Dossier SPOUG: Cumplimiento Normativo y Seguridad

Page 1

Grupo de InterĂŠs

Evento celebrado en Madrid el 23 de Octubre de 2014


Pรกgina 2


Las empresas deben cumplir las nuevas normas Europeas y Nacionales de Seguridad El 23 de Octubre, SPOUG Spain Oracle Users Group, el único Grupo de Usuarios en España avalado por Oracle, ha organizado el Seminario “Cumplimiento Normativo y Seguridad en el Nuevo Entorno Digital”, en el Hotel Holiday Inn de Madrid, donde diferentes expertos han explicado las tendencias y lo que está sucediendo en Europa y qué impacto tendrán sobre nuestras empresas. El Grupo de Interés de Segurity, Risk & Compliance de SPOUG decidió celebrar este evento en octubre para colaborar en la campaña European Cyber Security Month (ECSM), que es una campaña de la Unión Europea que tiene lugar este mes con el objetivo de promover la seguridad cibernética. Con tal fin este evento no sólo ha estado dirigido a los socios, sino a todas las empresas que desean prepararse en el ‘Compliance” requerido para 2015. Los participantes en el seminario han conocido de primera mano la información más actualizada sobre: • La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad • cómo afectan la reforma de la regulación normativa a las empresas europeas • recomendaciones para la seguridad de pagos • la nueva ISO/IEC 27001 versión 3 • el papel de la tecnología de seguridad para hacer posible innovar y competir en el mercado, según un enfoque asequible El seminario ha cumplido 100% con las expectativas de los asistentes, principalmente por la calidad de las ponencias y sus conferenciantes, así como el contenido tan completo definido por el Grupo de Interés de Seguridad, Riesgo y Cumplimiento Normativo de SPOUG. Con el presente Dossier SPOUG, queremos compartir todo el conocimiento divulgado por los expertos durante el Seminario. Os animo desde aquí a participar en este grupo de interés que para desarrollar las distintas líneas de acción y colaboración entre los profesionales en Cumplimiento Normativo, Riesgo y Seguridad Espero que disfrutéis de estas páginas, y no olvidéis expresar vuestros comentarios por Twitter a @spoug_es.

Pedro Robledo Gerente gerente@spoug.es

Página 3


Contenido Consejo Editorial Manuel Lozano Sebastián Reiter Pedro Robledo Carmen Larrumbi de Eduvigis Ortiz Moronta José Manuel Peláez Pedro S obrino Javier Barri o José Manuel López

Redacción y Publicidad Pedro Robledo gerente@spoug.es

Resumen y Testimonios

Introducción “El cumplimiento normativo y seguridad en el nuevo entorno digital” Mauricio L. Gumiel, Iberia Security Sales Director (Oracle) Introducción de la situación actual Europea y Nacional sobre el nuevo nivel de medidas de seguridad y cumplimiento normativo en las empresas ante el nuevo entorno digital.

Colaboradores Mauricio Gumiel Alessandro Vallega Oscar López Jesús Castillo Mª Elísabeth Iglesias Enri que Brandariz Javier Fermández

Cómo afectan los incidentes fraudulentos a las empresas europeas y cómo impactan en su cumplimiento normativo Alessandro Vallega, Security Business Developer Manager for Oracle South. Part of Clusit Board of Directors Exposición de los fraudes externos e internos, el riesgo operativo, las medidas de integridad de la información, etc.. Explicación de la necesidad de fortalecer la regulación, supervisión y gestión de riesgos de las empresas.

Edita SPOUG Spain Oracle Users Group

Todos los derechos reservados. Se autoriza la reproducción total o parcial con cita expresa de la fuente “Dossier SPOUG 23 Octubre 2014”. Los editores no se hacen responsables de las opiniones vertidas por los autores en esta publicación, ni comparten necesariamente sus criterios.

Compliance: La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad Oscar López, Abogado experto en TIC/Consultor Legal (UBT Compliance) Análisis de la responsabilidad en la gestión del cumplimiento de obligaciones legales en la compañía, responsabilidades civiles y penales y el respeto a la privacidad, estudiando especialmente la reforma del marco jurídico europeo sobre protección de datos personales, cuyo Reglamento ha sido aprobado por el Parlamento Europeo en marzo de 2014 y cuya aprobación definitiva se prevé a lo largo del año 2015. Este Reglamento fortalece los derechos individuales y exige obligaciones preventivas y de control de privacidad para hacer frente a los retos que plantean la globalización y las nuevas tecnologías.

