Gobernando la seguridad hacia los obje2vos corpora2vos Antoni Bosch Pujol

Transcripción

1 Gobernando la seguridad hacia los obje2vos corpora2vos Antoni Bosch Pujol Director General del Institute of Audit & IT-Governance (IAITG) Director del Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC de la Universidad Autónoma de Madrid (MASGDTIC) Presidente Fundador ISACA-Barcelona

2 La Vanguardia

3

4 BURGOS, 5 (EUROPA PRESS) Agentes de la Policía Nacional de Burgos han detenido a la joven E.S.L, de 24 años y con antecedentes delictivos, por un presunto delito de descubrimiento y revelación de secretos ya que usurpó la identidad en las redes sociales a una amiga. Los hechos se produjeron cuando una joven denunció en Comisaría que alguien le estaba usurpando su identidad en sus cuentas de las redes sociales Facebook, Tuenti y Badoo, así como una cuenta de correo electrónico donde habían retirado algunas fotografías que ella había colgado y las habían sustituido por otras de personas en situaciones comprometidas. Además le habían publicado que se ofrecía para favores sexuales, lo que le estaba suponiendo un acoso permanente. Estos hechos venían ocurriendo desde el pasado mes de agosto y se han prolongado hasta febrero de este año, cuando los denunció. Las investigaciones han permitido saber que la autora ha sido una antigua amiga, quien conocía las claves de acceso a las redes al haber sido ella quien las abrió, porque la denunciante no tenía conocimiento entonces para hacerlo ella misma

5 SANTA CRUZ DE TENERIFE, 4 (EUROPA PRESS) La Guardia Civil, en el marco de la operación 'Susolokito', ha detenido a un joven por 23 delitos contra la libertad e indemnidad sexual conocidos como 'child grooming' o acoso sexual de menores a través de internet. El detenido, de 22 años, contactaba con niñas menores de edad --de entre 13 y 15 años-- a través de una red social, y eran amenazadas en conversaciones privadas para que se desnudaran ante una web cam, ha informado este lunes la Guardia Civil. Las investigaciones se iniciaron en Alicante, cuando se detectó que un joven, mayor de edad, abordaba a menores mediante el chat de una conocida red social utilizada principalmente por jóvenes. Hacía uso de diversas identidades e incluso llegaba a atribuirse la calidad de administrador, como Francisco Javier Chies, Pau Rubio o Cristian Ojos Azules. Según el instituto armado, el detenido agregaba a las menores como amigas en la red social para comunicarles que otra persona disponía de fotos y vídeos comprometidos de ellas. Por ello, las víctimas contactaban con ese individuo que en realidad era el ahora detenido pero con otro sobrenombre, y las obligaba a exhibir partes íntimas de su cuerpo e incluso a realizar actos obscenos a cambio de no difundir por las redes sociales el supuesto material. Asimismo, las amenazaba con denunciarlas ante la Guardia Civil haciéndoles pensar que las supuestas fotografías y vídeos que tenía en su poder eran constitutivos de infracción penal. Por otro lado, también las amenazaba con agredirlas en el caso de que se negaran a acceder a sus pretensiones.

6 México, 14 feb (EFE) Primero fueron los periodistas quienes, amenazados y mutilados por el crimen organizado en el estado mexicano de Tamaulipas, tuvieron que callar, ahora son los cibernautas quienes sufren la presión por atreverse a hablar del narco bajo el velo de anonimato que da Internet. Las calles de Ciudad de Victoria, la capital del estado, fueron inundadas esta semana con volantes con el siguiente texto: " pesos para el que aporte datos exactos del dueño de la pagina de Valor por Tamaulipas o en su caso familiares directos". El crimen organizado ofrece así más de dólares por la cabeza del gestor de una página de las redes sociales Facebook y Twitter que informa sobre lo que sucede en Tamaulipas, en el norte de México, uno de los más azotados por la ola de violencia que vive el país. Su provocación: informar a la sociedad sobre qué calles no tomar porque acaba de haber un tiroteo o hacer un recuento sobre las personas que desaparecen, un servicio que hacían los medios de comunicación hasta que callaron por las amenazas, atentados e incluso asesinatos dentro del gremio. "Las redes sociales sin duda han pasado a formar parte de un aparato informativo, mientras el periodismo está arrinconado y silenciado", dijo a Efe Darío Ramírez, director para México y Centroamérica de Artículo 19, una organización defensora de la libertad de expresión.

