Este documento describe los servicios de outsourcing integral en la nube ofrecidos por RSI durante los últimos 25 años. Detalla la estructura y volúmenes de negocio de Caja Rural y sus preocupaciones en materia de seguridad, como la detección de vulnerabilidades, la concientización de empleados y la gestión de riesgos. También explica las medidas aplicadas por RSI en diferentes ámbitos como legal, informativo, formativo, organizativo y técnico para abordar estas preocupaciones.
2. “25 Años: Outsourcing Integral en Cloud”
ESQUEMA NACIONAL DE SEGURIDAD:
UN PASO AL GOBIERNO TIC AND
COMPLIANCE
Experiencias de RSI
Jornadas Difusión
Esquema Nacional de Seguridad
Abril-Mayo 2011
6. que nos conozcas un poco más ...
Un poco de visión retrospectiva (25 años)...
Evolución de las Soluciones y Servicios a Entidades ...
Servicios
de Valor
Sistemas de
Movilidad
Sistemas
Banca GED
valor
Electrónica / Sistemas
Telefónica CRM
Medios de
Pago Sistemas de
Información de
Gestión (SIG)
Centro de
Información
Core bancario tiempo
1986 1987 1992 2000 2001 2002 2003 2005 2007 2008 2011
6
7. Soluciones y Servicios ...
Amplísima oferta de ...
... nuestras soluciones y servicios dan respuesta a todas las necesidades...
soluciones
CONTROL RIESGOS
DE GESTIÓN
GESTIÓN CORE ORGANISMOS
COMERCIAL BANKING
servicios
CANALES
SOPORTE A
LA GESTIÓN
Áreas
Funcionales
7
9. PLANTEAMIENTOS
¿Qué Busca?
EL NEGOCIO. Rentabilidad y Transparencia
en los Servicios.
LOS CLIENTES. Calidad Servicio/Producto y
Cumplimiento Promesas. Fiabilidad en el
Servicio. Confianza.
9
10. PLANTEAMIENTOS
¿Quienes Intervienen en el Ciclo de los Servicios?
LOS PROCESOS. Definen el Flujo Operativo
LAS TECNOLOGÍAS. Soportan los Procesos
LAS INFRAESTRUCTURAS. Soportan y Alojan las
Tecnologías y a las Personas
LAS PERSONAS. Operan y se Interrelacionan con ellos
(Procesos, Tecnologías e Infraestructuras), recibiendo o
prestando Servicios
10
11. PLANTEAMIENTOS
Definiciones que afectan al Nuevo Paradigma Global
LA SEGURIDAD EMPIEZA POR UNO MISMO Y ES COSA DE TODOS, AL
IGUAL QUE LA CALIDAD, EL MEDIO AMBIENTE Y, EN GENERAL,
CUALQUIER DISCIPLINA DE CONVIVENCIA Y SOSTENIBILIDAD DE
NUESTRA SOCIEDAD
•“Algo que no se Mide, no es posible Gestionarlo de manera Eficaz y Eficiente”
•“Aquello que no conozco, lo ignoro, pero representa un Riesgo Potencial”
•“Sin Indicios, Pistas y Evidencias no hay Pruebas. En el Mundo Virtual
también, pero no pensemos que existe la TOTAL IMPUNIDAD.”
11
12. PLANTEAMIENTOS
Definiciones que afectan al Nuevo Paradigma Global(II)
Identidad Digital. (Usuario en la Red y Persona)
Trazabilidad Digital (Hechos del Usuario en la Red)
Evidencia Digital (Registros y LOG’s)
Auditoria Forense y No repudio (Análisis LOG’S, Peritaje)
Cadena Identidad Global (Conjunto de Procesos)
12
13. PLANTEAMIENTOS
Nuevo Paradigma Global
1 Valores de las Personas en la Sociedad
2 Revolución Tecnológica y Científica
3 Cambios en Mercados y Negocios
4 Nuevas Fronteras Geográficas y Legales
Necesidad de Incremento de Mitigación de
CONFIANZA CONTROL RIESGOS
13
14. PLANTEAMIENTOS
Principios Básicos del Proceso de Gestión
PROTEGER (Activos con
Medidas Seguridad y
Controles)
FIABILIDAD
INFORMACIÓN Y
DE SU TRATAMIENTO
OPTIMIZAR SIMPLIFICAR (Modelar
(Analizar y Auditar Eficientemente Procesos)
Riesgos, Controles,
Calidad Activos y Componentes)
14
16. PREOCUPACIONES
Aspectos Organizativos
• DETECCIÓN Y GESTIÓN DE VULNERABILIDADES Y AMENAZAS
• CONCIENCIACIÓN EMPLEADOS, PROVEDORES, CLIENTES.
