Los riesgos de seguridad y su impacto en los controles de las organizaciones: tendencias 2012-2014. Septiembre 2012

Documentos relacionados
Sistema de auto-evaluación para la sostenibilidad

0. Introducción Antecedentes

Basado en la ISO 27001:2013. Seguridad de la Información

Ciber-ataques en la Industria y sus Oportunidades

6 - Aspectos Organizativos para la Seguridad

El 92% de las empresas españolas declara haber ha sufrido incidentes de seguridad procedentes de fuentes externas

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Cloud Computig. Riesgos Actuales en la Implementación de. Por: Oscar Vite Consultant PinkElephant, Iberoamérica

Recomendaciones relativas a la continuidad del negocio 1

Hoja Informativa ISO 9001 Comprendiendo los cambios

I. INTRODUCCIÓN DEFINICIONES

POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST

La Organización Remanente La otra mitad de la batalla de Servicios Compartidos

Gestión de riesgo operacional

CyberEdge Seguro de Protección de Datos

Bechtle Solutions Servicios Profesionales

Requisitos de control de proveedores externos

COSO Marco de referencia para la implementación, gestión y control de un adecuado Sistema de Control Interno

La transferencia de los riesgos digitales y soluciones aseguradoras disponibles

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

La banca retail en 2020, Evolución o revolución?

Curso Fundamentos de ITIL

Gestión de la Seguridad de Activos Intelectuales

Supply Chain Management LOGISTICA - LIC. MSC JOSE MARCO QUIROZ MIHAIC 1

Is not jus power, is reliability and trust. Yei Systems S.A. de C.V.

ISO/IEC Sistema de Gestión de Seguridad de la Información

Gestión del Servicio de Tecnología de la información

SISTEMA DE PAPELES DE TRABAJO PARA AUDITORÍA SPT AUDIT

Hernán Morales Muñoz. 1 hora. Visión Global COBIT. Power by UGC

Principios de Privacidad y Confidencialidad de la Información

El outsourcing o tercerización u operador logístico

Norma ISO 14001: 2015

OHSAS 18001: Sistema de Gestión de la Seguridad y Salud en el trabajo

El director de tecnologías de la información del futuro Informe de investigación. Convertirse en un impulsor del cambio en los negocios

COBIT o COBIT enfatiza el cumplimiento regulatorio, ayuda a las organizaciones a

!!!!!! Soluciones a medida para nuestros clientes.

MANEJO DE QUEJAS Y RECLAMOS

6. CIRCUITO Y FLUJO DE MATERIALES

DECLARACIÓN DE PRIVACIDAD DE FONOWEB

5 formas de mejorar su negocio con COMPUTACIÓN EN LA NUBE

EMPRESAS PÚBLICAS DE MEDELLÍN E.S.P. DIRECCIÓN CONTROL INTERNO PROYECTO NORMALIZACIÓN ACTIVIDAD DE AUDITORÍA INTERNA

ESTRATEGIA PARA EL DESARROLLO DEL SECTOR DE TI

MEGA INTERNATIONAL MANAGING ENTERPRISE COMPLEXITY

Guía de seguridad informática Buenas prácticas para el Nuevo Año


Guía: Seguridad Informática. Contenido suministrado por

E-PROCUREMENT PARA FACILITAR LA INTEGRACIÓN EN LA SUPPLY CHAIN

Protocolos de los Indicadores G3: Responsabilidad sobre productos (PR) GRI. Version 3.0

Security Health Check

Boletín de Consultoría Gerencial Gestión de la Cadena de Suministros (Supply Chain Management): Gestión Integral de la Cadena

Sesión No. 12. Contextualización: Nombre de la sesión: SAP segunda parte PAQUETERÍA CONTABLE

Principales Cambios de la ISO 9001:2015

Conseguir ayuda financiera del. formar a los trabajadores temporales. IDEA Consult En nombre de Eurociett/UNI-Europa

Una estructura conceptual para medir la efectividad de la administración

Reporte sobre Seguridad Empresarial. Hallazgos - América Latina

GESTIÓN DE RIESGOS EN PROYECTOS DE INFRAESTRUCTURA

Proceso: AI2 Adquirir y mantener software aplicativo

WhiteHat Tools. Resumen del Producto

GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP

Gestión de Riesgos de TI Un enfoque desde el marco de trabajo COBIT 5 Eduardo Oscar Ritegno Banco de la Nación Argentina

Norma ISO 9001: Sistema de Gestión de la Calidad

Eficiencia Energética con ISO 50001

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES


Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)

I Programa Sectorial ANEI Gestión de la Seguridad de la Información. Presentación Madrid, 4 noviembre de Mario López de Ávila Muñoz

PLANIFICACIÓN ESTRATÉGICA: CONCEPTO Y ASPECTOS BÁSICOS.

