privacloudacy or risecurityk for b secure
DESCRIPTION
Are Privacy, Cloud, Risk and Security in your agenda? Do you have a clear plan? Are this initiatives business driven or technology driven? Is Innovation part of your strategy?TRANSCRIPT
Privacloudacy or Risecurityk
Juan Carlos Carrillo
87%Security main barrier to cloud adoption
Source: IDC Enterprise Panel, 3Q09
52%Concerned with trusting an outside 3rd party
Source: IDC Cloud Security Survey 2011`
41%Fear a security breach from use of security SaaS
Source: IDC Cloud Security Survey, 2011
40%Compliance concerns prevent use of SaaS
Source: IDC Cloud Security Survey, 2011
Cloud Computing saves costs but reduces control, visibility and trust
Sin innovación, las empresas no tienen éxito
ESTAN CRECIENDO
Solo
Source: Why Companies Fail and the Information Imperatives to Help Ensure Survivability, by Gregory P. Hackett.
de las compañias NO usan a TI para implementar innovación
Más del
90%
MAS COMPLEJIDADES MENOS INOVACION
25%50%RUNTHE BUSINESS
25%TRANSFORMTHE BUSINESS
GROW THE BUSINESS
EN 2012
Source: Gartner
CRECER EL
NEGOCIO
21%63%PARA OPERAR
EL NEGOCIO
16%TRANSFORMAR EL
NEGOCIO
QUÉ PASARIA SI PUDIERASMOS CAMBIAR LA FORMA EN LA QUE GASTAMOS?
DISTRIBUCIÓN DEL GASTO DE TI
LOS EJECUTIVOS DE FINANCAS ESTAN
LISTOS
CLAVE EN EL ÉXITO DE LAS EMPRESAS EN LOS SIGUIENTES 12-18 MESES
76%64%REDUCE COSTOS OPERATIVOS POR 20%
81%MEJORARON LA PRODUCTIVIDAD DE SUS EMPLEADOS
Implementación completa de
tecnología en la nube
Source: CFO Research, The Business Value of Cloud Computing, A Survey of Senior Finance Executives, June 2012.
Exceso
PATCH
PROVISION UPDATES
&
UPGRADES
FRAGMENTED
MANAGEMENT
DIAGNOSE
SPECIAL CONFIG
MONITOR Excess
15
“You are going to get hacked. The bad guy will get you. Whether you are viewed as a success by your board of directors is going to depend on your response.” Charles Blauner, Citigroup
16
Copyright © 2014 Oracle and/or its affiliates. All rights reserved. |17
De las fugas de información fueron detectados por programas de anti-virus o sistemas de prevención de intrusos
0%
Source: Verizon 2013 Data Breach Investigations Report
Oracle Confidential –Internal/Restricted/Highly Restricted
18
http://www.pwc.com/gx/en/economic-crime-survey/downloads.jhtml
Solo 6% De las empresas utilizan análisis de datos para minimizar el impacto económico del cibercrimen
de los ataques son contra los
94% de los datos más sensibles estan
en
66%
PwC Global State of Information Security
Los atacantes hackean via phishing a los provedores
El Malware envía los datos de tarjeta de credito a los propios servidores de archivos
El Malware busca información de tarjetas en texto claro (no cifrado)
Buscan, encuentran e infectan los servidores de archivos
Los atacantes usando credenciales robadas acceden al portal de provedoresLos datos son
extraidos vía servidores de FTP
Encuentran e infectan los puntos de venta (POS) con malwarePERIMETRO
21
Ataque a punto de venta (POS)
Ataque a aplicación web
Mal uso interno
Robo o perdida física
Errores varios
Software de criminales
Skimmers de tarjetas
Ataques de denegación de servicio
Ciber espionaje
https://www.privacyassociation.org/privacy_perspectives/post/dont_fall_for_the_encrytion_fallacy
Seguridad en cada capa
Seguridad entre capas
Seguridad entre sistemas
Governance
Procesos y Roles
Controles de usuarios
Controles de red
Controles de aplicaciones
Controles a nivel datos
Controles de host
“La mayoría de las organizaciones continúan enfocando de forma inapropiada su atención en vulnerabilidades de red y herramientas reactivas, en lugar de buenas prácticas de seguridad en aplicaciones, PROACTIVAS.”
Forrester: The Evolution of IT Security 2010 to 2011
30
Usamos estrategias de ataque y contra ataque, espionaje y contra espionaje
La unica forma de atender
las vulnerabilidades y
amenzas sin afectar al
negocio es tener una visión
Integral de riesgos
• Programas basados en el estándar ISO 27001:2005 & 27002:2005 y los marcos de control
• La Directiva Europea 95/46/EU para la Privacidad
• Controles claves de identificación, mapea, gobierno y auditoria
• El cruce de marcos regulatorios beneficia incluso a los programas menos rigurosos
Puntos importantes
• Comité de Riesgos
• Comité de Auditoria
• Dirección
Autorización de los órganos de gobierno Interno del Banco
Modelo de servicio (SLA).
• Prueba de concepto y Resultado de las pruebas
• Plan de recuperación en caso de desastre
• Esquema de seguridad
• Controles,
• Forma de auditar
• Confidencialidad de la información,
• Responsabilidad en case de multas, etc.
Documentación de soporte
La CNBV puede requerir una certificación del auditor interno.
Información adicional puede ser solicitada por la CNBV en el proceso.
Tener y aplicar políticas de
protección de datos personales afines a los
principios y deberes aplicables que
establece la Ley y el presente Reglamento
Transparentar las subcontrataciones que involucren la
información sobre la que se presta el
servicio
Abstenerse de incluir condiciones en la
prestación del servicio que le autoricen o permitan asumir la
titularidad o propiedad de la
información sobre la que presta el servicio
Guardar confidencialidad
respecto de los datos personales sobre los
que se preste el servicio
Dar a conocer cambios en sus políticas de privacidad o
condiciones del servicio que presta
Permitir al responsable limitar el tipo de tratamiento de los
datos personales sobre los que se presta el servicio
Establecer y mantener medidas de seguridad adecuadas para la
protección de los datos personales sobre los que se preste el servicio
Garantizar la supresión de los datos personales una vez que
haya concluido el servicio prestado, y que este último haya podido recuperarlos
Impedir el acceso a los datos personales a personas que no
cuenten con privilegios de acceso
3 Preguntas técnicas para cualquier proveedor de servicios en la nube
How many Datacenters do the provider has?
Which of your Applications run on your cloud?
Is Social & Mobile Included in the offering?
3 Preguntas Legales para contratar servicios en la nube
Ya leiste el contrato? Ya leiste el contrato? Ya leiste el contrato?
3 Pasos para la adopción de nube según el Harvard Business Review .
Experimenta con servicios de Software
Buscar un nuevoProyecto en la nube
BuscarAyuda
Oracle Confidential –Internal/Restricted/Highly
Restricted
49
El camino para una exitosa mezcla de
Privacidad, Seguridad y Nube es
Planear, Hacer, Verificar y Actuarbasado en
Analisis de Riesgos