RSI - Fundación DINTELISO 31000 ISO 9001 Riesgos Calidad BS/PNE 71599-1-2 SGCN ISO 20000 Servicios...
Transcript of RSI - Fundación DINTELISO 31000 ISO 9001 Riesgos Calidad BS/PNE 71599-1-2 SGCN ISO 20000 Servicios...
RSI
1
“25 Años: Outsourcing Integral en Cloud”
GOBIERNO TIC: Timón de GOBIERNO TIC: Timón de PProcesos, rocesos, PPersonas, ersonas, TTecnologías e ecnologías e IInfraestructurasnfraestructuras
Experiencias de RSIExperiencias de RSI
Congreso DINTEL – BANCA Y SEGUROS 2011
IT Compliance & eTRUST
21 de junio
ÍNDICEÍNDICE
CAJA RURAL
PLANTEAMIENTOS
PREOCUPACIONES
MEDIDAS A APLICAR
CONCLUSIONES
3
CAJA RURAL
ESTRUCTURA
4
ENTIDADES ENTIDADES Principales COMPAÑÍAS (3)Principales COMPAÑÍAS (3)
Outsourcing Outsourcing TITI
SegurosSeguros
Banco BackBanco Back--OfficeOffice
CAJA RURALVOLUMENES NEGOCIO
5
CLIENTES
7.429.785CUENTAS5.040.728
CRÉDITOS
855.700DEPÓSITOSRENTA FIJA
869.882
TARJETAS
3.069.448
TPV’S
75.118
BANCA ONLINE
426.724
CAJEROS
3.686
TERMINALES
14.525
TRANSAC.DIA
13.200.000
que nos conozcas un poco más ...Un poco de visión retrospectiva (25 años)...
Evolución de las Soluciones y Servicios a Entidades ...
valo
r
Core bancario
Centro de Información
Banca Electrónica / Telefónica
Sistemas de Información de Gestión (SIG)
Sistemas CRM
Sistemas de Movilidad
Sistemas GED
Servicios de Valor
tiempo
Medios de Pago
1992 20032001 2007 20111987 20022000 2005 20081986
6
Soluciones y Servicios ...Amplísima oferta de ...
servicios
soluciones
... nuestras soluciones y servicios dan respuesta a todas las necesidades...
COREBANKING
GESTIÓNCOMERCIAL
CONTROLDE GESTIÓN
RIESGOS
SOPORTE ALA GESTIÓN
CANALES
Áreas Funcionales
ORGANISMOS
7
ÍNDICEÍNDICE
CAJA RURAL
PLANTEAMIENTOS
PREOCUPACIONES
MEDIDAS A APLICAR
CONCLUSIONES
8
PLANTEAMIENTOS PLANTEAMIENTOS
¿Qué Busca?¿Qué Busca?
EL NEGOCIO.
Prestar Servicios Sostenibles
LOS CLIENTES.
Fiabilidad, Confianza, Transparencia en: Información y Servicios.
9
PLANTEAMIENTOS PLANTEAMIENTOS
¿Quienes Intervienen en el Ciclo de los Servicios?¿Quienes Intervienen en el Ciclo de los Servicios?
