Esquema Nacional de Seguridad, Gobierno TIC and compliance

“25 Años: Outsourcing Integral en Cloud”ESQUEMA NACIONAL DE SEGURIDAD: UN PASO AL GOBIERNO TIC AND COMPLIANCE Experiencias de RSI Jornadas Difusión Esquema Nacional de Seguridad Abril-Mayo 2011

ÍNDICE CAJA RURAL PLANTEAMIENTOS PREOCUPACIONES MEDIDAS A APLICAR CONCLUSIONES 3

CAJA RURAL ESTRUCTURA COMPAÑÍAS (3) ENTIDADES Outsourcing TI Banco Back-Office Seguros 4

CAJA RURAL VOLUMENES NEGOCIO 7.429.785 5.040.728 855.700 869.882 3.069.448 CLIENTES CUENTAS CRÉDITOS DEPÓSITOS TARJETAS RENTA FIJA 75.118 426.724 3.686 14.525 13.200.000 TPV’S BANCA ONLINE CAJEROS TERMINALES TRANSAC.DIA 5

que nos conozcas un poco más ... Un poco de visión retrospectiva (25 años)... Evolución de las Soluciones y Servicios a Entidades ... Servicios de Valor Sistemas de Movilidad Sistemas Banca GEDvalor Electrónica / Sistemas Telefónica CRM Medios de Pago Sistemas de Información de Gestión (SIG) Centro de Información Core bancario tiempo 1986 1987 1992 2000 2001 2002 2003 2005 2007 2008 2011 6

Soluciones y Servicios ... Amplísima oferta de ... ... nuestras soluciones y servicios dan respuesta a todas las necesidades... soluciones CONTROL RIESGOS DE GESTIÓN GESTIÓN CORE ORGANISMOSCOMERCIAL BANKING servicios CANALES SOPORTE A LA GESTIÓN ÁreasFuncionales 7

PLANTEAMIENTOS¿Qué Busca?EL NEGOCIO. Rentabilidad y Transparenciaen los Servicios.LOS CLIENTES. Calidad Servicio/Producto yCumplimiento Promesas. Fiabilidad en elServicio. Confianza. 9

PLANTEAMIENTOS¿Quienes Intervienen en el Ciclo de los Servicios?LOS PROCESOS. Definen el Flujo OperativoLAS TECNOLOGÍAS. Soportan los ProcesosLAS INFRAESTRUCTURAS. Soportan y Alojan lasTecnologías y a las PersonasLAS PERSONAS. Operan y se Interrelacionan con ellos(Procesos, Tecnologías e Infraestructuras), recibiendo oprestando Servicios 10

PLANTEAMIENTOS Definiciones que afectan al Nuevo Paradigma GlobalLA SEGURIDAD EMPIEZA POR UNO MISMO Y ES COSA DE TODOS, ALIGUAL QUE LA CALIDAD, EL MEDIO AMBIENTE Y, EN GENERAL,CUALQUIER DISCIPLINA DE CONVIVENCIA Y SOSTENIBILIDAD DENUESTRA SOCIEDAD•“Algo que no se Mide, no es posible Gestionarlo de manera Eficaz y Eficiente”•“Aquello que no conozco, lo ignoro, pero representa un Riesgo Potencial”•“Sin Indicios, Pistas y Evidencias no hay Pruebas. En el Mundo Virtualtambién, pero no pensemos que existe la TOTAL IMPUNIDAD.” 11

PLANTEAMIENTOSDefiniciones que afectan al Nuevo Paradigma Global(II) Identidad Digital. (Usuario en la Red y Persona) Trazabilidad Digital (Hechos del Usuario en la Red) Evidencia Digital (Registros y LOG’s) Auditoria Forense y No repudio (Análisis LOG’S, Peritaje) Cadena Identidad Global (Conjunto de Procesos) 12

PLANTEAMIENTOS Nuevo Paradigma Global1 Valores de las Personas en la Sociedad2 Revolución Tecnológica y Científica3 Cambios en Mercados y Negocios4 Nuevas Fronteras Geográficas y Legales Necesidad de Incremento de Mitigación de CONFIANZA CONTROL RIESGOS 13

