Presentación de la sinopsis de RiskVolution impartida en Aranjuez, España. Requiere de explicación ya que no estuvo diseñada mas que como soporte a la presentación en vivo. Habrá pronto copia del video de la presentción que permitirá entender mejor los conceptos. Por lo pronto los invito al sitio del libro http://www.riskvolution.com/es que incluye la sinopsis de RiskVolution.

1. Del “hackeo” a la inteligencia artificial

2. Hackeo

6. Automatizar el “hackeo”

7. Análisis implica Clasificación

10. 201,076 piezas de lego

13. ¿Reduccionismo? El todoes igual a la sumade sus partes

14. Complejidad

15. Salud

16. Economía

17. Clima

18. Cómputo

19. Sintetizar

20. “En su escencia, todos los modelos están mal, pero algunos son útiles” George E.P. Box

21. 3 Premisas

22. 1. Quién gestiona mejor el riesgo, prevalece Las especies (genes) y los colectivos (memes) que mejor mitigan sus riesgos son las que sobreviven

23. 2. No somos capaces de gestionar el Riesgo Digital Actualmente, no estamos preparados para gestionar los nuevos y crecientes riesgos digitales

24. 3. Las empresas con las mejores estrategias de gestión del Riesgo Digital, prevalecerán Los colectivos, empresas y países que encuentren las mejores estrategias de gestión de riesgos digitales prevalecerán sobre sus contemporáneos

26. Entropía

27. Vida

28. Mutaciones Exitosas

29. Adaptación

30. Mecanismos de gestión de riesgos

31. Reproducción Rápida

32. Veneno Potente

33. Tamaño y Rugido

34. Gen Egoísta

35. Selección Natural

39. Sobreadaptación

40. Prevalecer

41. ¿Dos Sexos?

42. Selección Sexual

43. Coevolución

47. 1. Mutaciones (experimentos)

51. 2. Velocidad de Mutaciones (readaptación)

52. Prevalecer

53. ¿Cómo le hicimos?

54. Neocortex

56. Ratón Chango Humano Neocortex Mamífero

58. Memoria

59. Jerárquico

60. Espacial y Temporal

62. Predicción

64. Contexto

65. Contexto

67. Mielina

68. Repetición

69. Emoción

70. Emoción Negativa x4

71. Predecir riesgos Adaptarnos a nuevos riesgos

72. Comunicar experiencia

73. Estrategias de gestión de riesgo = Educación + Experiencia + Experimentación

74. Experimentación = Mutación

75. ¿Memes?

76. Colectivos

82. ¿Por qué no entendemos el Riesgo Digital?

83. Riesgo Digital = ¿ Impacto x Probabilidad ?

84. Riesgo Digital Intencional = Amenaza x Accesibilidad

85. ¡La Amenaza se haincrementado de forma geométrica!

86. ¡LaAccesibilidad crecedeforma exponencial!!

87. Riesgo Digital = Amenaza x Accesibilidad Amenaza

88. ¡Nos sentimos anónimos!Esto escierto para los criminales también…

89. ¡Sin unapercepción deriesgo todos nosvolvemos trasgresores!

90. Alreducirelriesgoderomper laleyhemosincrementadoelriesgoparatodos

91. Rentabilidad = Retorno / Riesgo

92. Hemos llegado a un nuevo equilibrio Rentabilidad Riesgo

93. ¡Hay mucho más que robar, con mucho menos riesgo!

94. La Amenazase haincrementado de forma geométrica

95. Riesgo Digital = Amenaza x Accesibilidad Accesibilidad

96. Hemos perdido el Control

97. Computadoras eran deterministas

98. Nuestro mundo digital se ha vuelto indeterminista

99. Las computadoras se han vuelto tan complejas que ya no son predecibles

100. Necesitamos reinciarcomo una forma de regresara estados conocidos

101. En sistemas caóticos sólo podemos predecir las primeras iteraciones

102. Las redes incrementan complejidad

105. 36 Nodos 630 Conexiones 2,783,137,628,160 Sockets

106. Más dispositivos = aún más conexiones

107. Las conexiones crecen exponencialmente

108. Elcrecimientode laRed genera Valor

109. Perotambiénincrementa sucomplejidad

110. Complejidad e impredicibilidadincrementan la frustración

111. riesgo Y el

112. Por tanto, la anonimidad…

113. …y la complejidad…

114. …han generado cambios y crecimientos exponencialesen el Riesgo

115. ? ?

116. ¿Predicción temporo-espacial?

117. Inmediatas: sin secuenciastemporales

118. Etéreas: sin proximidad espacial

119. Imperceptibles

120. Masivo

121. Estrategias de gestión de riesgo = ? Educación + Experiencia + Experimentación

123. ¿Cómopodemos evaluar mejor elRiesgo Digital?