7 VALENCIA, 7 (EUROPA PRESS) El Ayuntamiento de Valencia, a través de la delegación de Seguridad Ciudadana, ha decidido habilitar un "operativo especial" de "refuerzo" de Policía Local para "evitar" la celebración de un macrobotellón convocado para este viernes a las horas a través de las redes sociales, bajo el Puente de Aragón en el antiguo cauce del río Turia, según han informado a Europa Press fuentes municipales. La invitación a la fiesta, convocada por el grupo 'Botellón Erasmus Valencia' en las redes sociales -en inglés, italiano y castellano-, explica que están "cansados de que los vecinos llamen a la Policía y de no poder "beber tranquilos sin molestar a nadie" por lo que animan a "todos" a acudir este viernes 8 de febrero al Puente de Aragón de a horas de la noche "para beber, reír y conocernos todos". "Para los que no saben el 'botellón', -continúan-, es una reunión de amigos o personas que se quieren conocer, dónde traen mucho alcohol y así la pasan de puta madre!!!". Las únicas "obligaciones", avisan son "traer mucho alcohol" y "divertirse". Más tarde, proponen continuar la fiesta en alguna discoteca de la ciudad "como por ejemplo la A3 o Mya". Los agentes de policía, sin embargo, tratarán de "evitar" que "no se produzca" este macrobotellón y trabajarán en el entorno en el que está prevista su celebración para asegurar el cumplimiento de las ordenanzas municipales, evitar que se produzcan molestias, que se consuma alcohol en la vía pública y que se ensucie.

8 Elena Valenciano deja Twitter por la persecución que sufren sus hijos (El país 1-marzo) La número dos del PSOE, Elena Valenciano, ha explicado hoy su decisión de despedirse de Twitter porque a través de esta red social algunos, dice, están persiguiendo a sus hijos. Algunos han empezado a perseguir a mis hijos y ese sí es el límite, explicaba en un tuit que, de hecho, ya no se puede ver al quedar clausurada la cuenta. La página de Twitter ha cambiado mucho en estos años, contra mí era normal, contra mis hijos es inmoral, añadía en otro comentario. Por último, explicaba que desde esta red no hay forma de defenderles: Me voy para poder protegerles. "Siempre ha habido gente que usa Twitter para insultar y atacar. Pero en el último mes han empezado a invadir la intimidad de mis hijos, han entrado en sus cuentas de Twitter y Facebook. Nadie ha llegado a amenazarles, pero sí les han insultado. Mi hija tuvo que cambiar de perfil y aun así volvieron a encontrarla. Al final mis hijos me dijeron que se iban a dar de baja. Pero les he dicho que no, que me doy de baja yo", ha explicado Valenciano a este periódico.

9 Mercados fuera del radar (La Vanguardia ) Los algoritmos introducidos en los ordenadores dominan las transacciones financieras NYSE Euronext gespona órdenes en 37 microsegundos, veces más rápido que un guiño Las operaciones de alta frecuencia y mayor velocidad se generalizan. Lo que sigue es una demostración más de que la realidad supera la ficción hasta niveles estupefacientes. Se trata del peso ya preponderante más del 50% de las operaciones de alta frecuencia en las que la velocidad de las transacciones se hacen en microsegundos, literalmente (véase el dato que encabeza la página) veces más deprisa de lo que tarda un ser humano en parpadear. Culpar a los ordenadores ayer y a los complicadísimos algoritmos que hincharon y pincharon la úlpma burbuja financiera equivale a olvidar que son los seres humanos quienes programan e introducen modelos estadíspcos y financieros que son capaces de anpcipar qué efecto tendrá una orden de compra o venta en los precios. A parpr de ahí el programa analiza la información y las órdenes se producen de forma automápca. Cuando más de la mitad de las operaciones en los mercados financieros se realiza mediante inverosímiles operaciones de alta frecuencia, el inversor minorista es, por supuesto, irremisiblemente lento

