Seguridad en la Transformación Digital Por Joaquín Yepes Transformación Digital TI Bimodal: Valor integral al negocio Bimodal: Dos Aproximaciones Coherentes de TI , Profundamente Diferentes y Ambas Escenciales Modo 1 Modo 2 Confiabilidad Meta Agilidad Precio por Desempaño Valor Ventas, Posicionamiento de Marca, Experiencia del Cliente Lineal, Cascada, Desarrollo iterativo e incremental estricto Aproximación Iterativo, no estricto, no lineal, Lean Startup, Kanban, Scrum Plan estructurado, previa aprovacion Gobierno Empírico, contínuo Proveedores corporativos, contratos largo plazo Sourcing Pequeños y nuevos proveedores, contratos cortos Oriantado a Gestion de proyectos convencionales Talentos Orientado a la innovacion y la incertidumbre Centrado en la Tecnología Cultura Centrado en el negocio y con cercania al cliente Larga (meses) Fuente: Gartner Duración Corta (días-semanas) Que se compromete de la Información Seguridad de la Información • Disponibilidad Propiedad que la información sea accesible y utilizable por solicitud de los autorizados 2.10 ISO 27000 • Confidencialidad Propiedad que determina que la información está disponible ni sea revelada a quien no esté autorizado 2.13 ISO 27000 • Integridad Propiedad de salvaguardar la exactitud y el estado completo de los activos 2.36 ISO 27000 ISO 27000 es una norma internacional emitida por la Organización Internacional de Normalización (ISO) y describe cómo gestionar la seguridad de la información en una empresa. Cambio - Renovar el CORE De TI MODO 1 Construcción y uso de un nuevo TI ágil Sistemas de Innovación Sistemas de Diferenciación Sistemas de Registros Sistemas de Gestion Seguridad de la información - Gobierno + + MODO 2 Seguridad en el Modo 2 • Requiere nuevos modelos de gestión de seguridad • Mayor conciencia de la seguridad de la información con datos dispersos (IoT, Nube, On-premise, Saas, etc) • Arquitectura de seguridad incompleta o indefinida • Oportunidades de innovación en seguridad • Faltan controles de seguridad en estrategias ágiles de desarrollo y DevOps. • Cultura de Seguridad Movilidad Open Data Seguridad Disponibilidad Transformación Digital Analítica Información Integridad Confidencialidad IoT Servicios en la Nube Realidades en Seguridad de la Información • Solo está en riesgo la información de valor para alguien. • No protejo lo que no conozco. • Vision integrada de lo que esta pasando. • Cumplir una norma no nos hace seguros. • Necesitamos tecnología, personas y procesos para tener una estrategia de seguridad exitosa. Realidades en Seguridad de la Información • Quién es el adversario: • Profesional organizado, con dinero, tiempo y sin escrúpulos. • Si lo echas, no se garantiza que no volverá. • Russia el campeón para Europa. • Brasil para Latino América. • China es el especialista en Robo de propiedad intelectual. Realidades en Seguridad de la Información • La pregunta en ciberseguridad no es si nuestra información va a estar comprometida, sino cuando. • La seguridad es un problema de las personas, la tecnología ayuda. Realidades en Seguridad de la Información Manejo del riesgo • Mitigar vulnerabilidades. • Detectar Amenazas. • Minimizar consecuencias. Realidades en Seguridad de la Información. El nuevo Perímetro Personas • Empleados • Contratistas • Socios de negocios • Clientes Datos • Estructurados • No estructurados Dispositivos • Teléfonos • Servidores • Portátiles • Tabletas • Cosas Que Cambió con la Transformación Digital • Los Datos no están bajo el control total • La infraestructura ya no es propia • Las personas requieren la información cuando y desde donde quieran • Las economías digitales exigen Interconexión con el Mundo • Explosión de dispositivos conectados a la red • Aplicación de la normatividad sin limitar la estrategia digital • La identidad digital de las personas impacta el negocio • La marca está expuesta al mundo en redes sociales • No hay frontera entre la información personal y la corporativa • La cultura digital implica cultura de seguridad • La tecnología te permite predecir • El negocio requiere agilidad y la seguridad no puede ser un obstáculo Que Necesidad Tiene el Cliente Sentir tranquilidad de que conoce los riesgos, tiene un tratamiento adecuado de ellos y sabe que hacer en caso de un incidente de seguridad pase se sabe que hacer • Como protejo la información si las fronteras del mundo digital no existen • Como aseguro las cosas conectadas • Como incorporo seguridad en las arquitecturas digitales de referencia • Como hago seguridad social • Como monitoreo que sucede afuera • Como protejo la marca en el mundo digital • Como valoro los riesgos en el mundo digital • Como protejo infraestructura en la nube que no son propias • Como genero ROI en el aseguramiento de la arquitectura digital • Como aseguro el BIG DATA ANÁLISIS Seguridad Inteligente SEGURIDAD RESTRICITVA NO GESTIONADA SEGURIDAD INTELIGENTE SEGURIDAD INGENUA CONFIANZA • Que información tiene valor para el negocio • Análisis de riesgos de la información • Mitigación de los riesgos • • • • Cultura de seguridad Controles procesos Controles técnicos Big Data para seguridad • Remediación • Resiliencia Estrategia de Seguridad en Negocios Digitales Visión: Con enfoque en la Confianza y la Resiliencia Objetivos: Seguridad de la Información Principios: Gestión de Riesgos, Centrado en las Personas y en los flujos de información Arquitectura orientada al ciclo: Predicción, Prevención, Detección, Remediación Seguridad en la Transformación Digital Paso 1 Entendimiento estrategia del negocio Paso 2 Paso 3 Paso 4 Entendimiento Estrategia Digital Análisis de Brechas frente buenas prácticas Hoja de Ruta Iniciativas Diseño Estrategia Seguridad para Transformación Digital Ejercicio de Cocreación de la Estrategia Digital • Arquitectura de Referencia • Sistema de Gestión • Estructura y Gobierno • Flujos de Información • Cultura • Gestión de Terceros Listado de Proyectos de Seguridad • SGSI Gestión de identidades y accesos • Analítica para seguridad • Gestión Vulnerabilidades • Cultura de Seguridad Seguridad en la Transformación Digital
© Copyright 2024