Edición Abril 2022
SSEGURIDAD EEGGURIIDDAD DE DE LA IINFORMACIÓN LA NFORMACIIÓN ÓN • Equipos externos
• Administración de crisis • Hacking ético /
divulgación responsable • Ciber-inmunidad
CCASOS ASOS DDEE EXPERIENCIA EXPERIENCIA
GINGER SALTOS BANCO GUAYAQUIL Cifras preliminares ESTADO ACTUAL DE LA CIBERSEGURIDAD ECUADOR 2022, SECTOR PRIVADO
CIBERSEGURIDAD: Una mirada al 2021 y la inteligencia de amenazas.
C
ada vez más se nos presentan escenarios en los cuales la seguridad perimetral en sí no representa mayor desafío para los ciber atacantes. De allí la importancia de ejecutar actividades que vayan más allá de la adquisición de una plataforma de seguridad.
La Inteligencia de Amenazas Cibernéticas permite mejorar la postura de seguridad de las organizaciones a través de la generación de Indicadores de Compromiso (IoC). Esta actividad debe desempeñarse considerando el ámbito global, regional y local para tener una visión que permita adelantarnos a las amenazas informáticas y ser proactivos.
Así en el año 2021, el SOC de MAINT S.A. contribuyó con sus clientes con la generación de IoCs de distintos tipos (direcciones IP, URLs, hashes de archivos, correo electrónico, entre otros) a través de boletines, permitiendo a nuestros clientes mejorar la efectividad de sus plataformas de seguridad y agregando valor para las empresas. Por esta razón seguimos intensificando la investigación y la generación de IoCs para nuestros clientes. Nota completa
Seguridad de la información y ciberseguridad De la mano de colaboradores editoriales, que trabajan día a día en seguridad de la información, abordamos temas de interés relacionados con gestión de crisis, equipos externos de trabajo, hackeo ético y ciber-inmunidad. En el perfil Líder IT, Ginger Saltos, nos permite conocer sus experiencias y crecimiento personal y profesional como líder de ciberseguridad. Además, presentamos las cifras preliminares del Estado Actual de la Ciberseguridad Ecuador 2022 del sector privado, donde la filtración de datos, ataques sofisticados y dirigidos de ransomware y phishing son las amenazas de mayor preocupación para las empresas ecuatorianas. Lo invitamos a revisar la edición
Ver revista
Janeth Martínez
Anavela Herrera
Contacto
Contacto
Identifica nuestros contenidos bajo esta iconografía Directora Janeth Martínez janeth.martinez@itahora.com
Tipo de contenido
O OPINIÓN
I INFORMATIVO
P PUBLICIDAD
Editora Anavela Herrera anavela.herrera@itahora.com Logística Fernanda Cruz logistica@itahora.com
Identifique el contenido multimedia
Diseño y Diagramación Noemi Caizaluisa Redes Sociales María José Puente mediosdigitales@itahora.com
Video
Audio
Fotos
Web
Biografía
Contacto
Fotografía Eduardo Naranjo
Contadora Verónica Nicolalde Contenido Digital
Envía un mensaje para recibir la revista gratis.
0990 277 628
Una Producción de Innovacom Integrando comunicaciones Dirección Av. de la Prensa N49 - 98 y Río Curaray.
www.itah ora .com
Teléfonos (593.9) 9838 5557
SÍGUENOS EN:
Suscríbete Revista IT ahora digital.
REVISTA IT AHORA ABRIL 2021
SUMARIO LÍDER IT
12
GINGER SALTOS
Subgerente de Ciberseguridad de Banco Guayaquil
24
Armando Castillo Buenos equipos de apoyo externo aportan a la estrategia.
26
Laura Ureta Claves esenciales de la administración de crisis.
30
Jorge Moya Hacking ético y divulgación responsable de vulnerabilidades.
32
Dmitry Bestuzhev De la ciber-resiliencia a la ciber-inmunidad
36
Martín Gonzales Cómo afecta los cambios de la norma ISO 27001 e ISO 27002 en las organizaciones
18
38
CASOS DE EXPERIENCIA
40
Asiservy Invierte en el mejoramiento de la ciberseguridad.
42
Ecuador Overseas - EOS Actualiza en sus planes las estrategias de seguridad
44
Seguros Equinoccial Estrategias de ciberseguridad basadas en la gestión efectiva del riesgo
46 Resultados preliminares Estado Actual de la Ciberseguridad Ecuador 2022, sector privado
PROVEEDORES DESTACADOS
Los desastres ocurren ¿Estás preparado para lo inevitable?
Inteligo Bank incrementa su postura de ciberseguridad de su Datacenter a través de las mejores prácticas.
Gestión continua del entorno de seguridad.
El primer equipo de respuesta a incidentes de seguridad del Ecuador certificado first y único en trusted introducer.
CRM - ERP
Internet seguro.
La importancia de la Confianza Digital en la era de la interconexión.
CIBERSEGURIDAD: Una mirada al 2021 y la inteligencia de amenazas.
Seguridad empresarial en todos los niveles.
