RSI - Fundación DINTEL · 2015-11-05 · 3. Plan Director de Seguridad Global (Física, Lógica,...
Transcript of RSI - Fundación DINTEL · 2015-11-05 · 3. Plan Director de Seguridad Global (Física, Lógica,...
1
RSI
El CICLO DE VIDA
DE LA SEGURIDAD GLOBAL
Sedimento Sostenible del Negocio
Congreso DINTEL – BANCA Y SEGUROS 2012
Sesión 2 . Normativas y Regulaciones
6 de junio
“25 Años: Servicios Financieros en Cloud”
3
CAJA RURAL
PLANTEAMIENTOS
PREOCUPACIONES
MEDIDAS A APLICAR
CONCLUSIONES
ÍNDICE
4
ENTIDADES
Outsourcing TI
Seguros
Banco Back-Office
Principales COMPAÑÍAS (3)
CAJA RURAL
ESTRUCTURA
que nos conozcas un poco más ...
RSI • Constitución en 1986
• Adquisición de solución bancaria en 1987.
• Incorporación de Entidades hasta 1999.
• Diseño y desarrollo de una nueva plataforma
(Iris).
• Incremento de la oferta de servicios relacionados.
• Lanzamiento Internacional en 2011 (Nessa GBS).
6
CLIENTES CUENTAS CRÉDITOSDEPÓSITOS
RENTA FIJATARJETAS
TPV’S BANCA ONLINE CAJEROS TERMINALES TRANSAC.DIA
7.429.785 5.040.728 855.700 869.882 3.069.448
75.118 426.724 3.686 14.525 13.200.000
VOLUMENES NEGOCIO
CAJA RURAL
7
que nos conozcas un poco más ...
Un poco de visión retrospectiva (25 años)...
Evolución de las Soluciones y Servicios a Entidades ...
1987
valo
r
Core bancario
Centro de
Información
Banca
Electrónica /
Telefónica
Sistemas de
Información de
Gestión (SIG)
Sistemas
CRM
Sistemas de
Movilidad
Sistemas
GED
Servicios
de Valor
1992 2000 2001 2002 2003 2005 2007 2008 2011
tiempo
Medios de
Pago
1986
8
servicios
soluciones
Soluciones y Servicios ...
Amplísima oferta de ...
... nuestras soluciones y servicios dan respuesta a todas las necesidades...
COREBANKING
GESTIÓN
COMERCIAL
CONTROL
DE GESTIÓN
RIESGOS
SOPORTE A
LA GESTIÓN
CANALES
Áreas
Funcionales
ORGANISMOS
... en 2007 hemos alcanzado el nivel 3 del modelo CMMI ...
RSI es una de las primeras empresas
tecnológicas del sector financiero en implantar
el nivel 3 del modelo CMMI-SW/SE (Capability
Maturity Model Integrated SW/SE), Modelo de
madurez de capacidad integrada para software
e ingeniería de sistemas). Este modelo,
estándar internacional de referencia en el
desarrollo de software, mide la madurez de los
procesos utilizados en una organización para
producir sistemas informáticos, asegurando la
calidad de los desarrollos. Su incorporación a
los procesos evidencia una decidida apuesta
por las mejores prácticas de gestión de la
tecnología a nivel mundial.
Nuestro valor diferencial ...
Somos una referencia en el mercado ...
... en 2010 hemos alcanzado la certificación de ISO27001
(SGSI) e ISO38500 (BGTI) ...
RSI es la primera empresa en obtener un
certificado de Conformidad de AENOR en la
Adopción y Cumplimiento de los Principios de
Buen Gobierno TIC (Responsabilidad,
Estrategia, Adquisición, Rendimiento,
Cumplimiento y Conducta Humana) bajo la
norma Internacional ISO38500 de Gobierno de la
Tecnología.
Además también en obtener un Certificado de
AENOR en su SGSI (Sistema de Gestión de la
Seguridad) bajo la Norma ISO27001 con alcance
a sus OCHO principales Procesos de Servicio a
sus Socios y Clientes
valor diferencial ...Somos una referencia en el mercado ...
