Information Security Forum (ISF) - IBM - United States · 2015-07-07 · Saudi Arabia Serbia...
Transcript of Information Security Forum (ISF) - IBM - United States · 2015-07-07 · Saudi Arabia Serbia...
Information Security Forum (ISF)
Presentación del ISF – Aspectos Claves
(Evento 1 de Julio 2015)
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Agenda
• ¿Qué es el ISF
• Modelo de Seguridad del ISF – Productos y Servicios
• Investigación e Informes
• Conocimientos e Intercambio de Información
• Herramientas y Metodologías del ISF
• Próximos pasos
www.securityforum.org Copyright © 2015 Information Security Forum Limited
¿Qué es el ISF?
The leading, global authority on cyber security and information risk management
Una asociación internacional con más de 400 organizaciones de primer orden (Fortune 500/Forbes 2000), la cual...
• Se dedica a clarificar y resolver temas fundamentales acerca de la seguridad de la información
• Es independiente y sin fines de lucro.
• Financia y gestiona el desarrollo de soluciones prácticas orientadas al negocio (herramientas y servicios)
• Está conducida y gobernada por sus Miembros
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Trabajamos con algunos de nuestros miembros más destacados, nacionales e internacionales
Algunas de las organizaciones miembros: • IBM
• PwC • BBVA • Deloitte
Y u has ás… • ~20% de los miembros del ISF están en el sector de IT and business consulting
• Muchos de los lideres mundiales de distintos sectores como distribución (Walmart),
transporte (Boeing), banca y servicios financieros (Bank of America), energía (Shell)
son miembros del ISF
• Incluidos también grandes organizaciones privadas y publicas del sector de la
Administración Pública
• KPMG • Caixabank • Bankia • Telefónica
• European Central Bank • Boldon James • Airbus • Symantec • Verizon
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Beneficios como Miembros del ISF
Acceso a las experiencias y conocimientos de organizaciones mundiales destacadas
Obtención de soluciones prácticas para problemas de seguridad de alta prioridad
Obtención de estudios comparativos para analizar los niveles de seguridad propios
Entendimiento de las mejores prácticas globales sobre seguridad de la información
Establecimiento de una red de contactos para temas de seguridad
Obtención de resultados por una fracción de los costes reales....
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Modelo de Seguridad del ISF
• Herramientas y Metodologías del ISF • Investigación e Informes del ISF
• Conocimientos e Intercambio de Información
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Estructura del ISF
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Cobertura Geográfica
The ISF currently has Members in… • Argentina
• Australia
• Austria
• Belgium
• Brazil
• Canada
• Denmark
• Ethiopia
• Finland
• France
• Germany
• Ghana
• Greece
• India
• Ireland
• Italy
• Latvia
• Netherlands
• New Zealand
• Nigeria
• Norway
• Saudi Arabia
• Serbia
• Singapore
• South Africa
• Spain
• Sweden
• Switzerland
• Turkey
• Uganda
• United Arab Emirates
• United Kingdom
• United States of America
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Distribución de Miembros por Sectores de Mercado
Cibercrimen – un Mercado en alza…
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Bienvenido al Malspace
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Crime as a Service (CaaS) v2.0 upgrades to…
• Criminal organisations have a huge and diverse talent pool readily available
• Attacks are becoming even more sophisticated and targeted
• Perso s’ i for atio is e lipsed y orga isatio s’ information
There are 0 to 0 y er ri e groups i the for er “oviet U io that have atio -state level apa ity – European intelligence official.
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Addressing the skills
gap
Cybercrime continues to
gain pace
Stakeholders apply
mounting pressure
New technologies and the internet of
things (IOT)
Pressure from regulatory compliance increases
continuously
Your Supply chain
becomes a primary target
Business goes cyber
www.securityforum.org Copyright © 2015 Information Security Forum Limited
“It’s time for us to start collaborating as effectively as the bad guys are.” – ISF Member
A Cyber Resilience Team – the driving force
Servicios ISF – Visión General
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Los servicios del ISF ayudan a los implicados en la
Seguridad de la Información a resolver problemas de
seguridad del negocio en la organización
¿Cuáles son los problemas de:?
