SlideShare una empresa de Scribd logo

El nuevo director de seguridad

S
S2 Grupo · Security Art Work
Tecnología
1 de 25
EL NUEVO DIRECTOR DE SEGURIDAD Antonio Villalón Huerta Director de Seguridad S2 Grupo Fecha: 18 de diciembre de 2008 Ciclo de Charlas Técnicas 2008 -
Contenidos Antecedentes ● Convergencia. ● La figura del Director de Seguridad. ● El futuro. ● Un ejemplo: banca. ● Conclusiones. ● Para saber más... ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
Antecedentes La seguridad hace treinta años: – ¿Qué necesitábamos (necesitaban) proteger? – ¿Frente a quién o qué se necesitaba proteger? – ¿Cómo se protegía? – ¿Quién lo protegía? – ¿Qué requisitos de protección existían (de negocio, humanos, legales, tecnológicos...)? Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
Antecedentes La seguridad en la actualidad: – ¿Qué necesitamos proteger? – ¿Frente a quién o qué se necesita proteger? – ¿Cómo se protege? – ¿Quién lo protege? – ¿Qué requisitos de protección existen (de negocio, humanos, legales, tecnológicos...)? Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
Antecedentes El cambio... – Activos de valor: la información como activo crítico. – Amenazas. – Salvaguardas. – Skills necesarios para la protección. – Requisitos de protección: negocio, humanos, legales, tecnológicos... Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
Convergencia PROBLEMA: Visiones de seguridad aisladas entre sí (y todos ● sabemos aquello de “La seguridad es una cadena”...). CONVERGENCIA: Cooperación formal de las diferentes ● funciones de seguridad en una organización. IDEA: Debo proteger el negocio de forma global: un atacante ● (cualquier amenaza en general) nos dañará de la forma que le resulte más sencilla, sin importarle nuestra visión de la seguridad. Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
Convergencia La ruptura de las barreras Convergencia tecnológica. ● Convergencia de los proveedores. ● Convergencia de la comunidad de seguridad. ● Convergencia de las amenazas. ● Convergencia de la formación ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
Convergencia Razones para converger Expansión del ecosistema empresarial. ● Migración de los activos de valor. ● Factores tecnológicos. ● Cumplimiento. ● Factores económicos. ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
Convergencia Beneficios de la convergencia Alineación con el negocio. ● CSO como referencia única. ● Intercambio de información. ● Personal de seguridad versátil. ● Reducción de costes. ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
Convergencia Obstáculos a la convergencia Diferencias culturales. ● Áreas de trabajo diferentes. ● Pérdida de control. ● Factores políticos. ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
La figura del Director de Seguridad Situación oficial... Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP). ● Reconocimiento por Ministerio del Interior. ● Focalización en 3G (Guards, Guns & Gates). ● Definición clara de determinados perfiles (Jefe de Seguridad, ● Vigilante, Escolta, Guardia del campo...). ¿Qué sucede con la seguridad “no física”? ● – CSO vs. CISO. Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
La figura del Director de Seguridad Situación oficiosa... Si el riesgo es global... ¿por qué no la seguridad? ● ¿De quién es responsabilidad un intento de intrusión lógica? ● ¿Quién puede realizar una denuncia? ● Tendencia a unificar... en ocasiones. ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
La figura del Director de Seguridad Necesidades Aumento de las competencias en seguridad. ● Ampliación de la regulación. ● – Dejemos de focalizarnos en 3G. – Nueva figura del Director de Seguridad. – Resto de figuras contempladas en la LSP. Ampliación de la formación. ● – No sólo para Dirección de Seguridad. Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
La figura del Director de Seguridad Retos Adaptación a la nueva situación. ● Trabajo conjunto de todas las personas relacionadas con la ● protección del negocio. COOPERACIÓN. Gestión unificada y alineada con el negocio (¡como siempre!). ● Information sharing. ● Eficacia y eficiencia: máxima calidad al menor coste. ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