10 Peligro: ciberataques a empresas (El país 7-marzo) Una oleada de fraudes en Twitter y Facebook revela la fragilidad y los elevados riesgos que corren las marcas, incluso las más grandes, en las redes sociales De repente, McDonald s había comprado Burger King. De repente, Chrysler había vendido Jeep. Y de repente, todo era una gran mentira. Un fraude. Los últimos ataques que han sufrido las cuentas de Twitter de esos gigantes empresariales, publicando información falsa o directamente ultrajante, revelan la fragilidad de las marcas en las redes sociales. Vodafone Egipto, Pfizer, USA Today, Reuters, Gizmodo, Fox News, NBC News, Cadillac, Bank of Melbourne... todas han sido atacadas por hackers entre 2011 y Hay más, muchas más, pero la discreción manda. Nadie quiere transmitir una imagen de flaqueza. Piensen en la credibilidad que comunica un banco cuya cuenta en Facebook o Twitter ha sido pirateada. Pero todas las compañías, desde corporaciones bancarias hasta organizaciones de caridad locales, pueden ser un objetivo, advierte Andrew Rose, analista de la consultora Forrester Research. Mientras tanto, crece la sensación de peligro en el mundo digital.

11 Los mercados, bajo el dictado de las máquinas La velocidad de vérpgo que imprimen los ordenadores a la operapva supone un riesgo adicional en la marcha de las bolsas Las redes sociales han ganado protagonismo en las úlpmas crisis bursáples; un tuit puede hundir un mercado en minutos y reportar grandes beneficios El 53% de las bolsas de valores reconocieron haber sufrido ciberataques durante el 2012 Las crisis financieras también están cambiando. En las décadas anteriores eran, sobre todo, el hecho de países exópcos llamados emergentes. Estos daban sustos recurrentes a los inversores. Ese mundo de ayer, sin embargo, se desvaneció con el nuevo siglo: ahora las crisis (masivas) también son el hecho de los países desarrollados. Es posible que la próxima involucre a redes sociales como Twiger y tengan que ver con el mundo digital del big data. Los Pempos cambian y, con ello, las dinámicas de las crisis también. El rumor, difundido por un hacker, informaba que un atentado había herido al presidente Barack Obama. De repente, el Dow Jones se desplomaba 145 puntos, borrando de pronto millones de dólares. El ciberataque se destapó en apenas cuatro minutos, pero el mal ya estaba hecho. InvesPgadores del MIT Media Lab desarrollaron algoritmos que agregan la información en redes sociales como Twiger para uplizarlas financieramente. Se crearon así plataformas como de transacción (etoro) con 2,7 millones de social traders. Otros pusieron en marcha hedge funds que basan sus estrategias de inversión en extraer el ruido en las redes para converprlo en apuestas financieras

12

13 SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN Conjunto de sistemas y procedimientos que garan2zan: CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD AUTENTIFICACIÓN NO REPUDIO

14 VALORACIÓN DE LOS REQUISITOS PROTECCIÓN Básico Impacto limitado Moderado Impacto considerable Alto Impacto catastrófico

15 QUÉ PASA SI...?

16 SEGURIDAD DE LOS SISTEMAS DE INFORMACIÓN QUE PASA SI HAY Pérdida de Confidencialidad Pérdida de Integridad Pérdida de Disponibilidad Incumplimiento leyes o contratos Atentado contra el honor y la inpmidad Daños personales Incorrecta realización acpvidades Efectos negapvos en relaciones externas Pérdidas económicas

17 La complejidad de la sencillez : 1º clase de matemática aplicada Cualquier futuro ingeniero aprende la notación matemática según la cual la suma de dos números reales, como por ejemplo = 2 puede ser escrita de manera tan simple. Sin embargo esta forma es errónea debido a su banalidad y demuestra una falta total de estilo.

