Este documento presenta una sesión sobre la estimación del retorno de inversión en proyectos relacionados con la generación, administración y protección de la información. La agenda incluye objetivos, conceptos generales, tendencias, retos, justificación financiera, importancia de estimar el ROI y elementos para desarrollar un caso de negocio basado en ROI. También cubre temas como costos ocultos, proyecciones financieras, marco metodológico y estudios de caso.
1. Sesión # 311
Estimación del Retorno de Inversión en Proyectos
Relacionados con la Generación, Administración y
Protección de Información
Carlos Zamora, CISA, CISM / Conseti
Carlos Chalico, CISA, CISSP, CISM / Mancera Ernst & Young
2. 2
Agenda
• Objetivos de la sesión
• Revisión de conceptos generales.
• Tendencias.
• Identificación de retos.
• La brecha de seguridad.
• La justificación financiera de proyectos como parte de la estrategia
de negocio.
• La importancia de la estimación del retorno de la inversión en
proyectos de generación, administración y protección de
información.
• Las 7 Cs de la calidad en el contenido de un caso de negocio.
• Los roles del caso de negocio en la vida de un proyecto.
• Elementos que deben formar un caso de negocio.
• Marco de trabajo para definir un caso de negocio basado en ROI.
• Identificando costos ocultos e impactos colaterales.
3. 3
Agenda
• Proyección financiera estática y dinámica.
• Marco metodológico sugerido para estimar el ROI.
• Requerimientos y factores críticos de éxito.
• Caso práctico.
• El análisis de riesgos.
• La diferencia entre generación – administración y protección de la
información al estimar retornos de inversión.
• De la preocupación a la conciencia.
• Modelo de seguridad de la información.
• Riesgos de seguridad de la información = Riesgos de negocio.
• El análisis ROSI.
• Estimando el ROSI.
• Valor en riesgo.
• Caso práctico.
• Preguntas.
• Conclusiones.
4. 4
Objetivos de la Sesión
• Facilitar el entendimiento de los elementos mínimos con los que debe contar
la estimación del Retorno de Inversión en proyectos relacionados con la
generación, administración y protección de la información.
• Proporcionar elementos que faciliten el desarrollo de casos de negocio que
justifiquen la inversión en este tipo de proyectos.
• Revisar el papel que juega el análisis de riesgos en este tipo de proyectos y
analizar cómo marca una diferencia importante entre la protección de
información y la generación o administración de la misma.
• Al concluir la sesión, el participante identificará al análisis del retorno de
inversión en lo particular y al desarrollo de casos de negocio en lo general,
como vehículos indispensables en la generación de proyectos exitosos.
5. 5
Revisión de Conceptos
Generales
El grado en el que puedes expresar algo en números
representa el grado en el que realmente lo entiendes.
—William Thompson, “Lord Kelvin”
(1824–1907)
7. 7
Una realidad en las empresas ...
“En un 70% de las ocasiones, las organizaciones no ven
capitalizada su inversión en Tecnología de Información
con los beneficios esperados en el tiempo estimado,
impactando sus finanzas, operación y negocio en
general.”– www.intermanagers.com
Revisión de Conceptos
Generales
8. 8
• “De las empresas que sufren una avería a los 15 días de haber
sucedido un desastre, las estadísticas destacan que un 56% NUNCA
podrá reiniciar sus actividades, mientras que un 29% estará en riesgo
de cerrar sus operaciones en los siguientes dos años” – Information Systems
Control Journal
• “Sin la necesidad de cambiar máquinas o sustituir al personal, las
empresas pueden incrementar su competitividad hasta 100%, sólo
modificando algunos puntos clave en los que su productividad se vea
frenada sin tener que hacer costosas inversiones” – Bussiness Harvard Review
• “En México los directores de las empresas dedican el 70% de su
tiempo a labores de contexto y organización de sus áreas, en lugar de
preocuparse por elevar la competitividad de la compañía” – Mundo Ejecutivo
Revisión de Conceptos
Generales
9. 9
¿Nuestra estrategia ya
incorpora todas las
posibilidades de negocio que
las nuevas Tecnologías de la
Información nos habilitan?
