d¿Cómo vender la Seguridad a la Alta

Dirección? Los 10 puntos críticos en el

management      Por: Jesús Torrecillas (D.S.E.)

Antes de comenzar…

Reflexión inicial

“EL LIBRO HACE

LIBRES”

Introducción:

Introducción:    Si  usted  piensa  que  la  Tecnología  puede  resolver  sus  problemas  de  Seguridad,  entonces  usted  no  en8ende  los  problemas  de  Seguridad  y  tampoco  en8ende  la  Tecnología.  

(2004)  Schneier,  Bruce.  Secrets  &  lies.  Digital  Security  in  a  networked  world.  John  Wiley  &  Sons  Inc.  

Introducción (11 años atrás) •  No  habían  “muchas”  cerGficaciones.  •  No  habían  empresas  de  Seguridad  consolidadas.  •  Las  compañías  de  SoLware  de  Seguridad  comenzaron  su  estancamiento.    

•  El  anGvirus  ya  no  era  el  motor  de  la  Seguridad.  •  Se  empezó  a  “innovar”  y  se  crearon  los  nubarrones.  

•  Yo  predije  que  el  hackGvismo  sería  noGcia  en  la  prensa  rosa.  (Caso  Paris  Hilton…)  

•  La  fuga  de  información  estratégica  causaría  graves  pérdidas  en  los  negocios.  (Enrom,  Arthur,  etc…)  

•  Y  al  día  de  hoy  sigue  sin  haber  conciencia  de  Seguridad.  

•  ¿Qué  Gene  que  suceder  para  que  en  México  todas  las  empresas  tengan  conciencia  de  Seguridad  e  inviertan  en  auténGcos  expertos?  

Introducción (11 años atrás)

Introducción (hoy) •  En  USA  los  jóvenes  cargan  de  promedio  con  8  disposiGvos  BYOD.  

¿Estamos  locos  o  qué?  •  Si  el  conocimiento  está  distribuido  en  la  red.  ¿Dónde  dejamos  la  

inteligencia  humana?  •  Si  desconectamos  la  electricidad  de  los  expertos…¿Seguirán  siendo  tan  

expertos?  •  Nuevas  tendencias  SDN  y  hacia  dónde  va  el  futuro.  •  La  tecnología  va  muy  por  delante  de  la  auténGca  realidad  del  país.  Hay  un  

gran  rezago  tecnológico  debido  a  la  ignorancia,  corrupción,  y  desidia.  •  CITRIX,  IBM,  Y  CISCO  trabajan  de  la  mano  para  desarrollar  SDN.  •  La  delincuencia  organizada  cada  vez  es  mucho  más  agresiva  y  cuenta  con  

complejas  plataformas  e  infraestructuras.  •  IT  usa  análisis  forense  para  “encontrar”  fraudes  pero  es  poca  la  capacidad  

de  prevención  ante  la  avalancha  de  información.  •  ¿Nubes  sí  o  nubes  no?  Depende…  ¿Qué  hay  detrás  de  los  nubarrones?  

Introducción (hoy)

Introducción (entre el hoy y el mañana) SDN

•  Redes SDN. (Soft Defined Network) •  OPEN FLOW. HP es el primer proveedor en comercializar software

disponible en los switches. •  La inteligencia ya no está en el hardware. (esto puede cambiar) •  “OpenFlow permite acceder directamente y manipular el plano de

redireccionamiento de dispositivos de red como conmutadores y enrutadores, ya sean físicos o virtuales (basados en hipervisor)”. (Open Networking Foundation)

•  OpenFlow facilita el acceso a dispositivos de red para la programación simplificada mediante una interfaz estándar. La facilidad a la hora de programar permite configurar una capa de control solvente para poder centralizar la inteligencia de la red y brindar esa capacidad de programación tan pregonada por la tecnología SDN.

•  Y alguna sorpresita más que les tengo para más adelante…  

•  El  Firewall  está  en  el  lugar  ideal  para  hacer  cumplir  las  políGcas  de  acceso  a  la  red.  