18 El gran problema de la junta direcpva Por qué el firewall no bloqueó la entrada no autorizada? Porque el atacante era muy listo y tenía muchos medios

19 (NIST SP )

20 Por qué el firewall no bloqueó la entrada no autorizada? Porque no habíamos implantado un sistema de análisis de riesgos

21 Risk IT. ISACA

22 NIST SP

23 Por qué el firewall no bloqueó la entrada no autorizada? Porque nos faltaba la gespón de riesgos

24 Risk IT. ISACA

25 Por qué el firewall no bloqueó la entrada no autorizada? Porque no teníamos un sistema de gespón de seguridad

26 IT Baseline Protection Manual

27 IT Baseline Protection Manual

28 Por qué el firewall no bloqueó la entrada no autorizada? Porque no teníamos un sistema de gespón de seguridad de la información cerpficado

29 ISO 27000/ NTP ISO/IEC POLÍTICA DE SEGURIDAD 2 ESTRUCTURA ORGANIZATIVA PARA LA SEGURIDAD 3 CLASIFICACIÓN Y CONTROL DE ACTIVOS 4 SEGURIDAD EN EL PERSONAL 5 SEGURIDAD FÍSICA Y DEL ENTORNO 7 CONTROL DE ACCESOS 9 GESTIÓN DE INCIDENCIAS 6 GESTIÓN DE COMUNICACIONES Y OPERACIONES 8 DESARROLLO Y MANTENIMIENTO DE SISTEMAS 10 GESTIÓN DE CONTINUIDAD DEL NEGOCIO 11 CUMPLIMIENTO

30 Por qué el firewall no bloqueó la entrada no autorizada? Porque no habíamos implantado un sistema de gespón de servicios TI

31 ISO Sistemas de Ges2ón Planificación Implementación Planificación nuevos servicio Ges2ón de la Responsabilidad, Documentación Requerimientos, Competencias, Salvaguardas & Formación Planificación, Implementación, Monitorización, Mejora (Plan, Do, Check, Act) Planificación y Implementación de nuevos o servicios modificados Ges2ón de la capacidad Con2nuidad del servicio Ges2ón de la disponibilidad Procesos de Entrega Proceso de la provisión de servicio Ges2ón de Niveles de servicio Informes del servicio Procesos de Control Ges2ón de la configuración Ges2ón del Cambio Procesos de Resolución Seguridad de la seguridad De la información Presupuestos Contabilidad Del servicio Procesos Relacionales Ges2ón de Entrega Ges2ón de Incidentes Ges2ón de Problemas Ges2ón de las relaciones con el negocio Ges2ón de Suministradores

32 Por qué el firewall no bloqueó la entrada no autorizada? Porque nos faltaban más estándares que seguir

33 JTC 1/SC 27 IT Security techniques ISO/IEC 7064:2003 ISO/IEC :2002 ISO/IEC :2000 ISO/IEC :1999 ISO/IEC :2002 ISO/IEC :1997 ISO/IEC :1999 ISO/IEC :1999/ Cor 1:2004 ISO/IEC :1998 ISO/IEC :1999 ISO/IEC :2004 ISO/IEC :2005 Informa2on technology Security techniques Check character systems Informa2on technology Security techniques Digital signature schemes giving message recovery Part 2: Integer factoriza2on based mechanisms Informa2on technology Security techniques Digital signature schemes giving message recovery Part 3: Discrete logarithm based mechanisms Informa2on technology Security techniques Message Authen2ca2on Codes (MACs) Part 1: Mechanisms using a block cipher Informa2on technology Security techniques Message Authen2ca2on Codes (MACs) Part 2: Mechanisms using a dedicated hash func2on Informa2on technology Security techniques En2ty authen2ca2on Part 1: General Informa2on technology Security techniques En2ty authen2ca2on Part 2: Mechanisms using symmetric encipherment algorithms Informa2on technology Security techniques En2ty authen2ca2on Part 3: Mechanisms using digital signature techniques Informa2on technology Security techniques En2ty authen2ca2on Part 4: Mechanisms using a cryptographic check func2on Informa2on technology Security techniques En2ty authen2ca2on Part 5: Mechanisms using zeroknowledge techniques Informa2on technology Security techniques En2ty authen2ca2on Part 6: Mechanisms using manual data transfer

