Presentación de PowerPoint - secureit.es · & Rol establecido para la coordinación de las...

27
1 SISTEMA DE GESTION DE PREVENCIÓN DEL DELITO Francisco Valencia Arribas Director General [email protected] 658 457 524

Transcript of Presentación de PowerPoint - secureit.es · & Rol establecido para la coordinación de las...

1

SISTEMA DE GESTION DE PREVENCIÓN DEL DELITO

Francisco Valencia ArribasDirector General

[email protected] 457 524

2

Agenda

Modelo General de Gestión de Riesgos

Prevención del Delito dentro de un marco global de GRC

Implantación de un Sistema de Gestión de GRC

Dificultades y principales retos

2

3

4

5

Art 31 bis 5 del Código Penal1

Secure&IT Gold Security6

3

1• Identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.

2• Establecimiento de los protocolos o procedimientos que concreten el proceso de formación de la voluntad

de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos

3• Disposición de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los

delitos que deben ser prevenidos.

4• Imposición de la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de

vigilar el funcionamiento y observancia del modelo de prevención.

5• Establecimiento de un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas

que establezca el modelo.

6• Verificación periódica del sistema y de su eventual modificación cuando se pongan de manifiesto infracciones

relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.

MODELO DE ORGANIZACIÓN Y GESTIÓN PARA PREVENCIÓN DE DELITOS CP 31BIS-5

4

MODELO GENERAL DE GESTIÓN DE RIESGOS

& BASADO EN EL CICLO DE DEMINGDE MEJORA CONTINUA

& MODELO ADOPTADO EN ISO 27001,22301, 31000, 19600…

& PERMITE EL ANÁLISIS YTRATAMIENTO DE RIESGOS DE UNMODO ESQUEMÁTICO Y SENCILLO

& PERMITE EL ESTABLECIMIENTO DEMODELOS ÚNICOS DE GESTIÓN DERIESGOS.

& EXISTEN HERRAMIENTAS QUEAYUDAN A SU IMPLANTACIÓN

Análisis de riesgos

Definición de medidas

Implantación

Vigilancia y control

Planes de repuesta

Mejora continua

Contexto, Objetivos y Alcance

Requisitos Stakeholders

LIDERAZGOPOLÍTICAS

5

SISTEMA DE GESTIÓN DE PREVENCIÓN DEL DELITO

1• Identificación de las actividades en cuyo ámbito

puedan ser cometidos delitos.

2• Establecimiento de procedimientos, de adopción

de decisiones y de ejecución de las mismas.

3• Gestión de los recursos financieros adecuados

para impedir la comisión de delitos.

4• Obligación de informar de posibles riesgos e

incumplimientos al encargado del sistema

5 • Establecimiento de un sistema disciplinario

6• Verificación periódica del sistema y de su

eventual modificación

Análisis de riesgos

Definición de medidas

Implantación

Vigilancia y control

Planes de repuesta

Mejora continua

Contexto, Objetivos y Alcance

Requisitos Stakeholders

LIDERAZGOPOLÍTICAS

1

2

3

4

5

6

1

11

6

& COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SUCONTEXTO

& Cuestiones externas e internas que son pertinentes para supropósito

& Contexto regulatorio, social y cultural& Situación económica& Políticas internas& Procedimientos y Procesos& Recursos