LOS PROCESOS. Definen el Flujo Operativo
LAS TECNOLOGÍAS. Soportan los Procesos
LAS INFRAESTRUCTURAS. Soportan y Alojan las Tecnologías y a las Personas
LA INFORMACIÓN. Registros Críticos, Conocimiento
LAS PERSONAS. Operan y se Interrelacionan con ellos (Procesos, Tecnologías e Infraestructuras), recibiendo o prestando Servicios. SON CLAVE
10
1
2
Valores de las Personas en la Sociedad
Revolución Tecnológica y Científica3
4
Cambios en Mercados y Negocios
Nuevas Fronteras Geográficas y Legales
PLANTEAMIENTOSPLANTEAMIENTOSNuevo Paradigma GlobalNuevo Paradigma Global
11
5 Nuevos Eventos Gran Impacto aunque eran poco Probables
Necesidad de
CONFIANZA
Incremento de
CONTROL
Mitigación de
RIESGOS
RESILIENCIA
PLANTEAMIENTOS PLANTEAMIENTOS
Principios Básicos del ProcesoPrincipios Básicos del Proceso
FIABILIDADEN LOS SERVICIOS,
INFRAESTRUCTURAS, TECNOLOGIAS, INFORMACIÓN Y PERSONAS
PROTEGER (Activos con Medidas Seguridad yControles)
OPTIMIZAR(Analizar y AuditarRiesgos, Controles,Calidad Activos y Componentes)
SIMPLIFICAR (ModelarEficientemente Procesos)
12
ÍNDICEÍNDICECAJA RURAL
PLANTEAMIENTOS
PREOCUPACIONES
MEDIDAS A APLICAR
CONCLUSIONES
13
PREOCUPACIONES PREOCUPACIONES
Aspectos Organizativos y EstratégicosAspectos Organizativos y Estratégicos
Aspectos Gestión y TácticosAspectos Gestión y Tácticos
Aspectos Técnicos y OperativosAspectos Técnicos y Operativos
Aspectos Globales y ComunicaciónAspectos Globales y Comunicación
Aspectos Culturales y CapacitaciónAspectos Culturales y Capacitación14
ÍNDICEÍNDICE
CAJA RURAL
PLANTEAMIENTOS
PREOCUPACIONES
MEDIDAS A APLICAR
CONCLUSIONES
15
MEDIDAS A APLICAR MEDIDAS A APLICAR Medidas Globales (Ámbito Estratégico)
LEGALESDIVULGATIVASINFORMATIVASFORMATIVASORGANIZATIVASOPERATIVASTÉCNICASCONTROLSEGUIMIENTO Y ANÁLISISAUDITORÍA
16
MEDIDAS A APLICAR MEDIDAS A APLICAR Medidas Globales (Ámbito Tiempo)
17
Medidas PREVENTIVAS:
Medidas DETECTIVAS:Medidas de RESPUESTAMedidas de INVESTIGACIÓNMedidas FORENSES
... Hitos en Calidad y Gestión ... Un Camino a la Mejora… Un Camino hacia el Gobierno TIC…Un Camino a la Excelencia…
18
A.N.S.
Sistema de Documentación.
Circuito aprobación
Defensor del Clientes. Acciones
Correctivas
CVS CMMi
Gestión de Riesgos
Encuesta de Satisfacción
Enfoque Cliente + Gestión Interna + Ciclo de Vida Proyectos Sw.
SGSI ISO27
Continuidad del Negocio
Buen Gobierno
valo
r
… ubicación del Buen Gobierno TIC… por encima hacia la RSC ISO 26000… el ENS en AAPP: un paso muy avanzado
Responsabilidad Social Corporativa ISO 26000
Gobierno de TI
CMMIISO
27000 / 22301/22031ISO
20000Estándares y mejores prácticas
Procedimientos Desarrollo Software
Procesos y Procedimientos
ISO38500
Principios de Seguridad y
Continuidad Global e Integral
Servicios ITIL
(Delivery)
ENS ENS ENS ENSENSENSESQUEMA NACIONAL SEGURIDAD
COBIT, VAL/IT, RISK IT
19
¿Por qué es importante el Buen Gobierno en TIC?
> >
>>
Gobiernode TI
Alineación
EstratégicaEntrega de Valor
Medición del
Desempeño Ad
min
istra
ción
de R
iesg
os
Administraciónde Recursos
Gobiernode TI
Alineación
EstratégicaEntrega de Valor
Medición del
Desempeño Ad
min
istra
ción
de R
iesg
os
Administraciónde Recursos
Gobiernode TI
Alineación
EstratégicaEntrega de Valor
Medición del
Desempeño Ad
min
istra
ción
de R
iesg
os
Administraciónde Recursos
Confianza en alta gerencia
Aumento del ROI
Respuesta efectiva TI al negocio
Mayor transparencia
Mayor confiabilidad de los servicios
BENEFICIOS
Valor / Costo Administrar servicios TI
Seguridad Manejar lacomplejidad
Alineamiento TI - Negocio
Cumplimientoregulatorio
DESAFÍOS
PROVEEDORES CLIENTES OTROSUSUARIOS ORGANISMOS
PARTES INTERESADAS EXTERNAS
ACCIONISTAS CONSEJO ADMÓN. EMPLEADOSGER. NEGOCIO GERENTES TI
PARTES INTERESADAS INTERNAS
20
PRINCIPIOS BG PRINCIPIOS BG
generan
Necesidad
POLÍTICA GLOBAL DE BUEN GOBIERNO TI
A varios niveles
SEGURIDAD
CONTINUIDAD
SERVICIOS
DESARROLLO
Responsabilidad
Estrategia
Adquisición
Rendimiento
Cumplimiento
Conducta Humana
21
SGBG (Buen Gobierno)
SGSI (Seguridad Información)SGAR (Análisis Riesgos) SGCN (Continuidad de Negocio)SGSTI (Servicios TI)SGCVS (Ciclo de Vida de Software)SGC (Calidad)SGRH (Recursos Humanos)
Política LOPD (Privacidad)Política PCI/DSS (Tarjetas)Política LOG’s (Evidencias) Política CERTIFICACIÓN (PKI’S)Política CLASIFICACIÓN (Información)......