•  Puertos  ≠  aplicación.  •  Direcciones  IP  ≠  Usuarios  .  •  Paquetes  ≠  contenido.  •  UTM  (Unified  Threat  Management)  No  fue  la  solución.  Ante  un  ataque  UTM  ralenGza  la  maquina.  

•  El  Firewall  debe  hacer  su  trabajo.  •  ¿Cómo  converGr  el  Firewall  en  una  herramienta  de  negocio?  

Introducción (entre el hoy y el mañana) Firewalls

•  Los  ataques  contra  RSA  tuvieron  como  objeGvo  los  planos  del  avión  Raptor  F-­‐22  de  USA.  

•  El  Firewall  de  tercera  generación  aborda  tres  problemas:  – Habilita  aplicaciones  con  Seguridad.  – Prevención  de  amenazas.  – Simplifica  la  infraestructura  de  Seguridad.  

Introducción (entre el hoy y el mañana) Firewalls

•  BIG-­‐DATA  (El  desmadre  de  los  datos  que  crecen,  y  crecen,  y  vuelven  a  crecer…)  

•  HADOOP.  ¿Cualo  qué?  •  Deep  Web,  Deepnet,  Invisible  Web,  Dark  Web  o  Hidden  Web  ¿Qué  es  esto?  

•  El  95%  de  la  información  de  Internet  no  se  procesa  por  los  motores  de  búsqueda.  ¿¿¿???  

•  Mí  red  es  como  Londres,  siempre  con  neblina.  •  Administración  del  Riesgo  basado  en  la  Evidencia.  •  SIEM,  el  mounstruo  múlGple  y  complejo.  

 

Introducción (entre el hoy y mañana) BIG DATA

Introducción: Deep Web

¿Cuántos logs en nuestro PC?

•  ¿Sabe  usted  cuantos  logs  hay  en  un  Pc  salido  de  fábrica?  30,  40,  50…  

•  Le  añado  aplicaciones  ¿Cuántos  logs  tengo  ahora?  50,  60,  70…  

•  ¿Puedo  borrar  los  logs?  Sí  limpio  la  sangre  de  un  crimen  ¿Quedan  rastros  tras  limpiar?  

•  Cifrado  criptográfico  de  todos  los  eventos  que  se  generan  en  un  ordenador  ¿Qué  es  esto?  Técnica  de  Encadenamiento  de  hash.  

4 tipos de ciberamenazas •  Ciberespionaje.  (Robo  de  propiedad  Intelectual  o  Industrial)  

•  Ciberdelito  o  cibercrimen.  •  HacGvismo.  •  Ciberterrorismo.      Ya  lo  dije  yo  hace  tres  años  en  mi  conferencia  CYBERWARFARE.  

•  Bit-­‐coin  es  la  moneda  del  Internet  profundo.  (Deep  Web)  

•  Distributed  Dos  (DDoS)  •  Inundaciones  de  la  red:  SYN,  UDP,  ICMP,  HTTP  (Get  Post).  •  Ataques  más  grandes  más  rápidos,  más  complejos.  •  LOIC:  Low  Orbit  Ion  Cannon.  (peGciones  UDP,  TCP,  HTTP  a  lo  besGa)  •  Band  With  Drain  (inundación  por  descarga  en  Gempo  fijo  o  

variable)  •  ¿Tiene  presencia  de  Shell  Booters?  •  ¿Sabe  prevenir  un  Netbot  Asack?  •  ¿Conoce  lo  que  es  un  Dirt  Jumper  Asack?  (y  sus  inundaciones)  •  Ataques  volumétricos.  

 

Tipos de ataques

http://ddos.arbornetworks.com/

Fuente: AccessData

TÉCNICAS: PIVOTING & CLIENT-SITE

•  Una  vez  encontrada  una  vulnerabilidad  tenemos  que  ser  capaces  de  estudiar  hasta  donde  se  podría  haber  llegado.  (Pivoteo  de  servidores)  

•  Client-­‐site:  Comprometer  a  un  empleado  y  ver  hasta  dónde  se  puede  llegar.  