Página 4


Recomendaciones para la seguridad de pagos Jesús Castillo Vega, Jefe de Servicios Interbancarios y Convenios con la Administración en CECABANK. El uso de dispositivos y tecnologías móviles para realizar pagos crea nuevos riesgos para la seguridad de los pagos. Banco Central Europeo ofrece recomendaciones de seguridad de los pagos de internet y por móvil.

ISO/IEC 27001 versión 2013 y ENS (Esquema Nacional de Seguridad) Ponente: Mª Elísabeth Iglesias Domínguez, LEAD AUDITOR en ISO 27001, Consultora/Auditora de Seguridad de Gesdatos Software,S.L. ISACA VALENC IA, APEP Cómo implantar ISO/IEC 27001 versión 2013, el estándar para la seguridad de la información que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI). Implantación al Esquema Nacional de Seguridad (ENS) referente a la política de seguridad en la utilización de medios electrónicos y las sinergias con el estándar ISO 27001:2013.

El papel de la tecnología para implantar las nuevas normas en las empresas: Enrique Brandariz, Responsable Área de Seguridad (av anttic) La implantación de las nuevas normas en las empresas para su cumplimiento pasa por el establecimiento de controles internos, la aprobación de procedimientos y el uso de diversas tecnologías, de manera equilibrada, para asegurar la integridad, confidencialidad y disponibilidad de la información.

La Gestión de la Identidad para el cumplimiento normativo y de seguridad en la transformación digital de las empresas Javier Fernández, Director Transformación Digital ( CMC) Para que las empresas sean competitivas y viables deben innovar necesariamente en sus productos y en sus servicios. La transformación empresarial será factible mediante las soluciones TI adecuadas, que aseguren en todo momento el cumplimiento normativo y las posibles amenazas a la seguridad. La Gestión de la Identidad juega un rol central en todos los procesos relacionados con el cliente y permite gestionar las fuerzas disruptivas Social, Mobile, Cloud y Big Data en la transformación digital de las empresas.

Página 5


Pรกgina 6


Técnico Servicio Redes y Sistemas, Jefe de la Oficina de Seguridad TIC, Director de Sistemas, Seguridad y Procesos, Innovation & Alliance Director, Director del Departamento de Auditoría de Aplicaciones, Supervisor de Infraestructura, Responsable Area de Informática, Director de Calidad y Servicios Generales, Responsable de Calidad, Director de TI, CIO, Responsable Seguridad Informática. Dirección de Sistemas.

“Multisector y la horizontalidad del seminario”

“Beneficio la excelente explicación sobre nuevo marco normativo, sistemas integrados de certificación y cumplimiento e identidad de los clientes”

“Una visión global sobre el cumplimiento normativo”

“Me han gustado mucho todas las ponencias”

• “Muy interesante tener una primera aproximación a la futura regulación europea de protección de datos y seguridad” “Visión global de la evolución de la S.I. En general me ha parecido muy interesante”

“Muy interesante”

• “El hincapié en que la protección principal es el dato personal” “Muy positivo, enriquecedor y con alto nivel de ponentes”

“Ventaja: El abordaje interdisciplinar y avanzado”

“Bueno. Conocer a ponentes que no son los habituales de los grandes eventos. Personas que son más cercanas y que tratan temas más próximos a nuestra realidad”

Página 7


SPOUG (SPa in Oracle Users Group) es una asociación sin á nimo de lucro, con 25 Años de existencia, la evolucíón de C UORE (Círculo de Usua rios de Orac le de España) reconoc ida por Oracle como la única organización oficia l en España de usua rios de productos y servicios Oracle. OBJETIVOS

Compartir información

Ayudar a Relacionarse

Representar a los usuarios

Organizar Eventos

Canalizar preguntas

Influir

Editar Publicaciones

Crear sinergias

Descuentos Especiales

Página 8


Grupo de Interés de Seguridad, Riesgo y Cumplimiento SPOUG (SPain Oracle Use rs Group) está crea ndo una comunidad de Seguridad, Riesgo y C umplimiento, tomando ideas de la experienc ia de las comunidades de Italia ClusIT (http://bit.ly/1yHnvxT) y “Oracle Community for Sec urity” (http://bit.ly/1E0qkwS) Los Objetivos de l Grupo son: • •