11
CAJA RURAL
PLANTEAMIENTOS
PREOCUPACIONES
MEDIDAS A APLICAR
CONCLUSIONES
ÍNDICE
Algunas Citas
Interoperabilidad
Una apuesta…Interoperabilidad
“Ningún hombre es una isla, algo completo en sí mismo; todo hombre es un
fragmento del continente, una parte de un conjunto.” Donne John
Moraleja: LAS PARTES HACEN EL TODO y EL TODO NO ES TAL
SIN LAS PARTES
“Si buscas resultados distintos, no hagas siempre lo mismo.” Albert Einstein
Moraleja: EL MOTOR DEL CAMBIO ES EL PROPIO CAMBIO y LAS
IDEAS
“Internet es positivo porque nos une, nos conecta, incluso a las personas
mayores, al estar conectado nos prolonga la vida y no solamente añade años a
la vida, sino vida a los años.” Luis Rojas Marcos
Moraleja: INTEROPERAR NOS APORTA VALOR Y EFICIENCIA,
REDUCE COSTES Y MEJORA EL “TIME TO MARKET”.
En estos TIEMPOS MEJOR QUE MEJOR...
13
PLANTEAMIENTOS
¿Otra Visión…? Desde la Experiencia
IMPACTOS EN EL NEGOCIO.
Servicios NO Sostenibles = COSTES
IMPACTOS EN LOS CLIENTES.
DES-Confianza = REPUTACIÓN
14
PLANTEAMIENTOS
IMPACTOS : ¿Causados por…?
PROCESOS. Mal gestionados, mal definidos, mal operados, sin documentar,
dependientes de personas críticas, ...
TECNOLOGÍAS. Mal implantadas, no adecuadas, no monitorizadas, poco
flexibles, …
INFRAESTRUCTURAS. Sin reparar en su importancia, no protegidas,
obsoletas o sin adecuado mantenimiento, …
INFORMACIÓN. No clasificada, no inventario registros críticos, sin conocer los
flujos que sigue, mal ubicada, con medidas de seguridad deficientes, …
PERSONAS. SON CLAVE. No Concienciadas, No Informadas, No Formadas,
No Capacitadas, No Entrenadas, No Coordinadas, … SIN CULTURA
15
Sociedad Global. VALORES en Cambio.
Avances Tecnológicos. REDES GLOBALES
1
2
Nuevos Mercados Online y Negocios CLOUD
Ruptura Fronteras en CIBERESPACIO. >RIESGOS
3
4
Necesidad de
CONFIANZA
Incremento de
CONTROL
Mitigación de
RIESGOS
PLANTEAMIENTOS
Nuevos Paradigmas Globales
5 Nuevos EVENTOS Gran Impacto, poco Probables, más Frecuentes…
RESILIENCIA DEL NEGOCIO, SERVICIOS,
INFRAESTRUCTURAS, TECNOLOGIAS,
INFORMACION, PERSONAS
16
PLANTEAMIENTOS
NO SOLO… Principios Básicos del Proceso
FIABILIDADEN LOS SERVICIOS,
INFRAESTRUCTURAS, TECNOLOGIAS, INFORMACIÓN Y PERSONAS
PROTEGER (Activos con
Medidas Seguridad yControles)
OPTIMIZAR(Analizar y AuditarRiesgos, Controles,Calidad Activos y Componentes)
SIMPLIFICAR (Modelar
Eficientemente Procesos)
17
ÍNDICE
CAJA RURAL
PLANTEAMIENTOS
PREOCUPACIONES
MEDIDAS A APLICAR
CONCLUSIONES
18
PREOCUPACIONES a TODO NIVEL
Aspectos Organizativos y Estratégicos
Aspectos Gestión y Tácticos
Aspectos Técnicos y Operativos
Aspectos Globales y Comunicación
Aspectos Culturales y Capacitación
Factores: Dimensión y Tiempo
19
CAMBIOS TECNOLÓGICOS CONSTANTES
20
EVENTOS A TODOS LOS NIVELES
21
Sociedad
Educación
Redes Sociales
Impactos
Buscadores
Nuevos Retos
22
Cubrir Riesgos y Amenazas
Phishing y Usurpación
Identidad Nuevos Vectores
en Smarphones
AMENAZAS QUE EVOLUCIONAN
Redes Inalámbricas
23
CAJA RURAL
PLANTEAMIENTOS
PREOCUPACIONES
MEDIDAS A APLICAR
CONCLUSIONES
ÍNDICE
24
RETOS A RESOLVER
25
HITOS A CONSEGUIR
26
INVENTARIO DE ACTIVOSCICLO DE VIDA DE SEGURIDAD GLOBAL
1. Análisis de Contexto del Negocio: Sector, BIA, Procesos, Servicios, Legislación, Ubicaciones del Negocio,
donde opera, con que medios, cual es su publico objetivo, bajo que legislaciones, que servicios presta y por que
canales, que procesos necesita internos, mixtos o externos, para prestarlos, con quien se relaciona como:
empleados, proveedores, tipología de clientes, etc. Saber cuales serían sus impactos críticos en su cadena de
suministro...
