cómo no incurrir en la ilegalidad. qué necesitamos saber · mecanismos a aplicar para mantener el...
TRANSCRIPT
https://cybercamp.es
Cómo no incurrir en la ilegalidad.
Qué necesitamos saberCarlos Alberto Saiz
ECIX GROUP
@carlos_a_Saiz
Gabriel Follon
EY
Juan Carlos Torres
Accenture
@JuanCar_Tor
https://cybercamp.es
"Ciberseguridad corporativa;
perfil profesional de futuro"
Fernando Davara
www.fernandodavara.com
09 de Octubre de 2015Fernando Davara Rodríguez
Ciberespacio
Es un espacio híbrido, virtual y real.
No es solo un concepto tecnológico ni comprende únicamente a Internet .
Es un territorio sin Estados, fronteras ni elementos geográficos
Virtual
Real
Representa al conjunto de la información disponible en él, así como a los usuarios
que la utilizan y las diferentes formas de intercambiarla entre ellos
Lo constituyen los diferentes equipos, redes y sistemas que permiten almacenar,
buscar, procesar, tratar y compartir la información.
Lo integran componentes y activos, tangibles e intangibles, en especial la información
Caracterizado por la interacción y la capacidad de generar y compartir información.
Espacio artificial; no puede existir sin el factor humano
09 de Octubre de 2015Fernando Davara Rodríguez
Ciberseguridad
Conjunto de políticas, procedimientos, herramientas y
mecanismos a aplicar para mantener el resguardo y la
integridad de los activos de la organización y a los
usuarios en el ciberespacio*.
No es un concepto simplemente técnico; demanda implicar a la
organización y a los usuarios e incluye normativas, políticas, etc.
* UIT–T X.1205
09 de Octubre de 2015Fernando Davara Rodríguez
Carbanak APT (Anunak)
Grupo de ciberdelincuentes de varios países hasta febrero
de 2015 (durante 2 años) consiguieron robar hasta 1.000
millones de dólares de al menos 100 instituciones
financieras de 30 países de todo el mundo
Número de direcciones IP obtenidas
09 de Octubre de 2015Fernando Davara Rodríguez
Anonymous amenaza al Daesh (promete una
reacción masiva)
09 de Octubre de 2015Fernando Davara Rodríguez
Amenazas; agentes
De perfil bajo
Cibercriminales
Ciberactivistas
Individuos aislados o poco organizados, normalmente con fines
exclusivamente personales .
Organizaciones mafiosas o crimen organizado; pretenden obtener un
beneficio económico o provocar daños de acuerdo con sus intereses.
Grupos antisitema, extremismo político e ideológico, etc; desacreditar a
las instituciones y organizaciones a las que atacan
Estados Continuidad de los conflictos físicos al mundo virtual (ciberguerra y
guerra de la información)
Ciberterroristas Organizaciones terroristas; acciones de propaganda, reclutamiento y
atentados contra sistemas de información. Pueden provocar mayor
daño que un atentado más convencional.
09 de Octubre de 2015Fernando Davara Rodríguez
Top 10 riesgos 2015
Cambios regulatorios y mayor control normativo (67%)
Incapacidad para gestionar el impacto en el negocio de los
ciberincidentes (53%)
Falta de capacidad para atraer y retener a los mejores talentos
(56%)
Ausencia de cultura de gestión de riesgos (51%)
Resistencia al cambio (49%)
Gestión de privacidad y protección de la información (52%)
Ausencia de mecanismos de gestión de crisis (46%)
12
09 de Octubre de 2015Fernando Davara Rodríguez
Ciberseguridad corporativa
Nuevos desafíos:
Big Data (manipulación de grandes volúmenes = inseguridad)
Cloud Computing
BYOD (Bring Your Own Device)
Robo de datos personales.
Redes Sociales.
Internet de las cosas
Redes energéticas inteligentes (Smart Grids)
Externalización de procesos de negocio críticos
Recuperación de incidentes y continuidad del negocio
…....
09 de Octubre de 2015Fernando Davara Rodríguez
Principios
Los riesgos de ciberseguridad son algo mas que un asunto de las tecnologías…..