Dinamizar un foro de inte rcambio de ideas y conocimientos Desarrolla r conjuntamente proyectos específicos que ofrezcan valor a los asociados y al propio Oracle

Sergio Fuma galli, vicepresidente de Ze ropiu, integrador de sistemas especia lizado en seguridad e identidad digita l, ope rando en Italia y los pa íses nórdicos, tiene a Orac le como su pa rtner más importante desde los últimos cinco a ños, pa rticipa activamente en la comunida d italiana de seguridad y recomie nda que e n España hagamos una iniciativa similar.

Sergio Fumagalli, Vicepresidente

Página 9


Pรกgina 10


Mauricio L. Gumiel Muñoz Iberia Security Sales Director, Oracle

Página 11


El evento comenzó con la ponencia “Introducción al cumplimiento normativo y seguridad en el nuevo entorno digital”, realizada por Mauricio L. Gumiel, Iberia Security Sales Director de Oracle, que explicó la situación actual Europea y Nacional sobre el nuevo nivel de medidas de seguridad y cumplimiento normativo en las empresas ante el nuevo entorno digital. Se está incrementando la preocupación de las empresas sobre la seguridad de los activos digitales en los últimos meses, debido a los numerosos incidentes de seguridad ocasionados por las violaciones de datos, fraudes, espionajes, sabotajes y otros ataques cibernéticos de muchos tipos. Los criminales atacan a empresas de todo tamaño y tipo, así como de cualquier sector. Como consecuencia de este problema, las autoridades nacionales e internacionales están promoviendo la aprobación de un número cada vez mayor de normas, que implican que las empresas implanten un nuevo nivel de medidas de seguridad y la adopción de las prácticas internacionales más modernas, para anticiparse, ser predictivas, analizar y corregir los incidentes de seguridad. Finalizó Mauricio con tres recomendaciones: 1) aumentar la resistencia humana y organizacional a través de diferentes iniciativas de concienciación de seguridad / formación 2) crear una arquitectura de seguridad para hacer frente a los problemas de seguridad y conseguir que las aplicaciones puedan innovar libremente, y 3) adoptar las mejores prácticas internacionales y montar un Information Security Management System (ISMS) Página 12


Cumplimento normativo y Seguridad en el Nuevo Entorno Digital

Pรกgina 13


Cumplimento normativo y Seguridad en el Nuevo Entorno Digital

Source: http://on.bcg.com/ZWT6PZ

Pรกgina 14


Cumplimento normativo y Seguridad en el Nuevo Entorno Digital

Pรกgina 15


Cumplimento normativo y Seguridad en el Nuevo Entorno Digital

Pรกgina 16


Cumplimento normativo y Seguridad en el Nuevo Entorno Digital

Pรกgina 17


Cumplimento normativo y Seguridad en el Nuevo Entorno Digital

Pรกgina 18


Cumplimento normativo y Seguridad en el Nuevo Entorno Digital

Pรกgina 19


Pรกgina 20


Alessandro Vallega Security Business Development Oracle Europe WCE South. Chairman Oracle Community for Security. Clusit Board of Directors

Pรกgina 21


A continuación, Alessandro Vallega, Security Business Developer Manager for Oracle South, bajo el título “Cómo afectan los incidentes fraudulentos a las empresas europeas y cómo impactan en su cumplimiento normativo”, expuso los fraudes externos e internos, el riesgo operativo (dinero, propiedad intelectual, secretos comerciales…), las medidas de integridad, confidencialidad y disponibilidad de la información, etc. Y explicó la necesidad de fortalecer la regulación, supervisión y gestión de riesgos de las empresas. La innovación TIC va más deprisa que la seguridad necesaria para esa innovación, creando nuevas oportunidades para los delincuentes, por lo que es importante no esperar y aplicar los cumplimientos normativos en frameworks.

