Information Security Forum (ISF)

Transcripción

1 Information Security Forum (ISF) Presentación del ISF Aspectos Claves (Evento 1 de Julio 2015)

2 Agenda Qué es el ISF Modelo de Seguridad del ISF Productos y Servicios Investigación e Informes Conocimientos e Intercambio de Información Herramientas y Metodologías del ISF Próximos pasos

3 Qué es el ISF? Una asociación internacional con más de 400 organizaciones de primer orden (Fortune 500/Forbes 2000), la cual... Se dedica a clarificar y resolver temas fundamentales acerca de la seguridad de la información Es independiente y sin fines de lucro. Financia y gestiona el desarrollo de soluciones prácticas orientadas al negocio (herramientas y servicios) Está conducida y gobernada por sus Miembros The leading, global authority on cyber security and information risk management

4 Trabajamos con algunos de nuestros miembros más destacados, nacionales e internacionales Algunas de las organizaciones miembros: Y IBM PwC BBVA Deloitte u has KPMG Caixabank Bankia Telefónica ás European Central Bank Boldon James Airbus Symantec Verizon ~20% de los miembros del ISF están en el sector de IT and business consulting Muchos de los lideres mundiales de distintos sectores como distribución (Walmart), transporte (Boeing), banca y servicios financieros (Bank of America), energía (Shell) son miembros del ISF Incluidos también grandes organizaciones privadas y publicas del sector de la Administración Pública

5 Beneficios como Miembros del ISF Acceso a las experiencias y conocimientos de organizaciones mundiales destacadas Obtención de soluciones prácticas para problemas de seguridad de alta prioridad Obtención de estudios comparativos para analizar los niveles de seguridad propios Entendimiento de las mejores prácticas globales sobre seguridad de la información Establecimiento de una red de contactos para temas de seguridad Obtención de resultados por una fracción de los costes reales...

6 Modelo de Seguridad del ISF Conocimientos e Intercambio de Información Herramientas y Metodologías del ISF Investigación e Informes del ISF

7 Estructura del ISF

8 Cobertura Geográfica The ISF currently has Members in Argentina Ghana Serbia Australia Greece Singapore Austria India South Africa Belgium Ireland Spain Brazil Italy Sweden Canada Latvia Switzerland Denmark Netherlands Turkey Ethiopia New Zealand Uganda Finland Nigeria United Arab Emirates France Norway United Kingdom Germany Saudi Arabia United States of America

9 Distribución de Miembros por Sectores de Mercado

10 Cibercrimen un Mercado en alza

11 Bienvenido al Malspace

12 Crime as a Service (CaaS) v2.0 upgrades to Criminal organisations have a huge and diverse talent pool readily available Attacks are becoming even more sophisticated and targeted Perso s i for atio is e lipsed y orga isatio s information There are 0 to 0 y er ri e groups i the for er oviet U io that have atio -state level apa ity European intelligence official.

13 Cybercrime continues to gain pace Addressing the skills gap Business goes cyber Your Supply chain becomes a primary target Stakeholders apply mounting pressure Pressure from regulatory compliance increases continuously New technologies and the internet of things (IOT)

14 A Cyber Resilience Team the driving force It s time for us to start collaborating as effectively as the bad guys are. ISF Member

15 Servicios ISF Visión General

16 Los servicios del ISF ayudan a los implicados en la Seguridad de la Información a resolver problemas de seguridad del negocio en la organización Cuáles son los problemas de:? Chief Information Security Officers Information Security Managers Directores Áreas de Negocio Directores TI y personal técnico Auditores Internos y Externos Proveedores de Servicios TI Equipos de Gestión de Compras y Proveedores Conservar gran volumen de in formación crítica y sensible Aumento de la presión económica, legal y regulatoria Mayor foco en la privacidad y protección de los datos Crecimiento de la dependencia de la Cadena de Suministro Necesidad de mayor agilidad y competitividad Cambio cultural de los usuarios finales Uso de diferentes tecnologías Impacto de los incidentes en el Negocio Amenazas cambiantes y emergentes Globalización y Ciberseguridad

17 Un programa continuo de investigación orientado a los miembros You Could be Next: Aprender a mejorar la resiliencia desde los incidentes Estándar de buenas prácticas para la Seguridad de la Información (2014) Privacidad de Datos en la Nube Analíticas de datos para la Seguridad de la Información Horizonte de Amenazas 2014/5/6 Estrategias de Ciberseguridad: Alcanzando la ciber resiliencia Federated Identity Access Management Ciber ciudadanía Hacktivismo Gobierno de Seguridad de la Información Comienza el partido Aseguramiento del Cloud Computing Más allá de la política de limpieza del escritorio Aseguramiento de la cadena de Suministro Aseguramiento del ciclo de vida de la información Seguridad de la Información para proveedores externos Modelos de Madurez de la Seguridad de la Información Protección de la información en el entorno del usuario final Garantía de Seguridad de la Información Auditoría de Seguridad de las aplicaciones de negocio Gobierno de Seguridad de la Información (Reunión Informativa) Informes sobre riesgos de la información Convergencia de redes Informes Benchmark : Aplicaciones críticas de negocio El impacto de inversión en seguridad de la información Documentos informativos y artículos de opinión sobre: Resultados consolidados del Benchmark Ciber seguros, Protección de la marca, Seguridad vs Estrategias Referencias cruzadas de ISO/IEC 27002, de negocio, Internet de las cosas (IoT), BYOx, y as CObIT version 5

