2. AGENDA
1
2
3
4
La importancia de los standares
Porque es importante estar compliance ?
El valor de estar compliance5
Implementando controles basados en standares
Leyes y regulaciones
D3NY4LL.BLOGSPOT.COM
3. AGENDA
1
2
3
4
La importancia de los standares
Porque es importante estar compliance ?
El valor de estar compliance5
Implementando controles basados en standares
Leyes y regulaciones
D3NY4LL.BLOGSPOT.COM
6. Porque preocuparse por el
compliance ?
En general
• 62% de las organizaciones esperan mas
regulaciones y mayor perdida de informacion en
los proximos 5 años.
En forma puntual
• 72% de las organizaciones en US y 52% de las
organizaciones europeas sienten un alto grado
de temor de quebrar regulaciones sobre
proteccion de datos personales.
Source: Symantec Benchmark Data 2006.
D3NY4LL.BLOGSPOT.COM
7. Por tamaño de la organización
Source: Symantec Benchmark Data 2006.
D3NY4LL.BLOGSPOT.COM
8. AGENDA
1
2
3
4
La importancia de los standares
Porque es importante estar compliance ?
El valor de estar compliance5
Implementando controles basados en standares
Leyes y regulaciones
D3NY4LL.BLOGSPOT.COM
9. Consideracion sobre leyes y
regulaciones
• Cientos de leyes y regulaciones
• Toda informacion creada, transmitida y almacenada
puede ser sujeto de leyes y regulaciones.
• Leyes y regulaciones estan constantemente
evolucionando
• Perdida potencial de negocios por no estar
compliance
D3NY4LL.BLOGSPOT.COM
10. • Robo de identidad Proteccion de datos
• Escandalos financieros Retencion de datos. Gob. Corporativo
• Amenazas terroristas Seguridad Nacional
• Comercio Electronico Base legal,
Comercio Electronico IPR protection. DR Management
Eventos reales Requerimientos Regulatorios
Leyes y regulaciones son
impulsadas por
D3NY4LL.BLOGSPOT.COM
11. Directiva de Proteccion de Datos en EEUU
Los datos deben ser :
1. Utilizados para propositos limitados
– Adecuados, relevantes y no excesivos
– No mantener mas tiempo del necesario
– Procesarlos de acuerdo con el derecho del sujeto
– No tranferirlos a paises sin la proteccion adequada.
D3NY4LL.BLOGSPOT.COM
12. Gobierno Corporativo y Retencion de Datos
• Sarbanes Oxley:
o Se aplica a todas las companias en la bolsa NYSE con un
mercado mayor a U$S 75 millones
o Asegura el comprometimiento de los ejecutivos en el
proceso de negocios.
o Mayor responsabilidad para aquellos envolvidos en
auditorias.
o Puede resutar en la prision del CEO y/o CFO
• Leyes y Regulaciones
o Sistemas de control interno
o Sistemas para manejo de riesgos
o Responsabilidad de los directores.
D3NY4LL.BLOGSPOT.COM
13. Regulaciones Especificas para ciertos sectores
Basel II:
Comprehensive approach to risk management and bank supervision motivating banks to
upgrade and improve their risk management systems
• New Framework available for implementation 2006
• Advanced Risk Measurement available for implementation 2007
Implementation of Basel II will limit Banks’ minimum capital requirements by aligning these
more closely with actual risk of economic loss.
US Food and Drugs Administration (FDA):
Regulaciones sobre almacenamiento de registros y su proteccion.
Payment card industry:
Regulations ensuring adequate information security policies, access control measures,
data protection and secure networks.
D3NY4LL.BLOGSPOT.COM
14. AGENDA
1
2
3
4
La importancia de los standares
Porque es importante estar compliance ?
El valor de estar compliance5
Implementando controles basados en standares
Leyes y regulaciones
D3NY4LL.BLOGSPOT.COM
15. Standards, Regulaciones y Leyes
• Standards:
o Definidos por Organismos nacionales o Internacionales : BSI, ISO.
o Codigos de practica (e.g. ITIL, ISO 17799, COSO)= “Que hacer”
Requerimientos para certificacion (e.g. ISO 27001, ISO 9001)= “Lo
minimo que debe hacer”.
o Juntos pueden formar frameworks de compliances.
o Sanciones: Ninguna
• Regulations:
o Definidos por agencias gubernamentales, mercados o ciertos
sectores.
o Agencias e.g. US SEC & FDA, UK FSA. Mercados e.g. Turnbull for
LSE. Sectores e.g. Basel II para Bancos
o Sanciones: multas,perdida de permiso para realizar negocios.
