Juan Miguel Pulpillo, Alianza Agencia Escrow-Ingenia, en su intervención en la mesa redonda "Ciberseguridad 4.0", durante la III Jornada de Ciberseguridad en Andalucía, realizada el pasado 14 de junio en Sevilla
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
1. MESA REDONDA:
CIBERSEGURIDAD 4.0
TOCA CAMBIO DE
PARADIGMA Y LA DISRUPCIÓN
EN EL GOBIERNO DE ADMONES
PCAS Y EMPRESAS
Sevilla 14/06/2016
Juan M Pulpillo
Abogado Auditor de Entornos
Tecnológicos y GRC
Vicepresidente y COO Agencia Escrow
Alianza Agencia Escrow & Ingenia
III Jornada de Ciberseguridad en Andalucía. Ciberseguridad 4.0
2. Mesa redonda: Ciberseguridad 4.0
toca cambio de paradigma y la disrupción en
el Gobierno de Admones Pcas y Empresas
• El encuadre de la ciberseguridad. El mundo es digital y la información también. Los
activos intangibles
• ¿En ciberseguridad el tamaño no importa? Problemas
• Propiedad Vs Privacidad Vs Seguridad
• GRC en La Inteligencia 4.0, de los modelos a la realidad:
- Tres notas de Buen Gobierno.
- Cuatro notas de Gestión de Riesgos.
- Tres notas de Cumplimiento.
• La Cultura de Ciberinteligencia Vs Inteligencia 4.0
• Sevilla 14/06/2016
5. Encuadre
Una necesidad real
Todos los actores de la “nueva economía” coinciden en que es necesario un cambio
en el proceso productivo europeo actual para mejorar su competitividad, basado en
el I+D+i: innovación en productos, en procesos, en modelos de negocio, … y con
una orientación clara hacia la total digitalización de las empresas, con el
uso de las TIC.
La innovación constante genera conocimiento, que es la base de la
sostenibilidad y la competitividad… Todo en digital
¿Tiene sentido entonces recalcar ya el carácter digital?
Sevilla 14/06/2016
6. Encuadre
Una necesidad real
Industria 4.0 requiere un nuevo concepto: Inteligencia 4.0 (Inteligencia en el
Gobierno de AI) o Government Intelligence Continous Improvement
(Desarrollo Continuo del Gobierno de Inteligencia, GICI)
Sevilla 14/06/2016
Activos de
Mercado
Activos de DA
Activos de
Infraestructura
Activos
Humanos
AI
• Protección
• Seguridad jurídica
internacional
• Confidencialidad
• Secreto
7. Encuadre
Nuestra
Tendencia
1. Aumentar la capacidad de vigilancia y protección de los AI fuera y dentro de
manera proactiva.
2. Herramientas de Gobierno.
3. Políticas de Gobierno integradas y adaptadas: Políticas de seguridad integradas,
Políticas de cumplimiento integradas, Políticas de protección integradas y otras en
aproximación a los nuevos entornos tecnológicos.
4. Configuración Cultura restrictiva y controlada de seguridad de los AI
corporativos.
5. Empleo de soluciones confiables y certificadas.
6. Intercambio de información y colaboración (CERT…)
7. Análisis de Riesgos globales por procesos e integrados.
8. Análisis de Riesgos de Cumplimiento Normativo.
Sevilla 14/06/2016
9. ¿En ciberseguridad, el tamaño no importa?
Los elementos comunes a los nuevos entornos son:
• Servicios bajo demanda
• A través de redes de telecomunicaciones y con TI
como soporte
• Personas
• La Información + AI
Sevilla 14/06/2016
10. • Una valoración en profundidad de cinco “dominios de Industria 4.0”
puede guiar a las organizaciones hacia el Government Intelligence
Continous Improvement (Desarrollo Continuo del Gobierno de
Inteligencia) mejorando sistemáticamente el Gobierno del servicio,
el Gobierno de riesgos, el Gobierno de AI y el cumplimiento :
- Personas
- Datos + DA
- Aplicaciones
- Infraestructura
- Cumplimiento
Sevilla 14/06/2016
¿En ciberseguridad, el tamaño no importa?