Seguridad IT
La visión 360 de SecureSoft sobre ciberseguridad
Software
Analítica y Big Data
Servicios IT
PRE M
Con la colaboración de:
S O I
BASES DEL CONCURSO Abierta postulaciones 2022
Categorías a postular 1
Proyecto Líder IT 2022:
2
Líder destacado 2022
1.1 Categoría Proyecto IT
2.1 Categoría Líder IT 2022.
1.2 Categoría Proyecto de Seguridad de la Información.
2.2 Categoría Líder Seguridad de la Información 2022.
Resumen del evento 2021 Edición especial impresa
Premios Líder IT Ecuador 2021
Galería
Para mayor información, dudas o inquietudes, escribir al correo liderit@itahora.com
Galería
Video
“Cuando haces algo que te apasiona, lo disfrutas día a día” GINGER SALTOS Subgerente de Ciberseguridad de Banco Guayaquil
Ginger Saltos, es la Subgerente de Ciberseguridad de Banco Guayaquil, gestiona un equipo de profesionales jóvenes de monitoreo y control de vulnerabilidades, manteniendo altos estándares relacionados con desafíos en procesos, políticas, aplicación, medición y estrategias de ciberseguridad alineadas a las políticas existentes de seguridad de la información. Dentro de la primera edición de los Premios Líder IT Ecuador 2021 fue una de las ganadoras de este magno evento siendo la única mujer dentro de los tres primeros lugares. Siempre tuvo la idea de ser reconocida como una líder en el ámbito de la seguridad de la información, con pasión por lo que hace y un trabajo responsable lo ha logrado. “Cuando haces algo que te apasiona, lo disfrutas día a día”, dice al recordar que su familia se dedica a carreras afines a la administración y negocios.
Datos de interés Estado civil: soltera. Pasatiempos: Leer, ir al cine, paseos al aire libre.
Hitos profesionales 2020- actualidad: Subgerente de ciberseguridad Banco Guayaquil. 2019-2020. Jefe de infraestructura Tecnológica del Gobierno Provincial del Guayas. 2013-2014: Maestría en Forensic Information Technology en la Universidad Portsmouth.
Nota completa 13
La importancia de la Confianza Digital en la era de la interconexión
L
a confianza digital es un sistema complejo que abarca una variedad de áreas, incluyendo privacidad, seguridad, identidad, transparencia, integridad de los datos, gobernanza y cumplimiento.
La confianza digital es un objetivo estratégico en las empresas.
Interacción
Entre organizaciones
Dentro de las organizaciones Organizaciones y clientes
Mayor información
P
Compromiso con clientes y proveedores Huawei está enfocado en desarrollar las capacidades de ingeniería de software y la resiliencia cibernética necesaria para crear productos y soluciones seguras, confiables y de calidad.
La seguridad cibernética es más importante que nunca
Ken Hu, presidente rotativo de Huawei, en la inauguración del centro de Dongguan.
Centro de Transparencia de Protección de Privacidad y Seguridad Cibernética Global más grande en Dongguan, China.
Despliegue de la tecnología de Huawei en Ecuador Huawei, con 20 años de presencia en el Ecuador, ha definido una estrategia a largo plazo que permita crear un entorno de confianza digital, llevando a cabo procesos de transformación digital en varias instituciones públicas y privadas. La multinacional cuenta con 2 oficinas principales en Quito y Guayaquil, y una estructura logística de bodegas para garantizar una provisión y servicio óptimos. Además, cuenta con más de 160 técnicos ecuatorianos altamente calificados para el despliegue de soluciones.
Product Security Baseline el marco de referencia de seguridad de productos y sus prácticas de gestión.
Artículo Completo
Marcos Estrella Huawei Senior Solution Sales Manager
marcos.estrella@huawei.com +593 99 260 2133
Los desastres ocurren
A
¿Estás preparado para lo inevitable?
cronis junto a Ecuasoltic S.A., empresa ecuatoriana con 10 años en el mercado y Platinum Partner, presentó los desastres más comunes de seguridad de la información frente a un panorama más complejo y los servicios de cibeprrotección a través del caso de implementación en la Universidad Andina Simón Bolívar. Guillermo Márquez, Partner Technology Evangelist Latam Acronix S.A., señaló la importancia de actuar con eficiencia frente a la amenazas. Los puntos más relevantes tratados: Tipos de desastres más comunes. 16
Industrias clave que deben proteger sus datos.
Servicios Planes de de recuperación. recuperación.
Caso de implementación en UASB La solución de Acronis cumple con los SLA
Marco Ríos, CIO Universidad Andina Simón Bolívar.
Tiempos de recuperación oportunos gracias a procedimientos optimizados de la solución. Disponibilidad de servicios críticos como sistema administrativo-financiero, Integra de forma activa copias de ciberseguridad y recuperación de desastres en el sitio alterno Simplifica la administración y automatización en una única plataforma Ayudada a lograr los objetivos de manera fácil, segura y eficiente Tenemos el prvilegio de dar soporte y servicio a clientes corporativos.
Germán Romero Gerente Comercial de Ecuasoltic S.A.
