¿estrategia, táctica u operación? · más análisis de datos (big data) solo ti hay humanos sin...
TRANSCRIPT
¿Estrategia, Táctica u Operación?
¿Dónde debería estar la Ciberseguridad?
Wilmack Sánchez. MBA + CISSP
@CyberSecStrat
https://co.linkedin.com/in/wilmacksanchez
Atender necesidades del cliente
Digital es clave en el plan de
negocios
(66% de los CEOs) según IDC
1. Experiencias nuevas al
cliente
2. Nuevas fuentes de ingresos
3. Respuestas rápidas al
mercado
4. Cultura de la innovación.
5. Más Colaboración interna.
6. Más análisis de datos (Big
Data)
Solo TI
Hay Humanos
Sin interacción
humana
¿Técnicos tengan
más TICs?
¿Sello para mostrar?
¿Auditores satisfechos?
¿SatisfacerCliente Digital?
Habilitar Transformaciòn Digital en entornos inseguros
¿Cumplir una
norma?
ANTES de definir el proceso JUNTO a la definición
del proceso
DESPUÉS de definir el proceso
¿Puede ayudar
sin saber cómo
es y qué quiere
el proceso?
¿Puede volverse
un stopper de las
iniciativas de
negocio? ¿Puede dar valor
al proceso y
habilitar nuevos
escenarios?
¿Ciberseguridad
estándar? ¿Ciberseguridad
estándar?
¿Ciberseguridad
a la medida?
CONS
• Sin vista a objetivos corporativos
• Indiferente a los “tiempos” y capacidades
• Reactiva
PROs
• Mejores prácticas probadas
• Completitud funcional
A todo mundo le sirve… pero a nadie le luce
CONs • Requiere entender tiempos,
capacidades, cultura organizacional
• Requiere consultoria organizacional
• Arriesga a olvidar las mejores prácticas
PROs • Proactiva
• Orientada al resultado corporativo y no técnico
¡Siempre cuesta más!
¿Cómo compaginar
la estrategia de
transformación digital
corporativa con mi
modelo de
ciberseguridad?
¿Cuál es el conflicto actual?
Estrategia Corporativa
• Más clientes
• Más servicios
• Más relaciones
CiberSeguridad
• Menos accesos
• Menos permisos
• Menos conexiones
Estrategia
• ¿A dónde queremos ir?
• ¿Qué queremos ser y cuándo lo queremos lograr?
• ¿Qué queremos lograr y cómo lo mediremos?
Táctica
• ¿Cómo vamos a llegar a ese lugar?
• ¿Qué esfuerzos vamos a necesitar hacer y en qué orden?
Operación • ¿Cómo mantenemos el ritmo y rumbo fijado en el día a día?
Estrategia • Denme ideas…
Táctica
• Proyectos de inversión y gasto en infraestructura de ciberseguridad.
Operación
• Estándares de mejores prácticas en gestión de Ciberseguridad.
• Gestión de ataques y hallazgos de auditoría
Estrategia
• Tendencias de cibercrimen en escenarios futuros.
• Riesgos de ciberseguridad implícitos en objetivos.
Táctica
• Riesgos en procesos implementados
• Esfuerzos en ciberseguridad requeridos (TICs+Procesos+Cultura) en un horizonte de tiempo.
Operación
• Indicadores de comportamiento del riesgo, amenazas y ataques de ciberseguridad versus transformación digital
¿Cómo se ejecuta la estrategia?
ESTRATEGIA
• ¿Qué se quiere lograr?: Eficiencia, calidad , transparencia, oportunidad,…
TÁCTICA
• ¿De qué forma se logrará?: TICs + RR.HH + Procesos
OPERACIÓN
• ¿Cómo se usarán los recursos asignados?: Crear, modificar o retirar información, TICs, RR.HH o Procesos.
RESULTADOS ESPERADOS
• Información + TICs + RR.HH. + Procesos -> Ciudadanos
¿Cómo construye la ciberseguridad?
Identificar Vulnerabilidades &
Amenazas
Calificar Riesgos
Definir Acciones Correctivas & Preventivas
Ejecutar ACPs
Medir Riesgo Residual
¿Cómo construye la ciberseguridad?
Identificar Vulnerabilidades &
Amenazas
Calificar Riesgos
Definir Acciones Correctivas & Preventivas
Ejecutar ACPs
Medir Riesgo Residual
¿Cómo integrar los enfoques?
ESTRATEGIA
• ¿Qué se quiere lograr?
• ¿Qué riesgos se pueden identificar en los objetivos?
TÁCTICA
• ¿De qué forma se logrará?: TICs + RR.HH + Procesos
• ¿Qué riesgos minimizar y priorizar?
OPERACIÓN
• ¿Cómo se usarán los recursos asignados?:
• ¿Los controles apoyan el logro de los objetivos?
RESULTADOS ESPERADOS
• Información + TICs + RR.HH. + Procesos -> Clientes
• Riesgo identificad, calificado y mitigado
como parte integral de la
transformación digital
CiberSeguridad
¿Estrategia? ¿Objetivos Estratégicos? ¿Comportamiento Clientes? ¿Procesos Internos? ¿Riesgos? ¿Ataques?
¿Qué elementos planear?
Estruc-tura
Organizacional
Marco Norma-
tivo (SGSI)
Cultura
Organizacional
TICs
Resultados corporativos antes que técnicos
Personas
Instalaciones Físicas
Hardware
Redes
Aplicaciones
Plataformas
Información & Datos
• Clientes, visitantes, empleados
• Datacenters, Rack Comunicaciones y Oficinas
• Servers, PCs, Laptop, Smartphones, Thin Stations, Tablets
• WAN , LAN y WiFi
• Código adquirido, generado o actualizado
• Bases de Datos, Servidores Web, Servidores de Aplicaciones
• Información comercial, de personas, gestión corporativa
¿Qué incluye lo técnico?
¿Qué incluye la estructura organizacional?
¿Ejecuta los controles?
¿Quién hace qué?
¿Mejora los controles?
¿Verifica a efectividad
de los controles?
¿Planea el aporte
corporativo?
¿Cuál norma-modelo debemos -
tenemos que seguir?
¿Qué incluye el marco normativo?
Objetivo • ¿Por qué esta y no otra?
Resul-tado
• ¿Qué resultado esperamos lograr?
Medida • ¿Cómo medimos si lo estamos haciendo
bien?
¿Qué incluye la cultura?
Evidencias
Tangibles
Supuestos
Valores
Modelo SCHEIN
Toda estrategia tiene riesgo
Objetivos
corporativos Riesgo Cibernético
“Cyber security is not seen as a business blocker but as a business enabler”
European Energy - Information Sharing & Analysis Centre
Requiere planear la CiberSeguridad como elemento de transformación digital
CIBERSEGURIDAD
¿Qué hacer, cuándo, en qué orden y con qué impacto?
Incluyendo cada elemento del modelo
¿Qué gana la organización con cada esfuerzo?
¿Hacemos lo que todos hacen?
¿Hacemos lo que
necesitamos?
Estrategia
Táctica
Operación
¡Donde aporte!
Preguntas y Comentarios
@CyberSecStrat
https://co.linkedin.com/in/wilmacksanchez
Wilmack Sánchez
Marzo 7 y 8, 2018
Agora Bogotá Convention Center