Revisión de Conceptos
Generales
10. 10
• Justificar la viabilidad económica para la
asignación de Recursos Humanos y Financieros a
un proyecto de este tipo, como soporte a los
procesos de generación, administración y
protección de la información
• Proyección del flujo de inversión requerido para la
elaboración del presupuesto
Objetivo del estudio Costo - Beneficio
Revisión de Conceptos
Generales
11. 11
• El ROI de proyectos de generación,
administración y protección de la
información es un mecanismo de control
que forma parte de la Planeación
Estratégica, según las mejores prácticas de
Gobierno de TI
- PO5 (CoBIT) Managing IT Investment
IT GOVERNANCE INSTITUTE
Revisión de Conceptos
Generales
12. 12
• ¿Qué significa el término información?
– Datos organizados en una forma que es útil para las personas que la
reciben. La información es requerida por las personas para mejorar
su comprensión y lograr objetivos específicos*. La información es
usada para la toma de decisiones, es por ello que es considerada
uno de los activos más importantes.
• ¿Qué tipo de información existe?
– Documental.
– Cognoscitiva.
– Electrónica.
• ¿Qué es la seguridad de la información?
– Disciplina que tiene por objeto salvaguardar la confidencialidad,
integridad y disponibilidad de la información, en alineación con los
objetivos estratégicos del negocio al que sirve.
Seguridad Informática
*Fuente: Computers Today; Donald Sanders
Revisión de Conceptos
Generales
13. 13
• La conciencia en torno al tema de Seguridad de la Información
es baja.
• Son pocos los CEO o incluso CxO que se involucran.
• Generalmente sólo el CIO se relaciona.
• Se da enfoque unidimensional al concepto.
• Es poca la legislación que existe en Latinoamérica en torno a
este tema.
• La poca legislación que existe se conoce en bajo grado.
• Altos niveles de preocupación e indiferencia, pocos de
conciencia (este tema en particular se detallará al hablar de la
diapositiva 41, más adelante).
• Crece la brecha de seguridad.
• Existen conflictos en el entendimiento del concepto “Seguridad
de la Información”.
Tendencias
14. 14
• El principal rubro de inversión es la
tecnología (94%).
• 16% reporta a su consejo de dirección sobre
incidentes de seguridad de la información en
una base mensual.
• 19% mantiene completamente alineado su
modelo de seguridad de la información a la
estrategia de negocio.
• En América Latina sólo el 9% considera tener
un modelo de seguridad de clase mundial o
adecuado.
• La limitación presupuestal es el principal
obstáculo (60%).
• Sólo alrededor de un 20% calcula un retorno
de inversión.
• Menos de la mitad considera tener habilidades
para detectar un incidente o reaccionar a él.
Fuente: Encuesta Global de Seguridad de la Información. Ernst & Young 2003.
1400 Encuestados, 66 países, México incluido.
Tendencias
15. 15
• La necesidad por atender iniciativas de seguridad
crecerá a nivel global un 19.8% por año del 2004 a
2008.
• El crecimiento de regulaciones en el continente
americano aumentará la demanda de servicios de
seguridad de la información.
• Resaltará la importancia de comprender la Evaluación
de Riesgos.
• Las mejoras en la Seguridad Nacional de todos los
países requerirán mayores inversiones en seguridad de
la información.
Fuente: Key Forecast Assumptions for the Worldwide Security Services Market, 2004-2008 (IDC)
Tendencias
16. 16
• Se desarrollarán mejores herramientas para la medición
del retorno de la inversión, sin utilizar métricas
estandarizadas.
• Servicios proactivos, como los de administración de
actualizaciones de seguridad, pruebas de penetración /
aplicación y desarrollo de servicios, ayudarán a aliviar el
dolor sufrido por muchas organizaciones.
• La participación de los especialistas de seguridad se
realizará en etapas más tempranas del procesamiento de
datos (desarrollo, adquisición).
• El tema de control de acceso tomará más fuerza.
Fuente: Key Forecast Assumptions for the Worldwide Security Services Market, 2004-2008 (IDC)
Tendencias
17. 17
¿ qué quiero mejorar en mi organización ?
¿ qué procesos debo revisar para lograr esos objetivos ?
¿ qué soluciones tecnológicas requiero para habilitar mis
nuevos procesos ?
… las preguntas deben ser :
¿ qué beneficios me trae esa solución a mi organización ?
… y no simplemente:
Identificación de Retos
18. 18
Beneficios
esperados
Beneficios
planeados
En la Evaluación de una Solución Tecnológica, los beneficios
a considerar, no son los que cada una de las soluciones
tecnológicas evaluadas me pueda dar…….Son los que
nuestra estrategia nos exija.
