1

RSI

El CICLO DE VIDA

DE LA SEGURIDAD GLOBAL

Sedimento Sostenible del Negocio

Congreso DINTEL – BANCA Y SEGUROS 2012

Sesión 2 . Normativas y Regulaciones

6 de junio

“25 Años: Servicios Financieros en Cloud”

3

CAJA RURAL

PLANTEAMIENTOS

PREOCUPACIONES

MEDIDAS A APLICAR

CONCLUSIONES

ÍNDICE

4

ENTIDADES

Outsourcing TI

Seguros

Banco Back-Office

Principales COMPAÑÍAS (3)

CAJA RURAL

ESTRUCTURA

que nos conozcas un poco más ...

RSI • Constitución en 1986

• Adquisición de solución bancaria en 1987.

• Incorporación de Entidades hasta 1999.

• Diseño y desarrollo de una nueva plataforma

(Iris).

• Incremento de la oferta de servicios relacionados.

• Lanzamiento Internacional en 2011 (Nessa GBS).

6

CLIENTES CUENTAS CRÉDITOSDEPÓSITOS

RENTA FIJATARJETAS

TPV’S BANCA ONLINE CAJEROS TERMINALES TRANSAC.DIA

7.429.785 5.040.728 855.700 869.882 3.069.448

75.118 426.724 3.686 14.525 13.200.000

VOLUMENES NEGOCIO

CAJA RURAL

7

que nos conozcas un poco más ...

Un poco de visión retrospectiva (25 años)...

Evolución de las Soluciones y Servicios a Entidades ...

1987

valo

r

Core bancario

Centro de

Información

Banca

Electrónica /

Telefónica

Sistemas de

Información de

Gestión (SIG)

Sistemas

CRM

Sistemas de

Movilidad

Sistemas

GED

Servicios

de Valor

1992 2000 2001 2002 2003 2005 2007 2008 2011

tiempo

Medios de

Pago

1986

8

servicios

soluciones

Soluciones y Servicios ...

Amplísima oferta de ...

... nuestras soluciones y servicios dan respuesta a todas las necesidades...

COREBANKING

GESTIÓN

COMERCIAL

CONTROL

DE GESTIÓN

RIESGOS

SOPORTE A

LA GESTIÓN

CANALES

Áreas

Funcionales

ORGANISMOS

... en 2007 hemos alcanzado el nivel 3 del modelo CMMI ...

RSI es una de las primeras empresas

tecnológicas del sector financiero en implantar

el nivel 3 del modelo CMMI-SW/SE (Capability

Maturity Model Integrated SW/SE), Modelo de

madurez de capacidad integrada para software

e ingeniería de sistemas). Este modelo,

estándar internacional de referencia en el

desarrollo de software, mide la madurez de los

procesos utilizados en una organización para

producir sistemas informáticos, asegurando la

calidad de los desarrollos. Su incorporación a

los procesos evidencia una decidida apuesta

por las mejores prácticas de gestión de la

tecnología a nivel mundial.

Nuestro valor diferencial ...

Somos una referencia en el mercado ...

... en 2010 hemos alcanzado la certificación de ISO27001

(SGSI) e ISO38500 (BGTI) ...

RSI es la primera empresa en obtener un

certificado de Conformidad de AENOR en la

Adopción y Cumplimiento de los Principios de

Buen Gobierno TIC (Responsabilidad,

Estrategia, Adquisición, Rendimiento,

Cumplimiento y Conducta Humana) bajo la

norma Internacional ISO38500 de Gobierno de la

Tecnología.

Además también en obtener un Certificado de

AENOR en su SGSI (Sistema de Gestión de la

Seguridad) bajo la Norma ISO27001 con alcance

a sus OCHO principales Procesos de Servicio a

sus Socios y Clientes

valor diferencial ...Somos una referencia en el mercado ...

