Embed Size (px)
DESCRIPTION
Presentación del CISO de CajaMadrid, Miguel Ángel Navarrete, basada en su experiencia aplicando ISM3
Citation preview
La mejora continua de La mejora continua de los controles de los controles de seguridad: un juego a seguridad: un juego a varias bandasvarias bandas
MadridMadrid21 de abril de 200921 de abril de 2009
SECURMATICASECURMATICA XX Congreso español XX Congreso español
de Seguridad de la de Seguridad de la InformaciónInformación
Miguel Angel NavarreteMiguel Angel Navarrete
La mejora Continua … … a varias bandas
Buenos y malos
¿Dónde están los límites?
Lo que no cuesta, no vale
La mejora Continua … … a varias bandas
Mantener adecuadamente el nivel de protección cada vez es más complejo … y, a la vez, más apasionante.
• El perímetro tiende a no existir.• Los mecanismos clásicos de defensa están en
discusión. • La seguridad se mueve hacia el dato. • La balanza se inclina hacia las acciones de
seguimiento y respuesta. • Los sistemas de confianza entre empresas
incrementan su importancia.• Las cosas no son lo que parecen. ¿Sabes quien te
ataca?
Estos son algunos aspectos que determinarán la seguridad del futuro. Si es así, debemos trabajar para resolverlos, pero,
¿SABEMOS COMO?
Además de mantener el nivel de protección adecuadamente (el de hoy y el de mañana) el mercado exige cada vez más a la seguridad:
• Mejorar la calidad de servicio.• Reducir costes.• Disponer de los conocimientos de
negocio y tecnológicos que sean precisos.• Ser ágil gestionando los recursos y
mitigando riesgos.
Estos son algunos aspectos claves de éxito para cualquier organización. Por tanto, debemos trabajar para conseguirlos, pero,
¿SABEMOS COMO?
La mejora Continua … … a varias bandas
¿Dónde están los límites?
Lo que no cuesta, no vale
¿Sabemos como?. Mi opinión
Lo primero es conocer claramente el escenario en el que te mueves:
¿Quiénes son los actores que intervienen y en que medida participan en la mejora de los controles de seguridad? ¿Conoces a “los buenos” y a “los malos”? ¿Cómo ayudan unos y otros a la mejora continua? ¿Qué significa que un control sea mejor? ¿Qué hay que hacer para mejorar? ¿Cómo podemos medir como de buenos somos? ¿Hasta que punto nos ayuda en la mejora continua un análisis de riesgos? ¿Son los controles que tienes los que el negocio necesita?
La mejora Continua … … a varias bandas
Lo que no cuesta, no vale
Lo que no cuesta, no vale
La mejora Continua … … a varias bandas
Lo segundo es identificar el escenario en el que te vas a mover. ¿Que es la seguridad 2.0?:
•Aquella que se desarrolla en un entorno desperimetrado, colaborativo y focalizado en el dato.•Donde la seguridad se entiende como un servicio a la organización que ayuda al cumplimiento de objetivos de negocio. •Que abandona el foco exclusivo en la auditoria y adopta prácticas de gestión de calidad avanzadas. •Que promueve la integración tanto con la gestión de IT como con seguridad física y la seguridad en el puesto de trabajo.
¿Sabemos como?. Mi opinión
Lo que no cuesta, no vale
Responder a estas y otras cuestiones nos ayudará a configurar el paquete de soluciones que precisaremos para trabajar en ese nuevo escenario de la SEGURIDAD 2.0
Yo tengo algunas ideas. Me gustará compartirlas con vosotros y conocer vuestra opinión.
La mejora Continua … … a varias bandas
¿Sabemos como?. Mi opinión
La mejora Continua … … a varias bandas
Lo que no cuesta, no vale
Algunas ideas más
¿Qué hay que hacer para mejorar continuamente?Auditar con más frecuencia •Revisar periódicamente el análisis de riesgos •Medir los resultados y tomar decisiones que conduzcan a mejorarlos
Medir los resultados y tomar acciones de mejora.•El límite de mejora de la auditoria es “Es conforme” •Un análisis de riesgos podría diagnosticar si mejoramos o no, pero no nos indica como hacerlo.
