1

RSI

CONTINUIDAD GLOBAL DEL NEGOCIO

Congreso DINTEL :

- CONTINUIDAD DE NEGOCIO 2012 -

“Aspectos Legales en Continuidad de Negocio”

26 de septiembre

Pedro_pablo_lopez_rsi@cajarural.com

“25 Años: Servicios Financieros en Cloud”

3

CAJA RURAL

PLANTEAMIENTOS

PREOCUPACIONES

TENDENCIAS Y CONCLUSIONES

ÍNDICE

4

ENTIDADES / CLIENTES

Outsourcing TI

Seguros

Banco Back-Office

Principales COMPAÑÍAS (3)

CAJA RURAL

ESTRUCTURA

que nos conozcas un poco más ...

RSI • Constitución en 1986

• Adquisición de solución bancaria en 1987.

• Incorporación de Entidades hasta 1999.

• Diseño y desarrollo de una nueva plataforma

(Core Bancario Iris) .

• Incremento de la oferta de servicios relacionados.

• Lanzamiento Internacional en 2011 (Nessa GBS).

que nos conozcas un poco más ...

RSI

Más de 5 Mil Millones transacciones

procesadas en 2011

Hablamos de HECHOS, no de

conceptos

Entendemos QUÉ supone operar

las TIC de una Entidad Financiera.

Los Números nos delatan

7

CLIENTES CUENTAS CRÉDITOSDEPÓSITOS

RENTA FIJATARJETAS

TPV’S BANCA ONLINE CAJEROS TERMINALES TRANSAC.DIA

7.429.785 5.040.728 855.700 869.882 3.069.448

75.118 826.724 3.686 14.525 13.200.000

VOLUMENES NEGOCIO

CAJA RURAL

8

que nos conozcas un poco más ...

Un poco de visión retrospectiva (25 años)...

Evolución de las Soluciones y Servicios a Entidades ...

1987

valo

r

Core bancario

Centro de

Información

Banca

Electrónica /

Telefónica

Sistemas de

Información de

Gestión (SIG)

Sistemas

CRM

Sistemas de

Movilidad

Sistemas

GED

Servicios

de Valor

1992 2000 2001 2002 2003 2005 2007 2008 2012

tiempo

Medios de

Pago

1986

S

En busca de la

Sostenebilidad

Desde la Experiencia …

que nos conozcas un poco más ...

RSI hacia la Sostenibilidad

25 años de trayectoria: 1987- 2012

Tenemos Visión a Largo Plazo de las TIC’s

y de la Relación con Clientes, Empleados, ...

Estamos para Quedarnos porque somos Resilientes

Disponemos de Planes que nos ayudan a Prevenir Sucesos

10

servicios

soluciones

Soluciones y Servicios ...

Ayudamos con Amplísima oferta de ...

... nuestras soluciones y servicios dan respuesta a todas las necesidades...

COREBANKING

GESTIÓN

COMERCIAL

CONTROL

DE GESTIÓN

RIESGOS

SOPORTE A

LA GESTIÓN

CANALES

Áreas

Funcionales

ORGANISMOS

... desde 2007 a 2012 hemos alcanzado Reconocimientos ...

Nuestro valor diferencial ...

Somos una referencia en el mercado ...

2007 - CMMi – Ciclo Vida Software

2010 - SGSI - ISO27001 – Procesos Negocio / Servicio

2010 - BGTI – ISO38500 – Procesos Gobierno / Soporte

2012 - PCI/DSS – Council PCI – Procesos Tarjetas Pago

2012/13 - … Trabajamos en CONTINUIDAD y …

Bajo un Modelo de Madurez, Mejora e Innovación ...

Global, Integral e Integrado en busca de:

Calidad, Optimización y camino a la Excelencia.