11

CAJA RURAL

PLANTEAMIENTOS

PREOCUPACIONES

MEDIDAS A APLICAR

CONCLUSIONES

ÍNDICE

Algunas Citas

Interoperabilidad

Una apuesta…Interoperabilidad

“Ningún hombre es una isla, algo completo en sí mismo; todo hombre es un

fragmento del continente, una parte de un conjunto.” Donne John

Moraleja: LAS PARTES HACEN EL TODO y EL TODO NO ES TAL

SIN LAS PARTES

“Si buscas resultados distintos, no hagas siempre lo mismo.” Albert Einstein

Moraleja: EL MOTOR DEL CAMBIO ES EL PROPIO CAMBIO y LAS

IDEAS

“Internet es positivo porque nos une, nos conecta, incluso a las personas

mayores, al estar conectado nos prolonga la vida y no solamente añade años a

la vida, sino vida a los años.” Luis Rojas Marcos

Moraleja: INTEROPERAR NOS APORTA VALOR Y EFICIENCIA,

REDUCE COSTES Y MEJORA EL “TIME TO MARKET”.

En estos TIEMPOS MEJOR QUE MEJOR...

13

PLANTEAMIENTOS

¿Otra Visión…? Desde la Experiencia

IMPACTOS EN EL NEGOCIO.

Servicios NO Sostenibles = COSTES

IMPACTOS EN LOS CLIENTES.

DES-Confianza = REPUTACIÓN

14

PLANTEAMIENTOS

IMPACTOS : ¿Causados por…?

PROCESOS. Mal gestionados, mal definidos, mal operados, sin documentar,

dependientes de personas críticas, ...

TECNOLOGÍAS. Mal implantadas, no adecuadas, no monitorizadas, poco

flexibles, …

INFRAESTRUCTURAS. Sin reparar en su importancia, no protegidas,

obsoletas o sin adecuado mantenimiento, …

INFORMACIÓN. No clasificada, no inventario registros críticos, sin conocer los

flujos que sigue, mal ubicada, con medidas de seguridad deficientes, …

PERSONAS. SON CLAVE. No Concienciadas, No Informadas, No Formadas,

No Capacitadas, No Entrenadas, No Coordinadas, … SIN CULTURA

15

Sociedad Global. VALORES en Cambio.

Avances Tecnológicos. REDES GLOBALES

1

2

Nuevos Mercados Online y Negocios CLOUD

Ruptura Fronteras en CIBERESPACIO. >RIESGOS

3

4

Necesidad de

CONFIANZA

Incremento de

CONTROL

Mitigación de

RIESGOS

PLANTEAMIENTOS

Nuevos Paradigmas Globales

5 Nuevos EVENTOS Gran Impacto, poco Probables, más Frecuentes…

RESILIENCIA DEL NEGOCIO, SERVICIOS,

INFRAESTRUCTURAS, TECNOLOGIAS,

INFORMACION, PERSONAS

16

PLANTEAMIENTOS

NO SOLO… Principios Básicos del Proceso

FIABILIDADEN LOS SERVICIOS,

INFRAESTRUCTURAS, TECNOLOGIAS, INFORMACIÓN Y PERSONAS

PROTEGER (Activos con

Medidas Seguridad yControles)

OPTIMIZAR(Analizar y AuditarRiesgos, Controles,Calidad Activos y Componentes)

SIMPLIFICAR (Modelar

Eficientemente Procesos)

