SlideShare una empresa de Scribd logo

Risk optimization management inside it governance

Ramiro Cid
Ramiro Cid

ISACA conference about Risk Optimization management inside IT Governance in Linde Group. This presentation talk about the alignment vs risk when IS department has to choose what is first having a insufficient budget to manage IT security in a adequate way and a different risk apetite than business.

Tecnología
1 de 18
Descargar para leer sin conexión
Risk Optimization management inside IT governance
Risk Optimization management inside IT Governance in Linde Bio y experiencia laboral Ramiro Cid | ramiro@ramirocid.com | @ramirocid Spain & Portugal CISO & IT Manager en Linde Miembro del Linde European Regional Security Officers Team Miembro activo del Linde Global IT Security Committee Postgrado en Dirección de Empresas (IDEC-Universitat Pompeu Fabra), Licenciado en Sistemas de Información (Universidad de Buenos Aires) Certificaciones: CISM®, CGEIT®, ISO 27001:2013 LA , ISO 22301:2012 LA, ITIL® v.2 Foundation Profesional con más de 15 años de trayectoria en la industria de TI en diferentes sectores: Industria, Laboratorio, Banca, Gobierno, TI, etc., en diferentes empresas en España, Argentina y Andorra. 1995 2000 2005 Gobierno Consultoría IT Laboratorio 2010 Consultoría y auditoría IT Industria Química ‘96 ‘99 ‘06‘01‘97 ‘02 ‘03‘98 ‘07 ‘08 ‘09 ‘11‘04 ‘13‘12 ‘14
3 Agenda / Índice 1. Apetito al riesgo: 1er acercamiento Slide 5 2. Preparación de las actividades de auditoría Slide 6 3. Realización de la auditoría in situ Slide 9 4. Preparación y distribución del informe de auditoría Slide 11 5. Principales problemas encontrados respecto a la gestión de la Seguridad IT Slide 13 6. Lecciones aprendidas Slide 16
Risk Optimization management inside IT Governance in Linde
Risk Optimization management inside IT Governance in Linde Apetito al riesgo en una organización Madurez en la gestión del riesgo IT + Grado de alineamiento de IS con Negocio + Cultura organizacional APETITO AL RIESGO 5 Grado de madurez del “IT Governance”
Risk Optimization management inside IT Governance in Linde Preparación de las actividades de auditoría Noviembre de 2013: Desarrollo de auditoría in situ interna a “un país de Europa”. Previamente a la auditoría: 1) Se pidió al negocio que completara 2 plantillas para crear un BIA (Business Impact Analysis), 1ro: aplicaciones locales y 2do: aplicaciones globales. En ambos casos se pidió: Calcular impacto económico por pérdida de beneficio, productividad o incremento de costes operativos durante la duración de una contingencia (valor para cada aplicación), siendo el valor medido en un rango de: Low: hasta €10K Medium: desde €10K hasta €500K High: más de €500K 6
Risk Optimization management inside IT Governance in Linde Para cada uno de estos rangos, se pidió calcular el valor del dinero perdido teniendo en cuenta diferentes períodos de tiempo de duración de la contingencia, siendo los siguientes períodos: 8 horas 1 día 1 semana 6 semanas Analizados los resultados se pudo ver que: a) Varias aplicaciones de tipo “low” pasaban a “medium” luego de pasado una semana b) Varias aplicaciones de tipo “medium” pasaban a “high” luego de pasado una semana 7 Preparación de las actividades de auditoría
Risk Optimization management inside IT Governance in Linde 2) Se envió el Plan de Auditoría: Descripción de las actividades. Definición de los objetivos, criterio y alcance. 3) Agenda de Auditoría: Se confirmaron las entrevistas con los “key users” de varios departamentos (IS, Finanzas, Logística y Customer Service). Un punto importante fue fijar previamente los días/horas de las reuniones. En estas se incluyó a personal de IS así como a varios departamentos del negocio. 4) Se notificó al negocio la razón de la auditoría, para que con su respaldo, el departamento de IS sepa la importancia de la misma. 8 Preparación de las actividades de auditoría
Risk Optimization management inside IT Governance in Linde Se realizaron entrevistas a IS y los departamentos de Comercial, Customer Services, Logística, Finanzas (conjuntamente en algunos casos con alguien de IS). Se efectuaron checklist con IS de grados de cumplimiento de la seguridad IT en distintos ámbitos (seguridad física, lógica, DRP, etc.) Se realizó una visita de revisión al Data Center. 9 Realización de la auditoría in situ
