¿ESTÁ PREPARADA LA LOGÍSTICA PARA EL DECRECIMIENTO?
Seguridad y estrategia ti
1. C3PO: Señor, la probabilidad de sobrevivir al paso por el campo de asteroides es,
aproximadamente, de una entre 3721.
HAN SOLO: ¡No me hables de probabilidades!
El Imperio Contraataca
1
2. Resumen
Alcance
Desarrollo de la ponencia
Recomendaciones y conclusiones
Referencias
Seguridad y Estrategia TI 2
3. Vivimos una época de solapamiento en
los diversos estadios de evolución de
las sociedades. La complejidad y la
velocidad de los cambios es muy alta.
La seguridad no es inmune a esta
situación. Sigue siendo uno de los
pilares de la evolución, también en las
organizaciones.
Sin embargo es muy complicado
demostrar el valor de la seguridad.
Y mucho más difícil cuando hablamos
de la seguridad TI
Seguridad y Estrategia TI 3
4. En esta ponencia hablaremos de los siguientes temas:
Barreras para demostrar la necesidad de la seguridad en el
mundo empresarial
Ubicar las necesidades de Seguridad en la cadena de valor de
la empresa
Establecer los puntos de contacto entre la seguridad de la
información y la formulación estratégica empresarial.
Estrategias para demostrar que la seguridad es un activo
empresarial y su contribución a los objetivos estratégicos
▪ Gestión de Inversiones, aspectos de Seguridad: ROSI y ROI.
▪ Seguimiento de los Planes estratégicos: Temas de Seguridad en el
Cuadro de mando balanceado.
Seguridad y Estrategia TI 4
6. Después de la comida
la necesidad de
seguridad es la base
sobre la que se
desarrollan el resto de
las necesidades
humanas.
Seguridad y Estrategia TI 6
7. En una hipotética “pirámide de Maslow empresarial”
la seguridad debería ocupar el mismo lugar.
En la base estaría: el producto , el mercado y la
financiación
El siguiente escalón sería la seguridad (Jurídica, Física,
Política y … en el siglo XXI la Seguridad TI).
Seguridad y Estrategia TI 7
8. La Seguridad TI desde el punto de vista
empresarial tienen dos aspectos
fundamentales:
Protección de las infraestructuras TI
Protección de los activos intangibles
(Conocimiento)
Seguridad y Estrategia TI 8
9. En la mayoría de las empresas es
relativamente sencillo sencillo
impulsar proyectos de seguridad en el
ámbito de las infraestructuras
Pero en la mayoría es tarea de titanes
concienciar sobre la necesidad de
proteger los activos intangibles como
los datos y el conocimiento.
Seguridad y Estrategia TI 9
10. Psicológicas: A las personas les cuesta aceptar
las leyes de la probabilidad , a las
organizaciones también.
Seguridad y Estrategia TI 10
11. Tecnológicas: El desconocimiento de la
tecnología permite que se minimicen los
riesgos o, lo que es peor, que se considere la
Seguridad TI como algo imposible.
Seguridad y Estrategia TI 11
12. Orgánicas: Las
responsabilidades de
Seguridad TI están
diluidas. Existe una
especie de efecto
espectador
Seguridad y Estrategia TI 12
13. Económicas:
Demostrar que el
collar (Seguridad) no
vale mas que el perro
(La Información y el
conocimiento)
Seguridad y Estrategia TI 13
14. Orgánicas
Psicológicas
Tecnológicas
Económicas
Seguridad y Estrategia TI 14
15. Todo necio confunde valor y precio
Proverbios y cantares, Antonio Machado
15
16. Una empresa está creando valor cuando la
rentabilidad obtenida por supera las expectativas
de sus accionistas.
Se espera que las TI incorporen valor a la empresa:
mejorando la eficiencia, rentabilidad, productividad
y las ventajas competitivas.
Sin embargo los aspectos de Seguridad en TI son la
mayoría de las veces vistos como “Stoppers” más
que como proveedores de valor.
