Ahorrar invirtiendo
Joseba EnjutoResponsable de Negocio de Consultoría
XV Jornada Seguridad TI
27/06/2013
Los beneficios de una buena gestión TIC
ÍNDICE
Introducción
Algunos ejemplos
Plan de Sistemas
Seguridad de la Información
Infraestructuras Críticas y Continuidad
Otras iniciativas
Conclusiones
ÍNDICE
Introducción
Algunos ejemplos
Plan de Sistemas
Seguridad de la Información
Infraestructuras Críticas y Continuidad
Otras iniciativas
Conclusiones
Algunos conceptos
AhorrarConservar dinero
Evitar un gasto
GastarUsar dinero en algo
InvertirUsar dinero para obtener un mayor beneficio futuro
ROI (Retorno de la Inversión)Comparar beneficio con dinero invertido
El beneficio debería ser superior a la inversión
Algunas dudas
Ahorrar¿Cuánto dinero conservas?
¿Cuánto dinero estás evitando gastar?
Gastar¿En qué usas el dinero?
Invertir¿Cuál es el beneficio?
¿Cuánto dinero vale ese beneficio?
ROI (Retorno de la Inversión)ROI?
Ciertos retos
MedirDinero
Gastado
Ahorrado
Invertido
Retornado
BeneficioNo económico
Real / Hipotético
ÍNDICE
Introducción
Algunos ejemplos
Plan de Sistemas
Seguridad de la Información
Infraestructuras Críticas y Continuidad
Otras iniciativas
Conclusiones
El Cliente
Eusko-Space S.L. Empresa privada
Participación pública
Sector aeroespacialFabricación de componentes
3 sedesCentral
2 delegaciones
Organigrama:
Departamento TIC:500 PCs
50 servidores
2008: Primer contacto
El problemaLa empresa crece
TIC debe satisfacer las nuevas demandasCapacidad y rendimiento
Escalabilidad y flexibilidad
Seguridad y Continuidad
La SoluciónNextel desarrolla su Plan Estratégico de Sistemas
Arquitectura de red
Arquitectura de sistemas
Arquitectura de seguridad
Gestión de la infraestructura TIC
Los resultados
Plano tecnológicoFW en Alta Disponibilidad
Conexiones vía VPN
Arquitectura red redundante
NAS + backup
…
Plano de gestiónHerramientas de gestión TIC
Monitorización e inventariado
Gestión de incidencias y problemas
Ámbito organizativoRedefinición de funciones
Procedimientos de gestión TIC
Las consecuencias
Coste:Equipamiento e integración: XXX.000 €
Consultoría: YY.000 €
Dedicación interna: zzz horas
Ahorro?
Inversión? Beneficio:Mayor capacidad
Mayor disponibilidad
Mejor continuidad?
Mejor seguridad?
Optimización de procesos?
Automatización?
Datos explotables
ROI?
2011: Un nuevo problema
El retoLa alta dirección quiere un “sello” de seguridad
El grupo lo exige
La dirección financiera quiere rentabilizar el sello
La SoluciónImplantar un SGSI (Sistema de Gestión de Seguridad de la Información)
Alcance limitado
Foco en departamentos “sensibles”
Desarrollo de sistemática de gestión
Implicación de la dirección
Certificarlo bajo ISO 27001
Los resultados
SGSIAlcance: Sede central
Principales riesgos en:Departamento de I+D (confidencialidad)
RR.HH. (confidencialidad)
Fabricación (disponibilidad)
Medidas de seguridad prioritarias:Organización
Cumplimiento legal
Propiedad intelectual
LOPD
Control de acceso lógico (permisos)
Arquitectura de red tolerante a fallos Ya existente
Creación del Comité de Seguridad
Las consecuencias (I)
Coste:Consultoría: AA.000 €
Dedicación interna: bbb horas
Medidas técnicas: CC.000 €
Coste acumulado:Consultoría: YY.000 + AA.000 €
Dedicación interna: zzz + bbb horas
Medidas técnicas: XXX.000 + CC.000 €
Las consecuencias (II)
Ahorro acumulado:Medidas de seguridad existentes
Arquitectura red redundante
Inspección Agencia Protección de DatosDenuncia por uso no autorizado de datos personales
Infracción: Grave (40.000–300.000 €)
Sanción: Apercibimiento
Por haber aplicado SGSI a su resolución
Inversión acumulada:Dedicación a la gestión de la seguridad
80h/mes
Mejoras en la gestión de incidencias25% menos de incidencias
30% menos de tiempo de resolución medio
200h/mes
Las consecuencias (III)
Beneficio acumulado:Optimización de procesos
Automatización
Mejor continuidadUn incidente grave de red no ha provocado parada de la producción
Mayor seguridadReducción en un 20% de los incidentes de disponibilidad
Seguridad mejor gestionada?