• Chief Information Security Officers
• Information Security Managers
• Directores Áreas de Negocio
• Directores TI y personal técnico
• Auditores Internos y Externos
• Proveedores de Servicios TI
• Equipos de Gestión de Compras y Proveedores
• Conservar gran volumen de in formación crítica y sensible
• Aumento de la presión económica, legal y regulatoria
• Mayor foco en la privacidad y protección de los datos
• Crecimiento de la dependencia de la Cadena de Suministro
• Necesidad de mayor agilidad y competitividad
• Cambio cultural de los usuarios finales
• Uso de diferentes tecnologías
• Impacto de los incidentes en el Negocio
• Amenazas cambiantes y emergentes
• Globalización y Ciberseguridad
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Un programa continuo de investigación orientado a los
miembros
• You Could be Next: Aprender a mejorar la resiliencia desde los incidentes
• Estándar de buenas prácticas para la Seguridad de la Información (2014)
• Privacidad de Datos en la Nube • Analíticas de datos para la Seguridad de la
Información • Horizonte de Amenazas 2014/5/6 • Estrategias de Ciberseguridad: Alcanzando la ciber
resiliencia • Federated Identity Access Management • Ciber ciudadanía • Hacktivismo • Gobierno de Seguridad de la Información –
Comienza el partido • Aseguramiento del Cloud Computing • Más allá de la política de limpieza del escritorio • Aseguramiento de la cadena de Suministro
• Aseguramiento del ciclo de vida de la información
• Seguridad de la Información para proveedores externos
• Modelos de Madurez de la Seguridad de la Información
• Protección de la información en el entorno del usuario final
• Garantía de Seguridad de la Información • Auditoría de Seguridad de las aplicaciones de
negocio • Gobierno de Seguridad de la Información
(Reunión Informativa) • Informes sobre riesgos de la información • Convergencia de redes • Informes Benchmark :
– Aplicaciones críticas de negocio – El impacto de inversión en seguridad de la
información – Resultados consolidados del Benchmark – Referencias cruzadas de ISO/IEC 27002,
CObIT version 5
Documentos informativos y artículos de opinión sobre: Ciber seguros, Protección de la marca, Seguridad vs Estrategias de negocio, Internet de las cosas (IoT), BYOx, y as …
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Comunicación con los miembros en tiempo real
Acceso rápido y directo a las personas, contenidos y las actualizaciones de interés
Acelera la colaboración, acerca a los miembros globales
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Our Members-only website
Permite que los Miembros: Colaboren en tiempo real replicando la experiencia en red asociada a los
eventos del ISF Tengan mayor acceso a otros Miembros y al ISF Global Team Intercambien fácilmente problemas, experiencias y soluciones con sus colegas
a nivel mundial
Los Miembros también pueden: Acceder a la biblioteca que tiene la totalidad de soluciones en formato
electrónico Inscribirse para atender a las reuniones del ISF Atender y participar en webcasts Llevar a cabo Benchmarking
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Reuniones de los Capítulos
Los Capítulos llevan a cabo reuniones regionales tres veces al año, en los cuales los miembros pueden:
Cambiar impresiones reales sobre temas de seguridad con otras organizaciones miembro
Intercambiar información, experiencias e ideas con otros Miembros
Sugerir temas para el programa de trabajo actual y futuro del Foro
Comentar cómo se puede mejorar la implantación y entrega de los productos finales del Foro Ofrecer valor de formación para miembros mediante puntos CPE por cada hora de asistencia, para el avance profesional
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Proyecto del Capítulo Español – Guía CEL
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Proyecto del Capítulo Español – Guía CEL
22
Patrocinadores
Capítulo Español del
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Proyecto del Capítulo Español – Guía CEL
Colaboradores
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Congreso Anual del ISF
Años anteriores:
25th Annual World Congres – Copenhaguen, Denmark
24th Annual World Congress – Paris, France
23rd Annual World Congress – Chicago, USA
22nd Annual World Congress – Berlin, Germany
21st Annual World Congress – Monte Carlo, Monaco
La conferencia para los profesionales de seguridad, para miembros del ISF solamente
Acceso a los últimos conceptos y desarrollos sobre la Seguridad de la Información,
ofrecidos por los Miembros y por expertos destacados
Dos plazas financiadas, para cada organización miembro, como parte de la cuota anual
(excluyendo viajes)
Los miembros tienen la oportunidad de hacer presentaciones y de patrocinio
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Participación en eventos relacionados con el
conocimiento e intercambio de la información
• En el desarrollo de soluciones ISF se cuenta con talleres, webcasts, formación y grupos de especial interés, que ofrecen a los Miembros una excelente oportunidad para... – Explorar temas clave de la seguridad de la información con personas del
sector y con expertos invitados
– Intercambiar experiencias con otros Miembros
– Ayudar definir la forma y el alcance de los proyectos
– Formar al personal en áreas importantes de la seguridad de la información
– Obtener puntos CPE por cada hora de asistencia para logros profesionales
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Programa Webcast del ISF El programa Webcast de 2015 ofrece a las organizaciones una excelente oportunidad para saber más acerca de los trabajos en los que está trabajando el ISF y sobre sus servicios. Están disponibles durante 12 meses después de la fecha de su presentación inicial.
