Ahorrar invirtiendo, los beneficios de una buena gestión TIC

826 views

Published on

Presentación de Joseba Enjuto, de Nextel S.A., durante la XV Jornada de Seguridad TI de Nextel S.A. - "Seguridad TI y ahorro de costes, ¿es posible?" en la Alhóndiga de Bilbao el jueves 27 de junio de 2013.

Published in: Devices & Hardware
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
826
On SlideShare
0
From Embeds
0
Number of Embeds
96
Actions
Shares
0
Downloads
4
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Ahorrar invirtiendo, los beneficios de una buena gestión TIC

  1. 1. Ahorrar invirtiendoJoseba EnjutoResponsable de Negocio de ConsultoríaXV Jornada Seguridad TI27/06/2013Los beneficios de una buena gestión TIC
  2. 2. ÍNDICEIntroducciónAlgunos ejemplosPlan de SistemasSeguridad de la InformaciónInfraestructuras Críticas y ContinuidadOtras iniciativasConclusiones
  3. 3. ÍNDICEIntroducciónAlgunos ejemplosPlan de SistemasSeguridad de la InformaciónInfraestructuras Críticas y ContinuidadOtras iniciativasConclusiones
  4. 4. Algunos conceptosAhorrarConservar dineroEvitar un gastoGastarUsar dinero en algoInvertirUsar dinero para obtener un mayor beneficio futuroROI (Retorno de la Inversión)Comparar beneficio con dinero invertidoEl beneficio debería ser superior a la inversión
  5. 5. Algunas dudasAhorrar¿Cuánto dinero conservas?¿Cuánto dinero estás evitando gastar?Gastar¿En qué usas el dinero?Invertir¿Cuál es el beneficio?¿Cuánto dinero vale ese beneficio?ROI (Retorno de la Inversión)ROI?
  6. 6. Ciertos retosMedirDineroGastadoAhorradoInvertidoRetornadoBeneficioNo económicoReal / Hipotético
  7. 7. ÍNDICEIntroducciónAlgunos ejemplosPlan de SistemasSeguridad de la InformaciónInfraestructuras Críticas y ContinuidadOtras iniciativasConclusiones
  8. 8. El ClienteEusko-Space S.L.Empresa privadaParticipación públicaSector aeroespacialFabricación de componentes3 sedesCentral2 delegacionesOrganigrama:Departamento TIC:500 PCs50 servidores
  9. 9. 2008: Primer contactoEl problemaLa empresa creceTIC debe satisfacer las nuevas demandasCapacidad y rendimientoEscalabilidad y flexibilidadSeguridad y ContinuidadLa SoluciónNextel desarrolla su Plan Estratégico de SistemasArquitectura de redArquitectura de sistemasArquitectura de seguridadGestión de la infraestructura TIC
  10. 10. Los resultadosPlano tecnológicoFW en Alta DisponibilidadConexiones vía VPNArquitectura red redundanteNAS + backup…Plano de gestiónHerramientas de gestión TICMonitorización e inventariadoGestión de incidencias y problemasÁmbito organizativoRedefinición de funcionesProcedimientos de gestión TIC
  11. 11. Las consecuenciasCoste:Equipamiento e integración: XXX.000 €Consultoría: YY.000 €Dedicación interna: zzz horasAhorro?Inversión?  Beneficio:Mayor capacidadMayor disponibilidadMejor continuidad?Mejor seguridad?Optimización de procesos?Automatización?Datos explotablesROI?
  12. 12. 2011: Un nuevo problemaEl retoLa alta dirección quiere un “sello” de seguridadEl grupo lo exigeLa dirección financiera quiere rentabilizar el selloLa SoluciónImplantar un SGSI (Sistema de Gestión de Seguridad de laInformación)Alcance limitadoFoco en departamentos “sensibles”Desarrollo de sistemática de gestiónImplicación de la direcciónCertificarlo bajo ISO 27001
  13. 13. Los resultadosSGSIAlcance: Sede centralPrincipales riesgos en:Departamento de I+D (confidencialidad)RR.HH. (confidencialidad)Fabricación (disponibilidad)Medidas de seguridad prioritarias:OrganizaciónCumplimiento legalPropiedad intelectualLOPDControl de acceso lógico (permisos)Arquitectura de red tolerante a fallos  Ya existenteCreación del Comité de Seguridad
  14. 14. Las consecuencias (I)Coste:Consultoría: AA.000 €Dedicación interna: bbb horasMedidas técnicas: CC.000 €Coste acumulado:Consultoría: YY.000 + AA.000 €Dedicación interna: zzz + bbb horasMedidas técnicas: XXX.000 + CC.000 €