& DETERMINACIÓN Y COMPRESIÓN DE LAS NECESIDADESY EXPECTATIVAS DE LAS PARTES INTERESADAS

& DETERMINACIÓN DEL ALCANCE => LÍMITES YAPLICABILIDAD

& Limites geográficos y/u organizativos& Aspectos internos y externos

CONTEXTO, OBJETIVOS Y ALCANCE

Análisis de riesgos

Definición de medidas

Implantación

Vigilancia y control

Planes de repuesta

Mejora continua

Contexto, Objetivos y Alcance

Requisitos Stakeholders

7

PREVENCIÓN DEL DELITO DENTRO DE UN MARCO GRC

Governance, Risk and

Compliance

Prevención del Delito

Protección de Datos

Ciberseguridad

Continuidad de Negocio

Contratos con clientes

ISO 27001

Seguridad física y ambiental

Regulación sectorial

& PREVENCIÓN DEL DELITO& PROTECCIÓN DE DATOS& COMERCIO ELECTRÓNICO& BLANQUEO DE CAPITALES& PRESTADORES DE SERVICIOS& FIRMA ELECTRÓNICA& ESQUEMA NACIONAL SEGURIDAD& MEDIDAS BANCO DE ESPAÑA& MEDIDAS CNMV& PCI-DSS& FDA& ISO 27001 / ISO 22301 / ISO 20000& ISO 27017& HIPA& SOX& MEDIDAS DE CLIENTES& MEDIDAS SECTORIALES& ETC…

Análisis de riesgos

Definición de medidas

Implantación

Vigilancia y control

Planes de repuesta

Mejora continua

Contexto, Objetivos y Alcance

Requisitos Stakeholders

8

& Todos los requisitos indicados y sus riesgos asociados tienen un punto encomún: Los sistemas que gestionan la información de la empresa.

& Por ello, un punto de integración es la realización de un análisis de losriesgos tecnológicos y de información de los distintos marcos.

& La aplicación de contramedidas tecnológicas ayudará de manera eficaz a lareducción de los riesgos comunes.

& Podrán existir medidas específicas a aplicar en cada grupo de requisitos.

ANÁLISIS DE RIESGOS

Análisis de riesgos

Definición de medidas

Implantación

Vigilancia y control

Planes de repuesta

Mejora continua

Contexto, Objetivos y Alcance

Requisitos Stakeholders

9

PROCESOS OPERATIVOS& ESTABLECIMIENTO DE POLÍTICAS

& ROLES Y RESPONSABILIDADES (COMPLIANCE MANAGER, SEGREGACIÓN DE TAREAS)

& PROCESO DE AUTORIZACIÓN DE ACCESO

& ANÁLISIS DE RIESGOS

& CONCIENCIACIÓN Y FORMACIÓN (MANUAL DE PREVENCIÓN DE DELITOS)