gestionados
SISTEMA DE CALIDAD
Políticas Alto Nivel
Políticas por SG o Normativa
Procedimientos
Instrucciones de Trabajo
Estándares
Modelos
Principales Sistemas de Gestión y PolíticasPrincipales Sistemas de Gestión y PolíticasMEDIDAS A APLICAR MEDIDAS A APLICAR
22
Imprescindible …
Involucración de la Dirección
Gestión del Cambio
23
Concienciación de toda la Organización - CULTURA
Mejora “sostenible”
OU
TSOU
RC
ING
(New
Guidelines)
QU
ALITY
(ISO 9001)
PROYECT MANAGEMENT (PMBook)
BUSINESS CONTINUITY (BS25XXX, ISO22XXX, PNE71599)
SECURITY (ISO27 Series)
DEVELOMENT (ISO15504/CMMi Series DLC)
RISK MANAGEMENT (ISO31000)
IT SERVICES (ISO20000/ITIL V3)
BPO/BPM Services and Components
OTHERS STANDARDS
IT GOBERNANCE (ISO38500)
CONTEXTO Y RELACIONES
Normativa de Referencia - LEG’S & REG’S
25
Conformidad. Actividades Cuadro Mandos
26
EscenariosMapeo Controles
Ranking Controles
Cuadro Mandos
Benchmarc
InventarioLeg’s@Reg’s
Estimación CumplimientoBasada en ISO27002
La Certificación. Sello de Cumplimiento
ISO 14000Medio Ambiente
ISO 26000RSC
ISO 15504Calidad de Software (CVS)
ISO 38500Buen Gobierno TIC
27
ISO 31000RiesgosISO 9001
Calidad
BS/PNE 71599-1-2SGCN
ISO 20000Servicios (SGSTI)
ISO 27001/2SGSI
ENFOQUE A PROCESOS, HERRAMIENTAS Y ENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE RIESGOSGESTIÓN DE RIESGOS
28
ENFOQUE A PROCESOS, HERRAMIENTAS Y ENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE RIESGOSGESTIÓN DE RIESGOS
29
Y TIENE UN GRAN IMPACTOY TIENE UN GRAN IMPACTO
ECONÓMICO Y SOCIALECONÓMICO Y SOCIAL30
Y TIENE UN GRAN IMPACTOY TIENE UN GRAN IMPACTO
OPERATIVOOPERATIVO31
Y TIENE UN GRAN IMPACTOY TIENE UN GRAN IMPACTO
TECNOLÓGICO Y DE TECNOLÓGICO Y DE INFRAESTRUCTURASINFRAESTRUCTURAS
32
33
Y TIENE UN GRAN IMPACTOY TIENE UN GRAN IMPACTO
HUMANO EN LAS PERSONAS QUE OPERAN HUMANO EN LAS PERSONAS QUE OPERAN PROCESOS Y RECIBEN SERVICIOSPROCESOS Y RECIBEN SERVICIOS
34
Protocolos y Planes de Continuidad y Gestión de Crisis
Cada vez más Global e Interdependiente.