Franken-­‐SIEM  (Según  Gartner)  •  “La tecnología de un SIEM (Security Information and

Event Management ) soporta la detección de amenazas y la respuesta a incidentes de seguridad mediante la recolección y análisis histórico de eventos de seguridad de una gran variedad de fuentes de datos contextuales y eventos.

•  También soporta los reportes de cumplimiento de regulaciones y la investigación analítica mediante el análisis histórico de los datos de esas fuentes. Las capacidades principales de una tecnología SIEM son el amplio alcance de coleccion de eventos y la habilidad de correlacionar y analizar eventos a lo largo de diferentes fuentes .”

•  ¿Ustedes se lo creen?

•  Sí  tengo  un  sistema  SIEM  ¿Por  qué  sigo  emproblemado?  

•  Los  atacantes  saben  que  si  tenemos  un  correlacionador  estáGco  vivimos  “tranquilos”.  

•  ¿No  news  good  news?  ¿Está  seguro?  •  Los  SIEM´s  no  permiten  el  análisis  de  gran  canGdad  de  datos  simultáneamente.  

•  ¿Cuántos  ataques  dejaste  de  ver  confiando  en  el  SIEM?  

Franken-­‐SIEM    

¿En qué consiste la Conciencia de Seguridad?

•  La Seguridad es una percepción. •  Hay que tener claro que la Información sólo es segura

careciendo de debilidades. •  Adquiriendo el conocimiento de los riesgos a todos los

niveles. •  Herramientas y Control. •  Estrategias de Comunicación. •  Evangelizando sobre los beneficios de tener la “casa en

orden”. •  Tener claro que hay que pensar: “Esto también me

puede pasar a mí” (humildad estratégica)

Administración del Riesgo •  Conociendo  el  Riesgo  ¿Sabemos  Administrarlo?  •  Auditorías  periódicas.  ¿Periodicidad?  •  En  muchas  compañías  IT  miente  a  la  alta  dirección  por  miedo  a  represalias,  y  es  una  prácGca  fraudulenta  que  los  de  IT  vayan  de  la  mano  de  los  auditores  para  que  estos  no  encuentren    más  áreas  de  oportunidad.    

•  Auditores  coludidos  con  los  de  IT  para  seguir  trabajando  y  no  perder  la  cuenta.  FRAUDE.  

 

Administración del Riesgo

•  Administrar  el  Riesgo  basado  en  la  evidencia.  •  Revisar—Planear—Hacer  y  volver  a  revisar.  

– Procedimiento:  Sustentable,  RepeGble,  Flexible.  – Tecnología:  Fácil  de  usar,  Reusable,  Flexible,  rápida  de  ejecutar,  y  gran  canGdad  de  datos.  

– Capacitación:  Tecnología  y  Procedimiento.  Cyber-­‐Intelligence  and  Response  Technology  (Access-­‐Data)  CIRT.  

.      

Administración del Riesgo

•  Si  tengo  todas  las  cerGficaciones  ¿Estoy  seguro?  

•  Si  tengo  todas  las  cerGficaciones  ¿Por  qué  soy  blanco  fácil  de  ataque?  

•  Análisis  forense  de  un  FRAUDE  anunciado.  •  ¿Cómo  se  coluden  las  empresas  con  los  auditores?  

•  ¿Dónde  dejamos  la  éGca  y  moral?  

Administración del Riesgo

•  Bájale  tanGto  que  todos  mis  procedimientos  “garanGzan”  que  cumplo  los  estándares.  

•  O  es  blanco  o  es  negro,  el  gris  no  es  opción.  •  Estoy  un  poquito  embarazada…  •  Marear  con  indicadores  falsos  a  la  alta  dirección  una  prácGca  de  comadrejas  de  Gpos  que  ha  perdido  la  éGca  y  la  moralidad.  

•  Los  perjudicados  son  la  empresa  y  los  coludidos.  

Y si éramos pocos…

•  BIG-­‐DATA.  Se  denomina  al  conjuntos  de  datos  que  crecen  tan  rápidamente  que  no  pueden  ser  manipulados  por  las  herramientas  de  gesGón  de  bases  de  datos  tradicionales.  Sin  embargo,  el  tamaño  no  es  el  único  problema  al  que  nos  enfrentamos  si  buscamos  una  solución:  además  de  almacenarlo,  es  necesario  capturar,  consultar,  gesGonar  y  analizar  toda  esta  información…de  ser  posible  en  Gempo  real.  

