Ricardo Santiago

Area Manager España, Portugal y Latino América

Lima, Perú

23 de Septiembre, 2013

Certified Integrator Secure Cloud Services: Certificación Internacional para Gestores Cloud

• Profesional con un fuerte background ligado

a las TIC desde sus comienzos, habiendo realizado

labores en un gran número de áreas y ámbitos. Los hitos

profesionales de Ricardo son:

– Jefe de Área del departamento de I+D de Grupo SP (compañía

española de desarrollo de Software de contabilidad, facturación,

etc..)

– Director de proyectos en la consultora CapGemini España.

– Gestor de la configuración en Telefónica Móviles de España

– Director y responsable de EXIN para España, Portugal y Latino

América.

• Actualmente compagina su posición en EXIN con el cargo de

Secretario del GT25, espejo nacional Español del grupo de trabajo

internacional WG25 de ISO20000.

• Ricardo es Ingeniero informático y MBA por la Escuela Europea

de Negocios.

Quién es … Ricardo Santiago

Quién es … EXIN

Ayudando a los profesionales desde 1984

Quién es … EXIN

Actividad en 125 países de los 6 continentes,

en 21 idiomas.

EXIN Certified Integrator Secure Cloud Services

Qué es un …

EXIN Certified Integrator Secure Cloud Services

Qué es un …

Dónde y cómo nace el título …

Marzo de 2012 ….

EXIN Certified Integrator Secure Cloud Services

Cómo se obtiene

• Los Servicios en la nube se basan en acuerdos con

proveedores (acuerdos de nivel de servicio)

• La continuidad, disponibilidad, seguridad necesitan ser

gestionados

• Los incidentes, cambios, problemas deben ser gestionados

• La norma ISO / IEC 20000 para la gestión de servicios: apoyo

y control al diseño y la prestación de servicios

• La organización en continuo de aprendizaje

Cloud Computing como un Servicio moderno

Cloud Computing como un Servicio seguro

• El reto de la seguridad y control de cumplimiento fuera del

perímetro de la empresa

• La serie ISO / IEC 27000 de Gestión de Seguridad de la

Información: ventajas de un sistema de gestión

• Los profesionales de la seguridad de la información deben

participar en el despliegue en la nube

"Most virtualized workloads are being deployed insecurely. The latter is a result of the immaturity of tools and processes and the limited training of staff, resellers and consultants. “

Neil MacDonald, Gartner fellow and vice president

Como se integran ITSM y Seguridad

• Aporte del Service Management al Cloud:

– Implementación y Gestión del Cloud Computing

Incluyendo los principales componentes de servicios en la nube, sus relaciones y los principios de gestión de servicios que aplican para el Cloud Computing

• Aporte de la Information Security al Cloud:

– Seguridad de la información y cumplimiento Incluyendo la gestión de riesgos y la gestión de la identidad y la privacidad en la nube

• Ambas normas, ISO / IEC 20000 y 27001, enfatizan la importancia de la gestión de los procesos y servicios externalizados

EXIN Certified Integrator Secure Cloud Services

EXIN Certified Integrator Secure Cloud Services

Cómo se obtiene

… en la “antigüedad”?

… en nuestra época?

¿ A qué te recuerda el concepto Información ….

Puntos clave:

• INTERNET a supuesto un

cambio drástico en el acceso a

la información

Nos hemos convertido en la sociedad de la

información y el conocimiento.

La información es uno de los mayores y más

valiosos activos de las empresas.

AGENDA

• INFORMACIÓN, ¿qué es y cuánta hay?

• ¿Por qué es importante?

• ¿Qué valor tiene?

• ¿Quien debe velar por la Seguridad de la

información?

• Nuevos retos …

INFORMACIÓN, ¿qué es y cuánta hay?

En sentido general, la información es un conjunto organizado de

datos procesados, que constituyen un mensaje que cambia el estado

de conocimiento del sujeto o sistema que recibe dicho mensaje.