PLANTEAMIENTOSPrincipios Básicos del Proceso de Gestión PROTEGER (Activos con Medidas Seguridad y Controles) FIABILIDAD INFORMACIÓN Y DE SU TRATAMIENTO OPTIMIZAR SIMPLIFICAR (Modelar (Analizar y Auditar Eficientemente Procesos) Riesgos, Controles, Calidad Activos y Componentes) 14

PREOCUPACIONESAspectos Organizativos• DETECCIÓN Y GESTIÓN DE VULNERABILIDADES Y AMENAZAS• CONCIENCIACIÓN EMPLEADOS, PROVEDORES, CLIENTES.• SUPLANTACIÓN Y ROBO DE IDENTIDAD. FRAUDE ORGANIZADO – CIBERCRIMEN• ROTACIÓN Y EXPOSICIÓN DE LA INFORMACIÓN. CLASIFICACIÓN• POLITICAS DE RECURSOS HUMANOS, PERFILES, RECURSOS DEDICADOS ASEGURIDAD. UBICACIÓN• SALVAGUARDA DE EVIDENCIAS ELECTRONICAS CON SUFICIENCIA PROBATORIA• PLAN DE CONTINUIDAD DE NEGOCIO Y SUS PLANES• GESTIÓN DE RIESGOS Y SU ALINEACIÓN CON PROCESOS DE NEGOCIO• SGSI’S, CUADROS DE MANDO, METRICAS (EVOLUCIÓN Y MANTENIMIENTO)• CERTIFICACIONES Y CUMPLIMIENTO NORMATIVO. LEGISLACIÓN• INTEGRACIÓN DE LOS MUNDOS DE SEGURIDAD (GLOBALIZACIÓN)• INFORMACIÓN Y FORMACIÓN A MEDIDA PERFILES DE SEGURIDAD• COMUNICACIÓN, COORDINACIÓN Y REPARTO DE TAREAS ENTRE ACTORES• NECESIDAD DE FOROS E INICIATIVAS COLABORACTIVAS, OTRAS... 16

PREOCUPACIONESAspectos Técnicos• SINCRONIZACIÓN DE IDENTIDADES DE USUARIOS• GESTIÓN Y RECONOCIMIENTO ENTRE MAQUINAS• SEGURIDAD WIFI/INALAMBRICA• SECURIZACIÓN FISICA DE EQUIPOS• DIRECCIONAMIENTO DE EQUIPOS EN RED• POLITICAS DE CIFRADO Y USO DE CRIPTOGRAFIA• TRATAMIENTO DE FICHEROS TEMPORALES• CONTROL DE CONTENIDOS Y NAVEGACIÓN INTERNET• ACCESOS REMOTOS Y CONEXIONES EXTERNAS• PROBLEMAS SEGURIDAD NUEVOS DISPOSITIVOS Y CANALES• POLITICAS DE PORTATILES• POLITICAS DE CREDENCIALES DE USUARIOS Y MAQUINAS. VALIDACIÓN• ACTUALIZACIONES PARCHES DE SEGURIDAD Y SISTEMA. DISTRIBUCIÓN• CERTIFICACIONES• AUTENTICACIÓN Y VALIDACIÓN FUERTE (AVF)• GESTIÖN INTEGRADA DE USUARIOS, PERFILES, ROLES, APLICACIONES• MONITORIZACIÓN, PATRONES DE USO Y COMPORTAMIENTO DE USUARIOS YMÁQUINAS. DETECCIÓN DE ANOMALIAS 17