12

CAJA RURAL

PLANTEAMIENTOS

PREOCUPACIONES

TENDENCIAS Y CONCLUSIONES

ÍNDICE

Algunas Citas

Interoperabilidad

Una apuesta… Interoperabilidad

“Ningún hombre es una isla, algo completo en sí mismo; todo hombre es un

fragmento del continente, una parte de un conjunto.” Donne John

Moraleja: LAS PARTES HACEN EL TODO y EL TODO NO ES TAL

SIN LAS PARTES

“Si buscas resultados distintos, no hagas siempre lo mismo.” Albert Einstein

Moraleja: EL MOTOR DEL CAMBIO ES EL PROPIO CAMBIO y LAS

IDEAS

“Internet es positivo porque nos une, nos conecta, incluso a las personas

mayores, al estar conectado nos prolonga la vida y no solamente añade años

a la vida, sino vida a los años.” Luis Rojas Marcos

Moraleja: INTEROPERAR NOS APORTA VALOR Y EFICIENCIA,

REDUCE COSTES Y MEJORA EL “TIME TO MARKET” y FACILITA...

En estos Tiempos MEJOR QUE MEJOR. Esencial en CONTINUIDAD

14

PLANTEAMIENTOS. Lo que Importa

¿Otra Visión…? Desde la Experiencia

IMPACTOS En el NEGOCIO (BIA).

Servicios NO Sostenibles = COSTES

IMPACTOS En los CLIENTES (IMAGEN)

DES-Confianza = REPUTACIÓN

15

PLANTEAMIENTOS. Elementos

IMPACTOS : ¿Causados por…?

PROCESOS. Mal gestionados, mal definidos, mal operados, sin documentar,

dependientes de personas críticas, ...

TECNOLOGÍAS. Mal implantadas, no adecuadas, no monitorizadas, poco

flexibles, …

INFRAESTRUCTURAS. Sin reparar en su importancia, no protegidas,

obsoletas o sin adecuado mantenimiento, …

INFORMACIÓN. No clasificada, no inventario registros críticos, sin conocer los

flujos que sigue, mal ubicada, con medidas de seguridad deficientes, …

PERSONAS. SON CLAVE. No Concienciadas, No Informadas, No Formadas,

No Capacitadas, No Entrenadas, No Coordinadas, … SIN CULTURA

16

Sociedad Global. VALORES en Cambio.

Avances Tecnológicos. REDES GLOBALES

1

2

Nuevos Mercados Online y Negocios CLOUD y NUEVOS CANALES

Ruptura Fronteras en CIBERESPACIO. >RIESGOS = CIBERATAQUES

3

4

Necesidad de

CONFIANZA

Incremento de

CONTROL

Mitigación de

RIESGOS

PLANTEAMIENTOS. Nuevos Paradigmas

5 Nuevos EVENTOS Gran Impacto, poco Probables, más Frecuentes…

RESILIENCIA DEL NEGOCIO, SERVICIOS,

INFRAESTRUCTURAS, TECNOLOGIAS,

INFORMACION, PERSONAS

17

PLANTEAMIENTOS. Ley de Mínimos

NO SOLO… Principios Básicos del Proceso

FIABILIDADEN LOS SERVICIOS,

INFRAESTRUCTURAS, TECNOLOGIAS, INFORMACIÓN Y PERSONAS

PROTEGER (Activos con

Medidas Seguridad yControles)

OPTIMIZAR(Analizar y AuditarRiesgos, Controles,Calidad Activos y Componentes)

SIMPLIFICAR (Modelar

Eficientemente Procesos)

NO BASTA SOLO… UN PLAN DE CONTINUIDAD

18

PLANTEAMIENTOS. Preparándose

ES NECESARIO… Sentido Común a Raudales y Lenguaje

Común.

ES OBLIGATORIO… Nuestra Matriz de Relaciones con Partes

Interesadas (TODAS y Priorizadas)

ES ACONSEJABLE… Definir la Continuidad como un Proceso y

asignar Responsables

ES VITAL… Definir un Plan de Comunicación y un Protocolo de

Respuesta ante Sucesos (Incidentes)

ES BUENA PRÁCTICA… Crear CULTURA mediante la

Concienciación, Divulgación, Formación, Entrenamiento, …

19

PLANTEAMIENTOS. Sintonizándose

GLOSARIO y TERMINOLOGÍA … Las Legislaciones y

Normativas como:Ley y RD de II.CC., Ley Seguridad Privada,

LOPD, ISO22301, ISO27xxx, ISO31000, ISO38500, ISO20000,

ISO15504, ISO9001… Nos ayudan.