Página 22


C贸mo afectan los incidentes fraudulentos a las empresas europeas y c贸mo impactan en su cumplimiento normativo

P谩gina 23


C贸mo afectan los incidentes fraudulentos a las empresas europeas y c贸mo impactan en su cumplimiento normativo

P谩gina 24


Cómo afectan los incidentes fraudulentos a las empresas europeas y cómo impactan en su cumplimiento normativo

This increasing gap is the Attack Surface. Cloud, Mobility, Social, IoT, Big Data, Web Services, B2B… create new opportunities for attackers To close the gap we shall: •Increase Awareness •create a Security Architecture •adopt Best Practices and ISMS

Página 25


C贸mo afectan los incidentes fraudulentos a las empresas europeas y c贸mo impactan en su cumplimiento normativo

P谩gina 26


https://www.twitter.com/SPOUG_es/

https://www.linkedin.com/groups?gid=2880611

Pรกgina 27


Oscar López desde el año 2001, lidera Urbetec Abogados, despacho de referencia en España en Derecho de las Tecnologías de la Información y las Comunicaciones y uno de los pioneros en ofrecer servicios especializados en este ámbito. Partiendo de la amplia experiencia acumulada, desde el año 2013 es gerente de UBT Compliance, empresa dedicada a la prestación de servicios de gestión y asesoramiento especializado en Cumplimiento Legal y Normativo. Desde el año 2007 es el Presidente del grupo de Regulación de AUTELSI (Asociación de Usuarios de Telecomunicaciones y la Sociedad de la Información).

Página 28


Oscar L贸pez Gerente, UBT Compliance Services

P谩gina 29


El abogado experto en TIC/Consultor Legal (UBT Compliance), Óscar López, con su conferencia “Compliance: La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad” hizo un análisis de la responsabilidad en la gestión del cumplimiento de obligaciones legales en la compañía, responsabilidades civiles y penales y el respeto a la privacidad, estudiando especialmente la reforma del marco jurídico europeo sobre protección de datos personales, cuyo Reglamento ha sido aprobado por el Parlamento Europeo el 12 de marzo de 2014 (621 votos a favor por 10 en contra y 22 abstenciones) y cuya aprobación definitiva por el Consejo se prevé a lo largo del año 2015. Este Reglamento tendrá una aplicación directa y, por lo tanto, vendrá a unificar el marco normativo en todos los países de la Unión Europea, fortaleciendo los derechos individuales y exigiendo obligaciones preventivas y de control de privacidad para hacer frente a los retos que plantean la globalización y las nuevas tecnologías. Resaltó la necesidad de asignar un DPO (Data Protection Officer) externo o interno que será el responsable de controlar el cumplimiento; informar, asesorar y formar al personal; y documentar las medidas de cumplimiento. Seis pilares son necesarios para el control del cumplimiento normativo y LOPD: Responsabilidad, Metodología, Seguimiento, Actualización, Prevención y Anticipación.

Página 30


Compliance: La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad

•Ley 15/1999, de Protección de Datos de Carácter Personal. •RD 1720/2007 Reglamento LOPD. •Ley 34/2012, de Servicios de la Sociedad de la Información (spam, cookies,4) Leyes Sectoriales:

–Ley 9/2014, de Telecomunicaciones (incidentes de seguridad, guías abonados,4) –Ley 41/2002, de autonomía del paciente –Ley 25/2007, de conservación de datos –4.

Página 31


Compliance: La nueva regulaci贸n Europea sobre Protecci贸n de Datos, Responsabilidad y Seguridad

P谩gina 32


Compliance: La nueva regulaci贸n Europea sobre Protecci贸n de Datos, Responsabilidad y Seguridad

P谩gina 33


Compliance: La nueva regulaci贸n Europea sobre Protecci贸n de Datos, Responsabilidad y Seguridad

P谩gina 34


Compliance: La nueva regulaci贸n Europea sobre Protecci贸n de Datos, Responsabilidad y Seguridad