…son un componente fundamental de la gestión de riesgos de la organización.
La Alta dirección y la Suite - C debe comprender las implicaciones legales de los riesgos cibernéticos
Los miembros del Consejo y directivos deben tener los conocimientos necesarios para comprometerse
en cuestiones relacionadas con ellos.
Enfoque holísitico:
….. se deben evaluar los riesgos de ciberseguridad al mismo nivel en la organización que el
resto de ellos.
Los Directores deben asegurar un marco de gestión de riesgos en toda la organización….
….. con una adecuada dotación de personal y presupuesto.
09 de Octubre de 2015Fernando Davara Rodríguez
Ciberseguridad corporativa
• Control del cumplimiento
• Evaluación del cumplimiento
• Auditorías
• Análisis de riesgos
• Gestión de riesgos
• Gestión de incidentes
Riesgos
Cumplimiento
• Estrategia
• Políticas y procedimientos
• Continuidad del negocio
Gobierno
09 de Octubre de 2015Fernando Davara Rodríguez
Ciberseguridad corporativa
Gobierno
Estrategia
Gestión de riesgos
Cumplimiento
Tecnología
Procesos Personas
09 de Octubre de 2015Fernando Davara Rodríguez
Factores que afectan a la CS corporativa
APT Normativa
Exigencia de profesionales y expertos…...
PIC ……
……. con conocimientos especializados en CS :
Dirección,
Gestión,
Técnicos y
Ejecución u operación.
09 de Octubre de 2015Fernando Davara Rodríguez
Compromiso y conocimiento
19
G e s t o r e s R e s t o
p e r s o n a l
S u i t e C
C E O
D i r e c t o r e s
Consejo de
Administración
Asesorías y Staff
09 de Octubre de 2015Fernando Davara Rodríguez
Aumento de incidentes …….
Incidentes gestionados por el CCN – CERT (número)
20
09 de Octubre de 2015Fernando Davara Rodríguez
…. y de peligrosidad
Incidentes gestionados por el CCN – CERT (criticidad)
21
09 de Octubre de 2015Fernando Davara Rodríguez
Problema actual
22
La ciberseguridad se ha desarrollado principalmente como reacción a las amenazas
Existe una enorme brecha de profesionales cualificados en diferentes ámbitos y materias
La ciberseguridad se ha considerado como responsabilidad de un determinado departamento de
profesionales especializados técnicamente
Las amenazas aumentan
Los profesionales no
Muchas amenazas; pocos profesionales
09 de Octubre de 2015Fernando Davara Rodríguez
Problema actual
Demanda
Ofer ta
Demanda de profesionales en
diferentes ámbitosde la ciberseguridad
Número de expertos aumenta linealmente
Diferencia
entre la
necesidad y la
disponibilidad
Tiempo
Nº
de
profesionales
09 de Octubre de 2015Fernando Davara Rodríguez
Cyberseguridad como profesión
24
Demanda creciente en todos los sectores; público, privado y
gobiernos (S&D)
5 últimos años; crecimiento 3,5 veces mas rápido que el de
profesionales de las TIC (tasa de desempleo negativa)
Estimación de crecimiento de demanda en 10% y de oferta en
5%
Nuevos perfiles profesionales de ciberseguridad
09 de Octubre de 2015Fernando Davara Rodríguez
Cyberseguridad como profesión
25
Los nuevos perfiles implican obtener competencias directivas, de gestión y
operación….
….no solamente técnicas
Requieren una importante formación y experiencia
Mas del 80% de los nuevos puestos demandan poseer un grado o post
grado…….
Nuevos perfiles profesionales de ciberseguridad
Integración de estas nuevas disciplinas en
programas formativos de Universidades y
Centros académicos de formación.
Mas de 50 perfiles diferentes
… lo cual dificulta el poder cerrar la brecha entre demanda y oferta.