Ver video
17
SEGURIDAD DE LA
INFORMACIÓN
18
P
19
COLABORADORES INVITADOS
Armando Castillo
Laura Ureta
Gerente Corporativo de Seguridad de la Información y Ciberseguridad Grupo Corporativo Pichincha.
Gerente de Seguridad de la Información de Banco Bolivariano
▶ Experiencia de 15 años en seguridad de la información en proyectos de gobierno de seguridad de la información y ciberseguridad.
▶ Tiene 18 años de experiencia en TICs, 14 de los cuales ha liderado la gestión y control de seguridad de la información y áreas de Investigación de fraudes, auditoria y seguridad de la información en procesos corporativos, revisiones de propiedad intelectual en entidades tanto del sector público, privado, en empresas financieras y multinacionales.
▶ 2021 asumió la gerencia corporativa de Seguridad de la Información y Ciberseguridad de Grupo Corporativo Pichincha. ▶ Lideró en Banca, seguros y viajes de Falabella Colombia, el proyecto de Implementación PCI–DSS, Payment Card Industry Data Security Standard, y acompañó los procesos de transformación digital del Grupo. 20
▶ Actualmente lidera la gerencia de seguridad de la información de Banco Bolivariano.
COLABORADORES INVITADOS
Jorge Moya
Dmitry Bestuzhev
Responsable de Seguridad de la Información de la Fiscalía General del Estado.
Director del Equipo Global de Investigación y Análisis de Kaspersky en América Latina
▶ Es especialista en ciberseguridad, magister en ceguridad informática.
▶ Tiene más de 16 años de experiencia en seguridad de IT.
▶ Cuenta con las certificaciones de Ofensive Security Certified Professional, Certified Red Team Operator y Certified Ethical Hacker.
▶ Se incorporó a Kaspersky en 2007 como analista de malware.
▶ Con una amplia trayectoria en varias entidades de gobierno y sector privado a nivel nacional e internacional. ▶ Experiencia en red team, hacking ético, seguridad de red, administración y aseguramiento de tecnologías de la información.
▶ En 2008 se convirtió en investigador regional sénior. ▶ Dmitry es un experto en seguridad corporativa, ciberespionaje y ataques dirigidos complejos, participa en varias iniciativas educativas en América.
21
La visión 360 de SecureSoft sobre ciberseguridad Diana Ganchala Country Manager de SecureSoft
E
l enfoque de SecureSoft conceptualiza la ciberseguridad holísticamente. Nuestra visión 360 es observar todo el entorno de seguridad. Como especialistas de soluciones de ciberseguridad entendemos la importancia de tener visibilidad del comportamiento interno y externo tanto de las tecnologías que están en la red, lo que está alojado en la nube y los procesos implementados en las organizaciones.
Aporte de Securesoft Con varios frentes que cubrir es necesario un experto dedicado que centralice la información sobre lo que sucede en la nube, en la red o con los proveedores. Equipo especializado de ciber-inteligencia.
22
Enriquecimiento de nuestras tecnologías utilizando correlación de eventos, SIEM para identificar patrones frente ataques.
Monitoreo de infraestructura, detección y alertas para mitigar o corregir incidentes de seguridad.
CiberSOC en Ecuador habilitado 24/7, los 365 días, con alta disponibilidad geográfica en Perú, Colombia y Chile Un NGSIEM (Next Generation Security Information and Event Management
Tecnología 360 de Securesoft
Tecnología SOAR Un equipo de respuesta ante incidentes CSIRT avalado por FIRST en Ecuador y Perú. Especialistas para investigar en la Deep y Dark web. Expertos especializados en tecnología de ciberseguridad. Metodologías y frameworks
Nota completa www.securesoftcorp.com
Perú Ecuador Colombia Chile
23
P
Buenos equipos de apoyo externo aportan a la estrategia Armando Castillo Gerente Corporativo de Seguridad de la Información y Ciberseguridad Grupo Pichincha
U
n gobierno de seguridad de la información y ciberseguridad debe articular a todos los actores de la organización, trabajando de la mano con los equipos de TI, seguridad, operaciones, terceros estratégicos y todas las partes interesadas, con el fin de salvaguardar la confidencialidad, integridad y disponibilidad de la información.
Estrategia Alta gerencia
24
La alta gerencia es un componente esencial en esta pirámide, por su aporte en el desarrollo de la estrategia de ciberseguridad y la asignación de recursos para una ejecución eficiente.
Participación de equipos de apoyo externo Trabajo con áreas internas de seguridad de la información y tecnología. Aplicando las acciones y políticas internas de la organización.
Selección rigurosa del aliado estratégico Con participación de distintas áreas del negocio: compras, seguridad de la información, se evalúan criterios financieros, técnicos, humanos y operacionales, que ayuden a responder frente a posibles incidentes. Contar con un plan de administración de crisis, aprobado por la junta y el directorio de la entidad que incluya los equipos externos expertos.
Gestión del líder de seguridad de la información Interacción entre los equipos internos y externos para enfrentar distintos escenarios adversos. Realizar una adecuada gestión con el tercero a través de un contrato robusto. Cumplimiento de los acuerdos de niveles de servicios (SLA).