REQUIERE VISIÓN HOLÍSTICA
35
CAOS
Evitar CAOSEvitar CAOSPARTIPACIÓN CONJUNTA SEGURIDAD FISICA-CORPORATIVA, E INFORMACIÓN - LÓGICA
LIDERAZGO y COORDINACIÓN
EQUILIBRIO
MEDIDAS/CONTROLES
PASO A PASO
GESTIÓN DE RIESGOS
PARTITURA = PLAN GESTIÓN CRISIS
CONTROL DE COSTESy ESTABILIDAD EN EL TIEMPO
ORDEN
36
37
OBJETIVOS
EN DEFINITIVA BUSCAR Y GARANTIZAR
LA “CONFIANZA Y FIABILIDAD”
DEL NEGOCIO, DE LOS SERVICIOS, DE LAS INFRAESTRUCTURAS, SUMINISTROS, TECNOLOGIAS, INFORMACIÓN y PERSONAS.
DE NUESTRO ECOSISTEMA(SOCIEDAD).....
ÍNDICEÍNDICE
CAJA RURAL
PLANTEAMIENTOS
PREOCUPACIONES
MEDIDAS A APLICAR
CONCLUSIONES
38
CONCLUSIONES CONCLUSIONES Los riesgos siempre han estado ahí, permanecerán y
crecerán exponencialmente a la complejidad.…
Como el Mundo existe, los Riesgos existen
39
CONCLUSIONES CONCLUSIONES
40
Como el Mundo Digital es Global, el Riesgo cada vez es más Global
CONCLUSIONES CONCLUSIONES
La Seguridad Total es un Mito;no puedealcanzarse a un coste razonable. El 100%
de protección no existe.
41
CONCLUSIONES CONCLUSIONES
… pero nosotros debemos invertir en la gestionar el Riesgo, por encima de todo, para prevenirlo y garantizar en todo lo posible Superar las Crisis
42
CONCLUSIONES CONCLUSIONES
SSííndromendrome de Cassandra:de Cassandra: tu predices el futuro y el aumento de las amenazas, vulnerabilidades, en definitiva, los Riesgos, tu inviertes más para prevenirlos, por lo que tienes más control que otros, pero
eso dificulta justificar tu presupuesto.
OJO…. A los Eventos de Alto Impacto y Poca Probabilidad
43
Con Plataformas Comunes, con Colaboración, con una Gestión de Gobierno TIC robusta es más
sencillo y más Eficiente en Costes
CONCLUSIONES CONCLUSIONES
44
CONCLUSIONES CONCLUSIONES En la Gestión del Gobierno TIC, el Tamaño y
Criticidad importa, pero No Solo Eso.
Hay Empresas Pequeñas, muchas, pueden llegar a
ser: Críticas para otras.
45
CONCLUSIONES CONCLUSIONES Acciones a Tomar
INVERTIR en SEGURIDAD Obtener el BENEFICIO depoder CONFIAR en las AUTOPISTAS de la
INFORMACIÓN y en las REDES para el DESARROLLO y SOSTENIBILIDAD de la SOCIEDAD de la INFORMACIÓN DIGITAL Y
EL CONOCIMIENTO...
MEDIANTE EL GOBIERNO TIC...MEDIANTE ESQUEMA NACIONAL DE SEGURIDAD...
MEDIANTE PROTECCIÓN II.CC. ...GARANTIZANDO LA CONTINUIDAD...
46
47
COLABORACION y CULTURA para un mejor Gobierno TIC es un “deber”.
Una Oportunidad para TOD@S para Garantizar una Mejor Continuidad de nuestro Negocio y Servicios
CONCLUSIONES CONCLUSIONES
CONCLUSIONES CONCLUSIONES Acciones a Tomar
48
“COOPERAR, COORDINAR,
COMUNICAR,COLABORAR”
IDEAS + INTELIGENCIA + INVESTIGACIÓN = INNOVACIÓN
INNOVACIÓN + DESARROLLO = EVOLUCIÓN A FUTURO
INVENTARIO DE ACTIVOSConclusiones. Las Ventajas Timón Gobernanza. Disponer del PLAN.
1. Superar posibles Impactos Sistémicos o No, sobre: Infraestructuras, Servicios, Tecnologías, Personas (Activos Críticos) del Sector Público y/o Privado.