Para ver los eventos pasados y presentes visitar: www.securityforum.org
Las fechas y temas de los Webcast para 2015, son las siguientes:
Modern CISO 2015 Webcast Programme (14:00 UK)
• 4 February - Third Party Supplier Security: The supply chain challenge
• 17 March - Threat Horizon 2017
• 14 April - Network Security: Securing the ever expanding boundary
• 12 May - Cloud Security: It’s in the cloud - but where?
• 9 June - Cybercrime: Syndicates go global
• 7 July - BYOx - Again!
• 8 September - Managing Security Resources: It’s all about people and awareness
• 6 October - Regulation and Legislation: Keeping abreast of a moving landscape
• 3 November - Risk Based Security: Managing through the minefield
• 8 December - Emerging Threats for 2016
Para registrarse y atender a estos webcasts visitar www.securityforum.org
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Herramientas especializadas
Las herramientas especializadas son el resultado de proyectos de investigación que cubren problemas específicos de la seguridad de la información
Las herramientas disponibles incluyen: • Securing the Supply Chain – una herramienta que ayuda a los miembros securizar sus cadenas
de suministro desde principio a fin, cubriendo evaluación de riesgos, métricas y herramientas de auditoría, para utilizar en las cadenas de suministros.
• Baseline Maturity Assessment Tool v1.0 (BMAT) – una herramienta basada en hojas de cálculo diseñada para evaluar y registrar el nivel de madurez de un proveedor externo.
• Third party security assessment tool (TPSAT) – permite llevar a cabo evaluaciones y recogida de información sobre relaciones con terceros.
• Security Function Diagnostic – permite llevar a cabo un nuevo método para acercar la división entre la seguridad y el negocio, mediante la creación de perfiles de funciones de seguridad de la información. Estos perfiles pueden usarse para garantizar que las responsabilidades están alineadas.
• Return on Security Investment (ROSI) – permite a los miembros manejar situaciones difíciles sobre el ROI de inversiones de seguridad y también se ha utilizado por los miembros como una herramienta de negociación de precios con proveedores de soluciones de seguridad.
• Best Practices in Endpoint Security Checklist – esta guía basada en web presenta las áreas de control principales que se necesitan tener en cuenta para securizar dispositivos de usuario final y ofrece un conjunto detallado de las mejores prácticas en cada área de control.
