Material de la ponencia de Pedro Pablo LÓPEZ BERNAL Gerente Compliance, Privacidad y Continuidad Global, RURAL SERVICIOS INFORMÁTICOS (RSI) en la Jornada sobre Gestión de Emergencias celebrada el 28 de marzo de 2014 en AENOR (Madrid).
2. COOPERACIÓN Y COORDINACIÓN EN
EMERGENCIAS
Seguridad Integral y Continuidad Global
Normas UNE/ISO/SECTORIALES
Mesa Empresas Certificadas (RSI)
“Una Apuesta Global de Cooperación…
…desde la Experiencia”
28 de marzo 2014
Pedro_pablo_lopez_rsi@cajarural.com (GCPC)
“ +25 Años: Servicios Financieros en Cloud”
5. que nos conozcas un poco más ...
RSI
• Constitución en 1986
• Adquisición de solución bancaria en 1987
• Incorporación de Entidades hasta 1999
• Diseño y Desarrollo Nueva Plataforma
• Core Bancario IRIS / ABSIDE
• Incremento de la oferta de servicios relacionados.
• Lanzamiento Internacional en 2011 (NESSA GBS)
• Proyectos Internacionales en 2014.
6. que nos conozcas un poco más ...
RSI
Más de 5 Mil Millones transacciones
procesadas en 2013
Hablamos de HECHOS, no de
conceptos
Entendemos QUÉ supone operar
las TIC de una Entidad Financiera.
Los Números nos delatan
8. 8
que nos conozcas un poco más ...
Un poco de visión retrospectiva (+25 años)...
Evolución de las Soluciones y Servicios a Entidades ...
1987
valor
Core bancario
Centro de
Información
Banca
Electrónica /
Telefónica
Sistemas de
Información de
Gestión (SIG)
Sistemas
CRM
Sistemas de
Movilidad
Sistemas
GED
Servicios
de Valor
1992 2000 2001 2002 2003 2005 2007 2008 2012
tiempo
Medios de
Pago
1986
S
En busca de la
Sostenebilidad
Desde la Experiencia …
9. que nos conozcas un poco más ...
RSI hacia la Sostenibilidad
+ 25 años de trayectoria: 1986 - 2014
Tenemos Visión a Largo Plazo de las TIC’s
y de la Relación con Clientes, Empleados, ...
Estamos para Quedarnos porque somos Resilientes
Disponemos de Planes que nos ayudan a Prevenir Sucesos
10. 10
servicios
soluciones
Soluciones y Servicios ...
Ayudamos con Amplísima oferta de ...
... nuestras soluciones y servicios dan respuesta a todas las necesidades...
CORE
BANKING
GESTIÓN
COMERCIAL
CONTROL
DE GESTIÓN
RIESGOS
SOPORTE A
LA GESTIÓN
CANALES
Áreas
Técnicas
ORGANISMOS
11. ... desde 2007 a 2014 hemos alcanzado Reconocimientos ...
Nuestro valor diferencial ...
Somos una referencia en el mercado ...
2007 - CMMi – Ciclo Vida Software
2010 - SGSI - ISO27001 – Procesos Negocio / Servicio
2010 - BGTI – ISO38500 – Procesos Gobierno / Soporte
2012 - PCI/DSS – Council PCI – Procesos Tarjetas Pago RSI
2013 – SGCN y SGEM - CONTINUIDAD y EMERGENCIAS
Bajo un Modelo de Madurez, Mejora e Innovación ...
Global, Integral e Integrado en busca de:
Calidad, Optimización y camino a la Excelencia.
17. CITAS
perabilidad
Una apuesta… Interoperabilidad
“Ningún hombre es una isla, algo completo en sí mismo; todo hombre es un
fragmento del continente, una parte de un conjunto.” Donne John
Moraleja: LAS PARTES HACEN EL TODO y EL TODO NO ES TAL SIN LAS PARTES
“Si buscas resultados distintos, no hagas siempre lo mismo.” Albert Einstein
Moraleja: EL MOTOR DEL CAMBIO ES EL PROPIO CAMBIO y LAS IDEAS
“Internet es positivo porque nos une, nos conecta, incluso a las personas
mayores, al estar conectado nos prolonga la vida y no solamente añade años
a la vida, sino vida a los años.” Luis Rojas Marcos
Moraleja: INTEROPERAR NOS APORTA VALOR Y EFICIENCIA, REDUCE
COSTES Y MEJORA EL “TIME TO MARKET” y FACILITA...
