CONTINUIDAD GLOBAL DEL NEGOCIO
Congreso DINTEL :
- CONTINUIDAD DE NEGOCIO 2012 -
“Aspectos Legales en Continuidad de Negocio”
26 de septiembre
“25 Años: Servicios Financieros en Cloud”
4
ENTIDADES / CLIENTES
Outsourcing TI
Seguros
Banco Back-Office
Principales COMPAÑÍAS (3)
CAJA RURAL
ESTRUCTURA
que nos conozcas un poco más ...
RSI • Constitución en 1986
• Adquisición de solución bancaria en 1987.
• Incorporación de Entidades hasta 1999.
• Diseño y desarrollo de una nueva plataforma
(Core Bancario Iris) .
• Incremento de la oferta de servicios relacionados.
• Lanzamiento Internacional en 2011 (Nessa GBS).
que nos conozcas un poco más ...
RSI
Más de 5 Mil Millones transacciones
procesadas en 2011
Hablamos de HECHOS, no de
conceptos
Entendemos QUÉ supone operar
las TIC de una Entidad Financiera.
Los Números nos delatan
7
CLIENTES CUENTAS CRÉDITOSDEPÓSITOS
RENTA FIJATARJETAS
TPV’S BANCA ONLINE CAJEROS TERMINALES TRANSAC.DIA
7.429.785 5.040.728 855.700 869.882 3.069.448
75.118 826.724 3.686 14.525 13.200.000
VOLUMENES NEGOCIO
CAJA RURAL
8
que nos conozcas un poco más ...
Un poco de visión retrospectiva (25 años)...
Evolución de las Soluciones y Servicios a Entidades ...
1987
valo
r
Core bancario
Centro de
Información
Banca
Electrónica /
Telefónica
Sistemas de
Información de
Gestión (SIG)
Sistemas
CRM
Sistemas de
Movilidad
Sistemas
GED
Servicios
de Valor
1992 2000 2001 2002 2003 2005 2007 2008 2012
tiempo
Medios de
Pago
1986
S
En busca de la
Sostenebilidad
Desde la Experiencia …
que nos conozcas un poco más ...
RSI hacia la Sostenibilidad
25 años de trayectoria: 1987- 2012
Tenemos Visión a Largo Plazo de las TIC’s
y de la Relación con Clientes, Empleados, ...
Estamos para Quedarnos porque somos Resilientes
Disponemos de Planes que nos ayudan a Prevenir Sucesos
10
servicios
soluciones
Soluciones y Servicios ...
Ayudamos con Amplísima oferta de ...
... nuestras soluciones y servicios dan respuesta a todas las necesidades...
COREBANKING
GESTIÓN
COMERCIAL
CONTROL
DE GESTIÓN
RIESGOS
SOPORTE A
LA GESTIÓN
CANALES
Áreas
Funcionales
ORGANISMOS
... desde 2007 a 2012 hemos alcanzado Reconocimientos ...
Nuestro valor diferencial ...
Somos una referencia en el mercado ...
2007 - CMMi – Ciclo Vida Software
2010 - SGSI - ISO27001 – Procesos Negocio / Servicio
2010 - BGTI – ISO38500 – Procesos Gobierno / Soporte
2012 - PCI/DSS – Council PCI – Procesos Tarjetas Pago
2012/13 - … Trabajamos en CONTINUIDAD y …
Bajo un Modelo de Madurez, Mejora e Innovación ...
Global, Integral e Integrado en busca de:
Calidad, Optimización y camino a la Excelencia.
Algunas Citas
Interoperabilidad
Una apuesta… Interoperabilidad
“Ningún hombre es una isla, algo completo en sí mismo; todo hombre es un
fragmento del continente, una parte de un conjunto.” Donne John
Moraleja: LAS PARTES HACEN EL TODO y EL TODO NO ES TAL
SIN LAS PARTES
“Si buscas resultados distintos, no hagas siempre lo mismo.” Albert Einstein
Moraleja: EL MOTOR DEL CAMBIO ES EL PROPIO CAMBIO y LAS
IDEAS
“Internet es positivo porque nos une, nos conecta, incluso a las personas
mayores, al estar conectado nos prolonga la vida y no solamente añade años
a la vida, sino vida a los años.” Luis Rojas Marcos
Moraleja: INTEROPERAR NOS APORTA VALOR Y EFICIENCIA,
REDUCE COSTES Y MEJORA EL “TIME TO MARKET” y FACILITA...
En estos Tiempos MEJOR QUE MEJOR. Esencial en CONTINUIDAD
14
PLANTEAMIENTOS. Lo que Importa
¿Otra Visión…? Desde la Experiencia
IMPACTOS En el NEGOCIO (BIA).
Servicios NO Sostenibles = COSTES
IMPACTOS En los CLIENTES (IMAGEN)
DES-Confianza = REPUTACIÓN
15
PLANTEAMIENTOS. Elementos
IMPACTOS : ¿Causados por…?
PROCESOS. Mal gestionados, mal definidos, mal operados, sin documentar,
dependientes de personas críticas, ...
TECNOLOGÍAS. Mal implantadas, no adecuadas, no monitorizadas, poco
flexibles, …
INFRAESTRUCTURAS. Sin reparar en su importancia, no protegidas,
obsoletas o sin adecuado mantenimiento, …
INFORMACIÓN. No clasificada, no inventario registros críticos, sin conocer los
flujos que sigue, mal ubicada, con medidas de seguridad deficientes, …
PERSONAS. SON CLAVE. No Concienciadas, No Informadas, No Formadas,
No Capacitadas, No Entrenadas, No Coordinadas, … SIN CULTURA
16
Sociedad Global. VALORES en Cambio.
Avances Tecnológicos. REDES GLOBALES
1
2
Nuevos Mercados Online y Negocios CLOUD y NUEVOS CANALES
Ruptura Fronteras en CIBERESPACIO. >RIESGOS = CIBERATAQUES
3
4
Necesidad de
CONFIANZA
Incremento de
CONTROL
Mitigación de
RIESGOS
PLANTEAMIENTOS. Nuevos Paradigmas
5 Nuevos EVENTOS Gran Impacto, poco Probables, más Frecuentes…
RESILIENCIA DEL NEGOCIO, SERVICIOS,
INFRAESTRUCTURAS, TECNOLOGIAS,
INFORMACION, PERSONAS
17
PLANTEAMIENTOS. Ley de Mínimos
NO SOLO… Principios Básicos del Proceso
FIABILIDADEN LOS SERVICIOS,
INFRAESTRUCTURAS, TECNOLOGIAS, INFORMACIÓN Y PERSONAS
PROTEGER (Activos con
Medidas Seguridad yControles)
OPTIMIZAR(Analizar y AuditarRiesgos, Controles,Calidad Activos y Componentes)
SIMPLIFICAR (Modelar
Eficientemente Procesos)
NO BASTA SOLO… UN PLAN DE CONTINUIDAD
18
PLANTEAMIENTOS. Preparándose
ES NECESARIO… Sentido Común a Raudales y Lenguaje
Común.
ES OBLIGATORIO… Nuestra Matriz de Relaciones con Partes
Interesadas (TODAS y Priorizadas)
ES ACONSEJABLE… Definir la Continuidad como un Proceso y
asignar Responsables
ES VITAL… Definir un Plan de Comunicación y un Protocolo de
Respuesta ante Sucesos (Incidentes)
ES BUENA PRÁCTICA… Crear CULTURA mediante la
Concienciación, Divulgación, Formación, Entrenamiento, …
19
PLANTEAMIENTOS. Sintonizándose
GLOSARIO y TERMINOLOGÍA … Las Legislaciones y
Normativas como:Ley y RD de II.CC., Ley Seguridad Privada,
LOPD, ISO22301, ISO27xxx, ISO31000, ISO38500, ISO20000,
ISO15504, ISO9001… Nos ayudan.
CONCEPTOS… Contingencia, Continuidad, Resiliencia,
Sostenibilidad, Fiabilidad, Transformación Adaptativa,
Evolución… no son lo mismo y todos se relacionan entre sí.
GRADUAR SUCESOS Y ESCALADO… En el Protocolo de
Respuesta desde un Evento-Alarma-Alerta-Incidencia-Incidente-
Problema-Crisis-Emergencia-Catástrofe-Caos-Extinción.
DEFINIR MENSAJES… En un Plan de Comunicación y cruzado
con Matriz de Actores e Impactos,
21
PREOCUPACIONES a TODO NIVEL
Aspectos Organizativos y Estratégicos
Aspectos Gestión y Tácticos
Aspectos Técnicos y Operativos
Aspectos Globales y Comunicación
Aspectos Culturales y Capacitación
CAMBIOS TECNOLÓGICOS y USOS CONSTANTES
23
NUEVOS CANALES Y DISPOSITIVOS
DESCARGAS APPS STORESLINKS
DATOS EN CLOUD
DATOS SENSIBLES
EVENTOS A TODOS LOS NIVELES
24
Sociedad
Educación
Redes Sociales
Impactos
Buscadores
Nuevos Retos
ATAQUES SISTEMÁTICOS Y
PERSONALIZADOS
“El impacto del Cibercrimen en
las Empresas”
“Dispositivos Móviles han
aumentado los Incidentes de
Seguridad en las Empresas”
25
Cubrir Riesgos y Amenazas
Phishing y Usurpación
Identidad Multiples Nuevos Vectores Smarphones
AMENAZAS QUE EVOLUCIONAN Y SE PERSONALIZAN
Redes Inalámbricas
26
AMENAZAS. IMBRICADAS Y RELACIONADAS.
¡INDUSTRIA DEL MAL! - GLOBALIZADA
SUCESOS de TODO TIPO - Naturales o no
27
TENDENCIAS. TROYANOS… ¡LAS HERRAMIENTAS PARA
CIBER-DEFRAUDAR EN BANCA ONLINE Y SMARPHONES!
¡O PARA COMENZAR UNA CIBER-GUERRA!
PENETRACIÓN TROYANOS
BANCARIOS (G Data)
Desde 2006 detectando un total de 2,57 millones de
nuevos tipos de malware en 2011, un 23% más que el año
anterior. La amenaza más repetida serían los troyanos,
programas espía y adware, confirmando que el robo de
información personal y la publicidad no deseada (G Data)
Synowall, Zeus, Stuxtnet, Flame,
las nuevas armas…
31
INVENTARIO DE ACTIVOSCICLO DE VIDA DE Continuidad. SGCN
1. Análisis de Contexto del Negocio. Viabilidad, Compliance, ROI, Ubicaciones,...
2. Evaluación de Riesgos y BIA. Escenarios y Contramedidas. (Prevención)
3. Matriz de Actores. Con Flujos y Relaciones. Procesos, Servicios, Activos y Canales
4. Implantación de Controles y Salvaguardas. Plan de Seguridad Integral en
Infraestructuras, Personas, Activos, Información, …
5. Operación y Protocolo de Actuación, Respuesta y Coordinación ante Sucesos
6. Plan de Comunicación y Mensajes Prestablecidos. Análisis de Evolución y
Tendencia de a Imagen y Reputación. Portavoces.
7. Comité de Crisis y Emergencias. Liderado por Experto y Multidisciplinar.
8. Pruebas Periódicas de Controles, Protocolos, Planes (SGCN alineado con SGSI,
SGTSI, … bajo el Gobierno TIC y Gobierno Corporativo de la Organización)
9. Auditoria y Benchmarc de Mercado contra Mejores Prácticas (Compliance)
10. Mejora Continua, Innovación, Adaptación y Eficiencia
32
MEDIDAS A APLICAR
Medidas Globales (Ámbito Estratégico)
LEGALES
DIVULGATIVAS
INFORMATIVAS
FORMATIVAS
ORGANIZATIVAS
OPERATIVAS
TÉCNICAS
CONTROL
SEGUIMIENTO Y ANÁLISIS
AUDITORÍA
33
MEDIDAS A APLICAR
Medidas Globales (Ámbito Tiempo)
Medidas PREVENTIVAS:
Medidas DETECTIVAS:
Medidas de RESPUESTA
Medidas de INVESTIGACIÓN
Medidas FORENSES
34
CAOS
Evitar CAOS
PARTIPACIÓN CONJUNTA SEGURIDAD FISICA-CORPORATIVA, E INFORMACIÓN - LÓGICA
LIDERAZGO y
COORDINACIÓN
EQUILIBRIO
MEDIDAS/CONTROLES
PASO A PASO
GESTIÓN DE RIESGOS
PARTITURA = PLAN GESTIÓN
36
OBJETIVOS
EN DEFINITIVA BUSCAR Y GARANTIZAR
LA “CONFIANZA Y FIABILIDAD”
DEL NEGOCIO, DE LOS SERVICIOS, DE LAS
INFRAESTRUCTURAS, SUMINISTROS, TECNOLOGIAS,
INFORMACIÓN y PERSONAS.
DE NUESTRO ECOSISTEMA
(SOCIEDAD).....
37
Los riesgos siempre han estado ahí, permanecerán y
crecerán exponencialmente a la complejidad.…
Como el Mundo existe, los Riesgos existen
CONCLUSIONES
39
La Seguridad Total es un Mito;no puede
alcanzarse a un coste razonable.
El 100% de protección no existe.
CONCLUSIONES
40
… pero nosotros debemos invertir en la gestionar el
Riesgo, por encima de todo, para prevenirlo
y garantizar en todo lo posible Superar las Crisis
…SER RESILIENTES…
CONCLUSIONES
41
Con Plataformas Comunes, con Colaboración,
con una Gestión de Gobierno TIC robusta
Es más sencillo y más Eficiente en Costes
CONCLUSIONES
42
CONCLUSIONES Acciones a Tomar
INVERTIR en SEGURIDAD
Obtener el BENEFICIO de
poder CONFIAR en las AUTOPISTAS de la
INFORMACIÓN y en las REDES para
el DESARROLLO y SOSTENIBILIDAD de
la SOCIEDAD de la INFORMACIÓN DIGITAL Y
EL CONOCIMIENTO...
MEDIANTE EL GOBIERNO TIC...
MEDIANTE ESQUEMA NACIONAL DE SEGURIDAD...
MEDIANTE PROTECCIÓN II.CC. ...
GARANTIZANDO LA CONTINUIDAD...
43
COLABORACION y CULTURA para un mejor Gobierno TIC es un
“deber”.
Una Oportunidad para TOD@S para Garantizar una Mejor
Continuidad de nuestro Negocio y Servicios
CONCLUSIONES
44
CONCLUSIONES
Acciones a Tomar: REGLA 5 “C’s”
“COOPERAR,
COORDINAR,
COMUNICAR,
COLABORAR,
___________________________COMPARTIR”
IDEAS + INTELIGENCIA + INVESTIGACIÓN = INNOVACIÓN
INNOVACIÓN + DESARROLLO = EVOLUCIÓN A FUTURO
SOSTENIBILIDAD Y TRANSFORMACIÓN ADAPTATIVA
45
TENDENCIAS Y EVOLUCIÓN Objetivo Final. GESTIÓN INTEGRAL E INTEGRADA
“LA SEGURIDAD vs CONTINUIDAD GLOBAL, AL IGUAL QUE LA CALIDAD, Y EN GENERAL LAS DISCIPLINAS HORIZONTALES DE
LA COMPAÑÍA, ES COSA DE TODOS Y EMPIEZAN POR UNO MISMO. NO SE PUEDEN VER DE MANERA AISLADA, SINO COMO CONCEPTO GLOBAL Y DENTRO DE LOS PROCESOS DEL NEGOCIO
Y SERVICIOS”Pedro P. López
47
• 1. Qué cambios significativos aporta la nueva ISO22301 respecto a la BS25999
(PNE71599) y resto como ISO27031?
• 2. Qué tipo de escenarios conforme al cuadro de Continuam (César) abarca? 1, 1 y 2.
3. La Matriz de Actores, los Protocolos de Comunicación y el de Respuesta
Sucesos (Incidentes) parecen esenciales en un Plan de Continuidad?
• 4. Disponer de un SGCN (Plan de Continuidad) es Preventivo. Basta solo con eso? Y
si la realidad de los Sucesos supera nuestras previsiones?
• 5. La Cultura de la Organización, del Comité de Crisis y su Entrenamiento y
• Capacitación es esencial?
• 6. El Sentido Común y ser Resiliente, a la vez que Analítico y un poco Intrépido puede
ayudar a superar sucesos inesperados o que desborden las previsiones? Digamos la
mezcla de Cultura Anglosajona con la Latina.
• 7.La Resiliencia es consecuencia de estar bien preparado para la Continuidad ante
diferentes Sucesos.
• 8. Y que es la Sostebilidad? Ser Resiliente y Fiable en el Tiempo. Qué opina?
• 9. Volver a la Normalidad es siempre posible o más bien se superan las crisis?
• 10. Se está consolidando al Figura del Gestor de Continuidad de Negocio?
Preguntas a la Mesa
48
• 1. ¿Por qué apostastéis por las Certificaciones ..primero la BS25999 y ahora la
ISO22301?
• 2. ¿Se ha podido reaprovechar el trabajo de una para la otra o no?
• 3. ¿El camino para obtenerlas ha sido largo?
• 4. ¿Están alineadas con el resto de Sistemas de Gestión como SGSI?
• 5. ¿A efectos prácticos, que aporta el Certificado al SGSI?
• 6. ¿Continuidad necesita de la Seguridad? ¿Ambas en su concepto Integral y Global?
• 7. El resto de Disciplinas como: Privacidad (LOPD), PCI/DSS, Seguridad Física, Planes
de Autoprotección y Evacuación, Legislación de Seguridad Privada, Legislación de
II.CC., y otras como Riesgos Laborales, las habéis considerado también dentro de
vuestro SGCN Global?
• 8. El echo de pertenecer al Sector Financiero os ha dado algún tipo de ventaja o
sinergia a la hora de abordar vuestros Proyectos de Seguridad y Continuidad?
• 9. Foros como CECON o Iniciativas como Continuam os están siendo útiles?
• 10. Qué echáis en falta respecto a la Cultura de Continuidad y Resiliencia en España?
Y en el ámbito Latino?
Preguntas a Bankinter – GNEIS
49
• 1. El Sector vuestro, Transportes, es esencial para la Ciudadanía. ¿Cómo os ayuda la
Continuidad de Negocio a prestar vuestro Servicios día a día?
• 2. ¿Los nuevos Sistemas de Televigilancia que estáis implantando en los Autobuses
como os ayudan a prevenir situaciones que puedan llegar a generar un impacto no
deseado?
• 3. El Binomio Seguridad vs Continuidad creéis que deben ir de la mano y aprovechar
todas sus sinergias?
• 4. Cómo se gestiona un Plan de Continuidad con Servicios Mínimos ante una Huelga?
• 5 . El Plan y Entrenamiento de vuestras Plantillas os ayuda?
• 6. Definís Mensajes y Protocolos Clave de Actuación y Respuesta?
• 7. Os sincronizáis con CFS y Protección Civil para prevenir males mayores?
• 8. Soís como los Glóbulos Rojos que transportan oxígeno a las células, vosotros
transportáis por el torrente de calles de la Ciudad a miles de pasajeros día a día. La
coordinación es esencial entendemos?
• 9. Esta la nueva ISO22301 preparada para cubrir vuestras necesidades?
• 10. Disponéis de Grupos de Trabajo Sectoriales donde debatir Problemáticas Comunes
y analizar cómo abordarlas, similar a otros sectores como Financiero-Tributario, Telco,
Energético, ...
Preguntas a EMT
50
• 1. Como Proveedor especialista en Soluciones de Continuidad. La Comunicación es
esencial en momentos de Crisis?
• 2. Ha de estar previsto todo el Protocolo de Escalado?
• 3. Y los Mensajes predefinidos?
• 4. Ustedes aportan una solución como FACT24 que permite una mejor gestión. Cuales
son sus 3 puntos o ventajas principales?
• 5. Existe conciencia en España del uso de este tipo de Soluciones?
• 6. Y de lo que implica en cuanto a tener claramente organizado todos los Protocolos?
• 7. Como nos ayudaría FACT24 ante Sucesos No Previstos?
• 8. La Cultura de uso entre España, UE, EE.UU., LATAM difiere sustancialmente?
• 9. La normativa o legislación hace referencia al uso de este tipo de Soluciones en
alguna de estas zonas geográficas?
• 10. Considera que al menos en aquellos Servicios Esenciales o Críticos sería una
Buena Práctica contar con Soluciones de Localización, Escalado, Coordinación
automatizadas que ayuden a mejorar la gestión y sobre todo los tiempos que son
críticos en esos momentos de crisis?
Preguntas a F24
51
• 1. Como Proveedor especialista en Análisis y Planes de Continuidad cual es su
experiencia en cuanto a la adopción de los mismos en Grandes Organizaciones?
• 2. Existen Figuras dedicadas a la Continuidad en las mismas?
• 3. Involucran a la Gestión de Riesgos y Seguridad Integral de la Compañía?
• 4. Las PYMES consideran puede ser un nicho de Negocio y necesario que dispongan
de Planes de Continuidad, como Proveedoras en la Cadena de Suministro?
• 5. En el caso de AA.PP. , basta con lo que exige el ENS e ENI ? Algunas estarán
además sujetas a la Ley y RD de II.CC.? El resto opinan que debería seguir la buena
práctica de normas como la ISO22301 en cuanto a su Plan de Continuidad?
• 6. Respecto a Planes de Seguridad Sectoriales, han ayudado ustedes a
Organizaciones y/o Órganos de Coordinación a la elaboración de los mismos?
• 7. Son necesarios para imbricar digamos Planes de Empresa con Planes Sectoriales o
incluso otros de índole superior como Territoriales, Comunitarios o Nacionales?
• 8. Respecto a Planes Transfronterizos marcados por Directivas como la de II.CC. Que
consideran como Ley de Mínimos? Ejemplo Espacio Unión Europea.
• 9. Siguen ustedes alguna Metodología de Implantación?
• 10. Se apoya en alguna normativa específica?
•
Preguntas a COBSER
SEGURIDAD Y CONTINUIDAD GLOBAL ANTE UN MUNDO GLOBAL
Evolución . Objetivo Final.
INTEROPERABILIDAD: ESTÁNDARES, NORMAS, LEYES GLOBALES
SERVICIOS
CONFIABLES,
SOSTENIBLES,
MODULARES,
A MEDIDA
PROCESOS
EFICIENTES
EN COSTES
Y CON
CALIDAD
53
Pedro Pablo López Bernal
Gerente Seguridad, Privacidad y Continuidad Global R.S.I. (Grupo Caja Rural)
Muchas Gracias
54
el valor dela innovación.
“Rural Servicios Informáticos (RSI): una propuesta de valor”“25 Años: Servicios Financieros en Cloud”
Top Related