P谩gina 35


Jesús Castillo Vega, Jefe de Servicios Interbancarios y Convenios con la Administración en CECABANK. CECABANK es un banco mayorista que presta servicios financieros y de soporte a procesos de negocio bancario. CECABANK agrupa su actividad en tres áreas: Tesorería, Securities Services y Servicios Bancarios. Dentro de sus responsabilidades está la coordinación del Comité de Pagos y Operaciones de los bancos adheridos a CECA, asociación que representa aproximadamente al 50% del sector financiero español. Este comité define las líneas estratégicas de las entidades en la aplicación o desarrollo de los procesos afectados por la Zona Única de Pagos en Euros (SEPA), así como los objetivos del sector para la reducción de costes y la eficiencia en las áreas de medios de pagos. En sus relaciones con las Entidades, Jesús está involucrado actualmente en diversos proyectos estratégicos de pagos para dar servicios de valor añadido en el intercambio de información entre clientes de Entidades y su evolución a métodos de pagos innovadores. Página 36


Jesús Castillo Jefe de Servicios Interbancarios, CECABANK

Página 37


Las “Recomendaciones para la seguridad de pagos” las explicó Jesús Castillo Vega, Jefe de Servicios Interbancarios y Convenios con la Administración en CECABANK. El BCE (Banco Central Europeo) ofrece recomendaciones de seguridad de los pagos por móvil mediante un documento borrador que se sometió a consulta pública hasta el 31-1-2014, cuya fecha de implementación prevista será el 01-02-2017. También se han elaborado unas recomendaciones de seguridad para los servicios de acceso a las cuentas de pago, pero requiere una revisión antes de su obligado cumplimiento. El BCE hizo público en febrero de 2014 la Guía de evaluación de la seguridad de los pagos por Internet, que reflejan 14 recomendaciones aplicables a PSPs y autoridades responsables del gobierno de los esquemas de pago, recomendaciones que deberán ser implementadas el 1 de febrero de 2015. Estas recomendaciones están organizadas en tres bloques: control y seguridad de la plataforma; medidas de seguridad y control; y educación y concienciación del consumidor. La EBA publicó el pasado 20-10-2014 un documento de consulta sobre la implementación de sus Directrices sobre la seguridad de los pagos por Internet, que entrarán en vigor en Agosto de 2015. Esta Documentación ha sido preparada por CECABANK únicamente con fines informativos y no debe ser entendida como una recomendación, sugerencia guía o propuesta de actuaciones comerciales o estratégicas concretas. CECABANK no se hace responsable ni está vinculada por las manifestaciones realizadas en la misma, las cuales no representan necesariamente la posición de CECABANK

Página 38


Recomendaciones para la seguridad de pagos

Pรกgina 39


Recomendaciones para la seguridad de pagos

Pรกgina 40


Recomendaciones para la seguridad de pagos

Pรกgina 41


Recomendaciones para la seguridad de pagos

Pรกgina 42


Recomendaciones para la seguridad de pagos

Pรกgina 43


Recomendaciones para la seguridad de pagos

Pรกgina 44


Recomendaciones para la seguridad de pagos

Pรกgina 45


Elísabeth Iglesias Domínguez está certificada en ISO 27001, es Directora de Información en la Junta Directiva de ISACA Valencia, creadora y administradora del grupo de seguridad de “ENS-Esquema Nacional de Seguridad” en Grupo Linkedin: Foro de encuentro de profesionales dedicados a la implantación de seguridad en las Administraciones Públicas, y consultora/auditora de Seguridad en Gesdatos Software,S.L. Gesdatos Software dispone de una plataforma líder en España en materia de Cumplimiento Normativo en Protección de Datos de Carácter Personal, que gestiona más de 6000 organizaciones, con más de 180 consultores. Ofrece un único servicio que integra: 1) la Excelencia de las mejores soluciones tecnológicas para la implantación y mantenimiento de Sistemas de Gestión ENS e ISO, 2) la Excelencia en el cumplimiento de la legislación vigente en materia de Seguridad y Privacidad (ENS y LOPD).

Página 46


Elísabeth Iglesias Domínguez Consultor/Auditora de Seguridad, Gesdatos Software,S.L.