Esencial en CONTINUIDAD y EMERGENCIAS
18. 18
PLANTEAMIENTOS. Lo que Importa
¿Otra Visión…? Desde la Experiencia
IMPACTOS En el NEGOCIO (BIA).
Servicios NO Sostenibles = COSTES
IMPACTOS En los CLIENTES (IMAGEN)
DES-Confianza = REPUTACIÓN
19. 19
PLANTEAMIENTOS. Elementos
IMPACTOS : ¿Causados por…?
PROCESOS. Mal gestionados, mal definidos, mal operados, sin documentar,
dependientes de personas críticas, ...
TECNOLOGÍAS. Mal implantadas, no adecuadas, no monitorizadas, poco
flexibles, …
INFRAESTRUCTURAS. Sin reparar en su importancia, no protegidas,
obsoletas o sin adecuado mantenimiento, …
INFORMACIÓN. No clasificada, no inventario registros críticos, sin conocer los
flujos que sigue, mal ubicada, con medidas de seguridad deficientes, …
PERSONAS. SON CLAVE. No Concienciadas, No Informadas, No Formadas,
No Capacitadas, No Entrenadas, No Coordinadas, … SIN CULTURA
20. 20
Sociedad Global. VALORES en Cambio.
Avances Tecnológicos. REDES GLOBALES
1
2
Nuevos Mercados Online y Negocios CLOUD y NUEVOS CANALES
Ruptura Fronteras en CIBERESPACIO. >RIESGOS = CIBERATAQUES
3
4
Necesidad de
CONFIANZA
Incremento de
CONTROL
Mitigación de
RIESGOS
PLANTEAMIENTOS. Nuevos Paradigmas
5 Nuevos EVENTOS Gran Impacto, poco Probables, más Frecuentes…
RESILIENCIA DEL NEGOCIO, SERVICIOS,
INFRAESTRUCTURAS, TECNOLOGIAS,
INFORMACION, PERSONAS
21. 21
PLANTEAMIENTOS. Ley de Mínimos
NO SOLO… Principios Básicos del Proceso
FIABILIDAD
EN LOS SERVICIOS,
INFRAESTRUCTURAS, TECNOLOGIAS, INFORMACIÓN Y PERSONAS
PROTEGER (Activos con
Medidas Seguridad y
Controles)
OPTIMIZAR
(Analizar y Auditar
Riesgos, Controles,
Calidad Activos y Componentes)
SIMPLIFICAR (Modelar
Eficientemente Procesos)
NO BASTA SOLO… UN PLAN DE CONTINUIDAD
PREPARADOS PARA GESTIONAR EMERGENCIAS - COOPERACIÓN
22. 22
PLANTEAMIENTOS. Preparándose
ES NECESARIO… Sentido Común a Raudales y Lenguaje
Común.
ES OBLIGATORIO… Nuestra Matriz de Relaciones con Partes
Interesadas (TODAS y Priorizadas)
ES ACONSEJABLE… Definir la Continuidad como un Proceso y
asignar Responsables
ES VITAL… Definir un Plan de Comunicación y un Protocolo de
Respuesta ante Sucesos (Incidentes)
ES BUENA PRÁCTICA… Crear CULTURA mediante la
Concienciación, Divulgación, Formación, Entrenamiento, …
23. 23
PLANTEAMIENTOS. Sintonizándose
GLOSARIO y TERMINOLOGÍA … Las Legislaciones y
Normativas como:Ley y RD de II.CC., Ley Seguridad Privada,
LOPD, ISO22301, ISO27xxx, ISO31000, ISO38500, ISO20000,
ISO15504, ISO9001, ISO22320, … Nos ayudan.
CONCEPTOS… Contingencia, Continuidad, Resiliencia,
Sostenibilidad, Fiabilidad, Transformación Adaptativa,
Evolución… no son lo mismo y todos se relacionan entre sí.
GRADUAR SUCESOS Y ESCALADO… En el Protocolo de
Respuesta desde un Evento-Alarma-Alerta-Incidencia-Incidente-
Problema-Crisis-Emergencia-Catástrofe-Caos-Extinción.
