiones automáticas que se hagan sobre sus datos personales. “Automáticas” se refiere a sin intervención humana. Por ejemplo, la definición de determinados hábitos de compra online, en función a comportamientos previos.

 La relevancia de los derechos mencionados, obligará a las empresas a evitar las posibles brechas de datos y a incrementar sus medidas de privacidad y seguridad. La propia ley define que se entiende por violación o filtración de datos siendo la siguiente: “una filtración en la seguridad que lleva a la destrucción, pérdida, alteración, divulgación no autorizada, o acceso -accidental o ilegal-, a datos personales transmitidos, almacenados, o procesados de alguna forma”. “Datos personales” es “cualquier información relacionada a una persona identificable o no identificable” – no se trata solo de datos que puedan ser usados para fraude o robo de identidad.

Esas definiciones son importantes porque significa que muchos eventos o actividades diferentes pueden calificar como violaciones según la GDPR.

Dentro de los aspectos relevantes que incluye la regulación, son las multas por incumplimiento que esto puede ocasionar, siendo estas 20 millones de euros o el 4% de la ventas anuales de la empresa, la que sea más alta.

El Gran Desafío – Cómo avanzar

En base a la entrada en vigencia de esta nueva ley en Europa, recomiendo tener en consideración los siguientes aspectos:

·       Asigne un liderazgo claro con apoyo del directorio, probablemente necesitará nombrar a un Chief Privacy Officer o asignar esta función a alguien dentro de la organización, puede ser el área de compliance o al CISO de su empresa.

·       Aumente la concientización acerca de la regulación y los impactos que puede tener el no cumplimiento

·       Identifique que datos de información personal o sensible almacena en sus aplicativos, a su vez entender de dónde provienen, porqué se almacenan y si requiere conservar la información y el tiempo necesario. Por experiencia personal, les comento que esta parte del proceso es la más laboriosa, documentado la información en un PIA (Privacy Impact Analysis).

·       Considere tomar decisiones de anonimización o seudoanonimización en relación a los datos

·       Evalúe la proporcional de la información que recoleta, si puede dejar de alimentar datos que no utiliza, elimínela, ya sea por temas regulatorios o históricos. Aplique la típica frase, menos es más, recolecte lo realmente necesario, mientras menos sea la información personal almacenada, menos será el esfuerzo de cumplimiento de la GDPR.

·       Actualice y revise sus políticas actuales de seguridad, ya que muchos aspectos de seguridad deberán aplicarse para proteger los datos personales, entre ellos evalue la información de soluciones orientadas a Data Loss Prevention, User Behavor, encriptación de información y Gestión de Vulnerabilidades, entre otras.

·       Prepárese para una brecha de datos, ya que las multas son importantes, si no tiene un plan de Cybercrisis, deberá desarrollar uno, en este aspecto la ley obliga a comunicar a los organismos reguladores una brecha de seguridad dentro de las 72 horas de ocurrido el incidente.

·       Apoye en consultores expertos en temas de seguridad y privacidad de datos, en Cybertrust tenemos la experiencia y la formación necesaria para apoyarlos en este tipo de requerimientos.

Por: José Lagos, Socio Principal de Cybertrust SpA

Cybertrust Academy 2018

Nuestra línea de servicios de CyberAcademia tiene como objetivo entregar educación continua en los diversos temas de nuestra especialidad. De esta forma, cumplimos tanto nuestra visión y compromiso con nuestra gente, nuestros clientes y el mercado en general.

Ver calendario de cursos: https://cybertrust.cl/academia-calendario-cursos.html

 

ALERTA DE SEGURIDAD: Ransomware JCANDY

Esta amenaza de tipo ransomware encripta los datos del usuario utilizando AES, y luego demanda rescate en #BTC, para restaurar los archivos.
Una de sus vías de propagación es mediante conexiones RDP sin protección, utilizando SPAM con datos adjuntos maliciosos, descargas fraudulentas, Exploits mediante inyección de código web, actualizaciones falsas y paquetes de instalación infectados.

Haz clic aquí: Ransomware JCandy

Create a website or blog at WordPress.com

Up ↑