gianluca d'antonio - ¿estamos preparados? [rootedcon 2010]
TRANSCRIPT
Gianluca D’Antonio 2010 © GGGGGGGGGiiiiiiaaaaaannnnnlllllluuuuucccccaaaaa DDDDDDDD’’’’’’AAAAAAAAAnnnnnnnnnnnnnnnttttoooonnnniiiiiiiiiiiiiooooooooooooooooooo 222222222220000000000000000011111110000000 ©©©©©©©©©©©
Gianluca D’Antonio 2010 ©
GRUPO FCC
•� Topic 1
•� Topic 2
•�More than 500 Companies, across more than 50 countries with 93.000 employes.
•�Infrastructure, Construction, Enviromental Services, Cement, Energy, Real Estate and Logistic.
© 2010 GIANLUCA D’ANTONIO
Servicios ciudadanos
Gianluca D’Antonio 2010 ©
Enfoque abajo-arriba
Infraestructura TI
IT Reactiva
Seguridad Blanco&Negro
Buenas Practicas
CumplimientoRegulatorio
Visión arriba-abajo
Aplicaciones de Negocio
Proactive info risk mgmt
Seguridad contextual
Valor para el Negocio
©
Cumplimiento de politicas
De la Seguridad a la Gestión del Riesgo
Gianluca D’Antonio 2010 ©
De la microgestión a la Dirección Estratégica
Gianluca D’Antonio 2010 © c
De la Generación X a la Y
Buen negociador
Leader influyente y adaptable
Individual y egoísta
Micro gestor
Buenas capacidades sociales
Ético y atento a los detalles
Baja autoestima
Poco planificador y eficiente
Gianluca D’Antonio 2010 © Fuente: Open Compliance & Ethics Group
De la Seguridad por áreas
Gianluca D’Antonio 2010 © ©
IT operations
•�backup •�data storage •�storage
management g
anagement
•�eDiscovery •�enterprise content management •�knowledge taxonomies •�records management •�enterprise search
Information &
knowledge management
ons
t
ormation &
l d t
Security & risk
•�data handling policies •�technical enforcement •�incident management •�forensics
Inside counsel
•� regulatory compliance •� discovery
HR
•� investigation •� disciplinary action
Audit
•� entitlement reviews •� assurance
Executives
•� toxic data spills •� ROI
•�data discovery •�data classification •�labeling
•� encryption
A la Seguridad Integrada
ENFOQUE MULTIDISCIPLINAR
Gianluca D’Antonio 2010 ©
Desarrollo de Nuevas políticas
Revisión del status quo
Feliz desconocimiento
Fase de concienciación
Fase correctiva
Fase de excelencia operativa
30%
50%
15%
5%
Etapa
Madure
z
(Re-) Establecimiento del Equipo de seguridad TIC
Inicio del programa estratégico
Diseño de la arquitectura
Institución de procedimientos
Conclusión de proyectos de puesta al día
Seguimiento tecnológico y cambio en el negocio
Mejora continua de procesos
Nota: La distribución de la población representa el perfil de las grandes compañías del índice Global 2000
Madurez de los Programas de Seguridad: 2006 De los primeros pasos…
Gianluca D’Antonio 2010 ©
Develop New Policy Set
Initiate Strategic Program
Process Formalization
Track Technology and Business Change
Continuous Process Improvement
Review Status Quo
Design Architecture
Conclude Catch-Up Projects
(Re-)Establish Security Team
Nonexistent Initial Developing Defined Managed Optimizing
Level of Program Maturity
Nota: La distribución de la población representa el perfil de las grandes compañías del índice Global 2000
1 2 3 4 5 0
Rela
tive P
rogra
m M
atu
rity
10%
30% 35%
10% 5%
10%
9%-10% 4%-6% 7%-8 % <3%
Composite Risk
Presupuesto en Seguridad del % ppt IT
Feliz desconocimiento
Fase de concienciación
Fase correctiva
Fase de excelencia operativa
Madurez de los Programas de Seguridad: 2009 A la Madurez de los SGSI
Gianluca D’Antonio 2010 ©
Pre
sente
Habilitador de Negocio
Soporte de Operaciones
Control y eficiencia
Evolución de Negocio
Seguridad IT
Gestión del Riesgo
Cre
aci
ón d
e v
alo
r para
el N
egoci
o
Capacidad de los servicios de Seguridad
Del Soporte TI al Negocio
Gianluca D’Antonio 2010 ©
De las Tareas a las Competencias
Gianluca D’Antonio 2010 ©
Hasta llegar a la Gestión Integrada del Riesgo
Fuente: Open Compliance & Ethics Group
Gianluca D’Antonio 2010 ©
No hay cambio sin objetivos claros y compartidos M&M: Misión y mandato
“Misión y mandato son el objetivo de una oficina de seguridad así
como el nivel adecuado de autoridad para alcanzarlo.”
Fuente: Ciso Soft Skills
De las Contingencias a los Objetivos
Gianluca D’Antonio 2010 © c
Factores limitantes
Porfolio de proyectos de
seguridad
de de
Políticas de Seguridad
de d
Roles & Responsabilidades
Formación & Concienciación
Programa de Seguridad
Misión & Mandato
Plan estratégico
Fuente: Ciso Soft Skills
Zona de Presión
Conociendo nuestros limites
Gianluca D’Antonio 2010 © c
Trabajando en equipo
Gianluca D’Antonio 2010 ©
¡Lo conseguiremos!
Gianluca D’Antonio 2010 ©
Food for Thought Bibliografía
Gianluca D’Antonio 2010 ©
25 de mayo de 2010 Palacio de Congresos, Madrid
¡¡RESERVA LA FECHA EN TU AGENDA YA!!
VII Jornada Internacional
Gianluca D’Antonio 2010 ©
GRACIAS
http://www.linkedin.com/in/dantoniogianluca
FIN