Es necesario buscar soluciones a medio plazoFuente:
Burning Glass
Technologies
09 de Octubre de 2015Fernando Davara Rodríguez 26
Profesionales
Continuida d de l ne gocio
• Analista de continuidad del negocio
• Gestor de continuidad del negocio
• Planificador de continuidad del negocio
• Consultor de continuidad del negocio
09 de Octubre de 2015Fernando Davara Rodríguez 27
Profesionales
Ge stión de rie sgos
• CRO
• Analista de Riesgos
• Gestor de riesgos corporativos
• Gestor de riesgos de información
• Administrador de riesgos
• Consultor
09 de Octubre de 2015Fernando Davara Rodríguez 28
Profesionales
Se gurida d de la informa ción
• CISO
• Director de seguridad de la información
• Consultor de seguridad de TI
• Analista de aseguramiento de la información
• Arquitecto de seguridad de la información
• Gestor de seguridad de Datos
• Administrador de sistemas de seguridad
• Ingeniero de seguridad de TI
09 de Octubre de 2015Fernando Davara Rodríguez 29
Profesionales
Auditoría
• Auditor de cumplimiento normativo
• Auditor de TI
• Auditor de seguridad
09 de Octubre de 2015Fernando Davara Rodríguez 30
Profesionales
Dire cción y Ge st ión
• CEO
• COO
• CIO
• CISO
• Director de TI
• Gestor de gobierno y cumplimiento
09 de Octubre de 2015Fernando Davara Rodríguez 31
Profesionales
Se gurida d té cnica
• Arquitecto de seguridad de aplicaciones
• Analista de seguridad de red
• Ingeniero de seguridad de TI
• Ingeniero de ciberseguridad
• Especialista en Seguridad de Redes
• Ingeniero de ciberseguridad
• Gestor de protección de datos
09 de Octubre de 2015Fernando Davara Rodríguez 32
Profesionales
Áre a s d ive rsa s
• Consultor de ciberseguridad
• Gestor de respuesta a incidentes
• Analista de informática forense
• Analista en test de penetración
• Consultor de seguridad Cibernética
• Asesor de privacidad y protección de información
09 de Octubre de 2015Fernando Davara Rodríguez 33
Profesionales
Aplica cione s y se rvicios
• Consultor Cloud
• Arquitecto Cloud
• Gestor de seguridad Cloud
• Gestor de infraestructura Cloud
• Consultor de Seguridad Cloud.
• …..
• ……
09 de Octubre de 2015Fernando Davara Rodríguez
Reflexiones finales
Actualmente la cuestión no es saber SI alguna vez sufriremos un
incidente de ciberseguridad , sino CUANDO se producirá.
Pero la ciberseguridad no sólo es cuestión de tecnologías de última
generación …….
….. hay que utilizar las tecnologías no como un fin sino como un
medio para la seguridad y continuidad del negocio…
….. no sólo hay que disponer de ellas, hay que saber utilizarlas, por
el personal adecuado, lo cual implica…..
… integrar la ciberseguridad en la estrategia corporativa…..
…. asegurándose de que la organización cuenta con personal
totalmente comprometido con la ciberseguridad
34
09 de Octubre de 2015Fernando Davara Rodríguez
Reflexiones finales
Problema real de las organizaciones:
□ Aumento de amenazas
□ Aumento de demanda de profesionales
□ Escasa disponibilidad de profesionales
La falta de talento en CS es una de las mayores vulnerabilidades de
que expone a las organizaciones a riesgos muy graves
Es fundamental un equipo humano preparado y convencido……
09 de Octubre de 2015Fernando Davara Rodríguez
Reflexiones finales
Es preciso formar en el conocimiento, análisis y aplicación de
conceptos, métodos y procedimientos…..
…. para el gobierno, dirección y gestión de la seguridad
cibernética en entornos corporativos, ….
……mediante una perspectiva de gestión, en contraste con el
enfoque técnico habitual, para ayudar a cubrir la carencia de
profesionales competentes en ciberseguridad corporativa.
Profesionales
Formación ConcienciaciónExperiencia
https://cybercamp.es @CyberCampEs#CyberCamp15
!! Muchas gracias ¡¡
Fernando Davara
www.fernandodavara.com