   

BIG-DATA

http://blog.varonis.com/big-data-security/

Y sí éramos pocos… •  HADOOP. Apache Hadoop es un framework multiplataforma de software

que soporta aplicaciones distribuidas bajo una licencia libre. Se trata de una Multiplataforma implementada en Java que permite trabajar con miles de nodos y volúmenes de datos del orden de petabytes.

•  HADOOP no es un solo producto, es una “suite”. •  HADOOP es un sistema de código abierto que se utiliza para almacenar,

procesar y analizar grandes volúmenes de datos; cientos de terabytes, petabytes o incluso más.

•  HADOOP surgió como iniciativa open source (software libre) a raiz de la publicación de varios papers de Google sobre sus sistemas de archivo, su herramienta de mapas y el sistema BigTable Reduce. Como resultado nació un conjunto de soluciones en el entorno Apache: HDFS Apache, Apache MapReduce y Apache HBase; que se conocen como Hadoop, con herramientas como Sqoop (para importar datos estructurados en Hadoop cluster) o NoSQL (para realizar el análisis de los datos no estructurados) entre otros.

Y  el  que  faltaba  en  discordia…  

De acuerdo a la investigación de Verizon titulada:“ Reporte de la Investigacion de violacion a datos (DBIR)”,El 92% de las violaciones son hechas publicas por alguien diferente a quien ha recibido la violación. Una acusación al SIEM - sólo el 1% de las violaciones son detectados por análisis de logs.

¿Splunk  quéééé?  •  Es  el  presente.  •  El  motor  de  búsqueda  para  los  datos  de  las  máquinas.  •  Idexa  datos  desde  cualquier  máquina.  •  Reenvía  datos  desde  sistemas  remotos.  •  Correlaciona  eventos  complejos.  •  Adaptable  y  configurable  a  todos  los  CPDs.  •  Diseñado  para  BIG-­‐DATA.  •  Proporciona  seguridad  granular  en  base  de  roles.  •  Análisis  forense  en  Gempo  real.  •  Por  fin  podremos  ver  la  foto  de  TI  en  Gempo  real.  •  ¿Quién  está  defraudando  a  la  empresa?  Splunk  aprende  patrones.  •  InvesGgue  alertas,  tendencias,  intenciones,  gustos,  costumbres…  •  La  navaja  suiza  de  los  datos.  

SIEM tradicional versus Splunk Capacidad SIEM tradicional Splunk Detección de amenazas ✔ ✔

Respuesta a incidentes ✔ ✔

Colección en tiempo real ✔ ✔

Analisis histórico ✔ ✔ Adicionar Contexto ✔ ✔ Reporte de Cumplimiento ✔ ✔

Investigación de incidentes

✔ ✔

Correlación en tiempo real

✔ ✔

SIEM tradicional versus Splunk

Capacidad SIEM Tradicional Splunk

Escalabilidad Big Data ✔

Colección y Normalización en base a tiempo

✔

Análisis Estadístico ✔

Inteligencia integrada de amenazas ✔

Indicadores 100% adaptables ✔

Base minima de que es normal y que no ✔

Integración con Hadoop ✔

Investigación flexible a la medida ✔

Soporte para operaciones de IT / App Mgt. ✔

Plataforma de Inteligencia de Seguridad

que además puede mejorar el ROI de otros sistemas soportando decisiones de negocio a lo largo de las funciones del negocio.

Conferencia RSA: CISO Panel “Interestingly enough, nearly all the panelists [Big Data 2.0] said they use the venerable packet-capture and analysis tool Splunk as their primarily analysis tool over more expensive commercial security information and event management (SIEM) products ”

Ramin Safai (formerly CISO at Barclays and CISO at Jefferies and Company) said that data gets pushed into Splunk “because no other tool can handle the volume and complexity of all its data.” While Safai has had discussions with SIEM vendors, none of them provide the same capability to quickly zoom into a dataset and see events based on a particular time or device, pinpoint an event, and then zoom out again and use that event as a starting point to look for trends or similar events. "It's that functionality plus being fast" that matters, Safai said. "Our SIEM doesn't have it; it's very slow. It takes 24 hours to do that with a SIEM and two minutes with Splunk.” Alex Tosheff (CISO eBay) said of Splunk: "It maps closely to an engineer's brain in how it works. It's a tool that's flexible."

