Information Security Forum (ISF) - IBM - United States · 2015-07-07 · Saudi Arabia Serbia...

Information Security Forum (ISF)

Presentación del ISF – Aspectos Claves

(Evento 1 de Julio 2015)

www.securityforum.org Copyright © 2015 Information Security Forum Limited

Agenda

• ¿Qué es el ISF

• Modelo de Seguridad del ISF – Productos y Servicios

• Investigación e Informes

• Conocimientos e Intercambio de Información

• Herramientas y Metodologías del ISF

• Próximos pasos


¿Qué es el ISF?

The leading, global authority on cyber security and information risk management

Una asociación internacional con más de 400 organizaciones de primer orden (Fortune 500/Forbes 2000), la cual...

• Se dedica a clarificar y resolver temas fundamentales acerca de la seguridad de la información

• Es independiente y sin fines de lucro.

• Financia y gestiona el desarrollo de soluciones prácticas orientadas al negocio (herramientas y servicios)

• Está conducida y gobernada por sus Miembros


Trabajamos con algunos de nuestros miembros más destacados, nacionales e internacionales

Algunas de las organizaciones miembros: • IBM

• PwC • BBVA • Deloitte

Y u has ás… • ~20% de los miembros del ISF están en el sector de IT and business consulting

• Muchos de los lideres mundiales de distintos sectores como distribución (Walmart),

transporte (Boeing), banca y servicios financieros (Bank of America), energía (Shell)

son miembros del ISF

• Incluidos también grandes organizaciones privadas y publicas del sector de la

Administración Pública

• KPMG • Caixabank • Bankia • Telefónica

• European Central Bank • Boldon James • Airbus • Symantec • Verizon


Beneficios como Miembros del ISF

Acceso a las experiencias y conocimientos de organizaciones mundiales destacadas

Obtención de soluciones prácticas para problemas de seguridad de alta prioridad

Obtención de estudios comparativos para analizar los niveles de seguridad propios

Entendimiento de las mejores prácticas globales sobre seguridad de la información

Establecimiento de una red de contactos para temas de seguridad

Obtención de resultados por una fracción de los costes reales....


Modelo de Seguridad del ISF

• Herramientas y Metodologías del ISF • Investigación e Informes del ISF

• Conocimientos e Intercambio de Información


Estructura del ISF


Cobertura Geográfica

The ISF currently has Members in… • Argentina

• Australia

• Austria

• Belgium

• Brazil

• Canada

• Denmark

• Ethiopia

• Finland

• France

• Germany

• Ghana

• Greece

• India

• Ireland

• Italy

• Latvia

• Netherlands

• New Zealand

• Nigeria

• Norway

• Saudi Arabia

• Serbia

• Singapore

• South Africa

• Spain

• Sweden

• Switzerland

• Turkey

• Uganda

• United Arab Emirates

• United Kingdom

• United States of America


Distribución de Miembros por Sectores de Mercado

Cibercrimen – un Mercado en alza…


Bienvenido al Malspace


Crime as a Service (CaaS) v2.0 upgrades to…

• Criminal organisations have a huge and diverse talent pool readily available

• Attacks are becoming even more sophisticated and targeted

• Perso s’ i for atio is e lipsed y orga isatio s’ information

There are 0 to 0 y er ri e groups i the for er “oviet U io that have atio -state level apa ity – European intelligence official.


Addressing the skills

gap

Cybercrime continues to

gain pace

Stakeholders apply

mounting pressure

New technologies and the internet of

things (IOT)

Pressure from regulatory compliance increases

continuously

Your Supply chain

becomes a primary target

Business goes cyber


“It’s time for us to start collaborating as effectively as the bad guys are.” – ISF Member

A Cyber Resilience Team – the driving force

Servicios ISF – Visión General


Los servicios del ISF ayudan a los implicados en la

Seguridad de la Información a resolver problemas de

seguridad del negocio en la organización

¿Cuáles son los problemas de:?