2. Evaluación de Riesgos (Escenarios, Amenazas, Vulnerabilidades, Impactos, Frecuencias, Compliance,
Gobierno TI, ...) Análisis de Riesgo, en sus diferentes variantes: Legales, Organizativos o Técnicos, así como de
las propias Personas, en los diferentes Escenarios provocados por la materialización de Amenazas y
Vulnerabilidades, su relación con los Impactos sobre Servicios y Activos Críticos, etc.
3. Plan Director de Seguridad Global (Física, Lógica, Información, etc.) Ha de contemplar el GAP existente
entre la Seguridad y Auditoria que el Negocio demanda y necesita, respecto a la que tiene, siendo capaz de
generar un Plan Director de Proyectos y Acciones, priorizadas, alineadas entre sí, con sus dependencias, hitos
en el tiempo en periodos a corto, medio y largo plazo, escenarios de evolución de la Seguridad vs el Riesgo, etc.
4. Implantación de Controles y Salvaguardas. Evaluar las diferentes tipologías y dominios de control y
controles que son necesarios implantar, como, conque tipos de herramientas y soluciones, quienes han de
operarlos, como se van a protocolizar, etc.
5. Operación de la Seguridad y Protocolos de Actuación, Respuesta y Coordinación. Telecomandar
como si de un controlador aéreo se tratara, toda la operación de día a día de todos los controles, por grupos, con
sus relaciones, eventos, alertas, alarmas, protocolos de respuesta, coordinación, escalado, etc.
27
INVENTARIO DE ACTIVOSCICLO DE VIDA DE SEGURIDAD GLOBAL
6. Métricas e Indicadores. Para cada uno de los Dominios, Objetivos de Control, Controles, se han de definir
aquellas métricas, indicadores y registros que nos permitan alimentar de forma sistemática y periódica el Cuadro
de Mandos, la Bitácora de Seguridad y Auditoria, los umbrales de control, sus desviaciones, en definitiva la
monitorización continua, en tiempo real y dinámica de los Sistemas, Tecnologías, Controles, Personas, .... Y
como contribuyen a la Toma de Decisiones
7. Revisión de Control Interno. Es una de las piezas fundamentales del Ciclo, a todos y cada uno de los
apartados desde el Alto Gobierno hasta la Pequeña Operación de día a día, definiendo tanto revisiones
periódicas internas de auditoria y control de cada uno de los controles y sistemas implantados, así
como e los propios operarios, elevando los informes pertinentes. Entran también todas las revisiones periódicas
preventivas.
8. Pruebas Periódicas de Controles, Protocolos La experiencia en probar las cosas, como si un simulador se
tratase. Es necesario probar que los Planes y Protocolos de Respuesta y Actuación funcionan, que cada uno
sabe lo que ha de hacer, que se retroalimente con mejoras, etc.