CONCEPTOS… Contingencia, Continuidad, Resiliencia,

Sostenibilidad, Fiabilidad, Transformación Adaptativa,

Evolución… no son lo mismo y todos se relacionan entre sí.

GRADUAR SUCESOS Y ESCALADO… En el Protocolo de

Respuesta desde un Evento-Alarma-Alerta-Incidencia-Incidente-

Problema-Crisis-Emergencia-Catástrofe-Caos-Extinción.

DEFINIR MENSAJES… En un Plan de Comunicación y cruzado

con Matriz de Actores e Impactos,

20

ÍNDICE

CAJA RURAL

PLANTEAMIENTOS

PREOCUPACIONES

TENDENCIAS Y CONCLUSIONES

21

PREOCUPACIONES a TODO NIVEL

Aspectos Organizativos y Estratégicos

Aspectos Gestión y Tácticos

Aspectos Técnicos y Operativos

Aspectos Globales y Comunicación

Aspectos Culturales y Capacitación

Factores: Dimensión y Tiempo… ¡A toda velocidad!

22

CAMBIOS TECNOLÓGICOS y USOS CONSTANTES

23

NUEVOS CANALES Y DISPOSITIVOS

DESCARGAS APPS STORESLINKS

DATOS EN CLOUD

DATOS SENSIBLES

EVENTOS A TODOS LOS NIVELES

24

Sociedad

Educación

Redes Sociales

Impactos

Buscadores

Nuevos Retos

ATAQUES SISTEMÁTICOS Y

PERSONALIZADOS

“El impacto del Cibercrimen en

las Empresas”

“Dispositivos Móviles han

aumentado los Incidentes de

Seguridad en las Empresas”

25

Cubrir Riesgos y Amenazas

Phishing y Usurpación

Identidad Multiples Nuevos Vectores Smarphones

AMENAZAS QUE EVOLUCIONAN Y SE PERSONALIZAN

Redes Inalámbricas

26

AMENAZAS. IMBRICADAS Y RELACIONADAS.

¡INDUSTRIA DEL MAL! - GLOBALIZADA

SUCESOS de TODO TIPO - Naturales o no

27

TENDENCIAS. TROYANOS… ¡LAS HERRAMIENTAS PARA

CIBER-DEFRAUDAR EN BANCA ONLINE Y SMARPHONES!

¡O PARA COMENZAR UNA CIBER-GUERRA!

PENETRACIÓN TROYANOS

BANCARIOS (G Data)

Desde 2006 detectando un total de 2,57 millones de

nuevos tipos de malware en 2011, un 23% más que el año

anterior. La amenaza más repetida serían los troyanos,

programas espía y adware, confirmando que el robo de

información personal y la publicidad no deseada (G Data)

Synowall, Zeus, Stuxtnet, Flame,

las nuevas armas…

28

CAJA RURAL

PLANTEAMIENTOS

PREOCUPACIONES

TENDENCIAS Y CONCLUSIONES

ÍNDICE

29

RETOS A RESOLVER. BCM (Business Continuity Management)

30

HITOS A CONSEGUIR. Resiliencia y Sostenibilidad

31

INVENTARIO DE ACTIVOSCICLO DE VIDA DE Continuidad. SGCN

1. Análisis de Contexto del Negocio. Viabilidad, Compliance, ROI, Ubicaciones,...

2. Evaluación de Riesgos y BIA. Escenarios y Contramedidas. (Prevención)

3. Matriz de Actores. Con Flujos y Relaciones. Procesos, Servicios, Activos y Canales

4. Implantación de Controles y Salvaguardas. Plan de Seguridad Integral en

Infraestructuras, Personas, Activos, Información, …

5. Operación y Protocolo de Actuación, Respuesta y Coordinación ante Sucesos

6. Plan de Comunicación y Mensajes Prestablecidos. Análisis de Evolución y

Tendencia de a Imagen y Reputación. Portavoces.

7. Comité de Crisis y Emergencias. Liderado por Experto y Multidisciplinar.

8. Pruebas Periódicas de Controles, Protocolos, Planes (SGCN alineado con SGSI,

SGTSI, … bajo el Gobierno TIC y Gobierno Corporativo de la Organización)

9. Auditoria y Benchmarc de Mercado contra Mejores Prácticas (Compliance)

10. Mejora Continua, Innovación, Adaptación y Eficiencia

32

MEDIDAS A APLICAR

Medidas Globales (Ámbito Estratégico)

LEGALES

DIVULGATIVAS

INFORMATIVAS

FORMATIVAS

ORGANIZATIVAS

OPERATIVAS

TÉCNICAS

CONTROL

SEGUIMIENTO Y ANÁLISIS

AUDITORÍA

33

MEDIDAS A APLICAR

Medidas Globales (Ámbito Tiempo)

Medidas PREVENTIVAS:

Medidas DETECTIVAS:

Medidas de RESPUESTA

Medidas de INVESTIGACIÓN

Medidas FORENSES

34

CAOS

Evitar CAOS

PARTIPACIÓN CONJUNTA SEGURIDAD FISICA-CORPORATIVA, E INFORMACIÓN - LÓGICA

LIDERAZGO y

COORDINACIÓN

EQUILIBRIO

MEDIDAS/CONTROLES

PASO A PASO

GESTIÓN DE RIESGOS

PARTITURA = PLAN GESTIÓN

35

ORDEN ORDEN

CONTROL DE COSTES

y ESTABILIDAD EN EL TIEMPO

36

OBJETIVOS

EN DEFINITIVA BUSCAR Y GARANTIZAR

LA “CONFIANZA Y FIABILIDAD”

DEL NEGOCIO, DE LOS SERVICIOS, DE LAS

INFRAESTRUCTURAS, SUMINISTROS, TECNOLOGIAS,

INFORMACIÓN y PERSONAS.

DE NUESTRO ECOSISTEMA

(SOCIEDAD).....

37

Los riesgos siempre han estado ahí, permanecerán y

crecerán exponencialmente a la complejidad.…

Como el Mundo existe, los Riesgos existen

CONCLUSIONES

38

Como el Mundo Digital es Global, el Riesgo

cada vez es más Global

CONCLUSIONES

39

La Seguridad Total es un Mito;no puede

alcanzarse a un coste razonable.

El 100% de protección no existe.

CONCLUSIONES

40

… pero nosotros debemos invertir en la gestionar el

Riesgo, por encima de todo, para prevenirlo

y garantizar en todo lo posible Superar las Crisis

…SER RESILIENTES…

CONCLUSIONES

41

Con Plataformas Comunes, con Colaboración,

con una Gestión de Gobierno TIC robusta

Es más sencillo y más Eficiente en Costes

CONCLUSIONES

42

CONCLUSIONES Acciones a Tomar

INVERTIR en SEGURIDAD

Obtener el BENEFICIO de

poder CONFIAR en las AUTOPISTAS de la

INFORMACIÓN y en las REDES para

el DESARROLLO y SOSTENIBILIDAD de

la SOCIEDAD de la INFORMACIÓN DIGITAL Y

EL CONOCIMIENTO...

MEDIANTE EL GOBIERNO TIC...

MEDIANTE ESQUEMA NACIONAL DE SEGURIDAD...

MEDIANTE PROTECCIÓN II.CC. ...

GARANTIZANDO LA CONTINUIDAD...

43

COLABORACION y CULTURA para un mejor Gobierno TIC es un

“deber”.