Los  10  peores  errores  que  comete  la  Alta  Dirección  en  Seguridad  

•  1°  Asignar  a  gente  sin  experiencia  el  mantenimiento  de  la  Seguridad  y  no  dar  formación  para  aprender  el  trabajo.  

•  2°  Falta  de  compresión  entre  los  obje8vos  del  negocio  y  los  problemas  inherentes  al  mismo.  

•  3°  Confiar  en  que  las  cosas  pasarán  haciendo  lo  mismo  cada  día.  •  4°  No  permi8r  que  la  gente  se  equivoque.  •  5°  Yo  soy  bien  chingón  eso  no  me  pasa.  •  6°  La  men8ra  se  contagia  rápidamente.  •  7°  No  tener  polí8cas  de  reconocimientos  y  consecuencias.  •  8°  Ignorar  los  problemas  no  nos  exime  de  ellos.  •  9°  Confiar  el  futuro  de  tu  organización  sólo  en  consultores  externos.  •  10°  No  darse  cuenta  que  los  errores  come8dos  impactan  en  la  imagen  y  

credibilidad  de  la  compañía.  •  Y  muchos  más…(controles,  seguridad,  procesos,  polí8cas…)  

¿Cómo  vender  el  programa  de  Seguridad  a  la  Alta  Dirección?  

¿Cómo nos acercamos a la alta dirección?

•  Con  valenva.  •  Con  seguridad.  •  Llevándoles  algo  realmente  interesante.  •  Teniendo  claro  que  si  no  les  vendemos  la  idea  hemos  fracasado  como  expertos  de  Seguridad.  

•  Estando  preparados  para  acometer  respuestas  ante  preguntas  muy  directas.  

 

Puntos a exponer a la Alta Dirección

•  La Seguridad como factor estratégico para la continuidad del negocio. •  Usted será el responsable por no proveer Seguridad. •  Deberá apoyar una política que Vd. Apruebe. •  Pérdida de ventajas competitivas. •  Costo de la reputación e integridad. •  Económicas y perdidas no económicas. •  Tensiones por responsabilidades jurídicas. •  Reflexionar que la Información es nuestro producto clave. •  Mostrar el resultado de un anterior Análisis de Riesgo. •  Citar a expertos. •  Proteger el valor de la Propiedad Intelectual. •  Hacer que ellos piensen que tú “morirás” por la Seguridad.

Necesidades de la Dirección •  Sin el apoyo de la Dirección el programa de

Seguridad y de Concienciación no perdurará. •  La Dirección debe creer en la Seguridad de los

Datos y en los grandes beneficios para la organización.

•  La Alta Dirección debe ser el referente en la empresa.

•  Si desde arriba se cumple todos cumplen. •  Se necesitan dos niveles de apoyo:

–  Alta Dirección; Financiamiento y aprobación general. –  Niveles Directivos: Cambiar personal de áreas de producción

para trabajar en el programa.

Directores de la Corporación •  Responsabilidad ante y hacia los accionistas. •  Cuidar la imagen como una gran organización. •  Lo que a otras empresas les costó pérdidas a nosotros

no nos debería suceder… •  ¿Reflejará este programa la buena o mala imagen ante

la opinión pública sobre la compañía? •  ¿Puede el programa reducir gastos?

–  Ahorrar dinero. –  Evitar desconciertos del público. –  Demostrar una solidez como empresa. –  Atraer a nuevos clientes.

•  Riviera  Nayarit  (1º  de  marzo  de  2012).    El  vicepresidente  y  analista  de  Gartner,  Ken  McGee,  advirGó  con  moGvo  del  10º  CIO  Summit  a  los  directores  de  sistemas  presentes:  “Dejen  de  hacer  todo.  Comiencen  a  hacer  menos,  y  concéntrense  en  demostrar  el  ROI  (Retorno  de  Inversión)  de  las  inversiones  en  IT  si  no  quieren  desaparecer”.  

