SlideShare ist ein Scribd-Unternehmen logo

Summit itSMF - Risk optimization management inside it governance

Ramiro Cid
Ramiro Cid

itSMF BrightTALK summit. Mi presentación realizada en un summit itSMF en BrigtTALK: https://www.brighttalk.com/webcast/8103/107635 Webconference about Risk Optimization management inside IT Governance in Linde Group. This presentation talk about the alignment vs risk when IS department has to choose what is first having a insufficient budget to manage IT security in a adequate way and a different risk apetite than business.

Technologie
1 von 12
Downloaden Sie, um offline zu lesen
Risk Optimization management inside IT Governance in Linde Risk Optimization on IT Governance Ramiro Cid The Linde Group
Risk Optimization management inside IT Governance in Linde Speaker Bio & Company Information Ramiro Cid Ramiro Cid del Corral | ramiro.cid@es.linde-gas.com | @ramirocid Spain & Portugal CISO & IT Manager en Linde Miembro del Linde European Regional Security Officers Team Miembro activo del Linde Global IT Security Committee Postgrado en Dirección de Empresas (IDEC-Universitat Pompeu Fabra), Licenciado en Sistemas de Información (Universidad de Buenos Aires) Certificaciones: CISM®, CGEIT®, ISO 27001 LA , ISO 22301 LA, ITIL® v.2 Foundation Profesional con 15 años de trayectoria en la industria de TI en diferentes sectores: Industria, Laboratorio, Banca, Gobierno, TI, etc., en diferentes empresas en España, Argentina y Andorra. 1995 2000 2005 Gobierno Consultoría IT Laboratorio 2010 Consultoría y auditoría IT Industria Química ‘96 ‘99 ‘06‘01‘97 ‘02 ‘03‘98 ‘07 ‘08 ‘09 ‘11‘04 ‘13‘12 ‘14
Risk Optimization management inside IT Governance in Linde Apetito al riesgo en una organización Madurez en la gestión del riesgo IT + Grado de alineamiento de IS con Negocio + Cultura organizacional APETITO AL RIESGO 3 Ramiro Cid Grado de madurez del “IT Governance”
Risk Optimization management inside IT Governance in Linde Auditoría interna a una filial europea Noviembre de 2013: Desarrollo de auditoría in situ interna a “un país de Europa”. Previamente a la auditoría: 1) Se pidió al negocio que completara 2 plantillas para crear un BIA (Business Impact Analysis), 1ro: aplicaciones locales y 2do: aplicaciones globales. En ambos casos se pidió: Calcular impacto económico por pérdida de beneficio, productividad o incremento de costes operativos durante la duración de una contingencia (valor para cada aplicación), siendo el valor medido en un rango de: Low: hasta €10K Medium: desde €10K hasta €500K High: más de €500K 4 Ramiro Cid
Risk Optimization management inside IT Governance in Linde Para cada uno de estos rangos, se pidió calcular el valor del dinero perdido teniendo en cuenta diferentes períodos de tiempo de duración de la contingencia, siendo los siguientes períodos: 8 horas 1 día 1 semana 6 semanas Analizados los resultados se pudo ver que: a) Varias aplicaciones de tipo “low” pasaban a “medium” luego de pasado una semana b) Varias aplicaciones de tipo “medium” pasaban a “high” luego de pasado una semana 5 Auditoría interna a una filial europea Ramiro Cid
Risk Optimization management inside IT Governance in Linde 2) Se confirmaron las entrevistas con los “key users” de varios departamentos (IS, Finanzas, Logística y Customer Service). Un punto importante fue fijar previamente los días/horas de las reuniones. En estas se incluyó a personal de IS así como a varios departamentos del negocio. 3) Se notificó al negocio la razón de la auditoría, para que con su respaldo, el departamento de IS sepa la importancia de la misma. 6 Auditoría interna a una filial europea Ramiro Cid
Risk Optimization management inside IT Governance in Linde Una vez obtenidos los GAPs (no conformidades): 1) Se enviaron los resultados al IS Manager del país auditado para solicitar su respuesta. 2) Una vez contrastadas las diferencias y hechas las correcciones, se envió los resultados al IS Manager para Europa y a los directores de las diferentes áreas del negocio del país analizado. 7 Una vez vista la “foto” de la situación Ramiro Cid
Risk Optimization management inside IT Governance in Linde Una vez obtenidos los GAPs (no conformidades): 3) Se convocó una teleconferencia para analizar los principales riesgos encontrados (centrándose de alto impacto y alta o media probabilidad). 4) Se desarrolló un calendario de acciones y responsables de la misma para poder llevar a cabo una mejora de la situación encontrada durante la auditoria. 8 Una vez vista la “foto” de la situación Ramiro Cid
Risk Optimization management inside IT Governance in Linde 9 Una vez vista la “foto” de la situación Principales problemas encontrados para poder poner en práctica las mejoras: 1) Escasez de recursos (personas) en el área de IS. El departamento se queja de que el negocio no le proporciona el presupuesto necesario para poder realizar grandes mejoras en seguridad IT. Con ello no se puede conseguir un grado de madurez en la gestión de la seguridad informática acorde a las necesidades del negocio. Ramiro Cid
Risk Optimization management inside IT Governance in Linde 10 Una vez vista la “foto” de la situación Principales problemas encontrados para poder poner en práctica las mejoras: 2) Falta de conocimiento por parte de IS de las necesidades del negocio. Se detectaron 2 reclamos provenientes de casi todas las áreas del negocio: a) IS no realiza formación o comunicación a los empleados respecto buenas prácticas en seguridad y uso de los sistemas de información y activos IT. Problema difícil de sortear debido al limitado presupuesto de IS lo que dificulta realizar formaciones con empresas externas (por limitación del CAPEX) o internas con personal interno de IS (por limitación de recursos y saturación de carga de trabajo) Ramiro Cid
Risk Optimization management inside IT Governance in Linde 11 Una vez vista la “foto” de la situación Principales problemas encontrados para poder poner en práctica las mejoras: b) Finanzas había sufrido recientemente 2 ataques de Ingeniería Social donde por teléfono unas personas simularon ser personal del banco con el que trabaja la empresa y estuvieron cerca de lograr realizar una estafa. Ambos ataques fueron evitados, sin embargo el departamento obró más por sentido común que por buenas prácticas en seguridad IT o procedimientos escritos a seguir ante este tipo de ataques. Ramiro Cid
¡¡ Muchas gracias !! Ramiro Cid ramiro.cid@es.linde-gas.com @ramirocid http://www.linkedin.com/in/ramirocid

