seguridad y estrategia ti
TRANSCRIPT
1
Seguridad y Estrategia TI
C3PO: Señor, la probabilidad de sobrevivir al paso por el campo de asteroides es, aproximadamente, de una entre 3721.
HAN SOLO: ¡No me hables de probabilidades! El Imperio Contraataca
Seguridad y Estrategia TI 2
Agenda
Resumen Alcance
Desarrollo de la ponencia Recomendaciones y conclusiones Referencias
Seguridad y Estrategia TI 3
Resumen
Vivimos una época de solapamiento en los diversos estadios de evolución de las sociedades. La complejidad y la velocidad de los cambios es muy alta.
La seguridad no es inmune a esta situación. Sigue siendo uno de los pilares de la evolución, también en las organizaciones.
Sin embargo es muy complicado demostrar el valor de la seguridad.
Y mucho más difícil cuando hablamos de la seguridad TI
Seguridad y Estrategia TI 4
Alcance
En esta ponencia hablaremos de los siguientes temas: Barreras para demostrar la necesidad de la seguridad en
el mundo empresarial Ubicar las necesidades de Seguridad en la cadena de
valor de la empresa Establecer los puntos de contacto entre la seguridad de la
información y la formulación estratégica empresarial. Estrategias para demostrar que la seguridad es un activo
empresarial y su contribución a los objetivos estratégicos▪ Gestión de Inversiones, aspectos de Seguridad: ROSI y ROI.▪ Seguimiento de los Planes estratégicos: Temas de Seguridad en el
Cuadro de mando balanceado.
6
¿Qué es seguridad?
Después de la comida la necesidad de seguridad es la base sobre la que se desarrollan el resto de las necesidades humanas.
Seguridad y Estrategia TI
Seguridad y Estrategia TI 7
¿Qué es seguridad?
En una hipotética “pirámide de Maslow empresarial” la seguridad debería ocupar el mismo lugar.
En la base estaría: el producto , el mercado y la financiación
El siguiente escalón sería la seguridad (Jurídica, Física, Política y … en el siglo XXI la Seguridad TI).
Seguridad y Estrategia TI 8
¿Qué es seguridad?
La Seguridad TI desde el punto de vista empresarial tienen dos aspectos fundamentales:
Protección de las infraestructuras TI Protección de los activos intangibles
(Conocimiento)
Seguridad y Estrategia TI 9
¿Qué es seguridad?
En la mayoría de las empresas es relativamente sencillo sencillo impulsar proyectos de seguridad en el ámbito de las infraestructuras
Pero en la mayoría es tarea de titanes concienciar sobre la necesidad de proteger los activos intangibles como los datos y el conocimiento.
Seguridad y Estrategia TI 10
Identificando Barreras
Psicológicas: A las personas les cuesta aceptar las leyes de la probabilidad , a las organizaciones también.
Seguridad y Estrategia TI 11
Identificando Barreras
Tecnológicas: El desconocimiento de la tecnología permite que se minimicen los riesgos o, lo que es peor, que se considere la Seguridad TI como algo imposible.
Seguridad y Estrategia TI 12
Identificando Barreras
Orgánicas: Las responsabilidades de Seguridad TI están diluidas. Existe una especie de efecto espectador
13
Identificando Barreras
Económicas: Demostrar que el collar (Seguridad) no vale mas que el perro (La Información y el conocimiento)
Seguridad y Estrategia TI
Seguridad y Estrategia TI 14
Ranking de Barreras y Contramedidas
Orgánicas
Psicológicas
Tecnológicas
Económicas
15
Seguridad TI y teoría del ValorTodo necio confunde valor y precio
Proverbios y cantares, Antonio Machado
Seguridad y Estrategia TI 16
Seguridad TI y teoría del Valor
Una empresa está creando valor cuando la rentabilidad obtenida por supera las expectativas de sus accionistas.
Se espera que las TI incorporen valor a la empresa: mejorando la eficiencia, rentabilidad, productividad y las ventajas competitivas.
Sin embargo los aspectos de Seguridad en TI son la mayoría de las veces vistos como “Stoppers” más que como proveedores de valor.