Seguimiento entre el tercero y el personal de la entidad para revisar el roadmap, los riesgos y controles a implementar o simplemente para identificar oportunidades de mejora.
Artículo Completo 25
i
CIBERSEGURIDAD ECUADOR 2022
Claves esenciales de la administración de crisis Laura Ureta Gerente de Seguridad de la Información Banco Bolivariano
L
a gestión de crisis en el ámbito de la ciberseguridad requiere que se tomen decisiones rápidas, en algunos escenarios, con información limitada y mucha incertidumbre sobre el origen del incidente. La adecuada gestión de crisis dependerá del grado de preparación de la organización y de los escenarios que se hayan relevado, evaluado y probado.
26
Considerando el tamaño y las capacidades de las organizaciones los sistemas de gestión requieren:
Aspectos necesarios en la administración de crisis
1
Liderazgo.
2
Preparación de planes, protocolos, ejercicios periódicos, atención a grupos de interés, etc.
Comité estratégico para tomar decisiones.
3
Respuesta a diagnósticos, coordinación, escenarios.
Controles generales de seguridad de la información.
4
Comunicación a fuente oficial de la organización, transparencia, empatía.
5
Cierre formal: comunicación de la gestión y lecciones aprendidas.
Recursos especializados a nivel operativo. Responsables funcionales.
Adecuada gestión de los activos de información. Garantizar los controles de resiliencia.
La comunicación en la administración de crisis
Comunicación efectiva para el manejo de crisis.
Brindar información a los grupos de interés.
Artículo Completo
Mantener información con el cliente, proveedores.
27
Inteligo Bank incrementa su postura de ciberseguridad de su Datacenter a través de las mejores prácticas
I
nteligo Bank convierte a la ciberseguridad en una prioridad para su organización. El banco forma parte de Intercorp de Panamá, y es uno de los más reconocidos en asesoría financiera y servicios de gestión patrimonial internacional.
Raúl Miranda Líder de servicios administrados de Business IT
La estrategia de ciberseguridad de Business IT le ha permitido a Inteligo Bank implementar un nivel aceptable de ciberseguridad, identificando eficientemente las necesidades tecnológicas, políticas, procesos, procedimientos y configuraciones que deben proteger a toda la infraestructura de la organización con el objetivo de crear planes para gestionar todos los riesgos dando prioridad al resultado de la clasificación de riesgos con criterios de evaluación especializados en ciberseguridad como Owasp Risk Ranking Methodology, incluyendo los riesgos que puedan tener también proveedores que se involucren en la cadena del producto o servicio de los clientes.
www.grupobusiness.it
P
Servicios SOC
Apoyados en mejores prácticas de ciberseguridad (NIST Framework).
Monitoreo y Gestión de eventos de seguridad 24x7 los 365 días del año.
Análisis periódico de vulnerabilidades, (guías de protección).
Gestión de incidentes vulnerabilidades con análisis forense.
Medir y mejorar el nivel de Ciberseguridad. Simulación de ataques.
Mejora continua e informes gerenciales para seguimiento.
Beneficios Analizar los ataques o posibles amenazas.
Mejores Prácticas Uso del marco de referencia NIST
Mejorar la capacidad de respuesta ante cualquier ataque.
Identificación
Creación perfil de ciberseguridad en base a de Mittre Attack.
Detección
Gestión de la continuidad y disponibilidad.
Protección
Respuesta Recuperación
Nota completa
Hacking ético y divulgación responsable de vulnerabilidades Jorge Moya Responsable de Seguridad Informática Fiscalía General del Estado
L
as organizaciones en el país deben dejar la idea de que estarán más seguros mientras un tercero conozca menos sobre sus servicios tecnológicos. Este pensamiento, únicamente crea una falsa sensación de seguridad.
En la estrategia de seguridad se debe tener presente que los atacantes hacen una continua enumeración de nuestros servicios, tecnologías usadas e incluso procesos de automatización. Cuando se acepte esta realidad, las organizaciones estarán listas para la adopción de un programa de divulgación responsable de vulnerabilidades y con ello dejar de criminalizar a los analistas que las reportan fallos y mirar las actividades de la seguridad ofensiva y el hacking ético como actividades complementarias que aportan a la ciber-resiliencia de las organizaciones. 30
Implementación de un programa de divulgación responsable
Hacking ético Identificar vulnerabilidades y posibles brechas de explotación en base a escaneos automatizados. La duración de los servicios de hacking ético varía en función de la cantidad de activos. Analistas ejecutan pruebas para tratar de romper los controles o explotar vulnerabilidades. Los activos que se contemplan en este tipo de ejercicios son limitados. Abarcan procesos negocio.
core
del
Deja de lado activos que no participan directamente con los procesos misionales de la organización, y que probablemente sean los más vulnerables. Todos los colaboradores de TI, el SOC y todo el ecosistema de seguridad están alertas mientras se realiza actividades de hacking ético. Complementar hacking ético con pruebas de intrusión realizadas por un tercero sin relación comercial ni contractual con la organización.