9. Auditoria. Transparencia, visión y contraste externo respecto a complementar la labor del Control Interno,
por Auditorias Externas independientes, tanto Auditoria e Inspección, además de los Organismos y Tipos
de Auditorias a realizar y ejercer el supervisor de la actividad de nuestro negocio, las relaciones a mantener, etc.
10. Mejora Continua. En todo Gobierno y Sistema de Gestión es necesario ejercer principios como son el de
responsabilidad encuanto a analizar y obtener datos objetivos y otro en cuanto a la mejor Toma de Decisiones
que hagan, dentro del Sentido Común, obtener los mayores grados de eficacia, eficiencia, transparencia,
en definitiva la confianza, resiliencia y sostenibilidad del servicio y del propio negocio.
28
MEDIDAS A APLICAR
Medidas Globales (Ámbito Estratégico)
LEGALES
DIVULGATIVAS
INFORMATIVAS
FORMATIVAS
ORGANIZATIVAS
OPERATIVAS
TÉCNICAS
CONTROL
SEGUIMIENTO Y ANÁLISIS
AUDITORÍA
29
MEDIDAS A APLICAR
Medidas Globales (Ámbito Tiempo)
Medidas PREVENTIVAS:
Medidas DETECTIVAS:
Medidas de RESPUESTA
Medidas de INVESTIGACIÓN
Medidas FORENSES
30
... Hitos en Calidad y Gestión ... Un Camino a la
Mejora… Un Camino hacia el Gobierno TIC…
Un Camino a la Excelencia…
valo
r
A.N.S.
Sistema de
Documentación.
Circuito
aprobación
Defensor del
Clientes.
Acciones
Correctivas
CVS
CMMi
Gestión de
Riesgos
Encuesta de
Satisfacción
Enfoque Cliente + Gestión Interna + Ciclo de Vida Proyectos Sw.
SGSI
ISO27Continuidad
del Negocio
Buen
GobiernoSOSTENIBILIDAD
31
Gobierno de TI Una Apuesta… De Gobierno, No solo Gestión
32
Gobierno de TI
33
OBJETIVOS DE LA NORMA
El uso de las Tecnologías de la Información de manera Efectiva, Óptima yEficiente en las Organizaciones, con la finalidad de:
Generar Confianza a los Stakeholders (empleados, clientes, proveedores,socios, accionistas, etc.) en el Gobierno Corporativo de TIC de laOrganización.
Informar y Guiar a la Alta Dirección en el gobierno TIC en suorganización.
Proveer de Bases para la Evaluación Objetiva del Gobierno CorporativoTIC.
Gobierno TI
34
… ubicación del Buen Gobierno TIC
… por encima hacia la RSC ISO 26000
… el ENS en AAPP: un paso muy avanzado
Gobierno de TI
CMMI/ISO15504 (SPICE)
ISO27001 / 22301/22031
ISO 20001 / ITIL V3
Estándares y mejores prácticas de Sistemas de Gestión
Procedimientos Desarrollo Software
Procesos y Procedimientos
ISO38500
Principios de Seguridad y
Continuidad Global e Integral
Servicios ITIL
(Delivery)
Responsabilidad Social Corporativa ISO 26000
ENS ENS ENS ENSENSENSESQUEMA NACIONAL SEGURIDAD
COBIT, VAL/IT, RISK IT
35
¿Por qué es importante el Buen Gobierno en TIC?
