Presentación de Antonio Andrews, Senior Security Advisor Latam de HP , en el marco del V Summit País Digital 2017: Transformación Digital, realizado el 5 y 6 de septiembre 2017
3. El riesgo es real, la
amenaza está aquí y tú
eres el blanco
4. 2 sencillas preguntas...
1. ¿Cómo está la seguridad de nuestra
información en este momento?
2. ¿Cómo se mide la seguridad de la
información?
5. 2 sencillas preguntas...
1. ¿Cómo está la seguridad de nuestra
información en este momento?
2. ¿Cómo se mide la seguridad de la
información?
6. 1. ¿Cómo está la seguridad de tu
información en este momento?
a. Bien porque ya tenemos un Anti-virus y un Firewall.
b. Bien porque estamos gastando mucho dinero en TI.
c. Bien porque si acepto que no lo sé, puedo perder mi trabajo.
d. No lo sé. Para eso hay un equipo técnico. Le voy a preguntar.
7. Una organización con Arquitectura
Empresarial (EA) y Gestión de Riesgo (RM)
eficaz, tiene las siguientes virtudes:
1. Conciencia a nivel de alta dirección, acerca de la arquitectura
empresarial y la gestión de riesgos.
2. Tiene modelos claros de EA y RM, comprensibles para las
partes interesadas.
8. 2 sencillas preguntas...
1. ¿Cómo está la seguridad de nuestra
información en este momento?
2. ¿Cómo se mide la seguridad de la
información?
9. 1. ¿Cómo está la seguridad de nuestra
información en este momento?
2. ¿Cómo se mide la seguridad de la
información?
2 sencillas preguntas...
12. No existe otra inversión que ocupe tan
grande y creciente gasto y que
carezca de gestión, procesos y
medición.
13. Todos los servicios y
procesos deben
proveer valor medible
a los objetivos del
negocio.
14. Inversiones en Seguridad crecen
Gerentes y directores no ven los
beneficios.
No hay clara evidencia del valor
obtenido.
15. A este fenómeno se le conoce como el
“IT-Security Black Hole”
El hoyo negro de la seguridad en TI
16. Grandes cantidades de dinero entran.
Hoyos negros y abismos de la seguridad
No se obtiene a cambio
ningún beneficio tangible,
medible, mejorable y alineado
a la estrategia del negocio.
17. Hoyos negros y abismos de la seguridad
IT Security
Assessmet
Framework,
SGSI, Políticas
Risk Management
Seguridad
Proactiva y
Predictiva
1. La alta dirección no está ni
involucrada ni informada.
NO SABER
2. No se puede responder
“¿Cómo está la seguridad de
la información hoy?
3. Seguridad sinónimo de
soluciones tecnológicas.
4. Seguridad no es “Business
as usual”.
5. Personal no
capacitado.
SABER
+ ISO 27001
+ ISO 31000
+ OCTAVE
+ COBIT for Risk
+ NIST – Guide for conducting risk
assessment
+ NIST – Managing Information
Security Risk
+ ISACA – Risk IT Framework
+ OGC – M_o_R Framework
+ Risk IT Practitioner Guide
+ ISO 22301:2012 – BCP
+ ISO 24762 – DRP
+ NIST – Guidelines on Security
and privacy public cloud computing
HACER
MONITOREAR
Y
MANTENER
1. Seguridad alineada a los
objetivos de la empresa.
2. Valor agregado medible.
3. Métricas que proveen una
advertencia temprana.
4. Generación periódica de
evidencia.
5. Riesgo residual
20. Su red tiene más dispositivos conectados
de los que pensaba
21. RECOMENDACIONES
GENERALES EN SEGURIDAD
Integrar atributos de Seguridad en requisitos
básicos
Incorporar un CISO (Chief Information Security
Officer)
Brindar seguridad a la información donde quiera
que ésta se encuentre.
Implementar consultorías, auditorías, planes y
políticas de seguridad.
Actualizar sistemas operativos por última
versión existente.
Vivir la seguridad de la información como una
cultura corporativa.
Notas del editor
TAGLINE
En HP, el equipo de Marketing ha creado una campaña enfocada solo en seguridad
Este es un ejemplo de ello
Un salto a un mundo que esta en movimiento.
Un mundo en donde las decisiones no se toman en escritorios.
Un mundo en donde las relaciones y la colabaracion no se hace en ambientes cerrados, estáticos y rigidos.
Un mundo en donde nuestras Pymes necesitan tener la información necesaria en todo momento, todo lugar y desde cualquier dispositivo.
-Necesitamos tranformar a cada empleado en su propia oficina.