iii jornada de ciberseguridad en andalucía: mesa redonda ciberseguridad 4.0
TRANSCRIPT
MESA REDONDA: CIBERSEGURIDAD 4.0 TOCA CAMBIO DE PARADIGMA Y LA DISRUPCIÓN EN EL GOBIERNO DE ADMONES PCAS Y EMPRESAS
Sevilla 14/06/2016
Juan M Pulpillo
Abogado Auditor de Entornos Tecnológicos y GRC
Vicepresidente y COO Agencia Escrow Alianza Agencia Escrow & Ingenia
III Jornada de Ciberseguridad en Andalucía. Ciberseguridad 4.0
Mesa redonda: Ciberseguridad 4.0 toca cambio de paradigma y la disrupción en el Gobierno de Admones Pcas y Empresas
• El encuadre de la ciberseguridad. El mundo es digital y la información también. Los activos intangibles
• ¿En ciberseguridad el tamaño no importa? Problemas
• Propiedad Vs Privacidad Vs Seguridad
• GRC en La Inteligencia 4.0, de los modelos a la realidad: - Tres notas de Buen Gobierno. - Cuatro notas de Gestión de Riesgos. - Tres notas de Cumplimiento.
• La Cultura de Ciberinteligencia Vs Inteligencia 4.0
• Sevilla 14/06/2016
Encuadre
Sevilla 14/06/2016
En el entorno digital ¿hay algo permanente o todo está en continuo cambio? ¿qué protegemos? ¿sirven los modelos tradicionales de protección y reacción en el nuevo entorno? Entonces ¿por qué insistimos en utilizarlos?
© Juan M Pulpillo 2016
Encuadre La realidad: ¿Cuál es la situación? ¿Qué efectos pueden producirse?
Ciberamenazas Tendencias
Marcos regulatorios Vs Responsabilidades
IoT
Cloud Dchos Inseg
Desconocida Heartbleed…
Sevilla 14/06/2016
© Juan M Pulpillo 2016
Big Data
Inseg Conocida
¿Y el usuario interno?
Comp Cuántica
Encuadre Una necesidad real
Todos los actores de la “nueva economía” coinciden en que es necesario un cambio en el proceso productivo europeo actual para mejorar su competitividad, basado en el I+D+i: innovación en productos, en procesos, en modelos de negocio, … y con una orientación clara hacia la total digitalización de las empresas, con el uso de las TIC.
La innovación constante genera conocimiento, que es la base de la sostenibilidad y la competitividad… Todo en digital
¿Tiene sentido entonces recalcar ya el carácter digital?
Sevilla 14/06/2016
Encuadre Una necesidad real
Industria 4.0 requiere un nuevo concepto: Inteligencia 4.0 (Inteligencia en el Gobierno de AI) o Government Intelligence Continous Improvement
(Desarrollo Continuo del Gobierno de Inteligencia, GICI)
Sevilla 14/06/2016
Activos de Mercado Activos de DA
Activos de Infraestructura
Activos Humanos
AI
• Protección • Seguridad jurídica
internacional • Confidencialidad • Secreto
Encuadre Nuestra
Tendencia
1. Aumentar la capacidad de vigilancia y protección de los AI fuera y dentro de manera proactiva.
2. Herramientas de Gobierno. 3. Políticas de Gobierno integradas y adaptadas: Políticas de seguridad integradas,
Políticas de cumplimiento integradas, Políticas de protección integradas y otras en aproximación a los nuevos entornos tecnológicos.
4. Configuración Cultura restrictiva y controlada de seguridad de los AI corporativos.
5. Empleo de soluciones confiables y certificadas. 6. Intercambio de información y colaboración (CERT…) 7. Análisis de Riesgos globales por procesos e integrados. 8. Análisis de Riesgos de Cumplimiento Normativo.
Sevilla 14/06/2016
Sevilla 14/06/2016
¿En ciberseguridad, el tamaño no importa?
¿En ciberseguridad, el tamaño no importa?
Los elementos comunes a los nuevos entornos son: • Servicios bajo demanda • A través de redes de telecomunicaciones y con TI
como soporte • Personas • La Información + AI
Sevilla 14/06/2016
• Una valoración en profundidad de cinco “dominios de Industria 4.0” puede guiar a las organizaciones hacia el Government Intelligence Continous Improvement (Desarrollo Continuo del Gobierno de Inteligencia) mejorando sistemáticamente el Gobierno del servicio, el Gobierno de riesgos, el Gobierno de AI y el cumplimiento :
- Personas - Datos + DA - Aplicaciones - Infraestructura - Cumplimiento
Sevilla 14/06/2016
¿En ciberseguridad, el tamaño no importa?
Sevilla 14/06/2016
¿En ciberseguridad, el tamaño no importa? Dispersión territorial Ataques
Dispersión en la regulación Ataques Información + DA Personas Infraestructuras y aplicaciones Servicios Cumplimiento
Por motivos delictivos. Por motivos personales. Por motivos políticos. Desconocimiento.
Por motivos delictivos. Por motivos personales. Por motivos políticos. Desconocimiento.
Información + DA Personas Infraestructuras y aplicaciones Servicios Cumplimiento
Sevilla 14/06/2016
¿En ciberseguridad, el tamaño no importa?