11. Sevilla 14/06/2016
¿En ciberseguridad, el tamaño no importa?
Dispersión territorial Ataques
Dispersión en la regulación Ataques
Información + DA
Personas
Infraestructuras y aplicaciones
Servicios
Cumplimiento
Por motivos delictivos.
Por motivos personales.
Por motivos políticos.
Desconocimiento.
Por motivos delictivos.
Por motivos personales.
Por motivos políticos.
Desconocimiento.
Información + DA
Personas
Infraestructuras y aplicaciones
Servicios
Cumplimiento
12. Sevilla 14/06/2016
¿En ciberseguridad, el tamaño no importa?
Visión deficiente de la Seguridad
• Identificar activos / Identificar riesgos / tratar esos riesgos en base a metodologías y
marcos de control predefinidos VS Los riesgos externos y cambiantes.
• Nos centramos en lo local e implantamos tecnologías y procedimientos predecibles VS
Falta de visión global de los riesgos por procesos. El factor de exposición (Aspectos
psicológicos y de negocio)
• Los riesgos, dependerán de la tecnología, accesibilidad, criticidad de la información, y
otros muchos aspectos… el marco normativo.
Gestión Ciberseguridad VS GICI
14. Sevilla 14/06/2016
Ciberseguridad y SI. Gestión
Los errores más comunes:
• Creer que la empresa está 100% protegida.
• Creer que con solo una solución implementada se está 100% protegido y no
complementar las herramientas de seguridad con procesos documentados y equipo
entrenado.
• Trabajar con las probabilidades de que puede ocurrir un desastre.
• No asumir que lo importante no es sólo hacer el respaldo; es garantizar la
recuperación.
• No asumir que la continuidad de los negocios es una de las prioridades en
presupuesto de TI.
• Eso no me va a ocurrir a mi.
16. Sevilla 14/06/2016
GRC en GICI. De los modelos a la realidad
Tres notas de Buen Gobierno
Cultura y cambios.
Dotación presupuestaria.
GRC a todos los niveles.
De los modelos a la realidad
17. Sevilla 14/06/2016
GRC en GICI. De los modelos a la realidad
Cuatro notas de Gestión de Riesgos
Estrategia de ciberinteligencia Inteligencia 4.0. – la capacidad de
predecir, identificar y reaccionar de forma proactiva ante posibles
riesgos en procesos.
Detección temprana.
Protección de AI en varios niveles y varias líneas de defensa
interconectadas.
Control centralizado de las normas de Gobierno.
De los modelos a la realidad
18. Sevilla 14/06/2016
GRC en la ciberseguridad. De los modelos
a la realidad
Tres notas de Cumplimiento
Cultura y alcance.
Comunicación.
Mucho más que un tema penal. Cumplir estas normativas a menudo implica una
inversión de mucho tiempo y esfuerzo para priorizar problemas, desarrollar
políticas y controles adecuados y supervisar el cumplimiento.
De los modelos a la realidad
20. Ineficiencia e inconsistencias de la ciberseguridad como Gestión
•Las diferentes funciones ven los requerimientos, ambiente operativo,
riesgos y controles de manera diferente.
•Auditoría, cumplimiento, seguridad de la información, continuidad del
negocio, riesgos de TI y terceros usan un diferente proceso y
herramientas para producir los mismos resultados.
•Reportes inconsistentes de riesgos. Muchas veces el legal no reporta.
•Falta de habilidad/herramientas para realizar análisis de tendencias.
•Inconsistencia en métricas y criterios.
•Falta de indicadores, no existe un análisis predictivo.
Sevilla 14/06/2016
Cultura de Ciberinteligencia Vs Inteligencia
4.0 - GICI