PREOCUPACIONESAspectos Globales• COMPLEJIDAD EN EVALUAR EL COSTE DE NO SERVICIO• RECUPERACIÓN ANTE DESASTRES. GESTIÓN INTEGRAL DE LA SEGURIDAD• PROCESOS MÁS GLOBALES Y COMPLEJOS INTERRELACIONADOS• “TIME TO MARKET” DE PRODUCTOS Y SERVICIOS• DEPENDENCIA EVOLUCIÓN TECNOLOGICA CONSTANTE Y MUY RÁPIDA• SERVICIOS BAJO DEMANDA. MAYOR FLEXIBILIDAD. PROTAGONISMO Y EXIGENCIA DELCLIENTE EN SOLICITAR SERVICIOS A MEDIDA, PERSONALIZADOS, ÁGILES, FIABLES,SENCILLOS, CON TRANSPARENCIA DE COSTES• MODELO DE REUTILIZACIÓN DE SERVICIOS Y COMPONENTES.• AVANCE DE LAS TELECOMUNICACIONES POR DIFERENTES CANALES Y DISPOSITIVOS• PRIVACIDAD VERSUS ANONIMATO• NUEVOS COMPORTAMIENTOS Y PENSAMIENTO DIFERENTE. MAYOR INTERACCIÓNHOMBRE/MÁQUINA. NUEVA PSICOLOGÍA DIGITAL• AUMENTO DEL RIESGO OPERACIONAL, TECNOLOGICO, FRAUDE ONLINE, IMPUNIDADLEGAL POR LESGISLACIÓN POBRE Y NO ARMONIZADA Y FALTA DE ESTÁNDARES DEEVIDENCIAS ELECTRÓNICAS.• CRECIMIENTO SOLUCIONES, MEDIDAS Y CONTROLES DE SEGURIDAD POR IMPULSOS.• PROCESOS DE OUTSOURCING, OFFSHORING, EXTERNALIZACIÓN DE PROYECTOS,ROTACIÓN DE PERSONAL CON LA CONSIGUIENTE PÉRDIDA DE CONTROL.• NUEVAS AMEZANAS Y VULNERABILIDADES 18

MEDIDAS A APLICARMedidas Globales (Ámbito Estratégico) LEGALES DIVULGATIVAS INFORMATIVAS FORMATIVAS ORGANIZATIVAS OPERATIVAS TÉCNICAS CONTROL SEGUIMIENTO Y ANÁLISIS AUDITORÍA 20

MEDIDAS A APLICARMedidas Globales (Ámbito Tiempo) Medidas PREVENTIVAS: Medidas DETECTIVAS: Medidas de RESPUESTA (Servicios,Protocolos, CFS) Medidas de INVESTIGACIÓN (Análisisde LOG’s, Modus Operandi, etc.) Medidas FORENSES (Trazabilidad deEvidencias y Hechos) 21

... Hitos en Calidad y Gestión ... Un Camino a la Mejora… Un Camino hacia el Gobierno TIC… Un Camino a la Excelencia… Buen Gobierno SGSI ISO27 Continuidad Gestión de del Negocio Riesgosvalor Defensor del Clientes. CVS Acciones CMMi Correctivas Sistema de Documentación. Circuito Encuesta de aprobación Satisfacción A.N.S. Enfoque Cliente + Gestión Interna + Ciclo de Vida Proyectos Sw. 22

… ubicación del Buen Gobierno TIC… por encima hacia la RSC ISO 26000… el ENS un paso intermedio muy avanzado Responsabilidad Social Corporativa ISO 26000 Gobierno de TI ISO38500 ENS ENS ENS ENS ENS ENS ISO ISO Estándares y mejores prácticas CMMI 27000 / 25999 20000 Procedimientos Principios de Procesos y Procedimientos Seguridad Y ITIL Desarrollo Software Continuidad 23

¿Por qué es importante el Buen Gobierno en TIC? PARTES INTERESADAS EXTERNAS PROVEEDORES CLIENTES USUARIOS ORGANISMOS OTROS > DESAFÍOS BENEFICIOS n En ció a tr e Va ga in ea égic Al tr at lor de Es Valor / Costo Administrar Alineamiento TI Confianza en Aumento del Mayor servicios TI - Negocio > > alta gerencia ROI transparencia n Gobierno Med empeñ de R ist ració D s D s Des e ic eñ e ic eño os de TI ició iesg in n e n e n de Adm l Administración Seguridad Manejar la Cumplimiento de Recursos Respuesta efectiva TI Mayor confiabilidad complejidad regulatorio al negocio de los servicios > ACCIONISTAS CONSEJO ADMÓN. GER. NEGOCIO GERENTES TI EMPLEADOS PARTES INTERESADAS INTERNAS 24