Empfohlen

Barmherzigkeit 328066
Barmherzigkeit 328066Barmherzigkeit 328066
Barmherzigkeit 328066
mvalica
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
Luisa Fernanda
 
Twitter zwischen Nachrichtenkanal und Mikronarrativ
Twitter zwischen Nachrichtenkanal und MikronarrativTwitter zwischen Nachrichtenkanal und Mikronarrativ
Twitter zwischen Nachrichtenkanal und Mikronarrativ
Cornelius Puschmann
 
Trabajo 1 agenda didactica antioquia digital olimpiadas 2013
Trabajo 1 agenda didactica antioquia digital olimpiadas 2013Trabajo 1 agenda didactica antioquia digital olimpiadas 2013
Trabajo 1 agenda didactica antioquia digital olimpiadas 2013
Jorge Didier Obando Montoya
 
Gnu linux
Gnu linuxGnu linux
Gnu linux
Alejandro Weffer
 
La Europa de la restauración y las revoluciones
La Europa de la restauración y las revolucionesLa Europa de la restauración y las revoluciones
La Europa de la restauración y las revoluciones
Profesora de Geografía e Historia
 
Informationsqualität in Unternehmenswikis
Informationsqualität in UnternehmenswikisInformationsqualität in Unternehmenswikis
Informationsqualität in Unternehmenswikis
Wolfgang Reinhardt
 
Respuestas saber 2002
Respuestas saber 2002Respuestas saber 2002
Respuestas saber 2002
juan vega
 