 

•  Desde  el  2006  esto  ya  lo  decíamos  muchos.      

http://www.netmedia.info/featured/cio-debe-concentrarse-en-generar-dinero-afirma-vp-de-gartner/

¿Y el CIO qué?

¿Y el CIO qué?

¿Y el CIO qué?

¿Y el CIO qué? •  ¿Sabe  usted  lo  que  es  el  ROI?  Return  on  Investment.  •  ¿Sabe  usted  lo  que  es  el  TCO?  Total  Cost  of  Ownership.  •  ¿Sabe  usted  lo  que  es  el  EVA?  Economic  Value  Added.  •  ¿Sabe  usted  lo  que  es  el  SLE?  Single  Loss  Expectancy.  •  ¿Sabe  usted  lo  que  es  el  ARO?  Annualized  Rate  of  Ocurrence.  •  ¿Sabe  usted  lo  que  es  el  ALE?  Annualized  Loss  Expectancy.  

   

48  

Gerentes  de  Nivel  Medio  •  Responsabilidad directa para la eficiencia, productividad

y calidad. •  Normalmente juzgados por la toma de medidas y

decisiones. •  Necesitan justificación para procesos no productivos. •  Probablemente requerirán estadísticas.

49  

Puntos  a  Exponer  a  la  Gerencia  Media  •  Programa presentado por un investigador. •  La compañía tendrá beneficios por la prevención. •  Incremento del tiempo de productividad. •  El programa de Seguridad no es una molestia. •  Evaluación del costo de la recuperación de Información

e impacto en la producción. •  Deben expresar su responsabilidad a brindar ayuda.

50  

Puntos  a  Exponer  a  los  Supervisores  y  Empleados  

•  Nosotros le necesitamos para el programa. •  El programa no tendrá éxito a menos que ustedes

brinden su ayuda. •  El programa no interfiere en sus quehaceres diarios. •  El programa mejorará sus auditorías. •  Si perdemos competitividad por fuga de información

estratégica la compañía podría reducir plantilla. •  Una gran empresa está constituida por grandes

personas.

Powerpoint Managers •  ¿Necesarios  o  prescindibles?  •  ¿Azote  divino?  •  Se  la  pasan  documentando  todo  lo  habido  y  por  haber  pero  no  producen  nada  relevante  y  su  costo  hora/hombre  es  cuanGoso.  

•  Se  adjudican  los  éxitos  de  otros  sin  tener  ni  idea.  Y  nunca  admiten  sus  “áreas  de  oportunidad”  ¡Cagadas  en  español!  

•  ¡¡¡Erradíquenlos  y/o  subcontrátelos!!!  

CYBERWARFARE:  

•  ¿Por  qué  fracasan  en  México  los  planes  estratégicos  de  securización?  

•  Estamos  en  el  rezago  tecnológico  debido  al  “valemadrismo”  y  a  la  corrupción.  

•  Cambian  gobiernos,  cambian  estrategias,  y  por  tanto  no  hay  conGnuidad  de  planes  de  Defensa  CibernéGca.  

•  Rotación  de  personal  constante.  •  Obsolescencia  de  la  tecnología…  

BYOD (bring your own devices) •  Sí  éramos  pocos  parió  la  abuela.  •  Cencerros  en  las  vacas.  •  24  horas  haciendo  “tolón  tolón”  •  24  horas  Zeus  trabajando  mientras  tú  duermes.  •  No  hay  soLware  100%  capaz  de  proteger  a  los  “stupidphones”.  (IOS,  Android,  RIN,  W7.5  y  W8…)  

•  Contraseñas  de  4  dígitos.  •  Los  de  IT  se  bajan  los  calzones  ante  los  VIP´s.  •  Más  gasto  innecesario  en  Seguridad  por  tanto  visionario…  que  ni  sabe  de  Seguridad  ni  le  interesa.  

http://www.segurpress.com/index.php/informatica/976-l-gasto-en-seguridad-crece-impulsado-por-las-nuevas-amenazas-y-la-tendencia-byod.html

BYOD (bring your own devices)

Los 10 puntos críticos.