124. Cambio de Paradigma

125. ¿Cómo funciona el mundo de la seguridad hoy? Administramos Vulnerabilidades

126. Ingenieros

127. ¿Análisis deRiesgos(vulnerabilidades)deVíctor Chapela?

128. Vulnerabilidades Lo que amenace: generación de ingresos pertenencias o ahorros integridad física

129. 1. Accidentes

130. 2. Enfermedades

131. 3. Agresiones

133. ¿Hallazgos del Análisis?

134. Caminar es Peligroso

135. Interacción física, peligrosísima

136. ¿Bañarse? - Prohibido

137. Plan Director de Seguridad(personal)

138. Clasificación de Activos Críticos Cerebro 9.9 Boca y laringe 9.5 Médula Espinal 9.3 Corazón 9.1 Pulmones 8.7 Hígado 8.2 Sistema Digestivo 8.0 Riñones 7.6 Brazos 7.3 Ojos 6.9 Piernas 6.8 …

139. Controles de Seguridad Propuestos

140. Disponibilidad

141. Acuerdo de Niveles de Servicio

142. Para salir al jardín…

143. Control para el robustecimiento de activos críticos

144. Clonado: copia de seguridad

145. Confidencialidad e Integridad

146. Control de aislamiento bacteriológico

147. Nunca más tendrás que ir a un baño público

148. Controles de Aislamiento Bacteriológico Cama Casa

153. Presupuesto del Plan Director de Seguridad Personal 5 Fases Diseño 9 meses $ 6.1M Desarrollo 11 meses $ 3.5M Aprovisionamiento 6 meses $17.3M Implementación 8 meses $ 5.1M Pruebas y liberación 6 meses $ 2.1M Presupuesto 40 meses $ 34.1M

154. ¿Quién querría meterse en mi PC?

155. 3 tipos de riesgos RIESGO

156. Incentivos Distintos El mitigación del riesgo en relación al esfuerzo

157. Disponibilidad siempre ha sido la meta principal

158. Facilitar AccesoeInteracción

159. Riesgo Accidental esmitigadopor medio de Redundancia

160. ¿Cómo mitigamos nuestro riesgo oportunista?

161. Para reducir Riesgos Oportunistasnecesitamos construir cercas

162. Entre más grandes…

163. …y mejores controles incluyas…

164. … más resistente va a ser.

165. Pero seguimos necesitando dar acceso…

166. La analogía militarno aplica

167. Necesitamos usar la analogía médica

168. Necesitamos mantener nuestros sistemas y redes sanos

169. Entendersussignosvitales

170. Usar mejores prácticas

171. Introducir sólo componentes sanos

172. Complementar con parches & actualizaciones

173. Aislarlos de amenazas externas

174. Generar alertas

175. Guardarlogs

176. Riesgo Oportunista Digital es como la Salud La Suma de los esfuerzos me mantiene Sano

177. …y define el tamaño de nuestra cerca

178. ¿Cómo mitigamos nuestro riesgo intencional?

179. Elriesgo intencional esgestionadoaislando y filtrando nuestra información crítica

180. Valor Riesgo

181. Controles divididos en dos grupos: Redundancia ¿Disponibilidad? Impacto alNegocio BIA Filtros yAutenticación ¿Confidencialidad e Integridad? Valor de Mercado y Conectividad IVA

182. RiesgoIntencional Riesgo Intencional = Impacto x Probabilidad Amenaza x Accesibilidad Impacto es determinado al estimar el valor económico Probabilidadesmedida al calcularconexiones potenciales

183. ¿Cómo se calculael valor de la información?(la amenaza)

184. Intencionalidad Activos de Información Información Perfiles de Usuario PérdidasPotenciales Posibles Ataques Nodos de Alto Riesgo Valor Económico Acceso a Nodos de Alto Riesgo Rentabilidad Atacante Ataques Conocidos

185. Necesitamos aceptar riesgo El número de jugadas potenciales es infinta

186. Con miles de partidas simultáneas

187. En un ambiente altamente dinámico

188. El tablero cambia diario

189. Las piezascambian diario

190. Las reglascambian diario

191. Jugadores cambian diario

192. El fin justifica los medios Al prevenir riesgo intencional Nada menorque asegurartodos los vectores es suficiente

193. La defensa debe ser optimizada

194. Optimizar la velocidad

195. Optimizar recursos

196. Método de gestión por valor Posibles Incidentes Incidentes Reales Incidentes Aplicables Incidentes Recurrentes Medida del valor agregado Incidentes priorizados

197. Definición delvalor de lainformación por tipo dedato Análisis del proceso de negocio Inventario del ciclo de vida del dato Valor de información (IVA) Cumplimiento legal y regulatorio (PIA) Categorías de Datos Categorías de Datos Inventario de Activos, Perfiles y Conexiones Generación de Políticas Definición controles, estándares y procedimientos Implantación y Auditoría

198. Resguardando aquello que tiene mayor valor paraterceros

199. Así es como estimamos amenaza

200. ¿Cómo se calcula la vulnerabilidad?