34 JTC 1/SC 27 IT Security techniques ISO/IEC 9979:1999 ISO/IEC 10116:1997 ISO/IEC :2000 ISO/IEC :2000 ISO/IEC :2004 ISO/IEC :1998 ISO/IEC :1996 ISO/IEC :1996 Informa2on technology Security techniques Procedures for the registra2on of cryptographic algorithms Informa2on technology Security techniques Modes of opera2on for an n bit block cipher Informa2on technology Security techniques Hash func2ons Part 1: General Informa2on technology Security techniques Hash func2ons Part 2: Hash func2ons using an n bit block cipher Informa2on technology Security techniques Hash func2ons Part 3: Dedicated hashfunc2ons Informa2on technology Security techniques Hash func2ons Part 4: Hash func2ons using modular arithme2c Informa2on technology Security techniques Key management Part 1: Framework Informa2on technology Security techniques Key management Part 2: Mechanisms using symmetric techniques ISO/IEC :1996/Cor 1:2005 ISO/IEC :1999 Informa2on technology Security techniques Key management Part 3: Mechanisms using asymmetric techniques

35 JTC 1/SC 27 IT Security techniques ISO/IEC :2004 Informa2on technology Security techniques Management of informa2on and communica2ons technology security Part 1: Concepts and models for informa2on and communica2ons technology security management ISO/IEC TR :1998 Informa2on technology Guidelines for the management of IT Security Part 3: Techniques for the management of IT Security ISO/IEC TR :2000 Informa2on technology Guidelines for the management of IT Security Part 4: Selec2on of safeguards ISO/IEC TR :2001 Informa2on technology Guidelines for the management of IT Security Part 5: Management guidance on network security ISO/IEC :2004 IT security techniques Non repudia2on Part 1: General ISO/IEC :1998 Informa2on technology Security techniques Non repudia2on Part 2: Mechanisms using symmetric techniques ISO/IEC :1997 Informa2on technology Security techniques Non repudia2on Part 3: Mechanisms using asymmetric techniques ISO/IEC TR 14516:2002 Informa2on technology Security techniques Guidelines for the use and management of Trusted Third Party services ISO/IEC :1998 Informa2on technology Security techniques Digital signatures with appendix Part 1: General ISO/IEC :1999 Informa2on technology Security techniques Digital signatures with appendix Part 2: Iden2ty based mechanisms ISO/IEC :1998 Informa2on technology Security techniques Digital signatures with appendix Part 3: Cer2ficate based mechanisms ISO/IEC :1998/Cor 1:2001

36 JTC 1/SC 27 IT Security techniques ISO/IEC 15292:2001 Informa2on technology Security techniques Protec2on Profile registra2on procedures ISO/IEC :2005 Informa2on technology Security techniques Evalua2on criteria for IT security Part 1: Introduc2on and general model ISO/IEC :2005 Informa2on technology Security techniques Evalua2on criteria for IT security Part 2: Security func2onal requirements ISO/IEC :2005 Informa2on technology Security techniques Evalua2on criteria for IT security Part 3: Security assurance requirements ISO/IEC TR :2005 ISO/IEC TR :2005 Informa2on technology Security techniques A framework for IT security assurance Part 1: Overview and framework Informa2on technology Security techniques A framework for IT security assurance Part 2: Assurance methods ISO/IEC TR 15446:2004 Informa2on technology Security techniques Guide for the produc2on of Protec2on Profiles and Security Targets ISO/IEC 15816:2002 Informa2on technology Security techniques Security informa2on objects for access control ISO/IEC 15945:2002 Informa2on technology Security techniques Specifica2on of TTP services to support the applica2on of digital signatures ISO/IEC :2002 Informa2on technology Security techniques Cryptographic techniques based on ellip2c curves Part 1: General ISO/IEC :2002 Informa2on technology Security techniques Cryptographic techniques based on ellip2c curves Part 2: Digital signatures ISO/IEC :2002 Informa2on technology Security techniques Cryptographic techniques based on ellip2c curves Part 3: Key establishment ISO/IEC :2004 Informa2on technology Security techniques Cryptographic techniques based on ellip2c curves Part 4: Digital signatures giving message recovery