Comenzar por el principio Analizar metas del Negocio Imagen PERSI & TI •Gestión de la inversión en TIC • Gestión de recursos humanos de la TIC • Gestión de la calidad • Evaluación y gestión de riesgos Seleccionar procesos y controles que soportan esas • Gestión de proyectos metas ... • Habilitación de la operación y el uso • Abastecimiento de recursos de TIC • Gestión de los servicios prestados por terceros Definir el Definir objetivos • Aseguramiento de la continuidad del desempeño servicio de mejora actual • Aseguramiento de la seguridad de los sistemas • Gestión de incidentes y de la mesa de soporte • Gestión de datos • Aseguramiento cumplimiento de Definir Desarrollar un reglamentaciones proyectos plan de mejora • Asegurar el gobierno TIC 25

Objetivos … Gestión de Compras, Proveedores Gestión y Control de Indicadores y Métricas 26

PRINCIPIOS BGResponsabilidad Necesidad POLÍTICA GLOBAL DEEstrategia BUEN GOBIERNO TI A varios nivelesAdquisición SEGURIDAD generan CONTINUIDADRendimiento SERVICIOSCumplimiento DESARROLLOConducta Humana 27

Principales Procesos BG - RSIGestión Inversión en TIGestión de RRHH de TI NecesidadGestión de la CalidadEvaluación y Gestión Riesgos EVALUAR RIESGOSGestión de Proyectos ASOCIADOS A LOS MISMOSHabilitación Operación y Uso YAbastecimiento Recursos TIGestión Servicios Terceros generan NOMBRARAsegurar Continuidad Servicio RESPONSABLES DE EVALUARAsegurar Seguridad de Sistemas CADA PROCESO Y FACTORESGestión de Incidentes y Soporte DE RIESGO:Gestión de Datos APLICA/NO APLICAAsegurar Cumplimiento/ConformidadAsegurar Gobierno de TI IMPACTO PROBABILIDAD 28

MEDIDAS A APLICARPrincipales Sistemas de Gestión y Políticas SGBG (Buen Gobierno) SISTEMA DE CALIDAD SGSI (Seguridad Información) SGAR (Análisis Riesgos) Políticas Alto Nivel SGCN (Continuidad de Negocio) SGSTI (Servicios TI) Políticas por SG o SGCVS (Ciclo de Vida de Software) Normativa SGC (Calidad) SGRH (Recursos Humanos) Procedimientos gestionados Instrucciones de Trabajo Política LOPD (Privacidad) Estándares Política PCI/DSS (Tarjetas) Política LOG’s (Evidencias) Modelos Política CERTIFICACIÓN (PKI’S) Política CLASIFICACIÓN (Información) ...... 29

Pasos … Analizar metas del negocio & TI Implementar las Revisión mejoras Post implementación Desarrollar Estructura & Procesos del Gobierno de TI 30

Imprescindible … Involucración de la Dirección Gestión del Cambio Concienciación de toda la Organización - CULTURA Mejora “sostenible” 31

Normativa de Referencia - LEG’S & REG’S 32

Conformidad. Actividades Cuadro Mandos Mapeo Controles EscenariosInventario Ranking ControlesLeg’s@Reg’s Cuadro Mandos Estimación Cumplimiento Benchmarc Basada en ISO27002 33

La Certificación. Sello de CumplimientoISO 26000 ISO 14000RSC Medio Ambiente ISO 15504ISO 38500 Calidad deBuen Gobierno Software (CVS)TIC ISO 31000ISO 9001 RiesgosCalidad BS/PNEISO 20000 71599-1-2Servicios ISO 27001/2 SGCN(SGSTI) SGSI 34