Visión deficiente de la Seguridad
• Identificar activos / Identificar riesgos / tratar esos riesgos en base a metodologías y marcos de control predefinidos VS Los riesgos externos y cambiantes.
• Nos centramos en lo local e implantamos tecnologías y procedimientos predecibles VS Falta de visión global de los riesgos por procesos. El factor de exposición (Aspectos psicológicos y de negocio)
• Los riesgos, dependerán de la tecnología, accesibilidad, criticidad de la información, y otros muchos aspectos… el marco normativo.
Gestión Ciberseguridad VS GICI
Sevilla 14/06/2016
Ciberseguridad y SI
Ciberseguridad Seguridad de la Información
Ciberseguridad (Gestión)
SI (Gestión)
© Juan M Pulpillo 2016
GICI (Gobierno)
Sevilla 14/06/2016
Ciberseguridad y SI. Gestión
Los errores más comunes: • Creer que la empresa está 100% protegida.
• Creer que con solo una solución implementada se está 100% protegido y no
complementar las herramientas de seguridad con procesos documentados y equipo
entrenado.
• Trabajar con las probabilidades de que puede ocurrir un desastre.
• No asumir que lo importante no es sólo hacer el respaldo; es garantizar la
recuperación.
• No asumir que la continuidad de los negocios es una de las prioridades en
presupuesto de TI.
• Eso no me va a ocurrir a mi.
Sevilla 14/06/2016
Ciberseguridad y SI, Gobierno Pr
opie
dad
Vs P
rivac
idad
Vs
Segu
ridad
Sevilla 14/06/2016
GRC en GICI. De los modelos a la realidad
Tres notas de Buen Gobierno
Cultura y cambios.
Dotación presupuestaria.
GRC a todos los niveles.
De los modelos a la realidad
Sevilla 14/06/2016
GRC en GICI. De los modelos a la realidad
Cuatro notas de Gestión de Riesgos
Estrategia de ciberinteligencia Inteligencia 4.0. – la capacidad de predecir, identificar y reaccionar de forma proactiva ante posibles riesgos en procesos.
Detección temprana.
Protección de AI en varios niveles y varias líneas de defensa interconectadas.
Control centralizado de las normas de Gobierno.
De los modelos a la realidad
Sevilla 14/06/2016
GRC en la ciberseguridad. De los modelos a la realidad
Tres notas de Cumplimiento
Cultura y alcance.
Comunicación.
Mucho más que un tema penal. Cumplir estas normativas a menudo implica una inversión de mucho tiempo y esfuerzo para priorizar problemas, desarrollar políticas y controles adecuados y supervisar el cumplimiento.
De los modelos a la realidad
Los miembros de la Gerencia (CMO, CEO, CFO, CIO, CHRO y CCO) deberán adoptar tres importantes medidas para crear ciberinteligencia, o mejor dicho GICI:
GERENCIA MEDIDAS OBJETIVO
CM
O, C
EO, C
FO, C
IO, C
HR
O y
C
CO
(+
DPO
+ In
telli
genc
e M
anag
er)
Mantenerse informados. Adoptar un enfoque estructurado para evaluar los riesgos para la empresa y para las TIC.
Enfoque estructurado para evaluar los riesgos de la empresa y de la TI. Incluye la identificación de amenazas y normativas de cumplimiento clave, la revis ión de los riesgos y retos de seguridad existentes, la implementación y aplicación de procesos de gestión de riesgos y marcos de control comunes y la ejecución de procesos de gestión de incidencias cuando se producen crisis.
Trabajar conjuntamente. Implementar y aplicar la excelencia en seguridad en toda la empresa. Anticiparse de forma inteligente. Utilizar análisis para destacar los riesgos de forma activa e identificar, controlar y abordar amenazas.
© Juan M
Pulpillo 2015
Sevilla 14/06/2016
Ges
tión
G-R
-C +
Cib
erin
telig
enci
a
Cultura de Ciberinteligencia Vs GICI
Ineficiencia e inconsistencias de la ciberseguridad como Gestión
•Las diferentes funciones ven los requerimientos, ambiente operativo, riesgos y controles de manera diferente. •Auditoría, cumplimiento, seguridad de la información, continuidad del negocio, riesgos de TI y terceros usan un diferente proceso y herramientas para producir los mismos resultados. •Reportes inconsistentes de riesgos. Muchas veces el legal no reporta. •Falta de habilidad/herramientas para realizar análisis de tendencias. •Inconsistencia en métricas y criterios. •Falta de indicadores, no existe un análisis predictivo.
Sevilla 14/06/2016
Cultura de Ciberinteligencia Vs Inteligencia 4.0 - GICI
ERA
INDUSTRIAL
ECONOMÍA
DEL CONOCIMIENTO
Gestión del Conocimiento
Medición Capital Intelectual
ECONOMÍA
DIGITAL
Gestión de Activos Intangibles
Multidimensionalidad
Encuadre
Sevilla 14/06/2016
Ciberamenazas
Ciberseguridad
© Juan M Pulpillo 2016
Sevilla 14/06/2016
Mentalización
Cultura
Concienciación
Valoración
Gobierno Confianza / Formalizar
Cultura de Ciberinteligencia Vs Inteligencia 4.0 - GICI
Compliance
Protección / Escrow