Upload
truongcong
View
226
Download
0
Embed Size (px)
Citation preview
Proyecto Proyecto
Cumplimiento estándar PCI Cumplimiento estándar PCI DSS en RSI DSS en RSI –– CAJA RURALCAJA RURAL
2ª Jornada Seguridad Medios de Pago ITSA
Noviembre 2010
ÍNDICEÍNDICE
CAJA RURAL
PLANTEAMIENTOS Y PREOCUPACIONES
MEDIDAS A APLICAR Y VISIÓN RSI
EL PROYECTO PCI/DSS
CONCLUSIONES
3
CAJA RURAL
ESTRUCTURA
4
ENTIDADES (73) ENTIDADES (73) COMPAÑÍAS (3)COMPAÑÍAS (3)
Outsourcing Outsourcing TITI
SegurosSeguros
Banco BackBanco Back--OfficeOffice
CAJA RURALVOLUMENES NEGOCIO
5
CLIENTES
7.429.785CUENTAS5.040.728
CRÉDITOS
855.700DEPÓSITOSRENTA FIJA
869.882
TARJETAS
3.069.448
TPV’S
75.118
BANCA ONLINE
426.724
CAJEROS
3.686
TERMINALES
14.525
TRANSAC.DIA
13.200.000
ÍNDICEÍNDICE
CAJA RURAL
PLANTEAMIENTOS Y PREOCUPACIONES
MEDIDAS A APLICAR Y VISIÓN RSI
EL PROYECTO PCI/DSS
CONCLUSIONES
6
1
2
Valores de las Personas en la Sociedad
Revolución Tecnológica y Científica3
4
Cambios en Mercados y Negocios
Nuevas Fronteras Geográficas y Legales
PLANTEAMIENTOSPLANTEAMIENTOSNuevo Paradigma GlobalNuevo Paradigma Global
7
Incremento de
CONTROL
Mitigación de
RIESGOSNecesidad de
CONFIANZA
PLANTEAMIENTOS PLANTEAMIENTOS
Principios Básicos del Proceso de GestiónPrincipios Básicos del Proceso de Gestión
FIABILIDADINFORMACIÓN Y
DE SU TRATAMIENTO
PROTEGER (Activos con Medidas Seguridad yControles)
OPTIMIZAR(Analizar y AuditarRiesgos, Controles,Calidad Activos y Componentes)
SIMPLIFICAR (ModelarEficientemente Procesos)
8
PREOCUPACIONES PREOCUPACIONES Fraude Interno / ExternoFraude Interno / Externo• ASOCIADO A EMPLEADOS• ASOCIADO A PERSONAL EXTERNO QUE TRABAJA EN PROYECTOS• ASOCIADO A PROCESOS• ASOCIADO A FUNCIONES• ASOCIADO A ATRIBUCIONES • FRAUDE COMBINADO O EN CONNIVENCIA• ASOCIADO A TECNOLOGÍA Y EQUIPOS• ASOCIADO AL TIPO DE NEGOCIO• FRAUDE TRADICIONAL EN GENERAL (CONTABLE, VENTAS, COMERCIAL, LOGISTICO, INFORMACIÓN, MATERIAL, etc.)
9
ÍNDICEÍNDICE
CAJA RURAL
PLANTEAMIENTOS Y PREOCUPACIONES
MEDIDAS A APLICAR Y VISIÓN RSI
EL PROYECTO PCI/DSS
CONCLUSIONES
10
MEDIDAS A APLICAR MEDIDAS A APLICAR Medidas Globales alineadas con PCI/DSS y.....