El futuro Nuevas amenazas = nuevos retos. ¿Qué opinábamos antes del 11-S? ● ¿Sabemos que la violación es en estos momentos el único ● delito que no se puede cometer a través de la tecnología? (el homicidio sí). ¿Por qué las FFCCSE deben hacer frente -cada día mas- a los ● delitos tecnológicos? ¿Qué hay de la guerra de señales, de información, ● electrónica...? ¿Cuánto vale un pendrive USB incautado a un terrorista? ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
El futuro Convergencia de la Seguridad. Todas las “visiones” son importantes... ● ...especialmente cuando se combinan amenazas. ● La seguridad es una cadena... ¿cuál es nuestro eslabón más ● débil? El mundo de la seguridad converge (incluso en España). ● – Ejemplos: RFID, control de accesos... Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
El futuro Gestión GLOBAL del riesgo para proteger el negocio. Dejemos de mirar hacia otro lado. ● Olvidemos los reinos de taifas y las diferencias entre nosotros ● (si las hay). Las “miniseguridades” no pueden permanecer separadas. ● Visión holística de la seguridad (y por tanto, del riesgo). ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
El futuro El nuevo Director de Seguridad Buen gestor (no un técnico multidisciplinar). ● ¿Cómo era aquello de “Los riesgos se gestionan, no se ● eliminan”? ¿Qué causa más impacto, un virus o una inundación? ● – Opinión del CISO. – Opinión del Director de Seguridad “clásico”. – Opinión del Director General. ¿De quién depende en nuestras organizaciones la seguridad ● TI? ¿Y la seguridad física?¿Y la seguridad legal? Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
Un ejemplo: banca Escenario 1978: Activos de valor: dinero, bienes inmuebles... (¡y personas!) ● Amenazas: atracos, descuideros, falsificación de moneda... ● Principal problema: ATRACOS. ● Dirección de Seguridad: perfil FFCCSE o militar. ● – Perfil ideal para combatir el principal problema de seguridad. Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
Un ejemplo: banca Escenario 2008: Activos de valor: 1978 + información, activos intangibles... ● Amenazas: 1978 + phishing, pharming, lazo libanés, ● microcámaras... Principal problema: ATRACOS NO. ● Dirección de Seguridad (ideal): perfil GESTOR del riesgo ● global. – Seguridad física. – Seguridad legal. – Seguridad NNCC. – Seguridad MMP. – Seguridad informática. – ... Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
Un ejemplo: banca Problemática La tecnología ha revolucionado el negocio. ● – Cajeros automáticos. • Autenticación biométrica, tarjetas, etc. – Banca por Internet. • Tarjetas de coordenadas, mensajes a móviles, etc. – ... La tecnología es un nuevo medio para los delincuentes. ● Los Directores de Seguridad DEBEN adaptarse a esta ● situación: protección GLOBAL ante amenazas globales. – Un ejemplo: mafias organizadas (phishing, atracos, lazos...). Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
Un ejemplo: banca Situación actual CSO único. ● – Gestión única de la seguridad en todos sus aspectos. CSO & CISO & ... ● – Gestión diferenciada (MMP, NNCC, física...) pero colaborativa. – Ejemplo: dependencia de un único mando. CSO vs. CISO vs. ... ● – Gestión diferenciada por completo. – Iniciativas independientes. – Relación esporádica, por ejemplo ante denuncias. Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
Conclusiones La seguridad ha cambiado radicalmente con los nuevos ● escenarios existentes en la actualidad. La convergencia de la seguridad motiva la protección GLOBAL ● del negocio. El Director de Seguridad debe saber adaptarse a estas nuevas ● situaciones para proteger adecuadamente a la organización. Si no nos adaptamos, seremos inseguros (¿o lo somos ya?). ● Preguntémonos por la situación de la seguridad en nuestras ● organizaciones... Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
Para saber más... Convergence of Enterprise Security Organization. Booz, Allen, ● Hamilton. The Alliance for Enterprise Security Risk Management. Noviembre, 2005. De cerca: el Director de Seguridad. Entrevista con Andrés ● Martín Ludeña, Director de Seguridad de Caixa Galicia. Belt Ibérica, S.A. http://www.belt.es/decerca/Andres_Martin/index.asp Chief Security Officer (CSO) Guideline. ASIS International, ● Enero 2004. Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
GRACIAS POR SU ATENCIÓN Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)