> >
>
Gobierno
de TI
Alineación
Estratégica
Entrega de Valor
Med
ició
n d
el
Dese
mp
eño A
dm
inis
tració
nd
e R
iesg
os
Administración
de Recursos
Gobierno
de TI
Alineación
Estratégica
Entrega de Valor
Med
ició
n d
el
Dese
mp
eño A
dm
inis
tració
nd
e R
iesg
os
Administración
de Recursos
Gobierno
de TI
Alineación
Estratégica
Entrega de Valor
Med
ició
n d
el
Dese
mp
eño A
dm
inis
tració
nd
e R
iesg
os
Administración
de Recursos
Confianza en alta gerencia
Aumento del ROI
Respuesta efectiva TI al negocio
Mayor transparencia
Mayor confiabilidad de los servicios
BENEFICIOS
Valor / Costo Administrar servicios TI
Seguridad Manejar lacomplejidad
Alineamiento TI - Negocio
Cumplimientoregulatorio
DESAFÍOS
PROVEEDORES CLIENTES OTROSUSUARIOS ORGANISMOS
PARTES INTERESADAS EXTERNAS
ACCIONISTAS CONSEJO ADMÓN. EMPLEADOSGER. NEGOCIO GERENTES TI
PARTES INTERESADAS INTERNAS
36
Responsabilidad
Estrategia
Adquisición
Rendimiento
Cumplimiento
Conducta Humana
generan
Necesidad
POLÍTICA GLOBAL DE
BUEN GOBIERNO TI
A varios niveles
SEGURIDAD
CONTINUIDAD
SERVICIOS
DESARROLLO
RIESGOS
AUDITORIA
E
INNOVACIÓN Y MEJORA
PRINCIPIOS BG
37
SGBG (Buen Gobierno)
SGSI (Seguridad Información)
SGAR (Análisis Riesgos)
SGCN (Continuidad de Negocio)
SGSTI (Servicios TI)
SGCVS (Ciclo de Vida de Software)
SGC (Calidad)
SGRH (Recursos Humanos)
Política LOPD (Privacidad)
Política PCI/DSS (Tarjetas)
Política LOG’s (Evidencias)
Política CERTIFICACIÓN (PKI’S)
Política CLASIFICACIÓN (Información)
......
gestionados
SISTEMA DE CALIDAD
Políticas Alto Nivel
Políticas por SG o
Normativa
Procedimientos
Instrucciones de Trabajo
Estándares
Modelos
Principales Sistemas de Gestión y Políticas
MEDIDAS A APLICAR
38
Com
ité de IN
CID
EN
CIA
S
Com
ités de C
AL
IDA
DGRUPO CLIMA LABORAL
CSPFA (Comité Continuidad, Seguridad, Prevención, Riesgos, Fraude y Auditoria
COMITÉ DE SEGURIDAD Y SALUD
GRUPO DE COMUNICACIÓN
COMITÉ BUEN GOBIERNO TI
RRHH:FORMACIÓN / COMPETENCIAS / DESARROLLO
COMITÉ DE CONTINGENCIA TECNOLÓGICA
GRUPOS DE TRABAJO CON ENTIDADES
COMITÉ DIRECCIÓN (Dirección General)
CONSEJO RSI (Presidencia)
COMITÉ DE EMPRESA
MESA DE COMPRAS
Comités de Gobierno y Gestión de RSIGovernando el Barco… Estructuras de Gobierno y Gestión
39
ENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE
RIESGOS
40
GESTIÓN GLOBAL, INTEGRAL E INTEGRADA DE ACTIVOS
41
CobiT® como marco de referencia para la Gobernanza TIC
COBIT:
Parte de los requerimientos del negocio.
Está orientado a procesos, y organiza las actividades de TI en un modelo de procesos.
Identifica los principales recursos de TI que deben ser potenciados.
Define los objetivos de control administrativos a ser considerados.
Incorpora los principales estándares internacionales.
Se ha convertido en el estándar de facto para el control general de TI.
COBIT ayuda a salvar las brechas entre los RIESGOS del negocio, lasnecesidades de CONTROL y los asuntos TÉCNICOS. Provee buenasprácticas a través de un marco de referencia de dominios y procesosy presenta actividades en una estructura administrable y lógica.
Los recursos TIC necesitan ser administrados por un conjunto de procesos naturalmente agrupados.
COBIT proporciona un marco de referencia que logra este objetivo.
