Julio César Ardita Socio CYBSEC by Deloitte

jardita@deloitte.com

Transformación del área de Ciberseguridad

Aclaración: © Todos los derechos reservados. No está permitida la reproducción parcial o total

del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

Agenda • Evolución del área de seguridad • Information Security Program Framework • Modelo de capacidades de Ciberseguridad • Proceso de transformación del área

Evolución del área de seguridad

Evolución del área de seguridad Hay un proceso de transformación. Las compañías se están transformando. En el sector financiero aparecen las fin-tech y las tecnologías que se utilizan (apps+cloud) requieren

un desafío a las regulaciones de seguridad. En el sector tecnológico los modelos DevOps / Agile llevan a cuestionar los paradigmas de acceso

DEV/PRD. En todos los sectores, la tecnología Cloud inundó las Organizaciones.

¿Cómo hacemos para transformarnos nosotros?

Evolución del área de seguridad Ciberseguridad se refiere a un conjunto de técnicas y mecanismos que se utilizan para proteger la integridad, disponibilidad y confidencialidad de redes, sistemas, aplicaciones y datos. Ciberseguridad es la TRANSFORMACIÓN de Seguridad Informática y Seguridad de la Información.

Evolución del área de seguridad ¿Qué hacemos hoy en día? Seguridad Informática (AV, FW, Seg SO, Seg BD, Parches, ABM Users, etc.) Seguridad de la Información (IDM, Clasificación de Información, Políticas,

Concientización, Governance, Estrategia, etc.) IT and Security Compliance (SOX, PCI, Habeas Data, ISO 27k, IT Audit, etc.) IT Risks (Gestión de Riesgos de TI, Business Risk, Métricas, BCP, etc.) Ciberseguridad (Todo y más!)

Information Security Program (ISP) Framework Es un Framework desarrollado por Deloitte para medir el nivel de madurez de

una Organización en materia de Seguridad y desarrollar la Estrategia de Seguridad de la Información.

El modelo posee 6 niveles de madurez.

Information Security Program (ISP) Framework Proceso de definición del ISP

Information Security Program (ISP) Framework

Information Security Program (ISP) Framework Ejemplo:

Modelo de capacidades de Ciberseguridad Es un modelo que nos permite medir cual es el nivel actual de nuestras

capacidades (fortalezas y debilidades) en los distintos dominios de Ciberseguridad. Nos da el nivel de madurez actual.

Nos permite ir controlando el avance, priorizar y poner foco donde tenemos los mayores riesgos.

El modelo posee 6 niveles de madurez:

Modelo de capacidades de Ciberseguridad

Modelo de capacidades de Ciberseguridad Ejemplo de situación actual

Modelo de capacidades de Ciberseguridad Ejemplo de Situación futura

Proceso de Transformación del área de Seguridad

Pasar del foco en la Tecnología (Seguridad Informática) al foco en el Negocio (Ciberseguridad)

Proceso de Transformación del área de Seguridad 1. Realizar un Assessment para determinar como estamos 2. Identificar la cultura de la Organización 3. Entrevistas con el CEO – Directores – Áreas de negocio.

¿Cómo ven a Seguridad? ¿Cómo Seguridad puede mejorar? ¿Cómo Seguridad puede ayudarlos a crecer?

4. Determinar cuales son los “crown jewels” de la Organización

Proceso de Transformación del área de Seguridad 5. ¿Cómo esta el área de Seguridad hoy en día?

Nivel de dependencia. ¿Por qué? Tareas que se realizan en el área. ¿Por qué? Cantidad y calidad de recursos. ¿Por qué? Conocer la historia dentro de la Organización y la evolución del área

6. Determinar el nivel de madurez en base al ISP y al modelo de capacidades de Ciberseguridad 7. Determinar el nivel de alcanzar. Identificar los gaps y definir iniciativas en el corto, mediano y largo plazo (1 a 3 años)

Proceso de Transformación del área de Seguridad 8. Buscar los sponsors internos: IT, Auditoria, Riesgo, Finanzas, etc. 9. Desarrollar la Estrategia de Ciberseguridad 10. Comenzar con la iniciativa de Transformar el área de Seguridad:

Redefiniendo las actividades a realizar Proponiendo la estructura necesaria Re-organizando el área para ser más eficiente Negociar con IT tareas operativas u outsourcing

Proceso de Transformación del área de Seguridad Habilidades y competencias que el CISO debería tener: Comunicar los riesgos de ciberseguridad y estrategia directamente a los ejecutivos líderes. Acercar la ciberseguridad dentro del Plan de Riesgos de la Organización. Entender las preocupaciones de las áreas de negocio y sus requerimientos en su IDIOMA. Realizar presentaciones y devoluciones sobre la Estrategia de Ciberseguridad al menos cuatro

veces al año a los Directores. Generar visibilidad al tema de Ciberseguridad.

KPI Métricas Datos

Proceso de Transformación del área de Seguridad Temas a incluir en la agenda: Monitoreo activo 7x24 y servicios de Threat Intelligence CSIRT para responder ante ciberincidentes Concientización sobre social ciber-risks Implementar Autenticación Avanzada (doble factor) Relación con terceros (CISOs pares – CSIRTs – etc.) Cyber Insurance Adopción de servicios de ciberseguridad basados en Cloud (Monitoreo, Analytics, TI, IDAM, etc.) Incluir estrategia de ciberseguridad para IoT devices que se van a conectar a la red corporativa

(smartwatch, gps, smart tv, etc.)

Gracias por asistir a esta sesión

Preguntas y respuestas

Julio César Ardita Socio CYBSEC by Deloitte

jardita@deloitte.com

Transformación del área de Ciberseguridad