1° Al Este del Oeste…

•  Prepare  bien  una  reunión  de  Ventas.  •  Evite  las  reiteraciones  y  expresiones  coleGlla  como:  Este,  esteeeeee,  esteeeeee,  oseaaaaa.  

•  Leer  un  informe  con  faltas  de  ortogra�a  es  tan  desagradable  como  hablar  con  alguien  cuyo  aliento  apesta.  ¡¡¡Da  muy  mala  imagen!!!  

•  Sea  veraz  y  sin  exageraciones  y  tenga  un  arsenal  de  respuestas  a  posibles  preguntas.  

2° Hable el lenguaje de los Financieros

•  Use  métricas  e  indicadores.  (Kpis)  •  Evite  hablar  de  Bits,  Nubes,  y  de  esta  forma  rarita:  

•  Con  el  know-­‐how  que  tenemos,  hagamos  un  tag  con  los  miembros  de  IT  para  asignar  al  team  el  deployment,  según  consta  en  el  abstract.  De  esta  forma  y  atendiendo  a  mi  main-­‐set  analizar  el  rollmap,  con  el  fin  de  op8mizar  el  workshop  para  conseguir  un  roll  out  efec8vo  del  sonware  para  ello  tenemos  que  elegir  a  un  consultant  con  las  capabili8es  óp8mas  y  de  esta  forma  conseguir  un  head  count  preciso  a  las  necesitades  del  project.  

Obvio es para no parar de reirse

3°  U8lice  ejemplos  de  compe8dores  

•  Maneje  indicadores  eficaces.  •  Consulte  en  la  prensa  las  úlGmas  noGcias.  •  Sepa  e  intuya  cómo  están  posicionadas  otras  empresas  de  su  mismo  nivel.  

•  Muestre  lo  que  le  ha  sucedido  a  otras  compañías  que  no  se  posicionaron  en  Seguridad  y  tuvieron  un  problema  de  pérdida  de  compeGGvidad  causado  por  una  crisis.  

4° No se desanime al principio

•  La  Seguridad  es  dogma  de  fe  (cuando  todo  aparenta  estar  bien)  

•  La  Seguridad  suele  llegar  tarde  (cuando  hay  un  grave  incidente)  

•  Planifique  bien  la  estrategia  de  comunicación  y  no  desfallezca  al  principio.  

•  Sea  persistente,  y  siga  siendo  persistente.  

5° La Seguridad es una Inversión

•  Si  su  dinero  lo  Gene  seguro  en  el  banco,  ¿Por  qué  no  pone  también  sus  datos  a  buen  recaudo?  

•  La  Seguridad  de  la  Información  como  factor  estratégico  en  la  con8nuidad  de  negocio.  

6° Cree relaciones estratégicas •  Sarbanes  Oxley.  •  Isos  2700x.  •  BS1799xx.  •  El  negocio  es  el  negocio  y  es  lo  que  produce.  

7°Ciclo de vida en Seguridad. •  Las  cosas  se  planean,  nacen,  crecen,  maduran,  y  luego  qué…  

•  La  flexibilidad  y  el  seguimiento  es  la  base  del  éxito.  •  Y  una  vez  documentado  vuelta  a  empezar.  

8° Cuidado con lo que vendes:

•  Powerpoint  Managers:  Una  raza  a  evitar.  •  Todo  lo  que  pongas  en  POWERPOINT  puede  ser  usado  en  tú  contra,  o  hacer  mucho  daño  a  la  empresa.  

•  El  perfeccionismo  sólo  causa  inmovilismo.  •  IT  no  es  el  fin  de  la  empresa,  es  una  herramienta  más  del  negocio.  

9° IT al frente de la Organización. •  A  cada  cual  su  lugar,  si  fabricas  pan  IT  debe  apoyar  a  la  producción  y  punto.  