Una Oportunidad para TOD@S para Garantizar una Mejor

Continuidad de nuestro Negocio y Servicios

CONCLUSIONES

44

CONCLUSIONES

Acciones a Tomar: REGLA 5 “C’s”

“COOPERAR,

COORDINAR,

COMUNICAR,

COLABORAR,

___________________________COMPARTIR”

IDEAS + INTELIGENCIA + INVESTIGACIÓN = INNOVACIÓN

INNOVACIÓN + DESARROLLO = EVOLUCIÓN A FUTURO

SOSTENIBILIDAD Y TRANSFORMACIÓN ADAPTATIVA

45

TENDENCIAS Y EVOLUCIÓN Objetivo Final. GESTIÓN INTEGRAL E INTEGRADA

“LA SEGURIDAD vs CONTINUIDAD GLOBAL, AL IGUAL QUE LA CALIDAD, Y EN GENERAL LAS DISCIPLINAS HORIZONTALES DE

LA COMPAÑÍA, ES COSA DE TODOS Y EMPIEZAN POR UNO MISMO. NO SE PUEDEN VER DE MANERA AISLADA, SINO COMO CONCEPTO GLOBAL Y DENTRO DE LOS PROCESOS DEL NEGOCIO

Y SERVICIOS”Pedro P. López

46

Preguntas

47

• 1. Qué cambios significativos aporta la nueva ISO22301 respecto a la BS25999

(PNE71599) y resto como ISO27031?

• 2. Qué tipo de escenarios conforme al cuadro de Continuam (César) abarca? 1, 1 y 2.

3. La Matriz de Actores, los Protocolos de Comunicación y el de Respuesta

Sucesos (Incidentes) parecen esenciales en un Plan de Continuidad?

• 4. Disponer de un SGCN (Plan de Continuidad) es Preventivo. Basta solo con eso? Y

si la realidad de los Sucesos supera nuestras previsiones?

• 5. La Cultura de la Organización, del Comité de Crisis y su Entrenamiento y

• Capacitación es esencial?

• 6. El Sentido Común y ser Resiliente, a la vez que Analítico y un poco Intrépido puede

ayudar a superar sucesos inesperados o que desborden las previsiones? Digamos la

mezcla de Cultura Anglosajona con la Latina.

• 7.La Resiliencia es consecuencia de estar bien preparado para la Continuidad ante

diferentes Sucesos.

• 8. Y que es la Sostebilidad? Ser Resiliente y Fiable en el Tiempo. Qué opina?

• 9. Volver a la Normalidad es siempre posible o más bien se superan las crisis?

• 10. Se está consolidando al Figura del Gestor de Continuidad de Negocio?

Preguntas a la Mesa

48

• 1. ¿Por qué apostastéis por las Certificaciones ..primero la BS25999 y ahora la

ISO22301?

• 2. ¿Se ha podido reaprovechar el trabajo de una para la otra o no?

• 3. ¿El camino para obtenerlas ha sido largo?

• 4. ¿Están alineadas con el resto de Sistemas de Gestión como SGSI?

• 5. ¿A efectos prácticos, que aporta el Certificado al SGSI?

• 6. ¿Continuidad necesita de la Seguridad? ¿Ambas en su concepto Integral y Global?

• 7. El resto de Disciplinas como: Privacidad (LOPD), PCI/DSS, Seguridad Física, Planes

de Autoprotección y Evacuación, Legislación de Seguridad Privada, Legislación de

II.CC., y otras como Riesgos Laborales, las habéis considerado también dentro de

vuestro SGCN Global?

• 8. El echo de pertenecer al Sector Financiero os ha dado algún tipo de ventaja o

sinergia a la hora de abordar vuestros Proyectos de Seguridad y Continuidad?

• 9. Foros como CECON o Iniciativas como Continuam os están siendo útiles?

• 10. Qué echáis en falta respecto a la Cultura de Continuidad y Resiliencia en España?

Y en el ámbito Latino?

Preguntas a Bankinter – GNEIS

49

• 1. El Sector vuestro, Transportes, es esencial para la Ciudadanía. ¿Cómo os ayuda la

Continuidad de Negocio a prestar vuestro Servicios día a día?

• 2. ¿Los nuevos Sistemas de Televigilancia que estáis implantando en los Autobuses

como os ayudan a prevenir situaciones que puedan llegar a generar un impacto no

deseado?

• 3. El Binomio Seguridad vs Continuidad creéis que deben ir de la mano y aprovechar

todas sus sinergias?

• 4. Cómo se gestiona un Plan de Continuidad con Servicios Mínimos ante una Huelga?

• 5 . El Plan y Entrenamiento de vuestras Plantillas os ayuda?

