Demandas y costos de Seguridad en TI en las Empresas

Documentos relacionados
GDPR: 4 claves sobre Seguridad para afrontar un cumplimiento efectivo. Zulayka Vera Líder de Consultoría de Seguridad, IBM

CAPÍTULO 9. SEGURIDAD DE LA INFORMACIÓN CÓDIGO SEP

PROYECTO ISO SISTESEG

Técnico en Sistema de Gestión de Seguridad de la Información ISO/IEC 27001:2014

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

El paquete completo de COBIT consiste en:

ISO GAP ANALYSIS

PROTECCIÓN DEL DATO EN REPOSO. Sergio López Septiembre 25, 2018

Daniel Dominguez. 1, 2, 3 y 4 de octubre de 2017 Buenos Aires Argentina

Técnico Profesional en Sistema de Gestión de Seguridad de la Información UNE-ISO/IEC 27001:2014 (130 horas)

Servicios en Seguridad de la información.

Seguridad de la Información en Instituciones Financieras: una perspectiva de riesgo Congreso Internacional de Finanzas y Auditoría

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Perito Judicial en Análisis y Auditoría Pericial de los Sistemas de Seguridad de la Información ISO (330 horas)

Postgrado en Gestión y Auditoría de Sistemas de Seguridad de la Información ISO 27001:2014

Clasificación y prevención de fuga. Demo práctico

ANEXO B PLANTILLA PARA EJECUTAR LA EVALUACIÓN EN EL SGSI DE LAS ENTIDADES GUBERNAMENTALES

CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR.

SPA - SEGURIDAD PERIMETRAL ADMINISTRADA

TALLER. 19 y 20 de Julio 2016 Hotel Park Inn, San José. ISO-IEC Seguridad de la Información orientada al Negocio

Administración Datacenter 1

Asegure el cumplimiento normativo 360 grados con una solución de seguridad integrada: RGPD, ISO 27001, SOC 2, PCI DSS

Política: MARCO DE SEGURIDAD DE LA INFORMACIÓN (Corporativo) Proceso: Gestión de Infraestructura y Plataformas

Un Enfoque de Auditoría Basada en Riesgos. Omer Useche PwC Costa Rica

Curso Especializado Seguridad Informática GNU/LINUX

Taller Red de Compliance y Buenas Prácticas: Big Data y Compliance" Seguridad de Datos

Presentación de servicios de Seguridad de la Información

Dirección del Ciclo de vida de identidades y accesos. Rafael Pereda

Foro de Negocios San Luis Potosí Servicios administrados y en la nube

«Vigilancia del Gobierno Corporativo»

Módulo IV. Control de riesgos en la empresa (I) -Modelos GRC-

Dirección y Gerencia

INSTITUTO MIXTO DE AYUDA SOCIAL GERENCIA GENERAL ÁREA TECNOLOGÍAS DE INFORMACIÓN. Política de Seguridad de la información POL-TI-08

Este dominio consta de 13 procesos que se describen a continuación.

Somos una empresa joven formada por profesionales que poseen más de 15 años de experiencia

SISTESEG Seguridad y Continuidad para su Negocio

JUSTIFICACION DE USO DE SERVIDORES EN EL DATA CENTER

Comodo IT & Security Manager. Protección Avanzada para Endpoints

4.24 Cloud Security Alliance Cloud Controls Matrix (CCM) v3.0.

REQUISITOS DE SEGURIDAD EN LA NUBE CONGRESO DINTEL 31 ENERO Marcos Gómez Hidalgo Subdirector de Operaciones de INTECO

Nuevos retos de Seguridad la importancia del elemento humano

INTENDENCIA DE VALORES. Riesgo Tecnológico, Impacto y Autoevaluación

BYO - Bring Your Own QUÉ? Andrés A. Buendía Ucrós Sensei Sales Engineer - Latin America & Caribbean

Quitando los mitos en Analiticos de CyberSeguridad Datos, métodos, casos de uso

ANEXO 4: CONTROLES DE LOS ESTÁNDARES ISO/IEC 17799, SECCIONES 5 A 15

Mejores prácticas de Tecnología de la Información

RIESGO TECNOLÓGICO EN LA ACTIVIDAD ASEGURADORA

Manual de Funciones: Tecnologías de Información y Comunicación - CZS5. ANALISTA ZONAL DE TECNOLOGIAS DE INFORMACION Y COMUNICACION - Servidores

Soluciones de protección y confidencialidad de la información para la Justicia

Sistema de Administración de Riesgo Operacional SARO Capacitación gremial a terceros. Vicepresidencia Técnica Dirección Financiera y de Riesgos

Certified Chief Information Security Officer (CCISO)

Mejores Prácticas en la Operación de la Ciber Seguridad. Octubre del 2017

Anexo III COBIT. Relaciones de los Objetivos de Control Dominios, Procesos y Objetivos de Control

