Tendencias de la Tecnologa en Seguridad Informtica - 2010

La seguridad como valor

en los proyectos de TI

Ing. Rodrigo Daniel Sabella

rsabella@banval.sba.com.ar

1
 Seguridad como valor en los Proyectos de TI
Tendencias de la Tecnologa en Seguridad Informtica - 2010

Un entorno cada vez mas demandante y exigente de la seguridad

1) Por la diversidad de frentes y la complejidad creciente a la que se enfrentan los proyectos de TI:
Recortes de presupuestos.
Escases de recursos humanos.
Actualizaciones tecnolgicas frecuentes.
Cambios de paradigma tecnolgicos.
Cronogramas ajustados.
Mayores exigencias en el control de gestin (Valor al negocio)

2) Por el fuerte marco regulatorio de seguridad informtica y control interno.

3) Por el constante cambio y complejidad de los perfiles de riesgo del negocio.

Servicios e informacin compartida entre organizaciones.
Crecimiento del comercio electrnico.
Complejidad creciente de productos y servicios.
Clientes con mayores demandas de conectividad, movilidad y seguridad.

4) Por el crecimiento exponencial de aplicaciones de software en las organizaciones.

5) Por la implementacin de aplicaciones que soportan informacin crtica del negocio.

Porque
Porque la
la seguridad
seguridad nono es
es una
una materia
materia esttica:
esttica:
Las
Las amenazas,
amenazas, loslos ataques
ataques yy las
las defensas
defensas evolucionan
evolucionan

2
 Seguridad como valor en los Proyectos de TI
Tendencias de la Tecnologa en Seguridad Informtica - 2010

La participacin de seguridad en los proyectos de TI un valor para el negocio?

Objetivos
Proyecto exitoso
satisfechos

Gestin de proyectos de TI
Cumplimiento de
presupuesto
Compromiso alta gerencia
Objetivos claramente determinados
Buena comunicacin
Cumplimiento de
Riesgo de las instalaciones
Recursos disponibles y adecuados plazos Riesgo de seguridad de la informacin
Roles y responsabilidades
Riesgo de incumplimiento regulatorio
Gestin de cambios Contribucin de Riesgo tecnolgico
Recursos de otras reas:
Seguridad informtica
valor al negocio Riesgo de proveedores
Riesgo de RRHH
Riesgo reputacional
etc.
Seguridad en los
proyectos

Entender
Entender la
la seguridad
seguridad en
en los
los proyectos
proyectos de
de TI
TI como
como una
una caracterstica
caracterstica cualitativa
cualitativa que
que aporta
aporta valor
valor al
al negocio
negocio
minimizando
minimizando susu exposicin
exposicin aa riesgos
riesgos no
no relacionados
relacionados directamente
directamente al al beneficio
beneficio esperado.
esperado.

3
 Seguridad como valor en los Proyectos de TI
Tendencias de la Tecnologa en Seguridad Informtica - 2010

La participacin de seguridad en los proyectos de TI en que momento?

FASE APORTE
Factibilidad Alinear
Alinear expectativas,
expectativas, justificacin
justificacin econmica
econmica // beneficio
beneficio al
al negocio
negocio
Planificacin Identificar recursos, especializacin, riesgos
Identificar recursos, especializacin, riesgos

Anlisis Definir
Definir la
la estrategia
estrategia dede seguridad
seguridad apropiada.
apropiada. Identificacin
Identificacin yy clasificacin
clasificacin de
de activos.
activos.
Requerimientos Regulaciones, polticas aplicables, riesgos,
Regulaciones, polticas aplicables, riesgos, etc. etc.

Aportes
Aportes conceptuales
conceptuales yy tcnicos
tcnicos para
para proteger
proteger el
el software
software yy la
la informacin
informacin que
que
Diseo
se
se procesa,
procesa, adems
adems de
de poder
poder resistir
resistir ataques.
ataques. Minimizar
Minimizar vulnerabilidades
vulnerabilidades

Implementacin
Implementacin de
de baselines
baselines yy definiciones
definiciones especficas
especficas de
de seguridad
seguridad de
de la
la etapa
etapa de
de
Desarrollo diseo
diseo

Pruebas Mtodo,
Mtodo, Nivel,
Nivel, Pruebas
Pruebas no
no funcionales:
funcionales: Pruebas
Pruebas de
de Stress,
Stress, Pruebas
Pruebas de
de seguridad
seguridad

Implementacin Seguridad
Seguridad operativa,
operativa, implementacin
implementacin de
de controles,
controles, integracin
integracin aa los
los sistemas
sistemas de
de
Operacin seguridad
seguridad productivos
productivos yy procedimientos
procedimientos estndar.
estndar.

4
 Seguridad como valor en los Proyectos de TI
Tendencias de la Tecnologa en Seguridad Informtica - 2010

La deteccin de vulnerabilidades en los proyectos de TI a que costo?

Implementaci
n
Operacin
Seguridad

Pruebas

Seguridad

Desarrollo

Seguridad

Diseo
Anlisis
Seguridad
Factibilidad Requerimientos
Planificacin
Seguridad
Seguridad

Fuente: Gua de los fundamentos de la direccin de proyectos PMBOK

5
 Seguridad como valor en los Proyectos de TI
Tendencias de la Tecnologa en Seguridad Informtica - 2010

Un FODA o como promover la participacin de Seguridad en los proyectos

6
 Seguridad como valor en los Proyectos de TI
Tendencias de la Tecnologa en Seguridad Informtica - 2010

La consultora externa de seguridad o no estamos solos en esto

 La participacin de seguridad en los proyectos, presenta exigencias de diversa complejidad:

Tiempos vencidos
Proyectos simultneos.
Poco margen de anlisis y capacitacin en nuevas tecnologas.
Necesidad de fuertes conocimientos del mercado y sus tendencias.
Experiencia previa, como optimizacin cuando los recursos son escasos.
Alta complejidad tcnica y especializacin de los proyectos.
Necesidad de elaboracin de controles complejos por tecnologas obsoletas o inseguras.

 El aporte de valor a los proyectos, requiere responder adecuadamente a las exigencias anteriores.

La
La consultor a externa
consultora externa de
de seguridad
seguridad como
como::

El
El apoyo
apoyo efectivo
efectivo aa los
los propios
propios procesos
procesos yy proyectos
proyectos de
de seguridad.
seguridad.
Fuente
Fuente de
de actualizacin,
actualizacin, experiencia
experiencia yy respuesta
respuesta ante
ante incidentes.
incidentes.
Provisin
Provisin de
de recursos
recursos externos
externos especializados
especializados dedicados
dedicados aa los
los proyectos.
proyectos.

7
 Seguridad como valor en los Proyectos de TI
Tendencias de la Tecnologa en Seguridad Informtica - 2010

Best Practices o cmo obtener los mejores resultados

o?
m
Apoyo efectivo
a los proyectos

C
de TI desde las
fases iniciales.

8
 Seguridad como valor en los Proyectos de TI
Tendencias de la Tecnologa en Seguridad Informtica - 2010

La seguridad informtica, un valor

que construimos entre todos

Eslogan del plan de concientizacin 2009 / 2010

9
 Seguridad como valor en los Proyectos de TI
Tendencias de la Tecnologa en Seguridad Informtica - 2010

MUCHAS GRACIAS

Ing. Rodrigo Daniel Sabella

rsabella@banval.sba.com.ar

10