DEFINIR MENSAJES… En un Plan de Comunicación y cruzado
con Matriz de Actores e Impactos,
25. 25
PREOCUPACIONES a TODO NIVEL
Aspectos Organizativos y Estratégicos
Aspectos Gestión y Tácticos
Aspectos Técnicos y Operativos
Aspectos Globales y Comunicación
Aspectos Culturales y Capacitación
27. CAMBIOS TECNOLÓGICOS y USOS CONSTANTES
27
NUEVOS CANALES Y DISPOSITIVOS
DESCARGAS APPS STORESLINKS
DATOS EN CLOUD
DATOS SENSIBLES
28. EVENTOS A TODOS LOS NIVELES
28
Sociedad
Educación
Redes Sociales
Impactos
Buscadores
Nuevos Retos
ATAQUES SISTEMÁTICOS Y
PERSONALIZADOS
“El impacto del Cibercrimen en
las Empresas”
“Dispositivos Móviles han
aumentado los Incidentes de
Seguridad en las Empresas”
29. 29
Cubrir Riesgos y Amenazas
Phishing y Usurpación
Identidad Multiples Nuevos Vectores Smarphones
AMENAZAS QUE EVOLUCIONAN Y SE PERSONALIZAN
Redes Inalámbricas
30. 30
AMENAZAS. IMBRICADAS Y RELACIONADAS.
¡INDUSTRIA DEL MAL! - GLOBALIZADA
SUCESOS de TODO TIPO - Naturales o no
31. 31
TENDENCIAS. TROYANOS… ¡LAS HERRAMIENTAS PARA
CIBER-DEFRAUDAR EN BANCA ONLINE Y SMARPHONES!
¡O PARA COMENZAR UNA CIBER-GUERRA!
PENETRACIÓN TROYANOS
BANCARIOS (G Data)
Desde 2006 detectando un total de 2,57 millones de
nuevos tipos de malware en 2011, un 23% más que el año
anterior. La amenaza más repetida serían los troyanos,
programas espía y adware, confirmando que el robo de
información personal y la publicidad no deseada (G Data)
Synowall, Zeus, Stuxtnet, Flame,
las nuevas armas…
35. 35
INVENTARIO DE ACTIVOS
CICLO DE VIDA DE Continuidad. SGCN + SGEM
1. Análisis de Contexto del Negocio. Viabilidad, Compliance, ROI, Ubicaciones,...
2. Evaluación de Riesgos y BIA. Escenarios y Contramedidas. (Prevención)
3. Matriz de Actores. Con Flujos y Relaciones. Procesos, Servicios, Activos y Canales
4. Implantación de Controles y Salvaguardas. Plan de Seguridad Integral en
Infraestructuras, Personas, Activos, Información, …
5. Operación y Protocolo de Actuación, Respuesta y Coordinación ante Sucesos
6. Plan de Comunicación y Mensajes Prestablecidos. Análisis de Evolución y
Tendencia de a Imagen y Reputación. Portavoces.
7. Comité de Crisis y Emergencias. Liderado por Experto y Multidisciplinar.
8. Pruebas Periódicas de Controles, Protocolos, Planes (SGCN alineado con SGSI,
SGTSI, … bajo el Gobierno TIC y Gobierno Corporativo de la Organización)
9. Auditoria y Benchmarc de Mercado contra Mejores Prácticas (Compliance)
10. Mejora Continua, Innovación, Adaptación y Eficiencia
36. 36
MEDIDAS A APLICAR
Medidas Globales (Ámbito Estratégico)
LEGALES
DIVULGATIVAS
INFORMATIVAS
FORMATIVAS
ORGANIZATIVAS
OPERATIVAS
TÉCNICAS
CONTROL
SEGUIMIENTO Y ANÁLISIS
AUDITORÍA
37. 37
MEDIDAS A APLICAR
Medidas Globales (Ámbito Tiempo)
Medidas PREVENTIVAS:
Medidas DETECTIVAS:
Medidas de RESPUESTA
Medidas de INVESTIGACIÓN
Medidas FORENSES
38. 38
CAOS
Evitar CAOS
PARTIPACIÓN CONJUNTA SEGURIDAD FISICA-
CORPORATIVA, E INFORMACIÓN - LÓGICA
LIDERAZGO y
COORDINACIÓN
EQUILIBRIO
MEDIDAS/CONTROLES
PASO A PASO
GESTIÓN DE RIESGOS
PARTITURA = PLAN GESTIÓN
40. 40
OBJETIVOS
EN DEFINITIVA BUSCAR Y GARANTIZAR
LA “CONFIANZA Y FIABILIDAD”
DEL NEGOCIO, DE LOS SERVICIOS, DE LAS
INFRAESTRUCTURAS, SUMINISTROS, TECNOLOGIAS,
INFORMACIÓN y PERSONAS.