Risk Optimization management inside IT Governance in Linde Luego de finalizadas las entrevistas cada día los 3 auditores realizaron una reunión para comentar los principales hitos y GAPs encontrados en las entrevistas del día. Durante la auditoría se realizó la 1era versión del borrador del informe de auditoría. 10 Realización de la auditoría in situ
Risk Optimization management inside IT Governance in Linde Una vez obtenidos los GAPs (no conformidades): 1) Se enviaron los resultados (borrador de informe de auditoría) al IS Manager del país auditado para solicitar su respuesta. El feedback recibido se tuvo en cuenta para el informe definitivo. 2) Una vez contrastadas las diferencias y hechas las correcciones, se envió los resultados al IS Manager para Europa y a los directores de las diferentes áreas del negocio del país analizado. 11 Preparación y distribución del informe de auditoría
Risk Optimization management inside IT Governance in Linde Una vez obtenidos los GAPs (no conformidades): 3) Se convocó una teleconferencia para analizar los principales riesgos encontrados (centrándose de alto impacto y alta o media probabilidad). 4) Se desarrolló un calendario de acciones y responsables de la misma para poder llevar a cabo una mejora de la situación encontrada durante la auditoria. 12 Preparación y distribución del informe de auditoría
Risk Optimization management inside IT Governance in Linde 13 Principales problemas encontrados respecto a la gestión de la Seguridad IT Principales problemas encontrados para poder poner en práctica las mejoras: 1) Escasez de recursos (personas) en el área de IS. El departamento se queja de que el negocio no le proporciona el presupuesto necesario para poder realizar grandes mejoras en seguridad IT. Con ello no se puede conseguir un grado de madurez en la gestión de la seguridad informática acorde a las necesidades del negocio.
Risk Optimization management inside IT Governance in Linde 14 Principales problemas encontrados para poder poner en práctica las mejoras: 2) Falta de conocimiento por parte de IS de las necesidades del negocio. Se detectaron 2 reclamos provenientes de casi todas las áreas del negocio: a) IS no realiza formación o comunicación a los empleados respecto buenas prácticas en seguridad y uso de los sistemas de información y activos IT. Problema difícil de sortear debido al limitado presupuesto de IS lo que dificulta realizar formaciones con empresas externas (por limitación del CAPEX) o internas con personal interno de IS (por limitación de recursos y saturación de carga de trabajo) Principales problemas encontrados respecto a la gestión de la Seguridad IT
Risk Optimization management inside IT Governance in Linde 15 Principales problemas encontrados para poder poner en práctica las mejoras: b) Finanzas había sufrido recientemente 2 ataques de Ingeniería Social donde por teléfono unas personas simularon ser personal del banco con el que trabaja la empresa y estuvieron cerca de lograr realizar una estafa. Ambos ataques fueron evitados, sin embargo el departamento obró más por sentido común que por buenas prácticas en seguridad IT o procedimientos escritos a seguir ante este tipo de ataques. Principales problemas encontrados respecto a la gestión de la Seguridad IT
Risk Optimization management inside IT Governance in Linde 16 Lecciones aprendidas 1) IS debe conocer más las necesidades del negocio en relación a la seguridad IT (preguntar, reunirse, encuestas, auditorías internas,…). 2) Poder gestionar seguridad IT de una manera efectiva el Departamento de IS requiere un mínimo de recursos (idealmente dedicados en forma exclusiva).
Risk Optimization management inside IT Governance in Linde 17 Lecciones aprendidas 3) La formación en seguridad IT a todo el staff de la organización es clave. 4) Las incidencias en seguridad IT son reales y se concretizan día trás día, hace falta concientizar más a la empresa para que entienda que los riesgos siempre existen y el impacto que puede ocasionar una incidencia puede ser mucho más cara que minimizar los riesgos a través de una gestión efectiva y eficiente de los mismos.
¿Dudas? ¿preguntas? ¡ Muchas gracias ! ramiro@ramirocid.com @ramirocid http://www.linkedin.com/in/ramirocid http://ramirocid.com http://es.slideshare.net/ramirocid http://www.youtube.com/user/cidramiro Ramiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL

Recomendados

Agile distributed Teams in Large Enterprises
Agile distributed Teams in Large EnterprisesAgile distributed Teams in Large Enterprises
Agile distributed Teams in Large Enterprises
Uzi Mamani Fernández
 
Operating a Compliance Program Hernan Huwyler
Operating a Compliance Program Hernan Huwyler Operating a Compliance Program Hernan Huwyler
Operating a Compliance Program Hernan Huwyler
Hernan Huwyler, MBA CPA
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]
Saeta de Dios
 
Caso de Estudio #1 Compliance Risks en Sacyr
Caso de Estudio #1 Compliance Risks en SacyrCaso de Estudio #1 Compliance Risks en Sacyr
Caso de Estudio #1 Compliance Risks en Sacyr
Hernan Huwyler, MBA CPA
 
gestion seguridad informatica
gestion seguridad informatica gestion seguridad informatica
gestion seguridad informatica
G Hoyos A
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informática
personal
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
alejenny
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos II
Tensor
 

Recomendados

Agile distributed Teams in Large Enterprises
Agile distributed Teams in Large EnterprisesAgile distributed Teams in Large Enterprises
Agile distributed Teams in Large Enterprises
Uzi Mamani Fernández
 
Operating a Compliance Program Hernan Huwyler
Operating a Compliance Program Hernan Huwyler Operating a Compliance Program Hernan Huwyler
Operating a Compliance Program Hernan Huwyler
Hernan Huwyler, MBA CPA
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]
Saeta de Dios
 
Caso de Estudio #1 Compliance Risks en Sacyr
Caso de Estudio #1 Compliance Risks en SacyrCaso de Estudio #1 Compliance Risks en Sacyr
Caso de Estudio #1 Compliance Risks en Sacyr
Hernan Huwyler, MBA CPA
 
gestion seguridad informatica
gestion seguridad informatica gestion seguridad informatica
gestion seguridad informatica
G Hoyos A
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informática
personal
 
Gestion de riesgos
Gestion de riesgosGestion de riesgos
Gestion de riesgos
alejenny
 
Analisis de Riesgos II
Analisis de Riesgos IIAnalisis de Riesgos II
Analisis de Riesgos II
Tensor
 
Summit itSMF - Risk optimization management inside it governance
Summit itSMF - Risk optimization management inside it governanceSummit itSMF - Risk optimization management inside it governance
Summit itSMF - Risk optimization management inside it governance
Ramiro Cid
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Internet Security Auditors
 
Gobierno de it seguridad de la informacion v.1.1
Gobierno de it seguridad de la informacion v.1.1Gobierno de it seguridad de la informacion v.1.1
Gobierno de it seguridad de la informacion v.1.1
Cencosud S.A.
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoria
Katherine Andrea Mendoza
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
Luis Fernando Aguas Bucheli
 
Analisis de riesgos parcial
Analisis de riesgos parcialAnalisis de riesgos parcial
Analisis de riesgos parcial
Alexander Velasque Rimac
 
05_caso_practico_01.pdf
05_caso_practico_01.pdf05_caso_practico_01.pdf
05_caso_practico_01.pdf
jazmin372460
 
