d¿Cómo vender la

Seguridad a la Alta

Dirección? Los 10 puntos críticos en el

management Por: Jesús Torrecillas (D.S.E.)

(Axtel C.I.S.O.)

Antes de comenzar…

Reflexión inicial

“EL LIBRO

HACE

LIBRES”

Introducción:

Introducción:

Si usted piensa que la Tecnología puede resolver sus problemas de Seguridad, entonces usted no entiende los problemas de Seguridad y tampoco entiende la Tecnología.

(2004) Schneier, Bruce. Secrets & lies. Digital Security in a networked world. John Wiley & Sons Inc.

Introducción (12 años atrás)

• No habían “muchas” certificaciones.

• No habían empresas de Seguridad consolidadas.

• Las compañías de Software de Seguridad comenzaron su estancamiento.

• El antivirus ya no era el motor de la Seguridad.

• Se empezó a “innovar” y se crearon los nubarrones.

• Yo predije que el hacktivismo sería noticia en la prensa rosa. (Caso Paris Hilton…)

• La fuga de información estratégica causaría graves pérdidas en los negocios. (Enrom, Arthur, etc…)

• Y al día de hoy sigue sin haber conciencia de Seguridad.

• ¿Qué tiene que suceder para que en México todas las empresas tengan conciencia de Seguridad e inviertan en auténticos expertos?

Introducción (12 años atrás)

Introducción (hoy) • En USA los jóvenes cargan de promedio con 8 dispositivos BYOD. ¿Estamos

locos o qué?

• Si el conocimiento está distribuido en la red. ¿Dónde dejamos la inteligencia humana?

• Si desconectamos la electricidad de los expertos…¿Seguirán siendo tan expertos?

• Nuevas tendencias SDN y hacia dónde va el futuro.

• La tecnología va muy por delante de la auténtica realidad del país. Hay un gran rezago tecnológico debido a la ignorancia, corrupción, y desidia.

• CITRIX, IBM, Y CISCO trabajan de la mano para desarrollar SDN.

• La delincuencia organizada cada vez es mucho más agresiva y cuenta con complejas plataformas e infraestructuras.

• IT usa análisis forense para “encontrar” fraudes pero es poca la capacidad de prevención ante la avalancha de información.

• ¿Nubes sí o nubes no? Depende… ¿Qué hay detrás de los nubarrones?

Introducción (hoy)

Introducción (entre el hoy y el

mañana) SDN • Redes SDN. (Soft Defined Network)

• OPEN FLOW. HP es el primer proveedor en comercializar software

disponible en los switches.

• La inteligencia ya no está en el hardware. (esto puede cambiar)

• “OpenFlow permite acceder directamente y manipular el plano de

redireccionamiento de dispositivos de red como conmutadores y

enrutadores, ya sean físicos o virtuales (basados en

hipervisor)”. (Open Networking Foundation)

• OpenFlow facilita el acceso a dispositivos de red para la

programación simplificada mediante una interfaz estándar. La

facilidad a la hora de programar permite configurar una capa de

control solvente para poder centralizar la inteligencia de la red y

brindar esa capacidad de programación tan pregonada por la

tecnología SDN.

• Y alguna sorpresita más que les tengo para más adelante…

• El Firewall está en el lugar ideal para hacer cumplir las políticas de acceso a la red.

• Puertos ≠ aplicación.

• Direcciones IP ≠ Usuarios .

• Paquetes ≠ contenido.

• UTM (Unified Threat Management) No fue la solución. Ante un ataque UTM ralentiza la maquina.

• El Firewall debe hacer su trabajo.

• ¿Cómo convertir el Firewall en una herramienta de negocio?

Introducción (entre el hoy y el

mañana) Firewalls

• Los ataques contra RSA tuvieron como objetivo los planos del avión Raptor F-22 de USA.

• El Firewall de tercera generación aborda tres problemas:

– Habilita aplicaciones con Seguridad.

– Prevención de amenazas.

– Simplifica la infraestructura de Seguridad.