Seguridad y Estrategia TI 16
17. Aumento de ingresos
Rendimiento de activos Finanzas
Ingresos por empleado
+ Manejo del negocio
Time to Market
Ventas Operaciones
Calidad de Servicio
Implementación Aplicaciones
Costes de implementación TI (Desarrollo)
Disponibilidad
Costes por Transacción TI (Infraestructura) + Manejo de TI
Costes por Departamento
Seguridad y Estrategia TI 17
18. Existe evidentemente un “GAP” entre
tecnología y negocio, ampliamente discutido
en los últimos años.
Pero en cuestión de seguridad existe un “GAP
al cuadrado”
Y este GAP proviene primordialmente (aunque
no de manera exclusiva) de la dificultad de
justificar económicamente la seguridad.
Seguridad y Estrategia TI 18
20. La buena noticia es que ya no hay estándar de
Gestión de TI que no incluya la seguridad entre
sus prioridades.
La mala noticia es que la capacidad de estos
estándares para proyectarse más allá de los
departamentos de IT es muy limitada todavía.
Seguridad y Estrategia TI 20
21. El arte de la estrategia es de importancia vital para el país. Es el terreno de la vida y la
muerte, el camino a la seguridad o la ruina.
El Arte de la Guerra - SunTzu
Seguridad y Estrategia TI
21
22. PREGUNTAS RESPUESTAS
¿Cómo resolver el Formulando
problema de GAP entre Estratégicamente la TI
negocio y TI? de la compañía en
paralelo con la propia
estrategia del negocio
Seguridad y Estrategia TI
22
23. PREGUNTAS RESPUESTAS
¿Cómo introducir los Dejando de “justificar”
temas de Seguridad TI la necesidad de la
en la Estrategia de TI? Seguridad como algo
necesario porque si y
empezando a usar las
mismas herramientas
que negocio utiliza para
impulsar sus proyectos.
Seguridad y Estrategia TI 23
24. Hay que introducir la
Seguridad TI en la formulación
Estratégica de TI de la
empresa y más tarde a los
planes que la desarrollan.
Siempre desde la perspectiva
de la contribución de la
Seguridad TI a los objetivos
estratégicos y a la generación
del valor
Seguridad y Estrategia TI 24
25. Existen diversas maneras para
organizan estratégicamente una
empresa la mayoría son modelos
similares a los de Norton y Kaplan.
En estas empresas existe la
oportunidad de empujar la
Seguridad TI si se tiene presencia en
los foros donde se decide la
estrategia de negocio.
Pero para introducir con éxito
objetivos de Seguridad TI e impulsar
la Seguridad TI en los planes y
proyectos que desarrollan la
estrategia es necesario disponer de
“armas” para medir la aportación al
valor y a los objetivos de negocio.
Entre ellas el Balanced Score Card es
una de la mejores.
Seguridad y Estrategia TI
25
26. BSC de Seguridad aproximación en cascada.
BSC DE NEGOCIO
KPI’s
BSC DE TI
KPI’s
BSC DE Seguridad TI
Seguridad y Estrategia TI 26
27. La Seguridad TI en los proyectos que significan
inversión:
Una forma de abordar la inclusión de los aspectos
de seguridad en los proyectos es utilizar
aproximaciones como la del ROSI (Return Of
Security Investment)
Pero cuidado:
▪ No confundir ROI con ROSI.
▪ Los proyectos de seguridad pueden tener ROI
Seguridad y Estrategia TI 27
28. Calcular el ROSI (Return Of Security Investment) no
es obvio, es un valor que descansa en las leyes de la
probabilidad y necesita un profundo conocimiento
del valor de los activos que se pretenden proteger.
No usar si no se está
completamente seguro de
que los datos son buenos!!
Seguridad y Estrategia TI 28
30. Is the economy stupid!
Usa las armas de negocio (BSC)
Mide, mide y vuelve a medir
Evangeliza sobre seguridad pero no seas
profeta del desastre
Seguridad y Estrategia TI 30
31. Kaplan, Robert S.; David P. Norton (2004).
Strategy Maps: Converting Intangible Assets into
Tangible Outcomes. Boston, Massachusetts,
USA: Harvard Business School Press. pp. 7.
ISBN 1-59139-134-2.
Wim Van Grembergen, Steven De Haes.
Enterprise Governance of Information
Technology. ISBN 978-0-387-84881-5
www.isaca.org
Seguridad y Estrategia TI 31