Este documento resume la evolución de los programas y enfoques de seguridad de la información. Comienza describiendo el tránsito de un enfoque reactivo y centrado en TI a uno proactivo orientado al negocio y la gestión del riesgo. Luego describe el cambio desde una visión fragmentada a un enfoque integrado y multidisciplinario de la seguridad. Finalmente, resalta la importancia de fijar objetivos claros y trabajar en equipo para lograr una madurez continua en la gestión de la seguridad.

1. Gianluca D’Antonio 2010 ©
Gianluca D’Antonio 2010

2. GRUPO FCC
• Topic 1
• Topic 2
Servicios ciudadanos
• More than 500 Companies, across more than 50 countries with 93.000 employes.
• Infrastructure, Construction, Enviromental Services, Cement, Energy, Real Estate
and Logistic.
Gianluca D’Antonio 2010 ©
© 2010 GIANLUCA D’ANTONIO

3. De la Seguridad a la Gestión del Riesgo
Enfoque abajo-arriba Visión arriba-abajo
Infraestructura TI Aplicaciones de Negocio
IT Reactiva Proactive info risk mgmt
Seguridad Blanco&Negro Seguridad contextual
Buenas Practicas Valor para el Negocio
CumplimientoRegulatorio Cumplimiento de politicas
Gianluca D’Antonio 2010 ©

4. De la microgestión a la Dirección Estratégica
Gianluca D’Antonio 2010 ©

5. De la Generación X a la Y
Buen negociador Buenas capacidades sociales
Leader influyente y adaptable Ético y atento a los detalles
Individual y egoísta Baja autoestima
Micro gestor Poco planificador y eficiente
Gianluca D’Antonio 2010 © c

6. De la Seguridad por áreas
Gianluca D’Antonio 2010 © Open Compliance & Ethics Group
Fuente:

7. A la Seguridad Integrada
ENFOQUE MULTIDISCIPLINAR
IT operations
ons Security & risk
• encryption • data handling policies
• backup
• technical enforcement
• data storage
• incident management
• storage
g
• forensics
management
anagement t
• data discovery
Executives • data classification HR
• toxic data spills • labeling • investigation
• ROI • disciplinary
action
Audit Information &
ormation
• entitlement reviews knowledge management
l d t Inside counsel
• assurance • eDiscovery • regulatory
• enterprise content management compliance
• knowledge taxonomies • discovery
• records management
• enterprise search
Gianluca D’Antonio 2010 ©

8. De los primeros pasos…
Madurez de los Programas de Seguridad: 2006
Feliz Fase de Fase Fase de
desconocimiento concienciación correctiva excelencia operativa
Madurez
5%
Conclusión de proyectos
de puesta al día Mejora continua
de procesos
Diseño de 15% Seguimiento tecnológico
la arquitectura y cambio en el negocio
50% Institución de
procedimientos
Desarrollo de
Nuevas políticas
Revisión del Inicio del programa
status quo estratégico
30%
(Re-) Establecimiento del
Equipo de seguridad TIC
Etapa
Nota: La distribución de la población representa el perfil de las grandes compañías del índice Global 2000
Gianluca D’Antonio 2010 ©

9. A la Madurez de los SGSI
Madurez de los Programas de Seguridad: 2009
Nonexistent Initial Developing Defined Managed Optimizing
Level of Program Maturity
0 1 2 3 4 5
Feliz Fase de Fase Fase de Presupuesto
desconocimiento concienciación correctiva excelencia operativa en Seguridad
<3% 4%-6% 7%-8 % 9%-10%
del % ppt IT
Relative Program Maturity
Conclude Catch-Up 10% 5%
Projects
Continuous
Design Process
Architecture Improvement
Track Technology and
30% 35% Business Change
Develop New
Policy Set Process
Review Status Quo Formalization
10% Composite
10% Initiate Strategic Program
Risk
(Re-)Establish Security Team
Nota: La distribución de la población representa el perfil de las grandes compañías del índice Global 2000
Gianluca D’Antonio 2010 ©

10. Del Soporte TI al Negocio
Creación de valor para el Negocio
Evolución de Negocio Habilitador
de Negocio
Presente
Control y eficiencia Gestión del Riesgo
Soporte de
Operaciones Seguridad IT
Capacidad de los servicios de Seguridad
Gianluca D’Antonio 2010 ©

11. De las Tareas a las Competencias
Gianluca D’Antonio 2010 ©

12. Hasta llegar a la Gestión
Integrada del Riesgo
Fuente: Open Compliance & Ethics Group
Gianluca D’Antonio 2010 ©

13. De las Contingencias a los Objetivos
No hay cambio sin objetivos claros y
M&M: Misión y mandato
compartidos
“Misión y mandato son el objetivo de una oficina de seguridad así
como el nivel adecuado de autoridad para alcanzarlo.”
Fuente: Ciso Soft Skills
Gianluca D’Antonio 2010 ©

14. Conociendo nuestros limites
Factores limitantes
Zona de
Presión
Políticas de
Seguridad d
Porfolio de
Roles &
proyectos de
Responsabilidades
seguridad
Programa de
Seguridad
Misión & Formación &
Mandato Concienciación
Plan
estratégico
Fuente: Ciso Soft Skills
Gianluca D’Antonio 2010 © c

15. Trabajando en equipo
Gianluca D’Antonio 2010 © c

16. ¡Lo conseguiremos!
Gianluca D’Antonio 2010 ©

17. Bibliografía
Food for Thought
Gianluca D’Antonio 2010 ©

18. VII Jornada Internacional
25 de mayo de 2010
Palacio de Congresos, Madrid
¡¡RESERVA LA FECHA EN TU AGENDA YA!!
Gianluca D’Antonio 2010 ©

19. FIN
GRACIAS
http://www.linkedin.com/in/dantoniogianluca
Gianluca D’Antonio 2010 ©