18 Comunicación con los miembros en tiempo real Acelera la colaboración, acerca a los miembros globales Acceso rápido y directo a las personas, contenidos y las actualizaciones de interés

19 Our Members-only website Permite que los Miembros: Colaboren en tiempo real replicando la experiencia en red asociada a los eventos del ISF Tengan mayor acceso a otros Miembros y al ISF Global Team Intercambien fácilmente problemas, experiencias y soluciones con sus colegas a nivel mundial Los Miembros también pueden: Acceder a la biblioteca que tiene la totalidad de soluciones en formato electrónico Inscribirse para atender a las reuniones del ISF Atender y participar en webcasts Llevar a cabo Benchmarking

20 Reuniones de los Capítulos Los Capítulos llevan a cabo reuniones regionales tres veces al año, en los cuales los miembros pueden: Cambiar impresiones reales sobre temas de seguridad con otras organizaciones miembro Intercambiar información, experiencias e ideas con otros Miembros Sugerir temas para el programa de trabajo actual y futuro del Foro Comentar cómo se puede mejorar la implantación y entrega de los productos finales del Foro Ofrecer valor de formación para miembros mediante puntos CPE por cada hora de asistencia, para el avance profesional

21 Proyecto del Capítulo Español Guía CEL

22 Proyecto del Capítulo Español Guía CEL Patrocinadores Capítulo Español del 22

23 Proyecto del Capítulo Español Guía CEL Colaboradores

24 Congreso Anual del ISF La conferencia para los profesionales de seguridad, para miembros del ISF solamente Acceso a los últimos conceptos y desarrollos sobre la Seguridad de la Información, ofrecidos por los Miembros y por expertos destacados Dos plazas financiadas, para cada organización miembro, como parte de la cuota anual (excluyendo viajes) Los miembros tienen la oportunidad de hacer presentaciones y de patrocinio Años anteriores: 25th Annual World Congres Copenhaguen, Denmark 24th Annual World Congress Paris, France 22nd Annual World Congress Berlin, Germany 23rd Annual World Congress Chicago, USA 21st Annual World Congress Monte Carlo, Monaco

25 Participación en eventos relacionados con el conocimiento e intercambio de la información En el desarrollo de soluciones ISF se cuenta con talleres, webcasts, formación y grupos de especial interés, que ofrecen a los Miembros una excelente oportunidad para... Explorar temas clave de la seguridad de la información con personas del sector y con expertos invitados Intercambiar experiencias con otros Miembros Ayudar definir la forma y el alcance de los proyectos Formar al personal en áreas importantes de la seguridad de la información Obtener puntos CPE por cada hora de asistencia para logros profesionales

26 Programa Webcast del ISF El programa Webcast de 2015 ofrece a las organizaciones una excelente oportunidad para saber más acerca de los trabajos en los que está trabajando el ISF y sobre sus servicios. Están disponibles durante 12 meses después de la fecha de su presentación inicial. Para ver los eventos pasados y presentes visitar: Las fechas y temas de los Webcast para 2015, son las siguientes: Modern CISO 2015 Webcast Programme (14:00 UK) 4 February - Third Party Supplier Security: The supply chain challenge 17 March - Threat Horizon April - Network Security: Securing the ever expanding boundary 12 May - Cloud Security: It s in the cloud - but where? 9 June - Cybercrime: Syndicates go global 7 July - BYOx - Again! 8 September - Managing Security Resources: It s all about people and awareness 6 October - Regulation and Legislation: Keeping abreast of a moving landscape 3 November - Risk Based Security: Managing through the minefield 8 December - Emerging Threats for 2016 Para registrarse y atender a estos webcasts visitar