ROI:Dedicación
200horas/mes > (zzz + bbb + 80/mes)horas
Coste económicoCoste sanción ≈ YY.000 + AA.000 €
Medidas técnicas?
2012: Responder a las leyes
Un nuevo desafíoLey de Protección de las Infraestructuras Críticas (Ley 8/2011)
Aplica a sector aeroespacial
Requisitos
Desarrollar un Plan de Seguridad en 6 meses
Elaborar Planes de Protección en 4 meses
Eusko-Space S.L. debería prepararse?
La SoluciónDesarrollar un SGC (Sistema de Gestión de la Continuidad)
Visión alineada con Ley PIC
Garantizar cumplimiento de plazos
Aprovechar beneficios propios del SGCRentabilizar inversión
Integrar SGC con SGSIMaximizar eficiencia y eficacia
Los resultados
SGCAlcance: Sede central
Desarrollo de un BIA (Análisis de Impacto en el Negocio)
Gestión de impactos:Alineada con Gestión de riesgos del SGSI
Planes de ContingenciasA partir de los existentes
Planes de Gestión de Crisis
Cuerpo del SGCA partir del SGSI
Seguridad físicaLa existente
Si nombrasen a Eusko-Space S.L. Operador CríticoTrabajo diferencial a partir del SGC
Las consecuencias (I)
Coste:Consultoría: MM.000 €
Dedicación interna: nnn horas
Medidas técnicas: 0 €
Ahorro:Consultoría y dedicación interna:
60% del proyecto existente gracias a SGSI
Medidas técnicas: No han sido necesarias nuevas medidas técnicas
Dedicación a la gestión de la continuidad: 90% de la dedicación ya contemplada por SGSI
Las consecuencias (II)
Inversión:Dedicación a la gestión de la continuidad
8h/mes
Beneficio acumulado:Continuidad mejor gestionada
Disminución en un 10% de los tiempos de recuperación
Seguridad mejor gestionadaDetección de más incidentes de seguridad
Detección de ¿intento? de filtración de patente en curso
Denuncia y bloqueo judicial de actuación ilícita
ROI acumulado:Dedicación
200horas/mes ≈ (zzz + bbb + nnn + 88/mes)horas
Coste económicoBeneficio patente >> MM.000 € >> MM.000 € + XXX.000 + CC.000 € ?
Otras iniciativas
2012: Peritaje informáticoParticipación en resolución de incidente de patente
Auditoría forense
Informe pericial
Defensa del informe en sede judicial
ROI:Despido procedente
Adicionalmente, beneficio de la patente
2009: Desarrollo de un SGSTIDesarrollo y certificación en ISO 20000
SGSI integrado con él
Apoyado en herramientas de gestión TIC
ROI:Gestión de proveedores
Establecimiento de niveles de servicio con costes proporcionales
ÍNDICE
Introducción
Algunos ejemplos
Plan de Sistemas
Seguridad de la Información
Infraestructuras Críticas y Continuidad
Otras iniciativas
Conclusiones
Algunas reflexiones
Consideraciones sobre el ROICuantificación del beneficio no económico
Cuantificación del planteamiento inicialCoste técnico ineludible
Cuantificación de beneficios hipotéticosROSI (Retorno de la Inversión en Seguridad)
Conclusiones
Se puede ahorrar invirtiendoClave: Beneficios a obtener
Orientación a resultados
Es imprescindible poder medirClave: Herramientas de soporte a la gestión
Hay que ser paciente y constanteBeneficios puntuales a corto plazo
Beneficios profundos a más largo plazo
Una buena gestión TIC es una garantía de ahorroMejorar eficiencia
Aumentar eficacia
Incrementar rendimiento
Y si no sabes cómo hacerlo … Nextel te puede ayudarNextel te puede ayudar
¡Muchas Gracias!
XV Jornada Seguridad TI
27/06/2013
Joseba EnjutoResponsable de Negocio de Consultoría
¡Síguenos en Redes Sociales!