Recomendados

Nuevos Retos de Seguridad
Nuevos Retos de SeguridadNuevos Retos de Seguridad
Nuevos Retos de Seguridad
InternetNG DIT UPM
 
Funciones del director
Funciones del directorFunciones del director
Funciones del director
HotelMaster10
 
Convergencia de la Seguridad
Convergencia de la SeguridadConvergencia de la Seguridad
Convergencia de la Seguridad
S2 Grupo · Security Art Work
 
La Seguridad Y Su Importancia Para El Turismo Final
La Seguridad Y Su Importancia Para El Turismo FinalLa Seguridad Y Su Importancia Para El Turismo Final
La Seguridad Y Su Importancia Para El Turismo Final
guestef237da
 
La Seguridad Y Su Importancia Para El Turismo Final
La Seguridad Y Su Importancia Para El Turismo FinalLa Seguridad Y Su Importancia Para El Turismo Final
La Seguridad Y Su Importancia Para El Turismo Final
Lyda Durango
 
Protección de Infraestructuras Críticas
Protección de Infraestructuras CríticasProtección de Infraestructuras Críticas
Protección de Infraestructuras Críticas
S2 Grupo · Security Art Work
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Reuniones Networking TIC
 
Retos y amenazas de la seguridad nacional en el ciberespacio
Retos y amenazas de la seguridad nacional en el ciberespacioRetos y amenazas de la seguridad nacional en el ciberespacio
Retos y amenazas de la seguridad nacional en el ciberespacio
Pilar Santamaria
 

Recomendados

Nuevos Retos de Seguridad
Nuevos Retos de SeguridadNuevos Retos de Seguridad
Nuevos Retos de Seguridad
InternetNG DIT UPM
 
Funciones del director
Funciones del directorFunciones del director
Funciones del director
HotelMaster10
 
Convergencia de la Seguridad
Convergencia de la SeguridadConvergencia de la Seguridad
Convergencia de la Seguridad
S2 Grupo · Security Art Work
 
La Seguridad Y Su Importancia Para El Turismo Final
La Seguridad Y Su Importancia Para El Turismo FinalLa Seguridad Y Su Importancia Para El Turismo Final
La Seguridad Y Su Importancia Para El Turismo Final
guestef237da
 
La Seguridad Y Su Importancia Para El Turismo Final
La Seguridad Y Su Importancia Para El Turismo FinalLa Seguridad Y Su Importancia Para El Turismo Final
La Seguridad Y Su Importancia Para El Turismo Final
Lyda Durango
 
Protección de Infraestructuras Críticas
Protección de Infraestructuras CríticasProtección de Infraestructuras Críticas
Protección de Infraestructuras Críticas
S2 Grupo · Security Art Work
 
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad InformáticaCSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
CSIRT - Equipo de Respuesta a Incidentes de Seguridad Informática
Reuniones Networking TIC
 
Retos y amenazas de la seguridad nacional en el ciberespacio
Retos y amenazas de la seguridad nacional en el ciberespacioRetos y amenazas de la seguridad nacional en el ciberespacio
Retos y amenazas de la seguridad nacional en el ciberespacio
Pilar Santamaria
 
Los retos y desafíos de la ciberseguridad y ciberdefensa en el ámbito de la f...
Los retos y desafíos de la ciberseguridad y ciberdefensa en el ámbito de la f...Los retos y desafíos de la ciberseguridad y ciberdefensa en el ámbito de la f...
Los retos y desafíos de la ciberseguridad y ciberdefensa en el ámbito de la f...
In-Nova
 
CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)
CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)
CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)
CISObeat
 
Ciberseguridad en Ámerica Latina
Ciberseguridad en Ámerica LatinaCiberseguridad en Ámerica Latina
Ciberseguridad en Ámerica Latina
Ikusi Velatia
 
Ciber-terrorismo - Definición de políticas de seguridad para proteger infraes...
Ciber-terrorismo - Definición de políticas de seguridad para proteger infraes...Ciber-terrorismo - Definición de políticas de seguridad para proteger infraes...
Ciber-terrorismo - Definición de políticas de seguridad para proteger infraes...
Perox Underscore
 
Seguridad Informacion Pablo Romanos
Seguridad Informacion Pablo RomanosSeguridad Informacion Pablo Romanos
Seguridad Informacion Pablo Romanos
Pablo Romanos
 
Jordi Quesada
Jordi QuesadaJordi Quesada
Jordi Quesada
JSe
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
DianaForero38
 