DE NUESTRO ECOSISTEMA
(SOCIEDAD).....
41. 41
Los riesgos siempre han estado ahí, permanecerán y
crecerán exponencialmente a la complejidad.…
Como el Mundo existe, los Riesgos existen
CONCLUSIONES
42. 42
Como el Mundo Digital es Global, el Riesgo
cada vez es más Global
CONCLUSIONES
43. 43
La Seguridad Total es un Mito;no puede
alcanzarse a un coste razonable.
El 100% de protección no existe.
CONCLUSIONES
44. 44
… pero nosotros debemos invertir en la gestionar el
Riesgo, por encima de todo, para prevenirlo
y garantizar en todo lo posible Superar las Crisis
…SER RESILIENTES…
CONCLUSIONES
45. 45
Con Plataformas Comunes, con Colaboración,
con una Gestión de Gobierno TIC robusta
Es más sencillo y más Eficiente en Costes
CONCLUSIONES
46. 46
CONCLUSIONES
Acciones a Tomar
INVERTIR en SEGURIDAD
Obtener el BENEFICIO de
poder CONFIAR en las AUTOPISTAS de la
INFORMACIÓN y en las REDES para
el DESARROLLO y SOSTENIBILIDAD de
la SOCIEDAD de la INFORMACIÓN DIGITAL y CONOCIMIENTO
MEDIANTE EL GOBIERNO TIC...
MEDIANTE ESQUEMA NACIONAL DE SEGURIDAD...
MEDIANTE PROTECCIÓN II.CC. ...
UNA BUENA GESTIÓN EMERGENCIAS
GARANTIZANDO LA CONTINUIDAD...
47. 47
COLABORACION y CULTURA para un mejor Gobierno TIC es un
“deber”.
Una Oportunidad para TOD@S para Garantizar una Mejor
Continuidad de nuestro Negocio y Servicios
CONCLUSIONES
48. 48
CONCLUSIONES
Acciones a Tomar: REGLA 5 “C’s”
“COOPERAR,
COORDINAR,
COMUNICAR,
COLABORAR,
___________________________COMPARTIR”
IDEAS + INTELIGENCIA + INVESTIGACIÓN = INNOVACIÓN
INNOVACIÓN + DESARROLLO = EVOLUCIÓN A FUTURO
SOSTENIBILIDAD Y TRANSFORMACIÓN ADAPTATIVA
49. 49
TENDENCIAS Y EVOLUCIÓN
Objetivo Final. GESTIÓN GLOBAL (INTEGRAL E INTEGRADA)
“LA SEGURIDAD vs CONTINUIDAD GLOBAL y GESTIÓN DE
EMERGENCIAS, ES COSA DE TODOS Y EMPIEZAN POR UNO
MISMO.
NO SE PUEDEN VER DE MANERA AISLADA, SINO COMO
CONCEPTO GLOBAL Y DENTRO DE LOS PROCESOS DEL NEGOCIO
Y SERVICIOS”
PPLB
52. 52
PARTES INTERESADAS
Ciudadanos
Clientes
Distribuidores
Accionistas
Inversores
Propietarios
Aseguradoras
Administración
Org. Reguladores
Serv. De
recuperación
Alta Gerencia
Responsables de la implementación
del SGCN y SGEM y de la POLÍTICA
Responsables de la implantación y
el mantenimiento del SGCN y SGEM
Responsables del mantener los
procedimientos de Continuidad y Emergencias
Propietarios de los procedimientos
de Continuidad y Emergencias
Responsables de la Invocación
Portavoces
Equipos de Respuesta
Otros Empleados Proveedores
Competidores
Medios de
comunicación
Comentaristas
Grupos de
empresas
Vecinos
Grupos de presión
Servicios
de emergencia
Otras agencias
Servicios
de transporte
Familiares
de los empleados
53. 53
PROPUESTAS Acciones a Analizar:
COOPERAR: LANZAMIENTO DE UN MODELO GLOBAL,
COORDINAR: ACCIONES y ACTORES PARA HACERLO,
COMUNICAR: DIFUNDIR OBJETIVOS y PARTICIPACIÓN,
COLABORAR: CONSOLIDAR VEHÍCULO ¿OBSERVATORIO?