ISO38500 - COBIT
42
Marco de referencia: El Cubo de Cobit
DOMINIOS
PROCESOS
ACTIVIDADESPERSO
NAS
APLIC
ACIO
NES
INFRAESTRU
CTU
RA
INFO
RM
ACIÓ
N
Conju
nto
estr
uctu
rado d
ePRO
CESO
S d
e T
I
REQUISITOS de la ORGANIZACIÓNpara la INFORMACIÓN
ISO38500 - COBIT
43
El conjunto estructurado de 34 PROCESOS [objetivos de control de alto
nivel] y se agrupa de forma natural en 4 DOMINIOS.
▶ [PO] PLANIFICAR y ORGANIZAR 10 Procesos de TI
▶ [AI] ADQUIRIR e IMPLANTAR 07 Procesos de TI
▶ [DS] ENTREGAR y SOPORTAR (dar soporte) 13 Procesos de TI
▶ [ME] MONITORIZAR y EVALUAR 04 Procesos de TI
Objetivos de Control
ISO38500 - COBIT
44
OBJETIVOS DE LA ENTIDADOBJETIVOS DE GOBIERNO CORPORATIVO
Eficiencia
Personas
AplicacionesInfraestructura
Información
ENTREGARY
SOPORTAR
MONITORIZARY
EVALUAR
ADQUIRIRE
IMPLANTAR
INFORMACION
RECURSOS
DETI
MARCO DE REFERENCIA
C O B I T
Eficacia
Confidencialidad
Integridad
Disponibilidad
Conformidad
DS1 Definir y administrar niveles de servicio.
DS2 Administrar servicios de terceros.
DS3 Administrar desempeño y capacidad.
DS4 Asegurar continuidad de servicio.
DS5 Garantizar la seguridad de sistemas.
DS6 Identificar y asignar costos.DS7 Educar y capacitar usuarios.DS8 Administrar servicios de
apoyo e incidentes. DS9 Administrar la configuración.DS10 Administrar problemas.DS11 Administrar datos.DS12 Administrar el ambiente
físico. DS13 Administrar operaciones.
ME1 Monitorear y Evaluar el desempeño de TI.
ME2 Monitorear y Evaluar el control interno.
ME3 Garantizar el cumplimiento regulatorio.
ME4 Proveer Gobierno de TI.
PO1 Definir un plan estratégico de TI.
PO2 Definir la arquitectura de información.
PO3 Determinar la dirección tecnológica.
PO4 Definir los procesos de TI, la organización y sus relaciones.
PO5 Administrar las inversiones en TI.
PO6 Comunicar la dirección y objetivos de la gerencia.
PO7 Administrar los recursos humanos de TI.
PO8 Administrar calidad.PO9 Evaluar y administrar
riesgos de TI.PO10 Administrar proyectos.
AI1 Identificar soluciones de automatización.
AI2 Adquirir y mantener software de aplicación.
AI3 Adquirir y mantener la infraestructura tecnológica.
AI4 Permitir la operación y uso.AI5 Obtener recursos de TI.AI6 Administrar cambios.AI7 Instalar y acreditar
soluciones y cambios.
PLANIFICARY
ORGANIZAR
Fiabilidad
Objetivos de Control
ISO38500 - COBIT
OU
TS
OU
RC
ING
(New
Guid
elines)
QU
AL
ITY
(ISO
90
01
)
PROYECT MANAGEMENT (PMBook)
BUSINESS CONTINUITY (BS25XXX, ISO22XXX, PNE71599)
SECURITY (ISO27 Series)
DEVELOMENT (ISO15504/CMMi Series DLC)
RISK MANAGEMENT (ISO31000)
IT SERVICES (ISO20000/ITIL V3)
BPO/BPM Services and Components
OTHERS STANDARDS
IT GOBERNANCE (ISO38500)
CONTEXTO Y RELACIONES
46
Normativa de Referencia - LEG’S & REG’S
47
Conformidad. Actividades Cuadro Mandos
Escenarios
Mapeo Controles
Ranking Controles
Cuadro Mandos
Benchmarc
Inventario
Leg’s@Reg’s
Estimación Cumplimiento
Basada en ISO27002
48
La Certificación. Sello de Cumplimiento, NO un FIN
ISO 27001/2SGSI
ISO 20000
Servicios
(SGSTI)
ISO 14000
Medio Ambiente
ISO 9001
Calidad
ISO 26000
RSC
BS/PNE
71599-1-2
SGCN
ISO 31000
Riesgos
ISO 15504
Calidad de
Software (CVS)
ISO 38500
Buen Gobierno
TIC
49
Imprescindible … Clave de Éxito
Gestión del Cambio
Involucración de la Dirección
Concienciación de toda la Organización - CULTURA
Mejora “SOSTENIBLE” = TRANSFORMACIÓN
50
Y TIENE UN GRAN IMPACTO
ECONÓMICO Y SOCIAL
51
OPERATIVO
Y TIENE UN GRAN IMPACTO
52
TECNOLÓGICO Y DE
INFRAESTRUCTURAS
Y TIENE UN GRAN IMPACTO
53
HUMANO EN LAS PERSONAS QUE OPERAN
PROCESOS Y RECIBEN SERVICIOS
Y TIENE UN GRAN IMPACTO
54
Protocolos y Planes de Continuidad y Gestión de Crisis
Cada vez más Global e Interdependiente.