Definición de políticas de seguridad para proteger infraestructuras críticas ...
Definición de políticas de seguridad para proteger infraestructuras críticas ...Definición de políticas de seguridad para proteger infraestructuras críticas ...
Definición de políticas de seguridad para proteger infraestructuras críticas ...
Pilar Santamaria
 
IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...
IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...
IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...
Ingeniería e Integración Avanzadas (Ingenia)
 
La filtración de datos es una amenaza para los inversores
La filtración de datos es una amenaza para los inversoresLa filtración de datos es una amenaza para los inversores
La filtración de datos es una amenaza para los inversores
Ivan Bedia García
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática
Daniel Pecos Martínez
 
ciberseguridad.pdf
ciberseguridad.pdfciberseguridad.pdf
ciberseguridad.pdf
ssuserb1a163
 
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitasTemas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
Planimedia
 
Cyberseguridad en entornos empresariales
Cyberseguridad en entornos empresarialesCyberseguridad en entornos empresariales
Cyberseguridad en entornos empresariales
CSUC - Consorci de Serveis Universitaris de Catalunya
 
CSE_Instructor_Materials_Chapter1.pdf
CSE_Instructor_Materials_Chapter1.pdfCSE_Instructor_Materials_Chapter1.pdf
CSE_Instructor_Materials_Chapter1.pdf
Darwinpillo
 
Clase 2-seguridad
Clase 2-seguridadClase 2-seguridad
Clase 2-seguridad
OSEROCA
 
Raul Riesco - Aproximación algorítmica al talento en ciberseguridad [rooted2019]
Raul Riesco - Aproximación algorítmica al talento en ciberseguridad [rooted2019]Raul Riesco - Aproximación algorítmica al talento en ciberseguridad [rooted2019]
Raul Riesco - Aproximación algorítmica al talento en ciberseguridad [rooted2019]
RootedCON
 
CLASE-1: INTRODUCCIÓN A LA SEGURIDAD
CLASE-1: INTRODUCCIÓN A LA SEGURIDADCLASE-1: INTRODUCCIÓN A LA SEGURIDAD
CLASE-1: INTRODUCCIÓN A LA SEGURIDAD
OSEROCA
 
ADA #2
ADA #2ADA #2
ADA #2
Patricio Eduardo
 
Oportunidades en Ciberseguridad.
Oportunidades en Ciberseguridad.Oportunidades en Ciberseguridad.
Oportunidades en Ciberseguridad.
Fernando Tricas García
 
LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15
S2 Grupo · Security Art Work
 
Hardening murcia lan party 2013
Hardening murcia lan party 2013Hardening murcia lan party 2013
Hardening murcia lan party 2013
S2 Grupo · Security Art Work
 

Más contenido relacionado

Similar a El nuevo director de seguridad

Ciber-terrorismo - Definición de políticas de seguridad para proteger infraes...
Ciber-terrorismo - Definición de políticas de seguridad para proteger infraes...Ciber-terrorismo - Definición de políticas de seguridad para proteger infraes...
Ciber-terrorismo - Definición de políticas de seguridad para proteger infraes...
Perox Underscore
 
Jordi Quesada
Jordi QuesadaJordi Quesada
Jordi Quesada
JSe
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática
Daniel Pecos Martínez
 
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitasTemas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
Planimedia
 

Similar a El nuevo director de seguridad (20)

Los retos y desafíos de la ciberseguridad y ciberdefensa en el ámbito de la f...
Los retos y desafíos de la ciberseguridad y ciberdefensa en el ámbito de la f...Los retos y desafíos de la ciberseguridad y ciberdefensa en el ámbito de la f...
Los retos y desafíos de la ciberseguridad y ciberdefensa en el ámbito de la f...
 
CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)
CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)
CISObeat | Lecciones Aprendidas Sobre la Gestión de Riesgos (ISACA Lima Chapter)
 
Ciberseguridad en Ámerica Latina
Ciberseguridad en Ámerica LatinaCiberseguridad en Ámerica Latina
Ciberseguridad en Ámerica Latina
 
Ciber-terrorismo - Definición de políticas de seguridad para proteger infraes...
Ciber-terrorismo - Definición de políticas de seguridad para proteger infraes...Ciber-terrorismo - Definición de políticas de seguridad para proteger infraes...
Ciber-terrorismo - Definición de políticas de seguridad para proteger infraes...
 