37 JTC 1/SC 27 IT Security techniques ISO/IEC TR 15947:2002 Informa2on technology Security techniques IT intrusion detec2on framework ISO/IEC 17799:2005 ISO/IEC :2002 ISO/IEC :2002 ISO/IEC :2004 ISO/IEC :2005 ISO/IEC :2005 Informa2on technology Security techniques Code of prac2ce for informa2on security management Informa2on technology Security techniques Time stamping services Part 1: Framework Informa2on technology Security techniques Time stamping services Part 2: Mechanisms producing independent tokens Informa2on technology Security techniques Time stamping services Part 3: Mechanisms producing linked tokens Informa2on technology Security techniques IT network security Part 3: Securing communica2ons between networks using security gateways Informa2on technology Security techniques IT network security Part 4: Securing remote access

38 JTC 1/SC 27 IT Security techniques ISO/IEC 18031:2005 Informa2on technology Security techniques Random bit genera2on ISO/IEC 18032:2005 Informa2on technology Security techniques Prime number genera2on ISO/IEC :2005 Informa2on technology Security techniques Encryp2on algorithms Part 1: General ISO/IEC :2005 Informa2on technology Security techniques Encryp2on algorithms Part 3: Block ciphers ISO/IEC :2005 Informa2on technology Security techniques Encryp2on algorithms Part 4: Stream ciphers ISO/IEC TR 18044:2004 Informa2on technology Security techniques Informa2on security incident management ISO/IEC 18045:2005 Informa2on technology Security techniques Methodology for IT security evalua2on ISO/IEC 21827:2002 Informa2on technology Systems Security Engineering Capability Maturity Model (SSE CMM ) ISO/IEC 27001:2005 Informa2on technology Security techniques Informa2on security management systems Requirements

39 Por qué el firewall no bloqueó la entrada no autorizada? Porque no definimos bien el control interno

40 The COSO Cube (Font COSO)

41 COSO ERM Cube (Font COSO)

42 Por qué el firewall no bloqueó la entrada no autorizada? Porque nos faltaba añadir al control interno la parte de seguridad de TI

43 The COBIT Cube (Font IT Governance Institute Cobit 4.0)

44 IT Processes and domains (Font IT Governance Institute Cobit 4.0, USA ) ME1 Monitor and evaluate IT performance. ME2 Monitor and evaluate internal control. ME3 Ensure regulatory compliance. ME4 Provide IT governance. Business Objectives effectivness eficiency confidentiality integrity availability compliance reliability IT RESOURCES Applications Information Infrastructure People PO1 Define a strategic IT plan. PO2 Define the information architecture. PO3 Determine technological direction. PO4 Define the IT processes, organisation and relationships. PO5 Manage the IT investment. PO6 Communicate management aims and direction. PO7 Manage IT human resources. PO8 Manage quality. PO9 Assess and manage IT risks. PO10 Manage projects. PLANNING AND ORGANISATION MONITORING AQUISITION AND IMPLEMENTATION DS1 Define and manage service levels. DS2 Manage third-party services. DS3 Manage performance and capacity. DS4 Ensure continuous service. DS5 Ensure systems security. DS6 Identify and allocate costs. DS7 Educate and train users. DS8 Manage service desk and incidents. DS9 Manage the configuration. DS10 Manage problems. DS11 Manage data. DS12 Manage the physical environment. DS13 Manage operations. DELIVERY AND SUPPORT AI1 Identify automated solutions. AI2 Acquire and maintain application software. AI3 Acquire and maintain technology infrastructure. AI4 Enable operation and use. AI5 Procure IT resources. AI6 Manage changes. AI7 Install and accredit solutions and changes.

