RSI

1

Proyecto Proyecto

Cumplimiento estándar PCI Cumplimiento estándar PCI DSS en RSI DSS en RSI –– CAJA RURALCAJA RURAL

2ª Jornada Seguridad Medios de Pago ITSA

Noviembre 2010

ÍNDICEÍNDICE

CAJA RURAL

PLANTEAMIENTOS Y PREOCUPACIONES

MEDIDAS A APLICAR Y VISIÓN RSI

EL PROYECTO PCI/DSS

CONCLUSIONES

3

CAJA RURAL

ESTRUCTURA

4

ENTIDADES (73) ENTIDADES (73) COMPAÑÍAS (3)COMPAÑÍAS (3)

Outsourcing Outsourcing TITI

SegurosSeguros

Banco BackBanco Back--OfficeOffice

CAJA RURALVOLUMENES NEGOCIO

5

CLIENTES

7.429.785CUENTAS5.040.728

CRÉDITOS

855.700DEPÓSITOSRENTA FIJA

869.882

TARJETAS

3.069.448

TPV’S

75.118

BANCA ONLINE

426.724

CAJEROS

3.686

TERMINALES

14.525

TRANSAC.DIA

13.200.000

ÍNDICEÍNDICE

CAJA RURAL

PLANTEAMIENTOS Y PREOCUPACIONES

MEDIDAS A APLICAR Y VISIÓN RSI

EL PROYECTO PCI/DSS

CONCLUSIONES

6

1

2

Valores de las Personas en la Sociedad

Revolución Tecnológica y Científica3

4

Cambios en Mercados y Negocios

Nuevas Fronteras Geográficas y Legales

PLANTEAMIENTOSPLANTEAMIENTOSNuevo Paradigma GlobalNuevo Paradigma Global

7

Incremento de

CONTROL

Mitigación de

RIESGOSNecesidad de

CONFIANZA

PLANTEAMIENTOS PLANTEAMIENTOS

Principios Básicos del Proceso de GestiónPrincipios Básicos del Proceso de Gestión

FIABILIDADINFORMACIÓN Y

DE SU TRATAMIENTO

PROTEGER (Activos con Medidas Seguridad yControles)

OPTIMIZAR(Analizar y AuditarRiesgos, Controles,Calidad Activos y Componentes)

SIMPLIFICAR (ModelarEficientemente Procesos)

8

PREOCUPACIONES PREOCUPACIONES Fraude Interno / ExternoFraude Interno / Externo• ASOCIADO A EMPLEADOS• ASOCIADO A PERSONAL EXTERNO QUE TRABAJA EN PROYECTOS• ASOCIADO A PROCESOS• ASOCIADO A FUNCIONES• ASOCIADO A ATRIBUCIONES • FRAUDE COMBINADO O EN CONNIVENCIA• ASOCIADO A TECNOLOGÍA Y EQUIPOS• ASOCIADO AL TIPO DE NEGOCIO• FRAUDE TRADICIONAL EN GENERAL (CONTABLE, VENTAS, COMERCIAL, LOGISTICO, INFORMACIÓN, MATERIAL, etc.)

9

ÍNDICEÍNDICE

CAJA RURAL

PLANTEAMIENTOS Y PREOCUPACIONES

MEDIDAS A APLICAR Y VISIÓN RSI

EL PROYECTO PCI/DSS

CONCLUSIONES

10

MEDIDAS A APLICAR MEDIDAS A APLICAR Medidas Globales alineadas con PCI/DSS y.....

Arquitecturas Modulares Basadas en Web ServicesSistemas de Autenticación y Validación AVFSistemas de Información por Doble CanalSistemas de AutoServicio por Desafio/RespuestaSistemas de Geolocalización de la Conexión y Tipo de Dispositivo Sistemas de Patrones y Comportamiento del Cliente y de las OperacionesSistemas de Filtros de Tipos de Operaciones, Importes, Franjas HorariasSistemas de Bloqueo Online de Operaciones 24x7Sistemas Automáticos de Comunicación y AlertaSistemas Expertos de Estudio de la Psicología Digital y ComportamientoEstandarización de una Base de Medidas Tecnológicas Mínimas

11

MEDIDAS A APLICAR MEDIDAS A APLICAR Medidas Globales (Ámbito Estratégico)

LEGALESDIVULGATIVASINFORMATIVASFORMATIVASORGANIZATIVASOPERATIVASTÉCNICASCONTROLSEGUIMIENTO Y ANÁLISISAUDITORÍA

12

MEDIDAS A APLICAR MEDIDAS A APLICAR

13

Medidas Globales (Ámbito Tiempo)Medidas PREVENTIVAS:

Concienciar al Usuario (La Seguridad Empieza por Uno Mismo)

Monitorizar Operaciones, Casos y “Modus Operandi”

Instalar Herramientas de Análisis.

Medidas DETECTIVAS:Herramientas Detección Temprana y Aviso

Medidas de RESPUESTA (Servicios, Protocolos, CFS)

Medidas de INVESTIGACIÓN (Análisis de LOG’s, Modus Operandi, etc.)

Medidas FORENSES (Trazabilidad de Evidencias y Hechos)

SGBG (Buen Gobierno)SGSI (Seguridad Información)SGAR (Análisis Riesgos) SGCN (Continuidad de Negocio)SGSTI (Servicios TI)SGCVS (Ciclo de Vida de Software)SGC (Calidad)SGRH (Recursos Humanos)

Política LOPD (Privacidad)

Política PCI/DSS (Tarjetas)Política LOG’s (Evidencias) Política CERTIFICACIÓN (PKI’S)Política CLASIFICACIÓN (Información)......

gestionados

SISTEMA DE CALIDAD

Políticas Alto Nivel

Políticas por SG o Normativa

Procedimientos

Instrucciones de Trabajo

Estándares

Modelos

Principales Sistemas de Gestión y PolíticasPrincipales Sistemas de Gestión y PolíticasMEDIDAS A APLICAR MEDIDAS A APLICAR

14

Normativa de Referencia - LEG’S & REG’S

FRAMEWORK RIESGOS Y CONTROLES COMÚN15

Conformidad. Actividades Cuadro Mandos

16

EscenariosMapeo Controles

Ranking Controles

Cuadro Mandos

Benchmarc

InventarioLeg’s@Reg’s

Estimación CumplimientoBasada en ISO27002

La Certificación. Sello de Cumplimiento

ISO 14000Medio Ambiente

ISO 26000RSC

17

ISO 15504Calidad de Software

ISO 9001Calidad

ISO 18000Comunicaciones

ISO 20000ITIL

ISO 31000Riesgos

BS/ISO 25999PCN

ISO 27001, 2, 3, 4SGSI

Metodologías de Referencia y ApoyoEl Timón de la Gobernanza

18

ENFOQUE A PROCESOS, HERRAMIENTAS Y ENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE RIESGOSGESTIÓN DE RIESGOS

19

ENFOQUE A PROCESOS, HERRAMIENTAS Y ENFOQUE A PROCESOS, HERRAMIENTAS Y GESTIÓN DE RIESGOSGESTIÓN DE RIESGOS

20

MINIMICE IMPACTOMINIMICE IMPACTO

ECONÓMICO Y SOCIALECONÓMICO Y SOCIAL21

CONSIGA UN MÍNIMO IMPACTOCONSIGA UN MÍNIMO IMPACTO

OPERATIVOOPERATIVO22

SE ALINIEN LOS IMPACTOS EN BUSCA DE EFICIENCIASE ALINIEN LOS IMPACTOS EN BUSCA DE EFICIENCIA

TECNOLÓGICO Y DE TECNOLÓGICO Y DE INFRAESTRUCTURASINFRAESTRUCTURAS

23

24

E IMPACTEN LO MENOS POSIBLE EN EL E IMPACTEN LO MENOS POSIBLE EN EL ÁÁMBITOMBITO

HUMANO EN LAS PERSONAS QUE OPERAN HUMANO EN LAS PERSONAS QUE OPERAN PROCESOS Y RECIBEN SERVICIOSPROCESOS Y RECIBEN SERVICIOS

25

CON: Proyectos, Protocolos y Planes

Cada vez más Globales e Interdependientes.

REQUIEREN VISIÓN HOLÍSTICA

26

CAOS

Evitar CAOSEvitar CAOSPARA

LIDERAZGO y COORDINACIÓN

EQUILIBRIO

MEDIDAS/CONTROLES

PASO A PASO

GESTIÓN DE RIESGOS

PARTITURA = PLAN GESTIÓN CRISIS

CONTROL DE COSTESy ESTABILIDAD EN EL TIEMPO

ORDEN

27

28

OBJETIVOS

EN DEFINITIVA BUSCAR Y GARANTIZAR

LA “CONFIANZA Y FIABILIDAD”

MEDIANTE

“El CUMPLIMIENTO”

MEDIANTE MEDIANTE

29

producto

POLÍTICAS yPOLÍTICAS y

PROTOCOLOS DEPROTOCOLOS DE

GESTIÓN Y GESTIÓN Y

RESPUESTARESPUESTA

Acciones Preparatorias

Acciones Informativas

Acciones Preventivas

Acciones Detectivas

Acciones de Respuesta

Acciones de Revisión, Seguimiento y Mejora

ÍNDICEÍNDICE

CAJA RURAL

PLANTEAMIENTOS Y PREOCUPACIONES

MEDIDAS A APLICAR Y VISIÓN RSI

EL PROYECTO PCI/DSS

CONCLUSIONES

30

LA NORMATIVA DE PCI DSS SOLO APLICA SI LOS PAN (Primary Account Number):

1. SE ALMACENAN

2. SE PROCESAN

3. SE TRANSMITEN

31

Ficha del ProyectoFicha del Proyecto

32

Fase I: Análisis PreliminarFase II: Valoración de RiesgosFase III: Programa de Cumplimiento

Fase IV: ImplementaciFase IV: Implementacióón Plan de n Plan de AcciAccióónn

Fase 0: Escaneos ASVFase V: AuditoríaFase VI: Certificación y Oficina Soporte PCI a ENTIDADES

Métricas (KPI)

Esquematización del Proyecto (Jul/2010)

33

1. Identificación Entorno (CHDM)

2. Revisión Documental

3. Implementación controles lógicos

4. Implementación controles físicos

01

1. Identificación Entorno2. Revisión documental3. Controles lógicos4. Controles físicos5. Tareas recurrentes

Ficha del Proyecto

Esquematización del Proyecto

5. Desarrollo tareas recurrentes

2. Comentarios adicionales

34

Visa Europe Member Letter

Giro en el Proyecto

2. Comentarios adicionalesGiro en el Proyecto

35

Visa Europe Member Letter

FechasPayment Card Industry (PCI) Data Security Standard

36

• 1 de Octubre de 2010: Las Entidades Financieras deben asegurarse de que todos los Agentes y proveedores de servicios con los que trabajen están certificados en PCI DSS

• 31 de diciembre de 2010: Fecha límite para las Entidades Adquirentes para comunicar su plan para cumplir con PCI DSS

Es importante tener en cuenta que:

a finales de Octubre de 2010 el PCI SSC ha publicado la versión2.0 de PCI DSS,

que entra en vigor en Enero de 2011.

Plan de Trabajo PCI DSS: Entidades

37

Cada Entidad debe desarrollar las siguientes tareas:

1. Identificación del alcance: Reuniones con las áreas involucradas y ubicación de operativas en donde se almacene, procese y/o transmita el PAN

2. Creación de inventario (CHDM) y flujos de comunicación (diagramas): que permitirán comprender e identificar los activos involucrados en el alcance, sus interfases, entradas y salidas de información con PAN.

3. Diferenciales de documentación: comparativa entre los soportes documentales (políticas, estándares, guías, procedimientos, etc.) con lo requerido por el estándar PCI DSS

4. Inicio de las actividades de implementación conforme con Prioritized Approach for DSS 1.2 (Documento Council agilizar Proceso)

Plan de Trabajo PCI DSS: Entidades

38

Prioritizad Approach for DSS 1.2:• Fase 1: Eliminar la información relativa a la autenticación y limitar la retención

de información

• Fase 2: Proteger el entorno (perímetro) así como las intranets y las redes wireless

• Fase 3: Aplicaciones Seguras

• Fase 4: Monitorización y control de acceso a las aplicaciones

• Fase 5: Proteger la información del titular almacenada (número de tarjeta)

• Fase 6: Todos los demás requisitos

De todo ello, se deben establecer fechas y asignar actividades. Redactarlo como un plan de trabajo y presentarlo a SERMEPA en nombre de cada Entidad.

Plan de Trabajo PCI DSS: Entidades-Comercios

39

Es responsabilidad de cada Entidad validar que sus comercios (Merchants) cumplan con los requisitos exigidos por la normativa conforme con la cantidad de transacciones anuales realizadas.

Siendo así, se deben desarrollar las siguientes actividades (por cada Entidad):

• Notificación a los comercios de la presentación de reportes (SAQ)

• Definición de fechas límite a cada comercio para la presentación de reportes

• Recepción y validación de SAQ por parte de cada Entidad (mantener un inventario de SAQs recibidos y pendientes)

De igual manera, la Entidad debe establecer un canal de comunicación con su comercio para la resolución de dudas, soporte y escalamiento en caso de problemas.

Proyecto TOKENIZACIÓN. “REQUERIMIENTO”

Para cumplir con el requerimiento 3.4, RSI ha definido una estrategia basada en tokenización:

40

Proyecto TOKENIZACIÓN. “REQUERIMIENTO”

Requerimiento 3.4. Enfocado a la protección del PAN durante el almacenamiento:

41

Proyecto TOKENIZACIÓN. “MECANISMO”

Protección del PAN mediante token:

42

EntidadesPAN Table

ID PAN PAN (t)

1 4607751234565432 4607758104705432 Clientes

In PCI DSS scope

46077581047054321

PAN (t)ID

Query

Copias de seguridad

Procesos Internos

Ficheros

Out of PCI DSS scope

Proyecto TOKENIZACIÓN. “VENTAJAS”

43

Mediante el uso de la TOKENIZACIÓN se obtienen las siguientes ventajas:

• Los datos tokenizados (obtenidos como salida de la “token database”) no son interpretados como PAN ni su PAN relacionado puede ser inferido(*), por lo tantono son afectados por el cumplimiento de PCI DSS, minimizando el alcance de cumplimiento y el riesgo de almacenamiento tanto a nivel interno como en Entidades y clientes finales, proporcionando un nivel de seguridad mayor en la transmisión y procesamiento.

• El token puede tener la misma longitud o ser parte de un PAN, con lo cual no se afecta la estructura de datos en el almacenamiento (base de datos)

• Todo ello supone gran ahorro de costes tanto de implantación como de mantenimiento y proceso posterior, al minimizar tanto el SCOPE (Alcance) como el consumo de ciclos de CPU en cifrado y descifrado de datos continuo en el tiempo.

Proyecto TOKENIZACIÓN. “RETOS”

44

Con el empleo de la TOKENIZACIÓN, nos enfrentamos a los siguientes retos:

• Un token no puede ser usado como un instrumento financiero y en términos detrazabilidad y conciliación no se tiene otro valor más que la referencia a la transacción original

• La relación entre un token y un PAN es única para el proveedor de servicios (Service Provider)

• Si alguien compromete la base de datos de tokens (token database) de forma que pueda hacer trazabilidad de transacciones, el sistema completo pierde validez.

• Un token no puede revelar información ni permitir inferir el PAN al que hace referencia

Proyecto TOKENIZACIÓN. “SCOPE”

45

Los controles de PCI DSS deben ser aplicados de forma obligatoria a todos los activos que procesen, almacenen y transmitan datos de tarjetas de pago, así como también a aquellos dispositivos que de forma directa o indirecta ofrecen servicios a dichos activos. Esto se denomina CardHolder Data Environment(CDE).

Debido a los costes asociados en tiempo, recursos, herramientas y mantenimiento de los controles de PCI DSS, cuanto mayor sea el CDE mayores serán los costes de implementación y mantenimiento de PCI DSS en la organización.

Por el contrario: si el CDE es limitado, dichos costes se minimizan, de igual forma que el riesgo asociado al PAN.

Proyecto TOKENIZACIÓN. “Gráfico SCOPE”

Firewall

543142536176

ENTIDAD

Identificación de procesos que requieren el uso de PAN en texto claro (fraude, incidencias, etc.). Serán tratados

como excepciones.

Firewall

In PCI DSS scope

PROVEEDOR SERVICIOS InformáticosAlmacenamiento de PAN cifrado en Bases de

Datos (BD2 – Oracle)

ID PAN (Cifrado) Token

1 ADE3452f$637Af$ 123456789012

2 Afteuy&3726SGFE 543142536176

3 ER5$·7ashuGRETA 534671098365

4 TRT%)?98jGtyags 435244162763778

… … …

Out of PCI DSS scope

ENTIDAD

Operativa con PAN tokenizado

Subrutinas de Tokenización / Destokenización

46

Proyecto TOKENIZACIÓN. “Estado Post-Tokenización”

47

Con la implementación de una solución de Tokenización, el alcance se reduce:

• Únicamente en operativas identificadas, justificadas y securizadas se procesa/almacena/transmite el PAN en texto claro.

• Se eliminan los repositorios de datos de PAN locales de cada Entidad

• Se aislan los activos relacionados con datos de tarjetas de pago

En promedio, el alcance de cumplimiento (activos afectados) se reduce

en un 60-75%.Riesgo: BAJO (Posterior a la implementación de controles)

Tiempo estimado de implementación: Menor conforme complejidad Entidad

Costes asociados implementación y mantenimiento: BAJO

Proyecto TOKENIZACIÓN. “Consideraciones Adicionales”

48

Se deberán tener en cuenta:

• Cifrado: el campo PAN (donde reside el PAN en texto claro en la base de datos) debe ser cifrado.

• Rutinas de recuperación: se deberán identificar procesos, servicios y aplicaciones que requieren el uso del PAN en texto claro (por ejemplo: fraude) y establecer rutinas (webservices, vistas, etc.) que permitan extraer el PAN en texto claro con un token definido.

•

• Estas rutinas deberán ser securizadas (controles de acceso, auditoría, codificación, integridad, etc.)

En caso de utilizar una herramienta de mercado para Tokenización, es posible que algunos temas como webservices, generación de tokens, etc. estén ya resueltos

Proyecto TOKENIZACIÓN. “Implantación en RSI”

49

RSI (Rural Servicios Informáticos), siguiendo con la línea de proveer confianza a Entidades y clientes en transacciones con datos de tarjetas de pago, está empezando a definir una serie de actividades para el uso de tokenización, con el fin de minimizar el ámbito de cumplimiento de PCI DSS y reducir el riesgo de compromiso de datos durante la transmisión y procesamiento.

Para ello, se han definido una serie de fases de implementación que conllevan ciertos cambios en la estructura y procesamiento de información de tarjetas de pago.

Datos en uso

Altas Nuevas

HistóricosDefinición

Proyecto TOKENIZACIÓN. “Implantación en RSI”

Datos en uso

Altas Nuevas

HistóricosDefinición

50

En proceso implementación: una solución de Tokenización. Se están analizando dos opciones:

• Adquisición de una solución comercial que provea cifrado y tokenización, así como las interfaces necesarias y conectores para procesos de tokenización/des-tokenización

• Desarrollo (MMPP) para proceder con cambios en la base de datos central que contemple cifrado del PAN y rutinas de tokenización/des-tokenización

Ambas soluciones deben cumplir de forma íntegra con los preceptos fijados por el PCI SSC respecto: tokenización (generación, asignación, transmisión y almacenamiento)

Proyecto TOKENIZACIÓN. “Implantación en RSI”

Datos en uso

Altas Nuevas

HistóricosDefinición

La idea detrás del proyecto es la siguiente:

Entendiendo que un PAN tokenizado no es un dato afectado por PCI DSS, los controles dejan de ser obligatorios a ser recomendados. Así mismo – y a pesar de ya no ser obligatorio – se pretende continuar con las rutinas de enmascaramiento.

51

Proyecto TOKENIZACIÓN. “Implantación en RSI”

Datos en uso

Altas Nuevas

HistóricosDefinición

52

Dentro del proceso de implementación progresiva, se empezará con las “altas nuevas”. A partir de una fecha corte, TODAS las nuevas tarjetas en el momento de su generación tendrán asociado un token que se almacenará conjuntamente con el resto de información en la base de datos.

Este proceso aplicará tanto a altas nuevas online y masivas (batch).

En el momento en que se inicie este proceso, todas las aplicaciones, programas batch, procesos y subprocesos deberán estar en la capacidad de recibir y procesar tokens y PAN de forma indistinta hasta que se finalice la migración.

Proyecto TOKENIZACIÓN. “Implantación en RSI”

Datos en uso

Altas Nuevas

HistóricosDefinición

53

En cuanto a “datos en uso” (es decir: el parque de tarjetas de pago que se encuentra actualmente válido previo al proceso de “altas nuevas”), se procederá con una migración progresiva y paralela, generando token a cada PAN almacenado.

Proyecto TOKENIZACIÓN. “Implantación en RSI”

Datos en uso

Altas Nuevas

HistóricosDefinición

54

Para “históricos”, se procederá de dos formas:

• Se definirá y revisará una “política de retención” para establecer umbrales máximos de almacenamiento histórico de datos de tarjetas conforme con las necesidades legales y de negocio. Cualquier dato fuera de este umbral de retención será eliminado de forma segura.

• Se procederá con la generación de tokens asociados a PAN en históricos (en bases de datos y copias de respaldo) hasta donde sea posible. Esto para permitir la interacción de herramientas de consulta y estadísticas (data warehousing) en procesos en los cuales se requiere el PAN.

Proyecto OFICINA PCI. “Principales Actividades”

55

La Oficina Técnica de PCI DSS de RSI (Rural Servicios Informáticos) es un servicio que RSI pone a disposición de Entidades, cuyo funcionamiento es similar a la Oficina de LOPD.

Algunas de las funciones que la Oficina de PCI DSS ofrecerá a sus asociados son:

• Ayuda (técnica y documental) en el proceso de implantación

• Consultoría y diagnóstico de cumplimiento previo y por fases

• Desarrollo de formularios para obtención de información interna

• Soporte en la redacción de cláusulas relacionadas con PCI DSS

• Revisiones y auditorías periódicas

• Acceso a plantillas de documentación, formularios, diagramas, etc.

• Soporte en la evaluación de alternativas técnicas de implementación.

Entre otros.

DEFINICIÓN PLAN DE ACCIÓN ENTIDADESFASE I: Definición del Entorno PCI DSS

56

DEFINICIÓN PLAN DE ACCIÓN ENTIDADESFASE II: Análisis de estado de cumplimiento

FASE III: Priorización de Acciones Correctivas

57

DEFINICIÓN PLAN DE ACCIÓN ENTIDADESFASE IV: Elaboración del Plan de Acción

58

ÍNDICEÍNDICE

CAJA RURAL

PLANTEAMIENTOS Y PREOCUPACIONES

MEDIDAS A APLICAR Y VISIÓN RSI

EL PROYECTO PCI/DSS

CONCLUSIONES

59

CONCLUSIONES CONCLUSIONES Acciones a TomarAnte el Fraude Globalizado y Organizado solo cabe una Respuesta:

Globalizar y Coordinar Acciones entre todos:Council, QSA, ISP, Entidades, Comercios

Autoregular Mejores Prácticas en Materia de Seguridad y Respuesta y PCI/DSS es una MUY BUENA solución para armonizar Medidas de Seguridad en TARJETAS, junto con ISO27001 y LOPD, entre otras normativas y Legislaciones.

Informar, Formar y Concienciarnos de que la Seguridad es parte de nuestra Vida y de los Procesos. Todo el Personal involucrado desde ámbito Técnico hasta en el propio Comercio debe estar alineado con el Cumplimiento. La CULTURA es mejor que la mayoría de las Medidas.

Compartir Información y Definir Flujos y Circuitos de la misma entre Grupos de Trabajo y Mejores Prácticas en Entidades, ISP’s, Comercios y Usuarios Finales

Medir el Progreso de las Acciones y Generar Indicadores y Estándares de Cumplimiento y del seguimiento y evolución del Fraude

Evitar la Impunidad de Quienes cometen Fraude coordinando con CFSE y Autonómicos.

Elegir las Soluciones más Sencillas y menos Costosas como TOKENIZACIÓN que aportan beneficios en el Cumplimiento y en la Adopción del mismo en las Entidades, ISP’s y Comercios.

60

CONCLUSIONES CONCLUSIONES

El Fraude siempre ha estado ahí y permanecerá.…

Como el Mundo existe, el Fraude existe

61

CONCLUSIONES CONCLUSIONES

62

Como el Mundo Digital es Global, el FraudeDigital cada vez es más Global

CONCLUSIONES CONCLUSIONES

La Seguridad Total es un Mito;no puedealcanzarse a un coste razonable. El 100%

de protección no existe.