POLITICA DE SISTEMA DE CONTROL INTERNO

Windows Server 2012: Infraestructura de Escritorio Virtual

ARQUITECTURA TÉCNICA ASIGNATURA: MATERIALES DE CONSTRUCCIÓN II CURSO: APUNTES TEMA 1: CONTROL DE CALIDAD

Plan de Estudios Maestría en Marketing

Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2

POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

NOTIFICACIÓN DE LOS DERECHOS A LA PRIVACIDAD

servicios públicos establecer un plan director de almacenamiento

Cloud Computing: Definición, generalidades, beneficios y controversias. Marianella Granados Saavedra Ministerio de Justicia y Paz Costa Rica

Jornadas Rioplatenses de Auditoría Interna 2010 BCM Business Continuity Management

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Norma ISO 14001: 2004

PERFILES OCUPACIONALES

Aviso Legal. Entorno Digital, S.A.

Sistema de aseguramiento de la calidad. Certificación ISO y su proceso en una ONG

El modelo de Gobierno, Riesgo y Cumplimiento - GRC. 10 Congreso de Riesgo Financiero - Asobancaria Noviembre de 2011

DECLARACIÓN POLÍTICA DE PRIVACIDAD Programa Informático de Austin / Travis County HMIS

IT Effectiveness. Creamos valor a través de la Gestión de la Tecnología * *connectedthinking

CAPITAL RIESGO: EL PLAN DE NEGOCIOS

CREACIÓN DE UN DEPARTAMENTO DE RELACIONES PÚBLICAS PARA LOS ALMACENES EL CHOCHO Y EL CAMPEÓN

MBA ECR - Scorecard Compacto (Bosquejo)

NEUTRALIDAD DE RED: EN DEFENSA DE LOS DERECHOS DE LOS USUARIOS Y DE LA LIBERTAD DE ACTUACIÓN DE LOS AGENTES

REPÚBLICA DE PANAMÁ CONTRALORÍA GENERAL DE LA REPÚBLICA DE PANAMÁ

CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA

Actualización sobre COSO: Liderazgo de pensamiento para mejorar su organización. Robert Hirth Presidente, COSO

Redes cableadas (Ethernet)

LA PLANIFICACIÓN ESTRATÉGICA EN MATERIA TIC EN EL ÁMBITO DE LA AGE

Conferencia Nueva ISO 9001:2015

Funciones y Responsabilidades en la Planificación Concurrente

CAPITULO I. Introducción. En la actualidad, las empresas están tomando un papel activo en cuanto al uso de sistemas y

LINEAMIENTOS DE RENDICIÓN DE CUENTAS DE LA CREG

RGIS POLÍTICA ANTI-CORRUPCIÓN

Transcripción:

Los riesgos de seguridad y su impacto en los controles de las organizaciones: tendencias 2012-2014 Septiembre 2012

Agenda 1 Introducción 2 Visión estratégica de las amenazas al 2014 3 Amenazas externas 4 Amenazas regulatorias 5 Amenazas internas 6 Conclusiones

Introducción

Introducción Cómo se definen los controles en sus organizaciones? El proceso de gestión de riesgo Organizacional está alineado al proceso de gestión de riesgo tecnológico? Existe un proceso formal de gestión de riesgo tecnológico? Cada cuanto se actualiza el proceso de gestión de riesgos de sus organizaciones? Con que frecuencia aparecen nuevos riesgos en el Ciber-espacio?..entonces estamos preparados para atender los riesgos que presenta las tecnologías actuales y su evolución? 4

El reto Para aprovechar las ventajas de la tecnología y el ciberespacio, las organizaciones deben gestionar los nuevos riesgos más allá de los tradicionalmentereducir cubiertoalpor mínimo la función el elemento de seguridad de la información, incluidos sorpresa los... ataques a la reputación y todo tipo de tecnología desde los teléfonos hasta los sistemas de control industrial (p.e. SCADA). y la creación de capacidad de aguantar y recuperar. Gestión de riesgos tradicional no es lo suficientemente ágil para hacer frente a los riesgos de la actividad en el ciberespacio. La gestión del riesgo debe hacerse extensiva para crear resiliencia a riesgos, que debe ser construida sobre una base de preparación. 5