& ALTA Y BAJA EN LA EMPRESA

& SEGURIDAD FÍSICA Y AMBIENTAL

& MANTENIMIENTO DE SISTEMAS

& PROCESO DE DESTRUCCIÓN DE INFORMACIÓN

& TELETRABAJO

& GESTIÓN DE EVENTOS, INCIDENCIAS Y CAMBIOS

& PLAN DE CONTINUIDAD DE NEGOCIO

Análisis de riesgos

Definición de medidas

Implantación

Vigilancia y control

Planes de repuesta

Mejora continua

Contexto, Objetivos y Alcance

Requisitos Stakeholders

10

PROCESOS DE CONTROL& GESTIÓN Y CONTROL DE ACTIVOS FINANCIEROS

& GESTIÓN Y CONTROL DE ACTIVOS TECNOLÓGICOS

& CONTROL DE DONCIONES, ESPONSORIZACIÓN, REGALOS…

& PROCESOS DE CONTROL Y AUDITORIA

& RÉGIMEN DISCIPLINARIO

& GESTIÓN DE PROVEEDORES

& AUDITORÍA INTERNA Y EXTERNA

& MECANISMO DE INVESTIGACIÓN INTERNA

& MONITORIZACIÓN Y VIGILANCIA& CENTRO DE OPERACIONES& CANAL DE DENUNCIAS

Análisis de riesgos

Definición de medidas

Implantación

Vigilancia y control

Planes de repuesta

Mejora continua

Contexto, Objetivos y Alcance

Requisitos Stakeholders

11

… Y MEDIDAS DE SEGURIDAD TI& SEGURIDAD PERIMETRAL Y EN REDES DE COMUNICACIONES

& CONTROL DE PUESTO DE TRABAJO Y SERVIDORES

& SERVICIOS WEB

& COPIAS DE SEGURIDAD

& USO DE LOS SISTEMAS DE TI

& ANTIMALWARE

& SEGURIDAD EN BASES DE DATOS

& CRIPTOGRAFÍA

& SEGURIDAD EN DISPOSITIVOS MÓVILES

& PREVENCIÓN DE FUGA DE INFORMACIÓN

Análisis de riesgos

Definición de medidas

Implantación

Vigilancia y control

Planes de repuesta

Mejora continua

Contexto, Objetivos y Alcance

Requisitos Stakeholders

12

& Medio eficaz de autocontrol para luchar contra lacomisión de delitos.

& Canal de comunicación de prácticas ocomportamientos irregulares

& Confidencialidad. Investigación de denuncias,Comunicación de resultados al denunciante

& Obligación Denuncia vs Deber secreto => Elsecreto como valor de empresa, no puede serentendido como encubridor de hechos ilícitos

& Buena fe contractual vs denuncia => La buena feno ampara prácticas ilegales por parte delempresario

& Fichero especialmente protegido

& Analizar la mejora de la eficacia si es externalizado

CANAL DE DENUNCIAS

Análisis de riesgos

Definición de medidas

Implantación

Vigilancia y control

Planes de repuesta

Mejora continua

Contexto, Objetivos y Alcance

Requisitos Stakeholders

13

MONITORIZACIÓN Y VIGILANCIA

Satisfacer la demanda que le es exigida ala organización.

& Exigencias Legales (Privacidad…)& Normas Sectoriales (PCI-DSS, ENS…)& Estándares (ISO 27001 / 22301….)& Medidas dispuestas por Clientes

Permiten dotar al CEO de un “cuadro demando” de la gestión de su seguridad.

& Identificación y valoración de Activos& Análisis de Riesgos& Roles y Responsabilidades& Medidas aplicadas y sus Resultados& Procedimientos de prevención

Protegen las vulnerabilidades propias delos sistemas informáticos:

& Sistemas anti malware& Protección contra hackers& Copias de seguridad& Criptografía

OTNEIMILP

MUCS

OSECORP

IT DADIRUGES

Informes de cumplimiento

Requerimiento de monitorizar

Cuadros de mando

Detección de eventos e incidentes

Correlación de eventos

Análisis de riesgos

Definición de medidas

Implantación

Vigilancia y control

Planes de repuesta

Mejora continua

Contexto, Objetivos y Alcance

Requisitos Stakeholders

14

& ESTABLECIMIENTO DE MEDIDAS DE CONTROLTÉCNICO

& REGIMEN DISCIPLINARIO

& CANAL DE COMUNICACIÓN CON CUERPOS YFUERZAS DE SEGURIDAD

& MECANISMO DE INFORMACIÓN A POSIBLESVÍCTIMAS O PARTES INTERESADAS

& SUSPENSIÓN CAUTELAR DE LA ACTIVIDADAFECTADA

& ETC…

DEFINICIÓN DE ACTUACIONES

Análisis de riesgos

Definición de medidas

Implantación

Vigilancia y control

Planes de repuesta

Mejora continua

Contexto, Objetivos y Alcance

Requisitos Stakeholders

15

& Establecer para cada control un grado de implantación

& Establecer para cada control una medida de eficacia

& Establecer para cada control un peso relativo en laprevención del delito

& Analizar el grado de consecución de los objetivos

& Analizar el grado de implantación de controles

& Analizar la eficacia y eficiencia de los controles

& Chequear la reducción efectiva del riesgo

& Repetir este proceso de manera periódica o cuandohaya cambios significativos en la valoración de riesgos

& Preferentemente auditoría por auditor externo

MEDIDAS, MÉTRICAS Y AUDITORÍA

Análisis de riesgos

Definición de medidas

Implantación

Vigilancia y control

Planes de repuesta

Mejora continua

Contexto, Objetivos y Alcance

Requisitos Stakeholders

16

ADECUACIÓN A NORMAS UNE-ISO/IECSEGURIDAD DE LA INFORMACIÓN - ISO 27001

Permite planificar, ejecutar, verificar y mejorar unconjunto de controles y medidas técnicas, deprocedimientos y organizativas que permitirán reducir elriesgo de Seguridad en las Organizaciones y, sobre todo,dotarlas de un esquema de gestión de los procesos deseguridad.

