Ibm inf sec_tratamientodatos_briefprensa_v1

382 visualizaciones

Publicado el

Publicado en: Tecnología, Empresariales
0 comentarios
0 recomendaciones
Estadísticas
Notas
  • Sé el primero en comentar

  • Sé el primero en recomendar esto

Sin descargas
Visualizaciones
Visualizaciones totales
382
En SlideShare
0
De insertados
0
Número de insertados
4
Acciones
Compartido
0
Descargas
2
Comentarios
0
Recomendaciones
0
Insertados 0
No insertados

No hay notas en la diapositiva.

Ibm inf sec_tratamientodatos_briefprensa_v1

  1. 1. Habilitación tecnológica de la protección de datos personales Roque C. Juárez, CISSP, CISA, CISM, ISO 27001 LA Consultor de Seguridad de la Información IBM de México
  2. 2. “ Encryption isn’t the issue here.” - Bruce Schneier.
  3. 3. Contenido <ul><li>El punto de partida. </li></ul><ul><li>¿Cuánta seguridad se necesita? </li></ul><ul><li>Innovando en la colaboración. </li></ul><ul><li>Consideraciones finales. </li></ul>
  4. 4. El punto de partida
  5. 5. ¿Otra vez el sentido de la inseguridad? <ul><li>La operación de TI y Seguridad de la Información se ha fortalecido a través de: </li></ul>Análisis técnicos del nivel de seguridad Concientización inicial de riesgos y seguridad de la información Esquemas tecnológicos de protección (perimetral, usuarios finales, bases de datos, respaldos) Demuestra efectividad en el cumplimiento Presupuestos específicos de seguridad      Esfuerzos generales de Seguridad de la Información S/N
  6. 6. ¿Otra vez el sentido de la inseguridad? <ul><li>Distribución actual de esfuerzos de seguridad: </li></ul>
  7. 7. ¿Otra vez el sentido de la inseguridad? <ul><li>La seguridad de la información ha sido tratada con una visión tecnológica. </li></ul>¿Prioridades de protección? ¿Niveles de criticidad? ¿Métricas de gestión de seguridad? ¿Inversión o gasto de seguridad?
  8. 8. ¿Otra vez el sentido de la inseguridad? <ul><li>Algunas organizaciones están más preocupadas y, ocupadas que antes: </li></ul><ul><li>Siempre han existido, solamente que ahora las identificamos y, sabemos cosas que antes no sabíamos… </li></ul>Hay más problemas, más brechas, más riesgos…
  9. 9. ¿Cuánta seguridad se necesita?
  10. 10. ¿Cuánta seguridad se necesita? <ul><li>Analizar situaciones de riesgo relevantes para la organización. </li></ul>Frequency of Occurrences Per Year 1,000 100 10 1 1/10 1/100 1/1,000 1/10,000 1/100,000 $1 $10 $100 $1,000 $10k $100k $1M $10M $100M frequent infrequent Consequences (Single Occurrence Loss) in Dollars per Occurrence low high Virus Worms Disk Failure System Availability Failures Pandemic Natural Disaster Application Outage Data Corruption Network Problem Building Fire Terrorism/Civil Unrest Data driven Event driven Business driven Failure to meet Compliance Mandates Workplace inaccessibility Failure to meet Industry standards Regional Power Failures Lack of governance
  11. 11. ¿Cuánta seguridad se necesita? <ul><li>Alinear las inversiones de seguridad con las prioridades organizacionales. </li></ul><ul><li>Encontrar un balance entre la efectividad de la seguridad, la efectividad operativa y el costo. </li></ul><ul><li>El principio de Pareto (regla 80-20) es aplicable a la seguridad de la información. </li></ul><ul><li>Un pequeño grupo de controles críticos no cubre todas las necesidades de seguridad. </li></ul>*Sources: W.H. Baker, C.D. Hylender, J.A. Valentine, Data Breach Investigations Report, Verizon Business, ITPI: IT Process Institute, EMA Cost Effectiveness Agility Time Complexity Pressure
  12. 12. ¿Cuánta seguridad se necesita? <ul><li>¿Mucha seguridad?¿Poca seguridad?¿Toda la posible?¿La que recomienden los proveedores?... </li></ul><ul><li>Es el momento de: </li></ul><ul><ul><li>Implantar las necesidades reales de protección y operación de sus entidades, áreas y procesos relacionadas con datos personales. </li></ul></ul><ul><ul><li>Demostrar efectividad de los controles como parte de su naturaleza. </li></ul></ul><ul><ul><li>Encontrar nuevas formas de operación de los controles de seguridad. </li></ul></ul>Operación Seguridad