45 Por qué el firewall no bloqueó la entrada no autorizada? Porque nos faltaba actualizar a Cobit 5

46 ISACA, Cobit 5.0

47 Por qué el firewall no bloqueó la entrada no autorizada? Porque nos faltaba integrar los sistemas con calidad

48 COSO COBIT ISO ISO 9000 WHAT ISO HOW SCOPE OF COVERAGE

49 Por qué el firewall no bloqueó la entrada no autorizada? Porque no tenemos un modelo de gobernanza del riesgo

50 Risk IT. ISACA 2009

51 Por qué el firewall no bloqueó la entrada no autorizada? Porque no tenemos un modelo de Gobernanza de las TIC

52 Modelos IT Governance? MIT-CISR LAS 5 PRINCIPALES DECISIONES (Weill & Ross. IT-Governance. HBSP, 2004) Principios IT Arquitectura IT Infraestructura IT Aplicaciones de negocio Inversiones y prioridades COBIT IT-GOVERNANCE Las 5 AREAS ( IT Governance Institute Cobit 4.1, USA 2007) Alineamiento estratégico Entrega de Valor Gestión de Recursos Gestión de Riesgos Medida del Performance ISO LOS 6 PRINCIPIOS ( ISO ISO/IEC JTC1/SC7,2008) Responsabilidad Estrategia Adquisición Performance Cumplimiento Factor Humano

53 Después de mil explicaciones

54 El teorema del punto y de la recta:

55 Teorema del punto gordo y la recta astuta

56

57 La cruda realidad

58 LOS POR QUÉs Por qué el firewall no bloqueo la entrada no autorizada? Porque el atacante tenía el password Por qué el atacante tenía el password? Porque se lo dió un empleado Por qué se lo dió un empleado? Porque no era consciente del peligro. Por qué no era consciente del peligro? Porque nadie se lo explicó Por qué nadie se lo explicó? Porque nadie lo formó en SEGURIDAD Y porque la formación no es importante y muy compleja, y muy costosa y muy.

59 Qué podemos hacer?

60 GOBERNAR TOMAR DECISIONES

61 IT GOVERNANCE Buen Gobierno de las TIC Qué decisiones se han de tomar? Quién las ha de tomar? Quién provee la información? Cómo se han de tomar? Cuándo se han de tomar? Cómo se han de monitorizar y controlar?

62 IT GOVERNANCE Qué decisiones se han de tomar?

63 LAS 5 PRINCIPALES DECISIONES (Font Weill & Ross. IT-Governance. HBSP,2004) Principios IT Arquitectura IT Infraestructura IT Aplicaciones de negocio High level statements about how IT is used in the business Organizing logic for data, applications, and infrastructure captured in a set of policies, relationships, and technical choices to achieve desired business and technical standardization and integration Strategies for the base foundation of budgeted-for IT capability (both technical and human), shared throughout the firm as reliable services, and centrally coordinated (e.g., network, help desk, shared data) Specifying the business need for purchased or internally developed IT applications Inversiones y prioridades Decisions about how much and where to invest in IT including project approvals and justification techniques

64 IT GOVERNANCE Quién las ha de tomar?

65 LOS 6 ARQUETIPOS (Font Weill & Ross. IT-Governance. HBSP,2004) Monarquía de Negocios Monarquía de IT Federal Duopolio IT Feudal A group of, or individual, business executives (i.e.,cxos). Includes committees comprised of senior business executives (may include CIO). Excludes IT executives acting independently. Individuals or groups of IT executives Shared by C level executives and the business groups(i.e., CxOs and BU leaders) may also include ITexecutives. Equivalent of the center and states workingtogether. IT executives and one other group(e.g., CxOs or BU leaders) Business unit leaders, key process owners or theirdelegates Anarquía Each individual user

66 IT GOVERNANCE Quién provee la información?

67 Quién? RACI Chart (Font IT Governance Institute Cobit 4.1, USA 2007) 1. Director ejecutivo (CEO) 2. Director financiero (CFO) 3. Directores áreas funcionales (CxO) 4. Director de S.I. (CIO) 5. Director de Seguridad de S.I. (CISO) 6. Director de Privacidad (CPO) 7. Propietario del proceso de negocio 8. Director de Operaciones 9. Encargado de tratamiento 10. Delegado de Privacidad (DPO) 11. Director de Arquitectura 12. Director de Desarrollo 13. Director de Administración de TI. 14. Director Oficina de proyectos 15. Responsables de control. 16. Auditores de SI (externos o internos) 17. Consultores externos (outsourcing) 18.