Puede ser implementados por cualquier organización. Las políticas del programa de divulgación responsable son establecidas por la organización. Se incluye los activos que están dentro del programa y las vulnerabilidades. No genera una relación laboral ni contractual con los analistas. No limita el número de activos en el alcance. No está limitado en tiempo, puede extenderse a periodos ininterrumpidos. El los programas de divulgación responsable se identifican vulnerabilidades que no encontró el equipo rojo ni tampoco los consultores que hicieron el hacking ético.
Nota completa 31
i
CIBERSEGURIDAD ECUADOR 2022
De la ciber-resiliencia a la ciber-inmunidad Dmitry Bestuzhev Director del Equipo Global de Investigación y Análisis Kaspersky en América Latina
L
a ciber-resiliencia es una práctica que las organizaciones desarrollan para prepararse frente a posibles fallos.
Pruebas de penetración para comprobar vulnerabilidades.
Prácticas de ciberresiliencia
Qué los motiva. Definir los patrones específicos de los atacantes.
32
Cuáles son sus técnicas y procedimientos. Resultado definir lo que podría suceder partiendo del conocimiento del atacante.
La ciber-inmunidad el siguiente paso de la ciber-resiliencia Clasificar el comportamiento de los adversarios
La ciber-inmunidad es un concepto de siguiente generación, es una actividad distinta a la ciber-resiliencia. Consiste en tener las arquitecturas tecnológicas diseñadas desde cero.
1
2
3
Uso de framework MITRE & Att&CK, indicador de ciber-resiliencia.
Implica un nuevo desarrollo de sistemas operativos desde el kernel. Llegar a la ciber-inmunidad requiere:
Mapea y visualiza las operaciones maliciosas.
Apoyarse en compañías externas, centros de desarrollo.
Responder a las preguntas qué es lo que hace el atacante y cómo detenerlo.
Programas y una política nacional que implicaría, por ejemplo, el desarrollo de sistemas operativos, adopción e implementación de algunos códigos existentes.
Nota completa
P
i
CIBERSEGURIDAD ECUADOR 2022
Cómo afecta los cambios de la norma ISO 27001 e ISO 27002 en las organizaciones Martín Gonzales Senior Manager Forensics, Compliance & Technology CPA Consultores & Robalino Law
D
esde un par de años atrás se conoció que el estándar ISO 27001 del Sistema de Gestión de Seguridad de la Información iba a sufrir cambios, y bueno, ahora ya se conoce el impacto y los ajustes que se tendrán que implementar. Desde mi punto de vista, los cambios son más de forma que de fondo, puesto que el estándar como tal se ha organizado de otra manera, algunos controles se han fusionado y en otros casos se han creado nuevos controles.
En general, los cambios son solo moderados y se hicieron principalmente para simplificar la implementación. 36
SEGURIDAD DE LA INFORMACIÓN
i
Los principales cambios en ISO 27001 y 27002 para este 2022
Controles organizativos (capítulo 5)
1 La actualización 2022 está dividida en cuatro capítulos:
2
Controles de personas (capítulo 6)
3
Controles físicos (capítulo 7)
4
El número de controles del Anexo A disminuyó de
114 a 93.
Controles tecnológicos (capítulo 8)
Se han introducido 11 nuevos controles que se fusionaron con los existentes, reduciendo así el número total.
La ISO 27001 no cambian en:
27001
Las cláusulas 4 a 10 que incluyen el alcance, las partes interesadas, el contexto, la política de seguridad de la información, la gestión de riesgos, los recursos, la capacitación y la concienciación, la comunicación, el control de documentos, el monitoreo y la medición, la auditoría interna, la revisión de la gestión y las acciones correctivas.
Nota completa 37
i
38
CIBERSEGURIDAD ECUADOR 2022
P
N
INTERNET SEGURO
etlife, empresa proveedora de internet, reconocida por el ÍNDICE BCX de IZO como la Segunda Mejor Compañía de Telecomunicaciones en Iberoamérica y la número uno a nivel nacional, en alianza con importantes empresas de seguridad a nivel mundial, permite que los usuarios cuenten, sin costo adicional, con protección cibernética - antimalware.
Netlife Defense, permite una ciberseguridad robusta y confiable para todos sus dispositivos, sean smartphone, Tablet o PC. Beneficios: Defensa potenciales ataques de hackers. Navegación segura. Protección basada en la nube. Anti-phishing, anti-spam, anti-spyware. Control parental.
Brindar este beneficio a los usuarios de internet de Ultra alta velocidad, afianza la intención de resguardar la información de los clientes y acercarlos a una cultura de prevención frente a los múltiples riesgos del mundo digital.
Protección contra amenazas en línea. Ayuda a salvaguardar la privacidad del usuario.
Nota completa
i
CASOS DE EXPERIENCIA
Asiservy invierte en el mejoramiento de la ciberseguridad La ciberseguridad está considerada como prioritaria y forma parte de sus planes de transformación digital.