17

ÍNDICE

CAJA RURAL

PLANTEAMIENTOS

PREOCUPACIONES

MEDIDAS A APLICAR

CONCLUSIONES

18

PREOCUPACIONES a TODO NIVEL

Aspectos Organizativos y Estratégicos

Aspectos Gestión y Tácticos

Aspectos Técnicos y Operativos

Aspectos Globales y Comunicación

Aspectos Culturales y Capacitación

Factores: Dimensión y Tiempo

19

CAMBIOS TECNOLÓGICOS CONSTANTES

20

EVENTOS A TODOS LOS NIVELES

21

Sociedad

Educación

Redes Sociales

Impactos

Buscadores

Nuevos Retos

22

Cubrir Riesgos y Amenazas

Phishing y Usurpación

Identidad Nuevos Vectores

en Smarphones

AMENAZAS QUE EVOLUCIONAN

Redes Inalámbricas

23

CAJA RURAL

PLANTEAMIENTOS

PREOCUPACIONES

MEDIDAS A APLICAR

CONCLUSIONES

ÍNDICE

24

RETOS A RESOLVER

25

HITOS A CONSEGUIR

26

INVENTARIO DE ACTIVOSCICLO DE VIDA DE SEGURIDAD GLOBAL

1. Análisis de Contexto del Negocio: Sector, BIA, Procesos, Servicios, Legislación, Ubicaciones del Negocio,

donde opera, con que medios, cual es su publico objetivo, bajo que legislaciones, que servicios presta y por que

canales, que procesos necesita internos, mixtos o externos, para prestarlos, con quien se relaciona como:

empleados, proveedores, tipología de clientes, etc. Saber cuales serían sus impactos críticos en su cadena de

suministro...

2. Evaluación de Riesgos (Escenarios, Amenazas, Vulnerabilidades, Impactos, Frecuencias, Compliance,

Gobierno TI, ...) Análisis de Riesgo, en sus diferentes variantes: Legales, Organizativos o Técnicos, así como de

las propias Personas, en los diferentes Escenarios provocados por la materialización de Amenazas y

Vulnerabilidades, su relación con los Impactos sobre Servicios y Activos Críticos, etc.

3. Plan Director de Seguridad Global (Física, Lógica, Información, etc.) Ha de contemplar el GAP existente

entre la Seguridad y Auditoria que el Negocio demanda y necesita, respecto a la que tiene, siendo capaz de

generar un Plan Director de Proyectos y Acciones, priorizadas, alineadas entre sí, con sus dependencias, hitos

en el tiempo en periodos a corto, medio y largo plazo, escenarios de evolución de la Seguridad vs el Riesgo, etc.

4. Implantación de Controles y Salvaguardas. Evaluar las diferentes tipologías y dominios de control y

controles que son necesarios implantar, como, conque tipos de herramientas y soluciones, quienes han de

operarlos, como se van a protocolizar, etc.

5. Operación de la Seguridad y Protocolos de Actuación, Respuesta y Coordinación. Telecomandar

como si de un controlador aéreo se tratara, toda la operación de día a día de todos los controles, por grupos, con

sus relaciones, eventos, alertas, alarmas, protocolos de respuesta, coordinación, escalado, etc.

27

INVENTARIO DE ACTIVOSCICLO DE VIDA DE SEGURIDAD GLOBAL

6. Métricas e Indicadores. Para cada uno de los Dominios, Objetivos de Control, Controles, se han de definir

aquellas métricas, indicadores y registros que nos permitan alimentar de forma sistemática y periódica el Cuadro

de Mandos, la Bitácora de Seguridad y Auditoria, los umbrales de control, sus desviaciones, en definitiva la

monitorización continua, en tiempo real y dinámica de los Sistemas, Tecnologías, Controles, Personas, .... Y

como contribuyen a la Toma de Decisiones

7. Revisión de Control Interno. Es una de las piezas fundamentales del Ciclo, a todos y cada uno de los

apartados desde el Alto Gobierno hasta la Pequeña Operación de día a día, definiendo tanto revisiones

periódicas internas de auditoria y control de cada uno de los controles y sistemas implantados, así

como e los propios operarios, elevando los informes pertinentes. Entran también todas las revisiones periódicas

preventivas.

8. Pruebas Periódicas de Controles, Protocolos La experiencia en probar las cosas, como si un simulador se

tratase. Es necesario probar que los Planes y Protocolos de Respuesta y Actuación funcionan, que cada uno

sabe lo que ha de hacer, que se retroalimente con mejoras, etc.

9. Auditoria. Transparencia, visión y contraste externo respecto a complementar la labor del Control Interno,

por Auditorias Externas independientes, tanto Auditoria e Inspección, además de los Organismos y Tipos

de Auditorias a realizar y ejercer el supervisor de la actividad de nuestro negocio, las relaciones a mantener, etc.