Página 47


Posteriormente Mª Elísabet Iglesias Domínguez, Lead Auditor en ISO 27001, Consultora/Auditora de Seguridad de Gesdatos Software y perteneciente a ISACA VALENCIA, se centró en “la implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)”. El estándar internacional “ISO 27.001:2013 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI).Requisitos.” especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos reconoce el derecho de los ciudadanos a relacionarse a través de medios electrónicos con las administraciones públicas. Desde el pasado 1 de enero de 2010 los ciudadanos tenemos derecho a realizar todos nuestros trámites administrativos a través de Internet, según el objetivo impuesto por la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos. Para garantizar que este proceso se realice con las debidas garantías de seguridad, se han aprobado los reales decretos que desarrollan los Esquemas Nacionales de Seguridad (ENS) e Interoperabilidad (ENI). Con la finalidad de la crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Página 48


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 49


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 50


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 51


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 52


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 53


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 54


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 55


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 56


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 57


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 58


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 59


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 60


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 61


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 62


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 63


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 64


La implantaci贸n de ISO/IEC 27001 versi贸n 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)

P谩gina 65


avanttic es una empresa de servicios informáticos con el claro objetivo de ayudar a sus clientes en el uso adecuado, eficiente y sostenible de las tecnologías de la información, permitiéndoles incrementar la productividad, la calidad y los resultados. avanttic es una consultora tecnológica especializada y de alta calidad. avanttic vincula todos sus servicios a la tecnología Oracle.

Página 66


Enrique Brandariz Responsable ร rea de Seguridad, avanttic

Pรกgina 67


“La implantación de las nuevas normas en las empresas para su cumplimiento pasa por el establecimiento de controles internos, la aprobación de procedimientos y el uso de diversas tecnologías, de manera equilibrada, para asegurar la integridad, confidencialidad y disponibilidad de la información”, confirma Enrique Brandariz, Responsable Área de Seguridad de la consultora avanttic en su ponencia “El papel de la tecnología para implantar las nuevas normas en las empresas”. Incidió en que las dos terceras partes de los datos sensibles y regulados residen en Bases de datos… y los datos se duplican cada año. La tecnología ha provocado un problema de privacidad de datos al proporcionar facilidad de acceso a los datos de forma rápida, pero también la tecnología es la solución al permitir proteger la información con soluciones de seguridad. La regulación en este sentido nos obliga a que la tecnología proteja el dato, permita el acceso sólo a quién debe acceder, sepamos quién accede a qué dato y seamos capaces de informar en caso de incidente. Concluyó indicando que “La complejidad de la gestión de las medidas apropiadas requiere de soluciones organizativas y tecnológicas cuyo coste solo se puede reducir moviendo la "seguridad dentro de la arquitectura“, liberando a los proyectos y aplicaciones individuales de la necesidad de implementar la seguridad cada vez desde cero”.

Página 68


El papel de la tecnologĂ­a para empresas

implantar las nuevas normas en las

PĂĄgina 69


El papel de la tecnologĂ­a para empresas

implantar las nuevas normas en las

PĂĄgina 70


El papel de la tecnologĂ­a para empresas

implantar las nuevas normas en las

PĂĄgina 71


El papel de la tecnología para empresas

implantar las nuevas normas en las

¿Quién podía imaginar que hace 20, 10, 5 años, alguien tendría sus fotos en la nube y podría verlas desde un móvil, una tablet, un ordenador…? Bueno lo de las fotos íntimas siempre existió. Solo había que tener cuidado al llevarlas a revelar. ¿De quién fue la culpa? ¿Del usuario que subió fotos comprometidas a la nube? ¿Del proveedor del servicio que no protegió adecuadamente los activos? Quizá la pregunta de seguridad para recuperar la contraseña perdida no fuera muy robusta. O lo suficientemente secreta. Quizá el reintento después de unos cuantos fallos sea un indicador de que algo no va bien.

Página 72


El papel de la tecnología para empresas

implantar las nuevas normas en las

En los orígenes de la programación, los programadores compartían directamente el código fuente. Cualquier mejora introducida en un módulo tenía que ser actualizada a todos los demás programas modificando el código fuente. Ya en la época del Cobol surgieron los famosos COPYs, ficheros compartidos con la estructura de los registros que eran utilizados por todos los programas de un aplicativo. Más adelante, empezó a compartirse directamente el código objeto, las librerías, los frameworks que permitían una productividad mayor. Pasando por la programación orientada a objetos, donde se comparten objetos formados por datos y código, para llegar al mundo de los servicios. Con este paradigma ya no es necesario cambiar un aplicativo entero; sólo los servicios que cambian, por lo que teniendo un conjunto básico de servicios, se pueden construir nuevas funcionalidades apoyándose en los servicios básicos y en otros ya construidos.