68 Qué y Quien? Principios IT Arquitectura IT Infraestructura Aplicaciones de negocio Inversión y Prioridades Input Decisión Input Decisión Input Decisión Input Decisión Input Decisión 1. Director ejecupvo (CEO) 2. Director financiero (CFO) 3. Directores áreas funcionales (CxO) 4. Director de S.I. (CIO) 5. Director de Seguridad (CISO) 6. Propietario del proceso de negocio 7. Director de Operaciones 8. Encargado de tratamiento 9. Director de Arquitectura 10. Director de Desarrollo 11. Director de Administración de TI. 12. Director Oficina de proyectos 13. Responsables de control. 14. Auditores de SI (externos o internos) 15. Consultores externos (outsourcing) Monarquía Negocios Monarquia IT Federal Duoplio IT Feudal

69 RACI CHART (Font ITGI,USA 2007)

70 IT GOVERNANCE Cómo se han de tomar?

71 CREACIÓN O CONSERVACIÓN DE VALOR (Font ITGI,USA 2007)

72 IT GOVERNANCE Cuándo se han de tomar?

73 Cuándo se han de tomar? MÁXIMA VENTAJA MÁXIMO RIESGO MÍNIMA VENTAJA MÍNIMO RIESGO DATOS INFORMACIÓN DATOS MINIMA Información toma decisión MAXIMA Información Capaz asimilar

74 Modelos de Madurez (Font IT Governance Institute Cobit 4.0, USA 2005)

75 IT GOVERNANCE Cómo se han de monitorizar y controlar?

76 Performance Measurement Approaches (ITGI-2005)

77 Business Value Hierarchy (Font Weill & Broadbent. Leveraging the New Infrastructure. HBSP,1998)

78 Indicadores de Objetivos(KGI) Indicadores de Rendimiento (KPI) (Font IT Governance Institute Cobit 4.0, USA 2005) KGI KPI

79

80

81 Hasta dónde queremos llegar? El beneficio juspfica el coste? Cuál es el nivel de Control para mis Sistemas de Información?

82 RETO ESTRATÉGICO 1. Sea ProacPvo, no reacpvo 2. Sepa cuando rediseñar 3. Involucre a todos los altos direcpvos 4. Tome decisiones 5. Clarifique el manejo de las Excepciones 6. IncenPve adecuadamente 7. Asigne propiedad y responsabilidades 8. Considere diferentes niveles 9. Sea Transparente y eduque 10. Implemente mecanismos comunes

83 RETO TÁCTICO Paso a la acción: Implementación 1. Priorizar acciones Especial énfasis matriz de riesgo ALTO 2. Evaluar recomendaciones No siempre los controles o procesos recomendados son los adecuados a nuestra organización 3. Analizar coste beneficio Descripción del coste y beneficio de implementar o no 4. Seleccionar controles y procesos Deben combinarse controles de gespón, operacionales y técnicos Medidas organizapvas y técnicas 5. Asignar responsabilidades Personal interno y externo 6. Desarrollar un plan de acción Equipo responsable, fechas, costes, 7. Implementar los controles y procesos seleccionados Reduciremos el riesgo pero no lo eliminaremos

84 SEGURIDAD TOTAL COSTE INFINITO

85 MUCHAS GRACIAS Antoni Bosch i Pujol, CGEIT, CISA, CISM, ECPD Director General Institute of Audit & IT-Governance (IAITG) Director del programa de Experto Certificado en Protección de Datos (ECPD) Director Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC (UAM) Presidente Fundador ISACA-Barcelona antoni.bosch@iaitg.eu