Una visión estratégica de las amenazas al 2014

Estructura 1. Se presentan las 10 principales amenazas que se espera se manifiesten o se fortalezcan en los próximos 2 años. 2. Por cada amenaza se presenta: Multiplicadores de las amenazas Industrias posiblemente afectadas Acciones iniciales a considerar 3. Estas amenazas se clasificaron en 3 categorías: Amenazas externas Amenazas regulatorias Amenazas internas 4. Por cada categoría se presenta el posible impacto al negocio de las amenazas de la categoría 7

Top 10 de amenazas por categoría Amenazas Externas Aumento en la ciber criminalidad La carrera ciber armas conduce a una ciberguerra fría Más causas entran en línea, los activistas se vuelven más activos El ciberespacio se vuelve físico Amenazas Regulatorias Nuevos requerimientos brilla una luz en los rincones oscuros, exponiendo debilidades Un enfoque en privacidad distrae otros esfuerzos de seguridad Amenazas Internas Las presiones de costos sofocar inversión crítica, una función subvaluado no puede seguir el ritmo Una comprensión nublada conduce a un desastre subcontratado Las nuevas tecnologías abruman La cadena de suministro incluye una fuga - la amenaza interna viene de fuera Fuente: Information Security Forum Threat Horizon 2014 8

Amenazas externas Slide 9

Amenazas Externas: Aumento en la ciber criminalidad Crecimiento de las comunidades organizadas de Ciber crimen y espionaje Sofisticación tecnica y no-tecnica Aumento en la ciber criminalidad No se preveé disminución en el corto o mediano plazo Demostración esperanzadora de las autoridades 10

Aumento en la ciber criminalidad: Factores críticos Multiplicadores de las amenazas malware móvil Abuso de nuevos dominios de primer nivel (como. Isf en lugar de. Org o. Com) Ataques de Cloud Computing como la recolección de nube Los ataques se centra en la infraestructura de Internet (HTML5, Flash, Java, IPv6, SSL, etc) Industrias afectadas Actividades financieras y de Seguros Very High Información y Comunicaciones Very High Administración Pública y Defensa Very High Oil & Gas High Transporte y Almacenamiento High Ventas al mayor y al detal High Recomendaciones iniciales Implementar la seguridad básica tomado medidas para mejorar la resiliencia Establecer estrechas relaciones las agencias investigación Colaborar y compartir información de inteligencia y ataque cibernético con competidores, gobiernos, clientes, proveedores y organizaciones independientes 11

Amenazas Externas: La carrera de ciber armas conduce a la Ciber Guerra Fría Participación de países y estados Ataques efectivos y baratos La carrera de ciber armas conduce a la Ciber Guerra Fría Participació n manifiesta de los gobiernos Una guerra fría con consecuenc ias (Stuxnet) Costo del espionaje en el Negocio 12

La carrera de ciber armas conduce a la Ciber Guerra Fría: Factores críticos Multiplicadores de las amenazas Rootkits smartphones que permiten el espionaje Ataques centrados en la telefonía por Internet Robo sistemático de propiedad intelectual que habilita los mercados en desarrollo Perfilado de grandes datos, tales como la predicción de los resultados fiscales pobres antes de un informe anual Industrias afectadas Oil & Gas Very High Actividades financieras y de Seguros Very High Información y Comunicaciones Very High Manofactura Very High Minería Very High Actividades profesionales, científicas y técnicas Very High Administración pública y defensa Very High Transporte y Almacenamiento High Suministro de agua y servicios públicos High Recomendaciones iniciales Realizar una revisión de quién tiene acceso a la propiedad intelectual Elevar las medidas de seguridad para los grupos de investigación y desarrollo y de los miembros de la junta Involúcrese en las iniciativas de ciberseguridad nacional. Intercambie y actue sobre información de inteligencia sobre los ciberataques en otros países Revise su dependencia de la infraestructura empresarial nacional; revisar la continuidad del negocio y recuperación ante desastres 13

Amenazas Externas: Más causas entran en línea, los activistas se vuelven más activos Más causas entran en línea, los activistas se vuelven más activos Todos los que faltan van a estar Organización a un botón de distancia ( push of a button ) Riesgos de Gran Alcance (transnacion ales) It s here to stay 14