Arquitecturas Modulares Basadas en Web ServicesSistemas de Autenticación y Validación AVFSistemas de Información por Doble CanalSistemas de AutoServicio por Desafio/RespuestaSistemas de Geolocalización de la Conexión y Tipo de Dispositivo Sistemas de Patrones y Comportamiento del Cliente y de las OperacionesSistemas de Filtros de Tipos de Operaciones, Importes, Franjas HorariasSistemas de Bloqueo Online de Operaciones 24x7Sistemas Automáticos de Comunicación y AlertaSistemas Expertos de Estudio de la Psicología Digital y ComportamientoEstandarización de una Base de Medidas Tecnológicas Mínimas
11
MEDIDAS A APLICAR MEDIDAS A APLICAR Medidas Globales (Ámbito Estratégico)
LEGALESDIVULGATIVASINFORMATIVASFORMATIVASORGANIZATIVASOPERATIVASTÉCNICASCONTROLSEGUIMIENTO Y ANÁLISISAUDITORÍA
12
MEDIDAS A APLICAR MEDIDAS A APLICAR
13
Medidas Globales (Ámbito Tiempo)Medidas PREVENTIVAS:
Concienciar al Usuario (La Seguridad Empieza por Uno Mismo)
Monitorizar Operaciones, Casos y “Modus Operandi”
Instalar Herramientas de Análisis.
Medidas DETECTIVAS:Herramientas Detección Temprana y Aviso
Medidas de RESPUESTA (Servicios, Protocolos, CFS)
Medidas de INVESTIGACIÓN (Análisis de LOG’s, Modus Operandi, etc.)
Medidas FORENSES (Trazabilidad de Evidencias y Hechos)
SGBG (Buen Gobierno)SGSI (Seguridad Información)SGAR (Análisis Riesgos) SGCN (Continuidad de Negocio)SGSTI (Servicios TI)SGCVS (Ciclo de Vida de Software)SGC (Calidad)SGRH (Recursos Humanos)
Política LOPD (Privacidad)
Política PCI/DSS (Tarjetas)Política LOG’s (Evidencias) Política CERTIFICACIÓN (PKI’S)Política CLASIFICACIÓN (Información)......
gestionados
SISTEMA DE CALIDAD
Políticas Alto Nivel
Políticas por SG o Normativa
Procedimientos
Instrucciones de Trabajo
Estándares
Modelos
Principales Sistemas de Gestión y PolíticasPrincipales Sistemas de Gestión y PolíticasMEDIDAS A APLICAR MEDIDAS A APLICAR
14
Conformidad. Actividades Cuadro Mandos
16
EscenariosMapeo Controles
Ranking Controles
Cuadro Mandos
Benchmarc
InventarioLeg’s@Reg’s
Estimación CumplimientoBasada en ISO27002
La Certificación. Sello de Cumplimiento
ISO 14000Medio Ambiente
ISO 26000RSC
17
ISO 15504Calidad de Software
ISO 9001Calidad
ISO 18000Comunicaciones
ISO 20000ITIL
ISO 31000Riesgos
BS/ISO 25999PCN
ISO 27001, 2, 3, 4SGSI
ENFOQUE A PROCESOS, HERRAMIENTAS Y ENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE RIESGOSGESTIÓN DE RIESGOS
19
ENFOQUE A PROCESOS, HERRAMIENTAS Y ENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE RIESGOSGESTIÓN DE RIESGOS
20
SE ALINIEN LOS IMPACTOS EN BUSCA DE EFICIENCIASE ALINIEN LOS IMPACTOS EN BUSCA DE EFICIENCIA
TECNOLÓGICO Y DE TECNOLÓGICO Y DE INFRAESTRUCTURASINFRAESTRUCTURAS
23
24
E IMPACTEN LO MENOS POSIBLE EN EL E IMPACTEN LO MENOS POSIBLE EN EL ÁÁMBITOMBITO
HUMANO EN LAS PERSONAS QUE OPERAN HUMANO EN LAS PERSONAS QUE OPERAN PROCESOS Y RECIBEN SERVICIOSPROCESOS Y RECIBEN SERVICIOS
25
CON: Proyectos, Protocolos y Planes
Cada vez más Globales e Interdependientes.