• Chief Information Security Officers

• Information Security Managers

• Directores Áreas de Negocio

• Directores TI y personal técnico

• Auditores Internos y Externos

• Proveedores de Servicios TI

• Equipos de Gestión de Compras y Proveedores

• Conservar gran volumen de in formación crítica y sensible

• Aumento de la presión económica, legal y regulatoria

• Mayor foco en la privacidad y protección de los datos

• Crecimiento de la dependencia de la Cadena de Suministro

• Necesidad de mayor agilidad y competitividad

• Cambio cultural de los usuarios finales

• Uso de diferentes tecnologías

• Impacto de los incidentes en el Negocio

• Amenazas cambiantes y emergentes

• Globalización y Ciberseguridad


Un programa continuo de investigación orientado a los

miembros

• You Could be Next: Aprender a mejorar la resiliencia desde los incidentes

• Estándar de buenas prácticas para la Seguridad de la Información (2014)

• Privacidad de Datos en la Nube • Analíticas de datos para la Seguridad de la

Información • Horizonte de Amenazas 2014/5/6 • Estrategias de Ciberseguridad: Alcanzando la ciber

resiliencia • Federated Identity Access Management • Ciber ciudadanía • Hacktivismo • Gobierno de Seguridad de la Información –

Comienza el partido • Aseguramiento del Cloud Computing • Más allá de la política de limpieza del escritorio • Aseguramiento de la cadena de Suministro

• Aseguramiento del ciclo de vida de la información

• Seguridad de la Información para proveedores externos

• Modelos de Madurez de la Seguridad de la Información

• Protección de la información en el entorno del usuario final

• Garantía de Seguridad de la Información • Auditoría de Seguridad de las aplicaciones de

negocio • Gobierno de Seguridad de la Información

(Reunión Informativa) • Informes sobre riesgos de la información • Convergencia de redes • Informes Benchmark :

– Aplicaciones críticas de negocio – El impacto de inversión en seguridad de la

información – Resultados consolidados del Benchmark – Referencias cruzadas de ISO/IEC 27002,

CObIT version 5

Documentos informativos y artículos de opinión sobre: Ciber seguros, Protección de la marca, Seguridad vs Estrategias de negocio, Internet de las cosas (IoT), BYOx, y as …


Comunicación con los miembros en tiempo real

Acceso rápido y directo a las personas, contenidos y las actualizaciones de interés

Acelera la colaboración, acerca a los miembros globales


Our Members-only website

Permite que los Miembros: Colaboren en tiempo real replicando la experiencia en red asociada a los

eventos del ISF Tengan mayor acceso a otros Miembros y al ISF Global Team Intercambien fácilmente problemas, experiencias y soluciones con sus colegas

a nivel mundial

Los Miembros también pueden: Acceder a la biblioteca que tiene la totalidad de soluciones en formato

electrónico Inscribirse para atender a las reuniones del ISF Atender y participar en webcasts Llevar a cabo Benchmarking


Reuniones de los Capítulos

Los Capítulos llevan a cabo reuniones regionales tres veces al año, en los cuales los miembros pueden:

Cambiar impresiones reales sobre temas de seguridad con otras organizaciones miembro

Intercambiar información, experiencias e ideas con otros Miembros

Sugerir temas para el programa de trabajo actual y futuro del Foro

Comentar cómo se puede mejorar la implantación y entrega de los productos finales del Foro Ofrecer valor de formación para miembros mediante puntos CPE por cada hora de asistencia, para el avance profesional


Proyecto del Capítulo Español – Guía CEL



22

Patrocinadores

Capítulo Español del



Colaboradores


Congreso Anual del ISF

Años anteriores:

25th Annual World Congres – Copenhaguen, Denmark

24th Annual World Congress – Paris, France

23rd Annual World Congress – Chicago, USA

22nd Annual World Congress – Berlin, Germany

21st Annual World Congress – Monte Carlo, Monaco

La conferencia para los profesionales de seguridad, para miembros del ISF solamente

Acceso a los últimos conceptos y desarrollos sobre la Seguridad de la Información,

ofrecidos por los Miembros y por expertos destacados

Dos plazas financiadas, para cada organización miembro, como parte de la cuota anual