Metodologías de Referencia y ApoyoEl Timón de la Gobernanza 35

ENFOQUE A PROCESOS, HERRAMIENTAS YGESTIÓN DE RIESGOS 36

ENFOQUE A PROCESOS, HERRAMIENTAS YGESTIÓN DE RIESGOS 37

QUE CRECE CONTINUAMENTE Aumento de Riesgos y Escenarios Control del Fraude Estándares Internacionales Leyes y NormativasNecesidades Operativas 38

Y TIENE UN GRAN IMPACTO ECONÓMICO Y SOCIAL 39

Y TIENE UN GRAN IMPACTO OPERATIVO 40

Y TIENE UN GRAN IMPACTO TECNOLÓGICO Y DE INFRAESTRUCTURAS 41

Y TIENE UN GRAN IMPACTOHUMANO EN LAS PERSONAS QUE OPERAN PROCESOS Y RECIBEN SERVICIOS 42

Protocolos y Planes de Continuidad y Gestión de Crisis Cada vez más Global e Interdependiente. REQUIERE VISIÓN HOLÍSTICA 43

MEDIDAS/CONTROLES LIDERAZGO y GESTIÓN DE RIESGOS COORDINACIÓNCAOS PARA Evitar CAOS PASO A PASO PARTITURA = PLAN GESTIÓN CRISIS EQUILIBRIO 44

CONTROL DE COSTES y ESTABILIDAD EN EL TIEMPOORDEN 45

OBJETIVOSEN DEFINITIVA BUSCAR Y GARANTIZAR LA “CONFIANZA Y FIABILIDAD” 46

MEDIANTEAcciones PreparatoriasAcciones Informativas POLÍTICAS yAcciones Preventivas Producto PROTOCOLOS DEAcciones Detectivas GESTIÓNAcciones de RespuestaAcciones de Revisión,Seguimiento y Mejora 47

Protocolos 48

CONCLUSIONESLos riesgos siempre han estado ahí y permanecerán.… Como el Mundo existe, los Riesgos existen 50

CONCLUSIONESComo el Mundo Digital es Global, el Riesgo cada vez es más Global 51

CONCLUSIONES La Seguridad Total es un Mito;no puedealcanzarse a un coste razonable. El 100% de protección no existe. 52

CONCLUSIONES… pero nosotros debemos invertir en lagestionar el Riesgo, por encima de todo, para prevenirlo 53

CONCLUSIONES Síndrome de Cassandra: tu predices el futuro y el aumento de lasamenazas, vulnerabilidades, en definitiva, los Riesgos, tu inviertesmás para prevenirlos, por lo que tienes más control que otros, pero eso dificulta justificar tu presupuesto 54

CONCLUSIONESCon una Plataforma Común de TI (Core Banking y otras Aplicaciones) teniendo una Gestión de Gobierno TIC robusta es más sencillo y más eficiente en costes 55

CONCLUSIONESEn la Gestión del Gobierno TIC, el tamaño importa 56

CONCLUSIONES Acciones a TomarINVERTIR en SEGURIDAD Obtener el BENEFICIO de poder CONFIAR en las AUTOPISTAS de la INFORMACIÓN y en las REDES para el DESARROLLO y SOSTENIBILIDAD de la SOCIEDAD de la INFORMACIÓN DIGITAL Y EL CONOCIMIENTO...MEDIANTE EL GOBIERNO TIC... MEDIANTE ESQUEMA NACIONAL DE SEGURIDAD... MEDIANTE PROTECCIÓN II.CC. ... 57

CONCLUSIONESCOLABORACION y CULTURA para un mejor Gobierno TIC es un “deber”. El ENS es una Oportunidad para TOD@S 58

CONCLUSIONES Acciones a Tomar “COOPERAR, COORDINAR, COMUNICAR, COLABORAR”IDEAS + INTELIGENCIA + INVESTIGACIÓN = INNOVACIÓNINNOVACIÓN + DESARROLLO = EVOLUCIÓN A FUTURO 59