REQUIEREN VISIÓN HOLÍSTICA
26
CAOS
Evitar CAOSEvitar CAOSPARA
LIDERAZGO y COORDINACIÓN
EQUILIBRIO
MEDIDAS/CONTROLES
PASO A PASO
GESTIÓN DE RIESGOS
PARTITURA = PLAN GESTIÓN CRISIS
28
OBJETIVOS
EN DEFINITIVA BUSCAR Y GARANTIZAR
LA “CONFIANZA Y FIABILIDAD”
MEDIANTE
“El CUMPLIMIENTO”
MEDIANTE MEDIANTE
29
producto
POLÍTICAS yPOLÍTICAS y
PROTOCOLOS DEPROTOCOLOS DE
GESTIÓN Y GESTIÓN Y
RESPUESTARESPUESTA
Acciones Preparatorias
Acciones Informativas
Acciones Preventivas
Acciones Detectivas
Acciones de Respuesta
Acciones de Revisión, Seguimiento y Mejora
ÍNDICEÍNDICE
CAJA RURAL
PLANTEAMIENTOS Y PREOCUPACIONES
MEDIDAS A APLICAR Y VISIÓN RSI
EL PROYECTO PCI/DSS
CONCLUSIONES
30
LA NORMATIVA DE PCI DSS SOLO APLICA SI LOS PAN (Primary Account Number):
1. SE ALMACENAN
2. SE PROCESAN
3. SE TRANSMITEN
31
Ficha del ProyectoFicha del Proyecto
32
Fase I: Análisis PreliminarFase II: Valoración de RiesgosFase III: Programa de Cumplimiento
Fase IV: ImplementaciFase IV: Implementacióón Plan de n Plan de AcciAccióónn
Fase 0: Escaneos ASVFase V: AuditoríaFase VI: Certificación y Oficina Soporte PCI a ENTIDADES
Métricas (KPI)
Esquematización del Proyecto (Jul/2010)
33
1. Identificación Entorno (CHDM)
2. Revisión Documental
3. Implementación controles lógicos
4. Implementación controles físicos
01
1. Identificación Entorno2. Revisión documental3. Controles lógicos4. Controles físicos5. Tareas recurrentes
Ficha del Proyecto
Esquematización del Proyecto
5. Desarrollo tareas recurrentes
FechasPayment Card Industry (PCI) Data Security Standard
36
• 1 de Octubre de 2010: Las Entidades Financieras deben asegurarse de que todos los Agentes y proveedores de servicios con los que trabajen están certificados en PCI DSS
• 31 de diciembre de 2010: Fecha límite para las Entidades Adquirentes para comunicar su plan para cumplir con PCI DSS
Es importante tener en cuenta que:
a finales de Octubre de 2010 el PCI SSC ha publicado la versión2.0 de PCI DSS,
que entra en vigor en Enero de 2011.
Plan de Trabajo PCI DSS: Entidades
37
Cada Entidad debe desarrollar las siguientes tareas:
1. Identificación del alcance: Reuniones con las áreas involucradas y ubicación de operativas en donde se almacene, procese y/o transmita el PAN
2. Creación de inventario (CHDM) y flujos de comunicación (diagramas): que permitirán comprender e identificar los activos involucrados en el alcance, sus interfases, entradas y salidas de información con PAN.
3. Diferenciales de documentación: comparativa entre los soportes documentales (políticas, estándares, guías, procedimientos, etc.) con lo requerido por el estándar PCI DSS
4. Inicio de las actividades de implementación conforme con Prioritized Approach for DSS 1.2 (Documento Council agilizar Proceso)
Plan de Trabajo PCI DSS: Entidades
38
Prioritizad Approach for DSS 1.2:• Fase 1: Eliminar la información relativa a la autenticación y limitar la retención
de información
• Fase 2: Proteger el entorno (perímetro) así como las intranets y las redes wireless
• Fase 3: Aplicaciones Seguras
• Fase 4: Monitorización y control de acceso a las aplicaciones
• Fase 5: Proteger la información del titular almacenada (número de tarjeta)
• Fase 6: Todos los demás requisitos
De todo ello, se deben establecer fechas y asignar actividades. Redactarlo como un plan de trabajo y presentarlo a SERMEPA en nombre de cada Entidad.
Plan de Trabajo PCI DSS: Entidades-Comercios
39
Es responsabilidad de cada Entidad validar que sus comercios (Merchants) cumplan con los requisitos exigidos por la normativa conforme con la cantidad de transacciones anuales realizadas.