Empfohlen

Barmherzigkeit 328066
Barmherzigkeit 328066Barmherzigkeit 328066
Barmherzigkeit 328066
mvalica
 
Virus informaticos
Virus informaticosVirus informaticos
Virus informaticos
Luisa Fernanda
 
Twitter zwischen Nachrichtenkanal und Mikronarrativ
Twitter zwischen Nachrichtenkanal und MikronarrativTwitter zwischen Nachrichtenkanal und Mikronarrativ
Twitter zwischen Nachrichtenkanal und Mikronarrativ
Cornelius Puschmann
 
Trabajo 1 agenda didactica antioquia digital olimpiadas 2013
Trabajo 1 agenda didactica antioquia digital olimpiadas 2013Trabajo 1 agenda didactica antioquia digital olimpiadas 2013
Trabajo 1 agenda didactica antioquia digital olimpiadas 2013
Jorge Didier Obando Montoya
 
Gnu linux
Gnu linuxGnu linux
Gnu linux
Alejandro Weffer
 
La Europa de la restauración y las revoluciones
La Europa de la restauración y las revolucionesLa Europa de la restauración y las revoluciones
La Europa de la restauración y las revoluciones
Profesora de Geografía e Historia
 
Informationsqualität in Unternehmenswikis
Informationsqualität in UnternehmenswikisInformationsqualität in Unternehmenswikis
Informationsqualität in Unternehmenswikis
Wolfgang Reinhardt
 
Respuestas saber 2002
Respuestas saber 2002Respuestas saber 2002
Respuestas saber 2002
juan vega
 
Clase diplomado matematica y español
Clase diplomado matematica y españolClase diplomado matematica y español
Clase diplomado matematica y español
Jorge Didier Obando Montoya
 
11 Pesca extractiva
11 Pesca extractiva11 Pesca extractiva
11 Pesca extractiva
Midevago
 
Ac caract que_evaluaban_las_pruebas(2002-2005)
Ac caract que_evaluaban_las_pruebas(2002-2005)Ac caract que_evaluaban_las_pruebas(2002-2005)
Ac caract que_evaluaban_las_pruebas(2002-2005)
juan vega
 
WiTCOM Profile
WiTCOM ProfileWiTCOM Profile
WiTCOM Profile
splishsplash
 
Sucesiones y progresiones
Sucesiones y progresionesSucesiones y progresiones
Sucesiones y progresiones
Jorge Didier Obando Montoya
 
2.0: Praxis in der Bibliothekswelt
2.0: Praxis in der Bibliothekswelt2.0: Praxis in der Bibliothekswelt
2.0: Praxis in der Bibliothekswelt
Christian Hauschke
 
Müll-Exporte: die somalia-connection
Müll-Exporte: die somalia-connection Müll-Exporte: die somalia-connection
Müll-Exporte: die somalia-connection
Bashir M. Hussein, PhD.
 
Formato agenda digital tecnologia
Formato agenda digital tecnologiaFormato agenda digital tecnologia
Formato agenda digital tecnologia
Jorge Didier Obando Montoya
 
Basel Powerpoint
Basel PowerpointBasel Powerpoint
Basel Powerpoint
Jan McCann
 
Von Dinosauriern, Bienen und Wespen
Von Dinosauriern, Bienen und WespenVon Dinosauriern, Bienen und Wespen
Von Dinosauriern, Bienen und Wespen
Tomas Caspers
 
Fahrzeugklinik Hattingen beilage werbung stadtspiegel märz 2011
Fahrzeugklinik Hattingen beilage werbung stadtspiegel märz 2011Fahrzeugklinik Hattingen beilage werbung stadtspiegel märz 2011
Fahrzeugklinik Hattingen beilage werbung stadtspiegel märz 2011
fahrzeugklinik GmbH
 
Lokale Strategien im globalen Netz
Lokale Strategien im globalen NetzLokale Strategien im globalen Netz
Lokale Strategien im globalen Netz
Oliver Gassner
 