2. Estabilidad Social y Confianza de Partes Interesadas: Mercados, Personas, .... 3. Minimizar Costes4. Superar Crisis en el menor Tiempo 5. Aumento de la Confianza de los Clientes y Ciudadanos.6. Crear Cultura de Continuidad y Resiliencia.7. Capacidad de Respuesta y Remediación8. Maximizar Recuperación de Personal Afectado y Continuidad de Servicios9. Protección ante Responsabilidades y Sostenibilidad Global y Progreso10. Alineamiento de Buenas Prácticas: Metodología y Política Definida y Viva. Mejora (PDCA)
En definitiva, prepararnos ante: Retos y Riesgos que la Sociedad Digital nos va deparando y demandando Existentes y Futuros.
49
TENDENCIAS Y EVOLUCIÓN Objetivo Final. GESTIÓN INTEGRAL E INTEGRADA
“LA SEGURIDAD vs CONTINUIDAD GLOBAL, AL IGUAL QUE LA CALIDAD, Y EN GENERAL LAS DISCIPLINAS HORIZONTALES DE
LA COMPAÑÍA, ES COSA DE TODOS Y EMPIEZAN POR UNO MISMO. NO SE PUEDEN VER DE MANERA AISLADA, SINO COMO CONCEPTO GLOBAL Y DENTRO DE LOS PROCESOS DEL NEGOCIO
Y SERVICIOS”Pedro P. López
50
ENFOQUES BGTI Satisfacción
Fiabilidad
Mejora Continua
CausaRaíz
ProcesosY
Componentes
< Coste
PREVENCIÓN
CalidadAuditorias
Control Interno
Gestión de Seguridad
Arquitectura de Seguridad
Medidas Seguridad y ControlesInformación
Canales Y
DispositivosProcesos
Infraestructuras Personas
51
Detección Temprana y Respuesta
Preguntas
52
Preguntas
• ¿A qué tienen que dar continuidad las organizaciones?
‐ ¿Qué es necesario recuperar y proteger? Importancia de la clasificación de la información en el proceso y plan de continuidad global de negocio.
‐ ¿Qué fases existen en una práctica real de continuidad de negocio?
‐ ¿Qué parámetros son imprescindibles valorar (económicos, humanos, de imagen…)?
‐ ¿Cuánto pueden perder las empresas y qué están haciendo las compañías?
‐ ¿Cuáles son los riesgos?
‐ ¿Cuál es el retorno de la inversión cuándo se habla de continuidad de negocio?
‐ Obligaciones y responsabilidades en una organización en materia de Continuidad de negocio, desde una perspectiva global.
‐ Recomendaciones y mejores metodologías.
53
Preguntas
•¿Qué entendéis por Continuidad Global de Negocio? ¿Es posible garantizar "razonablemente" la continuidad de una organización sin este enfoque global? ¿Es posible desarrollar el modelo sin un mapa integral de riesgos?.
¿Se está afrontando de forma "global" los modelos de continuidad en las grandes organizaciones y empresas de España? ¿Con que nivel de madurez? ¿Y en el caso de las PYMES?
¿Quién debería liderar la gestión del modelo en las organizaciones? ¿Qué papel debería desempeñar el CSO? ¿Qué otros roles se ven especialmenteinvolucrados? ¿Pensáis que tienen "ventaja" las organizaciones que han adoptado un modelo convergente de gestión de seguridad o este aspecto no es relevante?
¿Qué leyes y regulaciones sectoriales nos pueden ayudar a apalancar la "continuidad global"? ¿Pensáis que la continuidad está suficientemente regulada en nuestro país? ¿Qué efecto cabe esperar de la Ley PIC?
54
Evolución de Seguridad. Objetivo Final.
SEGURIDAD Y CONTINUIDAD GLOBAL ANTE UN MUNDO GLOBAL
55
56
“I look to the future because that's where
I'm going to spend the rest of my life”
Woody Allen
Muchas Gracias
Pedro Pablo López BernalGerente Seguridad, Privacidad y Continuidad Global R.S.I. (Grupo Caja Rural)
57
58
el valor dela innovación.
“Rural Servicios Informáticos (RSI): una propuesta de valor””“25 Años: Outsourcing Integral en Cloud”
RSI
59