  13. 13. Innovando en la colaboración
  14. 14. Innovando en la colaboración <ul><li>La seguridad de la información se establece en forma práctica con tres componentes fundamentales: </li></ul>estratégico operativo gestión de seguridad
  15. 15. Innovando en la colaboración <ul><li>Complementar el enfoque tradicional de protección y aseguramiento de la tecnología y la infraestructura. </li></ul>Protección de la infraestructura Aseguramiento de los procesos Aseguramiento de la información Pública Privada/ personal Confidencial Network Infrastructure
  16. 16. Innovando en la colaboración <ul><li>Las organizaciones buscan balancear el esfuerzo de seguridad. </li></ul>
  17. 17. Innovando en la colaboración <ul><li>Implantación de controles de seguridad. </li></ul>Normatividad de seguridad de la información <ul><li>Desarrollar proyectos específicos de controles de seguridad en más de una capa de activos. </li></ul><ul><li>Fortalecer el marco normativo y la concientización. </li></ul><ul><li>Considerar la creación, preservación y control de evidencias. </li></ul>Personas, identidades y accesos Datos/Información Aplicaciones/procesos Plataformas, redes, infraestructura Infraestructura física
  18. 18. Innovando en la colaboración <ul><li>Implementación de la seguridad en diferentes fases de la operación con objetivos complementarios: Prevención, Detección y Corrección. </li></ul>RIESGO Prevención Detección Corrección
  19. 19. Innovando en la colaboración <ul><li>Implantación de controles de seguridad. </li></ul>Requerimiento de la Ley <ul><li>Bloqueo de datos. </li></ul><ul><li>Disociación de datos. </li></ul><ul><li>Obtención de datos. </li></ul><ul><li>Cancelación de datos. </li></ul><ul><li>Resguardo de datos. </li></ul><ul><li>Transmisión de datos. </li></ul><ul><li>Almacenamiento de datos. </li></ul><ul><li>Control de las vulnerabilidades. </li></ul><ul><li>Control actividades para derechos ARCO. </li></ul>
  20. 20. Innovando en la colaboración <ul><li>La seguridad de la información integra las características naturales de calidad en los servicios/productos para los clientes. </li></ul>Servicios de Negocio PR1 PR2 PR3 PR “N” Servicio de Seguridad de la Información Procesos de Negocio Governance Corporativo
  21. 21. Consideraciones finales
  22. 22. Consideraciones finales <ul><li>Evitar el falso sentido de la seguridad y el nada va a pasar . </li></ul>¿ ?
  23. 23. Consideraciones finales <ul><li>Terminar la búsqueda de la «llave mágica» de la protección de datos personales. </li></ul>
  24. 24. Consideraciones finales <ul><li>Consolidemos el alcance organizacional de la seguridad de la información. </li></ul><ul><ul><li>“ Una política firmada no garantiza su aplicación.” </li></ul></ul><ul><ul><li>“ Un indicador bajo de incidentes, no significa que estemos seguros.” </li></ul></ul>
  25. 25. Consideraciones finales <ul><li>La seguridad es un proceso… seguiremos teniendo costos altos, impactos ignorados y cierto nivel de “inseguridad”. </li></ul>
  26. 26. Consideraciones finales <ul><li>No sirve de nada llenarse de miedo ante los diferentes requerimientos de la Ley. </li></ul>¡¡pero hay que informarnos!!
  27. 27. Consideraciones finales <ul><li>La protección asertiva de los datos personales no requiere renovar toda la tecnología, sino definir como obtener el mayor beneficio. </li></ul><ul><li>Las soluciones específicas para un problema actual, requerirá esfuerzos posteriores para su integración al esquema operativo. </li></ul>
  28. 28. Consideraciones finales <ul><li>Lograr el cumplimiento de la Ley sin identificar el nivel de seguridad aceptado por la organización no agrega valor. </li></ul>¿ ? El cumplimiento de la Ley debe ser una muestra natural del éxito de la gestión de seguridad de la información en la organización.
  29. 29. ¿¿Preguntas??
  30. 30. Gracias. Roque C. Juárez, CISSP, CISA, CISM, ISO 27001 LA [email_address] Consultor de Seguridad de la Información

×