Seguridad y empresa: El dilema del erizo / Security and business: The dilemma of hedgehog.
-
Upload
centro-de-investigacion-para-la-gestion-tecnologica-del-riesgo-cigtr -
Category
Technology
-
view
316 -
download
4
description
Transcript of Seguridad y empresa: El dilema del erizo / Security and business: The dilemma of hedgehog.
Foto de http://tiny.catpa.ws/
El dilema del erizo
Seguridad y Negocio
Alberto Partida – Aranjuez (Madrid), 2011
Foto de http://tiny.catpa.ws/
El dilema del erizo
Seguridad y Negocio
Alberto Partida – Aranjuez (Madrid), 2011
Una pasión: La seguridad de la información
14 años de experiencia…
en tareas técnicas y de comunicación…
en equipos de seguridad…
incluyendo respuesta a incidentes
Alberto Partida
Foto de http://tiny.catpa.ws/
Nota preliminar
Esta presentación sólo refleja puntos de vista personales
Alberto Partida – Aranjuez (Madrid), 2011
Esta presentación NO refleja puntos de vista de mis empleadores
Foto de http://tiny.catpa.ws/Alberto Partida – Aranjuez (Madrid), 2011
Conozcamos a la audiencia
Ppt? Xls? Doc? ˜$? ˜#?
Foto de http://tiny.catpa.ws/
¿Por qué el dilema del erizo?
Alberto Partida – Aranjuez (Madrid), 2011
del filósofo Schopenhauer (1788-1860)
El “dilema de erizo” es una creación…
Fotos de wikipedia y de tiny.catpa.ws/
Los erizos necesitan calor colectivo…pero sus púas pinchan
Veamos unos erizos en acción
Vídeo
Foto de http://nesimg.bbc.co.uk
Los pingüinos no tienen este problema
Hace 5 años me tocó crear un equipo
Tenía que estar en sintonía con el negocio
Foto de http://flickr.com Dry-Valleys-2008
Foto de http://tiny.catpa.ws/
¿Cómo defino el éxito de esta presentación?
Alberto Partida – Aranjuez (Madrid), 2011
Entender la organización
Adaptarse a la cultura
Cosechar éxitos o, al menos…
Limitar el nivel de frustación
Necesitamos un método
Impacto, probabilidad?
¿Por dónde empiezo?
V x A – M = Riesgo
Ratio beneficio atacante / riesgo que corre
¿Qué escenarios de riesgo trato?
¿Qué hago?
Utiliza 1+ 3 + 1 filtros
Comprueba que son reales
adversarios reales
=
adversarios detectados
amenazas reales = amenazas detectadas
imagen del equipo positiva
recursos, complejidad
amigables para el cliente
impacto and ratio beneficio/riesgo
normativa & peticiones de la dirección
¿Cómo lo hago?
Pasito a pasito
Sencillo y limitado en el tiempo
Specific Measurable Achievable
Light and (time)-Limited
Pasito = small step
planea sólo el 40% de tus recursos
los primeros años…
¿Qué elementos técnicos protejo?
5 elementos
redes, sistemas, aplicaciones
datos e identidades
Words from Jess García
Necesitamos un equipo
Un equipo de profesionales con pasión
De procedencia y formación muy diversa
Foto de http://flickr.com Dry-Valleys-2008
Un equipo que no puede estar aislado
técnicos, técnicos, técnicos y
comunicadores,marketing,
economistas, estadísticos
óptimo: combina perfiles
proporciona versatilidad al equipo
fomenta la diversidad
evita la monocultura pero no fomentes el caos
¿Cómo lo hago?
Encuentra el equilibrio
Comparte, respeta y moviliza
emocionalprofesional
social
habilidadespasiones
mercado
motivación y habilidades
motivación y alguna habilidad
poca motivación y pocas habilidades
El líder trabaja para el equipo
Facilita el camino y dedica tiempo
cuando sus miembros aprendan
unos de otros
El equipo crecerá
Necesitamos un ingrediente
imprescindible
Respaldo de la direcciónPresupuesto, recursos, máquinas, personas
Banco de ideas alternativas
Tu CERT es también
tu equipo de marketing
de guerrilla
El poder de las imagenes: Efecto graffiti
Usa conectores sociales
La ingeniería social
p.e. el poder del “gratis”
La Seguridad no puede ser destructiva
es una larga tarea,
sólo hemos empezado
Efecto accidente aéreo:
Aeroméxico vuelo 498 (1986)
- uso de TCAS
- uso de transponders
Anestesia
700 a.C. hoja de coca
1847 anestesia con éter
1853 aguja hipodérmica
1947 epidural lumbar
Recapitulemos. Necesitamos:
- Un método
- Unos filtros
- Unos pasitos
- Un equipo multidisciplinar
- Pasión, motivación
- Innovación
...encontraremos la armonía
Vídeo
Muchas gracias
Foto de http://tiny.catpa.ws/
El dilema del erizo
Seguridad y Negocio
Alberto Partida – Aranjuez (Madrid), 2011
Dónde encontrarme
securityandrisk.blogspot.com
a book – IT security teams
@itsecuriteerAlberto Partida