Retos en seguridad informática que emergen en procesos de transformación digital

Ver servicios >>

Calle 10 # Oficina 318 Edificio Plaza del Poblado Teléfono:

Seguridad Informática. Profesora Anaylen López

Índice. agradecimientos introducción...15

Auditoría de Controles usando COBIT 5 e ISO Carlos Lobos Medina, CISA, CISM Academico Universidad Diego Portales

Ventajas de un Modelo de Madurez en Ciberseguridad

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Sistema de Gestión de Continuidad de Negocio. Gestión 2017

OnBase SOLUCIONES. GESTION DOCUMENTAL

El papel del puerto en la cadena de suministro

SERVICIOS EN SEGURIDAD DE LA INFORMACION SISTESEG BOGOTA/COLOMBIA

POLITICA INSTITUCIONAL DE TECNOLOGIAS DE LA INFORMACIÓN Periodo

Seguridad Informática

El Marco de Seguridad Informática bajo una Estrategia Digital

IMPLEMENTACIÓN DE UNA NUBE HÍBRIDA EN Copyright 2015 EMC Corporation. Todos los derechos reservados.

ERA DEL BIG DATA (SMAC) Carlos Manuel FERNÁNDEZ. CISA,CISM. Gerente de TICs -AENOR AENOR

2018 INFORME DE THALES SOBRE AMENZAS A DATOS

ESTRUCTURA RECOMENDADA PARA EL DOCUMENTO DE POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN ISO 27001:2013 VERSIÓN 1.0

VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y EJERCICIO DE LA REVISORÍA FISCAL

LIDERE LA TRANSFORMACIÓN DE LA NUBE. Copyright 2013 EMC Corporation. Todos los derechos reservados.

FECHA DE EMISIÓN ORIGINAL TOTAL DE PÁGINAS

SERVICIOS ADMINISTRADOS DE TI

COBIT 4.1. Entregar y Dar Soporte DS5 Garantizar la Seguridad de los Sistemas. By Juan Antonio Vásquez

Gestión de identidades y accesos como servicio (IAMaaS) en entornos in situ y en la nube: Prácticas recomendadas para mantener la seguridad y el

SERVICIOS ADMINISTRADOS DE TI

Tendencias en Cyber Riesgos y Seguridad de la Información Estudio de Tendencias en Latinoamérica Agosto 2016

Riesgos y Costos de la pérdida de información

Importancia de la Gestión de la Identidad y Control de Acceso en la Seguridad Cibernética. Gabriela Espinosa Calderón

Clasificación de la Información Organizando y protegiendo su activo más valioso

Contenidos detallados

Charla de Preparación para la Pre-Auditoría del SGSI

POLÍTICAS DE SEGURIDAD DE LA INFORMACIÓN GREXPHARMA S.A.S

RIESGO OPERACIONAL La crisis económica aumenta el riesgo de fraude. Lic. Yanio Concepción

PROGRAMA DE ESTÍMULOS A LA INNOVACIÓN

Curso de Preparación para CISSP 27 al 31 de marzo 2017 Santo Domingo

Administración de Riesgo

Micro Focus permite a los clientes:

Transcripción:

Demandas y costos de Seguridad en TI en las Empresas Max Rodríguez Ejecutivo de Ventas de Seguridad de IBM Tivoli Marzo 2009

Demandas en Seguridad de TI Responder mejor a las necesidades Integración más fuerte con terceros Acceso dinámico a los datos Aumento de externalizar el desarrollo Arquitectura Orientada al Servicio (SOA) Reducción de presupuesto y costos de empleo Cloud Computing Ciclos de desarrollo más cortos Software como un servicio Nuevas exigencias reguladoras Mejor visibilidad en cumplimientos Mejor protección de datos Aumento de fraude interno 2

Entendiendo lo que es Seguridad en Sistemas Qué es Seguridad? Todos queremos estar seguros, verdad? Confidencialidad, Integridad, Disponibilidad (CID) Definición simple: La seguridad es acerca de la gestión del riesgos 3

Las empresas buscan una solución sobre la base de políticas que extienda un puente a las necesidades del negocio sobre las preocupaciones de Seguridad de Aplicaciones y Datos Acceso de datos, revelación y conformidad de privacidad Cumplir con revelación de datos y regulaciones de privacidad, incluyendo PCI DSS, GLBA, directiva de privacidad de datos de la EU Reducir el costo de cumplimiento e auditoría Seguridad y agilidad en aplicativos Asegurar la colaboración/externalización de datos Simplificar la gerencia y rápidamente poner en práctica cambios en las políticas para proteger datos en aplicaciones críticas Manejo de riesgo comercial protegiendo la información, acceso y propiedad intelectual Proteger el acceso a datos en uso dentro de portales y datos en reposo, incluso datos confidenciales de empleados, clientes, datos financieros, propiedad intelectual Almacenaje seguro Proteger datos en reposo en disco y cinta 4

