Descargar la presentación
La descarga está en progreso. Por favor, espere
1
NewNet S.A. –Derechos Reservados
El Balanced Score Card como herramienta de apoyo a la Administración de la Seguridad Activos de Información Roberto Arbeláez, M.Sc., CISSP NewNet S.A. –Derechos Reservados
2
NewNet S.A. –Derechos Reservados
Agenda El papel de la alta Gerencia en la Organización La seguridad de Activos de Información El Balanced Score Card como herramienta gerencial NewNet S.A. –Derechos Reservados
3
Objetivos Estratégicos de la Alta Gerencia
Maximizar la rentabilidad Maximizar la competitividad Maximizar la productividad Maximizar la calidad Maximizar la participación en el mercado Maximizar el crecimiento y la expansión de la organización NewNet S.A. –Derechos Reservados
4
Objetivos Estratégicos de la Alta Gerencia (2)
Maximizar y proteger los activos de la organización Minimizar los pasivos de la organización Minimizar los costos Minimizar el nivel de riesgo y exposición de la organización Garantizar la supervivencia futura de la organización NewNet S.A. –Derechos Reservados
5
NewNet S.A. –Derechos Reservados
Misión de la Alta Gerencia La Misión de la Alta Gerencia es actuar con la “Diligencia Debida” de manera que se logren TODOS los objetivos. NewNet S.A. –Derechos Reservados
6
Tareas de la Alta Gerencia
Etapa de Formulación y Ejecución Planear Hacer Etapa de Seguimiento y Control Actuar Controlar NewNet S.A. –Derechos Reservados
7
La Información es un activo valioso de la organización
NewNet S.A. –Derechos Reservados
8
NewNet S.A. –Derechos Reservados
La Infraestructura Computacional es un activo valioso de la organización NewNet S.A. –Derechos Reservados
9
La Alta Gerencia debe proteger los activos de la organización
NewNet S.A. –Derechos Reservados
10
NewNet S.A. –Derechos Reservados
La Alta Gerencia debe minimizar el nivel de riesgo y exposición de la organización NewNet S.A. –Derechos Reservados
11
NewNet S.A. –Derechos Reservados
La Seguridad de activos de Información es un componente fundamental de la “Diligencia Debida” que debe practicar la Alta Gerencia de la Organización NewNet S.A. –Derechos Reservados
12
¿Qué es la Seguridad de activos de información?
La Seguridad de activos de información es la implementación de políticas dictadas por la Alta gerencia, respecto a los activos de información de la organización y a su infraestructura computacional asociada NewNet S.A. –Derechos Reservados
13
El Rol de la Alta Gerencia en la Seguridad de activos de información
La Alta Gerencia dicta las políticas de Seguridad respecto a los activos de información de la organización y a su infraestructura asociada El Área Técnica implementa las políticas dictadas por la Alta Gerencia La Alta Gerencia hace seguimiento y control para garantizar que la adecuada implementación de sus políticas NewNet S.A. –Derechos Reservados
14
La Seguridad de activos de información y la Alta Gerencia
La Alta Gerencia está encargada de dictar las políticas para toda la organización Es la que mejor conoce el negocio, la organización y los objetivos misionales NewNet S.A. –Derechos Reservados
15
La Seguridad de activos de información y la Alta Gerencia (2)
Es la que sabe cuáles son los activos importantes para la organización Es la que debe decidir qué es lo que hay que proteger, qué se debe proteger primero, y hasta dónde se debe proteger (activos a proteger, prioridad y alcance) NewNet S.A. –Derechos Reservados
16
La Alta Gerencia no sabe de Tecnología
Problema # 1 La Alta Gerencia no sabe de Tecnología NewNet S.A. –Derechos Reservados
17
La Alta Gerencia no sabe de Seguridad
Problema # 2 La Alta Gerencia no sabe de Seguridad NewNet S.A. –Derechos Reservados