  15. 15. Las consecuencias (II)Ahorro acumulado:Medidas de seguridad existentesArquitectura red redundanteInspección Agencia Protección de DatosDenuncia por uso no autorizado de datos personalesInfracción: Grave (40.000–300.000 €)Sanción: ApercibimientoPor haber aplicado SGSI a su resoluciónInversión acumulada:Dedicación a la gestión de la seguridad80h/mesMejoras en la gestión de incidencias25% menos de incidencias30% menos de tiempo de resolución medio 200h/mes
  16. 16. Las consecuencias (III)Beneficio acumulado:Optimización de procesosAutomatizaciónMejor continuidadUn incidente grave de red no ha provocado parada de la producciónMayor seguridadReducción en un 20% de los incidentes de disponibilidadSeguridad mejor gestionada?ROI:Dedicación200horas/mes > (zzz + bbb + 80/mes)horasCoste económicoCoste sanción ≈ YY.000 + AA.000 €Medidas técnicas?
  17. 17. 2012: Responder a las leyesUn nuevo desafíoLey de Protección de las Infraestructuras Críticas (Ley 8/2011)Aplica a sector aeroespacialRequisitosDesarrollar un Plan de Seguridad en 6 mesesElaborar Planes de Protección en 4 mesesEusko-Space S.L. debería prepararse?La SoluciónDesarrollar un SGC (Sistema de Gestión de la Continuidad)Visión alineada con Ley PICGarantizar cumplimiento de plazosAprovechar beneficios propios del SGCRentabilizar inversiónIntegrar SGC con SGSIMaximizar eficiencia y eficacia
  18. 18. Los resultadosSGCAlcance: Sede centralDesarrollo de un BIA (Análisis de Impacto en el Negocio)Gestión de impactos:Alineada con Gestión de riesgos del SGSIPlanes de ContingenciasA partir de los existentesPlanes de Gestión de CrisisCuerpo del SGCA partir del SGSISeguridad físicaLa existenteSi nombrasen a Eusko-Space S.L. Operador CríticoTrabajo diferencial a partir del SGC
  19. 19. Las consecuencias (I)Coste:Consultoría: MM.000 €Dedicación interna: nnn horasMedidas técnicas: 0 €Ahorro:Consultoría y dedicación interna:60% del proyecto existente gracias a SGSIMedidas técnicas:No han sido necesarias nuevas medidas técnicasDedicación a la gestión de la continuidad:90% de la dedicación ya contemplada por SGSI
  20. 20. Las consecuencias (II)Inversión:Dedicación a la gestión de la continuidad8h/mesBeneficio acumulado:Continuidad mejor gestionadaDisminución en un 10% de los tiempos de recuperaciónSeguridad mejor gestionadaDetección de más incidentes de seguridadDetección de ¿intento? de filtración de patente en cursoDenuncia y bloqueo judicial de actuación ilícitaROI acumulado:Dedicación200horas/mes ≈ (zzz + bbb + nnn + 88/mes)horasCoste económicoBeneficio patente >> MM.000 €  >> MM.000 € + XXX.000 + CC.000 € ?
  21. 21. Otras iniciativas2012: Peritaje informáticoParticipación en resolución de incidente de patenteAuditoría forenseInforme pericialDefensa del informe en sede judicialROI:Despido procedenteAdicionalmente, beneficio de la patente2009: Desarrollo de un SGSTIDesarrollo y certificación en ISO 20000SGSI integrado con élApoyado en herramientas de gestión TICROI:Gestión de proveedoresEstablecimiento de niveles de servicio con costes proporcionales
  22. 22. ÍNDICEIntroducciónAlgunos ejemplosPlan de SistemasSeguridad de la InformaciónInfraestructuras Críticas y ContinuidadOtras iniciativasConclusiones
  23. 23. Algunas reflexionesConsideraciones sobre el ROICuantificación del beneficio no económicoCuantificación del planteamiento inicialCoste técnico ineludibleCuantificación de beneficios hipotéticosROSI (Retorno de la Inversión en Seguridad)
  24. 24. ConclusionesSe puede ahorrar invirtiendoClave: Beneficios a obtenerOrientación a resultadosEs imprescindible poder medirClave: Herramientas de soporte a la gestiónHay que ser paciente y constanteBeneficios puntuales a corto plazoBeneficios profundos a más largo plazoUna buena gestión TIC es una garantía de ahorroMejorar eficienciaAumentar eficaciaIncrementar rendimientoY si no sabes cómo hacerlo … Nextel te puede ayudarNextel te puede ayudar
  25. 25. ¡Muchas Gracias!XV Jornada Seguridad TI27/06/2013Joseba EnjutoResponsable de Negocio de Consultoría¡Síguenos enRedes Sociales!

×