201. Activos y Perfil de Usuarios

202. Activos y Perfil de Usuarios

203. Accesos Información Usuario Conexión Nodos de Información Nodos de Usuario Transfer Process Store Consulta

204. Segmentar por Accesos

205. Medir Accesibilidad

206. Agrupando Riesgo Intencional

211. Redundancia Disponibilidad Impacto al Negocio Activos Filtros y Autenticación Confidencialidad e Integridad Valor de Mercado Accesos

212. Enfocar controles en los riesgos principales

213. Determinarlas fronteras deconfianza

214. ¿Controles?

215. Riesgo Intencional Amenaza Accesibilidad

216. Riesgo Intencional Accesibilidad para Terceros Filtrar, Aislar, Autenticar Reducir Rentabilidad Registrar y Monitorear Anonimidad de Terceros Rentabilidad para Terceros Disociar y Separar Valor para Terceros

217. Tres Vectores para gestionar Riesgo Accesibilidad para terceros Valor para terceros Anonimidad de los terceros

218. Default Close Default Open Disponibilidad Confidencialidad Accesibilidad

219. Filtrar y Aislar Controles mínimos de Accesibilidad Riesgo Intencional Riesgo Accidental Riesgo Oportunista ∞ Filtrado Confidencialidad Integridad ImpactoInterno AmenazaExterna Accesibilidad Redundancia Disponibilidad 0 Privado Público

220. Peor Esfuerzo Mejor Esfuerzo Suma de Esfuerzos Riesgo Intencional Riesgo Accidental Riesgo Oportunista ∞ Filtrado Confidencialidad Integridad Impacto Interno AmenazaExterna Accesibilidad Redundancia Disponibilidad 0 Privado Público 1 canal 1 momento 1 1 1 p Autenticada 1 dispositivo AmenazaExterna Impacto Interno

221. Estrategias para gestionar Riesgo Redundancia Monitoreo y Reacción Accesibilidad para terceros Filtrar y Aislar Filtrado y Autenticación Disociación ySeparación Disociar y Separar Monitorear y Registrar Valor para terceros Disuasión De los terceros

222. ¿Cómo aplica todo esto en una regulación?

223. Objetivo de la Seguridad en la Ley “Evitar el acceso no autorizado a los datos personales resguardados por el responsable”

224. Estrategia Mitigar con base en el riesgo Por tipos de datos Por número de titulares 2 3 5 5 4 500k 2 3 4 4 5 50k 1 2 3 4 5 Cantidad de Datos 5k 1 2 2 3 4 500 1 1 1 2 3 Datos de bajo riesgo Datos de alto riesgo Riesgo del dato

225. Monitoreo y Reacción Filtrado y Autenticación Controles de Gestión de Riesgos Intencionales Disociación ySeparación

226. Se sugerirá cumplir un área máximapor nivel de Riesgo Accesibilidad para terceros Filtrar y Aislar Área Monitorear y Registrar Disociar y Separar Valor para terceros Anonimidad de los terceros

227. Implantación de Controles 4 4 5 5 4 4 4 5 500k 3 3 4 5 Número de Titulares 50k 2 2 3 4 5k 1 2 2 3 4 500 1 1 2 3 Datos de bajo riesgo Datos de alto riesgo Riesgo del dato

228. EficienteEficaz

229. Definir estrategias de gestiónpriorizadas en riesgo intencional

230. Modelo Evolutivo de Gestión de Riesgos

231. Cibermemes

232. Fraude deTarjeta

233. 6 a 8 tipos de nodos

234. Al menos 5 topologías Millions?

235. 190 Pares de Datos PAN BIN MCG MCG Risk MCC MCC Risk Merchant ID Country EntryMode EntryModeRisk Time Relativetoyear Relativetomonth Relativetoweek Relativetoday Amount Cents ProcessCode Network ID Acquirer ID

236. 270 Estrategias de Segmentación

237. 5 Secuencias (Perspectivas)

238. Combinaciones 6 x 5 x 190 x 270 x 5 x PAN BIN MCG MCG Risk MCC MCC Risk Merchant ID Country EntryMode EntryModeRisk Time Relativetoyear Relativetomonth Relativetoweek Relativetoday Amount Cents ProcessCode Network ID Acquirer ID 7,695,000

239. Un fraudeporcada 10,000 transacciones 1 Fraude

240. Incorporamos secuencias temporales

241. ModelosCórticosdeMemoria Temporal Jerárquica

242. Y no supervisados Supervisados

243. Modelospredictivosmucho másprecisos

244. Bases de Datos Negativas

245. Confianza Contexto

248. Víctor Chapela Santiago Moral www.RiskVolution.com

249. www.riskvolution.com Víctor Chapela victor@sm4rt.com