• 6. Definís Mensajes y Protocolos Clave de Actuación y Respuesta?

• 7. Os sincronizáis con CFS y Protección Civil para prevenir males mayores?

• 8. Soís como los Glóbulos Rojos que transportan oxígeno a las células, vosotros

transportáis por el torrente de calles de la Ciudad a miles de pasajeros día a día. La

coordinación es esencial entendemos?

• 9. Esta la nueva ISO22301 preparada para cubrir vuestras necesidades?

• 10. Disponéis de Grupos de Trabajo Sectoriales donde debatir Problemáticas Comunes

y analizar cómo abordarlas, similar a otros sectores como Financiero-Tributario, Telco,

Energético, ...

Preguntas a EMT

50

• 1. Como Proveedor especialista en Soluciones de Continuidad. La Comunicación es

esencial en momentos de Crisis?

• 2. Ha de estar previsto todo el Protocolo de Escalado?

• 3. Y los Mensajes predefinidos?

• 4. Ustedes aportan una solución como FACT24 que permite una mejor gestión. Cuales

son sus 3 puntos o ventajas principales?

• 5. Existe conciencia en España del uso de este tipo de Soluciones?

• 6. Y de lo que implica en cuanto a tener claramente organizado todos los Protocolos?

• 7. Como nos ayudaría FACT24 ante Sucesos No Previstos?

• 8. La Cultura de uso entre España, UE, EE.UU., LATAM difiere sustancialmente?

• 9. La normativa o legislación hace referencia al uso de este tipo de Soluciones en

alguna de estas zonas geográficas?

• 10. Considera que al menos en aquellos Servicios Esenciales o Críticos sería una

Buena Práctica contar con Soluciones de Localización, Escalado, Coordinación

automatizadas que ayuden a mejorar la gestión y sobre todo los tiempos que son

críticos en esos momentos de crisis?

Preguntas a F24

51

• 1. Como Proveedor especialista en Análisis y Planes de Continuidad cual es su

experiencia en cuanto a la adopción de los mismos en Grandes Organizaciones?

• 2. Existen Figuras dedicadas a la Continuidad en las mismas?

• 3. Involucran a la Gestión de Riesgos y Seguridad Integral de la Compañía?

• 4. Las PYMES consideran puede ser un nicho de Negocio y necesario que dispongan

de Planes de Continuidad, como Proveedoras en la Cadena de Suministro?

• 5. En el caso de AA.PP. , basta con lo que exige el ENS e ENI ? Algunas estarán

además sujetas a la Ley y RD de II.CC.? El resto opinan que debería seguir la buena

práctica de normas como la ISO22301 en cuanto a su Plan de Continuidad?

• 6. Respecto a Planes de Seguridad Sectoriales, han ayudado ustedes a

Organizaciones y/o Órganos de Coordinación a la elaboración de los mismos?

• 7. Son necesarios para imbricar digamos Planes de Empresa con Planes Sectoriales o

incluso otros de índole superior como Territoriales, Comunitarios o Nacionales?

• 8. Respecto a Planes Transfronterizos marcados por Directivas como la de II.CC. Que

consideran como Ley de Mínimos? Ejemplo Espacio Unión Europea.

• 9. Siguen ustedes alguna Metodología de Implantación?

• 10. Se apoya en alguna normativa específica?

•

Preguntas a COBSER

SEGURIDAD Y CONTINUIDAD GLOBAL ANTE UN MUNDO GLOBAL

Evolución . Objetivo Final.

INTEROPERABILIDAD: ESTÁNDARES, NORMAS, LEYES GLOBALES

SERVICIOS

CONFIABLES,

SOSTENIBLES,

MODULARES,

A MEDIDA

PROCESOS

EFICIENTES

EN COSTES

Y CON

CALIDAD

53

Pedro Pablo López Bernal

Gerente Seguridad, Privacidad y Continuidad Global R.S.I. (Grupo Caja Rural)

pedro_pablo_lopez_rsi@cajarural.com

Muchas Gracias

54

el valor dela innovación.

“Rural Servicios Informáticos (RSI): una propuesta de valor”“25 Años: Servicios Financieros en Cloud”

55

RSI