• SUPLANTACIÓN Y ROBO DE IDENTIDAD. FRAUDE ORGANIZADO – CIBERCRIMEN
• ROTACIÓN Y EXPOSICIÓN DE LA INFORMACIÓN. CLASIFICACIÓN
• POLITICAS DE RECURSOS HUMANOS, PERFILES, RECURSOS DEDICADOS A
SEGURIDAD. UBICACIÓN
• SALVAGUARDA DE EVIDENCIAS ELECTRONICAS CON SUFICIENCIA PROBATORIA
• PLAN DE CONTINUIDAD DE NEGOCIO Y SUS PLANES
• GESTIÓN DE RIESGOS Y SU ALINEACIÓN CON PROCESOS DE NEGOCIO
• SGSI’S, CUADROS DE MANDO, METRICAS (EVOLUCIÓN Y MANTENIMIENTO)
• CERTIFICACIONES Y CUMPLIMIENTO NORMATIVO. LEGISLACIÓN
• INTEGRACIÓN DE LOS MUNDOS DE SEGURIDAD (GLOBALIZACIÓN)
• INFORMACIÓN Y FORMACIÓN A MEDIDA PERFILES DE SEGURIDAD
• COMUNICACIÓN, COORDINACIÓN Y REPARTO DE TAREAS ENTRE ACTORES
• NECESIDAD DE FOROS E INICIATIVAS COLABORACTIVAS, OTRAS...
16
17. PREOCUPACIONES
Aspectos Técnicos
• SINCRONIZACIÓN DE IDENTIDADES DE USUARIOS
• GESTIÓN Y RECONOCIMIENTO ENTRE MAQUINAS
• SEGURIDAD WIFI/INALAMBRICA
• SECURIZACIÓN FISICA DE EQUIPOS
• DIRECCIONAMIENTO DE EQUIPOS EN RED
• POLITICAS DE CIFRADO Y USO DE CRIPTOGRAFIA
• TRATAMIENTO DE FICHEROS TEMPORALES
• CONTROL DE CONTENIDOS Y NAVEGACIÓN INTERNET
• ACCESOS REMOTOS Y CONEXIONES EXTERNAS
• PROBLEMAS SEGURIDAD NUEVOS DISPOSITIVOS Y CANALES
• POLITICAS DE PORTATILES
• POLITICAS DE CREDENCIALES DE USUARIOS Y MAQUINAS. VALIDACIÓN
• ACTUALIZACIONES PARCHES DE SEGURIDAD Y SISTEMA. DISTRIBUCIÓN
• CERTIFICACIONES
• AUTENTICACIÓN Y VALIDACIÓN FUERTE (AVF)
• GESTIÖN INTEGRADA DE USUARIOS, PERFILES, ROLES, APLICACIONES
• MONITORIZACIÓN, PATRONES DE USO Y COMPORTAMIENTO DE USUARIOS Y
MÁQUINAS. DETECCIÓN DE ANOMALIAS
17
18. PREOCUPACIONES
Aspectos Globales
• COMPLEJIDAD EN EVALUAR EL COSTE DE NO SERVICIO
• RECUPERACIÓN ANTE DESASTRES. GESTIÓN INTEGRAL DE LA SEGURIDAD
• PROCESOS MÁS GLOBALES Y COMPLEJOS INTERRELACIONADOS
• “TIME TO MARKET” DE PRODUCTOS Y SERVICIOS
• DEPENDENCIA EVOLUCIÓN TECNOLOGICA CONSTANTE Y MUY RÁPIDA
• SERVICIOS BAJO DEMANDA. MAYOR FLEXIBILIDAD. PROTAGONISMO Y EXIGENCIA DEL
CLIENTE EN SOLICITAR SERVICIOS A MEDIDA, PERSONALIZADOS, ÁGILES, FIABLES,
SENCILLOS, CON TRANSPARENCIA DE COSTES
• MODELO DE REUTILIZACIÓN DE SERVICIOS Y COMPONENTES.