(excluyendo viajes)

Los miembros tienen la oportunidad de hacer presentaciones y de patrocinio


Participación en eventos relacionados con el

conocimiento e intercambio de la información

• En el desarrollo de soluciones ISF se cuenta con talleres, webcasts, formación y grupos de especial interés, que ofrecen a los Miembros una excelente oportunidad para... – Explorar temas clave de la seguridad de la información con personas del

sector y con expertos invitados

– Intercambiar experiencias con otros Miembros

– Ayudar definir la forma y el alcance de los proyectos

– Formar al personal en áreas importantes de la seguridad de la información

– Obtener puntos CPE por cada hora de asistencia para logros profesionales


Programa Webcast del ISF El programa Webcast de 2015 ofrece a las organizaciones una excelente oportunidad para saber más acerca de los trabajos en los que está trabajando el ISF y sobre sus servicios. Están disponibles durante 12 meses después de la fecha de su presentación inicial.

Para ver los eventos pasados y presentes visitar: www.securityforum.org

Las fechas y temas de los Webcast para 2015, son las siguientes:

Modern CISO 2015 Webcast Programme (14:00 UK)

• 4 February - Third Party Supplier Security: The supply chain challenge

• 17 March - Threat Horizon 2017

• 14 April - Network Security: Securing the ever expanding boundary

• 12 May - Cloud Security: It’s in the cloud - but where?

• 9 June - Cybercrime: Syndicates go global

• 7 July - BYOx - Again!

• 8 September - Managing Security Resources: It’s all about people and awareness

• 6 October - Regulation and Legislation: Keeping abreast of a moving landscape

• 3 November - Risk Based Security: Managing through the minefield

• 8 December - Emerging Threats for 2016

Para registrarse y atender a estos webcasts visitar www.securityforum.org

https://www.brighttalk.com/channel/9923


Herramientas especializadas

Las herramientas especializadas son el resultado de proyectos de investigación que cubren problemas específicos de la seguridad de la información

Las herramientas disponibles incluyen: • Securing the Supply Chain – una herramienta que ayuda a los miembros securizar sus cadenas

de suministro desde principio a fin, cubriendo evaluación de riesgos, métricas y herramientas de auditoría, para utilizar en las cadenas de suministros.

• Baseline Maturity Assessment Tool v1.0 (BMAT) – una herramienta basada en hojas de cálculo diseñada para evaluar y registrar el nivel de madurez de un proveedor externo.

• Third party security assessment tool (TPSAT) – permite llevar a cabo evaluaciones y recogida de información sobre relaciones con terceros.

• Security Function Diagnostic – permite llevar a cabo un nuevo método para acercar la división entre la seguridad y el negocio, mediante la creación de perfiles de funciones de seguridad de la información. Estos perfiles pueden usarse para garantizar que las responsabilidades están alineadas.

• Return on Security Investment (ROSI) – permite a los miembros manejar situaciones difíciles sobre el ROI de inversiones de seguridad y también se ha utilizado por los miembros como una herramienta de negociación de precios con proveedores de soluciones de seguridad.

• Best Practices in Endpoint Security Checklist – esta guía basada en web presenta las áreas de control principales que se necesitan tener en cuenta para securizar dispositivos de usuario final y ofrece un conjunto detallado de las mejores prácticas en cada área de control.

https://www.securityforum.org/services/publictools/publicsecuritymanagementdiagnostic/

https://www.securityforum.org/services/publictools/publicrosi/


Servicios adicionales del ISF

Influence Stream: ISO Liaison

• Un objetivo clave del ISF es el promover las buenas prácticas de la seguridad de la información. Los estándares ISO se utilizan frecuentemente entre los miembros del ISF y por lo tanto el ISF ha obtenido estado de enlace oficial con ISO para influenciar directamente el desarrollo de ISO/IEC 27001, ISO/IEC 27002 y el estándar más nuevo ISO/IEC 27014 sobre el Gobierno de la Seguridad de la Información. Además también respecto a otras iniciativas ISO (p.ej., la estándar ISO 27036 emergente sobre Proveedores Externos, la ISO 27017 sobre controles de seguridad en la nube, y la ISO 27005 sobre gestión de riesgos de la información)