Siendo así, se deben desarrollar las siguientes actividades (por cada Entidad):
• Notificación a los comercios de la presentación de reportes (SAQ)
• Definición de fechas límite a cada comercio para la presentación de reportes
• Recepción y validación de SAQ por parte de cada Entidad (mantener un inventario de SAQs recibidos y pendientes)
De igual manera, la Entidad debe establecer un canal de comunicación con su comercio para la resolución de dudas, soporte y escalamiento en caso de problemas.
Proyecto TOKENIZACIÓN. “REQUERIMIENTO”
Para cumplir con el requerimiento 3.4, RSI ha definido una estrategia basada en tokenización:
40
Proyecto TOKENIZACIÓN. “REQUERIMIENTO”
Requerimiento 3.4. Enfocado a la protección del PAN durante el almacenamiento:
41
Proyecto TOKENIZACIÓN. “MECANISMO”
Protección del PAN mediante token:
42
EntidadesPAN Table
ID PAN PAN (t)
1 4607751234565432 4607758104705432 Clientes
In PCI DSS scope
46077581047054321
PAN (t)ID
Query
Copias de seguridad
Procesos Internos
Ficheros
Out of PCI DSS scope
Proyecto TOKENIZACIÓN. “VENTAJAS”
43
Mediante el uso de la TOKENIZACIÓN se obtienen las siguientes ventajas:
• Los datos tokenizados (obtenidos como salida de la “token database”) no son interpretados como PAN ni su PAN relacionado puede ser inferido(*), por lo tantono son afectados por el cumplimiento de PCI DSS, minimizando el alcance de cumplimiento y el riesgo de almacenamiento tanto a nivel interno como en Entidades y clientes finales, proporcionando un nivel de seguridad mayor en la transmisión y procesamiento.
• El token puede tener la misma longitud o ser parte de un PAN, con lo cual no se afecta la estructura de datos en el almacenamiento (base de datos)
• Todo ello supone gran ahorro de costes tanto de implantación como de mantenimiento y proceso posterior, al minimizar tanto el SCOPE (Alcance) como el consumo de ciclos de CPU en cifrado y descifrado de datos continuo en el tiempo.
Proyecto TOKENIZACIÓN. “RETOS”
44
Con el empleo de la TOKENIZACIÓN, nos enfrentamos a los siguientes retos:
• Un token no puede ser usado como un instrumento financiero y en términos detrazabilidad y conciliación no se tiene otro valor más que la referencia a la transacción original
• La relación entre un token y un PAN es única para el proveedor de servicios (Service Provider)
• Si alguien compromete la base de datos de tokens (token database) de forma que pueda hacer trazabilidad de transacciones, el sistema completo pierde validez.
• Un token no puede revelar información ni permitir inferir el PAN al que hace referencia
Proyecto TOKENIZACIÓN. “SCOPE”
45
Los controles de PCI DSS deben ser aplicados de forma obligatoria a todos los activos que procesen, almacenen y transmitan datos de tarjetas de pago, así como también a aquellos dispositivos que de forma directa o indirecta ofrecen servicios a dichos activos. Esto se denomina CardHolder Data Environment(CDE).
Debido a los costes asociados en tiempo, recursos, herramientas y mantenimiento de los controles de PCI DSS, cuanto mayor sea el CDE mayores serán los costes de implementación y mantenimiento de PCI DSS en la organización.
Por el contrario: si el CDE es limitado, dichos costes se minimizan, de igual forma que el riesgo asociado al PAN.
Proyecto TOKENIZACIÓN. “Gráfico SCOPE”
Firewall
543142536176
ENTIDAD
Identificación de procesos que requieren el uso de PAN en texto claro (fraude, incidencias, etc.). Serán tratados
como excepciones.
Firewall
In PCI DSS scope
PROVEEDOR SERVICIOS InformáticosAlmacenamiento de PAN cifrado en Bases de
Datos (BD2 – Oracle)
ID PAN (Cifrado) Token
1 ADE3452f$637Af$ 123456789012
2 Afteuy&3726SGFE 543142536176
3 ER5$·7ashuGRETA 534671098365
4 TRT%)?98jGtyags 435244162763778
… … …
Out of PCI DSS scope
ENTIDAD
Operativa con PAN tokenizado
Subrutinas de Tokenización / Destokenización
46
Proyecto TOKENIZACIÓN. “Estado Post-Tokenización”
47
Con la implementación de una solución de Tokenización, el alcance se reduce:
• Únicamente en operativas identificadas, justificadas y securizadas se procesa/almacena/transmite el PAN en texto claro.