Introducción (entre el hoy y el

mañana) Firewalls

• BIG-DATA (El desmadre de los datos que crecen, y crecen, y vuelven a crecer…)

• HADOOP. ¿Cualo qué?

• Deep Web, Deepnet, Invisible Web, Dark Web o Hidden Web ¿Qué es esto?

• El 95% de la información de Internet no se procesa por los motores de búsqueda. ¿¿¿???

• Mí red es como Londres, siempre con neblina.

• Administración del Riesgo basado en la Evidencia.

• SIEM, el mounstruo múltiple y complejo.

Introducción (entre el hoy y

mañana) BIG DATA

Introducción: Deep Web

¿Cuántos logs en nuestro PC?

• ¿Sabe usted cuantos logs hay en un Pc salido de fábrica? 30, 40, 50…

• Le añado aplicaciones ¿Cuántos logs tengo ahora? 50, 60, 70…

• ¿Puedo borrar los logs? Sí limpio la sangre de un crimen ¿Quedan rastros tras limpiar?

• Cifrado criptográfico de todos los eventos que se generan en un ordenador ¿Qué es esto? Técnica de Encadenamiento de hash.

4 tipos de ciberamenazas • Ciberespionaje. (Robo de propiedad

Intelectual o Industrial)

• Ciberdelito o cibercrimen.

• Hactivismo.

• Ciberterrorismo.

Ya lo dije yo hace tres años en mi conferencia CYBERWARFARE.

• Bit-coin es la moneda del Internet profundo. (Deep Web)

• Distributed Dos (DDoS)

• Inundaciones de la red: SYN, UDP, ICMP, HTTP (Get Post).

• Ataques más grandes más rápidos, más complejos.

• LOIC: Low Orbit Ion Cannon. (peticiones UDP, TCP, HTTP a lo bestia)

• Band With Drain (inundación por descarga en tiempo fijo o variable)

• ¿Tiene presencia de Shell Booters?

• ¿Sabe prevenir un Netbot Attack?

• ¿Conoce lo que es un Dirt Jumper Attack? (y sus inundaciones)

• Ataques volumétricos.

• Ataque de persistencia avanzada. (APT)

Tipos de ataques

http://ddos.arbornetworks.com/

Fuente: AccessData

TÉCNICAS: PIVOTING & CLIENT-SITE

• Una vez encontrada una vulnerabilidad tenemos que ser capaces de estudiar hasta donde se podría haber llegado. (Pivoteo de servidores)

• Client-site: Comprometer a un empleado y ver hasta dónde se puede llegar.

Franken-SIEM (Según Gartner) • “La tecnología de un SIEM (Security Information and

Event Management ) soporta la detección de amenazas

y la respuesta a incidentes de seguridad mediante la

recolección y análisis histórico de eventos de seguridad

de una gran variedad de fuentes de datos contextuales y

eventos.

• También soporta los reportes de cumplimiento de

regulaciones y la investigación analítica mediante el

análisis histórico de los datos de esas fuentes. Las

capacidades principales de una tecnología SIEM son el

amplio alcance de coleccion de eventos y la habilidad de

correlacionar y analizar eventos a lo largo de diferentes

fuentes .”

• ¿Ustedes se lo creen?

• Sí tengo un sistema SIEM ¿Por qué sigo emproblemado?

• Los atacantes saben que si tenemos un correlacionador estático vivimos “tranquilos”.

• ¿No news good news? ¿Está seguro?

• Los SIEM´s no permiten el análisis de gran cantidad de datos simultáneamente.

• ¿Cuántos ataques dejaste de ver confiando en el SIEM?

• RSA, McAfee, y Splunk son buenas opciones.

Franken-SIEM

¿En qué consiste la Conciencia

de Seguridad?

• La Seguridad es una percepción.

• Hay que tener claro que la Información sólo es segura

careciendo de debilidades.

• Adquiriendo el conocimiento de los riesgos a todos los

niveles.

• Herramientas y Control.

• Estrategias de Comunicación.

• Evangelizando sobre los beneficios de tener la “casa en

orden”.