27 Herramientas especializadas Las herramientas especializadas son el resultado de proyectos de investigación que cubren problemas específicos de la seguridad de la información Las herramientas disponibles incluyen: Securing the Supply Chain una herramienta que ayuda a los miembros securizar sus cadenas de suministro desde principio a fin, cubriendo evaluación de riesgos, métricas y herramientas de auditoría, para utilizar en las cadenas de suministros. Baseline Maturity Assessment Tool v1.0 (BMAT) una herramienta basada en hojas de cálculo diseñada para evaluar y registrar el nivel de madurez de un proveedor externo. Third party security assessment tool (TPSAT) permite llevar a cabo evaluaciones y recogida de información sobre relaciones con terceros. Security Function Diagnostic permite llevar a cabo un nuevo método para acercar la división entre la seguridad y el negocio, mediante la creación de perfiles de funciones de seguridad de la información. Estos perfiles pueden usarse para garantizar que las responsabilidades están alineadas. Return on Security Investment (ROSI) permite a los miembros manejar situaciones difíciles sobre el ROI de inversiones de seguridad y también se ha utilizado por los miembros como una herramienta de negociación de precios con proveedores de soluciones de seguridad. Best Practices in Endpoint Security Checklist esta guía basada en web presenta las áreas de control principales que se necesitan tener en cuenta para securizar dispositivos de usuario final y ofrece un conjunto detallado de las mejores prácticas en cada área de control.

28 Servicios adicionales del ISF Influence Stream: ISO Liaison Un objetivo clave del ISF es el promover las buenas prácticas de la seguridad de la información. Los estándares ISO se utilizan frecuentemente entre los miembros del ISF y por lo tanto el ISF ha obtenido estado de enlace oficial con ISO para influenciar directamente el desarrollo de ISO/IEC 27001, ISO/IEC y el estándar más nuevo ISO/IEC sobre el Gobierno de la Seguridad de la Información. Además también respecto a otras iniciativas ISO (p.ej., la estándar ISO emergente sobre Proveedores Externos, la ISO sobre controles de seguridad en la nube, y la ISO sobre gestión de riesgos de la información) Affiliation Agreements El programa del ISF sobre Acuerdos de Afiliación es una iniciativa del ISF para unir esfuerzos con asociaciones similares para juntar las experiencias respectivas e influenciar ambas organizaciones. El objetivo es el promover el desarrollo de estándares a nivel mundial y guías de mejores prácticas para el gobierno de TI y para la seguridad de la información. El ISF tiene acuerdos con ISO, NIST, ISACA, (ISC)2, IISP y el WEF. The ISF signs up to the World Economic Forum s Cyber Resilience Partnership (Marzo 2013)

29 Resumen de aspectos clave del ISF Una organización independiente, sin fines de lucro Orientada a los negocios Con respuestas a las necesidades de sus Miembros Una organización conducida por los usuarios Un proveedor de soluciones prácticas Activa en promocionar la integración, participación y contacto entre sus Miembros Gobernada por un Comité Ejecutivo y un Consejo, elegidos por sus Miembros

30 Aproveche la mejor oportunidad para hacerse miembro del ISF

31 Productos y Servicios del ISF Full Membership Grandes Corporaciones SME Mediana Empresa SC Supply Chain IRAM ISF Risk Manager BaaS Benchmark as a Service RaaS Paquete de Informes (Reports as a Service) SaaS Support as a Service (para herramientas ISF)

32 ISF: Análisis de la inversión (Ejemplos Reales) Telefónica: Un café en el Congreso La Caixa: Estudio Comparativo con otras soluciones externas Gas Natural Fenosa: Después de un incidente grave Costes de Benchmark: $ Costes Congreso Anual: $ Costes Consultorías Externas: $ Costes Productos GRC: $ Costes Trainings y Concienciación: $ Costes Otros Servicios: $ Costes Inventar la Rueda: $ Costes Incidentes Graves: $ Costes Marketing e Imagen: $

33 ISF: Análisis de la inversión (Gas Natural Fenosa) JUSTIFICACIÓN DE PROVEEDOR ÚNICO Gas Natural Informática necesita disponer de: - herramientas específicas por el mínimo coste para la gestión de la seguridad de la información (gestión de riesgos, análisis de impacto en el negocio, plan de continuidad, planes de recuperación ante desastres, clasificación de la información, etc.) - Conocimiento continuo sobre el posicionamiento de la compañía en materia de seguridad respecto a otras compañías del sector a nivel nacional e internacional. - Una fuente actualizada de Información especializada sobre los distintos requerimientos legales y regulatorios de ámbito nacional e internacional, vulnerabilidades y tendencias en protección de la información. ISF es actualmente la única organización internacional especializada en seguridad de la información capacitada para cubrir todas las necesidades anteriores ofreciendo además la participación en foros compartidos con otras empresas nacionales e internacionales en éste y otros sectores (Repsol, Caixa, GDF, EDF, etc.) con la posibilidad de compartir y conocer experiencias, enfoques y casos de éxito que nos permita reducir esfuerzos y costes afrontando proyectos de seguridad y asegurando su eficacia.

34 ISF: Recomendación El ISF ofrece un excelente retorno de la inversión, eliminando gran parte del coste asociado co las solucio es a edida desarrolladas independientemente por la organización o encargadas a consultores externos. La recomendación es hacerse Miembro del Information Security Forum

35 Ruegos y Preguntas

36 El Information Security Forum Gracias por su atención

37 Velázquez 86- B MADRID Tel: Fax: Rafael Rodríguez de Cora rrcora@calogistics.com