Más causas entran en línea, los activistas se vuelven más activos: Factores Críticos Multiplicadores de las amenazas Crowd sourcing (no sólo de los buenos) Incidentes de tipo Flash Mob Democracia moviéndose a en línea Movimientos civiles como la Primavera Árabe y Occupy Wall Street Nuevas hazañas de Anónimo, tales como la interceptación de llamadas entre USA y UK acerca de la investigación de hacking Doxing - mira a individuos impopulares a través de sus teléfonos inteligentes y las redes sociales Industrias afectadas Recomendaciones iniciales Actividades financieras y de Seguros Very High Información y Comunicaciones Very High Manofactura Very High Administración Pública y Defensa Very High Ventas al mayor y al detal Very High Oil & Gas High Transporte y Almacenamiento High Preparar y poner a prueba una respuesta coordinada involucrando relaciones públicas, seguridad jurídica y seguridad de la información y física Supervisar el ciberespacio para trending topics y los movimientos relativos a su marca o áreas de su negocio Tenga en cuenta que cada caso de activismo en línea puede ser muy diferente, por lo que de debe actuar en consecuencia 15

Amenazas Externas: El Ciberespacio se vuelve físico El Ciberespacio se vuelve físico Objetivos físicos infinitos Que son muy difíciles de asegurar 16

El Ciberespacio se vuelve físico: Factores críticos Multiplicadores de las amenazas Robots electrodomésticos o aeronaves no tripuladas que pueden ser hackeados Los ataques que resultan en la pérdida de vida, como atacar a los dispositivos médicos, el cambio de los semáforos, de forma remota deshabilitar los frenos del vehículo Conectividad de todos los dispositivos, impulsados por la eficiencia Industrias afectadas Oil & Gas Very High Manofactura Very High Actividades profesionales, científicas y técnicas Very High Suministro de agua y servicios públicos Very High Minería High Transporte y Almacenamiento High Recomendaciones iniciales Crear un inventario actualizado de todos los sistemas de control industrial y sistemas de control en tiempo real Revise estos sistemas para posibles accesos no autorizado. Asegúrese de que las medidas de seguridad adecuadas estén en su lugar Vigilar el acceso a estos sistemas y aislar, si es necesario Monitorear las tendencias de ataques en el ciberespacio y ajustar sus planes en consecuencia 17

Impacto al negocio de Amenazas Externas Acciones que se deben considerar para las amenazas Externas Asegúrese de que las medidas básicas de seguridad están en su lugar. Desarrollar ciber resiliencia mediante el establecimiento de un Gobierno de seguridad cibernética, la recolección oportuna de inteligencia e intercambio de datos de ataque, realizar una evaluación de la resiliencia y un plan de respuesta integral. Considere la posibilidad de involucrarse a las iniciativas locales de seguridad cibernética, el intercambio de datos de incidentes, y trabajar con otras organizaciones para construir las bases de la resiliencia. Monitorear las amenazas de los nuevos acontecimientos. Colaborar con las comunicaciones externas y los equipos de gestión de crisis Aumentar la participación de empresas líderes en la gestión de seguridad de información y la preparación 18

Amenazas regulatorias

Amenazas Regulatorias: Nuevos requerimientos brilla una luz en los rincones oscuros, exponiendo debilidades Transparencia en todas partes tiene consecuencias no esperadas Nuevos requerimientos brilla una luz en los rincones oscuros, exponiendo debilidades Momentum en todas partes (desde hace 10 años.us, SEC, EU, supply chain) Una buena noticia con algunos riesgos (cooperación de los buenos también) 20

Nuevos requerimientos brilla una luz en los rincones oscuros, exponiendo debilidades: Factores críticos Multiplicadores de las amenazas Obligación de tener información en tiempo real, no sólo una auditoría Los riesgos de seguridad públicos pueden atraer la ciber delincuencia Seguridad inadecuada con los socios de negocio críticos Escrutinio de los medios por incidentes de seguridad Industrias afectadas Actividades financieras y de Seguros Very High Información y Comunicaciones Very High Actividades profesionales, científicas y técnicas Very High Administración Pública y Defensa Very High Manofactura High Transporte y Almacenamiento High Ventas al mayor y al detal High Recomendaciones iniciales Crear y mantener un repositorio actualizado de los requisitos de presentación de informes legales y regulatorios Aumentar la seguridad y la gestión de la información para comenzar a planificar informes externos Preparar y poner a prueba sus procedimientos de respuesta a incidentes de seguridad, en especial la gestión de stakeholders. 21