•  Cuidarse  de  los  proveedores  sin  escrúpulos.  •  En  épocas  de  crisis  se  abandona  el  espíritu  de  trabajo  en  equipo.  

10°  Plan  de  Concien8zación.  •  Si  la  gente  no  sabe  de  qué  le  hablan  mostrará  resistencia.  

•  Breve,  claro,  persistente,  y  diverGdo.  •  Hacer  premiaciones  a  la  gente  más  involucrada.  

•  Educadores  bien  preparados  y  conocedores  de  las  situaciones.  

•  Esto  les  servirá  para  todas  las  empresas.  •  Entregar  un  diploma  o  acreditación  al  final.  

Para cuando todo falle: •  1°  Revise  dónde  usted  cree  que  falló.  •  2°  Vuelva  a  empezar  de  nuevo.  •  3°  Busque  apoyos  insGtucionales  de  mayor  nivel.  

•  4°  ¿Por  qué  el  Rey  despidió  a  su  consejero?  •  5°  No  tenga  miedo.  

Reflexión final:

•  Si  las  redes  de  información  nos  han  puesto  en  evidencia  nuestros  acGvos  de  información…  

•  ¿Por  qué  no  nos  desconectamos  y  volvemos  a  nuestro  esquema  clásico  fuera  de  la  nube?  

•  ¿Nos  queda  claro  que  significa  administrar  el  riesgo?  

•  ¿Comprenden  los  CIO´s  y  CISO´s  su  nuevo  rol?  •  ¿Comprende  la  Alta  Dirección  a  la  Tecnología?  

•  SDN  (SoLware  Defined  Network)  hsp://h17007.www1.hp.com/es/es/soluGons/technology/openflow/index.aspx  

•  Libro  Ghost  in  the  Wires  por  Kevin  Mitnick.hsp://mitnicksecurity.com/  •  hsp://bibliotecahacker.wordpress.com/  •  hsp://www.splunk.com/  •  Zarpamos  en  tecnología:  (Revista  UNAM-­‐CERT)  •  hsp://revista.seguridad.unam.mx/numero-­‐16/zarpamos-­‐en-­‐tecnolog

%C3%AD  •  Roles  del  CIO  

hsp://cxo-­‐community.com/arGculos/blogs/blogs-­‐carrera-­‐profesional/308-­‐los-­‐8-­‐roles-­‐del-­‐cio.html  

 

 

REFERENCIAS

REFERENCIAS •  hpp://www.netmedia.info/featured/

ciodebeconcentrarseengenerardineroafirmavpdegartner/  •  URLs  in  this  post:  •  [1]  Image:  hpp://www.netmedia.info/featured/

ciodebeconcentrarseengenerardineroafirmavpdegartner/  •  apachment/kenmcgeekeynote/  •  [2]  Prevé  Gartner  que  desaparezca  area  IT  de  empresas:  hpp://

www.netmedia.info/ul8masno8cias/  •  prevegartnerquedesaparezcaareaitdeempresas/  •  [3]  Afirma  Axtel  que  la  Nube  debe  ser  principal  objeGvo  del  CIO:  •  hpp://www.netmedia.info/ul8masno8cias/  •  afirmaaxtelquelanubedebeserprincipalobje8vodelcio/  •  [4]  SAP  rechaza  clasificación  de  Cuadrante  Mágico  de  Gartner:  •  hpp://www.netmedia.info/soluciones/sonware/saprechazacuadrantemagico/  •  GeekLand  hpp://geekland.hol.es/acceder-­‐a-­‐la-­‐deep-­‐web/  

•  hsp://www.viruslist.com/sp/news?id=208275163  

•  hsp://www.cnnexpansion.com/manufactura/2011/01/04/robo-­‐de-­‐informacion-­‐va-­‐en-­‐aumento  

•  hsp://www.segurpress.com/index.php/colaboradores/editoriales/986-­‐departamento-­‐de-­‐seguridad-­‐en-­‐una-­‐empresa-­‐conceptos-­‐financieros-­‐basicos.html?goback=%2Egde_2063349_member_246761425  

REFERENCIAS

¡¡¡Muchas  gracias!!!    

jntorrecillas@yahoo.es