• AVANCE DE LAS TELECOMUNICACIONES POR DIFERENTES CANALES Y DISPOSITIVOS
• PRIVACIDAD VERSUS ANONIMATO
• NUEVOS COMPORTAMIENTOS Y PENSAMIENTO DIFERENTE. MAYOR INTERACCIÓN
HOMBRE/MÁQUINA. NUEVA PSICOLOGÍA DIGITAL
• AUMENTO DEL RIESGO OPERACIONAL, TECNOLOGICO, FRAUDE ONLINE, IMPUNIDAD
LEGAL POR LESGISLACIÓN POBRE Y NO ARMONIZADA Y FALTA DE ESTÁNDARES DE
EVIDENCIAS ELECTRÓNICAS.
• CRECIMIENTO SOLUCIONES, MEDIDAS Y CONTROLES DE SEGURIDAD POR IMPULSOS.
• PROCESOS DE OUTSOURCING, OFFSHORING, EXTERNALIZACIÓN DE PROYECTOS,
ROTACIÓN DE PERSONAL CON LA CONSIGUIENTE PÉRDIDA DE CONTROL.
• NUEVAS AMEZANAS Y VULNERABILIDADES
18
20. MEDIDAS A APLICAR
Medidas Globales (Ámbito Estratégico)
LEGALES
DIVULGATIVAS
INFORMATIVAS
FORMATIVAS
ORGANIZATIVAS
OPERATIVAS
TÉCNICAS
CONTROL
SEGUIMIENTO Y ANÁLISIS
AUDITORÍA
20
21. MEDIDAS A APLICAR
Medidas Globales (Ámbito Tiempo)
Medidas PREVENTIVAS:
Medidas DETECTIVAS:
Medidas de RESPUESTA (Servicios,
Protocolos, CFS)
Medidas de INVESTIGACIÓN (Análisis
de LOG’s, Modus Operandi, etc.)
Medidas FORENSES (Trazabilidad de
Evidencias y Hechos)
21
22. ... Hitos en Calidad y Gestión ... Un Camino a la
Mejora… Un Camino hacia el Gobierno TIC…
Un Camino a la Excelencia…
Buen
Gobierno
SGSI
ISO27
Continuidad
Gestión de del Negocio
Riesgos
valor
Defensor del
Clientes.
CVS
Acciones
CMMi
Correctivas
Sistema de
Documentación.
Circuito
Encuesta de aprobación
Satisfacción
A.N.S.
Enfoque Cliente + Gestión Interna + Ciclo de Vida Proyectos Sw.
22
23. … ubicación del Buen Gobierno TIC
… por encima hacia la RSC ISO 26000
… el ENS un paso intermedio muy avanzado
Responsabilidad Social Corporativa
ISO 26000
Gobierno de TI ISO38500
ENS ENS ENS ENS ENS ENS
ISO ISO
Estándares y mejores prácticas CMMI 27000 / 25999 20000
Procedimientos Principios de
Procesos y Procedimientos Seguridad Y ITIL
Desarrollo Software
Continuidad
23
24. ¿Por qué es importante el Buen Gobierno en TIC?
PARTES INTERESADAS EXTERNAS
PROVEEDORES CLIENTES USUARIOS ORGANISMOS OTROS
>
DESAFÍOS BENEFICIOS
n En
ció a tr e
Va ga
in ea égic
Al tr at lor de
Es
Valor / Costo Administrar Alineamiento TI Confianza en Aumento del Mayor
servicios TI - Negocio > > alta gerencia ROI transparencia
n
Gobierno
Med empeñ
de R ist ració
D s
D s
Des
e ic eñ
e ic eño
os
de TI
ició
iesg
in
n e
n e
n de
Adm
l
Administración
Seguridad Manejar la Cumplimiento de Recursos Respuesta efectiva TI Mayor confiabilidad
complejidad regulatorio al negocio de los servicios
>
ACCIONISTAS CONSEJO ADMÓN. GER. NEGOCIO GERENTES TI EMPLEADOS
PARTES INTERESADAS INTERNAS
24
25. Comenzar por el principio
Analizar metas del Negocio Imagen PERSI
& TI
•Gestión de la inversión en TIC
• Gestión de recursos humanos de la TIC
• Gestión de la calidad
• Evaluación y gestión de riesgos
Seleccionar procesos y controles que soportan esas
• Gestión de proyectos
metas ...