Christian Molina Gerente de Sistemas
A
siservy es una empresa ecuatoriana con 25 años de experiencia en el procesamiento y comercialización de atún y otros productos alimenticios que son exportados a 31 países. 40
Cristian Molina, Gerente de Sistemas, indica que, del presupuesto anual asignado a tecnología, el 13% se destina a la estrategia de ciberseguridad, la misma que la trabajan de manera estructurada el área de IT, la gerencia y un vCISO externo quien coordina con el equipo interno, las funciones de protección, detección y respuesta. Del presupuesto
de Tecnología
13%
Se destina a estrategia de ciberseguridad
CASOS DE EXPERIENCIA
i
El proceso para mejorar la seguridad empezó en enero de 2021, evaluaron herramientas y desarrollaron productos mínimos viables definiendo los niveles de impacto en la organización, además, negociaron costos de licenciamiento y servicio.
Mejoras Reemplazo de herramientas de firewall y endpoint (Palo Alto). Mejora de la configuración de las herramientas de seguridad. Evaluación de nuevas herramientas para monitoreo de seguridad en buque atunero. Plan de Recuperación de Desastres, DRP.
Prioridad proyectos de ciberseguridad
Resultados Visibilidad de riesgos.
Garantizar la continuidad del negocio.
Gestionar a tiempo con el uso de las herramientas. Disponibilidad y continuidad de los servicios core.
Nota completa 41
i
CASOS DE EXPERIENCIA
EOS actualiza en sus planes las estrategias de seguridad En este lapso hemos crecido, renovado y actualizado equipos y tecnologías
Ángel Arcentales Jefe de Sistemas
E
cuador Overseas, EOS, es una compañía dedicada a la importación y comercialización de insumos y equipos médicos de alta tecnología, está en el mercado ecuatoriano 84 años y se ha expandido hacia Perú. 42
En 2015, desarrolló un plan de mejora continua para la seguridad interna y perimetral que incluía, entre otros aspectos, capacitación a colaboradores, actualización, cambio, e implementación de herramientas que ayuden a disminuir las vulnerabilidades e incrementar las capacidades para dar respuesta a las amenazas, reduciendo su probabilidad y riesgo.
CASOS DE EXPERIENCIA
i
Con la migracíon a la suite Microsoft 365, antes de la pandemia, facilitó el trabajo colaborativo en el “home office” con el uso de Sharepoint, Onedrive, correo electrónico para compartir sobre todo documentos, pero también generó la necesidad de reforzar la seguridad. Estrategia
Implementación de herramientas de colaboración
Adopción de soluciones para reforzar la seguridad
Concientización sobre la seguridad de documentos y correo electrónico
Herramientas de respaldos en la nube Veeam Backup
Tecnología
Soluciones de antivirus, validación de documentos y correo electrónico con Chekpoint. Factor de doble autenticación. Certificados de seguridad.
Nota completa 43
i
CASOS DE EXPERIENCIA
Seguros Equinoccial: Estrategias de ciberseguridad basadas en la gestión efectiva del riesgo Un factor muy importante para enfrentar las nuevas ciber amenazas ha sido el fortalecimiento del nivel de madurez de la Cultura Organizacional de Seguridad de la Información.
Luis Vallejo Oficial de Seguridad de la Información
44
S
eguros Equinoccial se encuentra en un proceso de mejora continua de su Sistema de Gestión de Seguridad de la Información (SGSI), una revisión constante de su Planificación Estratégica de Seguridad de la Información, y la reevaluación de riesgos, definición y actualización de ciber controles.
CASOS DE EXPERIENCIA
Estrategia
i
Apoyo y gestión
Apoyo decidido de la alta gerencia.
Planificación estratégica.
Fortalecimiento del nivel de madurez de la cultura organizacional de seguridad de la información.
Colaboración de área de seguridad y de tecnología.
Contar con controles tecnológicos.
Apoyo en mejores prácticas y frameworks de ciber controles como NIST, ISO 27001, SCF.
Un adecuado proceso de gestión de incidentes.
Mejora continua de su SGSI.
Antipishing, doble factor de autenticación para accesos a los servicios digitales. Hardening de equipos. Soluciones utilizadas
Escaneos de vulnerabilidades. Pruebas de penetración continuas a nuevos productos y servicios. Sistemas de detección de intrusos. Antivirus corporativos.
Nota completa 45
i
CIBERSEGURIDAD ECUADOR 2022
Resultados preliminares
Estado Actual de la Ciberseguridad Ecuador 2022, sector privado ASPECTOS ANALIZADOS
Estrategia y Gobierno
Vigilancia
Auspician:
46
Respuesta
Prevención
Panorama Actual
CIBERSEGURIDAD ECUADOR 2022
i
La encuesta sigue abierta para las empresas o compañías del sector privado.
Les invitamos a colaborar llenando la encuesta. Los resultados finales se presentarán en el mes de mayo a través de un evento que se transmitirá por streaming.
Llenar encuesta
Con la colaboración de:
47
i
CIBERSEGURIDAD ECUADOR 2022
Cifras preliminares
Estado Actual de la Ciberseguridad Ecuador 2022, sector privado.