REQUIERE VISIÓN
HOLÍSTICA
55
CAOS
Evitar CAOS
PARTIPACIÓN CONJUNTA SEGURIDAD FISICA-CORPORATIVA, E INFORMACIÓN - LÓGICA
LIDERAZGO y
COORDINACIÓN
EQUILIBRIO
MEDIDAS/CONTROLES
PASO A PASO
GESTIÓN DE RIESGOS
PARTITURA = PLAN GESTIÓN
56
ORDEN ORDEN
CONTROL DE COSTES
y ESTABILIDAD EN EL TIEMPO
57
OBJETIVOS
EN DEFINITIVA BUSCAR Y GARANTIZAR
LA “CONFIANZA Y FIABILIDAD”
DEL NEGOCIO, DE LOS SERVICIOS, DE LAS
INFRAESTRUCTURAS, SUMINISTROS, TECNOLOGIAS,
INFORMACIÓN y PERSONAS.
DE NUESTRO ECOSISTEMA
(SOCIEDAD).....
58
CAJA RURAL
PLANTEAMIENTOS
PREOCUPACIONES
MEDIDAS A APLICAR
CONCLUSIONES
ÍNDICE
59
Los riesgos siempre han estado ahí, permanecerán y
crecerán exponencialmente a la complejidad.…
Como el Mundo existe, los Riesgos existen
CONCLUSIONES
Pasos a la INTEROPERABILIDAD
Cada vez más Global e Interdependiente.
REQUIERE VISIÓN
HOLÍSTICA
REQUIERE
ADOPCIÓN
ESTÁNDARES
EL “CLOUD” ES
UNA
OPORTUNIDAD
REQUIERE MARCO
LEGAL
ARMONIZADO
61
Como el Mundo Digital es Global, el Riesgo
cada vez es más Global
CONCLUSIONES
62
La Seguridad Total es un Mito;no puede
alcanzarse a un coste razonable.
El 100% de protección no existe.
CONCLUSIONES
63
… pero nosotros debemos invertir en la gestionar el
Riesgo, por encima de todo, para prevenirlo
y garantizar en todo lo posible Superar las Crisis
…SER RESILIENTES…
CONCLUSIONES
65
Con Plataformas Comunes, con Colaboración,
con una Gestión de Gobierno TIC robusta
Es más sencillo y más Eficiente en Costes
CONCLUSIONES
66
En el Gobierno TIC, el Tamaño y Criticidad importa,
pero No Solo Eso.
Hay Empresas Pequeñas, muchas, pueden llegar a
ser: Críticas para otras.
CONCLUSIONES
67
CONCLUSIONES Acciones a Tomar
INVERTIR en SEGURIDAD
Obtener el BENEFICIO de
poder CONFIAR en las AUTOPISTAS de la
INFORMACIÓN y en las REDES para
el DESARROLLO y SOSTENIBILIDAD de
la SOCIEDAD de la INFORMACIÓN DIGITAL Y
EL CONOCIMIENTO...
