Conversando con CISOS

Capítulo 11: Marzo 25, 2020: Parte 2 - Seguridad vs Compliance - y la eterna pelea con el Directorio

Junto con nuestros CISOs invitados, Andrés Almanza, Erensto Landa, y la participación de varios CISOS asistentes, conversamos acerca de Seguridad vs Compliance. Este es el segundo capítulo de varios en este tema.

Cuál es la diferencia entre hacer seguridad y lograr compliance? El enfoque de ésta conversación es si las empresas en relidad están preparadas para asumir los retos a causa del COVID-19.

Andrés compartió esta presentación durante la conversación Conversando CISOS

Capítulo 10: Marzo 11, 2020: Seguridad vs Compliance - y la eterna pelea con el Directorio

Junto con nuestro CISO invitado, Joaquín Pérez, conversamos acerca de Seguridad vs Compliance. Este es el primer capítulo de varios en este tema.

Cuál es la diferencia entre hacer seguridad y lograr compliance? Este es un tema de discusión de casi la última década, del cual se conversa casi a diario, y es una de las peleas que el CISO de hoy tiene con el Directorio.

Capítulo 9: Febrero 26, 2020: Implementación del SGSI - Segunda parte

Junto con nuestro CISO invitado, Alexis Rodriguez, conversamos acerca de la implementación del SGSI. Este es el segundo de dos capítulos en la materia.

Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.

Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

En este programa conversaremos acerca de los 6 pasos para implementar SGSI bajo Norma ISO 27001:

1. Fase de evaluación

2. Planificación

3. Documentación + Gantt

4. Organización

5. Presentación

6. Despliegue y puesta en marcha

Capítulo 8: Febrero 12, 2020: Implementación del SGSI - Primera parte

Junto con nuestro CISO invitado, Alexis Rodriguez, conversamos acerca de la implementación del SGSI.Este es el primero de dos capítulos en la materia.

Para garantizar que la seguridad de la información es gestionada correctamente, se debe hacer uso de un proceso sistemático, documentado y conocido por toda la organización, desde un enfoque de riesgo empresarial. Este proceso es el que constituye un SGSI.

Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume, minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos, que se revisa y mejora constantemente.

En este programa conversaremos acerca de los 6 pasos para implementar SGSI bajo Norma ISO 27001:

1. Fase de evaluación

2. Planificación

3. Documentación + Gantt

4. Organización

5. Presentación

6. Despliegue y puesta en marcha

Capítulo 7: Enero 29, 2020: Administrando Riesgos utilizando FAIR o NIST CSF

Junto con nuestros CISOS invitados, La gestion del riesgo es un acto de equilibrio delicado. Se deben establecer estándares y políticas que no limiten la ejecución de estrategias corporativas para el crecimiento de la empresa, y al mismo tiempo, mantener la empresa segura, tener visibilidad, y ofrecer supervisión.

En este programa, discutiremos dos marcos de medición de riesgos, FAIR y NIST CSF. Cuál de las dos escoger, cuando y adonde aplicarla, y como crear un ciclo de retroalimentación que nos de visibilidad en la postura de seguridad, la tolerancia al riesgo, y la capacidad de auto-ajustarse.

Capítulo 6: Enero 15, 2020: El Rol del CISO Moderno

Junto con nuestros CISO invitado: Manuel Humberto Santander, conversamos acerca del rol del CISO moderno. El rol, las metas, y los objetivos de un CISO han cambiado drásticamente a lo largo de los años. Debido a estos cambios en las responsabilidades del CISO, su éxito ya no se basa en métricas tecnológicas únicamente, ahora se mide en métricas de negocio. Como resultado, el rol de un CISO se ha vuelto más atractivo y más exigente.

Temas a discutir:

1. ¿Cuáles son los cambios significativos con respecto al rol del CISO?

2. ¿Que pueden hacer los CISOS para mantenerse al día con estos cambios?

3. ¿Cómo medir adecuadamente el éxito de un CISO?

Capítulo 5: Diciembre 18, 2019: Importancia de un programa de Gestión de Riesgos

En este capítulo contamos con la participación de tres CISOS: Ing. Mauricio Finol, Elkin Ferney Quintero Gómez, y Marco Brando

La Gestión de Riesgos es un proceso que permite identificar riesgos de manera agresiva. Debe ser un proceso continuo. Los mejores programas de Gestión de Riesgos son proactivos en lugar de reactivos. Los riesgos pueden poner en peligro el progreso de una organización hacia el logro de objetivos críticos.

Que debe hacer un CISO para implementar un programa de Gestión de Riesgos?

Capítulo 4: Diciembre 4, 2019: La visión del CISO acerca de Ciberseguridad en IoT

En este capítulo contamos con la participación de Claudia Gomez y Samuel Córdoba.

IoT es la tendencia tecnológica más implantada en las empresas. A diferencia de otras tecnologías más disruptivas, IoT sí que está presente en la estrategia de ciberseguridad de las empresas.

Que debe hacer un CISO para implementar controles de seguridad y poder dormir bien?

Capítulo 3: Noviembre 27, 2019: Visión del CISO acerca del CIS Top 20

En este capítulo contamos con la participación de Santiago Fernandez.

Una discusión muy interesante de como un CISO utiliza el CIS TOP 20 como una herramienta que le ayude a preparar un plan de ciberseguridad, o medir su estado de madurez de ciberseguridad, o combinado con un marco de ciberseguridad como ISO 27032 o NIST CSF, ayuda a la creación de un reporte de riesgos que pueda ser presentado a la junta directiva.

Conversamos sobre lo siguiente:

- ¿Qué es el CIS Top 20?

- ¿Como lo utilizas en tu empresa?

- ¿Cuál es la mejor manera de comenzar a utilizar esta lista?

Capítulo 2: Noviembre 20, 2019: Patch Management y Vulnerability Management? Cuál es la diferencia? Cual necesito en mi empresa?

En este capítulo contamos con la participación de dos CISOS: Walter Darda y Fernando Silva.

Basado en la experiencia de Walter y Fernando como CISOs, discutiremos durante una hora acerca de Patch Management y Vulnerability Management. Descubrimos que estos programas no sólo se enfocan en software/hardware, pero también deben incluir personel de la empresa.

Conversamos sobre lo siguiente:

- ¿Que es Gestión de Parches?

- ¿Qué es gestión de vulnerabilidades?

- ¿Por qué es importante tener un proceso de gestión de vulnerabilidades?

- Construyendo un Programa de Gestión de Vulnerabilidad

Capítulo 1: Noviembre 8, 2019: Cómo establecer un programa de ciberseguridad en su empresa

En este primer capítulo contamos con la participación de dos CISOS expertos: Cesar Salinas y Darwin Cayetano.

Basado en la experiencia de Cesar y Darwin como CISOs, discutiremos durante una hora recomendaciones y actividades para establecer una fundación solida de ciberseguridad en su organización.

Conversamos sobre lo siguiente:

- Cual debe ser el primer paso

- Como crear un plan de ataque

- Como comunicar nuestra idea a la organización y a la junta directiva

- Cuanto tiempo estimas debe tomar establecer esta fundación

- Como medir el proceso del proyecto