E
n este año, la encuesta de ciberseguridad se segmentó en tres grandes sectores:
SECTOR PRIVADO
48
Banca
Inmoviliario & Construcción
Educación
Energía
Seguros
Manufactura
Consumo & Retail
Salud
Tecnología & Telecomunicaciones
Servicios
CIBERSEGURIDAD ECUADOR 2022
SECTOR GOBIERNO
i
Sector Financiero Popular y Solidario
Presentamos en esta edición cifras preliminares de los resultados de la encuesta Estado Actual de la Ciberseguridad Ecuador 2022, sector privado. Estas cifras permiten tener una percepción sobre aspectos de gobierno, prevención, vigilancia, y respuesta de la ciberseguridad en las organizaciones del sector privado. El análisis e informe final del sector privado, lo desarrollará la consultora Deloitte, el mismo que será presentado en un evento virtual en el mes de mayo. Los informes del sector Gobierno y de las entidades del sector Financiero Popular y Solidario SFPS se están trabajando gracias a la colaboración del Ministerio de Telecomunicaciones, Mintel y la Superintendencia de Economía Popular y Solidaria, SFPS. La presentación de estos dos últimos informes se comunicará oportunamente a la comunidad TICS a través de nuestros canales de información de IT ahora. 49
i
CIBERSEGURIDAD ECUADOR 2022
Resultados previos:
¿Cómo realizan las empresas el seguimiento a la efectividad de la gestión de seguridad de la información y ciberseguridad?
1
62.8%
Análisis de riesgos (p.e. comparaciones de niveles de riesgo actuales con respecto a años anteriores, análisis de efectividad de los controles mediante comparación del riesgo inherente y riesgo residual, entre otros).
51.2%
Seguimiento al número / criticidad de hallazgos de las auditorías, evaluaciones y/o diagnósticos de seguridad de la información.
44.2%
Análisis del número / criticidad de los incidentes de seguridad de la información.
25.6%
Evaluación de cumplimiento de los resultados esperados para las iniciativas de seguridad de la información.
20.9%
Control de cumplimiento del presupuesto asignado a la gestión de seguridad de la información.
50
CIBERSEGURIDAD ECUADOR 2022
i
2
Las herramientas de gestión de riesgo más utilizadas.
97.7%
95.3%
88.4%
Protección antimalware: Antivirus y/o Antispam
Copias de respaldo
Perímetro de red: Firewall y/o SDWAN
65.1%
60.5%
Perímetro del endpoint: EndPoint Protection (EPP) y/o EDR
Detección de intrusos: IDS / IPS
53.5%
51.2%
48.9%
Autenticación multifactor: MFA
Gestión de vulnerabilidades
Protección de aplicaciones Web: WAF
44.2%
41.9%
Control de acceso a la red: NAC
Protección de denegación de servicios: Anti-DDoS 51
i
CIBERSEGURIDAD ECUADOR 2022
41.9%
34.9%
34.9%
Protección de flujo de información: Security Email Gateway y/o DLP
Cifrado de disco duro
Gestión de dispositivos móviles: MDM
32.6%
27.9%
25.6%
Correlación de eventos: SIEM
Gestión de identidades y accesos: IAM
Cifrado de la base de datos
23.3%
20.9%
20.9%
Protección de acceso a aplicaciones en la nube: CASB
Gestión de accesos de usuarios privilegiados: PAM
Herramientas para gestión de ciberseguridad de terceros
14%
11.6%
7%
Analíticas de comportamiento de usuarios: UEBA / UBA
Gestión de configuración: CMDB
Herramientas de monitoreo de integridad de archivos: FIM
52
CIBERSEGURIDAD ECUADOR 2022
Disponibilidad de una estrategia para gestión de riesgos de ciberseguridad de terceros 66.7
33.3%
NO realiza gestión de seguridad de terceros
SI realiza gestión de seguridad de terceros
Las empresas que si realizan gestión de riesgo de terceros incluyen en su estrategia
3
4
51.2%
Envían recomendaciones de seguridad a los terceros y se comparte la política de seguridad de la información de la compañía.
32.6%
Mantiene un ciclo constante de optimización con evaluación, revisión y mejora continua.
27.9%
Incluyen obligaciones en materia de gestión de seguridad de la información en el contrato que se firma con el tercero.
14%
9.3%
i
Realizan evaluaciones periódicas a partir de entrevistas, revisión de documentación y visitas (ya sea ejecutado por personal interno o de un auditor independiente). Cuenta con tecnologías automatizadas de evaluación de riesgos de terceros (por ejemplo, herramientas de scoring de ciberseguridad). 53
i
CIBERSEGURIDAD ECUADOR 2022
Capacidades de vigilancia de ciberseguridad.
69.8%
69.8%
Gestión de Vulnerabilidades
Gestión de Parches
5
67.4%
62.8%
32.6%
Pruebas de penetración / escaneo de vulnerabilidades
Monitoreo de eventos e incidentes de seguridad
Monitoreo de cumplimiento de indicadores
54
30.2%
27.9%
Monitoreo e inteligencia de ciber-amenazas
Monitoreo anti-fraude (Suplantación de identidad, Protección de marca, Pharming)
CIBERSEGURIDAD ECUADOR 2022
Aplicación de pruebas a capacidades de ciber resiliencia en el 2021.
i
6
51.2%
44.2%
20.9%
Pruebas a las estrategias de respuesta a amenazas de ciberseguridad establecidas en el plan de continuidad del negocio (BCP).