Operativos Estratégicos
Cualitativos Cuantitativos
Identificación de Retos
19. 19
•Reducción de inventarios
• Reducción de reprocesos de información
• Simplificación de procesos operativos
(cobros, pedidos, etc.)
• Reducción de costos operativos
• Reducción de costos administrativos
• Análisis operativo y financiero de la empresa, en
tiempo real
• Soporte de decisiones: información real,
congruente y oportuna
• Mejor capacidad de respuesta al cliente
• Pronósticos más certeros
• Reducción del ciclo total de proceso
• Optimización de recursos escasos
• Habilitación de nuevos negocios
• Habilitación de nuevos canales
Operativos Estratégicos
Identificación de Retos
20. 20
• Aumento en inversión de tecnología de información en
general.
• Incremento en el uso de nuevas tecnologías en lo
particular (dispositivos inalámbricos).
• Ausencia de la función de seguridad de la información en
múltiples organizaciones.
• Falta de participación de los CxO en el tema
• Falta de participación de la función de seguridad de la
información en las etapas tempranas de adquisición e
implantación de soluciones de manejo de información.
• Traducción de los riesgos derivados del manejo de
información en riesgos de negocio.
Identificación de Retos
21. 21
La Brecha de SeguridadInversiónTotal
Alto
Bajo
1990’s 2000’sTiempo
Brecha de Seguridad
Sistemas de Información
Seguridad de la Información
22. 22
La Justificación Financiera de Proyectos
como Parte de la Estrategia de Negocio
Planeación
estratégica
Análisis de
procesos
Administración
de proyectos
Dirección e
infraestructura
Sistemase
infraestructura
tecnológica
Desempeño y
Logros
Evaluación
Administrar (tecnología de) Información
Estrategia de
negocio
Implantación
Desem
peño
y
Logros
Desempeñoy
Logros
Requerimientos
de TI
Evaluación
Evaluación de
proyectos
ADMINISTRACIÓN DE RIESGOS
23. 23
• Basada en un análisis de costos y oportunidades
otorga certidumbre a los accionistas
• Compromete a la Administración y dueños de
procesos con los Resultados proyectados
• Basada en un análisis de Riesgos es una
herramienta que reduce la probabilidad de
fracaso de la inversión
• Es un elemento que forma parte de la Estrategia
de Administración de la organización
La Importancia de la Estimación del
Retorno de la Inversión.
24. 24
• Requiere de una especificación y análisis de Factibilidad
que contribuye a alinear a la estrategia de negocio y a
la estrategia tecnológica
• Genera “sinergia” y “compromiso” con los equipos
de trabajo (Procesos y Tecnología)
• Considera los escenarios futuros y los factores críticos
de éxito para conseguir los resultados esperados
• Es un ejercicio que facilita el “aprendizaje” y colabora
con el ciclo de madurez de la organización
La Importancia de la Estimación del
Retorno de la Inversión.
25. 25
Las 7 Cs de la Calidad en el Contenido *
• Correcto alineamiento con la decisión.
• Concentración en todos los participantes de la
decisión y reflejo en el criterio de decisión.
• Completo análisis de todas las áreas de valor.
• Conexión con los objetivos de negocio.
• Credibilidad de análisis.
• Conciencia de expresión.
• Compendio de sucesos de éxito.
*Fuente: Making Technology Investments Profitable; Jack Keen, Bonnie Digrius
26. 26
Los Roles del Caso de Negocio en la
Vida de un Proyecto
• Durante el Fondeo.
– “Imán” de Dinero.
• Durante la Implantación.
– Convencedor de Audiencias.
– Timón.
– Porrista.
– Recordatorio de Ejecutivos.
• Durante la Vida Operacional.
– Medidor del progreso en la entrega de valor.
*Fuente: Making Technology Investments Profitable; Jack Keen, Bonnie Digrius
27. 27
Procesos
duplicados y repetitivos
Problemas de
acceso y disponibilidad de
información
Procesos
que pueden automatizarse
Cuantificar beneficios
operativos y estratégicos
Elementos que Deben
Formar un Caso de Negocio
Identificar
29. 29
Requerimientos
de Negocio
Recursos de
TI
Procesos
de TI
Planeación
AnálisisdelaestrategiaOrganizacional
EstablecimientodeAgendayPresupuestode
Proyectos
Integración,delRFP,Estrategiay
procedimiento
decontroldeAdquisicióndelT.I.