Amenazas Regulatorias: El enfoque en privacidad distrae otros esfuerzos de seguridad Privacidad, privacidad en todas partes (EU, USA, CO) BRIC? El enfoque en privacidad distrae otros esfuerzos de seguridad Otra buena noticia con solidación de regulaciones La mayoría de las organizacion es deben proteger la privacidad 22

El enfoque en privacidad distrae otros esfuerzos de seguridad: Factores críticos Multiplicadores de las amenazas Posible creación de Ciber paraísos: los países sin regulaciones onerosas o sin la aplicación de la regulación Regulaciones similares a SOPA, FIPA y ACTA Aumento de las personas y los países que estarán en línea Industrias afectadas Recomendaciones iniciales Actividades financieras y de Seguros Very High Información y Comunicaciones Very High Actividades profesionales, científicas y técnicas Very High Administración Pública y Defensa Very High Ventas al mayor y al detal Very High Oil & Gas High Comience a planificar para las exigencias de la protección de datos Intensificar los requerimientos de seguridad de protección para aquellos socios comerciales que posean o procesen sus datos Determine qué cadena de suministro y socios de outsourcing están manejando datos en su nombre y asegúrese que cumplan con sus requisitos de seguridad de la información Considerar el impacto de cualquiera de los proveedores o socios comerciales se trasladan a las distintas jurisdicciones 23

Impacto al negocio de las Amenazas Regulatorias Acciones para responder a las amenazas regulatorias Adoptar y poner en práctica un enfoque estructurado y sistemático para evaluar el riesgo de violación de datos y cumplir con los requisitos de transparencia Actualizar su marco de protección de datos y los procedimientos de gestión de la información para reflejar los cambios legislativos. Vigilar los progresos legislativos y reglamentarios Revise los nuevos requisitos en detalle para que, en la medida de lo posible, se puede alinear controles de privacidad con otros controles. Únete y participar en asociaciones industriales y de otro tipo para evaluar e influir en la política. 24

Amenazas Internas

Amenazas Internas: Las presiones de costos sofoca la inversión crítica Las presiones de costos sofoca la inversión crítica Los malos están invirtiendo más que los buenos Algunas mejoras en el panorama 26

Las presiones de costos sofocar inversión crítica, una función subvaluado no puede seguir el ritmo: Factores críticos Multiplicadores de las amenazas Industrias afectadas Recomendaciones iniciales Costos ocultos de seguridad en iniciativas empresariales aparentemente atractivas El gasto en educación limitada que dificulta la capacidad para mantenerse al día con las amenazas Administración Pública y Defensa Very High Manofactura High Minería High Transporte y Almacenamiento High Suministro de agua y servicios públicos High Revisar si la función de seguridad de la información tiene recursos suficientes para el perfil de riesgo de la organizaciones Obtener el apoyo estratégico y el compromiso de la dirección ejecutiva 27

Amenazas Internas: Una comprensión nublada conduce a un desastre subcontratado Nueva división digital (efectividad en la aplicación de contres y gasto) Una comprensión nublada conduce a un desastre subcontratado Outsourcing y agilidad 28

Una comprensión nublada conduce a un desastre subcontratado: Factores críticos Multiplicadores de las amenazas Reducción de costos Competencia TI y las funciones de seguridad de la información que se aíslan de la empresa Industrias afectadas Actividades financieras y de Seguros Very High Información y Comunicaciones Very High Actividades profesionales, científicas y técnicas Very High Administración Pública y Defensa Very High Oil & Gas High Manofactura High Minería High Transporte y Almacenamiento High Suministro de agua y servicios públicos High Ventas al mayor y al detal High Recomendaciones iniciales Revisar los planes estratégicos (IT y seguridad de la información) Desarrolle la función de seguridad para responder a los cambios en el modelo de negocio de la organización correspondiente Informar y comunicar en el lenguaje de los negocios, sobre el valor y el riesgo, cuando el outsourcing es y no es apropiado, y sobre las posibles consecuencias para la seguridad 29

Amenazas Internas: Las nuevas tecnologías abruman Las nuevas tecnologías abruman La vanguardia puede ser riesgosa Big data: El próximo gran tema? The Internet of Things Mobile is king 30