• Leyes:
o Definidos por el gobierno
o Trans-sectorial e.g. Data Protection Directive, SOX. Sectorial e.g.
HIPAA, GLBA, Data Retention Directive.
o Sanciones: Carcel, multas, perdida de permiso para realizar
negocios.
D3NY4LL.BLOGSPOT.COM
16. Usando standares para estar en Compliance
Source: IDC April 2006
D3NY4LL.BLOGSPOT.COM
17. Standards
• ISO 15489:
o Standard para el manejo de registros
o Especificaciones detalladas para programas que manejan registros
o Cubre registros almacenados en todo tipo de medio.
• ITIL/ITSM:
o IT Infrastructure Library
o Best Practice en IT Service Management
o IT services orientado a los negocios
o Enfocado en la Gente, Procesos y Recursos
• ISO 17799:
o Standard para el manejo seguro de la informacion
o 11 Areas de Control incluyendo: Politica, personal, seguridad
fisica,continuidad del negocio ycompliance, tanto como comunicaciones
y manejo de operaciones.
D3NY4LL.BLOGSPOT.COM
18. AGENDA
1
2
3
4
La importancia de los standares
Porque es importante estar compliance ?
El valor de estar compliance5
Implementando controles basados en standares
Leyes y regulaciones
D3NY4LL.BLOGSPOT.COM
19. Implementar standards significa
implementar controles
Threats/
Issues
Detection &
Prevention
Controls
Success?
Risk
Sorted!
Vulnerabilities/
Weaknesses
Fixing/
Resolution
Controls
Success?
Risk Sorted!
Impact
Management
Controls
Risk Sorted!
Success?
Unmanaged
Risk
NO NO NO
YES YES YES
D3NY4LL.BLOGSPOT.COM
20. Controles deben alcanzar tanto IT
como el resto de la Organizacion.
Departmento IT Resto de la Organizacion
Prevention
& Detection
Controls
Fixing
Controls
Management
Controls
D3NY4LL.BLOGSPOT.COM
21. Un espectro de controles es mejor
Departmento IT Resto de la Organizacion
1 -
Detection &
Prevention of
Threats/Issues
2 -
Fixing
Vulnerabilities/
Weaknesses
3 -
Response and
Recovery
4 -
Risk
Analysis
5 -
Management
Programs
6 -
Strategic
Direction
Control Spectrum
D3NY4LL.BLOGSPOT.COM
22. Con reportes y auditable
1 -
Detection &
Prevention of
Threats/Issues
2 -
Fixing
Vulnerabilities/
Weaknesses
3 -
Response and
Recovery
4 -
Risk
Analysis
5 -
Management
Programs
6 -
Strategic
Direction
Control Spectrum
Reporting System
Auditing System
Departmento IT Resto de la Organizacion
D3NY4LL.BLOGSPOT.COM
23. Reporting debe estar en toda la
Organizacion
IT Risk
Managers
Operational Management
Executives
Operational
Risk
Managers
D3NY4LL.BLOGSPOT.COM
24. Usando el tipo de reporte
apropiado
Benchmarking Analysis
Trends
Risk Information
Risk Data
D3NY4LL.BLOGSPOT.COM
25. AGENDA
1
2
3
4
La importancia de los standares
Porque es importante estar compliance ?
El valor de estar compliance5
Implementando controles basados en standares
Leyes y regulaciones
D3NY4LL.BLOGSPOT.COM
26. Porque los controles de
compliance son mas necesarios ?
• Espectativas de usuarios
o Entorno de computacion hogareno
• Deperimetrzacion
o Desaparecen las fronteras de la Organizacion
o Remote computing se vuelve una norma
o Internet es una herramienta de bajo costo
o Integracion IT entre companias
• Computacion Distribuida
D3NY4LL.BLOGSPOT.COM
27. Valor de implementar
Compliance
• Ayuda al management: “No puede
administrar lo q ue no puede medir”
• Permite benchmarking interno y externo
• Construye confianza con socios y clientes
• Habilita el analisis de tendencias:
“Estamos mejor o peor ?”
• Permite que los standares se distribuyan
por toda la organizacion.
D3NY4LL.BLOGSPOT.COM