Tendencias de la Tecnologa en Seguridad Informtica - 2010

La seguridad como valor

en los proyectos de TI

Ing. Rodrigo Daniel Sabella

rsabella@banval.sba.com.ar

Seguridad como valor en los Proyectos de TI

Tendencias de la Tecnologa en Seguridad Informtica - 2010

Un entorno cada vez mas demandante y exigente de la seguridad

1)

Por la diversidad de frentes y la complejidad creciente a la que se enfrentan los proyectos de TI:

Recortes de presupuestos.

Escases de recursos humanos.

Actualizaciones tecnolgicas frecuentes.

Cambios de paradigma tecnolgicos.

Cronogramas ajustados.

Mayores exigencias en el control de gestin (Valor al negocio)

2)

Por el fuerte marco regulatorio de seguridad informtica y control interno.

3)

Por el constante cambio y complejidad de los perfiles de riesgo del negocio.

Servicios e informacin compartida entre organizaciones.

Crecimiento del comercio electrnico.

Complejidad creciente de productos y servicios.

Clientes con mayores demandas de conectividad, movilidad y seguridad.

4)

Por el crecimiento exponencial de aplicaciones de software en las organizaciones.

5)

Por la implementacin de aplicaciones que soportan informacin crtica del negocio.

Porque
Porque la
la seguridad
seguridad no
no es
es una
una materia
materia esttica:
esttica:
Las
Las amenazas,
amenazas, los
los ataques
ataques yy las
las defensas
defensas evolucionan
evolucionan

Seguridad como valor en los Proyectos de TI

Tendencias de la Tecnologa en Seguridad Informtica - 2010

La participacin de seguridad en los proyectos de TI un valor para el negocio?

Proyecto exitoso
Gestin de proyectos de TI
Compromiso alta gerencia
Objetivos claramente determinados
Buena comunicacin
Recursos disponibles y adecuados
Roles y responsabilidades
Gestin de cambios
Recursos de otras reas:

Seguridad informtica

Objetivos
satisfechos
Cumplimiento de
presupuesto
Cumplimiento de
plazos
Contribucin de
valor al negocio

Riesgo de las instalaciones

Riesgo de seguridad de la informacin
Riesgo de incumplimiento regulatorio
Riesgo tecnolgico
Riesgo de proveedores
Riesgo de RRHH
Riesgo reputacional
etc.

Seguridad en los
proyectos
Entender
Entender la
la seguridad
seguridad en
en los
los proyectos
proyectos de
de TI
TI como
como una
una caracterstica
caracterstica cualitativa
cualitativa que
que aporta
aporta valor
valor al
al negocio
negocio
minimizando
minimizando su
su exposicin
exposicin aa riesgos
riesgos no
no relacionados
relacionados directamente
directamente al
al beneficio
beneficio esperado.
esperado.

Seguridad como valor en los Proyectos de TI

Tendencias de la Tecnologa en Seguridad Informtica - 2010

La participacin de seguridad en los proyectos de TI en que momento?

FASE
Factibilidad
Planificacin
Anlisis
Requerimientos
Diseo
Desarrollo
Pruebas
Implementacin
Operacin

APORTE
Alinear
Alinear expectativas,
expectativas, justificacin
justificacin econmica
econmica // beneficio
beneficio al
al negocio
negocio
Identificar
recursos,
especializacin,
riesgos
Identificar recursos, especializacin, riesgos
Definir
Definir la
la estrategia
estrategia de
de seguridad
seguridad apropiada.
apropiada. Identificacin
Identificacin yy clasificacin
clasificacin de
de activos.
activos.
Regulaciones,
polticas
aplicables,
riesgos,
etc.
Regulaciones, polticas aplicables, riesgos, etc.
Aportes
Aportes conceptuales
conceptuales yy tcnicos
tcnicos para
para proteger
proteger el
el software
software yy la
la informacin
informacin que
que
se
se procesa,
procesa, adems
adems de
de poder
poder resistir
resistir ataques.
ataques. Minimizar
Minimizar vulnerabilidades
vulnerabilidades
Implementacin
Implementacin de
de baselines
baselines yy definiciones
definiciones especficas
especficas de
de seguridad
seguridad de
de la
la etapa
etapa de
de
diseo
diseo
Mtodo,
Mtodo, Nivel,
Nivel, Pruebas
Pruebas no
no funcionales:
funcionales: Pruebas
Pruebas de
de Stress,
Stress, Pruebas
Pruebas de
de seguridad
seguridad
Seguridad
Seguridad operativa,
operativa, implementacin
implementacin de
de controles,
controles, integracin
integracin aa los
los sistemas
sistemas de
de
seguridad
seguridad productivos
productivos yy procedimientos
procedimientos estndar.
estndar.

Seguridad como valor en los Proyectos de TI

Tendencias de la Tecnologa en Seguridad Informtica - 2010

La deteccin de vulnerabilidades en los proyectos de TI a que costo?

Implementaci
n
Operacin
Seguridad

Pruebas
Seguridad

Desarrollo
Seguridad

Diseo
Factibilidad
Planificacin

Anlisis
Requerimientos

Seguridad

Seguridad

Seguridad

Fuente: Gua de los fundamentos de la direccin de proyectos PMBOK

Seguridad como valor en los Proyectos de TI

Tendencias de la Tecnologa en Seguridad Informtica - 2010

Un FODA o como promover la participacin de Seguridad en los proyectos

Seguridad como valor en los Proyectos de TI

Tendencias de la Tecnologa en Seguridad Informtica - 2010

La consultora externa de seguridad o no estamos solos en esto



La participacin de seguridad en los proyectos, presenta exigencias de diversa complejidad:

Tiempos vencidos
Proyectos simultneos.
Poco margen de anlisis y capacitacin en nuevas tecnologas.
Necesidad de fuertes conocimientos del mercado y sus tendencias.
Experiencia previa, como optimizacin cuando los recursos son escasos.
Alta complejidad tcnica y especializacin de los proyectos.
Necesidad de elaboracin de controles complejos por tecnologas obsoletas o inseguras.

El aporte de valor a los proyectos, requiere responder adecuadamente a las exigencias anteriores.

La
a externa
La consultor
consultora
externa de
de seguridad
seguridad como
como::
El
El apoyo
apoyo efectivo
efectivo aa los
los propios
propios procesos
procesos yy proyectos
proyectos de
de seguridad.
seguridad.
Fuente
Fuente de
de actualizacin,
actualizacin, experiencia
experiencia yy respuesta
respuesta ante
ante incidentes.
incidentes.
Provisin
Provisin de
de recursos
recursos externos
externos especializados
especializados dedicados
dedicados aa los
los proyectos.
proyectos.

Seguridad como valor en los Proyectos de TI

Tendencias de la Tecnologa en Seguridad Informtica - 2010

Best Practices o cmo obtener los mejores resultados

?
o

Apoyo efectivo
a los proyectos
de TI desde las
fases iniciales.

Seguridad como valor en los Proyectos de TI

Tendencias de la Tecnologa en Seguridad Informtica - 2010

La seguridad informtica, un valor

que construimos entre todos

Eslogan del plan de concientizacin 2009 / 2010

Seguridad como valor en los Proyectos de TI

Tendencias de la Tecnologa en Seguridad Informtica - 2010

MUCHAS GRACIAS

Ing. Rodrigo Daniel Sabella

rsabella@banval.sba.com.ar

10