Foto de http://tiny.catpa.ws/

El dilema del erizo

Seguridad y Negocio

Alberto Partida – Aranjuez (Madrid), 2011

Foto de http://tiny.catpa.ws/

El dilema del erizo

Seguridad y Negocio

Alberto Partida – Aranjuez (Madrid), 2011

Una pasión: La seguridad de la información

14 años de experiencia…

en tareas técnicas y de comunicación…

en equipos de seguridad…

incluyendo respuesta a incidentes

Alberto Partida

Foto de http://tiny.catpa.ws/

Nota preliminar

Esta presentación sólo refleja puntos de vista personales

Alberto Partida – Aranjuez (Madrid), 2011

Esta presentación NO refleja puntos de vista de mis empleadores

Foto de http://tiny.catpa.ws/Alberto Partida – Aranjuez (Madrid), 2011

Conozcamos a la audiencia

Ppt? Xls? Doc? ˜$? ˜#?

Foto de http://tiny.catpa.ws/

¿Por qué el dilema del erizo?

Alberto Partida – Aranjuez (Madrid), 2011

del filósofo Schopenhauer (1788-1860)

El “dilema de erizo” es una creación…

Fotos de wikipedia y de tiny.catpa.ws/

Los erizos necesitan calor colectivo…pero sus púas pinchan

Veamos unos erizos en acción

Vídeo

Foto de http://nesimg.bbc.co.uk

Los pingüinos no tienen este problema

Hace 5 años me tocó crear un equipo

Tenía que estar en sintonía con el negocio

Foto de http://flickr.com Dry-Valleys-2008

Foto de http://tiny.catpa.ws/

¿Cómo defino el éxito de esta presentación?

Alberto Partida – Aranjuez (Madrid), 2011

Entender la organización

Adaptarse a la cultura

Cosechar éxitos o, al menos…

Limitar el nivel de frustación

Necesitamos un método

Impacto, probabilidad?

¿Por dónde empiezo?

V x A – M = Riesgo

Ratio beneficio atacante / riesgo que corre

¿Qué escenarios de riesgo trato?

¿Qué hago?

Utiliza 1+ 3 + 1 filtros

Comprueba que son reales

adversarios reales

=

adversarios detectados

amenazas reales = amenazas detectadas

imagen del equipo positiva

recursos, complejidad

amigables para el cliente

impacto and ratio beneficio/riesgo

normativa & peticiones de la dirección

¿Cómo lo hago?

Pasito a pasito

Sencillo y limitado en el tiempo

Specific Measurable Achievable

Light and (time)-Limited

Pasito = small step

planea sólo el 40% de tus recursos

los primeros años…

¿Qué elementos técnicos protejo?

5 elementos

redes, sistemas, aplicaciones

datos e identidades

Words from Jess García

Necesitamos un equipo

Un equipo de profesionales con pasión

De procedencia y formación muy diversa

Foto de http://flickr.com Dry-Valleys-2008

Un equipo que no puede estar aislado

técnicos, técnicos, técnicos y

comunicadores,marketing,

economistas, estadísticos

óptimo: combina perfiles

proporciona versatilidad al equipo

fomenta la diversidad

evita la monocultura pero no fomentes el caos

¿Cómo lo hago?

Encuentra el equilibrio

Comparte, respeta y moviliza

emocionalprofesional

social

habilidadespasiones

mercado

motivación y habilidades

motivación y alguna habilidad

poca motivación y pocas habilidades

El líder trabaja para el equipo

Facilita el camino y dedica tiempo

cuando sus miembros aprendan

unos de otros

El equipo crecerá

Necesitamos un ingrediente

imprescindible

Respaldo de la direcciónPresupuesto, recursos, máquinas, personas

Banco de ideas alternativas

Tu CERT es también

tu equipo de marketing

de guerrilla

El poder de las imagenes: Efecto graffiti

Usa conectores sociales

La ingeniería social

p.e. el poder del “gratis”

La Seguridad no puede ser destructiva

es una larga tarea,

sólo hemos empezado

Efecto accidente aéreo:

Aeroméxico vuelo 498 (1986)

- uso de TCAS

- uso de transponders

Anestesia

700 a.C. hoja de coca

1847 anestesia con éter

1853 aguja hipodérmica

1947 epidural lumbar

Recapitulemos. Necesitamos:

- Un método

- Unos filtros

- Unos pasitos

- Un equipo multidisciplinar

- Pasión, motivación

- Innovación

...encontraremos la armonía

Vídeo

Muchas gracias

Foto de http://tiny.catpa.ws/

El dilema del erizo

Seguridad y Negocio

Alberto Partida – Aranjuez (Madrid), 2011

Dónde encontrarme

itsecuriteer@gmail.com

securityandrisk.blogspot.com

a book – IT security teams

@itsecuriteerAlberto Partida