1. No category

Como Convencer
a la Organización
que Invierta en
Seguridad
Presentada por:
Facundo Jamardo
Director de Servicios de Cyber Risk de Deloitte
[email protected]
Agenda
• Introducción – Cuanto se Invierte en
Seguridad?
• Situación Actual
• 5 acciones para Convencer a la Organización
que invierta en Seguridad
• Conclusiones
Introducción – Cuanto se Invierte en Seguridad?
•
Encuesta Latinoamericana de Cyber Risk &
Information Security 2015 de Deloitte
•
Participaron +100 empresas de distintos
sectores e industrias
–
–
–
–
–
Bancos y Seguros
Telecomunicaciones
Energía
Manufactura
Sector Público
•
Se realizaron entrevistas personales con CISOs
(Chief Information Security Officers) y
ejecutivos responsables en la gestión de
Seguridad de la Información
•
Permite relevar tendencias, nivel de inversión,
prioridades, desafíos en Latinoamérica
Introducción – Contexto actual
Presupuesto para la función de Cyber Risk &
Seguridad de la Información
[CATEGORY NAME]
[PERCENTAGE]
Yes, we have a
budget defined for
information security
54%
Introducción – Contexto actual
Tendencia interanual del presupuesto
Increase of greater than 15%
5%
Increase of 11% – 15%
7%
Increase of 6% – 10%
20%
Increase of 1% – 5%
51%
Budget has been reduced
17%
0%
10%
20%
30%
40%
50%
60%
Introducción – Contexto actual
Limitaciones para implementar las iniciativas de seguridad
#1
Lack of sufficient budget and/or resources
56%
Increasing sophistication of threats
37%
Lack of visibility and influence within the organization
33%
Lack of executive and/or business support
27%
Lack of clarity on mandate, roles and responsabilities.
25%
Managing risks associated with emerging technologies
19%
Lack of competent resources
19%
Lack of an approved information security strategy and roadmap of
initiatives
15%
The complex international legal and regulatory landscape ( for
example concerning privacy)
13%
No barriers
2%
Others
2%
0%
10%
20%
30%
40%
50%
60%
Situación actual
Presión desde el Negocio
•
•
•
•
•
•
Las inversiones en seguridad NO producen
dividendos …
… pero cuando hay un incidente Seguridad es
responsable
A la vez el negocio presiona por más dinamismo
y adaptación a un entorno de constante cambio
Las nuevas tendencias en gestión de RRHH
redoblan la apuesta (BYOD, home office, el
negocio en las redes sociales)
La vida personal en el negocio y la vida
profesional en la casa.
No es tan sencillo intentar definir un ROI para
las inversiones de seguridad
Situación Actual
Distintas causas
Desde seguridad tenemos parte de la
responsabilidad, porque:
•
No buscamos un lenguaje común para
comunicarnos.
•
A nivel ejecutivo, los temas a tratar son
negocios y riesgos, no tecnología.
Premisas
Debemos interiorizarnos en el negocio y en la
realidad que vive la alta gerencia.
Considerar el background de los integrantes de la
alta gerencia y buscar puntos en común.
Identificar los beneficios que se pueden brindar al
negocio (proceso o producto).
5 acciones para Convencer a la Organización que invierta
en Seguridad de la Información
1
2
3
4
5
Diseñar y ejecutar un programa de Concientización para la Alta Gerencia
Definir una Estrategia de Cyber Riesgos y Seguridad de la Información
Realizar una evaluación de Riesgos
Realizar un trabajo específico de análisis de riesgos y protección de
información personal de los ejecutivos
Trabajar en conjunto con las Auditorías para definir prioridades y
necesidades de inversión
5 acciones para Convencer a la Organización que invierta
en Seguridad de la Información
1
Diseñar y ejecutar un programa de Concientización para la Alta Gerencia
• Focalizar en que entiendan los riesgos a los que está
expuesta la organización, en lenguaje no técnico
• Relacionar los riesgos con los procesos de negocio y los
activos de información críticos para el negocio (BIA)
– Entrar al proceso, identificar información, actores, tiempos
críticos, componentes críticos, terceros
• Mostrar ejemplos de incidentes de seguridad que
sufrieron empresas similares
5 acciones para Convencer a la Organización que invierta
en Seguridad de la Información
2
Definir una Estrategia de Cyber Riesgos y Seguridad de la Información
• Determinar CON el negocio por qué hay que invertir
en seguridad
• Establecer cual es el nivel de tolerancia al riesgo que
tiene la Alta Gerencia / Los Accionistas
• Definir un plan a corto, mediano y largo plazo que
incluya iniciativas para llevar el nivel de riesgo a lo que
espera la Alta Gerencia / Los Accionistas
5 acciones para Convencer a la Organización que invierta
en Seguridad de la Información
3
•
Realizar una evaluación de Riesgos
Inventariar los activos críticos de información (ej. Información de clientes,
información salarial de empleados), determinando donde se almacena y quien
usa dicha información
– Armar un catálogo, mapas y diagramas de arquitectura actualizados
– Visión ITIL de la tecnología
•
Realizar un análisis de vulnerabilidades y riesgos a los que están expuestas
– Revisiones automáticas, revisiones manuales contra estándares, pruebas de intrusión
•
Determinar acciones correctivas para mitigar los riesgos, alineados con el
impacto para el negocio
– Invertir de acuerdo al BIA
– Considerar el tiempo de vida de los procesos/productos de negocio
5 acciones para Convencer a la Organización que invierta
en Seguridad de la Información
4
Realizar un trabajo específico de análisis de riesgos y protección de
información personal de los ejecutivos
• Entender que información personal es crítica para los ejecutivos
(ej. Información de sus cuentas bancarias, de su familia, etc)
• Realizar un análisis de los riesgos y vulnerabilidades a los que
puede estar expuesta dicha información
• Realizar un relevamiento de la información pública que existe en
internet (google, foros, twitter) sobre los ejecutivos y su familia
• Definir una iniciativa de protección de dicha información y de
concientización para el ejecutivo y su familia (ej. Hijos
adolecentes)
5 acciones para Convencer a la Organización que invierta
en Seguridad de la Información
5
Trabajar en conjunto con las Auditorías para definir prioridades y
necesidades de inversión
• Utilizar el nivel de llegada de las Auditorías para “llevar
el mensaje” al máximo nivel ejecutivo
• Discutir con las Auditorías sobre los aspectos de mayor
riesgo existentes desde el punto de vista del CISO
• Acordar los planes de acción y colocar las iniciativas
dentro del Programa de Seguridad
Conclusiones
• Los niveles de inversión destinados a la gestión de cyber
riesgos y seguridad de la información deben aumentar
• Una prioridad del CISO debe ser el llegar con su mensaje
al máximo nivel de la organización para lograr el apoyo
necesario
• Es posible definir actividades que permitan llevar dicho
mensaje de forma proactiva, lograr cambiar la visión de
seguridad de un gasto a una inversión clave para el
negocio
Gracias por asistir a esta sesión…