Affiliation Agreements

El programa del ISF sobre Acuerdos de Afiliación es una iniciativa del ISF para unir esfuerzos con asociaciones similares para juntar las experiencias respectivas e influenciar ambas organizaciones. El objetivo es el promover el desarrollo de estándares a nivel mundial y guías de mejores prácticas para el gobierno de TI y para la seguridad de la información. El ISF tiene acuerdos con ISO, NIST, ISACA, (ISC)2, IISP y el WEF.

The ISF signs up to the World Economic Forum’s Cyber Resilience Partnership

(Marzo 2013)


Resumen de aspectos clave del ISF

Una organización independiente, sin fines de lucro

Orientada a los negocios

Con respuestas a las necesidades de sus Miembros

Una organización conducida por los usuarios

Un proveedor de soluciones prácticas

Activa en promocionar la integración, participación y contacto entre sus

Miembros

Gobernada por un Comité Ejecutivo y un Consejo, elegidos por sus Miembros


Aproveche la mejor oportunidad para hacerse miembro del ISF


Productos y Servicios del ISF

Full Membership Grandes Corporaciones SME Mediana Empresa

SC Supply Chain

IRAM ISF Risk Manager

BaaS Benchmark as a Service

RaaS Paquete de Informes (Reports as a Service)

SaaS Support as a Service (para herramientas ISF)


ISF: Análisis de la inversión (Ejemplos Reales)

Telefónica: Un café en el Congreso La Caixa: Estudio Comparativo con otras soluciones externas Gas Natural Fenosa: Después de un incidente grave

Costes de Benchmark: $ Costes Congreso Anual: $ Costes Consultorías Externas: $ Costes Productos GRC: $ Costes Trainings y Concienciación: $ Costes Otros Servicios: $ Costes Inventar la Rueda: $ Costes Incidentes Graves: $ Costes Marketing e Imagen: $


ISF: Análisis de la inversión (Gas Natural Fenosa)

JUSTIFICACIÓN DE PROVEEDOR ÚNICO

Gas Natural Informática necesita disponer de:

- herramientas específicas por el mínimo coste para la gestión de la seguridad de la información (gestión de riesgos, análisis de impacto en el negocio, plan de continuidad, planes de recuperación ante desastres, clasificación de la información, etc.)

- Conocimiento continuo sobre el posicionamiento de la compañía en materia de seguridad respecto a otras compañías del sector a nivel nacional e internacional.

- Una fuente actualizada de Información especializada sobre los distintos requerimientos legales y regulatorios de ámbito nacional e internacional, vulnerabilidades y tendencias en protección de la información.

ISF es actualmente la única organización internacional especializada en seguridad de la información capacitada para cubrir todas las necesidades anteriores ofreciendo además la participación en foros compartidos con otras empresas nacionales e internacionales en éste y otros sectores (Repsol, Caixa, GDF, EDF, etc.) con la posibilidad de compartir y conocer experiencias, enfoques y casos de éxito que nos permita reducir esfuerzos y costes afrontando proyectos de seguridad y asegurando su eficacia.


ISF: Recomendación

El ISF ofrece un excelente retorno de

la inversión, eliminando gran parte del coste

asociado co las solucio es a edida desarrolladas independientemente por la

organización o encargadas a consultores externos.

La recomendación es hacerse Miembro del Information Security Forum


Ruegos y Preguntas


El Information Security Forum

Gracias por su atención

Velázquez 86- B

28006 - MADRID

Tel: +34 91 432 14 15

Fax: +34 91 578 27 97

Rafael Rodríguez de Cora

E-mail: [email protected]

www.securityforum.org

Information Security Forum (ISF) - IBM - United States · 2015-07-07 · Saudi Arabia Serbia...

Documents

Transcript of Information Security Forum (ISF) - IBM - United States · 2015-07-07 · Saudi Arabia Serbia...