i-everything
Consumerización y seguridad de la información
Rafael Rodríguez de Cora – Agente ISF
Information Security Forum
i-Everything
Consumerización y Seguridad de la Información
Agenda
 La posición del ISF
 ¿Qué es consumerización?
 ¿Por qué se debe plantear?
 ¿Cómo responder?
 Conclusiones
3
¿Qué es el ISF?
Una asociación internacional de más de 300
organizaciones de primer orden, la cual...
• Se dedica a clarificar y resolver temas fundamentales
acerca de la seguridad de la información
• Es independiente y sin fines de lucro
• Financia y gestiona el desarrollo de soluciones prácticas
orientadas al negocio (herramientas y servicios)
• Está conducida y gobernada por sus Miembros
• Está gestionada por una organización gerencial profesional
Copyright© 2008 Information
4
¿Qué es el ISF?
5
Miembros del ISF en España
 BBVA
 BANKIA
 Grupo Santander
 Caixabank
 Telefónica
 Gas Natural
6
¿Qué ofrece a sus Miembros el ISF?
7
Aspectos clave del Foro
• Acceso independiente al “estado del arte”
• Prestigio y Reconocimiento Internacional
• Financiación de Proyectos (estudios específicos)
• No “re-inventar” la rueda (por tiempo y coste)
• Las “Mejores Prácticas” (por sectores)
• Plataforma de intercambio de experiencias
Soluciones Prácticas y de Calidad
8
En este contexto – Proyecto ISF
¿QUÉ ES CONSUMERIZACIÓN?
9
Dos puntos de vista sobre consumerización
Tradicional:
“todo está centrado en la tecnología”
ISF:
“es mucho más que eso …. se trata de
gobernanza, usuarios, dispositivos,
aplicaciones y datos”
10
¿POR QUÉ SE DEBE PLANTEAR?
11
THREAT HORIZON METHODOLOGY
Proyectos del ISF para considerar qué pasará en el mundo del futuro en las áreas siguientes:
POLITICAL
LEGAL
ECONOMIC
SOCIO-CULTURAL
TECHNICAL
12
¿Por qué se debe plantear? – THREAT HORIZON 2013
13
¿Por qué se debe plantear?
iPadCTO 19 March, 2011
14
Considerar los componentes de la consumerización
USUARIOS
DISPOSITIVOS
SISTEMAS
OPERATIVOS
y
APPS Y
DATOS
GOBERNANZA
Estamos básicamente compartiendo informacion a través de plataformas
múltiples, usando distintos métodos de conexión
15
¿Entonces, cuáles son los cambios clave?
 Innovación tecnológica
imparable
 Aumento de:
 Conectividad
 Explosión en posibilidades
 ‘Always on’
 Múltiples plataformas que
pueden acceder, procesar
y almacenar datos
 Especialmente datos por
3G
 Cantidad de “apps” en
aumento
 Desde SAP al juego
Zombie Pizza
 Provisionamiento de
dispositivos
 Movilidad
 Productividad
 Disminución de:
 Control por la organización
 Habilidad de desplegar
soluciones de seguridad
 BYOC (Bring your own
Computer)
 Consumer-owned
16
Una selección de los riesgos clave
USUARIOS
1. Inabilidad para controlar
prácticas de trabajo
2. Uso inadecuado / abuso
de dispositivos y de su
funcionalidad
DISPOSITIVOS y
SISTEMAS
OPERATIVOS
1. Exposición a
vulnerabilidades de SO
2. Conexiones no
autorizadas
3. Explotación de
vulnerabilidades de
software
APPS y
DATOS
1. Aplicaciones sin probar
2. Falta de funcionalidad en
apps
3. Funcionalidad de
seguridad limitada
GOBERNANZA
1. Control escaso sobre
dispositivos de consumo
2. Desconocimiento de los
requerimientos de soporte
3. Recursos no permitidos
17
¿CÓMO RESPONDER?
18
Una selección de las soluciones
DISPOSITIVOS y
SISTEMAS
OPERATIVOS
APPS y
DATOS
1.1 Concienciación
1.1 Posibilitar la
funcionalidad de seguridada
1.1 Crear un almacén de
apps de la organización
2.1 Monitorización del uso
de dispositivos
2.1 Control sobre
conectividad
2.1 Despliegue de software
de monitorización
3.1 Facilitar actualizaciones
de software
3.1 Implementar
clasificación de datos
USUARIOS
GOBERNANZA
1.1 Entender la situación
actual
2.1 Decidir nivel de soporte
3.1 Selección de
proveedores preferidos
1.3 Definir políticas
19
Conclusiones (Parecidas a las que se vieron en Cloud)
 Consumerización ya
está presente y está
para quedarse
 No se puede evitar ni
parar
 Un imperativo estratégico
 Cambiará los riesgos de
la información de la
organización
 Se tendrán riesgos
adicionales por tener
dispositivos en el
empleado en vez de en
el empleador
 Existen respuestas y
soluciones:
 Usuarios
 Dispositivos
 Aplicaciones e informacion
 Gobernanza
 En todo caso, podríamos
aceptar mayor riesgo..
 Si vemos los beneficios
20
Thank you for your attention
Steve Durbin
Global Vice President
[email protected]
www.securityforum.org
http://uk.linkedin.com/in/stevedurbin
Adrian Davis
Principal Research Analyst
[email protected]
www.securityforum.org
http://uk.linkedin.com/in/adriandaviscitp/
21
Gracias por su atención!
Rafael Rodríguez de Cora
Agente ISF
Velázquez 86-B
Tel:+34 91 432 14 15
[email protected]
www.securityforum.org
22
Descargar

Presentación ISF - INTECO