MESA REDONDA: CIBERSEGURIDAD 4.0 TOCA CAMBIO DE PARADIGMA Y LA DISRUPCIÓN EN EL GOBIERNO DE ADMONES PCAS Y EMPRESAS

Sevilla 14/06/2016

Juan M Pulpillo

Abogado Auditor de Entornos Tecnológicos y GRC

Vicepresidente y COO Agencia Escrow Alianza Agencia Escrow & Ingenia

III Jornada de Ciberseguridad en Andalucía. Ciberseguridad 4.0

Mesa redonda: Ciberseguridad 4.0 toca cambio de paradigma y la disrupción en el Gobierno de Admones Pcas y Empresas

• El encuadre de la ciberseguridad. El mundo es digital y la información también. Los activos intangibles

• ¿En ciberseguridad el tamaño no importa? Problemas

• Propiedad Vs Privacidad Vs Seguridad

• GRC en La Inteligencia 4.0, de los modelos a la realidad: - Tres notas de Buen Gobierno. - Cuatro notas de Gestión de Riesgos. - Tres notas de Cumplimiento.

• La Cultura de Ciberinteligencia Vs Inteligencia 4.0

• Sevilla 14/06/2016

Encuadre

Sevilla 14/06/2016

En el entorno digital ¿hay algo permanente o todo está en continuo cambio? ¿qué protegemos? ¿sirven los modelos tradicionales de protección y reacción en el nuevo entorno? Entonces ¿por qué insistimos en utilizarlos?

© Juan M Pulpillo 2016

Encuadre La realidad: ¿Cuál es la situación? ¿Qué efectos pueden producirse?

Ciberamenazas Tendencias

Marcos regulatorios Vs Responsabilidades

IoT

Cloud Dchos Inseg

Desconocida Heartbleed…

Sevilla 14/06/2016

© Juan M Pulpillo 2016

Big Data

Inseg Conocida

¿Y el usuario interno?

Comp Cuántica

Encuadre Una necesidad real

Todos los actores de la “nueva economía” coinciden en que es necesario un cambio en el proceso productivo europeo actual para mejorar su competitividad, basado en el I+D+i: innovación en productos, en procesos, en modelos de negocio, … y con una orientación clara hacia la total digitalización de las empresas, con el uso de las TIC.

La innovación constante genera conocimiento, que es la base de la sostenibilidad y la competitividad… Todo en digital

¿Tiene sentido entonces recalcar ya el carácter digital?

Sevilla 14/06/2016

Encuadre Una necesidad real

Industria 4.0 requiere un nuevo concepto: Inteligencia 4.0 (Inteligencia en el Gobierno de AI) o Government Intelligence Continous Improvement

(Desarrollo Continuo del Gobierno de Inteligencia, GICI)

Sevilla 14/06/2016

Activos de Mercado Activos de DA

Activos de Infraestructura

Activos Humanos

AI

• Protección • Seguridad jurídica

internacional • Confidencialidad • Secreto

Encuadre Nuestra

Tendencia

1. Aumentar la capacidad de vigilancia y protección de los AI fuera y dentro de manera proactiva.

2. Herramientas de Gobierno. 3. Políticas de Gobierno integradas y adaptadas: Políticas de seguridad integradas,

Políticas de cumplimiento integradas, Políticas de protección integradas y otras en aproximación a los nuevos entornos tecnológicos.

4. Configuración Cultura restrictiva y controlada de seguridad de los AI corporativos.

5. Empleo de soluciones confiables y certificadas. 6. Intercambio de información y colaboración (CERT…) 7. Análisis de Riesgos globales por procesos e integrados. 8. Análisis de Riesgos de Cumplimiento Normativo.

Sevilla 14/06/2016

Sevilla 14/06/2016

¿En ciberseguridad, el tamaño no importa?

¿En ciberseguridad, el tamaño no importa?

Los elementos comunes a los nuevos entornos son: • Servicios bajo demanda • A través de redes de telecomunicaciones y con TI

como soporte • Personas • La Información + AI

Sevilla 14/06/2016

• Una valoración en profundidad de cinco “dominios de Industria 4.0” puede guiar a las organizaciones hacia el Government Intelligence Continous Improvement (Desarrollo Continuo del Gobierno de Inteligencia) mejorando sistemáticamente el Gobierno del servicio, el Gobierno de riesgos, el Gobierno de AI y el cumplimiento :

- Personas - Datos + DA - Aplicaciones - Infraestructura - Cumplimiento

Sevilla 14/06/2016

¿En ciberseguridad, el tamaño no importa?

Sevilla 14/06/2016

¿En ciberseguridad, el tamaño no importa? Dispersión territorial Ataques

Dispersión en la regulación Ataques Información + DA Personas Infraestructuras y aplicaciones Servicios Cumplimiento

Por motivos delictivos. Por motivos personales. Por motivos políticos. Desconocimiento.

Por motivos delictivos. Por motivos personales. Por motivos políticos. Desconocimiento.

Información + DA Personas Infraestructuras y aplicaciones Servicios Cumplimiento

Sevilla 14/06/2016

¿En ciberseguridad, el tamaño no importa?