Seguridad en un pequeño o mediano negocio
Seguridad en un pequeño o mediano negocioSeguridad en un pequeño o mediano negocio
Seguridad en un pequeño o mediano negocio
EXIN
 
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICs
LibreCon
 
Protección de Activos Críticos
Protección de Activos CríticosProtección de Activos Críticos
Protección de Activos Críticos
Guillermo García Granda
 
Ponencia148 1
Ponencia148 1Ponencia148 1
Ponencia148 1
dcordova923
 
I foro de gestión pymes software - Aenor
I foro de gestión pymes software - AenorI foro de gestión pymes software - Aenor
I foro de gestión pymes software - Aenor
EOI Escuela de Organización Industrial
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
Carmelo Branimir España Villegas
 
Status Gestion BCM 2022.pptx
Status Gestion BCM 2022.pptxStatus Gestion BCM 2022.pptx
Status Gestion BCM 2022.pptx
MonicaGonzalez319258
 
Latin cacs 2004 CC CZ
Latin cacs 2004 CC CZLatin cacs 2004 CC CZ
Latin cacs 2004 CC CZ
Carlos Chalico
 
Deceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptxDeceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptx
cristiano546156
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
Osita Sweet
 
Ciclo de vida del dato en ambientes de Business Intelligence
Ciclo de vida del dato en ambientes de Business IntelligenceCiclo de vida del dato en ambientes de Business Intelligence
Ciclo de vida del dato en ambientes de Business Intelligence
Alex Rayón Jerez
 
Control de inventario rancho j&n
Control de inventario rancho j&nControl de inventario rancho j&n
Control de inventario rancho j&n
luis villacis
 
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfSERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
Luis Contreras Velásquez
 
Seminario sobre ciberseguridad
Seminario sobre ciberseguridadSeminario sobre ciberseguridad
Seminario sobre ciberseguridad
Ramiro Cid
 
Captación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagenCaptación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagen
Ramiro Cid
 

Más contenido relacionado

Similar a Risk optimization management inside it governance

Deceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptxDeceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptx
cristiano546156
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
Osita Sweet
 
Control de inventario rancho j&n
Control de inventario rancho j&nControl de inventario rancho j&n
Control de inventario rancho j&n
luis villacis
 

Similar a Risk optimization management inside it governance (20)

Summit itSMF - Risk optimization management inside it governance
Summit itSMF - Risk optimization management inside it governanceSummit itSMF - Risk optimization management inside it governance
Summit itSMF - Risk optimization management inside it governance
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Gobierno de it seguridad de la informacion v.1.1
Gobierno de it seguridad de la informacion v.1.1Gobierno de it seguridad de la informacion v.1.1
Gobierno de it seguridad de la informacion v.1.1
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoria
 
S5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en InfraestructuraS5-AI-3.1 Auditoría en Infraestructura
S5-AI-3.1 Auditoría en Infraestructura
 
Analisis de riesgos parcial
Analisis de riesgos parcialAnalisis de riesgos parcial
Analisis de riesgos parcial
 
05_caso_practico_01.pdf
05_caso_practico_01.pdf05_caso_practico_01.pdf
05_caso_practico_01.pdf
 
Seguridad en un pequeño o mediano negocio
Seguridad en un pequeño o mediano negocioSeguridad en un pequeño o mediano negocio
Seguridad en un pequeño o mediano negocio
 
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICs
 
Protección de Activos Críticos
Protección de Activos CríticosProtección de Activos Críticos
Protección de Activos Críticos
 
Ponencia148 1
Ponencia148 1Ponencia148 1
Ponencia148 1
 
I foro de gestión pymes software - Aenor
I foro de gestión pymes software - AenorI foro de gestión pymes software - Aenor
I foro de gestión pymes software - Aenor
 
Isec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivoIsec iso17799 iso 27001 intensivo
Isec iso17799 iso 27001 intensivo
 
Status Gestion BCM 2022.pptx
Status Gestion BCM 2022.pptxStatus Gestion BCM 2022.pptx
Status Gestion BCM 2022.pptx
 
