Diapositiva 1 - Gobierno en línea

Balanced Scorecard de
Seguridad de la Información
Miguel Cisterna L.
Global Crossing Chile.
[email protected]
Sólo para fines educativos
Presentaciones.
• Relator.
– Miguel Cisterna Landaeta.
– Especialista Seguridad de la Información.
– Experiencia en implementación y auditoría de Sistemas de
Gestión (ISMS, SGC, SGS, SGCN).
– Certificado en Desarrollo e Implementación BCP/DRP.
– Certificado Implementador BS 7799-2:2002.
– Balanced Scorecard de Seguridad de la Información.
– Certificate ISMS Lead Auditor ISO27001:2005.
– Certificate Lead Auditor ISO/IEC 20000.
• Contacto.
– [email protected].
Agenda
•
•
•
•
Estrategia.
¿Que es Planificación Estratégica?
¿Qué es un BSC?
Fases de implementación de un
BSC Seguridad de la Información.
Estrategia
Conceptos.
Sólo para fines educativos
Estrategia
1.- Arte de dirigir las
operaciones Militares.
2.- En un proceso
regulable, conjunto de
las reglas que aseguran
una decisión optima en
cada momento.
Real Academia Española.
1.- Seleccionar el
conjunto de actividades
en que una empresa
destacará para
establecer una
diferencia sostenible en
el mercado.
Porter.
Estrategia
Competencia
por Costo
Diferenciación
1.- Seleccionar el
conjunto de actividades
en que una empresa
destacará para
establecer una
diferencia sostenible en
el mercado.
Especialización
Porter.
Dinámica
• Defina una estrategia para el
siguiente caso:
• Usted debe conquistar una
Mujer.
• Sus recursos son muy escasos.
• La mujer es guapa, menor que
usted y ella vive con sus padres.
«Si no sabes a dónde vas, cualquier
camino te conduce allí»
Proverbio
del Corán
Objetivo
Punto Partida.
¿Quién Soy?
¿Dónde quiero
llegar?
Punto Llegada.
¿Cómo
Planificación
llegamos?
Estratégica
¿A dónde voy?
¿Qué Necesito?
(Visión)
¿Qué es Planificación
Estratégica?
Sólo para fines educativos
Planificación Estratégica
• Proceso dinámico lo suficientemente flexible para
permitir -y hasta forzar- modificaciones en los
planes a fin de responder a las cambiantes
circunstancias.
• Intermedio el proceso de planificación situado entre
el pensamiento estratégico y la planeación táctica.
• Identificar y llevar a la practica los objetivos a largo
plazo de la empresa.
Ventajas de la P.E.
1
2
3
4
• Mantiene a la vez un enfoque en el presente y en el futuro (Contribuye a
anticiparse a problemas)
• Reduce posibilidad de cometer errores (sorpresas desagradables), las estrategias
y objetivos son definidos cuidadosamente.
• Fomenta la planificación y la comunicación interdisciplinarias.
• Brinda a altos ejecutivos lineamientos lógicos y consecuentes, con el desarrollo
de actividades para lograr los objetivos a largo plazo.
Desventajas de la P.E.
1
2
3
4
• Gran inversión de tiempo, personal y recursos económicos.
• Especialización del personal para planificación y formulación de
estrategias, nuevas oficinas, costos de entrenamiento específico y/o
investigaciones de mercado.
• La pequeña empresa no cuenta con departamentos dedicados a planificación. No
puede seguir el proceso sistémico de planificación estratégica.
• No obstante se apoya en lineamientos y/o directrices básicas.
«Mi éxito en los negocios se debe FUNDAMENTALMENTE
a mi capacidad para concentrarme en objetivos a largo
plazo e ignorar distracciones momentáneas originadas
por inquietudes a corto plazo»
Bill Gates
Estilos de planificación
Años 60
Años 70
Años 80
Años 90
2000 / hoy
• Proyecciones Largo
Plazo
• Presupuestos a 5
años.
• Planes Operativos
Detallados.
• Estrategias para
crecimiento y
diversificación.
• Estrategias Explicitas.
• Divisiones en
unidades
empresariales
estratégicas.
• Proyección
explorativa.
• Simulación de
estrategias
alternativas.
• Alta Gerencia
responsable de la
estrategia.
• Inversiones masivas
en nuevas
tecnologías.
• Liderazgo visible
ejercido por alta
gerencia.
• Compromiso
usuarios a todo nivel.
• Uso de tecnologías
informáticas.
• Incremento de
cálculos de riesgos.
• Alta velocidad en
renovar
conocimiento, perder
y ganar ventajas
competitivas.
• Benchmarking.
• Flexibilidad.
• Gestión.
• Pro actividad.
• Gestión de
competencias.
• De Know How al
Know Who.
¿Qué es un Balanced
Scorecard?
Sólo para fines educativos
¿Porque usar el cuadro de mando integral?
97%
Visión
80%
Planes
Estratégicos
Claros
52%
Algunos
Logros
estratégicos
33%
Logros
estratégicos
significativos.
Fuente: Strategic Performance Mesurement & Management.
Business Intelligence Renaissance Worldwide 2009.
¿Porque usar el cuadro de mando integral?
• Sólo 25%
ejecutivos tiene
incentivos
vinculados a
estrategia.
• Sólo 5%
comprende la
estrategia.