Equipos de Trabajo
■ AREA DE SISTEMAS
■ FINANZAS
■ AREAS DE NEGOCIO
Aplicación de Normas, Políticas y Procedimientos
Marco de Trabajo para Definir un Caso
de Negocio Basado en ROI
30. 30
Identificando Costos Ocultos
e Impactos Colaterales
•Curva de Aprendizaje
• Costos de Capacitación continua
• Soporte consultivo adicional
• Impacto en las Capacidades de la
Infraestructura (Hardware, Software,
Comunicaciones)
• Impacto en el Soporte técnico y de
Servicios después de la implantación
• Administración del Cambio
• Mantenimiento de la Tecnología
•Cultura organizacional
• Esquemas de Operación y Colaboración
• Seguridad de la Información
• Esquema en la toma de decisiones
• Relaciones con clientes y proveedores
• Aprendizaje organizacional
• Cambios en el Control Interno y procesos
• Habilitación de nuevas políticas y
procedimientos
• Seguridad
Costos Ocultos Impactos Colaterales
31. 31
Marco Metodológico sugerido
para Estimar el ROI
PROCESO DE ADMINISTRACION DEL PROYECTO
ANALISIS Y EVALUACIÓN DE RIESGOS
ANALISIS DE
REQUERIMIENTOS
DE NEGOCIO
DETERMINAR
BENEFICIOS
ESPERADOS
PROYECCIÓN
DE ESCENARIOS
Y ANÁLISIS DE
RIESGOS
ESTUDIO DE
COSTOS Y
PLANEACION
DE
LA CAPACIDAD
ESTIMACIÓN
FINANCIERA
ESTÁTICA Y
DINÁMICA
VALIDACIÓN
DE
RESULTADOS Y
ESTRATEGIA
VALIDACIÓN Y SOPORTE ESTRATÉGICO A LAS PROYECCIONES DEL PROYECTO
“...Recordar que es un ejercicio de estimación y proyección
de escenarios operativos y de proceso con una fuerte carga
de subjetividad, conforme madure la práctica, los resultados
del ejercicio tendrán mayor certidumbre..”
32. 32
Proyección Financiera
Estática y Dinámica
Proyección Estática
• Suma de la Cuantificación de
Beneficios por periodo
establecido para el proyecto.
• Determinación del Periodo de
desarrollo e implantación del
proyecto para puesta en marcha
• Comparativo entre la Inversión Total del
Proyecto y el Beneficio cuantificado hacia
el proyecto
Inversión Total del Proyecto
Sumatoria de beneficios cuantificados en el
Periodo Determinado
Proyección Dinámica
• Considera el desarrollo del análisis
costo-beneficio en el tiempo.
• Se proyectan los flujos de la inversión y
los flujos de los beneficios del proyecto.
• Se considera el Valor Futuro y el Valor
Presente Neto del Dinero de acuerdo a la
inflación
• Considera la Tasa Interna de Retorno
(TIR)
• Se proyecta el flujo financiero de
acuerdo a un periodo de tiempo
(Semanas, Meses, Años).
33. 33
Proyección Estática Proyección Dinámica
ROI Dólar = 9.52426431
Proyecciónestática ennúmerogruesos:
Opción 1
Inversión 944,191
Recuperación anual 1,127,407 ROI en años = 0.8375
Opción 2
Inversión 961,087
Recuperación anual 1,127,407 ROI en años = 0.8525
Opción 3
Inversión 1,608,563
Recuperación anual 1,127,407 ROI en años = 1.4268
➲ Valor Presente Neto $ 2,204,000
➲ Tasa Intera de Retorno 48.23%
➲ Periodo de Recuperación 16 - 18 Meses
Inversión Inicial $ 4,024,134.096
0 1 2 3 4 5
$ 2,526,104
$ 5,098,208.52
Tiempo
Años
Proyección Financiera
Estática y Dinámica
34. 34
Requerimientos y Factores
Críticos de Éxito
Desarrollar siempre el ROI durante la fase de estudio de
factibilidad del Proyecto.
Involucrar siempre a las áreas de negocio, financiera y legal de
la organización.
Tener a la mano los presupuestos de operación del año anterior,
presente y futuro general de la organización y por área.
Realizar ejercicios dinámicos para identificar los beneficios
esperados del proyecto.
Cuantificar el impacto de los beneficios Vs los presupuestos de
operación por área y global
Involucrar siempre al área de R.H.
Realizar el análisis de Riesgos considerando los escenarios
35. 35
Validar la cuantificación de beneficios producto de la
implantación de T.I. Con las áreas de finanzas y de procesos
de acuerdo con sus registros financieros, involucrarlos al
momento de realizar las proyecciones de flujo.