Latin cacs 2004 CC CZ
Latin cacs 2004 CC CZLatin cacs 2004 CC CZ
Latin cacs 2004 CC CZ
 
Deceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptxDeceval_Presentacion_Ciberseguridad.pptx
Deceval_Presentacion_Ciberseguridad.pptx
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Ciclo de vida del dato en ambientes de Business Intelligence
Ciclo de vida del dato en ambientes de Business IntelligenceCiclo de vida del dato en ambientes de Business Intelligence
Ciclo de vida del dato en ambientes de Business Intelligence
 
Control de inventario rancho j&n
Control de inventario rancho j&nControl de inventario rancho j&n
Control de inventario rancho j&n
 
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdfSERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
SERVICIOS ESPECIALIZADOS EN CIBERSEGURIDAD.pdf
 

Más de Ramiro Cid

Más de Ramiro Cid (20)

Seminario sobre ciberseguridad
Seminario sobre ciberseguridadSeminario sobre ciberseguridad
Seminario sobre ciberseguridad
 
Captación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagenCaptación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagen
 
Passwords for sale
Passwords for salePasswords for sale
Passwords for sale
 
Cyber security threats for 2017
Cyber security threats for 2017Cyber security threats for 2017
Cyber security threats for 2017
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
 
Lean Six Sigma methodology
Lean Six Sigma methodologyLean Six Sigma methodology
Lean Six Sigma methodology
 
IT Governance & ISO 38500
IT Governance & ISO 38500IT Governance & ISO 38500
IT Governance & ISO 38500
 
Cyber Security Resilience & Risk Aggregation
Cyber Security Resilience & Risk AggregationCyber Security Resilience & Risk Aggregation
Cyber Security Resilience & Risk Aggregation
 
EU General Data Protection Regulation
EU General Data Protection RegulationEU General Data Protection Regulation
EU General Data Protection Regulation
 
Payment fraud
Payment fraudPayment fraud
Payment fraud
 
Social engineering attacks
Social engineering attacksSocial engineering attacks
Social engineering attacks
 
Thinking on risk analysis
Thinking on risk analysisThinking on risk analysis
Thinking on risk analysis
 
Drones and their use on critical infrastructure
Drones and their use on critical infrastructureDrones and their use on critical infrastructure
Drones and their use on critical infrastructure
 
Internet of things, big data & mobility vs privacy
Internet of things, big data & mobility vs privacyInternet of things, big data & mobility vs privacy
Internet of things, big data & mobility vs privacy
 
Space computing
Space computingSpace computing
Space computing
 
The relation between internet of things, critical infrastructure and cyber se...
The relation between internet of things, critical infrastructure and cyber se...The relation between internet of things, critical infrastructure and cyber se...
The relation between internet of things, critical infrastructure and cyber se...
 
Internet of things
Internet of thingsInternet of things
Internet of things
 
Cyber Security
Cyber SecurityCyber Security
Cyber Security
 
Cyber Security Awareness
Cyber Security AwarenessCyber Security Awareness
Cyber Security Awareness
 

Último

Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
LolaBunny11
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 

Último (15)

Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Presentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmerilPresentación de elementos de afilado con esmeril
Presentación de elementos de afilado con esmeril
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
presentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptxpresentacion de PowerPoint de la fuente de poder.pptx
presentacion de PowerPoint de la fuente de poder.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 

