El documento describe los esfuerzos de una empresa aeroespacial para mejorar la gestión de sus sistemas de tecnología de la información (TIC) a través de la implementación de sistemas de gestión de seguridad de la información (SGSI) y gestión de la continuidad (SGC). Esto ha permitido a la empresa cumplir con las regulaciones, mejorar la seguridad y disponibilidad, y optimizar procesos, lo que ha generado ahorros y un retorno de la inversión a través de menores costos y mayor productividad.
4. Algunos conceptos
Ahorrar
Conservar dinero
Evitar un gasto
Gastar
Usar dinero en algo
Invertir
Usar dinero para obtener un mayor beneficio futuro
ROI (Retorno de la Inversión)
Comparar beneficio con dinero invertido
El beneficio debería ser superior a la inversión
5. Algunas dudas
Ahorrar
¿Cuánto dinero conservas?
¿Cuánto dinero estás evitando gastar?
Gastar
¿En qué usas el dinero?
Invertir
¿Cuál es el beneficio?
¿Cuánto dinero vale ese beneficio?
ROI (Retorno de la Inversión)
ROI?
8. El Cliente
Eusko-Space S.L.
Empresa privada
Participación pública
Sector aeroespacial
Fabricación de componentes
3 sedes
Central
2 delegaciones
Organigrama:
Departamento TIC:
500 PCs
50 servidores
9. 2008: Primer contacto
El problema
La empresa crece
TIC debe satisfacer las nuevas demandas
Capacidad y rendimiento
Escalabilidad y flexibilidad
Seguridad y Continuidad
La Solución
Nextel desarrolla su Plan Estratégico de Sistemas
Arquitectura de red
Arquitectura de sistemas
Arquitectura de seguridad
Gestión de la infraestructura TIC
10. Los resultados
Plano tecnológico
FW en Alta Disponibilidad
Conexiones vía VPN
Arquitectura red redundante
NAS + backup
…
Plano de gestión
Herramientas de gestión TIC
Monitorización e inventariado
Gestión de incidencias y problemas
Ámbito organizativo
Redefinición de funciones
Procedimientos de gestión TIC
11. Las consecuencias
Coste:
Equipamiento e integración: XXX.000 €
Consultoría: YY.000 €
Dedicación interna: zzz horas
Ahorro?
Inversión? Beneficio:
Mayor capacidad
Mayor disponibilidad
Mejor continuidad?
Mejor seguridad?
Optimización de procesos?
Automatización?
Datos explotables
ROI?
12. 2011: Un nuevo problema
El reto
La alta dirección quiere un “sello” de seguridad
El grupo lo exige
La dirección financiera quiere rentabilizar el sello
La Solución
Implantar un SGSI (Sistema de Gestión de Seguridad de la
Información)
Alcance limitado
Foco en departamentos “sensibles”
Desarrollo de sistemática de gestión
Implicación de la dirección
Certificarlo bajo ISO 27001
13. Los resultados
SGSI
Alcance: Sede central
Principales riesgos en:
Departamento de I+D (confidencialidad)
RR.HH. (confidencialidad)
Fabricación (disponibilidad)
Medidas de seguridad prioritarias:
Organización
Cumplimiento legal
Propiedad intelectual
LOPD
Control de acceso lógico (permisos)
Arquitectura de red tolerante a fallos Ya existente
Creación del Comité de Seguridad
15. Las consecuencias (II)
Ahorro acumulado:
Medidas de seguridad existentes
Arquitectura red redundante
Inspección Agencia Protección de Datos
Denuncia por uso no autorizado de datos personales
Infracción: Grave (40.000–300.000 €)
Sanción: Apercibimiento
Por haber aplicado SGSI a su resolución
Inversión acumulada:
Dedicación a la gestión de la seguridad
80h/mes
Mejoras en la gestión de incidencias
25% menos de incidencias
30% menos de tiempo de resolución medio
200h/mes
16. Las consecuencias (III)
Beneficio acumulado:
Optimización de procesos
Automatización
Mejor continuidad
Un incidente grave de red no ha provocado parada de la producción
Mayor seguridad
Reducción en un 20% de los incidentes de disponibilidad
Seguridad mejor gestionada?