• Se eliminan los repositorios de datos de PAN locales de cada Entidad
• Se aislan los activos relacionados con datos de tarjetas de pago
En promedio, el alcance de cumplimiento (activos afectados) se reduce
en un 60-75%.Riesgo: BAJO (Posterior a la implementación de controles)
Tiempo estimado de implementación: Menor conforme complejidad Entidad
Costes asociados implementación y mantenimiento: BAJO
Proyecto TOKENIZACIÓN. “Consideraciones Adicionales”
48
Se deberán tener en cuenta:
• Cifrado: el campo PAN (donde reside el PAN en texto claro en la base de datos) debe ser cifrado.
• Rutinas de recuperación: se deberán identificar procesos, servicios y aplicaciones que requieren el uso del PAN en texto claro (por ejemplo: fraude) y establecer rutinas (webservices, vistas, etc.) que permitan extraer el PAN en texto claro con un token definido.
•
• Estas rutinas deberán ser securizadas (controles de acceso, auditoría, codificación, integridad, etc.)
En caso de utilizar una herramienta de mercado para Tokenización, es posible que algunos temas como webservices, generación de tokens, etc. estén ya resueltos
Proyecto TOKENIZACIÓN. “Implantación en RSI”
49
RSI (Rural Servicios Informáticos), siguiendo con la línea de proveer confianza a Entidades y clientes en transacciones con datos de tarjetas de pago, está empezando a definir una serie de actividades para el uso de tokenización, con el fin de minimizar el ámbito de cumplimiento de PCI DSS y reducir el riesgo de compromiso de datos durante la transmisión y procesamiento.
Para ello, se han definido una serie de fases de implementación que conllevan ciertos cambios en la estructura y procesamiento de información de tarjetas de pago.
Datos en uso
Altas Nuevas
HistóricosDefinición
Proyecto TOKENIZACIÓN. “Implantación en RSI”
Datos en uso
Altas Nuevas
HistóricosDefinición
50
En proceso implementación: una solución de Tokenización. Se están analizando dos opciones:
• Adquisición de una solución comercial que provea cifrado y tokenización, así como las interfaces necesarias y conectores para procesos de tokenización/des-tokenización
• Desarrollo (MMPP) para proceder con cambios en la base de datos central que contemple cifrado del PAN y rutinas de tokenización/des-tokenización
Ambas soluciones deben cumplir de forma íntegra con los preceptos fijados por el PCI SSC respecto: tokenización (generación, asignación, transmisión y almacenamiento)
Proyecto TOKENIZACIÓN. “Implantación en RSI”
Datos en uso
Altas Nuevas
HistóricosDefinición
La idea detrás del proyecto es la siguiente:
Entendiendo que un PAN tokenizado no es un dato afectado por PCI DSS, los controles dejan de ser obligatorios a ser recomendados. Así mismo – y a pesar de ya no ser obligatorio – se pretende continuar con las rutinas de enmascaramiento.
51
Proyecto TOKENIZACIÓN. “Implantación en RSI”
Datos en uso
Altas Nuevas
HistóricosDefinición
52
Dentro del proceso de implementación progresiva, se empezará con las “altas nuevas”. A partir de una fecha corte, TODAS las nuevas tarjetas en el momento de su generación tendrán asociado un token que se almacenará conjuntamente con el resto de información en la base de datos.
Este proceso aplicará tanto a altas nuevas online y masivas (batch).
En el momento en que se inicie este proceso, todas las aplicaciones, programas batch, procesos y subprocesos deberán estar en la capacidad de recibir y procesar tokens y PAN de forma indistinta hasta que se finalice la migración.
Proyecto TOKENIZACIÓN. “Implantación en RSI”
Datos en uso
Altas Nuevas
HistóricosDefinición
53
En cuanto a “datos en uso” (es decir: el parque de tarjetas de pago que se encuentra actualmente válido previo al proceso de “altas nuevas”), se procederá con una migración progresiva y paralela, generando token a cada PAN almacenado.