10. Mejora Continua. En todo Gobierno y Sistema de Gestión es necesario ejercer principios como son el de

responsabilidad encuanto a analizar y obtener datos objetivos y otro en cuanto a la mejor Toma de Decisiones

que hagan, dentro del Sentido Común, obtener los mayores grados de eficacia, eficiencia, transparencia,

en definitiva la confianza, resiliencia y sostenibilidad del servicio y del propio negocio.

28

MEDIDAS A APLICAR

Medidas Globales (Ámbito Estratégico)

LEGALES

DIVULGATIVAS

INFORMATIVAS

FORMATIVAS

ORGANIZATIVAS

OPERATIVAS

TÉCNICAS

CONTROL

SEGUIMIENTO Y ANÁLISIS

AUDITORÍA

29

MEDIDAS A APLICAR

Medidas Globales (Ámbito Tiempo)

Medidas PREVENTIVAS:

Medidas DETECTIVAS:

Medidas de RESPUESTA

Medidas de INVESTIGACIÓN

Medidas FORENSES

30

... Hitos en Calidad y Gestión ... Un Camino a la

Mejora… Un Camino hacia el Gobierno TIC…

Un Camino a la Excelencia…

valo

r

A.N.S.

Sistema de

Documentación.

Circuito

aprobación

Defensor del

Clientes.

Acciones

Correctivas

CVS

CMMi

Gestión de

Riesgos

Encuesta de

Satisfacción

Enfoque Cliente + Gestión Interna + Ciclo de Vida Proyectos Sw.

SGSI

ISO27Continuidad

del Negocio

Buen

GobiernoSOSTENIBILIDAD

31

Gobierno de TI Una Apuesta… De Gobierno, No solo Gestión

32

Gobierno de TI

33

OBJETIVOS DE LA NORMA

El uso de las Tecnologías de la Información de manera Efectiva, Óptima yEficiente en las Organizaciones, con la finalidad de:

Generar Confianza a los Stakeholders (empleados, clientes, proveedores,socios, accionistas, etc.) en el Gobierno Corporativo de TIC de laOrganización.

Informar y Guiar a la Alta Dirección en el gobierno TIC en suorganización.

Proveer de Bases para la Evaluación Objetiva del Gobierno CorporativoTIC.

Gobierno TI

34

… ubicación del Buen Gobierno TIC

… por encima hacia la RSC ISO 26000

… el ENS en AAPP: un paso muy avanzado

Gobierno de TI

CMMI/ISO15504 (SPICE)

ISO27001 / 22301/22031

ISO 20001 / ITIL V3

Estándares y mejores prácticas de Sistemas de Gestión

Procedimientos Desarrollo Software

Procesos y Procedimientos

ISO38500

Principios de Seguridad y

Continuidad Global e Integral

Servicios ITIL

(Delivery)

Responsabilidad Social Corporativa ISO 26000

ENS ENS ENS ENSENSENSESQUEMA NACIONAL SEGURIDAD

COBIT, VAL/IT, RISK IT

35

¿Por qué es importante el Buen Gobierno en TIC?