• Tener claro que hay que pensar: “Esto también me

puede pasar a mí” (humildad estratégica)

Administración del Riesgo

• Conociendo el Riesgo ¿Sabemos Administrarlo?

• Auditorías periódicas. ¿Periodicidad?

• En muchas compañías IT miente a la alta dirección por miedo a represalias, y es una práctica fraudulenta que los de IT vayan de la mano de los auditores para que estos no encuentren más áreas de oportunidad.

• Auditores coludidos con los de IT para seguir trabajando y no perder la cuenta. FRAUDE.

• http://content.yudu.com/Library/A2r3hf/EdicionImpresaNo83Re/resources/74.htm

Administración del Riesgo

Administración del Riesgo

• Administrar el Riesgo basado en la evidencia.

• Revisar—Planear—Hacer y volver a revisar.

– Procedimiento: Sustentable, Repetible, Flexible.

– Tecnología: Fácil de usar, Reusable, Flexible, rápida de ejecutar, y gran cantidad de datos.

– Capacitación: Tecnología y Procedimiento.

– Security Analitics (RSA)(NetWitness)

Cyber-Intelligence and Response Technology (Access-Data) CIRT.

-

.

Administración del Riesgo

• Si tengo todas las certificaciones ¿Estoy seguro?

• Si tengo todas las certificaciones ¿Por qué soy blanco fácil de ataque?

• Análisis forense de un FRAUDE anunciado.

• ¿Cómo se coluden las empresas con los auditores?

• ¿Dónde dejamos la ética y moral?

Administración del Riesgo

• Bájale tantito que todos mis procedimientos “garantizan” que cumplo los estándares.

• O es blanco o es negro, el gris no es opción.

• Estoy un poquito embarazada…

• Marear con indicadores (KPIs) falsos a la alta dirección una práctica de comadrejas de tipos que ha perdido la ética y la moralidad.

• Los perjudicados son la empresa y los coludidos.

Y si éramos pocos…

• BIG-DATA. Se denomina al conjuntos de datos que crecen

tan rápidamente que no pueden ser manipulados por las herramientas de gestión de bases de datos tradicionales. Sin embargo, el tamaño no es el único problema al que nos enfrentamos si buscamos una solución: además de almacenarlo, es necesario capturar, consultar, gestionar y analizar toda esta información…de ser posible en tiempo real.

BIG-DATA

http://blog.varonis.com/big-data-security/

Y sí éramos pocos…

• HADOOP. Apache Hadoop es un framework multiplataforma de software

que soporta aplicaciones distribuidas bajo una licencia libre. Se trata de una

Multiplataforma implementada en Java que permite trabajar con miles de

nodos y volúmenes de datos del orden de petabytes.

• HADOOP no es un solo producto, es una “suite”.

• HADOOP es un sistema de código abierto que se utiliza para almacenar,

procesar y analizar grandes volúmenes de datos; cientos de terabytes,

petabytes o incluso más.

• HADOOP surgió como iniciativa open source (software libre) a raiz de la

publicación de varios papers de Google sobre sus sistemas de archivo, su

herramienta de mapas y el sistema BigTable Reduce. Como resultado nació

un conjunto de soluciones en el entorno Apache: HDFS Apache, Apache

MapReduce y Apache HBase; que se conocen como Hadoop, con

herramientas como Sqoop (para importar datos estructurados en Hadoop

cluster) o NoSQL (para realizar el análisis de los datos no estructurados)

entre otros.

De acuerdo a la investigación de

Verizon titulada:“ Reporte de la Investigacion de

violacion a datos

(DBIR)”,El 92% de las violaciones son hechas

publicas por alguien diferente a quien ha recibido la

violación.

Una acusación al SIEM - sólo el 1% de

las violaciones son detectados por análisis de

logs.

En este aspecto Nitro ha sido evolucionado.

BIG-DATA

¿La consola SIEM? • Es el presente.

• El motor de búsqueda para los datos de las máquinas.

• Idexa datos desde cualquier máquina.