Proyecto TOKENIZACIÓN. “Implantación en RSI”
Datos en uso
Altas Nuevas
HistóricosDefinición
54
Para “históricos”, se procederá de dos formas:
• Se definirá y revisará una “política de retención” para establecer umbrales máximos de almacenamiento histórico de datos de tarjetas conforme con las necesidades legales y de negocio. Cualquier dato fuera de este umbral de retención será eliminado de forma segura.
• Se procederá con la generación de tokens asociados a PAN en históricos (en bases de datos y copias de respaldo) hasta donde sea posible. Esto para permitir la interacción de herramientas de consulta y estadísticas (data warehousing) en procesos en los cuales se requiere el PAN.
Proyecto OFICINA PCI. “Principales Actividades”
55
La Oficina Técnica de PCI DSS de RSI (Rural Servicios Informáticos) es un servicio que RSI pone a disposición de Entidades, cuyo funcionamiento es similar a la Oficina de LOPD.
Algunas de las funciones que la Oficina de PCI DSS ofrecerá a sus asociados son:
• Ayuda (técnica y documental) en el proceso de implantación
• Consultoría y diagnóstico de cumplimiento previo y por fases
• Desarrollo de formularios para obtención de información interna
• Soporte en la redacción de cláusulas relacionadas con PCI DSS
• Revisiones y auditorías periódicas
• Acceso a plantillas de documentación, formularios, diagramas, etc.
• Soporte en la evaluación de alternativas técnicas de implementación.
Entre otros.
DEFINICIÓN PLAN DE ACCIÓN ENTIDADESFASE II: Análisis de estado de cumplimiento
FASE III: Priorización de Acciones Correctivas
57
ÍNDICEÍNDICE
CAJA RURAL
PLANTEAMIENTOS Y PREOCUPACIONES
MEDIDAS A APLICAR Y VISIÓN RSI
EL PROYECTO PCI/DSS
CONCLUSIONES
59
CONCLUSIONES CONCLUSIONES Acciones a TomarAnte el Fraude Globalizado y Organizado solo cabe una Respuesta:
Globalizar y Coordinar Acciones entre todos:Council, QSA, ISP, Entidades, Comercios
Autoregular Mejores Prácticas en Materia de Seguridad y Respuesta y PCI/DSS es una MUY BUENA solución para armonizar Medidas de Seguridad en TARJETAS, junto con ISO27001 y LOPD, entre otras normativas y Legislaciones.
Informar, Formar y Concienciarnos de que la Seguridad es parte de nuestra Vida y de los Procesos. Todo el Personal involucrado desde ámbito Técnico hasta en el propio Comercio debe estar alineado con el Cumplimiento. La CULTURA es mejor que la mayoría de las Medidas.
Compartir Información y Definir Flujos y Circuitos de la misma entre Grupos de Trabajo y Mejores Prácticas en Entidades, ISP’s, Comercios y Usuarios Finales
Medir el Progreso de las Acciones y Generar Indicadores y Estándares de Cumplimiento y del seguimiento y evolución del Fraude
Evitar la Impunidad de Quienes cometen Fraude coordinando con CFSE y Autonómicos.
Elegir las Soluciones más Sencillas y menos Costosas como TOKENIZACIÓN que aportan beneficios en el Cumplimiento y en la Adopción del mismo en las Entidades, ISP’s y Comercios.
60
CONCLUSIONES CONCLUSIONES
El Fraude siempre ha estado ahí y permanecerá.…
Como el Mundo existe, el Fraude existe
61
CONCLUSIONES CONCLUSIONES
62
Como el Mundo Digital es Global, el FraudeDigital cada vez es más Global
CONCLUSIONES CONCLUSIONES
La Seguridad Total es un Mito;no puedealcanzarse a un coste razonable. El 100%
de protección no existe.