Risk optimization management inside it governance

  • 2. Risk Optimization management inside IT Governance in Linde Bio y experiencia laboral Ramiro Cid | ramiro@ramirocid.com | @ramirocid Spain & Portugal CISO & IT Manager en Linde Miembro del Linde European Regional Security Officers Team Miembro activo del Linde Global IT Security Committee Postgrado en Dirección de Empresas (IDEC-Universitat Pompeu Fabra), Licenciado en Sistemas de Información (Universidad de Buenos Aires) Certificaciones: CISM®, CGEIT®, ISO 27001:2013 LA , ISO 22301:2012 LA, ITIL® v.2 Foundation Profesional con más de 15 años de trayectoria en la industria de TI en diferentes sectores: Industria, Laboratorio, Banca, Gobierno, TI, etc., en diferentes empresas en España, Argentina y Andorra. 1995 2000 2005 Gobierno Consultoría IT Laboratorio 2010 Consultoría y auditoría IT Industria Química ‘96 ‘99 ‘06‘01‘97 ‘02 ‘03‘98 ‘07 ‘08 ‘09 ‘11‘04 ‘13‘12 ‘14
  • 3. 3 Agenda / Índice 1. Apetito al riesgo: 1er acercamiento Slide 5 2. Preparación de las actividades de auditoría Slide 6 3. Realización de la auditoría in situ Slide 9 4. Preparación y distribución del informe de auditoría Slide 11 5. Principales problemas encontrados respecto a la gestión de la Seguridad IT Slide 13 6. Lecciones aprendidas Slide 16
  • 4. Risk Optimization management inside IT Governance in Linde
  • 5. Risk Optimization management inside IT Governance in Linde Apetito al riesgo en una organización Madurez en la gestión del riesgo IT + Grado de alineamiento de IS con Negocio + Cultura organizacional APETITO AL RIESGO 5 Grado de madurez del “IT Governance”
  • 6. Risk Optimization management inside IT Governance in Linde Preparación de las actividades de auditoría Noviembre de 2013: Desarrollo de auditoría in situ interna a “un país de Europa”. Previamente a la auditoría: 1) Se pidió al negocio que completara 2 plantillas para crear un BIA (Business Impact Analysis), 1ro: aplicaciones locales y 2do: aplicaciones globales. En ambos casos se pidió: Calcular impacto económico por pérdida de beneficio, productividad o incremento de costes operativos durante la duración de una contingencia (valor para cada aplicación), siendo el valor medido en un rango de: Low: hasta €10K Medium: desde €10K hasta €500K High: más de €500K 6
  • 7. Risk Optimization management inside IT Governance in Linde Para cada uno de estos rangos, se pidió calcular el valor del dinero perdido teniendo en cuenta diferentes períodos de tiempo de duración de la contingencia, siendo los siguientes períodos: 8 horas 1 día 1 semana 6 semanas Analizados los resultados se pudo ver que: a) Varias aplicaciones de tipo “low” pasaban a “medium” luego de pasado una semana b) Varias aplicaciones de tipo “medium” pasaban a “high” luego de pasado una semana 7 Preparación de las actividades de auditoría
  • 8. Risk Optimization management inside IT Governance in Linde 2) Se envió el Plan de Auditoría: Descripción de las actividades. Definición de los objetivos, criterio y alcance. 3) Agenda de Auditoría: Se confirmaron las entrevistas con los “key users” de varios departamentos (IS, Finanzas, Logística y Customer Service). Un punto importante fue fijar previamente los días/horas de las reuniones. En estas se incluyó a personal de IS así como a varios departamentos del negocio. 4) Se notificó al negocio la razón de la auditoría, para que con su respaldo, el departamento de IS sepa la importancia de la misma. 8 Preparación de las actividades de auditoría
  • 9. Risk Optimization management inside IT Governance in Linde Se realizaron entrevistas a IS y los departamentos de Comercial, Customer Services, Logística, Finanzas (conjuntamente en algunos casos con alguien de IS). Se efectuaron checklist con IS de grados de cumplimiento de la seguridad IT en distintos ámbitos (seguridad física, lógica, DRP, etc.) Se realizó una visita de revisión al Data Center. 9 Realización de la auditoría in situ
  • 10. Risk Optimization management inside IT Governance in Linde Luego de finalizadas las entrevistas cada día los 3 auditores realizaron una reunión para comentar los principales hitos y GAPs encontrados en las entrevistas del día. Durante la auditoría se realizó la 1era versión del borrador del informe de auditoría. 10 Realización de la auditoría in situ