• Reenvía datos desde sistemas remotos.

• Correlaciona eventos complejos.

• Adaptable y configurable a todos los CPDs.

• Diseñado para BIG-DATA.

• Proporciona seguridad granular en base de roles.

• Análisis forense en tiempo real.

• Por fin podremos ver la foto de TI en tiempo real.

• ¿Quién está defraudando a la empresa? Debe aprender de patrones.

• Investigue alertas, tendencias, intenciones, gustos, costumbres…

• La navaja suiza de los datos.

SIEM tradicional versus Splunk

Capacidad SIEM tradicional Splunk

Detección de amenazas ✔ ✔

Respuesta a incidentes ✔ ✔

Colección en tiempo real ✔ ✔

Analisis histórico ✔ ✔

Adicionar Contexto ✔ ✔

Reporte de Cumplimiento ✔ ✔

Investigación de

incidentes ✔ ✔

Correlación en tiempo

real ✔ ✔

SIEM tradicional versus Splunk

Capacidad SIEM Tradicional Splunk

Escalabilidad Big Data ✔

Colección y Normalización en base a

tiempo

✔

Análisis Estadístico ✔

Inteligencia integrada de amenazas ✔

Indicadores 100% adaptables ✔

Base minima de que es normal y que no ✔

Integración con Hadoop ✔

Investigación flexible a la medida ✔

Soporte para operaciones de IT / App Mgt. ✔

Conferencia RSA: CISO Panel “Interestingly enough, nearly all the panelists [Big Data 2.0] said

they use the venerable packet-capture and analysis tool Splunk

as their primarily analysis tool over more expensive

commercial security information and event management

(SIEM) products ”

Ramin Safai (formerly CISO at Barclays and CISO at Jefferies

and Company) said that data gets pushed into Splunk

“because no other tool can handle the volume and

complexity of all its data.” While Safai has had discussions

with SIEM vendors, none of them provide the same capability

to quickly zoom into a dataset and see events based on a

particular time or device, pinpoint an event, and then zoom out

again and use that event as a starting point to look for trends or

similar events.

"It's that functionality plus being fast" that matters, Safai said. "Our SIEM doesn't have it; it's

very slow. It takes 24 hours to do that with a SIEM and two minutes with Splunk.” Alex

Tosheff (CISO eBay) said of Splunk: "It maps closely to an engineer's brain in how it works. It's

a tool that's flexible."

Los 10 peores errores que comete la Alta Dirección en Seguridad

• 1° Asignar a gente sin experiencia el mantenimiento de la Seguridad y no dar formación para aprender el trabajo.

• 2° Falta de compresión entre los objetivos del negocio y los problemas inherentes al mismo.

• 3° Confiar en que las cosas pasarán haciendo lo mismo cada día. • 4° No permitir que la gente se equivoque. • 5° Yo soy bien chingón eso no me pasa. • 6° La mentira se contagia rápidamente. • 7° No tener políticas de reconocimientos y consecuencias. • 8° Ignorar los problemas no nos exime de ellos. • 9° Confiar el futuro de tu organización sólo en consultores externos. • 10° No darse cuenta que los errores cometidos impactan en la imagen y

credibilidad de la compañía. • Y muchos más…(controles, seguridad, procesos, políticas…)

Los 10 peores errores que comete la Alta Dirección en Seguridad

http://www.cavaju.com/2008/08/18/los-10-peores-errores-que-comete-la-alta-

direccion-en-seguridad-de-la-informacion/

¿Cómo vender el programa de Seguridad a la Alta Dirección?

¿Cómo nos acercamos a la

alta dirección? • Con valentía.

• Con seguridad.

• Llevándoles algo realmente interesante.

• Teniendo claro que si no les vendemos la idea hemos fracasado como expertos de Seguridad.

• Estando preparados para acometer respuestas ante preguntas muy directas.

Puntos a exponer a la Alta Dirección

• La Seguridad como factor estratégico para la continuidad del negocio.

• Hacer que ellos piensen que tú “morirás” por la Seguridad.