MEDIANTE EL GOBIERNO TIC...
MEDIANTE ESQUEMA NACIONAL DE SEGURIDAD...
MEDIANTE PROTECCIÓN II.CC. ...
GARANTIZANDO LA CONTINUIDAD...
68
COLABORACION y CULTURA para un mejor Gobierno TIC es un
“deber”.
Una Oportunidad para TOD@S para Garantizar una Mejor
Continuidad de nuestro Negocio y Servicios
CONCLUSIONES
69
CONCLUSIONES
Acciones a Tomar: REGLA 5 “C’s”
“COOPERAR,
COORDINAR,
COMUNICAR,
COLABORAR,
___________________________COMPARTIR”
IDEAS + INTELIGENCIA + INVESTIGACIÓN = INNOVACIÓN
INNOVACIÓN + DESARROLLO = EVOLUCIÓN A FUTURO
SOSTENIBILIDAD Y TRANSFORMACIÓN ADAPTATIVA
70
INVENTARIO DE ACTIVOSConclusiones. Las Ventajas Timón Gobernanza. Disponer del PLAN.
1. Superar posibles Impactos Sistémicos o No, sobre: Infraestructuras, Servicios, Tecnologías, Personas (Activos Críticos) del Sector Público y/o Privado.
2. Estabilidad Social y Confianza de Partes Interesadas: Mercados, Personas, ....
3. Minimizar Costes4. Superar Crisis en el menor Tiempo 5. Aumento de la Confianza de los Clientes y Ciudadanos.
6. Crear Cultura de Continuidad y Resiliencia.7. Capacidad de Respuesta y Remediación8. Maximizar Recuperación de Personal Afectado y Continuidad de Servicios9. Protección ante Responsabilidades y Sostenibilidad Global y Progreso10. Alineamiento de Buenas Prácticas: Metodología y Política Definida y Viva. Mejora (PDCA)
En definitiva, prepararnos ante: Retos y Riesgos que la Sociedad Digital nos va
deparando y demandando Existentes y Futuros.
71
TENDENCIAS Y EVOLUCIÓN Objetivo Final. GESTIÓN INTEGRAL E INTEGRADA
“LA SEGURIDAD vs CONTINUIDAD GLOBAL, AL IGUAL QUE LA CALIDAD, Y EN GENERAL LAS DISCIPLINAS HORIZONTALES DE
LA COMPAÑÍA, ES COSA DE TODOS Y EMPIEZAN POR UNO MISMO. NO SE PUEDEN VER DE MANERA AISLADA, SINO COMO CONCEPTO GLOBAL Y DENTRO DE LOS PROCESOS DEL NEGOCIO
Y SERVICIOS”Pedro P. López
72
ENFOQUES BGTI
Procesos
Infraestructuras Personas
InformaciónCanales
Y
Dispositivos
Medidas Seguridad y Controles
Arquitectura de Seguridad
Gestión de Seguridad
Control Interno
Auditorias
Calidad
Fiabilidad
Satisfacción
Mejora
Continua
Causa
Raíz
Procesos
Y
Componentes
Detección Temprana y Respuesta
< Coste
P
R
E
V
E
N
C
I
Ó
N
73
Preguntas
SEGURIDAD Y CONTINUIDAD GLOBAL ANTE UN MUNDO GLOBAL
Evolución . Objetivo Final.
INTEROPERABILIDAD: ESTÁNDARES, NORMAS, LEYES GLOBALES
SERVICIOS
CONFIABLES,
SOSTENIBLES,
MODULARES,
A MEDIDA
PROCESOS
EFICIENTES
EN COSTES
Y CON
CALIDAD
76
Pedro Pablo López Bernal
Gerente Seguridad, Privacidad y Continuidad Global R.S.I. (Grupo Caja Rural)
Muchas Gracias
77
el valor dela innovación.
“Rural Servicios Informáticos (RSI): una propuesta de valor”“25 Años: Servicios Financieros en Cloud”
78
RSI