III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
•
0 recomendaciones•314 vistas
Juan Miguel Pulpillo, Alianza Agencia Escrow-Ingenia, en su intervención en la mesa redonda "Ciberseguridad 4.0", durante la III Jornada de Ciberseguridad en Andalucía, realizada el pasado 14 de junio en Sevilla
Recomendados
Recomendados
Más contenido relacionado
La actualidad más candente
La actualidad más candente (20)
Destacado
Destacado (14)
Similar a III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
Similar a III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0 (20)
Más de Ingeniería e Integración Avanzadas (Ingenia)
Más de Ingeniería e Integración Avanzadas (Ingenia) (20)
Último
Último (20)
III Jornada de Ciberseguridad en Andalucía: Mesa redonda Ciberseguridad 4.0
- 1. MESA REDONDA: CIBERSEGURIDAD 4.0 TOCA CAMBIO DE PARADIGMA Y LA DISRUPCIÓN EN EL GOBIERNO DE ADMONES PCAS Y EMPRESAS Sevilla 14/06/2016 Juan M Pulpillo Abogado Auditor de Entornos Tecnológicos y GRC Vicepresidente y COO Agencia Escrow Alianza Agencia Escrow & Ingenia III Jornada de Ciberseguridad en Andalucía. Ciberseguridad 4.0
- 2. Mesa redonda: Ciberseguridad 4.0 toca cambio de paradigma y la disrupción en el Gobierno de Admones Pcas y Empresas • El encuadre de la ciberseguridad. El mundo es digital y la información también. Los activos intangibles • ¿En ciberseguridad el tamaño no importa? Problemas • Propiedad Vs Privacidad Vs Seguridad • GRC en La Inteligencia 4.0, de los modelos a la realidad: - Tres notas de Buen Gobierno. - Cuatro notas de Gestión de Riesgos. - Tres notas de Cumplimiento. • La Cultura de Ciberinteligencia Vs Inteligencia 4.0 • Sevilla 14/06/2016
- 3. Encuadre Sevilla 14/06/2016 En el entorno digital ¿hay algo permanente o todo está en continuo cambio? ¿qué protegemos? ¿sirven los modelos tradicionales de protección y reacción en el nuevo entorno? Entonces ¿por qué insistimos en utilizarlos? © Juan M Pulpillo 2016
- 4. Encuadre La realidad: ¿Cuál es la situación? ¿Qué efectos pueden producirse? Ciberamenazas Tendencias Marcos regulatorios Vs Responsabilidades IoT Cloud Dchos Inseg Desconocida Heartbleed… Sevilla 14/06/2016 © Juan M Pulpillo 2016 Big Data Inseg Conocida ¿Y el usuario interno? Comp Cuántica
- 5. Encuadre Una necesidad real Todos los actores de la “nueva economía” coinciden en que es necesario un cambio en el proceso productivo europeo actual para mejorar su competitividad, basado en el I+D+i: innovación en productos, en procesos, en modelos de negocio, … y con una orientación clara hacia la total digitalización de las empresas, con el uso de las TIC. La innovación constante genera conocimiento, que es la base de la sostenibilidad y la competitividad… Todo en digital ¿Tiene sentido entonces recalcar ya el carácter digital? Sevilla 14/06/2016
- 6. Encuadre Una necesidad real Industria 4.0 requiere un nuevo concepto: Inteligencia 4.0 (Inteligencia en el Gobierno de AI) o Government Intelligence Continous Improvement (Desarrollo Continuo del Gobierno de Inteligencia, GICI) Sevilla 14/06/2016 Activos de Mercado Activos de DA Activos de Infraestructura Activos Humanos AI • Protección • Seguridad jurídica internacional • Confidencialidad • Secreto
- 7. Encuadre Nuestra Tendencia 1. Aumentar la capacidad de vigilancia y protección de los AI fuera y dentro de manera proactiva. 2. Herramientas de Gobierno. 3. Políticas de Gobierno integradas y adaptadas: Políticas de seguridad integradas, Políticas de cumplimiento integradas, Políticas de protección integradas y otras en aproximación a los nuevos entornos tecnológicos. 4. Configuración Cultura restrictiva y controlada de seguridad de los AI corporativos. 5. Empleo de soluciones confiables y certificadas. 6. Intercambio de información y colaboración (CERT…) 7. Análisis de Riesgos globales por procesos e integrados. 8. Análisis de Riesgos de Cumplimiento Normativo. Sevilla 14/06/2016
- 8. Sevilla 14/06/2016 ¿En ciberseguridad, el tamaño no importa?
- 9. ¿En ciberseguridad, el tamaño no importa? Los elementos comunes a los nuevos entornos son: • Servicios bajo demanda • A través de redes de telecomunicaciones y con TI como soporte • Personas • La Información + AI Sevilla 14/06/2016
- 10. • Una valoración en profundidad de cinco “dominios de Industria 4.0” puede guiar a las organizaciones hacia el Government Intelligence Continous Improvement (Desarrollo Continuo del Gobierno de Inteligencia) mejorando sistemáticamente el Gobierno del servicio, el Gobierno de riesgos, el Gobierno de AI y el cumplimiento : - Personas - Datos + DA - Aplicaciones - Infraestructura - Cumplimiento Sevilla 14/06/2016 ¿En ciberseguridad, el tamaño no importa?