Con nuevas oportunidades existen nuevos riesgos Tecnología emergente Virtualización y cloud computing incrementa la complejidad de la infraestructura Los aplicativos son puntos vulnerables de brechas y ataques Explosión de datos e información Los volúmenes de datos se incrementan al doble cada 18 meses Almacenamiento, seguridad, y contexto de descubrimiento entorno a la información es cada vez más importante Mundo inalámbrico Las plataformas móviles demandan un nuevo significado a la identificación La seguridad tecnológica está muchos años más retrasada que la seguridad que sido utilizada en proteger a las PCs Cadena de suministro La cadena es tan fuerte como el eslabón más débil... los socios deben asumir su parte justa de la carga para el cumplimiento y la responsabilidad del fracaso Expectativas de privacidad Una suposición o expectativa existe ahora para integrar la seguridad en la infraestructura, los procesos y aplicaciones Fatiga de cumplimientos Las organizaciones están tratando de mantener un equilibrio entre la inversión en la seguridad y el cumplimiento de procesos 5

No todos los riesgos son creados igual Frecuencia de ocurrencias por año frecuente poco frecuente 1,000 100 10 1 1/10 1/100 1/1,000 1/10,000 Virus Gusanos Fallas de Disponibilidad Corrupción de Datos Fallas de disco Problemas de Red Impulsador de datos Cortes de Energía Incumplimiento de regulaciones Inaccesibilidad de trabajo Impulsador de Empresas Falta de Gobernabilidad Fallas de estándares de la industria Fallas regionales Terrorismo / manifestaciones civiles Desastres Naturales Pandemia Edificio en fuego Impulsador de Eventos 1/100,000 $1 $10 $100 $1,000 $10k $100k $1M $10M $100M Consecuencias (pérdidas por ocurrencia) en dólares por ocurrencia baja alta 6

Tampoco todas las soluciones de seguridad Encontrar un equilibrio entre la seguridad efectiva y el costo El axioma nunca gastar BsF. 1000 en una reja para proteger a un caballo de BsF. 100 Estudios demuestran que el Principio de Pareto (la regla 80-20), se aplica a la seguridad de TI * 87% de las brechas fueron consideradas evitables a través de controles razonables* Un pequeño conjunto de altos controles de seguridad proporcionan una cantidad desproporcionadamente alta de cobertura Altos controles mantienen el riesgo en cada nivel de la empresa Organizaciones que utilizan altos controles de seguridad, mantienen significativamente mayor rendimiento. * Presión Costos Complejidad Efectividad *Sources: W.H. Baker, C.D. Hylender, J.A. Valentine, 2008 Data Breach Investigations Report, Verizon Business, June 2008 ITPI: IT Process Institute, EMA December 2008 Agilidad Tiempo 7

Costo de reseteo de contraseñas Cuántas llamadas por semana recibe la mesa de apoyo para reseteo de contraseñas? Cuál es el costo estimado de cada reseteo? Cuánto tiempo toma llevar a cabo esta labor? Cuál es el costo promedio por hora de trabajo de empleados? Ejemplo 1: 100 reseteos de contraseñas por semana $20 por c/u = $2000 por semana o $104,000 por año Ejemplo 2: 100 reseteos de contraseñas toman 30 minutos 100 * 30 minutes = 3000 minutos / 60 = 50 horas de productividad perdida Promedio de costo por empleado por hora de $10 = 50 * 10 = $500 por semana en pérdidas de productividad o $26,000 por año 8

El valor de la información Cuál es el valor de los datos de la empresa? Qué valor han asignado al riesgo de pérdida o fuga de los datos/información? Cuál es el costo de recuperar la información o sistema después de que un PUMA inadvertidamente destruya un backup? Cuál es el costo de demostrar el comportamiento de los usuarios a un auditor? Cuántos y actuales ataques maliciosos han ocurrido en los últimos 12 meses y cuánto han costado a la empresa? 9

Seguridad: Definiendo el campo Quiénes son los usuarios y cuáles son sus roles? Aprovisionamiento de usuarios Quién es el usuario para esta transacción? Acceso web Acceso federado web Acceso a los servicios y la propagación de identidad Qué es lo que el usuario puede hacer dentro de esta transacción? Granular grueso (Nivel operacional, basado en roles) Granular fino (Nivel de datos, basado en función/atributos/reglas/políticas) Qué es lo que hizo el usuario? Granular fino (Nivel de datos, basado en función/atributos/reglas/políticas) 10

Conclusiones Las empresas necesitan hoy en día controles de TI que ayuden en: Gestión de identidades Gestión de control de acceso Gestión de control de cambios Gestión de configuraciones Gestión de nuevas versiones Gestión de almacenaje de datos Gestión de incidentes y problemas SU MISIÓN: Automatizar, monitorear, medir y hacer cumplir los controles de TI 11

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback