RSI

1

“25 Años: Outsourcing Integral en Cloud”

GOBIERNO TIC: Timón de GOBIERNO TIC: Timón de PProcesos, rocesos, PPersonas, ersonas, TTecnologías e ecnologías e IInfraestructurasnfraestructuras

Experiencias de RSIExperiencias de RSI

Congreso DINTEL – BANCA Y SEGUROS 2011

IT Compliance & eTRUST

21 de junio

ÍNDICEÍNDICE

CAJA RURAL

PLANTEAMIENTOS

PREOCUPACIONES

MEDIDAS A APLICAR

CONCLUSIONES

3

CAJA RURAL

ESTRUCTURA

4

ENTIDADES ENTIDADES Principales COMPAÑÍAS (3)Principales COMPAÑÍAS (3)

Outsourcing Outsourcing TITI

SegurosSeguros

Banco BackBanco Back--OfficeOffice

CAJA RURALVOLUMENES NEGOCIO

5

CLIENTES

7.429.785CUENTAS5.040.728

CRÉDITOS

855.700DEPÓSITOSRENTA FIJA

869.882

TARJETAS

3.069.448

TPV’S

75.118

BANCA ONLINE

426.724

CAJEROS

3.686

TERMINALES

14.525

TRANSAC.DIA

13.200.000

que nos conozcas un poco más ...Un poco de visión retrospectiva (25 años)...

Evolución de las Soluciones y Servicios a Entidades ...

valo

r

Core bancario

Centro de Información

Banca Electrónica / Telefónica

Sistemas de Información de Gestión (SIG)

Sistemas CRM

Sistemas de Movilidad

Sistemas GED

Servicios de Valor

tiempo

Medios de Pago

1992 20032001 2007 20111987 20022000 2005 20081986

6

Soluciones y Servicios ...Amplísima oferta de ...

servicios

soluciones

... nuestras soluciones y servicios dan respuesta a todas las necesidades...

COREBANKING

GESTIÓNCOMERCIAL

CONTROLDE GESTIÓN

RIESGOS

SOPORTE ALA GESTIÓN

CANALES

Áreas Funcionales

ORGANISMOS

7

ÍNDICEÍNDICE

CAJA RURAL

PLANTEAMIENTOS

PREOCUPACIONES

MEDIDAS A APLICAR

CONCLUSIONES

8

PLANTEAMIENTOS PLANTEAMIENTOS

¿Qué Busca?¿Qué Busca?

EL NEGOCIO.

Prestar Servicios Sostenibles

LOS CLIENTES.

Fiabilidad, Confianza, Transparencia en: Información y Servicios.

9

PLANTEAMIENTOS PLANTEAMIENTOS

¿Quienes Intervienen en el Ciclo de los Servicios?¿Quienes Intervienen en el Ciclo de los Servicios?

LOS PROCESOS. Definen el Flujo Operativo

LAS TECNOLOGÍAS. Soportan los Procesos

LAS INFRAESTRUCTURAS. Soportan y Alojan las Tecnologías y a las Personas

LA INFORMACIÓN. Registros Críticos, Conocimiento

LAS PERSONAS. Operan y se Interrelacionan con ellos (Procesos, Tecnologías e Infraestructuras), recibiendo o prestando Servicios. SON CLAVE

10

1

2

Valores de las Personas en la Sociedad

Revolución Tecnológica y Científica3

4

Cambios en Mercados y Negocios

Nuevas Fronteras Geográficas y Legales

PLANTEAMIENTOSPLANTEAMIENTOSNuevo Paradigma GlobalNuevo Paradigma Global

11

5 Nuevos Eventos Gran Impacto aunque eran poco Probables

Necesidad de

CONFIANZA

Incremento de

CONTROL

Mitigación de

RIESGOS

RESILIENCIA

PLANTEAMIENTOS PLANTEAMIENTOS

Principios Básicos del ProcesoPrincipios Básicos del Proceso

FIABILIDADEN LOS SERVICIOS,

INFRAESTRUCTURAS, TECNOLOGIAS, INFORMACIÓN Y PERSONAS

PROTEGER (Activos con Medidas Seguridad yControles)

OPTIMIZAR(Analizar y AuditarRiesgos, Controles,Calidad Activos y Componentes)

SIMPLIFICAR (ModelarEficientemente Procesos)

12

ÍNDICEÍNDICECAJA RURAL

PLANTEAMIENTOS

PREOCUPACIONES

MEDIDAS A APLICAR

CONCLUSIONES

13

PREOCUPACIONES PREOCUPACIONES

Aspectos Organizativos y EstratégicosAspectos Organizativos y Estratégicos

Aspectos Gestión y TácticosAspectos Gestión y Tácticos

Aspectos Técnicos y OperativosAspectos Técnicos y Operativos

Aspectos Globales y ComunicaciónAspectos Globales y Comunicación

Aspectos Culturales y CapacitaciónAspectos Culturales y Capacitación14

ÍNDICEÍNDICE

CAJA RURAL

PLANTEAMIENTOS

PREOCUPACIONES

MEDIDAS A APLICAR

CONCLUSIONES

15

MEDIDAS A APLICAR MEDIDAS A APLICAR Medidas Globales (Ámbito Estratégico)

LEGALESDIVULGATIVASINFORMATIVASFORMATIVASORGANIZATIVASOPERATIVASTÉCNICASCONTROLSEGUIMIENTO Y ANÁLISISAUDITORÍA

16

MEDIDAS A APLICAR MEDIDAS A APLICAR Medidas Globales (Ámbito Tiempo)

17

Medidas PREVENTIVAS:

Medidas DETECTIVAS:Medidas de RESPUESTAMedidas de INVESTIGACIÓNMedidas FORENSES

... Hitos en Calidad y Gestión ... Un Camino a la Mejora… Un Camino hacia el Gobierno TIC…Un Camino a la Excelencia…

18

A.N.S.

Sistema de Documentación.

Circuito aprobación

Defensor del Clientes. Acciones

Correctivas

CVS CMMi

Gestión de Riesgos

Encuesta de Satisfacción

Enfoque Cliente + Gestión Interna + Ciclo de Vida Proyectos Sw.

SGSI ISO27

Continuidad del Negocio

Buen Gobierno

valo

r

… ubicación del Buen Gobierno TIC… por encima hacia la RSC ISO 26000… el ENS en AAPP: un paso muy avanzado

Responsabilidad Social Corporativa ISO 26000

Gobierno de TI

CMMIISO

27000 / 22301/22031ISO

20000Estándares y mejores prácticas

Procedimientos Desarrollo Software

Procesos y Procedimientos

ISO38500

Principios de Seguridad y

Continuidad Global e Integral

Servicios ITIL

(Delivery)

ENS ENS ENS ENSENSENSESQUEMA NACIONAL SEGURIDAD

COBIT, VAL/IT, RISK IT

19

¿Por qué es importante el Buen Gobierno en TIC?

> >

>>

Gobiernode TI

Alineación

EstratégicaEntrega de Valor

Medición del

Desempeño Ad

min

istra

ción

de R

iesg

os

Administraciónde Recursos

Gobiernode TI

Alineación

EstratégicaEntrega de Valor

Medición del

Desempeño Ad

min

istra

ción

de R

iesg

os

Administraciónde Recursos

Gobiernode TI

Alineación

EstratégicaEntrega de Valor

Medición del

Desempeño Ad

min

istra

ción

de R

iesg

os

Administraciónde Recursos

Confianza en alta gerencia

Aumento del ROI

Respuesta efectiva TI al negocio

Mayor transparencia

Mayor confiabilidad de los servicios

BENEFICIOS

Valor / Costo Administrar servicios TI

Seguridad Manejar lacomplejidad

Alineamiento TI - Negocio

Cumplimientoregulatorio

DESAFÍOS

PROVEEDORES CLIENTES OTROSUSUARIOS ORGANISMOS

PARTES INTERESADAS EXTERNAS

ACCIONISTAS CONSEJO ADMÓN. EMPLEADOSGER. NEGOCIO GERENTES TI

PARTES INTERESADAS INTERNAS

20

PRINCIPIOS BG PRINCIPIOS BG

generan

Necesidad

POLÍTICA GLOBAL DE BUEN GOBIERNO TI

A varios niveles

SEGURIDAD

CONTINUIDAD

SERVICIOS

DESARROLLO

Responsabilidad

Estrategia

Adquisición

Rendimiento

Cumplimiento

Conducta Humana

21

SGBG (Buen Gobierno)

SGSI (Seguridad Información)SGAR (Análisis Riesgos) SGCN (Continuidad de Negocio)SGSTI (Servicios TI)SGCVS (Ciclo de Vida de Software)SGC (Calidad)SGRH (Recursos Humanos)

Política LOPD (Privacidad)Política PCI/DSS (Tarjetas)Política LOG’s (Evidencias) Política CERTIFICACIÓN (PKI’S)Política CLASIFICACIÓN (Información)......

gestionados

SISTEMA DE CALIDAD

Políticas Alto Nivel

Políticas por SG o Normativa

Procedimientos

Instrucciones de Trabajo

Estándares

Modelos

Principales Sistemas de Gestión y PolíticasPrincipales Sistemas de Gestión y PolíticasMEDIDAS A APLICAR MEDIDAS A APLICAR

22

Imprescindible …

Involucración de la Dirección

Gestión del Cambio

23

Concienciación de toda la Organización - CULTURA

Mejora “sostenible”

OU

TSOU

RC

ING

(New

Guidelines)

QU

ALITY

(ISO 9001)

PROYECT MANAGEMENT (PMBook)

BUSINESS CONTINUITY (BS25XXX, ISO22XXX, PNE71599)

SECURITY (ISO27 Series)

DEVELOMENT (ISO15504/CMMi Series DLC)

RISK MANAGEMENT (ISO31000)

IT SERVICES (ISO20000/ITIL V3)

BPO/BPM Services and Components

OTHERS STANDARDS

IT GOBERNANCE (ISO38500)

CONTEXTO Y RELACIONES

Normativa de Referencia - LEG’S & REG’S

25

Conformidad. Actividades Cuadro Mandos

26

EscenariosMapeo Controles

Ranking Controles

Cuadro Mandos

Benchmarc

InventarioLeg’s@Reg’s

Estimación CumplimientoBasada en ISO27002

La Certificación. Sello de Cumplimiento

ISO 14000Medio Ambiente

ISO 26000RSC

ISO 15504Calidad de Software (CVS)

ISO 38500Buen Gobierno TIC

27

ISO 31000RiesgosISO 9001

Calidad

BS/PNE 71599-1-2SGCN

ISO 20000Servicios (SGSTI)

ISO 27001/2SGSI

ENFOQUE A PROCESOS, HERRAMIENTAS Y ENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE RIESGOSGESTIÓN DE RIESGOS

28

ENFOQUE A PROCESOS, HERRAMIENTAS Y ENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE RIESGOSGESTIÓN DE RIESGOS

29

Y TIENE UN GRAN IMPACTOY TIENE UN GRAN IMPACTO

ECONÓMICO Y SOCIALECONÓMICO Y SOCIAL30

Y TIENE UN GRAN IMPACTOY TIENE UN GRAN IMPACTO

OPERATIVOOPERATIVO31

Y TIENE UN GRAN IMPACTOY TIENE UN GRAN IMPACTO

TECNOLÓGICO Y DE TECNOLÓGICO Y DE INFRAESTRUCTURASINFRAESTRUCTURAS

32

33

Y TIENE UN GRAN IMPACTOY TIENE UN GRAN IMPACTO

HUMANO EN LAS PERSONAS QUE OPERAN HUMANO EN LAS PERSONAS QUE OPERAN PROCESOS Y RECIBEN SERVICIOSPROCESOS Y RECIBEN SERVICIOS

34

Protocolos y Planes de Continuidad y Gestión de Crisis

Cada vez más Global e Interdependiente.

REQUIERE VISIÓN HOLÍSTICA

35

CAOS

Evitar CAOSEvitar CAOSPARTIPACIÓN CONJUNTA SEGURIDAD FISICA-CORPORATIVA, E INFORMACIÓN - LÓGICA

LIDERAZGO y COORDINACIÓN

EQUILIBRIO

MEDIDAS/CONTROLES

PASO A PASO

GESTIÓN DE RIESGOS

PARTITURA = PLAN GESTIÓN CRISIS

CONTROL DE COSTESy ESTABILIDAD EN EL TIEMPO

ORDEN

36

37

OBJETIVOS

EN DEFINITIVA BUSCAR Y GARANTIZAR

LA “CONFIANZA Y FIABILIDAD”

DEL NEGOCIO, DE LOS SERVICIOS, DE LAS INFRAESTRUCTURAS, SUMINISTROS, TECNOLOGIAS, INFORMACIÓN y PERSONAS.

DE NUESTRO ECOSISTEMA(SOCIEDAD).....

ÍNDICEÍNDICE

CAJA RURAL

PLANTEAMIENTOS

PREOCUPACIONES

MEDIDAS A APLICAR

CONCLUSIONES

38

CONCLUSIONES CONCLUSIONES Los riesgos siempre han estado ahí, permanecerán y

crecerán exponencialmente a la complejidad.…

Como el Mundo existe, los Riesgos existen

39

CONCLUSIONES CONCLUSIONES

40

Como el Mundo Digital es Global, el Riesgo cada vez es más Global

CONCLUSIONES CONCLUSIONES

La Seguridad Total es un Mito;no puedealcanzarse a un coste razonable. El 100%

de protección no existe.

41

CONCLUSIONES CONCLUSIONES

… pero nosotros debemos invertir en la gestionar el Riesgo, por encima de todo, para prevenirlo y garantizar en todo lo posible Superar las Crisis

42

CONCLUSIONES CONCLUSIONES

SSííndromendrome de Cassandra:de Cassandra: tu predices el futuro y el aumento de las amenazas, vulnerabilidades, en definitiva, los Riesgos, tu inviertes más para prevenirlos, por lo que tienes más control que otros, pero

eso dificulta justificar tu presupuesto.

OJO…. A los Eventos de Alto Impacto y Poca Probabilidad

43

Con Plataformas Comunes, con Colaboración, con una Gestión de Gobierno TIC robusta es más

sencillo y más Eficiente en Costes

CONCLUSIONES CONCLUSIONES

44

CONCLUSIONES CONCLUSIONES En la Gestión del Gobierno TIC, el Tamaño y

Criticidad importa, pero No Solo Eso.

Hay Empresas Pequeñas, muchas, pueden llegar a

ser: Críticas para otras.

45

CONCLUSIONES CONCLUSIONES Acciones a Tomar

INVERTIR en SEGURIDAD Obtener el BENEFICIO depoder CONFIAR en las AUTOPISTAS de la

INFORMACIÓN y en las REDES para el DESARROLLO y SOSTENIBILIDAD de la SOCIEDAD de la INFORMACIÓN DIGITAL Y

EL CONOCIMIENTO...

MEDIANTE EL GOBIERNO TIC...MEDIANTE ESQUEMA NACIONAL DE SEGURIDAD...

MEDIANTE PROTECCIÓN II.CC. ...GARANTIZANDO LA CONTINUIDAD...

46

47

COLABORACION y CULTURA para un mejor Gobierno TIC es un “deber”.

Una Oportunidad para TOD@S para Garantizar una Mejor Continuidad de nuestro Negocio y Servicios

CONCLUSIONES CONCLUSIONES

CONCLUSIONES CONCLUSIONES Acciones a Tomar

48

“COOPERAR, COORDINAR,

COMUNICAR,COLABORAR”

IDEAS + INTELIGENCIA + INVESTIGACIÓN = INNOVACIÓN

INNOVACIÓN + DESARROLLO = EVOLUCIÓN A FUTURO

INVENTARIO DE ACTIVOSConclusiones. Las Ventajas Timón Gobernanza. Disponer del PLAN.

1. Superar posibles Impactos Sistémicos o No, sobre: Infraestructuras, Servicios, Tecnologías, Personas (Activos Críticos) del Sector Público y/o Privado.

2. Estabilidad Social y Confianza de Partes Interesadas: Mercados, Personas, .... 3. Minimizar Costes4. Superar Crisis en el menor Tiempo 5. Aumento de la Confianza de los Clientes y Ciudadanos.6. Crear Cultura de Continuidad y Resiliencia.7. Capacidad de Respuesta y Remediación8. Maximizar Recuperación de Personal Afectado y Continuidad de Servicios9. Protección ante Responsabilidades y Sostenibilidad Global y Progreso10. Alineamiento de Buenas Prácticas: Metodología y Política Definida y Viva. Mejora (PDCA)

En definitiva, prepararnos ante: Retos y Riesgos que la Sociedad Digital nos va deparando y demandando Existentes y Futuros.

49

TENDENCIAS Y EVOLUCIÓN Objetivo Final. GESTIÓN INTEGRAL E INTEGRADA

“LA SEGURIDAD vs CONTINUIDAD GLOBAL, AL IGUAL QUE LA CALIDAD, Y EN GENERAL LAS DISCIPLINAS HORIZONTALES DE

LA COMPAÑÍA, ES COSA DE TODOS Y EMPIEZAN POR UNO MISMO. NO SE PUEDEN VER DE MANERA AISLADA, SINO COMO CONCEPTO GLOBAL Y DENTRO DE LOS PROCESOS DEL NEGOCIO

Y SERVICIOS”Pedro P. López

50

ENFOQUES BGTI Satisfacción

Fiabilidad

Mejora Continua

CausaRaíz

ProcesosY

Componentes

< Coste

PREVENCIÓN

CalidadAuditorias

Control Interno

Gestión de Seguridad

Arquitectura de Seguridad

Medidas Seguridad y ControlesInformación

Canales Y

DispositivosProcesos

Infraestructuras Personas

51

Detección Temprana y Respuesta

Preguntas

52

Preguntas

• ¿A qué tienen que dar continuidad las organizaciones?

‐ ¿Qué es necesario recuperar y proteger? Importancia de la clasificación de la información en el proceso y plan de continuidad global de negocio.

‐ ¿Qué fases existen en una práctica real de continuidad de negocio?

‐ ¿Qué parámetros son imprescindibles valorar (económicos, humanos, de imagen…)?

‐ ¿Cuánto pueden perder las empresas y qué están haciendo las compañías?

‐ ¿Cuáles son los riesgos?

‐ ¿Cuál es el retorno de la inversión cuándo se habla de continuidad de negocio?

‐ Obligaciones y responsabilidades en una organización en materia de Continuidad de negocio, desde una perspectiva global.

‐ Recomendaciones y mejores metodologías.

53

Preguntas

•¿Qué entendéis por Continuidad Global de Negocio? ¿Es posible garantizar "razonablemente" la continuidad de una organización sin este enfoque global? ¿Es posible desarrollar el modelo sin un mapa integral de riesgos?.

¿Se está afrontando de forma "global" los modelos de continuidad en las grandes organizaciones y empresas de España? ¿Con que nivel de madurez? ¿Y en el caso de las PYMES?

¿Quién debería liderar la gestión del modelo en las organizaciones? ¿Qué papel debería desempeñar el CSO? ¿Qué otros roles se ven especialmenteinvolucrados? ¿Pensáis que tienen "ventaja" las organizaciones que han adoptado un modelo convergente de gestión de seguridad o este aspecto no es relevante?

¿Qué leyes y regulaciones sectoriales nos pueden ayudar a apalancar la "continuidad global"? ¿Pensáis que la continuidad está suficientemente regulada en nuestro país? ¿Qué efecto cabe esperar de la Ley PIC?

54

Evolución de Seguridad. Objetivo Final.

SEGURIDAD Y CONTINUIDAD GLOBAL ANTE UN MUNDO GLOBAL

55

56

“I look to the future because that's where

I'm going to spend the rest of my life”

Woody Allen

Muchas Gracias

Pedro Pablo López BernalGerente Seguridad, Privacidad y Continuidad Global R.S.I. (Grupo Caja Rural)

pedro_pablo_lopez_rsi@cajarural.com

57

58

el valor dela innovación.

“Rural Servicios Informáticos (RSI): una propuesta de valor””“25 Años: Outsourcing Integral en Cloud”

RSI

59