> >

>

Gobierno

de TI

Alineación

Estratégica

Entrega de Valor

Med

ició

n d

el

Dese

mp

eño A

dm

inis

tració

nd

e R

iesg

os

Administración

de Recursos

Gobierno

de TI

Alineación

Estratégica

Entrega de Valor

Med

ició

n d

el

Dese

mp

eño A

dm

inis

tració

nd

e R

iesg

os

Administración

de Recursos

Gobierno

de TI

Alineación

Estratégica

Entrega de Valor

Med

ició

n d

el

Dese

mp

eño A

dm

inis

tració

nd

e R

iesg

os

Administración

de Recursos

Confianza en alta gerencia

Aumento del ROI

Respuesta efectiva TI al negocio

Mayor transparencia

Mayor confiabilidad de los servicios

BENEFICIOS

Valor / Costo Administrar servicios TI

Seguridad Manejar lacomplejidad

Alineamiento TI - Negocio

Cumplimientoregulatorio

DESAFÍOS

PROVEEDORES CLIENTES OTROSUSUARIOS ORGANISMOS

PARTES INTERESADAS EXTERNAS

ACCIONISTAS CONSEJO ADMÓN. EMPLEADOSGER. NEGOCIO GERENTES TI

PARTES INTERESADAS INTERNAS

36

Responsabilidad

Estrategia

Adquisición

Rendimiento

Cumplimiento

Conducta Humana

generan

Necesidad

POLÍTICA GLOBAL DE

BUEN GOBIERNO TI

A varios niveles

SEGURIDAD

CONTINUIDAD

SERVICIOS

DESARROLLO

RIESGOS

AUDITORIA

E

INNOVACIÓN Y MEJORA

PRINCIPIOS BG

37

SGBG (Buen Gobierno)

SGSI (Seguridad Información)

SGAR (Análisis Riesgos)

SGCN (Continuidad de Negocio)

SGSTI (Servicios TI)

SGCVS (Ciclo de Vida de Software)

SGC (Calidad)

SGRH (Recursos Humanos)

Política LOPD (Privacidad)

Política PCI/DSS (Tarjetas)

Política LOG’s (Evidencias)

Política CERTIFICACIÓN (PKI’S)

Política CLASIFICACIÓN (Información)

......

gestionados

SISTEMA DE CALIDAD

Políticas Alto Nivel

Políticas por SG o

Normativa

Procedimientos

Instrucciones de Trabajo

Estándares

Modelos

Principales Sistemas de Gestión y Políticas

MEDIDAS A APLICAR

38

Com

ité de IN

CID

EN

CIA

S

Com

ités de C

AL

IDA

DGRUPO CLIMA LABORAL

CSPFA (Comité Continuidad, Seguridad, Prevención, Riesgos, Fraude y Auditoria

COMITÉ DE SEGURIDAD Y SALUD

GRUPO DE COMUNICACIÓN

COMITÉ BUEN GOBIERNO TI

RRHH:FORMACIÓN / COMPETENCIAS / DESARROLLO

COMITÉ DE CONTINGENCIA TECNOLÓGICA

GRUPOS DE TRABAJO CON ENTIDADES

COMITÉ DIRECCIÓN (Dirección General)

CONSEJO RSI (Presidencia)

COMITÉ DE EMPRESA

MESA DE COMPRAS

Comités de Gobierno y Gestión de RSIGovernando el Barco… Estructuras de Gobierno y Gestión

39

ENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE

RIESGOS

40

GESTIÓN GLOBAL, INTEGRAL E INTEGRADA DE ACTIVOS

41

CobiT® como marco de referencia para la Gobernanza TIC

COBIT:

Parte de los requerimientos del negocio.

Está orientado a procesos, y organiza las actividades de TI en un modelo de procesos.

Identifica los principales recursos de TI que deben ser potenciados.

Define los objetivos de control administrativos a ser considerados.

Incorpora los principales estándares internacionales.

Se ha convertido en el estándar de facto para el control general de TI.

COBIT ayuda a salvar las brechas entre los RIESGOS del negocio, lasnecesidades de CONTROL y los asuntos TÉCNICOS. Provee buenasprácticas a través de un marco de referencia de dominios y procesosy presenta actividades en una estructura administrable y lógica.

Los recursos TIC necesitan ser administrados por un conjunto de procesos naturalmente agrupados.

COBIT proporciona un marco de referencia que logra este objetivo.

ISO38500 - COBIT

42

Marco de referencia: El Cubo de Cobit

DOMINIOS

PROCESOS

ACTIVIDADESPERSO

NAS

APLIC

ACIO

NES

INFRAESTRU

CTU

RA

INFO

RM

ACIÓ

N

Conju

nto

estr

uctu

rado d

ePRO

CESO

S d

e T

I

REQUISITOS de la ORGANIZACIÓNpara la INFORMACIÓN

ISO38500 - COBIT

43

El conjunto estructurado de 34 PROCESOS [objetivos de control de alto

nivel] y se agrupa de forma natural en 4 DOMINIOS.

▶ [PO] PLANIFICAR y ORGANIZAR 10 Procesos de TI

▶ [AI] ADQUIRIR e IMPLANTAR 07 Procesos de TI

▶ [DS] ENTREGAR y SOPORTAR (dar soporte) 13 Procesos de TI

▶ [ME] MONITORIZAR y EVALUAR 04 Procesos de TI

Objetivos de Control

ISO38500 - COBIT

44

OBJETIVOS DE LA ENTIDADOBJETIVOS DE GOBIERNO CORPORATIVO

Eficiencia

Personas

AplicacionesInfraestructura

Información

ENTREGARY

SOPORTAR

MONITORIZARY

EVALUAR

ADQUIRIRE

IMPLANTAR

INFORMACION

RECURSOS

DETI

MARCO DE REFERENCIA

C O B I T

Eficacia

Confidencialidad

Integridad

Disponibilidad

Conformidad

DS1 Definir y administrar niveles de servicio.

DS2 Administrar servicios de terceros.

DS3 Administrar desempeño y capacidad.

DS4 Asegurar continuidad de servicio.

DS5 Garantizar la seguridad de sistemas.

DS6 Identificar y asignar costos.DS7 Educar y capacitar usuarios.DS8 Administrar servicios de

apoyo e incidentes. DS9 Administrar la configuración.DS10 Administrar problemas.DS11 Administrar datos.DS12 Administrar el ambiente

físico. DS13 Administrar operaciones.

ME1 Monitorear y Evaluar el desempeño de TI.

ME2 Monitorear y Evaluar el control interno.

ME3 Garantizar el cumplimiento regulatorio.

ME4 Proveer Gobierno de TI.

PO1 Definir un plan estratégico de TI.

PO2 Definir la arquitectura de información.

PO3 Determinar la dirección tecnológica.

PO4 Definir los procesos de TI, la organización y sus relaciones.

PO5 Administrar las inversiones en TI.

PO6 Comunicar la dirección y objetivos de la gerencia.

PO7 Administrar los recursos humanos de TI.

PO8 Administrar calidad.PO9 Evaluar y administrar

riesgos de TI.PO10 Administrar proyectos.

AI1 Identificar soluciones de automatización.

AI2 Adquirir y mantener software de aplicación.

AI3 Adquirir y mantener la infraestructura tecnológica.

AI4 Permitir la operación y uso.AI5 Obtener recursos de TI.AI6 Administrar cambios.AI7 Instalar y acreditar

soluciones y cambios.

PLANIFICARY

ORGANIZAR

Fiabilidad

Objetivos de Control

ISO38500 - COBIT

OU

TS

OU

RC

ING

(New

Guid

elines)

QU

AL

ITY

(ISO

90

01

)

PROYECT MANAGEMENT (PMBook)

BUSINESS CONTINUITY (BS25XXX, ISO22XXX, PNE71599)

SECURITY (ISO27 Series)

DEVELOMENT (ISO15504/CMMi Series DLC)

RISK MANAGEMENT (ISO31000)

IT SERVICES (ISO20000/ITIL V3)

BPO/BPM Services and Components

OTHERS STANDARDS

IT GOBERNANCE (ISO38500)

CONTEXTO Y RELACIONES

46

Normativa de Referencia - LEG’S & REG’S

47

Conformidad. Actividades Cuadro Mandos

Escenarios

Mapeo Controles

Ranking Controles

Cuadro Mandos

Benchmarc

Inventario

Leg’s@Reg’s

Estimación Cumplimiento

Basada en ISO27002

48

La Certificación. Sello de Cumplimiento, NO un FIN

ISO 27001/2SGSI

ISO 20000

Servicios

(SGSTI)

