Afrontando desafíos: Seguridad en Movilidad y Redes … · visuales pero con muy poca sustancia”...
Transcript of Afrontando desafíos: Seguridad en Movilidad y Redes … · visuales pero con muy poca sustancia”...
El entorno: lo que se nos pide
Consumerización: neologismo que describe la tendencia
según la cual las nuevas tecnologías de la información
emergen en primer lugar en el mercado de consumo para
luego difundirse en el ámbito empresarial. Wikipedia
“Queremos [los consumidores, el mercado interconectado]
tener acceso a tu información corporativa, a tus planes y
estrategias, a tus mejores ideas y a tu conocimiento
genuino. No nos vamos a conformar con tus folletos a
cuatro colores, o con tu web sobrecargada de chucherías
visuales pero con muy poca sustancia” – Tesis 64: Cluetrain
manifesto
“Quizás por primera vez en la historia, la humanidad ha sido capaz de crear más
información de la que nadie puede absorber, fomentar más interdependencia de la que
nadie puede gestionar, y acelerar los cambios a un ritmo que difícilmente podemos
seguir” Peter M. Senge
http://www.personalizemedia.com/the-count/
El entorno: características de la Seguridad para MAPFRE
5
Tiene carácter
PERMANENTE
Debe proporcionar diferenciación (ventaja competitiva)
Debe adecuarse a la evolución de las estrategias y necesidades corporativas
Debe estar orientado al Servicio.
El “cliente” es el activo corporativo a proteger (personas, bienes, valores,
imagen, reputación, etc.)
Debe dar respuesta a todas las amenazas a la seguridad del activo,
contemplando el valor para MAPFRE del activo a proteger.
Todo el Personal
Todos los medios incluyendo a la Tecnología e Instalaciones
Todos los procesos y actividades
Se entiende
como
INTEGRAL
Se define como
GLOBAL al conjunto de
la compañía
Debe aportar
VALOR
Debe contemplarse desde el nacimiento de toda iniciativa de la Organización
Debe formar parte de la cultura corporativa (concienciación)
Debe ser SOSTENIBLE
Líneas de actuación: BYOD (Seguridad en Movilidad)
ÁMBITO
CORPORATIVO
ÁMBITO
PERSONAL
RIESGOS COMUNES + MEDIDAS
=
RIESGO MITIGADO
RIESGOS COMUNES + MEDIDAS
=
RIESGO GRAVE
Robo, pérdida, uso compartido,
software malicioso
Fuga de Datos, Incumplimiento ,
Legal, Suplantación, Daño a la
Imagen, Espionaje Industrial
1. ¿Puedo aplicar seguridad corporativa a un
dispositivo personal?
2. ¿Puedo dar acceso a mi información a
dispositivos inseguros?
Líneas de actuación: BYOD (Seguridad en Movilidad)
Dispositivos
Gestionados Dispositivos No
Gestionados
Equipos bajo el control de MAPFRE
Medidas de seguridad aplicadas
Acceso directo a las aplicaciones
Almacenamiento local de correo y datos
Equipos que MAPFRE no controla
Sin medidas de seguridad corporativas
Acceso a aplicaciones mediante tecnología VDI
No debe almacenar localmente correo ni datos
corporativos
MDM
Medida Amenaza
Registro e Inventario Fuga de Datos
Pérdida de Control
Contraseña simple Robo, pérdida o
transferencia
Cifrado local Robo o pérdida
Borrado Remoto Robo, pérdida o
transferencia Autorización de la Dirección del Área
Autorización de Recursos Humanos
Aceptación formal del usuario para la aplicación de medidas
Configuración segura del dispositivo
Líneas de actuación: Seguridad en el Ciclo de Vida de Aplicaciones Móviles
DEFINICIÓN
Y DISEÑO DESARROLLO IMPLANTACIÓN EXPLOTACIÓN
DES.
LOCAL INTEGRACIÓN PREPRODUCCIÓN PRODUCCIÓN Análisis de Riesgos
de Seguridad
Pruebas
de paso a
producción
Pruebas
Certificación de
Seguridad (Caja
Negra)
Pruebas
Unitarias y de
Integración
Especificación
de Requisitos
Guías de desarrollo seguro:
• IOS
• Android
Metodología de Pruebas
de Seguridad
Asesoramiento Asesoramiento Revisión
Pasarela de
seguridad
ANÁLISIS
DE
VIABILIDAD
Líneas de actuación: Planteamiento Seguridad en Redes Sociales
Presencia Corporativa/ Oficial/ Institucional
Presencia del empleado/
colaborador de MAPFRE con perfil
personal
Presencia del empleado/
colaborador de MAPFRE con perfil
profesional
Ruido sobre la Compañía/Marca
Decálogo de Seguridad en Redes Sociales
Análisis/adecuación cláusulas de confidencialidad
Definición colectivos con acceso a Redes Sociales
Monitorización
Recomendaciones y
formación específica
Consejos de
privacidad para
empleados y grupos
de interés
Incorporar seguridad y cumplimiento
normativo en nuevas iniciativas
Tipologías/clasificación de la información
susceptible de ser publicada
Seguridad dentro de la “Guía de estilo”
Líneas de actuación: Decálogo de Seguridad en Redes Sociales
1. Protege tu privacidad en Redes Sociales
2. Establece círculos o grupos que separen la dimensión personal de la
profesional
3. No utilices información personal para proteger la información
corporativa
4. Aísla a MAPFRE de tu marca personal
5. Ten cuidado con el software malicioso
6. No te conviertas en portavoz de MAPFRE “a tu pesar”
7. Aunque seas un portavoz oficial de MAPFRE en Redes Sociales, no
publiques información propiedad de MAPFRE que no esté clasificada
como pública
8. No recabes ni publiques información de carácter personal de terceros
sin haber informado ni obtenido su consentimiento
9. Si actúas como dinamizador o moderador en Redes Sociales
(Community Manager), sé correcto en tus comentarios, pero vigila los
comentarios de los demás
10. Si eres el responsable en MAPFRE de lanzar nuevas iniciativas en
Redes Sociales, incorpora la seguridad desde el principio y contacta
con la Subdirección General de Seguridad y Medio Ambiente a través
de los canales establecidos