La importancia de la información y la tecnología relacionada sigue creciendo, y los líderes empresariales necesitan buena información para agudizar su visión y tomar decisiones comerciales acertadas, y esto deben asegurarlo a lo largo del tiempo. Por eso, la organización que desee conseguir un plan eficiente para garantizar la resiliencia en su negocio debe estar integrada y organizada a través de la concientización diaria, la capacitación periódica y por la generación de procesos de negocio y tecnológicos que hayan sido creados bajo un concepto de resiliencia.
¿El desafío? Establecer un proceso de continuidad y resiliencia que aporte un marco de gobierno de ciberseguridad y tecnológico, ayudando a minimizar y prevenir los ataques internos y externos como por ejemplo las violaciones de datos o actividades fraudulentas, que dejan a las organizaciones vulnerables a los riesgos de pérdida o exposición de su información.
CURSO DE INICIACIÓN Á ASTRONOMÍA: O noso lugar no universo
CIBERSEGURIDAD EN LA CONTINUIDAD DE NEGOCIO
1.
2. Fabián Descalzo
Director y DPO de BDO Argentina. Posee 30 años de experiencia en el área de
gestión e implementación de Gobierno de Seguridad de la Información,
Ciberseguridad, Gobierno de TI, Compliance y Auditoría de TI en Argentina y
Latinoamérica. Certificado LA27001, LA20000, LA22301, COBIT, ITIL
Miembro del:
Equipo docente TÜV Rheinland Argentina
Comité Directivo de ISACA Buenos Aires Chapter
Comité Directivo del “Cyber Security for Critical Assets LATAM” de Qatalys Global
Comité Científico del IEEE (Institute of Electrical and Electronics Engineers)
11. El ciberespacio es un
entorno complejo resultante
de la interacción de
personas, software y
servicios en Internet a través
de dispositivos tecnológicos
y redes conectadas a él.
12. La suma de pequeñas vulnerabilidades y debilidades
estructurales y de diseño dan como resultado un gran
problema de seguridad
Infraestructura
Software
Personas
Gestión
La infraestructura tecnológica de las principales soluciones se basa en
proveedores que se encuentran en la nube lo cual permite tener esa
flexibilidad en dosificar los recursos necesarios
13. Mitiga vulnerabilidades que surgen de las brechas entre los diferentes dominios de seguridad en el entorno del ciberespacio
17. Operativo y Cumplimiento
Administración ineficiente o fallas en la prestación de servicios
internos y externos
Débil seguridad de los datos y riesgos de privacidad
Riesgos en los procesos de servicio de TI y seguridad de la
información
Incapacidad de explotar y proteger activos (piratería y derechos de
propiedad intelectual)
Sistemas y procesos inadecuados para sustentar el negocio
Estratégico
Fallas del gobierno corporativo y control interno
Rechazo interno al marco regulatorio
Acciones legales o punitivas por falta de cumplimiento
al marco regulatorio
Incapacidad para atraer y retener conocimientos y
competencias durante la transición
18.
19.
20. Identificación de hitos de control de
ciberseguridad
Reforzar las necesidades de
documentación
Capacitar a personal técnico y usuarios
Establecer y enfatizar un rollback
planificado
Incluir la verificación de compliance antes
del pasaje a producción
Abordaje de la gestión de
incidentes a la protección de datos
y continuidad de servicios
Incluir controles a la gestión de
incidentes de servicios tercerizados
de IT
Planes de respuesta a incidentes
evaluados y adecuados al nuevo
entorno
Riesgos al entorno de diseño del
servicio y terceros
Mejora de los canales de
comunicación para informar riesgos
Incluir riesgos al usuario
21. PDCA Capítulos ISO22301
Gestión de
proyectos
Análisis de
riesgos y
revisiones
Análisis de
impacto
Estrategia de
recuperación
Desarrollo del
Plan
Ejercicios y
testeos
Gestión de
programas
Planificar
4 Contexto
5 Liderazgo
6 Planeamiento
7 Soporte
Hacer
8
Análisis de riesgo
BIA
Estrategias
Implementación
Testeos
Checkear 9 Evaluación
Actuar 10 Mejora continua
22.
23. Dimensión de seguridad
en el desarrollo
tecnológico
Detectar nuevas tecnologías
Identificar sus riesgos y oportunidades
Analizar su grado de madurez
Anticipar sus impactos
Gestionar estratégicamente su utilización.
24.
25.
26. Diseño de los
servicios y
productos
Gestión de
catálogo
Gestión de
niveles
Gestión de
proveedores
Gestión de
seguridad
Gestión de
capacidad
Gestión de
disponibilidad
Gestión de
continuidad
Conoce los planes
de capacidad
Depende de períodos
razonables de interrupción
para cada servicio y el impacto
al negocio
27.
28. Datos Sensibles
Falta de
gobernabilidad
Falta de
estandarización
Visión parcial sobre
la ciberseguridad
Análisis
de riesgos
Datos Personales
Datos de generación
Datos de fallas en redes de
protección
Datos de la red de energía
Datos de trazabilidad alimentaria
Nuevas
metodologías en
proyectos IT
29. DIRECCIÓN
Estrategia de negocios
Cumplimiento de regulaciones
Adopción de certificaciones
MANDOS MEDIOS
Cumplimiento de los objetivos
Promover proyectos de negocio
Garantizar la comunicación interna
Proveer los medios para
cumplimiento de los objetivos
Investigar para la innovación
Apoyar tecnológicamente los
proyectos de negocio
Conciencia sobre los datos
Conocimiento del empleo de la
tecnología
Cumplimiento de las normas internas
y externas
30. Robo de identidad, Robo económico, Perjuicio a imagen personal,
Riesgo crediticio, Complicaciones judiciales o regulatorias
ESTRATEGIAS
COMUNICACIÓN Y
AUTENTICACIÓN
SEGURA
CONCIENTIZACIÓN A
USUARIOS y
CLASIFICACIÓN DE
INFORMACIÓN
RESPUESTA A
INCIDENTES DE
SEGURIDAD DE LA
INFORMACIÓN
CONTROLES
ADICIONALES EN
CONTINGENCIA
31. GESTIÓN DE INCIDENTES
Planes de respuesta ante incidentes
GESTIÓN DE CONTINUIDAD
Planes de Continuidad
Ransomware y
malware
Robo de datos
personales
Robo de
información
comercial
Ataque a
medios digitales
Plan de
continuidad de
negocios (BCP)
Plan de
continuidad de
servicios
tecnológicos (DRP)