Fuente Wikipedia: http://es.wikipedia.org/wiki/Informaci%C3%B3n

(Del lat. informatĭo, -ōnis).

1. f. Acción y efecto de informar.

2. f. Oficina donde se informa sobre algo.

3. f. Averiguación jurídica y legal de un hecho o delito.

4. f. Pruebas que se hacen de la calidad y circunstancias necesarias en una persona para un empleo u

honor. U. m. en pl.

5. f. Comunicación o adquisición de conocimientos que permiten ampliar o

precisar los que se poseen sobre una materia determinada.

6. f. Conocimientos así comunicados o adquiridos. 7. f. Biol. Propiedad intrínseca de ciertos biopolímeros, como los ácidos nucleicos, originada por la

secuencia de las unidades componentes.

8. f. ant. Educación, instrucción.

Fuente RAE: http://lema.rae.es/drae/?val=Informaci%C3%B3n

INFORMACIÓN, ¿qué es y cuánta hay?

Principales características de la información:

• Significado (semántica): ¿Qué quiere decir?

• Importancia (relativa al receptor): ¿Trata sobre alguna

cuestión importante?

• Vigencia (en la dimensión espacio-tiempo): ¿Es actual o

desfasada?

• Validez (relativa al emisor): ¿El emisor es fiable o puede

proporcionar información no válida (falsa)?

• Valor (activo intangible volátil): ¿Cómo de útil resulta para

el destinatario?

Fuente Wikipedia: http://es.wikipedia.org/wiki/Informaci%C3%B3n

Cisco 2016

1.3 ZETTABYTES 1.000.000.000.000.000.000.000 bytes.

La información en el mundo…

FUENTE: CISCO

Puntos clave:

• El volumen de información

(online) crece a un ritmo

vertiginoso

Las dos partes principales de “Don Quijote de la Mancha” tienen 2.059.005 caracteres,

y 1.250 páginas … las letras contenidas en un ZettaByte darían para escribir el Quijote

631.372.920.415.443 (seiscientos treinta y un billones trescientos setenta y dos mil novecientos veinte millones cuatrocientos quince mil cuatrocientos cuarenta y tres)

¿Por qué es importante?

Puntos clave:

• La información es relevante (y

valiosa) en función del

observador (destinatario)

• Tanto personas como

Empresas dejan su “Huella Digital” en internet

¿Qué valor tiene?

http://www.csospain.es/500.000-euros,-coste-medio-de-un-ciberataque-para-las-empres/seccion-actualidad/noticia-133717

¿Qué valor tiene?

http://www.csospain.es/Las-cuentas-hackeadas-reportan-importantes-beneficios/seccion-actualidad/noticia-133782

¿Quién debe velar por la Seguridad?

Puntos clave:

• Salvaguardar la información

(nuestra o de nuestra compañía)

es una cuestión de todos, no

sólo del departamento de TI

¿Quién debe velar por la Seguridad?

General Chino Sun Tzu.

"El arte de la guerra" entre el 400 a. C. y el 320 a. C.

¿Quién debe velar por la Seguridad?

El Arte de la Guerra no es un libro sobre la guerra; es

una obra para comprender las raíces de un conflicto y

buscar una solución. “la mejor victoria es vencer sin combatir”, nos dice Sun Tzu, “y ésa es la distinción entre el hombre prudente y el ignorante”.

¿Qué relación tiene el libro “El Arte de la Guerra” con la

Seguridad de la información?

¿Quién debe velar por la Seguridad?

En la actualidad podríamos decir que la seguridad de la información es una “guerra” entre las empresas y los

individuos y/u organizaciones que tienen como objetivo

obtener de manera ilegal uno de los más importantes activos de las empresas, LA INFORMACIÓN.

¿Quién debe velar por la Seguridad?

La guerra es de vital importancia para el Estado; es el

dominio de la vida o de la muerte, el camino hacia la

supervivencia o la pérdida del Imperio: es forzoso

manejarla bien.