Seguridad y Estrategia TI 17
Seguridad TI y teoría del Valor
Finanzas
Operaciones
TI (Desarrollo)
TI (Infraestructura)
+ M
anejo
del n
egoci
o
+ Manejo de TI
Aumento de ingresosRendimiento de activosIngresos por empleadoTime to Market
VentasCalidad de Servicio
Implementación AplicacionesCostes de implementación
DisponibilidadCostes por TransacciónCostes por Departamento
18
Seguridad TI y teoría del Valor Existe evidentemente un “GAP” entre
tecnología y negocio, ampliamente discutido en los últimos años.
Pero en cuestión de seguridad existe un “GAP al cuadrado”
Y este GAP proviene primordialmente (aunque no de manera exclusiva) de la dificultad de justificar económicamente la seguridad.
Seguridad y Estrategia TI
20
Seguridad TI y teoría del Valor La buena noticia es que ya no hay
estándar de Gestión de TI que no incluya la seguridad entre sus prioridades.
La mala noticia es que la capacidad de estos estándares para proyectarse más allá de los departamentos de IT es muy limitada todavía.
Seguridad y Estrategia TI
21
Seguridad y EstrategiaEl arte de la estrategia es de importancia vital para el país. Es el terreno de la vida y la muerte, el camino a la seguridad o la ruina.
El Arte de la Guerra - Sun Tzu
Seguridad y Estrategia TI
22
Seguridad y Estrategia
¿Cómo resolver el problema de GAP entre negocio y TI?
Formulando Estratégicamente la TI de la compañía en paralelo con la propia estrategia del negocio
Seguridad y Estrategia TI
PREGUNTAS RESPUESTAS
23
Seguridad y Estrategia
¿Cómo introducir los temas de Seguridad TI en la Estrategia de TI?
Dejando de “justificar” la necesidad de la Seguridad como algo necesario porque si y empezando a usar las mismas herramientas que negocio utiliza para impulsar sus proyectos.
Seguridad y Estrategia TI
PREGUNTAS RESPUESTAS
Seguridad y Estrategia TI 24
Seguridad y Estrategia
Hay que introducir la Seguridad TI en la formulación Estratégica de TI de la empresa y más tarde a los planes que la desarrollan.
Siempre desde la perspectiva de la contribución de la Seguridad TI a los objetivos estratégicos y a la generación del valor
25
Seguridad y Estrategia
Existen diversas maneras para organizan estratégicamente una empresa la mayoría son modelos similares a los de Norton y Kaplan.
En estas empresas existe la oportunidad de empujar la Seguridad TI si se tiene presencia en los foros donde se decide la estrategia de negocio.
Pero para introducir con éxito objetivos de Seguridad TI e impulsar la Seguridad TI en los planes y proyectos que desarrollan la estrategia es necesario disponer de “armas” para medir la aportación al valor y a los objetivos de negocio. Entre ellas el Balanced Score Card es una de la mejores.
Seguridad y Estrategia TI
26
Seguridad y Estrategia
BSC de Seguridad aproximación en cascada.
Seguridad y Estrategia TI
BSC DE TI
BSC DE Seguridad TI
BSC DE NEGOCIO
KPI’s
KPI’s
27
Seguridad y Estrategia
La Seguridad TI en los proyectos que significan inversión: Una forma de abordar la inclusión de los
aspectos de seguridad en los proyectos es utilizar aproximaciones como la del ROSI (Return Of Security Investment)
Pero cuidado:▪ No confundir ROI con ROSI.▪ Los proyectos de seguridad pueden tener ROI
Seguridad y Estrategia TI
Seguridad y Estrategia TI 28
Seguridad y Estrategia
Calcular el ROSI (Return Of Security Investment) no es obvio, es un valor que descansa en las leyes de la probabilidad y necesita un profundo conocimiento del valor de los activos que se pretenden proteger.
No usar si no se está completamente seguro de que los datos son buenos!!
Seguridad y Estrategia TI 30
Recomendaciones y Conclusiones Is the economy stupid! Usa las armas de negocio (BSC) Mide, mide y vuelve a medir Evangeliza sobre seguridad pero no
seas profeta del desastre
Seguridad y Estrategia TI 31
Referencias
Kaplan, Robert S.; David P. Norton (2004). Strategy Maps: Converting Intangible Assets into Tangible Outcomes. Boston, Massachusetts, USA: Harvard Business School Press. pp. 7. ISBN 1-59139-134-2.
Wim Van Grembergen, Steven De Haes. Enterprise Governance of Information Technology. ISBN 978-0-387-84881-5
www.isaca.org