• Habilitación de la operación y el uso
• Abastecimiento de recursos de TIC
• Gestión de los servicios prestados por
terceros
Definir el
Definir objetivos • Aseguramiento de la continuidad del
desempeño servicio
de mejora
actual • Aseguramiento de la seguridad de los
sistemas
• Gestión de incidentes y de la mesa de
soporte
• Gestión de datos
• Aseguramiento cumplimiento de
Definir Desarrollar un reglamentaciones
proyectos plan de mejora • Asegurar el gobierno TIC
25
26. Objetivos …
Gestión de Compras, Proveedores
Gestión y Control de Indicadores y
Métricas
26
27. PRINCIPIOS BG
Responsabilidad Necesidad
POLÍTICA GLOBAL DE
Estrategia BUEN GOBIERNO TI
A varios niveles
Adquisición SEGURIDAD
generan CONTINUIDAD
Rendimiento
SERVICIOS
Cumplimiento DESARROLLO
Conducta Humana
27
28. Principales Procesos BG - RSI
Gestión Inversión en TI
Gestión de RRHH de TI
Necesidad
Gestión de la Calidad
Evaluación y Gestión Riesgos EVALUAR RIESGOS
Gestión de Proyectos ASOCIADOS A LOS MISMOS
Habilitación Operación y Uso
Y
Abastecimiento Recursos TI
Gestión Servicios Terceros generan NOMBRAR
Asegurar Continuidad Servicio RESPONSABLES DE EVALUAR
Asegurar Seguridad de Sistemas CADA PROCESO Y FACTORES
Gestión de Incidentes y Soporte DE RIESGO:
Gestión de Datos APLICA/NO APLICA
Asegurar Cumplimiento/Conformidad
Asegurar Gobierno de TI IMPACTO
PROBABILIDAD
28
29. MEDIDAS A APLICAR
Principales Sistemas de Gestión y Políticas
SGBG (Buen Gobierno)
SISTEMA DE CALIDAD
SGSI (Seguridad Información)
SGAR (Análisis Riesgos) Políticas Alto Nivel
SGCN (Continuidad de Negocio)
SGSTI (Servicios TI) Políticas por SG o
SGCVS (Ciclo de Vida de Software) Normativa
SGC (Calidad)
SGRH (Recursos Humanos) Procedimientos
gestionados
Instrucciones de Trabajo
Política LOPD (Privacidad)
Estándares
Política PCI/DSS (Tarjetas)
Política LOG’s (Evidencias) Modelos
Política CERTIFICACIÓN (PKI’S)
Política CLASIFICACIÓN (Información)
......
29
30. Pasos …
Analizar metas del
negocio & TI
Implementar las Revisión
mejoras Post implementación
Desarrollar
Estructura &
Procesos del
Gobierno de TI
30
31. Imprescindible …
Involucración de la Dirección
Gestión del Cambio
Concienciación de toda la Organización - CULTURA
Mejora “sostenible”
31
34. La Certificación. Sello de Cumplimiento
ISO 26000 ISO 14000
RSC Medio Ambiente
ISO 15504
ISO 38500
Calidad de
Buen Gobierno
Software (CVS)
TIC
ISO 31000
ISO 9001 Riesgos
Calidad
BS/PNE
ISO 20000
71599-1-2
Servicios ISO 27001/2 SGCN
(SGSTI) SGSI
34
54. CONCLUSIONES
Síndrome de Cassandra: tu predices el futuro y el aumento de las
amenazas, vulnerabilidades, en definitiva, los Riesgos, tu inviertes
más para prevenirlos, por lo que tienes más control que otros, pero
eso dificulta justificar tu presupuesto
54
55. CONCLUSIONES
Con una Plataforma Común de TI (Core Banking y
otras Aplicaciones) teniendo una Gestión de
Gobierno TIC robusta es más sencillo y más
eficiente en costes
55
57. CONCLUSIONES
Acciones a Tomar
INVERTIR en SEGURIDAD
Obtener el BENEFICIO de
poder CONFIAR en las AUTOPISTAS de la
INFORMACIÓN y en las REDES para
el DESARROLLO y SOSTENIBILIDAD de
la SOCIEDAD de la INFORMACIÓN DIGITAL Y
EL CONOCIMIENTO...