63

CONCLUSIONES CONCLUSIONES

… pero nosotros debemos invertir en la lucha contra el Fraude, por encima de

todo, para prevenirlo

64

CONCLUSIONES CONCLUSIONES

SSííndromendrome de Cassandra:de Cassandra: tu predices el futuro y la evolución de los ataques de Fraude, tu inviertes más para

prevenirlos, por lo que tienes menos fraude que otros, pero eso dificulta justificar tu presupuesto

65

CONCLUSIONES CONCLUSIONES

Con una Plataforma Común de TI (Core Banking y otras Aplicaciones) teniendo una

Seguridad robusta es más sencillo y más eficiente en costes

66

En la Lucha contra el Fraude, el tamaño también importa

CONCLUSIONES CONCLUSIONES

67

CONCLUSIONES CONCLUSIONES

68

En el Sector Bancario, COLABORACION contra Fraude es un “deber”

CONCLUSIONES CONCLUSIONES Acciones a Tomar

69

INVERTIR en SEGURIDAD Obtener el BENEFICIO depoder CONFIAR en las AUTOPISTAS de la

INFORMACIÓN y en las REDES para el DESARROLLO y SOSTENIBILIDAD de la SOCIEDAD de la INFORMACIÓN DIGITAL Y

EL CONOCIMIENTO...

CONCLUSIONES CONCLUSIONES Acciones a Tomar

70

“COOPERAR, COORDINAR,

COMUNICAR,COLABORAR”

IDEAS + INTELIGENCIA + INVESTIGACIÓN = INNOVACIÓN

INNOVACIÓN + DESARROLLO = EVOLUCIÓN A FUTURO

INVENTARIO DE ACTIVOSConclusiones. Las Ventajas Timón Gobernanza. Disponer del PLAN.

1. Superar los posibles Impactos Sistémicos o no, sobre: las Infraestructuras, Servicios y Personas Críticas del Sector Público y Privado.

2. Estabilidad y Confianza de Mercados3. Alineamiento de Buenas Prácticas4. Estabilidad Social ante Eventos de Gran Magnitud (Paz Social)5. Capacidad de Respuesta y Remediación6. Vuelta a la normalidad en menor Tiempo.7. Sostenibilidad Global8. Protección ante Responsabilidades9. Minimizar Costes10. Maximizar Recuperación de Personal Afectado y Continuidad de Servicios11. Superar Crisis12. Trabajar bajo una Metodología y Política Definida y Viva. Mejora (PDCA)13. Crear Cultura de Continuidad y Resiliencia.14. Aumento de la Confianza de los Clientes y Ciudadanos.15. Mayor Progreso

En definitiva, estar preparados para los retos que la nueva Sociedad Digital nos va deparando y demandando ante los Riesgos existentes y futuros.

71

TENDENCIAS Y EVOLUCIÓN Objetivo Final. SEGURIDAD INTEGRAL

“LA SEGURIDAD, AL IGUAL QUE LA CALIDAD, Y EN GENERAL LAS DISCIPLINAS HORIZONTALES DE LA COMPAÑÍA, ES COSA DE TODOS Y EMPIEZAN POR UNO MISMO. NO SE PUEDEN VER DE MANERA AISLADA, SINO COMO CONCEPTO GLOBAL Y DENTRO

DE LOS PROCESOS DEL NEGOCIO”Pedro P. López

72

ENFOQUESSatisfacciónFiabilidad

Mejora Continua

CausaRaíz

ProcesosY

Componentes

< Coste

PREVENCIÓN

CalidadAuditorias

Control Interno

Gestión de Seguridad

Arquitectura de Seguridad

Medidas Seguridad y ControlesInformación

Canales Y

DispositivosProcesos

Infraestructuras Personas

73

Detección Temprana y Respuesta

MODELO DE SEGURIDAD (MIGS)Marco de Referencia y Metodología a Seguir.

–Objetivos de SeguridadObjetivos de SeguridadObjetivos de Seguridad

Políticas / Estrategias

Normativas

Procedimientos

Normativas

Procedimientos

Para lograr los

objetivos

Control Interno

Negocio Legales Otros

Auditoria

•TECNICOS•NO TECNICOS

Nivel de Riesgo Nivel de SeguridadContinuidad del negocio

Aplicando ESTANDARES, para obtener:

• Calidad

• Fiabilidad

Del Método y de la Información

Consideraciones / Requisitos

Marco

Operativo

Funciones de Control

74

Evolución de Seguridad. Objetivo Final.

SEGURIDAD GLOBAL ANTE UN MUNDO GLOBAL

75

76

“I look to the future because that's where

I'm going to spend the rest of my life”

Woody Allen

Muchas Gracias

Pedro Pablo López BernalGerente Infraestructura Seguridad, Auditoria y

Normalización R.S.I. (Grupo Caja Rural)pedro_pablo_lopez_rsi@cajarural.com

77

Preguntas

78

RSI

79