  • 11. Risk Optimization management inside IT Governance in Linde Una vez obtenidos los GAPs (no conformidades): 1) Se enviaron los resultados (borrador de informe de auditoría) al IS Manager del país auditado para solicitar su respuesta. El feedback recibido se tuvo en cuenta para el informe definitivo. 2) Una vez contrastadas las diferencias y hechas las correcciones, se envió los resultados al IS Manager para Europa y a los directores de las diferentes áreas del negocio del país analizado. 11 Preparación y distribución del informe de auditoría
  • 12. Risk Optimization management inside IT Governance in Linde Una vez obtenidos los GAPs (no conformidades): 3) Se convocó una teleconferencia para analizar los principales riesgos encontrados (centrándose de alto impacto y alta o media probabilidad). 4) Se desarrolló un calendario de acciones y responsables de la misma para poder llevar a cabo una mejora de la situación encontrada durante la auditoria. 12 Preparación y distribución del informe de auditoría
  • 13. Risk Optimization management inside IT Governance in Linde 13 Principales problemas encontrados respecto a la gestión de la Seguridad IT Principales problemas encontrados para poder poner en práctica las mejoras: 1) Escasez de recursos (personas) en el área de IS. El departamento se queja de que el negocio no le proporciona el presupuesto necesario para poder realizar grandes mejoras en seguridad IT. Con ello no se puede conseguir un grado de madurez en la gestión de la seguridad informática acorde a las necesidades del negocio.
  • 14. Risk Optimization management inside IT Governance in Linde 14 Principales problemas encontrados para poder poner en práctica las mejoras: 2) Falta de conocimiento por parte de IS de las necesidades del negocio. Se detectaron 2 reclamos provenientes de casi todas las áreas del negocio: a) IS no realiza formación o comunicación a los empleados respecto buenas prácticas en seguridad y uso de los sistemas de información y activos IT. Problema difícil de sortear debido al limitado presupuesto de IS lo que dificulta realizar formaciones con empresas externas (por limitación del CAPEX) o internas con personal interno de IS (por limitación de recursos y saturación de carga de trabajo) Principales problemas encontrados respecto a la gestión de la Seguridad IT
  • 15. Risk Optimization management inside IT Governance in Linde 15 Principales problemas encontrados para poder poner en práctica las mejoras: b) Finanzas había sufrido recientemente 2 ataques de Ingeniería Social donde por teléfono unas personas simularon ser personal del banco con el que trabaja la empresa y estuvieron cerca de lograr realizar una estafa. Ambos ataques fueron evitados, sin embargo el departamento obró más por sentido común que por buenas prácticas en seguridad IT o procedimientos escritos a seguir ante este tipo de ataques. Principales problemas encontrados respecto a la gestión de la Seguridad IT
  • 16. Risk Optimization management inside IT Governance in Linde 16 Lecciones aprendidas 1) IS debe conocer más las necesidades del negocio en relación a la seguridad IT (preguntar, reunirse, encuestas, auditorías internas,…). 2) Poder gestionar seguridad IT de una manera efectiva el Departamento de IS requiere un mínimo de recursos (idealmente dedicados en forma exclusiva).
  • 17. Risk Optimization management inside IT Governance in Linde 17 Lecciones aprendidas 3) La formación en seguridad IT a todo el staff de la organización es clave. 4) Las incidencias en seguridad IT son reales y se concretizan día trás día, hace falta concientizar más a la empresa para que entienda que los riesgos siempre existen y el impacto que puede ocasionar una incidencia puede ser mucho más cara que minimizar los riesgos a través de una gestión efectiva y eficiente de los mismos.
  • 18. ¿Dudas? ¿preguntas? ¡ Muchas gracias ! ramiro@ramirocid.com @ramirocid http://www.linkedin.com/in/ramirocid http://ramirocid.com http://es.slideshare.net/ramirocid http://www.youtube.com/user/cidramiro Ramiro Cid CISM, CGEIT, ISO 27001 LA, ISO 22301 LA, ITIL