• 60% de las
organizaciones no
vincula sus
presupuestos a la
estrategia
Barrera
Personas
Barrera de
los
Incentivos
Barrera de
los
Recursos.
Barrera de
la Gestión
• 85 de los
ejecutivos pasan
menos de 1 hora
mes discutiendo
la estrategia
Fuente: Strategic Performance Mesurement & Management.
Business Intelligence Renaissance Worldwide 2009.
Hitos Históricos del BSC
1990
1992
• Nolan-Norton Institute, publica «un nuevo modelo de medición de la actuación»
• Harvard Business Review publica un articulo llamado «El Cuadro de Mando integral»
1993
• Norton y Kaplan publican en H.B.R. «Cómo poner a trabajar el cuadro de mando
integral»
1993
• Se unen consultoras como Renassance Solutions Inc. Y Gemini Consulting. Esto permite
madurar el modelo e integrar múltiples medidas bajo una lógica
causa-efecto.
2007
• Cuadro de Mando Integral en crecimiento y evolución.
BCS en la Planificación Estratégica
Misión
¿Porque existimos?
Valores
¿Qué es importante para nosotros?
Visión
¿Qué queremos ser?
Estrategia
¿Cuál es mi plan de juego?
Mapa Estratégico
¿Cómo traduzco la estrategia
Balanced Scorecard
Medir y Enfocar
Metas e Iniciativas
¿Qué necesitamos hacer?
Objetivos Personales
¿Qué necesito hacer?
Resultados Estratégicos
Accionistas
Satisfechos
Accionistas
Satisfechos
Accionistas
Satisfechos
Accionistas
Satisfechos
Perspectivas del BCS
2
CLIENTES
¿Qué requerimientos
atender para tener éxito?
3
1
FINANCIERA
¿Qué objetivos Financieros
debemos lograr para ser
exitosos?
PROCESOS INTERNOS
Visión y
Estrategia
APRENDIZAJE
¿En que procesos debemos
ser excelentes?
4
¿Cómo aprender e innovar
para lograr los objetivos?
Un conjunto de indicadores financieros y no financieros articulados con la visión y la
estrategia.
Indicadores
Mapa Estratégico Línea Aérea
Aumentar la rentabilidad
FINANCIERA
Lograr crecimiento de las ventas
Disminuir los costos..
Atraer y retener clientes
CLIENTES
Ofrecer precios más bajos.
Mejorar atención de clientes
Servicio a tiempo
(Puntualidad)
Rediseñar proceso de servicio
al cliente
PROCESOS
INTERNOS
Reducir tiempo de aviones en
tierra.
Implementar servicio de reserva
y venta de pasajes por internet
Rediseñar atención telefónica.
APRENDIZAJE Y
CONOCIMIENTO
Adquirir Soporte tecnológico
según nuevos requerimientos
Capacitar al personal en
atención a clientes
Capacitar al personal de
mantenimiento, carga de
equipaje y alimentos.
Balanced Scorecard de
Seguridad de la Información
Fases de Implementación
Sólo para fines educativos
Fases Implementación
1 Reconocimiento
5
Comunicación e
Implementación del
BSCSI
BSC SI
4
Construcción
Tableros de control
operativo de SI
2
Concepto estratégico
de Seguridad de la
Información
3
Construcción del
CMI
Reconocimiento
• Levantamiento y clasificación de la
información.
• Reconocimiento físico de la
organización.
• Planifica cición de la implementación
(consultoras, recursos propios)
• Regulaciones aplicadas, leyes y
requerimientos contractuales.
• Alineamiento de la estrategia de la
organización con estrategia SI.
1 Reconocimiento
Concepto Estratégico
• Definición de Visión de SI.
• Definición de Misión de Seguridad de la
Información.
• Análisis FODA.
• Fortalezas.
• Oportunidades.
• Debilidades
• Amenazas.
• Red de Valor.
• Procesos Internos
• Procesos externos.
2
Concepto estratégico
de Seguridad de la
Información
Construcción del CMI
• Objetivos estratégicos.
• Modelo causa – efecto.
• Mapa estratégico Seguridad de la
Información.
• Vectores Estratégicos de Seguridad de la
Información.
• Generadores de Valor.
• Iniciativas Estratégicas de SI.
• CMI Seguridad de la Información.
3
Construcción del
CMI
Construcción Tableros de Control
• Definir objetivos operativos claves.
• Modelo causa – efecto con vectores de
seguridad.
• Definición y priorización de los planes a
de acción operativos de SI
• Construcción del tablero de control
operativo de SI.
• Alineación de estrategia de seguridad
con la operación.
4
Construcción
Tableros de control
operativo de SI
Comunicación e Implementación
•
•
•
•
Divulgación.
Automatización. (PDCA)
Plan de acción de iniciativas y objetivos.
Plan de despliegue organizacional.
5
Comunicación e
Implementación del
BSCSI
Conclusiones
• "Usted puede tener la mejor
tecnología, firewalls, sistemas de detección de
ataques, dispositivos biométricos, etc. Lo único
que se necesita es un llamado a un empleado
desprevenido e ingresar sin más. Tienen todo en
sus manos".
• Kevin Mitnick.
PREGUNTAS
Miguel Cisterna L.
Global Crossing Chile.
[email protected]
Sólo para fines educativos