2010 04 10 Share Camp Das Erfolgreiche Share Point Projekt
2010 04 10 Share Camp Das Erfolgreiche Share Point Projekt2010 04 10 Share Camp Das Erfolgreiche Share Point Projekt
2010 04 10 Share Camp Das Erfolgreiche Share Point Projekt
Sebastian Gerling
 
Sauf Park Trailer
Sauf Park TrailerSauf Park Trailer
Sauf Park Trailer
bam1990
 
Motorhaube günstig lackieren fahrzeugklinik
Motorhaube günstig lackieren fahrzeugklinikMotorhaube günstig lackieren fahrzeugklinik
Motorhaube günstig lackieren fahrzeugklinik
fahrzeugklinik GmbH
 
sena tic opción 1 nivel interpersonal
sena tic opción 1 nivel interpersonalsena tic opción 1 nivel interpersonal
sena tic opción 1 nivel interpersonal
Viviana Polanco Cumber
 
Starlog_DimitriD_08
Starlog_DimitriD_08Starlog_DimitriD_08
Starlog_DimitriD_08
Daniel Dickholtz
 
Maria paula filosofia
Maria paula filosofiaMaria paula filosofia
Maria paula filosofia
Julian Galeano
 
creacion sas
creacion sascreacion sas
creacion sas
Andres Sanchez
 
Compensacion del saldo a favor del i 3ra categoria
Compensacion del saldo a favor del i 3ra categoriaCompensacion del saldo a favor del i 3ra categoria
Compensacion del saldo a favor del i 3ra categoria
Gcarlos J Pantaleon
 
Risk optimization management inside it governance
Risk optimization management inside it governanceRisk optimization management inside it governance
Risk optimization management inside it governance
Ramiro Cid
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Internet Security Auditors
 

Weitere ähnliche Inhalte

Andere mochten auch

Basel Powerpoint
Basel PowerpointBasel Powerpoint
Basel Powerpoint
Jan McCann
 
2010 04 10 Share Camp Das Erfolgreiche Share Point Projekt
2010 04 10 Share Camp Das Erfolgreiche Share Point Projekt2010 04 10 Share Camp Das Erfolgreiche Share Point Projekt
2010 04 10 Share Camp Das Erfolgreiche Share Point Projekt
Sebastian Gerling
 
Sauf Park Trailer
Sauf Park TrailerSauf Park Trailer
Sauf Park Trailer
bam1990
 
sena tic opción 1 nivel interpersonal
sena tic opción 1 nivel interpersonalsena tic opción 1 nivel interpersonal
sena tic opción 1 nivel interpersonal
Viviana Polanco Cumber
 
Compensacion del saldo a favor del i 3ra categoria
Compensacion del saldo a favor del i 3ra categoriaCompensacion del saldo a favor del i 3ra categoria
Compensacion del saldo a favor del i 3ra categoria
Gcarlos J Pantaleon
 

Andere mochten auch (20)

Clase diplomado matematica y español
Clase diplomado matematica y españolClase diplomado matematica y español
Clase diplomado matematica y español
 
11 Pesca extractiva
11 Pesca extractiva11 Pesca extractiva
11 Pesca extractiva
 
Ac caract que_evaluaban_las_pruebas(2002-2005)
Ac caract que_evaluaban_las_pruebas(2002-2005)Ac caract que_evaluaban_las_pruebas(2002-2005)
Ac caract que_evaluaban_las_pruebas(2002-2005)
 
WiTCOM Profile
WiTCOM ProfileWiTCOM Profile
WiTCOM Profile
 
Sucesiones y progresiones
Sucesiones y progresionesSucesiones y progresiones
Sucesiones y progresiones
 
2.0: Praxis in der Bibliothekswelt
2.0: Praxis in der Bibliothekswelt2.0: Praxis in der Bibliothekswelt
2.0: Praxis in der Bibliothekswelt
 
Müll-Exporte: die somalia-connection
Müll-Exporte: die somalia-connection Müll-Exporte: die somalia-connection
Müll-Exporte: die somalia-connection
 