• Reflexionar que la Información es nuestro producto clave.

• Mostrar el resultado de un anterior Análisis de Riesgo.

• Usted será el responsable por no proveer Seguridad.

• Deberá apoyar una política que Vd. Apruebe.

• Proteger el valor de la Propiedad Intelectual.

• Tensiones por responsabilidades jurídicas.

• Económicas y perdidas no económicas.

• Costo de la reputación e integridad.

• Pérdida de ventajas competitivas.

• Citar a expertos.

Necesidades de la Dirección

• Sin el apoyo de la Dirección el programa de

Seguridad y de Concienciación no perdurará.

• La Dirección debe creer en la Seguridad de los

Datos y en los grandes beneficios para la

organización.

• La Alta Dirección debe ser el referente en la

empresa.

• Si desde arriba se cumple todos cumplen.

• Se necesitan dos niveles de apoyo: – Alta Dirección; Financiamiento y aprobación general.

– Niveles Directivos: Cambiar personal de áreas de producción

para trabajar en el programa.

Directores de la Corporación

• Responsabilidad ante y hacia los accionistas.

• Cuidar la imagen como una gran organización.

• Lo que a otras empresas les costó pérdidas a nosotros

no nos debería suceder…

• ¿Reflejará este programa la buena o mala imagen ante

la opinión pública sobre la compañía?

• ¿Puede el programa reducir gastos?

– Ahorrar dinero.

– Evitar desconciertos del público.

– Demostrar una solidez como empresa.

– Atraer a nuevos clientes.

• Riviera Nayarit (1º de marzo de 2012).

El vicepresidente y analista de Gartner, Ken McGee, advirtió con motivo del 10º CIO Summit a los directores de sistemas presentes: “Dejen de hacer todo. Comiencen a hacer menos, y concéntrense en demostrar el ROI (Retorno de Inversión) de las inversiones en IT si no quieren desaparecer”.

• Desde el 2006 esto ya lo decíamos muchos.

http://www.netmedia.info/featured/cio-debe-concentrarse-en-generar-dinero-afirma-vp-de-gartner/

¿Y el CIO qué?

¿Y el CIO qué?

¿Y el CIO qué?

¿Y el CIO qué? • ¿Sabe usted lo que es el ROI? Return on Investment.

• ¿Sabe usted lo que es el TCO? Total Cost of Ownership.

• ¿Sabe usted lo que es el EVA? Economic Value Added.

• ¿Sabe usted lo que es el SLE? Single Loss Expectancy.

• ¿Sabe usted lo que es el ARO? Annualized Rate of Ocurrence.

• ¿Sabe usted lo que es el ALE? Annualized Loss Expectancy.

48

Gerentes de Nivel Medio

• Responsabilidad directa para la eficiencia, productividad

y calidad.

• Normalmente juzgados por la toma de medidas y

decisiones.

• Necesitan justificación para procesos no productivos.

• Probablemente requerirán estadísticas.

49

Puntos a Exponer a la Gerencia Media • Programa presentado por un investigador.

• La compañía tendrá beneficios por la prevención.

• Incremento del tiempo de productividad.

• El programa de Seguridad no es una molestia.

• Evaluación del costo de la recuperación de Información

e impacto en la producción.

• Deben expresar su responsabilidad a brindar ayuda.

50

Puntos a Exponer a los Supervisores y Empleados

• Nosotros le necesitamos para el programa.

• El programa no tendrá éxito a menos que ustedes

brinden su ayuda.

• El programa no interfiere en sus quehaceres diarios.

• El programa mejorará sus auditorías.

• Si perdemos competitividad por fuga de información

estratégica la compañía podría reducir plantilla.

• Una gran empresa está constituida por grandes

personas.

Powerpoint Managers • ¿Necesarios o prescindibles?

• ¿Azote divino?

• Se la pasan documentando todo lo habido y por haber pero no producen nada relevante y su costo hora/hombre es cuantioso.

• Se adjudican los éxitos de otros sin tener ni idea. Y nunca admiten sus “áreas de oportunidad” ¡Cagadas en español!