63
CONCLUSIONES CONCLUSIONES
… pero nosotros debemos invertir en la lucha contra el Fraude, por encima de
todo, para prevenirlo
64
CONCLUSIONES CONCLUSIONES
SSííndromendrome de Cassandra:de Cassandra: tu predices el futuro y la evolución de los ataques de Fraude, tu inviertes más para
prevenirlos, por lo que tienes menos fraude que otros, pero eso dificulta justificar tu presupuesto
65
CONCLUSIONES CONCLUSIONES
Con una Plataforma Común de TI (Core Banking y otras Aplicaciones) teniendo una
Seguridad robusta es más sencillo y más eficiente en costes
66
CONCLUSIONES CONCLUSIONES Acciones a Tomar
69
INVERTIR en SEGURIDAD Obtener el BENEFICIO depoder CONFIAR en las AUTOPISTAS de la
INFORMACIÓN y en las REDES para el DESARROLLO y SOSTENIBILIDAD de la SOCIEDAD de la INFORMACIÓN DIGITAL Y
EL CONOCIMIENTO...
CONCLUSIONES CONCLUSIONES Acciones a Tomar
70
“COOPERAR, COORDINAR,
COMUNICAR,COLABORAR”
IDEAS + INTELIGENCIA + INVESTIGACIÓN = INNOVACIÓN
INNOVACIÓN + DESARROLLO = EVOLUCIÓN A FUTURO
INVENTARIO DE ACTIVOSConclusiones. Las Ventajas Timón Gobernanza. Disponer del PLAN.
1. Superar los posibles Impactos Sistémicos o no, sobre: las Infraestructuras, Servicios y Personas Críticas del Sector Público y Privado.
2. Estabilidad y Confianza de Mercados3. Alineamiento de Buenas Prácticas4. Estabilidad Social ante Eventos de Gran Magnitud (Paz Social)5. Capacidad de Respuesta y Remediación6. Vuelta a la normalidad en menor Tiempo.7. Sostenibilidad Global8. Protección ante Responsabilidades9. Minimizar Costes10. Maximizar Recuperación de Personal Afectado y Continuidad de Servicios11. Superar Crisis12. Trabajar bajo una Metodología y Política Definida y Viva. Mejora (PDCA)13. Crear Cultura de Continuidad y Resiliencia.14. Aumento de la Confianza de los Clientes y Ciudadanos.15. Mayor Progreso
En definitiva, estar preparados para los retos que la nueva Sociedad Digital nos va deparando y demandando ante los Riesgos existentes y futuros.
71
TENDENCIAS Y EVOLUCIÓN Objetivo Final. SEGURIDAD INTEGRAL
“LA SEGURIDAD, AL IGUAL QUE LA CALIDAD, Y EN GENERAL LAS DISCIPLINAS HORIZONTALES DE LA COMPAÑÍA, ES COSA DE TODOS Y EMPIEZAN POR UNO MISMO. NO SE PUEDEN VER DE MANERA AISLADA, SINO COMO CONCEPTO GLOBAL Y DENTRO
DE LOS PROCESOS DEL NEGOCIO”Pedro P. López
72
ENFOQUESSatisfacciónFiabilidad
Mejora Continua
CausaRaíz
ProcesosY
Componentes
< Coste
PREVENCIÓN
CalidadAuditorias
Control Interno
Gestión de Seguridad
Arquitectura de Seguridad
Medidas Seguridad y ControlesInformación
Canales Y
DispositivosProcesos
Infraestructuras Personas
73
Detección Temprana y Respuesta
MODELO DE SEGURIDAD (MIGS)Marco de Referencia y Metodología a Seguir.
–Objetivos de SeguridadObjetivos de SeguridadObjetivos de Seguridad
Políticas / Estrategias
Normativas
Procedimientos
Normativas
Procedimientos
Para lograr los
objetivos
Control Interno
Negocio Legales Otros
Auditoria
•TECNICOS•NO TECNICOS
Nivel de Riesgo Nivel de SeguridadContinuidad del negocio
Aplicando ESTANDARES, para obtener:
• Calidad
• Fiabilidad
Del Método y de la Información
Consideraciones / Requisitos
Marco
Operativo
Funciones de Control
74
Muchas Gracias
Pedro Pablo López BernalGerente Infraestructura Seguridad, Auditoria y
Normalización R.S.I. (Grupo Caja Rural)[email protected]
77