Seguridad Informacion Pablo Romanos
Seguridad Informacion Pablo RomanosSeguridad Informacion Pablo Romanos
Seguridad Informacion Pablo Romanos
 
Jordi Quesada
Jordi QuesadaJordi Quesada
Jordi Quesada
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Definición de políticas de seguridad para proteger infraestructuras críticas ...
Definición de políticas de seguridad para proteger infraestructuras críticas ...Definición de políticas de seguridad para proteger infraestructuras críticas ...
Definición de políticas de seguridad para proteger infraestructuras críticas ...
 
IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...
IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...
IV Jornadas de Ciberseguridad en Andalucía: Seguridad en industria, infraestu...
 
La filtración de datos es una amenaza para los inversores
La filtración de datos es una amenaza para los inversoresLa filtración de datos es una amenaza para los inversores
La filtración de datos es una amenaza para los inversores
 
Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática Tema 1 - Introducción a la Seguridad Informática
Tema 1 - Introducción a la Seguridad Informática
 
ciberseguridad.pdf
ciberseguridad.pdfciberseguridad.pdf
ciberseguridad.pdf
 
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitasTemas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
 
Cyberseguridad en entornos empresariales
Cyberseguridad en entornos empresarialesCyberseguridad en entornos empresariales
Cyberseguridad en entornos empresariales
 
CSE_Instructor_Materials_Chapter1.pdf
CSE_Instructor_Materials_Chapter1.pdfCSE_Instructor_Materials_Chapter1.pdf
CSE_Instructor_Materials_Chapter1.pdf
 
Clase 2-seguridad
Clase 2-seguridadClase 2-seguridad
Clase 2-seguridad
 
Raul Riesco - Aproximación algorítmica al talento en ciberseguridad [rooted2019]
Raul Riesco - Aproximación algorítmica al talento en ciberseguridad [rooted2019]Raul Riesco - Aproximación algorítmica al talento en ciberseguridad [rooted2019]
Raul Riesco - Aproximación algorítmica al talento en ciberseguridad [rooted2019]
 
CLASE-1: INTRODUCCIÓN A LA SEGURIDAD
CLASE-1: INTRODUCCIÓN A LA SEGURIDADCLASE-1: INTRODUCCIÓN A LA SEGURIDAD
CLASE-1: INTRODUCCIÓN A LA SEGURIDAD
 
ADA #2
ADA #2ADA #2
ADA #2
 
Oportunidades en Ciberseguridad.
Oportunidades en Ciberseguridad.Oportunidades en Ciberseguridad.
Oportunidades en Ciberseguridad.
 

Más de S2 Grupo · Security Art Work

Más de S2 Grupo · Security Art Work (8)

LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15LINE. Android e iOS - Presentación Ciberseg15
LINE. Android e iOS - Presentación Ciberseg15
 
Hardening murcia lan party 2013
Hardening murcia lan party 2013Hardening murcia lan party 2013
Hardening murcia lan party 2013
 
Facebook to whatsapp
Facebook to whatsappFacebook to whatsapp
Facebook to whatsapp
 
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlasIntroducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
Introducción a las vulnerabilidades Web: cómo detectarlas y evitarlas
 
Facebook to whatsapp
Facebook to whatsappFacebook to whatsapp
Facebook to whatsapp
 
Continuidad de Negocio (UNE 71599 / BS 25999)
Continuidad de Negocio (UNE 71599 / BS 25999)Continuidad de Negocio (UNE 71599 / BS 25999)
Continuidad de Negocio (UNE 71599 / BS 25999)
 
Seguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la NubeSeguridad dentro y fuera de la Nube
Seguridad dentro y fuera de la Nube
 
Gestión de Incidencias
Gestión de IncidenciasGestión de Incidencias
Gestión de Incidencias
 

Último

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
AnnimoUno1
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
FagnerLisboa3
 

Último (11)

pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdfRefrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
Refrigerador_Inverter_Samsung_Curso_y_Manual_de_Servicio_Español.pdf
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
Modulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdfModulo-Mini Cargador.................pdf
Modulo-Mini Cargador.................pdf
 
Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 

El nuevo director de seguridad

  • 1. EL NUEVO DIRECTOR DE SEGURIDAD Antonio Villalón Huerta Director de Seguridad S2 Grupo Fecha: 18 de diciembre de 2008 Ciclo de Charlas Técnicas 2008 -
  • 2. Contenidos Antecedentes ● Convergencia. ● La figura del Director de Seguridad. ● El futuro. ● Un ejemplo: banca. ● Conclusiones. ● Para saber más... ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 3. Antecedentes La seguridad hace treinta años: – ¿Qué necesitábamos (necesitaban) proteger? – ¿Frente a quién o qué se necesitaba proteger? – ¿Cómo se protegía? – ¿Quién lo protegía? – ¿Qué requisitos de protección existían (de negocio, humanos, legales, tecnológicos...)? Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 4. Antecedentes La seguridad en la actualidad: – ¿Qué necesitamos proteger? – ¿Frente a quién o qué se necesita proteger? – ¿Cómo se protege? – ¿Quién lo protege? – ¿Qué requisitos de protección existen (de negocio, humanos, legales, tecnológicos...)? Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 5. Antecedentes El cambio... – Activos de valor: la información como activo crítico. – Amenazas. – Salvaguardas. – Skills necesarios para la protección. – Requisitos de protección: negocio, humanos, legales, tecnológicos... Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 6. Convergencia PROBLEMA: Visiones de seguridad aisladas entre sí (y todos ● sabemos aquello de “La seguridad es una cadena”...). CONVERGENCIA: Cooperación formal de las diferentes ● funciones de seguridad en una organización. IDEA: Debo proteger el negocio de forma global: un atacante ● (cualquier amenaza en general) nos dañará de la forma que le resulte más sencilla, sin importarle nuestra visión de la seguridad. Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 7. Convergencia La ruptura de las barreras Convergencia tecnológica. ● Convergencia de los proveedores. ● Convergencia de la comunidad de seguridad. ● Convergencia de las amenazas. ● Convergencia de la formación ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 8. Convergencia Razones para converger Expansión del ecosistema empresarial. ● Migración de los activos de valor. ● Factores tecnológicos. ● Cumplimiento. ● Factores económicos. ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 9. Convergencia Beneficios de la convergencia Alineación con el negocio. ● CSO como referencia única. ● Intercambio de información. ● Personal de seguridad versátil. ● Reducción de costes. ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 10. Convergencia Obstáculos a la convergencia Diferencias culturales. ● Áreas de trabajo diferentes. ● Pérdida de control. ● Factores políticos. ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 11. La figura del Director de Seguridad Situación oficial... Ley 23/1992, de 30 de julio, de Seguridad Privada (LSP). ● Reconocimiento por Ministerio del Interior. ● Focalización en 3G (Guards, Guns & Gates). ● Definición clara de determinados perfiles (Jefe de Seguridad, ● Vigilante, Escolta, Guardia del campo...). ¿Qué sucede con la seguridad “no física”? ● – CSO vs. CISO. Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 12. La figura del Director de Seguridad Situación oficiosa... Si el riesgo es global... ¿por qué no la seguridad? ● ¿De quién es responsabilidad un intento de intrusión lógica? ● ¿Quién puede realizar una denuncia? ● Tendencia a unificar... en ocasiones. ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 13. La figura del Director de Seguridad Necesidades Aumento de las competencias en seguridad. ● Ampliación de la regulación. ● – Dejemos de focalizarnos en 3G. – Nueva figura del Director de Seguridad. – Resto de figuras contempladas en la LSP. Ampliación de la formación. ● – No sólo para Dirección de Seguridad. Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 14. La figura del Director de Seguridad Retos Adaptación a la nueva situación. ● Trabajo conjunto de todas las personas relacionadas con la ● protección del negocio. COOPERACIÓN. Gestión unificada y alineada con el negocio (¡como siempre!). ● Information sharing. ● Eficacia y eficiencia: máxima calidad al menor coste. ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 15. El futuro Nuevas amenazas = nuevos retos. ¿Qué opinábamos antes del 11-S? ● ¿Sabemos que la violación es en estos momentos el único ● delito que no se puede cometer a través de la tecnología? (el homicidio sí). ¿Por qué las FFCCSE deben hacer frente -cada día mas- a los ● delitos tecnológicos? ¿Qué hay de la guerra de señales, de información, ● electrónica...? ¿Cuánto vale un pendrive USB incautado a un terrorista? ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 16. El futuro Convergencia de la Seguridad. Todas las “visiones” son importantes... ● ...especialmente cuando se combinan amenazas. ● La seguridad es una cadena... ¿cuál es nuestro eslabón más ● débil? El mundo de la seguridad converge (incluso en España). ● – Ejemplos: RFID, control de accesos... Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 17. El futuro Gestión GLOBAL del riesgo para proteger el negocio. Dejemos de mirar hacia otro lado. ● Olvidemos los reinos de taifas y las diferencias entre nosotros ● (si las hay). Las “miniseguridades” no pueden permanecer separadas. ● Visión holística de la seguridad (y por tanto, del riesgo). ● Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 18. El futuro El nuevo Director de Seguridad Buen gestor (no un técnico multidisciplinar). ● ¿Cómo era aquello de “Los riesgos se gestionan, no se ● eliminan”? ¿Qué causa más impacto, un virus o una inundación? ● – Opinión del CISO. – Opinión del Director de Seguridad “clásico”. – Opinión del Director General. ¿De quién depende en nuestras organizaciones la seguridad ● TI? ¿Y la seguridad física?¿Y la seguridad legal? Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 19. Un ejemplo: banca Escenario 1978: Activos de valor: dinero, bienes inmuebles... (¡y personas!) ● Amenazas: atracos, descuideros, falsificación de moneda... ● Principal problema: ATRACOS. ● Dirección de Seguridad: perfil FFCCSE o militar. ● – Perfil ideal para combatir el principal problema de seguridad. Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 20. Un ejemplo: banca Escenario 2008: Activos de valor: 1978 + información, activos intangibles... ● Amenazas: 1978 + phishing, pharming, lazo libanés, ● microcámaras... Principal problema: ATRACOS NO. ● Dirección de Seguridad (ideal): perfil GESTOR del riesgo ● global. – Seguridad física. – Seguridad legal. – Seguridad NNCC. – Seguridad MMP. – Seguridad informática. – ... Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 21. Un ejemplo: banca Problemática La tecnología ha revolucionado el negocio. ● – Cajeros automáticos. • Autenticación biométrica, tarjetas, etc. – Banca por Internet. • Tarjetas de coordenadas, mensajes a móviles, etc. – ... La tecnología es un nuevo medio para los delincuentes. ● Los Directores de Seguridad DEBEN adaptarse a esta ● situación: protección GLOBAL ante amenazas globales. – Un ejemplo: mafias organizadas (phishing, atracos, lazos...). Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 22. Un ejemplo: banca Situación actual CSO único. ● – Gestión única de la seguridad en todos sus aspectos. CSO & CISO & ... ● – Gestión diferenciada (MMP, NNCC, física...) pero colaborativa. – Ejemplo: dependencia de un único mando. CSO vs. CISO vs. ... ● – Gestión diferenciada por completo. – Iniciativas independientes. – Relación esporádica, por ejemplo ante denuncias. Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 23. Conclusiones La seguridad ha cambiado radicalmente con los nuevos ● escenarios existentes en la actualidad. La convergencia de la seguridad motiva la protección GLOBAL ● del negocio. El Director de Seguridad debe saber adaptarse a estas nuevas ● situaciones para proteger adecuadamente a la organización. Si no nos adaptamos, seremos inseguros (¿o lo somos ya?). ● Preguntémonos por la situación de la seguridad en nuestras ● organizaciones... Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 24. Para saber más... Convergence of Enterprise Security Organization. Booz, Allen, ● Hamilton. The Alliance for Enterprise Security Risk Management. Noviembre, 2005. De cerca: el Director de Seguridad. Entrevista con Andrés ● Martín Ludeña, Director de Seguridad de Caixa Galicia. Belt Ibérica, S.A. http://www.belt.es/decerca/Andres_Martin/index.asp Chief Security Officer (CSO) Guideline. ASIS International, ● Enero 2004. Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)
  • 25. GRACIAS POR SU ATENCIÓN Ciclo de Charlas Técnicas ISACA-CV (18/12/2008)