Generar la validación de beneficios cualitativos y
cuantitativos por Dirección de área de Negocio.
Considerar siempre la política de adquisiciones y proyectos
de la empresa.
Considerar siempre la inversión en capacitación y soporte
externo.
Realizar sesiones de trabajo dinámicas para obtener mejores
resultados.
Requerimientos y Factores
Críticos de Éxito
40. 40
Disminución de
Riesgo
Reducción de Costos
Incremento de Ingresos
Aumento de Productividad
La Diferencia Entre Generación –
Administración y Protección de la
Información al estimar ROI
Generación –
Administración
de
Información
Protección de
Información
Vs.
41. 41
Análisis de Riesgos
De la Preocupación a la Conciencia
• No más FUD (Fear, Uncertainty and Doubt).
Preocupación Conciencia
Riesgo
Preocupación ConcienciaIndiferencia
Ignora los riesgos o considera
que no existen.
No tiene temor por las
amenazas que puedan existir
en el ambiente.
Definitivamente no hay
patrocinio, ni interés de la Alta
Dirección.
Ejecuta acciones aisladas y
reactivas.
Teme amenazas y posibles
vulnerabilidades, aunque no
conoce sus riesgos.
Carece de acciones
encaminadas a entender sus
riesgos
Sospecha que ha habido
incidentes, pero ignora el
impacto y recurrencia de los
mismos.
Puede no existir patrocinio de
la Alta Dirección.
El tema de seguridad de la
información forma parte de la
estrategia de negocio.
Existe un proceso continuo y
permanente de análisis de
riesgos y de acciones para
atenderlos
La seguridad está intrínseca en
el proceso de negocio.
Existe un claro patrocinio de la
Alta Dirección.
42. 42
Modelo de Seguridad de la
Información
Información Segura
Riesgo Administrado
Estándares Mínimos
Dependencia de la Tecnología
Impacto
AltaBaja
Alto
Bajo
Formal
Alcance Empresarial
Alineado Continuo
Proactivo
Validado
Periódico
Departamentalizado
Reactivo
Informal
Probado
Desarrollado Documentado
Responde
Programado
Independiente
Táctico
Integrado
43. 43
Riesgos de Información =
• ¿Qué pasaría si sus equipos de cómputo se detuvieran por
completo?
• ¿Se imagina con una base de datos en la que los valores de los
campos pudieran ser modificados sin que se requiriera de
ninguna autorización? ¿Cómo dirigiría una campaña de correo
directo con direcciones equivocadas? ¿Cómo mandar facturas y
estados de cuenta?
• ¿Qué pasaría si su competencia se adueñara del mercado
anticipándose a atacarlo ¡CON SUS PROPIAS
ESTRATEGIAS!?
• ¿Ha identificado la forma en la que su información puede y debe
protegerse desde el punto de vista legal?
44. 44
• ROSI. Return On Security Investment.
• Históricamente Sistemas de Información es un centro de costo, no de
ingresos.
• La seguridad de la información hereda esta visión
• La seguridad de la información se relaciona con el análisis de riesgos.
• El análisis de riesgos busca identificar amenazas y vulnerabilidades que un
activo o grupo de activos puede tener y mide sus probabilidades de
ocurrencia.
• La seguridad de la información buscará reducir el riesgo al mínimo, a través
de la definición de controles que representen valores menores a los
impactos producidos por la potencial ocurrencia de las amenazas, lo que se
relaciona directamente con el valor del propio activo, que se sustenta en su
criticidad para el negocio.
• El problema no es nuevo. 1882 Fire sprinklers.
• Investigaciones científicas Idaho University – Hummer (valuación de
ataques). @stake – Hoover (ingeniería de software).
El Análisis ROSI
45. 45
• Premisa:
– Mientras más temprano se involucre la seguridad en los procesos,
más bajo será el costo del modelo de seguridad de la información.
• Altermativas:
– No hacer nada, considerar al ROSI como inválido e ir por estrategia
de FUD.
– Colgar al proyecto de seguridad de otro que sí produzca un ingreso.
– Calcular el ROSI.
• Elementos clave:
– Activos (de información y digitales).
– Criticidad.
– Amenazas.
– Riesgos.
– Impacto.
El Análisis ROSI
46. 46
• Los Intangibles.
– Imagen.
– Confianza.
– Posicionamiento.