COMPARTIR: ESTUDIOS E INFORMACIÓN
IDEAS + INTELIGENCIA + INVESTIGACIÓN = INNOVACIÓN
INNOVACIÓN + DESARROLLO = EVOLUCIÓN A FUTURO
SOSTENIBILIDAD Y TRANSFORMACIÓN ADAPTATIVA
54. 54
MODELO RESILIENCIA SOCIAL
AMENAZAS GLOBALES AL ECOSISTEMA
ANÁLISIS INTEGRAL DEL RIESGO 360º
CONTROLES PREVENTIVOS
MEDIDAS SEGURIDAD Y MANTENIMIENTO
PLANES CONTINUIDAD Y RESPUESTA
GESTIÓN DE LA CRISIS Y COMUNICACIÓN
GESTIÓN DE LA EMERGENCIA
COOPERACIÓN Y COLABORACIÓN PÚBLICO-PRIVADA
ENTRENAMIENTO Y CAPACITACIÓN DE LAS PERSONAS
ACCESO OBICUO E INTERCAMBIO INFORMACIÓN
TOMA DE DECISIONES
LECCIONES APRENDIDAS
55. 55
UN PASO MÁS… COOPERACIÓN PÚBLICO-PRIVADA
JornadaAyuntamiento Tres Cantos 7/3/2014
Cooperación y Coordinación en Emergencias. Seguridad Global vs Continuidad Global
57. 57
• 1. Qué cambios significativos aporta la nueva ISO22301 respecto a la BS25999
(PNE71599) y resto como ISO27031?
• 2. Qué tipo de escenarios conforme al cuadro de Continuam (César) abarca? 1, 1 y 2.
3. La Matriz de Actores, los Protocolos de Comunicación y el de Respuesta
Sucesos (Incidentes) parecen esenciales en un Plan de Continuidad?
• 4. Disponer de un SGCN (Plan de Continuidad) es Preventivo. Basta solo con eso? Y
si la realidad de los Sucesos supera nuestras previsiones?
• 5. La Cultura de la Organización, del Comité de Crisis y su Entrenamiento y
• Capacitación es esencial?
• 6. El Sentido Común y ser Resiliente, a la vez que Analítico y un poco Intrépido puede
ayudar a superar sucesos inesperados o que desborden las previsiones? Digamos la
mezcla de Cultura Anglosajona con la Latina.
• 7.La Resiliencia es consecuencia de estar bien preparado para la Continuidad ante
diferentes Sucesos. La ISO22320 de Respuesta a Emergencias es una ayuda?
• 8. Y que es la Sostebilidad? Ser Resiliente y Fiable en el Tiempo. Qué opina?
• 9. Volver a la Normalidad es siempre posible o más bien se superan las crisis?
• 10. Se está consolidando al Figura del Gestor de Continuidad de Negocio y
Emergencias?
Preguntas a la Mesa
58. SEGURIDAD Y CONTINUIDAD GLOBAL ANTE UN MUNDO GLOBAL
Evolución . Objetivo Final.
INTEROPERABILIDAD: ESTÁNDARES, NORMAS, LEYES GLOBALES
SERVICIOS
CONFIABLES,
SOSTENIBLES,
MODULARES,
A MEDIDA
PROCESOS
EFICIENTES
EN COSTES
Y CON
CALIDAD
59. 59
Pedro Pablo López Bernal
Gerente Compliance (Seguridad), Privacidad y Continuidad Global R.S.I.
pedro_pablo_lopez_rsi@cajarural.com
Muchas Gracias
60. 60
el valor de
la innovación.
“Rural Servicios Informáticos (RSI): una propuesta de valor”
“+ 25 Años: Servicios Financieros en Cloud”