ISO 14000

Medio Ambiente

ISO 9001

Calidad

ISO 26000

RSC

BS/PNE

71599-1-2

SGCN

ISO 31000

Riesgos

ISO 15504

Calidad de

Software (CVS)

ISO 38500

Buen Gobierno

TIC

49

Imprescindible … Clave de Éxito

Gestión del Cambio

Involucración de la Dirección

Concienciación de toda la Organización - CULTURA

Mejora “SOSTENIBLE” = TRANSFORMACIÓN

50

Y TIENE UN GRAN IMPACTO

ECONÓMICO Y SOCIAL

51

OPERATIVO

Y TIENE UN GRAN IMPACTO

52

TECNOLÓGICO Y DE

INFRAESTRUCTURAS

Y TIENE UN GRAN IMPACTO

53

HUMANO EN LAS PERSONAS QUE OPERAN

PROCESOS Y RECIBEN SERVICIOS

Y TIENE UN GRAN IMPACTO

54

Protocolos y Planes de Continuidad y Gestión de Crisis

Cada vez más Global e Interdependiente.

REQUIERE VISIÓN

HOLÍSTICA

55

CAOS

Evitar CAOS

PARTIPACIÓN CONJUNTA SEGURIDAD FISICA-CORPORATIVA, E INFORMACIÓN - LÓGICA

LIDERAZGO y

COORDINACIÓN

EQUILIBRIO

MEDIDAS/CONTROLES

PASO A PASO

GESTIÓN DE RIESGOS

PARTITURA = PLAN GESTIÓN

56

ORDEN ORDEN

CONTROL DE COSTES

y ESTABILIDAD EN EL TIEMPO

57

OBJETIVOS

EN DEFINITIVA BUSCAR Y GARANTIZAR

LA “CONFIANZA Y FIABILIDAD”

DEL NEGOCIO, DE LOS SERVICIOS, DE LAS

INFRAESTRUCTURAS, SUMINISTROS, TECNOLOGIAS,

INFORMACIÓN y PERSONAS.

DE NUESTRO ECOSISTEMA

(SOCIEDAD).....

58

CAJA RURAL

PLANTEAMIENTOS

PREOCUPACIONES

MEDIDAS A APLICAR

CONCLUSIONES

ÍNDICE

59

Los riesgos siempre han estado ahí, permanecerán y

crecerán exponencialmente a la complejidad.…

Como el Mundo existe, los Riesgos existen

CONCLUSIONES

Pasos a la INTEROPERABILIDAD

Cada vez más Global e Interdependiente.

REQUIERE VISIÓN

HOLÍSTICA

REQUIERE

ADOPCIÓN

ESTÁNDARES

EL “CLOUD” ES

UNA

OPORTUNIDAD

REQUIERE MARCO

LEGAL

ARMONIZADO

61

Como el Mundo Digital es Global, el Riesgo

cada vez es más Global

CONCLUSIONES

62

La Seguridad Total es un Mito;no puede

alcanzarse a un coste razonable.

El 100% de protección no existe.

CONCLUSIONES

63

… pero nosotros debemos invertir en la gestionar el

Riesgo, por encima de todo, para prevenirlo

y garantizar en todo lo posible Superar las Crisis

…SER RESILIENTES…

CONCLUSIONES

65

Con Plataformas Comunes, con Colaboración,

con una Gestión de Gobierno TIC robusta

Es más sencillo y más Eficiente en Costes

CONCLUSIONES

66

En el Gobierno TIC, el Tamaño y Criticidad importa,

pero No Solo Eso.

Hay Empresas Pequeñas, muchas, pueden llegar a

ser: Críticas para otras.

CONCLUSIONES

67

CONCLUSIONES Acciones a Tomar

INVERTIR en SEGURIDAD

Obtener el BENEFICIO de

poder CONFIAR en las AUTOPISTAS de la

INFORMACIÓN y en las REDES para

el DESARROLLO y SOSTENIBILIDAD de

la SOCIEDAD de la INFORMACIÓN DIGITAL Y

EL CONOCIMIENTO...

