¿Estrategia, Táctica u Operación?

¿Dónde debería estar la Ciberseguridad?

Wilmack Sánchez. MBA + CISSP

@CyberSecStrat

https://co.linkedin.com/in/wilmacksanchez

Atender necesidades del cliente

Digital es clave en el plan de

negocios

(66% de los CEOs) según IDC

1. Experiencias nuevas al

cliente

2. Nuevas fuentes de ingresos

3. Respuestas rápidas al

mercado

4. Cultura de la innovación.

5. Más Colaboración interna.

6. Más análisis de datos (Big

Data)

Solo TI

Hay Humanos

Sin interacción

humana

¿Técnicos tengan

más TICs?

¿Sello para mostrar?

¿Auditores satisfechos?

¿SatisfacerCliente Digital?

Habilitar Transformaciòn Digital en entornos inseguros

¿Cumplir una

norma?

ANTES de definir el proceso JUNTO a la definición

del proceso

DESPUÉS de definir el proceso

¿Puede ayudar

sin saber cómo

es y qué quiere

el proceso?

¿Puede volverse

un stopper de las

iniciativas de

negocio? ¿Puede dar valor

al proceso y

habilitar nuevos

escenarios?

¿Ciberseguridad

estándar? ¿Ciberseguridad

estándar?

¿Ciberseguridad

a la medida?

CONS

• Sin vista a objetivos corporativos

• Indiferente a los “tiempos” y capacidades

• Reactiva

PROs

• Mejores prácticas probadas

• Completitud funcional

A todo mundo le sirve… pero a nadie le luce

CONs • Requiere entender tiempos,

capacidades, cultura organizacional

• Requiere consultoria organizacional

• Arriesga a olvidar las mejores prácticas

PROs • Proactiva

• Orientada al resultado corporativo y no técnico

¡Siempre cuesta más!

¿Cómo compaginar

la estrategia de

transformación digital

corporativa con mi

modelo de

ciberseguridad?

¿Cuál es el conflicto actual?

Estrategia Corporativa

• Más clientes

• Más servicios

• Más relaciones

CiberSeguridad

• Menos accesos

• Menos permisos

• Menos conexiones

Estrategia

• ¿A dónde queremos ir?

• ¿Qué queremos ser y cuándo lo queremos lograr?

• ¿Qué queremos lograr y cómo lo mediremos?

Táctica

• ¿Cómo vamos a llegar a ese lugar?

• ¿Qué esfuerzos vamos a necesitar hacer y en qué orden?

Operación • ¿Cómo mantenemos el ritmo y rumbo fijado en el día a día?

Estrategia • Denme ideas…

Táctica

• Proyectos de inversión y gasto en infraestructura de ciberseguridad.

Operación

• Estándares de mejores prácticas en gestión de Ciberseguridad.

• Gestión de ataques y hallazgos de auditoría

Estrategia

• Tendencias de cibercrimen en escenarios futuros.

• Riesgos de ciberseguridad implícitos en objetivos.

Táctica

• Riesgos en procesos implementados

• Esfuerzos en ciberseguridad requeridos (TICs+Procesos+Cultura) en un horizonte de tiempo.

Operación

• Indicadores de comportamiento del riesgo, amenazas y ataques de ciberseguridad versus transformación digital

¿Cómo se ejecuta la estrategia?

ESTRATEGIA

• ¿Qué se quiere lograr?: Eficiencia, calidad , transparencia, oportunidad,…

TÁCTICA

• ¿De qué forma se logrará?: TICs + RR.HH + Procesos

OPERACIÓN

• ¿Cómo se usarán los recursos asignados?: Crear, modificar o retirar información, TICs, RR.HH o Procesos.

RESULTADOS ESPERADOS

• Información + TICs + RR.HH. + Procesos -> Ciudadanos

¿Cómo construye la ciberseguridad?

Identificar Vulnerabilidades &

Amenazas

Calificar Riesgos

Definir Acciones Correctivas & Preventivas

Ejecutar ACPs

Medir Riesgo Residual

¿Cómo construye la ciberseguridad?

Identificar Vulnerabilidades &

Amenazas

Calificar Riesgos

Definir Acciones Correctivas & Preventivas

Ejecutar ACPs

Medir Riesgo Residual

¿Cómo integrar los enfoques?

ESTRATEGIA

• ¿Qué se quiere lograr?

• ¿Qué riesgos se pueden identificar en los objetivos?

TÁCTICA

• ¿De qué forma se logrará?: TICs + RR.HH + Procesos

• ¿Qué riesgos minimizar y priorizar?

OPERACIÓN

• ¿Cómo se usarán los recursos asignados?:

• ¿Los controles apoyan el logro de los objetivos?

RESULTADOS ESPERADOS

• Información + TICs + RR.HH. + Procesos -> Clientes

• Riesgo identificad, calificado y mitigado

como parte integral de la

transformación digital

CiberSeguridad

¿Estrategia? ¿Objetivos Estratégicos? ¿Comportamiento Clientes? ¿Procesos Internos? ¿Riesgos? ¿Ataques?

¿Qué elementos planear?

Estruc-tura

Organizacional

Marco Norma-

tivo (SGSI)

Cultura

Organizacional

TICs

Resultados corporativos antes que técnicos

Personas

Instalaciones Físicas

Hardware

Redes

Aplicaciones

Plataformas

Información & Datos

• Clientes, visitantes, empleados

• Datacenters, Rack Comunicaciones y Oficinas

• Servers, PCs, Laptop, Smartphones, Thin Stations, Tablets

• WAN , LAN y WiFi

• Código adquirido, generado o actualizado

• Bases de Datos, Servidores Web, Servidores de Aplicaciones

• Información comercial, de personas, gestión corporativa

¿Qué incluye lo técnico?

¿Qué incluye la estructura organizacional?

¿Ejecuta los controles?

¿Quién hace qué?

¿Mejora los controles?

¿Verifica a efectividad

de los controles?

¿Planea el aporte

corporativo?

¿Cuál norma-modelo debemos -

tenemos que seguir?

¿Qué incluye el marco normativo?

Objetivo • ¿Por qué esta y no otra?

Resul-tado

• ¿Qué resultado esperamos lograr?

Medida • ¿Cómo medimos si lo estamos haciendo

bien?

¿Qué incluye la cultura?

Evidencias

Tangibles

Supuestos

Valores

Modelo SCHEIN

Toda estrategia tiene riesgo

Objetivos

corporativos Riesgo Cibernético

“Cyber security is not seen as a business blocker but as a business enabler”

European Energy - Information Sharing & Analysis Centre

Requiere planear la CiberSeguridad como elemento de transformación digital

CIBERSEGURIDAD

¿Qué hacer, cuándo, en qué orden y con qué impacto?

Incluyendo cada elemento del modelo

¿Qué gana la organización con cada esfuerzo?

¿Hacemos lo que todos hacen?

¿Hacemos lo que

necesitamos?

Estrategia

Táctica

Operación

¡Donde aporte!

Preguntas y Comentarios

@CyberSecStrat

https://co.linkedin.com/in/wilmacksanchez

Wilmack Sánchez

Marzo 7 y 8, 2018

Agora Bogotá Convention Center