18
Problemática de la Alta Gerencia
¿Cómo planear y ejecutar el aseguramiento de los activos de información de la organización? ¿Cómo hacer segumiento y control de la gestión en Seguridad de activos de información en la organización? NewNet S.A. –Derechos Reservados
19
Con Herramientas de Control Gerencial
NewNet S.A. –Derechos Reservados
20
Algunas Herramientas de Control Gerencial
Balanced Score Card (Gerencia Estratégica) Análisis Sistémico de TI en la organización (Cibernética Organizacional) ROI (Return of Investment) en Seguridad de Activos de Información (Análisis Financiero y de Viabilidad) Auditoría de Seguridad de Activos de Información (Auditoria) NewNet S.A. –Derechos Reservados
21
Evolución de la Seguridad de Activos de Información
Gerencial Técnico NewNet S.A. –Derechos Reservados
22
Evolución de la Seguridad de Activos de Información (2)
Estratégico Operativo NewNet S.A. –Derechos Reservados
23
NewNet S.A. –Derechos Reservados
El Balanced Score Card NewNet S.A. –Derechos Reservados
24
NewNet S.A. –Derechos Reservados
El Balanced Score Card fué desarrollado en la Universidad de Harvard a principios de los 90s por Robert Kaplan y David Norton NewNet S.A. –Derechos Reservados
25
NewNet S.A. –Derechos Reservados
El Balanced Score Card Permite a las organizaciones aclarar su visión y su estrategia, traduciéndolas en acciones específicas NewNet S.A. –Derechos Reservados
26
El Balanced Score Card es una herramienta de Gerencia Estratégica
NewNet S.A. –Derechos Reservados
27
NewNet S.A. –Derechos Reservados
Objetivos Garantiza que los procesos de aseguramiento estén alineados con las metas y los objetivos organizacionales. A través de indicadores de gestión, permite a la alta gerencia medir el desempeño de los procesos de aseguramiento. Permite que la seguridad se anticipe al entorno, por medio de procesos de planeación estratégica. NewNet S.A. –Derechos Reservados
28
NewNet S.A. –Derechos Reservados
Balanced Score Card NewNet S.A. –Derechos Reservados
29
NewNet S.A. –Derechos Reservados
Balanced Score Card Permite evaluar el desempeño del sistema de seguridad informática con respecto a los objetivos estratégicos de la organización. NewNet S.A. –Derechos Reservados
30
NewNet S.A. –Derechos Reservados
Balanced Score Card Permite establecer estrategias para alinear el sistema de seguridad informática con los requerimientos impuestos por la estrategia corporativa. NewNet S.A. –Derechos Reservados
31
NewNet S.A. –Derechos Reservados
Balanced Score Card Permite que la alta gerencia conozca el desempeño interno del sistema de seguridad informática, sin tener que “aprender” de tecnología. NewNet S.A. –Derechos Reservados
32
NewNet S.A. –Derechos Reservados
Balanced Score Card Permite sustentar proyectos de inversión en tecnología, a través de proyecciones de mejoras en el desempeño del sistema de seguridad. NewNet S.A. –Derechos Reservados
33
NewNet S.A. –Derechos Reservados
Balanced Score Card Permite mostrar un “retorno a la inversión” a la alta gerencia, a través de mejoras en el desempeño del sistema de seguridad, cuando se hayan hecho inversiones en infraestructura de seguridad. NewNet S.A. –Derechos Reservados
34
NewNet S.A. –Derechos Reservados
¿Cómo se ve en 5 años? NewNet S.A. –Derechos Reservados
35
NewNet S.A. –Derechos Reservados
Perspectivas La proyección a 5 años, para que sea completa, debe hacerse desde diferentes perspectivas Profesional Personal Sentimental Familiar Financiero Académico Físico … NewNet S.A. –Derechos Reservados
36
Perspectivas del Balanced Score Card
NewNet S.A. –Derechos Reservados
37
¿Cómo medir el estado en las diferentes perspectivas?