Pruebas a las estrategias de respuesta a amenazas de ciberseguridad establecidas en el plan de recuperación de desastres (DRP).
Ejercicios de Red Team dirigidos a equipos técnicos.
18.6%
18.6%
11.6%
Ejercicios de simulación de crisis cibernética dirigida a equipos estratégicos y tácticos.
Participación en simulaciones de crisis originadas por incidentes cibernéticos en compañías de infraestructura crítica.
Participación en ejercicios de crisis cibernéticas gremiales.
55
i
CIBERSEGURIDAD ECUADOR 2022
En caso de haber tenido algún tipo de incidente cibernético en 2021, ¿Cómo aplicó la respuesta al mismo?
7
41.9%
37.2%
No tuvimos incidentes de ciberseguridad en 2021.
Se hizo solo con recursos internos.
18.6%
2.3%
Se realizó un primer nivel de respuesta basado en recursos internos y se tuvo un apoyo de segundo nivel con un tercero.
Se realizó completamente utilizando servicios de respuesta de un tercero Panorama Actual.
56
CIBERSEGURIDAD ECUADOR 2022
Los principales desafíos en 2021 76.7%
Acompañar adecuadamente al negocio y a TI frente a la transformación digital forzada por COVID.
53.5%
Lograr la sinergia y coordinación del equipo de trabajo en el contexto remoto.
41.9%
Brecha entre las necesidades de ciberseguridad y el presupuesto disponible.
32.6%
Incrementar las capacidades de detección y respuesta ante incidentes más sofisticados.
i
8
69.8%
Implementar controles de seguridad sobre la tecnología vinculada con el contexto de trabajo remoto (protección de estaciones de trabajo, información en la nube, accesos de endpoints no corporativos, acceso VPN).
46.5%
Concientizar a los usuarios en el uso seguro de las herramientas de colaboración y resguardo de información.
32.6%
Contar con los colaboradores con las capacidades y entrenamiento adecuados.
18.6%
No poder utilizar la totalidad del presupuesto asignado por no poder llevar adelante las iniciativas (no es prioridad para IT/ Negocio, falta de recursos humanos, complejidad de esquema remoto). 57
i
CIBERSEGURIDAD ECUADOR 2022
Amenazas de mayor preocupación. 62.8%
Filtración de datos
60.5%
Ataques sofisticados y dirigidos de ransomware
51.2%
Phishing /Spear Phishing/BEC
39.5%
Explotación de vulnerabilidades de seguridad de las estaciones de trabajo de los colaboradores remotos
37.2%
Fraude a través de medios de pago digital
30.2%
Explotación de vulnerabilidades en servicios expuestos a Internet
27.9%
Denegación de servicio
23.3%
Malware sobre dispositivos móviles
23.3% 20.9% 18.6%
Explotación de vulnerabilidades sobre Application Programming Interface (API) Compromiso de credenciales Compromiso de la Seguridad de un tercero con impacto en la propia organización
16.3%
16.3% Cloud Jacking
11.6%
11.6% Cryptojacking
7% 58
9
Explotación de vulnerabilidades de seguridad sobre los dispositivos IoT
CIBERSEGURIDAD ECUADOR 2022
i
10
Principales drivers (conductores) que impulsan el desarrollo e inversión de la función de ciberseguridad para los próximos dos años.
65.1%
62.8%
Cumplimiento de regulaciones de ciberseguridad
Alertamiento por aumento de ciberamenazas
34.9%
30.2%
30.2%
Desarrollo de capacidades de los colaboradores de ciberseguridad internos
Expansión de la digitalización de los servicios web core del negocio
Fortalecimiento de la seguridad de la fuerza de trabajo remota
30.2%
27.9%
Profundización en la adopción de Seguridad Cloud
Seguridad sobre IoT y OT
25.6%
23.3%
16.3%
Implementación de procesos de negocio Agile
Cambio de paradigmas en la gestión de la seguridad por COVID-19
SecDevOps
59
i
CIBERSEGURIDAD ECUADOR 2022
Principales iniciativas para el 2022
60
11
74.4%
62.8%
Concienciación en ciberseguridad
Definición de la estrategia de ciberseguridad
58.1%
51.2%
Evaluación de ciberriesgos
Mejora del proceso de gestión de riesgos, métricas y reportes
44.2%
41.9%
Implementación de mejoras sobre la gestión de vulnerabilidades
Implementación/ fortalecimiento del monitoreo de ciberamenazas
CIBERSEGURIDAD ECUADOR 2022
i
41.9%
37.2%
Implementación/ fortalecimiento de la respuesta ante incidentes.
Monitoreo anti-fraude (Suplantación de identidad, Protección de marca, Pharming)
37.2%
30.2%
20.9%
Inteligencia de ciberamenazas
Aseguramiento de medios de pago digital
Implementación de un programa de gobierno de seguridad en Cloud
20.9%
18.6%
Implementación de DevSecOps
Aseguramiento de tecnologías emergentes (IOT, RPA, IA, ML) 61
02-245 4843 02-602 5342