Conclusiones. ACTIVOS INVENTARIO DE Las Ventajas Timón Gobernanza. Disponer del PLAN.1. Superar los posibles Impactos Sistémicos o no, sobre: las Infraestructuras, Servicios y Personas Críticas del Sector Público y Privado.2. Estabilidad y Confianza de Mercados3. Alineamiento de Buenas Prácticas4. Estabilidad Social ante Eventos de Gran Magnitud (Paz Social)5. Capacidad de Respuesta y Remediación6. Vuelta a la normalidad en menor Tiempo.7. Sostenibilidad Global8. Protección ante Responsabilidades9. Minimizar Costes10. Maximizar Recuperación de Personal Afectado y Continuidad de Servicios11. Superar Crisis12. Trabajar bajo una Metodología y Política Definida y Viva. Mejora (PDCA)13. Crear Cultura de Continuidad y Resiliencia.14. Aumento de la Confianza de los Clientes y Ciudadanos.15. Mayor Progreso En definitiva, estar preparados para los retos que la nueva Sociedad Digital nos va deparando y demandando ante los Riesgos existentes y futuros. 60

TENDENCIAS Y EVOLUCIÓNObjetivo Final. GESTIÓN INTEGRAL“LA SEGURIDAD, AL IGUAL QUE LA CALIDAD, Y EN GENERAL LAS DISCIPLINAS HORIZONTALES DE LA COMPAÑÍA, ES COSA DE TODOS Y EMPIEZAN POR UNO MISMO. NO SE PUEDEN VER DE MANERA AISLADA, SINO COMO CONCEPTO GLOBAL Y DENTRO DE LOS PROCESOS DEL NEGOCIO” Pedro P. López 61

ENFOQUES Satisfacción P Fiabilidad R Calidad E Mejora Auditorias V Continua Control Interno E Causa N Raíz Gestión de Seguridad C Procesos Y Arquitectura de Seguridad I Ó Componentes Medidas Seguridad y Controles N Información Canales Procesos Y< Coste Dispositivos Infraestructuras Personas Detección Temprana y Respuesta 62

Evolución de Seguridad. Objetivo Final. SEGURIDAD GLOBAL ANTE UN MUNDO GLOBAL 63

MODELO DE SEGURIDAD (MIGS)Marco de Referencia y Metodología a Seguir. Consideraciones / •TECNICOS Negocio Legales Otros Requisitos •NO TECNICOS – Objetivos de Seguridad Objetivos de Seguridad Aplicando Para lograr ESTANDARES, para los obtener: Marco Políticas / Estrategias objetivos • Calidad Operativo • Fiabilidad Normativas Normativas Del Método y de Procedimientos Procedimientos la Información Control Interno Auditoria Funciones de Control Nivel de Riesgo Nivel de Seguridad Contin uidad del ne gocio 64

TENDENCIAS Y EVOLUCIÓNHoja de Ruta. Qué Hacer? Hacia Dónde Ir? Inventario de Activos Inventario de Riesgos + % Ocurrencias + Métricas Cuadro de Mandos Priorizar Acciones e Inversiones Alinear la Seguridad con el Negocio Volver a Empezar conforme a Metodología PDCA 65

“I look to the futurebecause thats where Im going to spend the rest of my life” Woody Allen 66

Muchas Gracias Pedro Pablo López BernalGerente Seguridad, Privacidad y Continuidad Global R.S.I. (Grupo Caja Rural) pedro_pablo_lopez_rsi@cajarural.com 67

Preguntas 68

el valor de la innovación.“Rural Servicios Informáticos (RSI): una propuesta de valor”” “25 Años: Outsourcing Integral en Cloud” 69

RSI 70

Esquema Nacional de Seguridad, Gobierno TIC and compliance

by AGESTIC - Asociación Gallega Empresas TIC on May 06, 2011

Accessibility

Categories

Tags

Upload Details

Usage Rights

Statistics

Esquema Nacional de Seguridad, Gobierno TIC and compliance — Presentation Transcript