Formato agenda digital tecnologia
Formato agenda digital tecnologiaFormato agenda digital tecnologia
Formato agenda digital tecnologia
 
Basel Powerpoint
Basel PowerpointBasel Powerpoint
Basel Powerpoint
 
Von Dinosauriern, Bienen und Wespen
Von Dinosauriern, Bienen und WespenVon Dinosauriern, Bienen und Wespen
Von Dinosauriern, Bienen und Wespen
 
Fahrzeugklinik Hattingen beilage werbung stadtspiegel märz 2011
Fahrzeugklinik Hattingen beilage werbung stadtspiegel märz 2011Fahrzeugklinik Hattingen beilage werbung stadtspiegel märz 2011
Fahrzeugklinik Hattingen beilage werbung stadtspiegel märz 2011
 
Lokale Strategien im globalen Netz
Lokale Strategien im globalen NetzLokale Strategien im globalen Netz
Lokale Strategien im globalen Netz
 
2010 04 10 Share Camp Das Erfolgreiche Share Point Projekt
2010 04 10 Share Camp Das Erfolgreiche Share Point Projekt2010 04 10 Share Camp Das Erfolgreiche Share Point Projekt
2010 04 10 Share Camp Das Erfolgreiche Share Point Projekt
 
Sauf Park Trailer
Sauf Park TrailerSauf Park Trailer
Sauf Park Trailer
 
Motorhaube günstig lackieren fahrzeugklinik
Motorhaube günstig lackieren fahrzeugklinikMotorhaube günstig lackieren fahrzeugklinik
Motorhaube günstig lackieren fahrzeugklinik
 
sena tic opción 1 nivel interpersonal
sena tic opción 1 nivel interpersonalsena tic opción 1 nivel interpersonal
sena tic opción 1 nivel interpersonal
 
Starlog_DimitriD_08
Starlog_DimitriD_08Starlog_DimitriD_08
Starlog_DimitriD_08
 
Maria paula filosofia
Maria paula filosofiaMaria paula filosofia
Maria paula filosofia
 
creacion sas
creacion sascreacion sas
creacion sas
 
Compensacion del saldo a favor del i 3ra categoria
Compensacion del saldo a favor del i 3ra categoriaCompensacion del saldo a favor del i 3ra categoria
Compensacion del saldo a favor del i 3ra categoria
 

Ähnlich wie Summit itSMF - Risk optimization management inside it governance

Control de inventario rancho j&n
Control de inventario rancho j&nControl de inventario rancho j&n
Control de inventario rancho j&n
luis villacis
 

Ähnlich wie Summit itSMF - Risk optimization management inside it governance (20)

Risk optimization management inside it governance
Risk optimization management inside it governanceRisk optimization management inside it governance
Risk optimization management inside it governance
 
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
Como integrar PCI-DSS en un Sistema de Gestión de la Seguridad.
 
Raul Riesco - Aproximación algorítmica al talento en ciberseguridad [rooted2019]
Raul Riesco - Aproximación algorítmica al talento en ciberseguridad [rooted2019]Raul Riesco - Aproximación algorítmica al talento en ciberseguridad [rooted2019]
Raul Riesco - Aproximación algorítmica al talento en ciberseguridad [rooted2019]
 
E bs+whitepaper senado
E bs+whitepaper senadoE bs+whitepaper senado
E bs+whitepaper senado
 
Seguridad en un pequeño o mediano negocio
Seguridad en un pequeño o mediano negocioSeguridad en un pequeño o mediano negocio
Seguridad en un pequeño o mediano negocio
 
¿Como ganan dinero los hackers?
¿Como ganan dinero los hackers?¿Como ganan dinero los hackers?
¿Como ganan dinero los hackers?
 
El modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICsEl modelo de estándares abiertos e internacionales en TICs
El modelo de estándares abiertos e internacionales en TICs
 
ciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdfciberseguridad-ESP Mr. Houstion.pdf
ciberseguridad-ESP Mr. Houstion.pdf
 
LAP - CV - Jul 2016
LAP - CV - Jul 2016LAP - CV - Jul 2016
LAP - CV - Jul 2016
 
Gobierno de it seguridad de la informacion v.1.1
Gobierno de it seguridad de la informacion v.1.1Gobierno de it seguridad de la informacion v.1.1
Gobierno de it seguridad de la informacion v.1.1
 
Ponencia148 1
Ponencia148 1Ponencia148 1
Ponencia148 1
 
Propuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdfPropuesta-ciberseguridad-ESP.pdf
Propuesta-ciberseguridad-ESP.pdf
 
09 Gesein VI Semana CMMI
09 Gesein VI Semana CMMI09 Gesein VI Semana CMMI
09 Gesein VI Semana CMMI
 
BI 2010 - Tomando las mejores Decisiones para tu Empresa
BI 2010 - Tomando las mejores Decisiones para tu EmpresaBI 2010 - Tomando las mejores Decisiones para tu Empresa
BI 2010 - Tomando las mejores Decisiones para tu Empresa
 
Protección de Activos Críticos
Protección de Activos CríticosProtección de Activos Críticos
Protección de Activos Críticos
 
Control de inventario rancho j&n
Control de inventario rancho j&nControl de inventario rancho j&n
Control de inventario rancho j&n
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptx
 
Servicios de continuidad de negocio
Servicios de continuidad de negocioServicios de continuidad de negocio
Servicios de continuidad de negocio
 
Conferencia Cuti Marzo 2009
Conferencia Cuti Marzo 2009Conferencia Cuti Marzo 2009
Conferencia Cuti Marzo 2009
 
Proyecto auditoria
Proyecto auditoriaProyecto auditoria
Proyecto auditoria
 

Mehr von Ramiro Cid

Mehr von Ramiro Cid (20)

Seminario sobre ciberseguridad
Seminario sobre ciberseguridadSeminario sobre ciberseguridad
Seminario sobre ciberseguridad
 
Captación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagenCaptación y registro de comunicaciones orales y de imagen
Captación y registro de comunicaciones orales y de imagen
 
Passwords for sale
Passwords for salePasswords for sale
Passwords for sale
 
Cyber security threats for 2017
Cyber security threats for 2017Cyber security threats for 2017
Cyber security threats for 2017
 
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?¿Cuáles son los peligros a los que se enfrenta su sistema informático?
¿Cuáles son los peligros a los que se enfrenta su sistema informático?
 
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
Cloud Computing, IoT, BYOD Ha muerto el perímetro corporativo. ¿y ahora qué?
 
Lean Six Sigma methodology
Lean Six Sigma methodologyLean Six Sigma methodology
Lean Six Sigma methodology
 
IT Governance & ISO 38500
IT Governance & ISO 38500IT Governance & ISO 38500
IT Governance & ISO 38500
 
Cyber Security Resilience & Risk Aggregation
Cyber Security Resilience & Risk AggregationCyber Security Resilience & Risk Aggregation
Cyber Security Resilience & Risk Aggregation
 
EU General Data Protection Regulation
EU General Data Protection RegulationEU General Data Protection Regulation
EU General Data Protection Regulation
 
Payment fraud
Payment fraudPayment fraud
Payment fraud
 
Social engineering attacks
Social engineering attacksSocial engineering attacks
Social engineering attacks
 
Thinking on risk analysis
Thinking on risk analysisThinking on risk analysis
Thinking on risk analysis
 
Drones and their use on critical infrastructure
Drones and their use on critical infrastructureDrones and their use on critical infrastructure
Drones and their use on critical infrastructure
 
Internet of things, big data & mobility vs privacy
Internet of things, big data & mobility vs privacyInternet of things, big data & mobility vs privacy
Internet of things, big data & mobility vs privacy
 
Space computing
Space computingSpace computing
Space computing
 
The relation between internet of things, critical infrastructure and cyber se...
The relation between internet of things, critical infrastructure and cyber se...The relation between internet of things, critical infrastructure and cyber se...
The relation between internet of things, critical infrastructure and cyber se...
 