MEDIANTE EL GOBIERNO TIC...

MEDIANTE ESQUEMA NACIONAL DE SEGURIDAD...

MEDIANTE PROTECCIÓN II.CC. ...

GARANTIZANDO LA CONTINUIDAD...

68

COLABORACION y CULTURA para un mejor Gobierno TIC es un

“deber”.

Una Oportunidad para TOD@S para Garantizar una Mejor

Continuidad de nuestro Negocio y Servicios

CONCLUSIONES

69

CONCLUSIONES

Acciones a Tomar: REGLA 5 “C’s”

“COOPERAR,

COORDINAR,

COMUNICAR,

COLABORAR,

___________________________COMPARTIR”

IDEAS + INTELIGENCIA + INVESTIGACIÓN = INNOVACIÓN

INNOVACIÓN + DESARROLLO = EVOLUCIÓN A FUTURO

SOSTENIBILIDAD Y TRANSFORMACIÓN ADAPTATIVA

70

INVENTARIO DE ACTIVOSConclusiones. Las Ventajas Timón Gobernanza. Disponer del PLAN.

1. Superar posibles Impactos Sistémicos o No, sobre: Infraestructuras, Servicios, Tecnologías, Personas (Activos Críticos) del Sector Público y/o Privado.

2. Estabilidad Social y Confianza de Partes Interesadas: Mercados, Personas, ....

3. Minimizar Costes4. Superar Crisis en el menor Tiempo 5. Aumento de la Confianza de los Clientes y Ciudadanos.

6. Crear Cultura de Continuidad y Resiliencia.7. Capacidad de Respuesta y Remediación8. Maximizar Recuperación de Personal Afectado y Continuidad de Servicios9. Protección ante Responsabilidades y Sostenibilidad Global y Progreso10. Alineamiento de Buenas Prácticas: Metodología y Política Definida y Viva. Mejora (PDCA)

En definitiva, prepararnos ante: Retos y Riesgos que la Sociedad Digital nos va

deparando y demandando Existentes y Futuros.

71

TENDENCIAS Y EVOLUCIÓN Objetivo Final. GESTIÓN INTEGRAL E INTEGRADA

“LA SEGURIDAD vs CONTINUIDAD GLOBAL, AL IGUAL QUE LA CALIDAD, Y EN GENERAL LAS DISCIPLINAS HORIZONTALES DE

LA COMPAÑÍA, ES COSA DE TODOS Y EMPIEZAN POR UNO MISMO. NO SE PUEDEN VER DE MANERA AISLADA, SINO COMO CONCEPTO GLOBAL Y DENTRO DE LOS PROCESOS DEL NEGOCIO

Y SERVICIOS”Pedro P. López

72

ENFOQUES BGTI

Procesos

Infraestructuras Personas

InformaciónCanales

Y

Dispositivos

Medidas Seguridad y Controles

Arquitectura de Seguridad

Gestión de Seguridad

Control Interno

Auditorias

Calidad

Fiabilidad

Satisfacción

Mejora

Continua

Causa

Raíz

Procesos

Y

Componentes

Detección Temprana y Respuesta

< Coste

P

R

E

V

E

N

C

I

Ó

N

73

Preguntas

SEGURIDAD Y CONTINUIDAD GLOBAL ANTE UN MUNDO GLOBAL

Evolución . Objetivo Final.

INTEROPERABILIDAD: ESTÁNDARES, NORMAS, LEYES GLOBALES

SERVICIOS

CONFIABLES,

SOSTENIBLES,

MODULARES,

A MEDIDA

PROCESOS

EFICIENTES

EN COSTES

Y CON

CALIDAD

76

Pedro Pablo López Bernal

Gerente Seguridad, Privacidad y Continuidad Global R.S.I. (Grupo Caja Rural)

pedro_pablo_lopez_rsi@cajarural.com

Muchas Gracias

77

el valor dela innovación.

“Rural Servicios Informáticos (RSI): una propuesta de valor”“25 Años: Servicios Financieros en Cloud”

78

RSI