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Servicios adicionales del ISF
Influence Stream: ISO Liaison
• Un objetivo clave del ISF es el promover las buenas prácticas de la seguridad de la información. Los estándares ISO se utilizan frecuentemente entre los miembros del ISF y por lo tanto el ISF ha obtenido estado de enlace oficial con ISO para influenciar directamente el desarrollo de ISO/IEC 27001, ISO/IEC 27002 y el estándar más nuevo ISO/IEC 27014 sobre el Gobierno de la Seguridad de la Información. Además también respecto a otras iniciativas ISO (p.ej., la estándar ISO 27036 emergente sobre Proveedores Externos, la ISO 27017 sobre controles de seguridad en la nube, y la ISO 27005 sobre gestión de riesgos de la información)
Affiliation Agreements
El programa del ISF sobre Acuerdos de Afiliación es una iniciativa del ISF para unir esfuerzos con asociaciones similares para juntar las experiencias respectivas e influenciar ambas organizaciones. El objetivo es el promover el desarrollo de estándares a nivel mundial y guías de mejores prácticas para el gobierno de TI y para la seguridad de la información. El ISF tiene acuerdos con ISO, NIST, ISACA, (ISC)2, IISP y el WEF.
The ISF signs up to the World Economic Forum’s Cyber Resilience Partnership
(Marzo 2013)
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Resumen de aspectos clave del ISF
Una organización independiente, sin fines de lucro
Orientada a los negocios
Con respuestas a las necesidades de sus Miembros
Una organización conducida por los usuarios
Un proveedor de soluciones prácticas
Activa en promocionar la integración, participación y contacto entre sus
Miembros
Gobernada por un Comité Ejecutivo y un Consejo, elegidos por sus Miembros
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Aproveche la mejor oportunidad para hacerse miembro del ISF
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Productos y Servicios del ISF
Full Membership Grandes Corporaciones SME Mediana Empresa
SC Supply Chain
IRAM ISF Risk Manager
BaaS Benchmark as a Service
RaaS Paquete de Informes (Reports as a Service)
SaaS Support as a Service (para herramientas ISF)
www.securityforum.org Copyright © 2015 Information Security Forum Limited
ISF: Análisis de la inversión (Ejemplos Reales)
Telefónica: Un café en el Congreso La Caixa: Estudio Comparativo con otras soluciones externas Gas Natural Fenosa: Después de un incidente grave
Costes de Benchmark: $ Costes Congreso Anual: $ Costes Consultorías Externas: $ Costes Productos GRC: $ Costes Trainings y Concienciación: $ Costes Otros Servicios: $ Costes Inventar la Rueda: $ Costes Incidentes Graves: $ Costes Marketing e Imagen: $
www.securityforum.org Copyright © 2015 Information Security Forum Limited
ISF: Análisis de la inversión (Gas Natural Fenosa)
JUSTIFICACIÓN DE PROVEEDOR ÚNICO
Gas Natural Informática necesita disponer de:
- herramientas específicas por el mínimo coste para la gestión de la seguridad de la información (gestión de riesgos, análisis de impacto en el negocio, plan de continuidad, planes de recuperación ante desastres, clasificación de la información, etc.)
- Conocimiento continuo sobre el posicionamiento de la compañía en materia de seguridad respecto a otras compañías del sector a nivel nacional e internacional.
- Una fuente actualizada de Información especializada sobre los distintos requerimientos legales y regulatorios de ámbito nacional e internacional, vulnerabilidades y tendencias en protección de la información.
ISF es actualmente la única organización internacional especializada en seguridad de la información capacitada para cubrir todas las necesidades anteriores ofreciendo además la participación en foros compartidos con otras empresas nacionales e internacionales en éste y otros sectores (Repsol, Caixa, GDF, EDF, etc.) con la posibilidad de compartir y conocer experiencias, enfoques y casos de éxito que nos permita reducir esfuerzos y costes afrontando proyectos de seguridad y asegurando su eficacia.
www.securityforum.org Copyright © 2015 Information Security Forum Limited
ISF: Recomendación
El ISF ofrece un excelente retorno de
la inversión, eliminando gran parte del coste
asociado co las solucio es a edida desarrolladas independientemente por la
organización o encargadas a consultores externos.
La recomendación es hacerse Miembro del Information Security Forum
www.securityforum.org Copyright © 2015 Information Security Forum Limited
Ruegos y Preguntas
www.securityforum.org Copyright © 2015 Information Security Forum Limited
El Information Security Forum
Gracias por su atención
Velázquez 86- B
28006 - MADRID
Tel: +34 91 432 14 15
Fax: +34 91 578 27 97
Rafael Rodríguez de Cora
E-mail: [email protected]
www.securityforum.org