Las nuevas tecnologías abruman: Factores críticos Multiplicadores de las amenazas Modelos matemáticos que oscurecen la falta de calidad de los datos. Análisis de los datos que pierde la visión global en su búsqueda de datos cada vez más detallados. La inteligencia artificial en toma de decisiones en los procesos de negocio automatizados Impresión en 3D que alienta el robo de propiedad intelectual y hace las fugas una preocupación Industrias afectadas Información y Comunicaciones Very High Manofactura Very High Actividades profesionales, científicas y técnicas Very High Administración Pública y Defensa Very High Ventas al mayor y al detal Very High Oil & Gas High Actividades financieras y de Seguros High Transporte y Almacenamiento High Recomendaciones iniciales Revisar las implicaciones de seguridad en la introducción de tecnologías nuevas y asegúrese de que los representantes de las empresas entiendan el riesgo asociado Tenga a seguridad de la información involucrada en nuevas iniciativas para que la seguridad adecuada puede introducirse lo antes posible, sin entorpecer el negocio 31

Amenazas Internas: La cadena de suministro tiene una fuga La cadena de suministro tiene una fuga Data, data en todas partes Riesgos complejos y costosos 32

La cadena de suministro incluye una fuga - la amenaza interna viene de fuera: Factores críticos Multiplicadores de las amenazas Interrupciones en la cadena de suministro que requieren un cambio a proveedores menos seguros Proveedores que no tienen la capacidad de eliminar la información confidencial de la empresa por demanda Deshonestos miembros de la cadena de suministro con enlaces a la ciber delincuencia La interrupción de la cadena de suministro debido a los nuevos hotspots políticos Industrias afectadas Actividades financieras y de Seguros Very High Información y Comunicaciones Very High Manofactura Very High Administración Pública y Defensa Very High Oil & Gas High Transporte y Almacenamiento High Ventas al mayor y al detal High Recomendaciones iniciales Llevar a cabo revisiones periódicas del impacto en el negocio y los riesgos de seguridad asociados con cada eslabón de la cadena de suministro y planificar la seguridad en consecuencia 33

Impacto al negocio de las Amenazas Internas Acciones para responder a las amenazas Internas Ayudar a la alta gerencia a comprender el valor de la seguridad de la información. Mejorar la integración de la seguridad en toda la empresa y elevar informes de seguridad a otro nivel de gobierno, como riesgo y cumplimiento (GRC) Comprender el apetito de su organización riesgo y asegurar que el valor de la inversión continua de seguridad cumple con las necesidades del negocio y está bien gastado Tomar posesión de la coordinación de la contratación y aprovisionamiento de las relaciones comerciales, incluidos subcontratistas, offshorers y cadena de suministro y los proveedores de cloud Monitorear las nuevas iniciativas de negocio y obtener seguridad involucrado temprano, como un facilitador. Desarrollar una buena comprensión de qué componentes de TI pueden ser externalizados y cuáles son los riesgos. Averigüe lo que sus proveedores y subcontratistas están haciendo acerca los riesgos que usted identifique. 34

Conclusiones

Conclusiones Y ahora qué? Anticipar tendencias y planificar posibles riesgos es de gran utilidad. Sin embargo, el futuro es en última instancia desconocido. Un horizonte de amenazas de dos años es poco probable que incluya un evento que ocurre una vez cada 100 años, ni un evento completamente inesperado. Para hacer frente a los desconocidos, la gestión de los riesgos conocidos o potenciales, debe ser ampliado para incluir resiliencia organizacional para imprevistos o de baja probabilidad y alto impacto acontecimientos. 36

Conclusiones Pero, Cómo? Ajuste en el proceso de Gestión de Riesgos de la organización, asegurándose que considere los riesgos tecnológicos y de la información. Ajustar los planes estratégicos (y su proceso de creación) de TI y SI Replantear la Función de Seguridad de Activos de Información cómo un elemento de apoyo y habilitador de los procesos del negocio y la innovación Evaluar la tercerización de algunas funciones de seguridad para incrementar su dinamismo Planear para 3 ó 5 años para estar listo ante amenazas de 1 o 2 años. 37

Trust is good, but control is better La red de Firmas suministra servicios de aseguramiento, impuestos y consultoría enfocados a las industrias, para mejorar el valor hacia los clientes. Más de 161,000 profesionales en 154 países que componen nuestra red comparten su pensamiento, experiencias y soluciones para desarrollar perspectivas frescas y proveer una asesoría práctica. 2011 PricewaterhouseCoopers. PricewaterhouseCoopers se refiere a las Firmas colombianas que hacen parte de la organización mundial PricewaterhouseCoopers, cada una de las cuales es una entidad legal separada e independiente. Todos los derechos reservados.

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback