seguridad y estrategia ti

1

Seguridad y Estrategia TI

C3PO: Señor, la probabilidad de sobrevivir al paso por el campo de asteroides es, aproximadamente, de una entre 3721.

HAN SOLO: ¡No me hables de probabilidades! El Imperio Contraataca

Seguridad y Estrategia TI 2

Agenda

Resumen Alcance

Desarrollo de la ponencia Recomendaciones y conclusiones Referencias


Resumen

Vivimos una época de solapamiento en los diversos estadios de evolución de las sociedades. La complejidad y la velocidad de los cambios es muy alta.

La seguridad no es inmune a esta situación. Sigue siendo uno de los pilares de la evolución, también en las organizaciones.

Sin embargo es muy complicado demostrar el valor de la seguridad.

Y mucho más difícil cuando hablamos de la seguridad TI


Alcance

En esta ponencia hablaremos de los siguientes temas: Barreras para demostrar la necesidad de la seguridad en

el mundo empresarial Ubicar las necesidades de Seguridad en la cadena de

valor de la empresa Establecer los puntos de contacto entre la seguridad de la

información y la formulación estratégica empresarial. Estrategias para demostrar que la seguridad es un activo

empresarial y su contribución a los objetivos estratégicos▪ Gestión de Inversiones, aspectos de Seguridad: ROSI y ROI.▪ Seguimiento de los Planes estratégicos: Temas de Seguridad en el

Cuadro de mando balanceado.


Desarrollo de la Ponencia

6

¿Qué es seguridad?

Después de la comida la necesidad de seguridad es la base sobre la que se desarrollan el resto de las necesidades humanas.




En una hipotética “pirámide de Maslow empresarial” la seguridad debería ocupar el mismo lugar.

En la base estaría: el producto , el mercado y la financiación

El siguiente escalón sería la seguridad (Jurídica, Física, Política y … en el siglo XXI la Seguridad TI).



La Seguridad TI desde el punto de vista empresarial tienen dos aspectos fundamentales:

Protección de las infraestructuras TI Protección de los activos intangibles

(Conocimiento)



En la mayoría de las empresas es relativamente sencillo sencillo impulsar proyectos de seguridad en el ámbito de las infraestructuras

Pero en la mayoría es tarea de titanes concienciar sobre la necesidad de proteger los activos intangibles como los datos y el conocimiento.


Identificando Barreras

Psicológicas: A las personas les cuesta aceptar las leyes de la probabilidad , a las organizaciones también.



Tecnológicas: El desconocimiento de la tecnología permite que se minimicen los riesgos o, lo que es peor, que se considere la Seguridad TI como algo imposible.



Orgánicas: Las responsabilidades de Seguridad TI están diluidas. Existe una especie de efecto espectador

13


Económicas: Demostrar que el collar (Seguridad) no vale mas que el perro (La Información y el conocimiento)



Ranking de Barreras y Contramedidas

Orgánicas

Psicológicas

Tecnológicas

Económicas

15

Seguridad TI y teoría del ValorTodo necio confunde valor y precio

Proverbios y cantares, Antonio Machado


Seguridad TI y teoría del Valor

Una empresa está creando valor cuando la rentabilidad obtenida por supera las expectativas de sus accionistas.

Se espera que las TI incorporen valor a la empresa: mejorando la eficiencia, rentabilidad, productividad y las ventajas competitivas.

Sin embargo los aspectos de Seguridad en TI son la mayoría de las veces vistos como “Stoppers” más que como proveedores de valor.



Finanzas

Operaciones

TI (Desarrollo)

TI (Infraestructura)

+ M

anejo

del n

egoci

o

+ Manejo de TI

Aumento de ingresosRendimiento de activosIngresos por empleadoTime to Market

VentasCalidad de Servicio

Implementación AplicacionesCostes de implementación

DisponibilidadCostes por TransacciónCostes por Departamento

18

Seguridad TI y teoría del Valor Existe evidentemente un “GAP” entre

tecnología y negocio, ampliamente discutido en los últimos años.

Pero en cuestión de seguridad existe un “GAP al cuadrado”

Y este GAP proviene primordialmente (aunque no de manera exclusiva) de la dificultad de justificar económicamente la seguridad.




Fuente: ISACA BMIS

20

Seguridad TI y teoría del Valor La buena noticia es que ya no hay

estándar de Gestión de TI que no incluya la seguridad entre sus prioridades.

La mala noticia es que la capacidad de estos estándares para proyectarse más allá de los departamentos de IT es muy limitada todavía.


21

Seguridad y EstrategiaEl arte de la estrategia es de importancia vital para el país. Es el terreno de la vida y la muerte, el camino a la seguridad o la ruina.

El Arte de la Guerra - Sun Tzu


22

Seguridad y Estrategia

¿Cómo resolver el problema de GAP entre negocio y TI?

Formulando Estratégicamente la TI de la compañía en paralelo con la propia estrategia del negocio


PREGUNTAS RESPUESTAS

23


¿Cómo introducir los temas de Seguridad TI en la Estrategia de TI?

Dejando de “justificar” la necesidad de la Seguridad como algo necesario porque si y empezando a usar las mismas herramientas que negocio utiliza para impulsar sus proyectos.


PREGUNTAS RESPUESTAS



Hay que introducir la Seguridad TI en la formulación Estratégica de TI de la empresa y más tarde a los planes que la desarrollan.

Siempre desde la perspectiva de la contribución de la Seguridad TI a los objetivos estratégicos y a la generación del valor

25


Existen diversas maneras para organizan estratégicamente una empresa la mayoría son modelos similares a los de Norton y Kaplan.

En estas empresas existe la oportunidad de empujar la Seguridad TI si se tiene presencia en los foros donde se decide la estrategia de negocio.

Pero para introducir con éxito objetivos de Seguridad TI e impulsar la Seguridad TI en los planes y proyectos que desarrollan la estrategia es necesario disponer de “armas” para medir la aportación al valor y a los objetivos de negocio. Entre ellas el Balanced Score Card es una de la mejores.


26


BSC de Seguridad aproximación en cascada.


BSC DE TI

BSC DE Seguridad TI

BSC DE NEGOCIO

KPI’s

KPI’s

27


La Seguridad TI en los proyectos que significan inversión: Una forma de abordar la inclusión de los

aspectos de seguridad en los proyectos es utilizar aproximaciones como la del ROSI (Return Of Security Investment)

Pero cuidado:▪ No confundir ROI con ROSI.▪ Los proyectos de seguridad pueden tener ROI




Calcular el ROSI (Return Of Security Investment) no es obvio, es un valor que descansa en las leyes de la probabilidad y necesita un profundo conocimiento del valor de los activos que se pretenden proteger.

No usar si no se está completamente seguro de que los datos son buenos!!

29

Recomendaciones y Conclusiones


Recomendaciones y Conclusiones Is the economy stupid! Usa las armas de negocio (BSC) Mide, mide y vuelve a medir Evangeliza sobre seguridad pero no

seas profeta del desastre


Referencias

Kaplan, Robert S.; David P. Norton (2004). Strategy Maps: Converting Intangible Assets into Tangible Outcomes. Boston, Massachusetts, USA: Harvard Business School Press. pp. 7. ISBN 1-59139-134-2.

Wim Van Grembergen, Steven De Haes. Enterprise Governance of Information Technology. ISBN 978-0-387-84881-5

www.isaca.org

http://www.isaca.org/