- 11. Sevilla 14/06/2016 ¿En ciberseguridad, el tamaño no importa? Dispersión territorial Ataques Dispersión en la regulación Ataques Información + DA Personas Infraestructuras y aplicaciones Servicios Cumplimiento Por motivos delictivos. Por motivos personales. Por motivos políticos. Desconocimiento. Por motivos delictivos. Por motivos personales. Por motivos políticos. Desconocimiento. Información + DA Personas Infraestructuras y aplicaciones Servicios Cumplimiento
- 12. Sevilla 14/06/2016 ¿En ciberseguridad, el tamaño no importa? Visión deficiente de la Seguridad • Identificar activos / Identificar riesgos / tratar esos riesgos en base a metodologías y marcos de control predefinidos VS Los riesgos externos y cambiantes. • Nos centramos en lo local e implantamos tecnologías y procedimientos predecibles VS Falta de visión global de los riesgos por procesos. El factor de exposición (Aspectos psicológicos y de negocio) • Los riesgos, dependerán de la tecnología, accesibilidad, criticidad de la información, y otros muchos aspectos… el marco normativo. Gestión Ciberseguridad VS GICI
- 13. Sevilla 14/06/2016 Ciberseguridad y SI Ciberseguridad Seguridad de la Información Ciberseguridad (Gestión) SI (Gestión) © Juan M Pulpillo 2016 GICI (Gobierno)
- 14. Sevilla 14/06/2016 Ciberseguridad y SI. Gestión Los errores más comunes: • Creer que la empresa está 100% protegida. • Creer que con solo una solución implementada se está 100% protegido y no complementar las herramientas de seguridad con procesos documentados y equipo entrenado. • Trabajar con las probabilidades de que puede ocurrir un desastre. • No asumir que lo importante no es sólo hacer el respaldo; es garantizar la recuperación. • No asumir que la continuidad de los negocios es una de las prioridades en presupuesto de TI. • Eso no me va a ocurrir a mi.
- 15. Sevilla 14/06/2016 Ciberseguridad y SI, GobiernoPropiedadVsPrivacidadVsSeguridad
- 16. Sevilla 14/06/2016 GRC en GICI. De los modelos a la realidad Tres notas de Buen Gobierno Cultura y cambios. Dotación presupuestaria. GRC a todos los niveles. De los modelos a la realidad
- 17. Sevilla 14/06/2016 GRC en GICI. De los modelos a la realidad Cuatro notas de Gestión de Riesgos Estrategia de ciberinteligencia Inteligencia 4.0. – la capacidad de predecir, identificar y reaccionar de forma proactiva ante posibles riesgos en procesos. Detección temprana. Protección de AI en varios niveles y varias líneas de defensa interconectadas. Control centralizado de las normas de Gobierno. De los modelos a la realidad
- 18. Sevilla 14/06/2016 GRC en la ciberseguridad. De los modelos a la realidad Tres notas de Cumplimiento Cultura y alcance. Comunicación. Mucho más que un tema penal. Cumplir estas normativas a menudo implica una inversión de mucho tiempo y esfuerzo para priorizar problemas, desarrollar políticas y controles adecuados y supervisar el cumplimiento. De los modelos a la realidad
- 19. Los miembros de la Gerencia (CMO, CEO, CFO, CIO, CHRO y CCO) deberán adoptar tres importantes medidas para crear ciberinteligencia, o mejor dicho GICI: GERENCIA MEDIDAS OBJETIVO CMO,CEO,CFO,CIO,CHROy CCO(+DPO+Intelligence Manager) Mantenerse informados. Adoptar un enfoque estructurado para evaluar los riesgos para la empresa y para las TIC. Enfoque estructurado para evaluar los riesgos de la empresa y de la TI. Incluye la identificación de amenazas y normativas de cumplimiento clave, la revisión de los riesgos y retos de seguridad existentes, la implementación y aplicación de procesos de gestión de riesgos y marcos de control comunes y la ejecución de procesos de gestión de incidencias cuando se producen crisis. Trabajar conjuntamente. Implementar y aplicar la excelencia en seguridad en toda la empresa. Anticiparse de forma inteligente. Utilizar análisis para destacar los riesgos de forma activa e identificar, controlar y abordar amenazas. ©JuanMPulpillo2015 Sevilla 14/06/2016 GestiónG-R-C+Ciberinteligencia Cultura de Ciberinteligencia Vs GICI
- 20. Ineficiencia e inconsistencias de la ciberseguridad como Gestión •Las diferentes funciones ven los requerimientos, ambiente operativo, riesgos y controles de manera diferente. •Auditoría, cumplimiento, seguridad de la información, continuidad del negocio, riesgos de TI y terceros usan un diferente proceso y herramientas para producir los mismos resultados. •Reportes inconsistentes de riesgos. Muchas veces el legal no reporta. •Falta de habilidad/herramientas para realizar análisis de tendencias. •Inconsistencia en métricas y criterios. •Falta de indicadores, no existe un análisis predictivo. Sevilla 14/06/2016 Cultura de Ciberinteligencia Vs Inteligencia 4.0 - GICI
- 21. ERA INDUSTRIAL ECONOMÍA DEL CONOCIMIENTO Gestión del Conocimiento Medición Capital Intelectual ECONOMÍA DIGITAL Gestión de Activos Intangibles Multidimensionalidad Encuadre Sevilla 14/06/2016 Ciberamenazas Ciberseguridad © Juan M Pulpillo 2016
- 22. Sevilla 14/06/2016 Mentalización Cultura Concienciación Valoración Gobierno Confianza / Formalizar Cultura de Ciberinteligencia Vs Inteligencia 4.0 - GICI Compliance Protección / Escrow