• El monto invertido no garantiza que se alcanzará un cierto
nivel de seguridad, pero implica acciones y movimiento.
• No existe una relación fija entre la inversión y el retorno.
• La adquisición de seguridad no es necesariamente un asunto
que se relacione con la imagen, en la mayoría de los casos
será un tema del que no se pueda o deba hablar.
Estimando el ROSI
47. 47
• Valor en Riesgo.
• Manejo de intangibles a la medida.
• El beneficio que debe esperarse principalmente de los
proyectos de seguridad de la información es la
reducción de riesgos, no el incremento en la
productividad, el aumento en los ingresos o la reducción
de costos.
• El monto invertido en la atención (preventiva, detectiva,
correctiva) de un incidente de seguridad, debe ser menor
al impacto causado por su ocurrencia.
Estimando el ROSI
48. 48
Beneficios
Costos
Año 1 Año 2 Año 3 Año 4 Año 5
CostoparalaEmpresa
Nivel de Inversión en Seguridad
CI
Curva de Costos
Tangibles
Curva de Costos
Totales
Valor de Riesgo
Reducido
Valor en Riesgo
ROI Tradicional Retorno Basado en Riesgos
Valor en Riesgo
49. 49
• Calcular el valor en riesgo.
• Estimar la ocurrencia de una amenaza.
• Evaluar el costo de propiedad.
• Calcular el valor de la reducción del riesgo.
Valor en Riesgo
50. 50
1. Identificar los objetivos y procesos de negocio.
2. Identificar los activos (de información y digitales) que los soportan.
3. Estimar el valor de los activos (VA) considerando elementos como costo
inicial, costo de mantenimiento, valor que representa para la Compañía y/o
valor que representa en el mercado para la competencia.
4. Identificar amenazas por activo.
5. Identificar vulnerabilidades y el factor de exposición (FE) por activo.
6. Determinar la tasa de ocurrencia anual (TOA) de cada vulnerabilidad por
activo.
7. Determinar la expectativa de pérdida simple (EPS) multiplicando VA por
FE (por amenaza por activo).
8. Determinar la expectativa de pérdida anual (EPA, también conocida como
valor en riesgo) multiplicando la TOA por la EPS (por amenaza por
activo).
Valor en Riesgo
51. 51
9. Priorizar activos por EPA.
10. Diseñar soluciones por activo atendiendo a la priorización realizada y
buscando alineamiento a la Política Directriz de Seguridad de la
Información.
11. Estimar reducción de la EPA por la adopción de las medidas de seguridad
(valor en riesgo reducido).
12. Estimar costo de soluciones considerando necesidades individuales y
generales.
13. Comparar costo de soluciones contra la diferencia que exista entre la EPA y
la EPA reducida de cada activo.
14. Estimar la recuperación de la inversión en función de la reducción de la
EPA por activo.
15. Priorizar la ejecución de soluciones.
16. Ejecutar plan.
17. Mantenerlo.
Valor en Riesgo
54. 54
Conclusiones
• El ROI de proyectos relacionados con la generación y
administración de la información es una herramienta de
estimación
• Es un factor de control interno de la organización
• Es un elemento que ayuda a reducir la incertidumbre
• Es una herramienta de trabajo necesaria para el ambiente
competitivo de los negocios en el siglo XXI
• Favorece a la madurez de las organizaciones
• Compromete a la Alta Dirección y Gerencias con los
resultados proyectados por ellos mismos ante los accionistas
• Es un ejercicio que favorece el “aprendizaje” y genera sinergia
entre los equipos de trabajo
55. 55
• La información es uno de los activos más importantes de cualquier
Compañía.
• La Seguridad de la Información es un tema de negocio (tecnología,
procesos, gente).
• La inversión en Seguridad de la Información debe ser realizada con un
enfoque de riesgos.
• La aceptación de la inversión relacionada con la Seguridad de la
Información requiere de casos de negocio adecuadamente preparados.
• Resulta de utilidad basar en prácticas líderes la definición del Modelo
de Seguridad.
• Es importante:
– Cerrar la Brecha de Seguridad.
– Pasar de la Preocupación a la Conciencia.
– Buscar la definición de un Modelo de Seguridad Maduro
Conclusiones
56. 56
Gracias
Carlos Zamora, CISA, CISM / Conseti
carlos.zamora@conseti.com.mx
Carlos Chalico, CISA, CISSP, CISM / Mancera Ernst & Young
carlos.chalico@mx.ey.com