La mejora Continua … … a varias bandas
Lo que no cuesta, no vale
Algunas ideas más
¿Qué significa que un control sea mejor?
1.Que cueste menos2.Que tenga menos falsos
positivos3.Que sea más útil
Aunque pueden ser ciertas todas, la más cierta es la 3.
•No sirve de mucho que algo sea más barato si no produce valor.
•Tampoco sirve de mucho que sea más preciso.
La mejora Continua … … a varias bandas
Lo que no cuesta, no vale
Algunas ideas más
Incluir opiniones sobre respuestas a las preguntas que no vayan a ser luego tratadas. (Por ejemplo, sobre mejora de controles, el negocio,…)
Lo que no cuesta, no vale
La pregunta es…
La mejora Continua … … a varias bandas
Pregunta 1: Una cosa es que los controles que tenemos sean buenos e incluso los mejores y otra que sean los que el negocio necesita ¿Cómo es posible mejorar este encaje?
1.Convenciendo al negocio que la confidencialidad, integridad y disponibilidad son esenciales
2.Asumir que las prioridades de seguridad son garantizar el cumplimiento de las prioridades del negocio.
3.Analizar en detalle como el cumplimiento de objetivos de seguridad contribuyen al cumplimiento de los objetivos del negocio
MI opinión es …
Lo que no cuesta, no vale
La mejora Continua … … a varias bandas
Analizar en detalle como el cumplimiento de objetivos de seguridad contribuyen al cumplimiento de los objetivos del negocio
1.No tenemos que convencer, tenemos que convencernos de que el negocio es lo que importa.
2.Asumir no es suficiente, tenemos que analizar el valor que aportamos.
Lo que no cuesta, no vale
Tu opinión es …
La mejora Continua … … a varias bandas
Lo que no cuesta, no vale
La pregunta es…
La mejora Continua … … a varias bandas
Pregunta 2: ¿Cómo podemos medir como de buenos somos?
1.Por el número de inconformidades de la auditoria
2.Por el numero de incidentes evitados
3.Por el nivel de madurez de nuestros procesos
Lo que no cuesta, no vale
Mi opinión es …
La mejora Continua … … a varias bandas
Por el nivel de madurez de nuestros procesos.
1.Las inconformidades con un estándar o norma no diagnostican nuestra competencia, sólo nuestro cumplimiento.
2.Dependiendo de nuestro entorno, podemos sufrir muchos ataques seamos buenos o malos, luego no es el número de incidentes.
Lo que no cuesta, no vale
Tu opinión es …
La mejora Continua … … a varias bandas
La mejora Continua … … a varias bandas
La pregunta es …
Lo que no cuesta, no vale
Pregunta 3: ¿Hasta que punto nos ayuda en la mejora continua un análisis de riesgos?
1.No es posible la mejora continua sin análisis de riesgos
2.No sirve para nada 3.Es un indicador de cómo vamos
Lo que no cuesta, no vale
Tu opinión es …
La mejora Continua … … a varias bandas
Es un indicador de cómo vamos.
1.Mediante métricas (véase ISO9000 o Six Sigma) es posible la mejora sin análisis de riesgos.
2.Que no sirva para todo no quiere decir que no sirva para nada.
Los financieros han utilizado análisis de riesgo cuantitativo “Value at Risk”, desde hace quince años, y mirar donde estamos.
Resúmen
No te preguntes más si vas o no a trabajar en el escenario de la Seguridad 2.0, piensa que harás en ese caso y de ello, que te puede ser útil hoy.Y si crees que es posible, aplícalo ya. ¡Es tu turno!
La mejora Continua … … a varias bandas
20
GraciasGracias
MadridMadrid21 de abril de 200921 de abril de 2009
SECURMATICASECURMATICA XX Congreso español XX Congreso español
de Seguridad de la de Seguridad de la InformaciónInformación
La mejora Continua … … a varias bandas