Visión deficiente de la Seguridad

• Identificar activos / Identificar riesgos / tratar esos riesgos en base a metodologías y marcos de control predefinidos VS Los riesgos externos y cambiantes.

• Nos centramos en lo local e implantamos tecnologías y procedimientos predecibles VS Falta de visión global de los riesgos por procesos. El factor de exposición (Aspectos psicológicos y de negocio)

• Los riesgos, dependerán de la tecnología, accesibilidad, criticidad de la información, y otros muchos aspectos… el marco normativo.

Gestión Ciberseguridad VS GICI

Sevilla 14/06/2016

Ciberseguridad y SI

Ciberseguridad Seguridad de la Información

Ciberseguridad (Gestión)

SI (Gestión)

© Juan M Pulpillo 2016

GICI (Gobierno)

Sevilla 14/06/2016

Ciberseguridad y SI. Gestión

Los errores más comunes: • Creer que la empresa está 100% protegida.

• Creer que con solo una solución implementada se está 100% protegido y no

complementar las herramientas de seguridad con procesos documentados y equipo

entrenado.

• Trabajar con las probabilidades de que puede ocurrir un desastre.

• No asumir que lo importante no es sólo hacer el respaldo; es garantizar la

recuperación.

• No asumir que la continuidad de los negocios es una de las prioridades en

presupuesto de TI.

• Eso no me va a ocurrir a mi.

Sevilla 14/06/2016

Ciberseguridad y SI, Gobierno Pr

opie

dad

Vs P

rivac

idad

Vs

Segu

ridad

Sevilla 14/06/2016

GRC en GICI. De los modelos a la realidad

Tres notas de Buen Gobierno

Cultura y cambios.

Dotación presupuestaria.

GRC a todos los niveles.

De los modelos a la realidad

Sevilla 14/06/2016

GRC en GICI. De los modelos a la realidad

Cuatro notas de Gestión de Riesgos

Estrategia de ciberinteligencia Inteligencia 4.0. – la capacidad de predecir, identificar y reaccionar de forma proactiva ante posibles riesgos en procesos.

Detección temprana.

Protección de AI en varios niveles y varias líneas de defensa interconectadas.

Control centralizado de las normas de Gobierno.

De los modelos a la realidad

Sevilla 14/06/2016

GRC en la ciberseguridad. De los modelos a la realidad

Tres notas de Cumplimiento

Cultura y alcance.

Comunicación.

Mucho más que un tema penal. Cumplir estas normativas a menudo implica una inversión de mucho tiempo y esfuerzo para priorizar problemas, desarrollar políticas y controles adecuados y supervisar el cumplimiento.

De los modelos a la realidad

Los miembros de la Gerencia (CMO, CEO, CFO, CIO, CHRO y CCO) deberán adoptar tres importantes medidas para crear ciberinteligencia, o mejor dicho GICI:

GERENCIA MEDIDAS OBJETIVO

CM

O, C

EO, C

FO, C

IO, C

HR

O y

C

CO

(+

DPO

+ In

telli

genc

e M

anag

er)

Mantenerse informados. Adoptar un enfoque estructurado para evaluar los riesgos para la empresa y para las TIC.

Enfoque estructurado para evaluar los riesgos de la empresa y de la TI. Incluye la identificación de amenazas y normativas de cumplimiento clave, la revis ión de los riesgos y retos de seguridad existentes, la implementación y aplicación de procesos de gestión de riesgos y marcos de control comunes y la ejecución de procesos de gestión de incidencias cuando se producen crisis.

Trabajar conjuntamente. Implementar y aplicar la excelencia en seguridad en toda la empresa. Anticiparse de forma inteligente. Utilizar análisis para destacar los riesgos de forma activa e identificar, controlar y abordar amenazas.

© Juan M

Pulpillo 2015

Sevilla 14/06/2016

Ges

tión

G-R

-C +

Cib

erin

telig

enci

a

Cultura de Ciberinteligencia Vs GICI

Ineficiencia e inconsistencias de la ciberseguridad como Gestión

•Las diferentes funciones ven los requerimientos, ambiente operativo, riesgos y controles de manera diferente. •Auditoría, cumplimiento, seguridad de la información, continuidad del negocio, riesgos de TI y terceros usan un diferente proceso y herramientas para producir los mismos resultados. •Reportes inconsistentes de riesgos. Muchas veces el legal no reporta. •Falta de habilidad/herramientas para realizar análisis de tendencias. •Inconsistencia en métricas y criterios. •Falta de indicadores, no existe un análisis predictivo.

Sevilla 14/06/2016

Cultura de Ciberinteligencia Vs Inteligencia 4.0 - GICI

ERA

INDUSTRIAL

ECONOMÍA

DEL CONOCIMIENTO

Gestión del Conocimiento

Medición Capital Intelectual

ECONOMÍA

DIGITAL

Gestión de Activos Intangibles

Multidimensionalidad

Encuadre

Sevilla 14/06/2016

Ciberamenazas

Ciberseguridad

© Juan M Pulpillo 2016

Sevilla 14/06/2016

Mentalización

Cultura

Concienciación

Valoración

Gobierno Confianza / Formalizar

Cultura de Ciberinteligencia Vs Inteligencia 4.0 - GICI

Compliance

Protección / Escrow