ROI:
Dedicación
200horas/mes > (zzz + bbb + 80/mes)horas
Coste económico
Coste sanción ≈ YY.000 + AA.000 €
Medidas técnicas?
17. 2012: Responder a las leyes
Un nuevo desafío
Ley de Protección de las Infraestructuras Críticas (Ley 8/2011)
Aplica a sector aeroespacial
Requisitos
Desarrollar un Plan de Seguridad en 6 meses
Elaborar Planes de Protección en 4 meses
Eusko-Space S.L. debería prepararse?
La Solución
Desarrollar un SGC (Sistema de Gestión de la Continuidad)
Visión alineada con Ley PIC
Garantizar cumplimiento de plazos
Aprovechar beneficios propios del SGC
Rentabilizar inversión
Integrar SGC con SGSI
Maximizar eficiencia y eficacia
18. Los resultados
SGC
Alcance: Sede central
Desarrollo de un BIA (Análisis de Impacto en el Negocio)
Gestión de impactos:
Alineada con Gestión de riesgos del SGSI
Planes de Contingencias
A partir de los existentes
Planes de Gestión de Crisis
Cuerpo del SGC
A partir del SGSI
Seguridad física
La existente
Si nombrasen a Eusko-Space S.L. Operador Crítico
Trabajo diferencial a partir del SGC
19. Las consecuencias (I)
Coste:
Consultoría: MM.000 €
Dedicación interna: nnn horas
Medidas técnicas: 0 €
Ahorro:
Consultoría y dedicación interna:
60% del proyecto existente gracias a SGSI
Medidas técnicas:
No han sido necesarias nuevas medidas técnicas
Dedicación a la gestión de la continuidad:
90% de la dedicación ya contemplada por SGSI
20. Las consecuencias (II)
Inversión:
Dedicación a la gestión de la continuidad
8h/mes
Beneficio acumulado:
Continuidad mejor gestionada
Disminución en un 10% de los tiempos de recuperación
Seguridad mejor gestionada
Detección de más incidentes de seguridad
Detección de ¿intento? de filtración de patente en curso
Denuncia y bloqueo judicial de actuación ilícita
ROI acumulado:
Dedicación
200horas/mes ≈ (zzz + bbb + nnn + 88/mes)horas
Coste económico
Beneficio patente >> MM.000 € >> MM.000 € + XXX.000 + CC.000 € ?
21. Otras iniciativas
2012: Peritaje informático
Participación en resolución de incidente de patente
Auditoría forense
Informe pericial
Defensa del informe en sede judicial
ROI:
Despido procedente
Adicionalmente, beneficio de la patente
2009: Desarrollo de un SGSTI
Desarrollo y certificación en ISO 20000
SGSI integrado con él
Apoyado en herramientas de gestión TIC
ROI:
Gestión de proveedores
Establecimiento de niveles de servicio con costes proporcionales
23. Algunas reflexiones
Consideraciones sobre el ROI
Cuantificación del beneficio no económico
Cuantificación del planteamiento inicial
Coste técnico ineludible
Cuantificación de beneficios hipotéticos
ROSI (Retorno de la Inversión en Seguridad)
24. Conclusiones
Se puede ahorrar invirtiendo
Clave: Beneficios a obtener
Orientación a resultados
Es imprescindible poder medir
Clave: Herramientas de soporte a la gestión
Hay que ser paciente y constante
Beneficios puntuales a corto plazo
Beneficios profundos a más largo plazo
Una buena gestión TIC es una garantía de ahorro
Mejorar eficiencia
Aumentar eficacia
Incrementar rendimiento
Y si no sabes cómo hacerlo … Nextel te puede ayudarNextel te puede ayudar
25. ¡Muchas Gracias!
XV Jornada Seguridad TI
27/06/2013
Joseba Enjuto
Responsable de Negocio de Consultoría
¡Síguenos en
Redes Sociales!