Se escoge una perspectiva Se especifica donde se quiere estar (Meta) Se define dónde se está por medio de un procedimiento, fórmula matemática, medición, o un conjunto de los anteriores (Indicador de gestión) NewNet S.A. –Derechos Reservados
38
Indicadores e Índices de gestión
Indicadores: Herramienta que mide el desempeño de la gestión en una faceta determinada Índices: Estado del indicador respecto a la meta Índice = Indicador / Meta NewNet S.A. –Derechos Reservados
39
NewNet S.A. –Derechos Reservados
Aplicando el BSC Se define qué es lo importante Se generan indicadores de gestión que permitan medir el estado actual respecto a lo importante. Se definen metas para cada indicador, generando así índices de gestión Se genera un plan de trabajo para llevar los indicadores de gestión a la meta Se hace un seguimiento mide contínuo de la variación en los indices de gestión NewNet S.A. –Derechos Reservados
40
Balanced Score Card como herramienta de Diagnóstico
¿Cómo debería estar la seguridad en mi organización? Conjunto de requerimientos de seguridad que deberían satisfacerse ¿Cómo está la seguridad en mi organización? Conjunto de requerimientos que están satisfechos NewNet S.A. –Derechos Reservados
41
¿Qué se obtiene del Diagnóstico?
Un listado de requerimientos no satisfechos, que se deben satisfacer para lograr llegar al estado deseado en Seguridad Un plan para lograr llegar a ese estado deseado Indicadores para medir y controlar la evolución de los procesos de aseguramiento NewNet S.A. –Derechos Reservados
42
¿Cómo está la seguridad en mi organización?
Balanced Score Card como herramienta de Planeación Estratégica ¿Cómo está la seguridad en mi organización? Conjunto de requerimientos que están satisfechos ¿Cómo estará la organización en 5 años? Conjunto de requerimientos nuevos que generará el negocio en 5 años ¿Cómo debería estar la seguridad en 5 años? Conjunto de requerimientos que deberían satisfacerse en 5 años NewNet S.A. –Derechos Reservados
43
¿Qué se obtiene de la Planeación Estratégica?
Un listado de requerimientos futuros, que se deben satisfacer en 5 años para lograr llegar al estado deseado futuro en Seguridad Un plan para lograr llegar a ese estado deseado futuro Indicadores para medir y controlar la evolución de la seguridad en el tiempo NewNet S.A. –Derechos Reservados
44
El Balanced Score Card como herramienta de control Gerencial
¿Cómo estaba el área de seguridad en el diagnóstico inicial? ¿Cómo está ahora? ¿El cambio ha sido positivo? ¿El cambio se ha realizado dentro del tiempo previsto? ¿Cómo debe estar en unos años? NewNet S.A. –Derechos Reservados
45
Las Perspectivas del BSC
NewNet S.A. –Derechos Reservados
46
BSC: Perspectiva Financiera
La pérdida de confidencialidad, integridad o disponibilidad puede tener un impacto financiero significativo en la organización La pérdida de imagen organizacional puede tener un impacto enorme en las relaciones con la coopetencia, clientes y proveedores, perjudicando los indicadores financieros de la organización Los entornos interconectados y el e-business generan responsabilidades compartidas con la coopetencia, los clientes y/o los proveedores NewNet S.A. –Derechos Reservados
47
Ejemplos de indicadores de la Perspectiva Financiera
Costo de horas/hombre destinadas a atender incidentes de seguridad informática Costo de pérdida de productividad por la no disponibilidad del sistema de información Costo de volver a levantar y a digitalizar información perdida por incidentes de seguridad Costo de imagen organizacional perdida por incidentes de seguridad informática Costo de negocios perdidos por desconfianza de clientes por incidentes de seguridad informática Costos por demandas de responsabilidad civil por daños y perjuicios sobre la información de coopetencia, clientes o proveedores NewNet S.A. –Derechos Reservados
48
BSC: Perspectiva del Consumidor