No reflexionar seriamente sobre todo lo que le

concierne es dar prueba de una culpable indiferencia

en lo que respecta a la conservación o pérdida de lo

que nos es mas querido; y ello no debe ocurrir entre

nosotros.

"El arte de la guerra"

La Empresa

¿Quién debe velar por la Seguridad?

Maniobrar con un ejército es

ventajoso. Maniobrar con una

multitud indisciplinada, es

peligroso. "El arte de la guerra"

Todos, desde el CEO, pasando

por el personal de TI, hasta el más

nuevo empleado, deben velar por

la Seguridad de la información.

¿Quién debe velar por la Seguridad?

Un ejemplo …

¿Sabes lo que es Phishing? Phishing es un término informático que denomina un tipo de abuso informático

y que se comete mediante el uso de un tipo de ingenieria social caracterizado

por intentar adquirir información confidencial de forma fraudulenta (como puede

ser una contraseña o información detallada sobre tarjetas de crédito u otra

información bancaria). El cibercriminal, conocido como phisher, se hace pasar

por una persona o empresa de confianza en una aparente comunicación oficial

electrónica, por lo común un correo electrónico, o algún sistema de mensajería

instantánea1 o incluso utilizando también llamadas telefónicas.

Fuente Wikipedia: http://es.wikipedia.org/wiki/Phishing

http://eleconomista.com.mx/finanzas-personales/2013/03/31/phishing-genera-

perdidas-mas-1500-millones-rsa

Nuevos retos …

Puntos clave: • Las TI han sido el reto mas

importante en el pasado reciente

• La propia evolución tecnológica,

sigue siendo nuestro mayor reto

Nuevos retos …

http://www.csospain.es/El-cibercrimen-se-convierte-en-servicio/seccion-actualidad/noticia-133734

Nuevos retos …

http://www.csospain.es/Oficiales-de-la-UE-evaluan-como-utiliza-Estados-Unidos-los-d/seccion-actualidad/noticia-133770

Nuevos retos …

http://www.abc.es/tecnologia/redes/20130704/abci-proyecto-espiar-correos-201307041819.html

http://www.elmundo.es/elmundo/2013/07/04/internacional/1372950476.html

Nuevos retos …

¿Qué es un Servicio?

Es un medio de entregar valor a los clientes, al facilitar los

resultados que los clientes quieren lograr sin apropiarse

de los costes y riesgos específicos. Fuente ITIL-OfficialSite, Glosario de términos

Si tuvieras que viajar a Australia,

¿Qué comprarías?

¿Es tu compañía

suministradora o

consumidora de

SERVICIOS de TI? ¿Tiene

la web alojada en algún

servicio de hosting? ¿y el

correo electrónico?

ITIL® is a registered trade mark of the Cabinet Office

Nuevos retos …

Nuevos retos …

… es un nuevo modelo de prestación de servicios de

negocio y tecnología, que permite al usuario acceder

a un catálogo de servicios estandarizados y

responder a las necesidades de su negocio, de forma flexible

y adaptativa, en caso de demandas no previsibles o de picos

de trabajo, pagando únicamente por el consumo efectuado.

Conjunto de capacidades y procesos para dirigir y controlar las

Actividades del proveedor del servicio y los recursos para

el diseño, transición, provisión y mejora de los servicios para cumplir los

requerimientos del servicio

Cloud Computing

Gestión de Servicios de TI

El Cloud Computing

es/será un Servicio

más a contratar y

controlar

Nuevos retos …

Nuevos retos …

Accesibilidad a contenidos (información)

Seguridad de la información

Recuerda

Maniobrar con un ejército es

ventajoso. Maniobrar con una

multitud indisciplinada, es

peligroso.

General Chino Sun Tzu.

"El arte de la guerra" entre el 400 a. C. y el 320 a. C.

Gracias por la atención.

Ricardo Santiago EXIN

http://www.exin.com

supportSP-PT@exin.com

/EXINEnCastellano

@EXIN_es

ricardo.santiago@exin.com

/in/ricardosantiagoc

@rsantiag