Internet of things
Internet of thingsInternet of things
Internet of things
 
Cyber Security
Cyber SecurityCyber Security
Cyber Security
 
Cyber Security Awareness
Cyber Security AwarenessCyber Security Awareness
Cyber Security Awareness
 

Kürzlich hochgeladen

Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
JohnRamos830530
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
nicho110
 

Kürzlich hochgeladen (12)

Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21Innovaciones tecnologicas en el siglo 21
Innovaciones tecnologicas en el siglo 21
 
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
Resistencia extrema al cobre por un consorcio bacteriano conformado por Sulfo...
 
investigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXIinvestigación de los Avances tecnológicos del siglo XXI
investigación de los Avances tecnológicos del siglo XXI
 
Buenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptxBuenos_Aires_Meetup_Redis_20240430_.pptx
Buenos_Aires_Meetup_Redis_20240430_.pptx
 
How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.How to use Redis with MuleSoft. A quick start presentation.
How to use Redis with MuleSoft. A quick start presentation.
 
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptxPROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
PROYECTO FINAL. Tutorial para publicar en SlideShare.pptx
 
redes informaticas en una oficina administrativa
redes informaticas en una oficina administrativaredes informaticas en una oficina administrativa
redes informaticas en una oficina administrativa
 
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptxEVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
EVOLUCION DE LA TECNOLOGIA Y SUS ASPECTOSpptx
 
Avances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvanaAvances tecnológicos del siglo XXI 10-07 eyvana
Avances tecnológicos del siglo XXI 10-07 eyvana
 
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptxEL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
EL CICLO PRÁCTICO DE UN MOTOR DE CUATRO TIEMPOS.pptx
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
Avances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estosAvances tecnológicos del siglo XXI y ejemplos de estos
Avances tecnológicos del siglo XXI y ejemplos de estos
 