MEDIANTE EL GOBIERNO TIC...
MEDIANTE ESQUEMA NACIONAL DE SEGURIDAD...
MEDIANTE PROTECCIÓN II.CC. ...
57
59. CONCLUSIONES
Acciones a Tomar
“COOPERAR,
COORDINAR,
COMUNICAR,
COLABORAR”
IDEAS + INTELIGENCIA + INVESTIGACIÓN = INNOVACIÓN
INNOVACIÓN + DESARROLLO = EVOLUCIÓN A FUTURO
59
60. Conclusiones. ACTIVOS
INVENTARIO DE Las Ventajas Timón Gobernanza.
Disponer del PLAN.
1. Superar los posibles Impactos Sistémicos o no, sobre: las Infraestructuras, Servicios y
Personas Críticas del Sector Público y Privado.
2. Estabilidad y Confianza de Mercados
3. Alineamiento de Buenas Prácticas
4. Estabilidad Social ante Eventos de Gran Magnitud (Paz Social)
5. Capacidad de Respuesta y Remediación
6. Vuelta a la normalidad en menor Tiempo.
7. Sostenibilidad Global
8. Protección ante Responsabilidades
9. Minimizar Costes
10. Maximizar Recuperación de Personal Afectado y Continuidad de Servicios
11. Superar Crisis
12. Trabajar bajo una Metodología y Política Definida y Viva. Mejora (PDCA)
13. Crear Cultura de Continuidad y Resiliencia.
14. Aumento de la Confianza de los Clientes y Ciudadanos.
15. Mayor Progreso
En definitiva, estar preparados para los retos que la nueva Sociedad Digital nos va deparando y
demandando ante los Riesgos existentes y futuros.
60
61. TENDENCIAS Y EVOLUCIÓN
Objetivo Final. GESTIÓN INTEGRAL
“LA SEGURIDAD, AL IGUAL QUE LA CALIDAD, Y EN GENERAL LAS
DISCIPLINAS HORIZONTALES DE LA COMPAÑÍA, ES COSA DE
TODOS Y EMPIEZAN POR UNO MISMO. NO SE PUEDEN VER DE
MANERA AISLADA, SINO COMO CONCEPTO GLOBAL Y DENTRO
DE LOS PROCESOS DEL NEGOCIO”
Pedro P. López
61
62. ENFOQUES
Satisfacción
P Fiabilidad
R Calidad
E Mejora Auditorias
V Continua
Control Interno
E Causa
N Raíz Gestión de Seguridad
C Procesos
Y Arquitectura de Seguridad
I
Ó Componentes Medidas Seguridad y Controles
N Información
Canales
Procesos Y
< Coste Dispositivos
Infraestructuras Personas
Detección Temprana y Respuesta
62
64. MODELO DE SEGURIDAD (MIGS)
Marco de Referencia y Metodología a Seguir.
Consideraciones / •TECNICOS
Negocio Legales Otros
Requisitos •NO TECNICOS
–
Objetivos de Seguridad
Objetivos de Seguridad
Aplicando
Para lograr ESTANDARES, para
los obtener:
Marco Políticas / Estrategias
objetivos • Calidad
Operativo • Fiabilidad
Normativas
Normativas
Del Método y de
Procedimientos
Procedimientos la Información
Control Interno
Auditoria
Funciones de
Control Nivel de Riesgo Nivel de Seguridad
Contin
uidad
del ne
gocio
64
65. TENDENCIAS Y EVOLUCIÓN
Hoja de Ruta. Qué Hacer? Hacia Dónde Ir?
Inventario de Activos
Inventario de Riesgos + % Ocurrencias + Métricas
Cuadro de Mandos
Priorizar Acciones e Inversiones
Alinear la Seguridad con el Negocio
Volver a Empezar conforme a Metodología PDCA
65
66. “I look to the future
because that's where
I'm going to spend
the rest of my life”
Woody Allen
66
67. Muchas Gracias
Pedro Pablo López Bernal
Gerente Seguridad, Privacidad y Continuidad Global R.S.I. (Grupo Caja Rural)
pedro_pablo_lopez_rsi@cajarural.com
67