• ¡¡¡Erradíquenlos y/o subcontrátelos!!!

CYBERWARFARE:

• ¿Por qué fracasan en México los planes estratégicos de securización?

• Estamos en el rezago tecnológico debido al “valemadrismo” y a la corrupción.

• Cambian gobiernos, cambian estrategias, y por tanto no hay continuidad de planes de Defensa Cibernética.

• Rotación de personal constante.

• Obsolescencia de la tecnología…

BYOD (bring your own devices)

• Sí éramos pocos parió la abuela.

• Cencerros en las vacas.

• 24 horas haciendo “tolón tolón”

• 24 horas Zeus trabajando mientras tú duermes.

• No hay software 100% capaz de proteger a los “stupidphones”. (IOS, Android, RIN, W7.5 y W8…)

• Contraseñas de 4 dígitos.

• Los de IT se bajan los calzones ante los VIP´s.

• Más gasto innecesario en Seguridad por tanto visionario… que ni sabe de Seguridad ni le interesa.

http://www.segurpress.com/index.php/informatica/976-l-gasto-en-seguridad-crece-impulsado-por-las-nuevas-amenazas-y-la-tendencia-byod.html

BYOD (bring your own devices)

Los 10 puntos críticos.

1° Al Este del Oeste…

• Prepare bien una reunión de Ventas.

• Evite las reiteraciones y expresiones coletilla como: Este, esteeeeee, esteeeeee, oseaaaaa.

• Leer un informe con faltas de ortografía es tan desagradable como hablar con alguien cuyo aliento apesta. ¡¡¡Da muy mala imagen!!!

• Sea veraz y sin exageraciones y tenga un arsenal de respuestas a posibles preguntas.

2° Hable el lenguaje de los

Financieros

• Use métricas e indicadores. (Kpis)

• Evite hablar de Bits, Nubes, y de esta forma rarita:

• Con el know-how que tenemos, hagamos un tag con los miembros de IT para asignar al team el deployment, según consta en el abstract. De esta forma y atendiendo a mi main-set analizar el rollmap, con el fin de optimizar el workshop para conseguir un roll out efectivo del software para ello tenemos que elegir a un consultant con las capabilities óptimas y de esta forma conseguir un head count preciso a las necesitades del project.

Obvio es para no parar de reirse

3° Utilice ejemplos de competidores

• Maneje indicadores eficaces.

• Consulte en la prensa las últimas noticias.

• Sepa e intuya cómo están posicionadas otras empresas de su mismo nivel.

• Muestre lo que le ha sucedido a otras compañías que no se posicionaron en Seguridad y tuvieron un problema de pérdida de competitividad causado por una crisis.

4° No se desanime al principio

• La Seguridad es dogma de fe (cuando todo aparenta estar bien)

• La Seguridad suele llegar tarde (cuando hay un grave incidente)

• Planifique bien la estrategia de comunicación y no desfallezca al principio.

• Sea persistente, y siga siendo persistente.

5° La Seguridad es una Inversión

• Si su dinero lo tiene seguro en el banco, ¿Por qué no pone también sus datos a buen recaudo?

• La Seguridad de la Información como factor estratégico en la continuidad de negocio.

5° La Seguridad es una Inversión

http://revista.seguridad.unam.mx/http%3A/%252Frevista.seguridad.unam.mx/num

ero-18/es-la-seguridad-de-la-informacion-un-freno-o-un-facilitador-de-la-expansi

6° Cree relaciones estratégicas

• Sarbanes Oxley.

• Isos 2700x.

• BS1799xx.

• El negocio es el negocio y es lo que produce.

7°Ciclo de vida en Seguridad.

• Las cosas se planean, nacen, crecen, maduran, y luego qué…

• La flexibilidad y el seguimiento es la base del éxito.

• Y una vez documentado vuelta a empezar.

8° Cuidado con lo que vendes:

• Powerpoint Managers: Una raza a evitar.