SERVICIOS DE TI - ISO 20000

Permite garantizar el alineamiento de los servicios de ITcon los requerimientos y estrategia del gobiernocorporativo de la empresa.

CONTINUIDAD DE NEGOCIO - ISO 22301

Cualquier organización, grande o pequeña, disminuirá laposibilidad de que ocurra cualquier incidente destructivoy, en caso de producirse, la organización estarápreparada para responder de forma adecuada y reducirdrásticamente el daño potencial del incidente

ADECUACIÓN A UNE/ISO-IEC

& Mejora la organización de la empresa& Reduce drásticamente los riesgos& Permite disponer de cuadros de mando& Dota acceso a nuevos mercados y clientes& Permite demostrar buenas prácticas& Adecuada gestión de imprevistos& Cientos de controles de auditoría& Reducido consumo de recursos

GESTIÓN DE

RIESGOS

SGSI ISO27001

SGSTI ISO20000

SGCN ISO22301

17

Agenda

Modelo General de Gestión de Riesgos

Prevención del Delito dentro de un marco global de GRC

Implantación de un Sistema de Gestión de GRC

Dificultades y principales retos

2

3

4

5

Art 31 bis 5 del Código Penal1

Secure&IT Gold Security6

18

¿Cómo se coordinan todas?

GESTIÓN DE

RIESGOS

CUMPLIMIENTONORMATIVO

PROCESOSCORPORATIVOS

SEGURIDADINFORMÁTICA

VIGILANCIA Y CONTROL

19

PRINCIPALES DIFICULTADES

Falta de liderazgo

Equipo multidisciplinar

Fuertes inversiones

Proyecto multidepartamental

Dificultad en la valoración de

activos

Falta de formación

Dificultad para comprender los

riesgos

Falta de prioridad

Falta de foco, no es el principal

cometido de nadie en la empresa

Existen “parches” parciales a la seguridad y el cumplimiento

No identificación de partes interesadas y

sus requisitos

Falta de apoyos

Análisis de riesgos

Definición de medidas

Implantación

Vigilancia y control

Planes de repuesta

Mejora continua

Contexto, Objetivos y Alcance

Requisitos Stakeholders

20

COMPLIANCE OFFICER& ¿QUIEN ES EL COMPLIANCE OFFICER?

& Rol establecido para la coordinación de las distintas áreas y especialistas para dar soporte a lareducción del riesgo de incumplimientos.

& Puede ser una persona interna, externa, o un Comité multidepartamental

& Debe disponer de independencia, autoridad, recursos, acceso a la información,responsabilidades, comunicación, concienciación

& Puede (y debería) ser el mismo que ejerce de DPO o Responsable de Seguridad

& FUNCIONES& Diseño e implementación de un Programa de Prevención del Delito

& Integración de varios Sistemas de Gestión

& Políticas de evaluación

& Políticas de Compliance

& Políticas de control de empleados

& Políticas de control de datos e información

& Herramientas de evaluación del riesgo penal

21

El Sistema de Gestión de Seguridad y el cumplimiento debe estar gestionado por un equipomultidisciplinar y con capacidad de actuar con los distintos departamentos de la empresa:

EL COMITÉ DE SEGURIDAD Y CUMPLIMIENTO

Comité de Seguridad

Dirección

Tecnologías de la información

Dirección financiera

Proveedores

OperacionesDesarrolloProducción

Asesoría Jurídica

Ventas y Marketing

Logística

Cumplimiento

Procesos

Seguridad TI

Riesgos

22

Agenda

Modelo General de Gestión de Riesgos

Prevención del Delito dentro de un marco global de GRC

Implantación de un Sistema de Gestión de GRC

Dificultades y principales retos

2

3

4

5

Art 31 bis 5 del Código Penal1

Secure&IT Gold Security6

23

& Secure&IT, como empresa especializada en ciberseguridady cumplimiento, ha desarrollado un servicio deacompañamiento que ayuda a las organizaciones aestablecer un Sistema de Gestión de Seguridad de laInformación y el cumplimiento considerando:

& Protección de Datos& Cumplimiento normativo& Prevención del Delito Tecnológico& Procesos Corporativos de Seguridad& Seguridad de la Información

& Este programa de acompañamiento es reconocido ycertificado. Un programa que certifica un estrictocumplimiento de controles de seguridad que han sidoseleccionados por Secure&IT de entre los presentes en losmejores estándares y normativas de gestión de la Seguridad.

& Gracias a este servicio, su empresa contará con un COMITÉDE SEGURIDAD, formada por personal propio y porexpertos, que le ayudarán a medir y reducir sus riesgos, ydemostrar a terceros esta capacidad.

PROGRAMA GOLD SECURITY

24

COMPROMISO POR DIRECCIÓN

IDENTIFICACIÓN DE PROCESOS DE

NEGOCIO

IDENTIFICACIÓN Y VALORACIÓN DE

ACTIVOS DE INFORMACIÓN

IDENTIFICACIÓN DE MEDIDAS APLICABLES

AUDITORÍA DE CUMPLIMIENTO

PLAN DIRECTOR DE SEGURIDAD

APLICACIÓN DE CONTRAMEDIDAS

VIGILANCIA DE LA SEGURIDAD

PROGRAMA GOLD SECURITY

25

& Se establece un periodo de trabajo de 3 años, en los cuales:

& Se establece un Comité de Seguridad y cumplimiento con seguimientomensual

& Se realizan auditorías bienales de Protección de Datos, Seguridad Informática yProcesos

& Se establece un Plan Director de Seguridad y cumplimiento, con indicación delos proyectos a ejecutar en los tres años

& Se asegura el cumplimiento de la organización en la normativa que le es deaplicación

& Se implantan las medidas tecnológicas necesarias para el cumplimiento& Se establecen procesos corporativos de gestión de la seguridad& Se certifica a la organización conforme la norma ISO/IEC 27001:2013& Se integran los sistemas de TI de la organización en el SOC de Secure&IT& Se imparte formación y concienciación continuada (píldoras formativas

semanales)& Se crea el Canal de denuncias de Delitos

& Y todo ello bajo una única cuota mensual. Sin inversiones ni más gastos

PROGRAMA GOLD SECURITY

26

VENTAJAS Y BENEFICIOS DEL SERVICIO GOLD SECURITY

& Permite a las empresas centrarse en su Core Business.& Disponga en su Comité de Seguridad de los mejores profesionales multidisciplinares& Información sobre seguridad actualizada.& Adapta el número de recursos humanos a las necesidades de la Compañía.& Reduce los Riesgos económicos y de vulnerabilidades de sus sistemas.& Asegura la Calidad del servicio.& Disminuye los Costes.& Aumenta la capacidad de respuesta de la Compañía, ante amenazas.

OPCIONAL: SERVICIO GOLD SECURITY ON-PREMISES

& Disponga de una oficina técnica on-premises& Mayor eficacia y eficiencia del servicio GOLD SECURITY& Más rápida interlocución, mejor integración entre departamentos y órganos de decisión& Sin perder comunicación directa con los especialistas& Coste de la oficina técnica distribuida a lo largo de la vida del contrato

PROGRAMA GOLD SECURITY

27

MUCHAS GRACIAS

Francisco Valencia ArribasDirector General

[email protected] 457 524