Los consumidores de “seguridad” son la coopetencia, los clientes, los proveedores, y los empleados de la organización Una percepción positiva de la seguridad por parte de los consumidores internos aumenta la productividad y mejora el ambiente de trabajo Una percepción positiva de la seguridad por parte de los consumidores externos fortalece la confianza y facilita las relaciones NewNet S.A. –Derechos Reservados
49
Ejemplos de indicadores de la Perspectiva del Consumidor
Percepción de la confiabilidad de los sistemas de información de la organización Percepción de la seguridad de los sistemas de información de la organización Percepción de la complejidad de interactuar con los sistemas y dispositivos de control NewNet S.A. –Derechos Reservados
50
BSC: Perspectiva de procesos internos del negocio
Permite identificar los procesos internos críticos en los cuales la organización debe ser exitosa. En el caso del sistema de seguridad informática, la prioridad es que los procesos internos sean eficientes, y satisfagan por completo los requerimientos de sus “consumidores” Esto permitirá atraer clientes para los cuales la seguridad informática de la empresa es importante, y mejorar los resultados financieros por optimización en la utilización de recursos. NewNet S.A. –Derechos Reservados
51
NewNet S.A. –Derechos Reservados
Ejemplos de indicadores de la Perspectiva de Procesos Internos de Negocio Equilibrio entre Productividad y Seguridad Eficiencia de los controles y dispositivos de seguridad NewNet S.A. –Derechos Reservados
52
Perspectiva de aprendizaje y crecimiento
Permite evaluar si la organización aprende de errores e incidentes pasados y evita volver a cometerlos Permite evaluar si las características del sistema de seguridad informática pasadas y presentes lo hacen adecuado para afrontar condiciones futuras. Permite definir requerimientos futuros que se deben cumplir para lograr los objetivos y estrategias organizacionales Define cómo usar las experiencias pasadas (y la información obtenida de ellas) para aprender y mejorar el desempeño futuro. NewNet S.A. –Derechos Reservados
53
Ejemplos de indicadores de la Perspectiva de Aprendizaje y Crecimiento
Ocurrencias de Incidentes que ya se habian presentado, sobre el total de incidentes Incidentes solucionados con base en la documentación de incidentes anteriores NewNet S.A. –Derechos Reservados
54
Perspectiva de responsabilidad social
Permite evaluar si la organización está cumpliendo con los compromisos que son asumidos de manera intrínseca por todo miembro de la sociedad, ya sea persona natural o jurídica. Va mucho más allá de cumplir con la ley, y tiene claras connotaciones éticas y morales. Podría considerarse una obligación moral el asegurar un sistema de información para evitar que sea usado como plataforma de ataques contra terceros. NewNet S.A. –Derechos Reservados
55
Ejemplos de indicadores de la Perspectiva de Responsabilidad Social
Ocurrencias de distribución de spam desde los servidores de correo de la organización Ocurrencias de propagación de virus desde la infraestructura de la organización Ataques de Negación de Servicio a terceros desde la infraestructura organizacional Penetración de sistemas de terceros desde la infraestructura organizacional NewNet S.A. –Derechos Reservados
56
NewNet S.A. –Derechos Reservados
Conclusiones Al aplicar el BSC, se garantiza que La seguridad informática va a estar alineada con los requerimientos de la organización El nivel de aseguramiento informático se mantendrá adecuado a lo largo del tiempo La alta gerencia podrá hacer un control de gestión de la seguridad informática NewNet S.A. –Derechos Reservados
57
NewNet S.A. –Derechos Reservados
Conclusiones La Seguridad es parte de las responsabilidades de la Alta Gerencia. La gerencia requiere de la implementación de herramientas de control gerencial para poder desempeñar sus funciones de manera adecuada El BSC es una herramienta que permite gerenciar la seguridad en la organización NewNet S.A. –Derechos Reservados
58
Preguntas y Comentarios
NewNet S.A. –Derechos Reservados
Presentaciones similares
© 2024 SlidePlayer.es Inc.
All rights reserved.