• Todo lo que pongas en POWERPOINT puede ser usado en tú contra, o hacer mucho daño a la empresa.

• El perfeccionismo sólo causa inmovilismo.

• IT no es el fin de la empresa, es una herramienta más del negocio.

9° IT al frente de la Organización.

• A cada cual su lugar, si fabricas pan IT debe apoyar a la producción y punto.

• Cuidarse de los proveedores sin escrúpulos.

• En épocas de crisis se abandona el espíritu de trabajo en equipo.

10° Plan de Concientización.

• Si la gente no sabe de qué le hablan mostrará resistencia.

• Breve, claro, persistente, y divertido.

• Hacer premiaciones a la gente más involucrada.

• Educadores bien preparados y conocedores de las situaciones.

• Esto les servirá para todas las empresas.

• Entregar un diploma o acreditación al final.

Para cuando todo falle: • 1° Revise dónde usted cree que falló.

• 2° Vuelva a empezar de nuevo.

• 3° Busque apoyos institucionales de mayor nivel.

• 4° ¿Por qué el Rey despidió a su consejero?

• 5° No tenga miedo.

Reflexión final:

• Si las redes de información nos han puesto en evidencia nuestros activos de información…

• ¿Por qué no nos desconectamos y volvemos a nuestro esquema clásico fuera de la nube?

• ¿Nos queda claro que significa administrar el riesgo?

• ¿Comprenden los CIO´s y CISO´s su nuevo rol?

• ¿Comprende la Alta Dirección a la Tecnología?

• SDN (Software Defined Network) http://h17007.www1.hp.com/es/es/solutions/technology/openflow/index.aspx

• Libro Ghost in the Wires por Kevin Mitnick.http://mitnicksecurity.com/

• http://bibliotecahacker.wordpress.com/

• http://www.splunk.com/

• Zarpamos en tecnología: (Revista UNAM-CERT)

• http://revista.seguridad.unam.mx/numero-16/zarpamos-en-tecnolog%C3%AD

• Roles del CIO http://cxo-community.com/articulos/blogs/blogs-carrera-profesional/308-los-8-roles-del-cio.html

• http://www.cavaju.com/2008/08/18/los-10-peores-errores-que-comete-la-alta-direccion-en-seguridad-de-la-informacion/

• http://content.yudu.com/Library/A2r3hf/EdicionImpresaNo83Re/resources/74.htm

• http://revista.seguridad.unam.mx/http%3A/%252Frevista.seguridad.unam.mx/numero-18/es-la-seguridad-de-la-informacion-un-freno-o-un-facilitador-de-la-expansi

REFERENCIAS

REFERENCIAS

• http://www.netmedia.info/featured/ciodebeconcentrarseengenerardineroafirmavpdegartner/

• URLs in this post:

• [1] Image: http://www.netmedia.info/featured/ciodebeconcentrarseengenerardineroafirmavpdegartner/

• attachment/kenmcgeekeynote/

• [2] Prevé Gartner que desaparezca area IT de empresas: http://www.netmedia.info/ultimasnoticias/

• prevegartnerquedesaparezcaareaitdeempresas/

• [3] Afirma Axtel que la Nube debe ser principal objetivo del CIO:

• http://www.netmedia.info/ultimasnoticias/

• afirmaaxtelquelanubedebeserprincipalobjetivodelcio/

• [4] SAP rechaza clasificación de Cuadrante Mágico de Gartner:

• http://www.netmedia.info/soluciones/software/saprechazacuadrantemagico/

• GeekLand http://geekland.hol.es/acceder-a-la-deep-web/

• http://www.viruslist.com/sp/news?id=208275163

• http://www.cnnexpansion.com/manufactura/2011/01/04/robo-de-informacion-va-en-aumento

• http://www.segurpress.com/index.php/colaboradores/editoriales/986-departamento-de-seguridad-en-una-empresa-conceptos-financieros-basicos.html?goback=%2Egde_2063349_member_246761425

REFERENCIAS

¡¡¡Muchas gracias!!!

jntorrecillas@yahoo.es