Summit itSMF - Risk optimization management inside it governance

  • 1. Risk Optimization management inside IT Governance in Linde Risk Optimization on IT Governance Ramiro Cid The Linde Group
  • 2. Risk Optimization management inside IT Governance in Linde Speaker Bio & Company Information Ramiro Cid Ramiro Cid del Corral | ramiro.cid@es.linde-gas.com | @ramirocid Spain & Portugal CISO & IT Manager en Linde Miembro del Linde European Regional Security Officers Team Miembro activo del Linde Global IT Security Committee Postgrado en Dirección de Empresas (IDEC-Universitat Pompeu Fabra), Licenciado en Sistemas de Información (Universidad de Buenos Aires) Certificaciones: CISM®, CGEIT®, ISO 27001 LA , ISO 22301 LA, ITIL® v.2 Foundation Profesional con 15 años de trayectoria en la industria de TI en diferentes sectores: Industria, Laboratorio, Banca, Gobierno, TI, etc., en diferentes empresas en España, Argentina y Andorra. 1995 2000 2005 Gobierno Consultoría IT Laboratorio 2010 Consultoría y auditoría IT Industria Química ‘96 ‘99 ‘06‘01‘97 ‘02 ‘03‘98 ‘07 ‘08 ‘09 ‘11‘04 ‘13‘12 ‘14
  • 3. Risk Optimization management inside IT Governance in Linde Apetito al riesgo en una organización Madurez en la gestión del riesgo IT + Grado de alineamiento de IS con Negocio + Cultura organizacional APETITO AL RIESGO 3 Ramiro Cid Grado de madurez del “IT Governance”
  • 4. Risk Optimization management inside IT Governance in Linde Auditoría interna a una filial europea Noviembre de 2013: Desarrollo de auditoría in situ interna a “un país de Europa”. Previamente a la auditoría: 1) Se pidió al negocio que completara 2 plantillas para crear un BIA (Business Impact Analysis), 1ro: aplicaciones locales y 2do: aplicaciones globales. En ambos casos se pidió: Calcular impacto económico por pérdida de beneficio, productividad o incremento de costes operativos durante la duración de una contingencia (valor para cada aplicación), siendo el valor medido en un rango de: Low: hasta €10K Medium: desde €10K hasta €500K High: más de €500K 4 Ramiro Cid
  • 5. Risk Optimization management inside IT Governance in Linde Para cada uno de estos rangos, se pidió calcular el valor del dinero perdido teniendo en cuenta diferentes períodos de tiempo de duración de la contingencia, siendo los siguientes períodos: 8 horas 1 día 1 semana 6 semanas Analizados los resultados se pudo ver que: a) Varias aplicaciones de tipo “low” pasaban a “medium” luego de pasado una semana b) Varias aplicaciones de tipo “medium” pasaban a “high” luego de pasado una semana 5 Auditoría interna a una filial europea Ramiro Cid
  • 6. Risk Optimization management inside IT Governance in Linde 2) Se confirmaron las entrevistas con los “key users” de varios departamentos (IS, Finanzas, Logística y Customer Service). Un punto importante fue fijar previamente los días/horas de las reuniones. En estas se incluyó a personal de IS así como a varios departamentos del negocio. 3) Se notificó al negocio la razón de la auditoría, para que con su respaldo, el departamento de IS sepa la importancia de la misma. 6 Auditoría interna a una filial europea Ramiro Cid
  • 7. Risk Optimization management inside IT Governance in Linde Una vez obtenidos los GAPs (no conformidades): 1) Se enviaron los resultados al IS Manager del país auditado para solicitar su respuesta. 2) Una vez contrastadas las diferencias y hechas las correcciones, se envió los resultados al IS Manager para Europa y a los directores de las diferentes áreas del negocio del país analizado. 7 Una vez vista la “foto” de la situación Ramiro Cid
  • 8. Risk Optimization management inside IT Governance in Linde Una vez obtenidos los GAPs (no conformidades): 3) Se convocó una teleconferencia para analizar los principales riesgos encontrados (centrándose de alto impacto y alta o media probabilidad). 4) Se desarrolló un calendario de acciones y responsables de la misma para poder llevar a cabo una mejora de la situación encontrada durante la auditoria. 8 Una vez vista la “foto” de la situación Ramiro Cid
  • 9. Risk Optimization management inside IT Governance in Linde 9 Una vez vista la “foto” de la situación Principales problemas encontrados para poder poner en práctica las mejoras: 1) Escasez de recursos (personas) en el área de IS. El departamento se queja de que el negocio no le proporciona el presupuesto necesario para poder realizar grandes mejoras en seguridad IT. Con ello no se puede conseguir un grado de madurez en la gestión de la seguridad informática acorde a las necesidades del negocio. Ramiro Cid
  • 10. Risk Optimization management inside IT Governance in Linde 10 Una vez vista la “foto” de la situación Principales problemas encontrados para poder poner en práctica las mejoras: 2) Falta de conocimiento por parte de IS de las necesidades del negocio. Se detectaron 2 reclamos provenientes de casi todas las áreas del negocio: a) IS no realiza formación o comunicación a los empleados respecto buenas prácticas en seguridad y uso de los sistemas de información y activos IT. Problema difícil de sortear debido al limitado presupuesto de IS lo que dificulta realizar formaciones con empresas externas (por limitación del CAPEX) o internas con personal interno de IS (por limitación de recursos y saturación de carga de trabajo) Ramiro Cid
  • 11. Risk Optimization management inside IT Governance in Linde 11 Una vez vista la “foto” de la situación Principales problemas encontrados para poder poner en práctica las mejoras: b) Finanzas había sufrido recientemente 2 ataques de Ingeniería Social donde por teléfono unas personas simularon ser personal del banco con el que trabaja la empresa y estuvieron cerca de lograr realizar una estafa. Ambos ataques fueron evitados, sin embargo el departamento obró más por sentido común que por buenas prácticas en seguridad IT o procedimientos escritos a seguir ante este tipo de ataques. Ramiro Cid
  • 12. ¡¡ Muchas gracias !! Ramiro Cid ramiro.cid@es.linde-gas.com @ramirocid http://www.linkedin.com/in/ramirocid