Página 73


El papel de la tecnología para empresas

implantar las nuevas normas en las

Con las medidas de seguridad pasó algo parecido. Al principio cada programa gestionaba su propia seguridad. Como los aplicativos cada vez estaban formados por más programas, hubo que pasar la seguridad a un nivel superior: la aplicación. Pero según iba creciendo el negocio, las aplicaciones se fueron combinando en grupos mayores: el sistema. Por lo tanto había que mover la seguridad a un nivel superior. Y de nuevo, con el crecimiento, las compañías empezaron a usar varios sistemas, llegando al punto de tener que gestionar la seguridad a nivel de compañía. Pero teniendo en cuenta la profundidad a la que definió la seguridad, cualquier cambio requería la modificación de sistemas, aplicativos y programas haciendo que el coste se disparara. Al igual que los servicios web en el mundo de la programación, surge la necesidad de sacar el control de la seguridad fuera de los aplicativos y programas.

Página 74


El papel de la tecnologĂ­a para empresas

implantar las nuevas normas en las

PĂĄgina 75


El papel de la tecnologĂ­a para empresas

implantar las nuevas normas en las

PĂĄgina 76


Pรกgina 77


CMC es un Grupo Multinacional Español dedicado a la Consultoría de Gestión, Tecnología y Outsourcing. Se encuentra dentro del TOP 25 del ranking de 1000 empresas TIC del mercado español. La innovación es considerada como un elemento esencial de su oferta, a través de la cual diseña soluciones diferenciales para la competitividad de sus clientes. Entre sus líneas de innovación se encuentra la Seguridad, la Transformación Digital y la Movilidad de los Procesos de Negocio, contando en su estructura con Unidades de Negocio focalizadas y especializad as en es tas materias.

Página 78


Javier Fernรกndez Grande Director de Transformaciรณn Digital y Movilidad, Grupo CMC

Pรกgina 79


El Director de Transformación Digital y Movilidad del Grupo CMC, Javier Fernández Grande, terminó el ciclo de ponencias con “La Gestión de la Identidad para el cumplimiento normativo y de seguridad en la transformación digital de las empresas”. Para que las empresas sean competitivas y viables deben innovar necesariamente en sus productos y en sus servicios. Según los analistas, en 5 años el 30% de todas las operaciones se realizarán de forma online y con medios digitales, por lo que no sorprende que en 2015 la gran mayoría de las compañías tienen previstas acciones de transformación digital, que será factible mediante las soluciones TI adecuadas, que aseguren en todo momento el cumplimiento normativo y las posibles amenazas a la seguridad. La Gestión de la Identidad juega un rol central en todos los procesos relacionados con el cliente y permite gestionar las fuerzas disruptivas Social, Mobile, Cloud y Big Data en la transformación digital de las empresas. En el modelo digital, las obligaciones regulatorias, deben ser percibidas como un “valor diferencial” para el Negocio, por lo que hay que situar la seguridad en el núcleo del ciclo de vida de los procesos de negocio.

Página 80


La Gesti贸n de la Identidad para el cumplimiento normativo y de seguridad en la transformaci贸n digital de las empresas

P谩gina 81


La Gesti贸n de la Identidad para el cumplimiento normativo y de seguridad en la transformaci贸n digital de las empresas

P谩gina 82


La Gesti贸n de la Identidad para el cumplimiento normativo y de seguridad en la transformaci贸n digital de las empresas

P谩gina 83


Pรกgina 84


Los grupos de interés permiten desarrollar las distintas líneas de acción y colaboración entre los profesionales en el campo de mutuo interés

Oracle Cloud * Aplicaciones * Customer Experience * Enterprise Performance Management * Enterprise Resource Planning * Gestión de Capital Humano * Supply Chain Management * Industry Applications * Applications Product Lines* Database * Bases de Datos Oracle * Real Application Clusters * Data Warehousing * Database Security * MySQL * Berkeley DB * TimesTen In-Memory Database * Java * Herramientas de desarrollo * Sistemas operativos * Oracle Solaris * Oracle Linux * Middleware * Base para las aplicaciones en la nube * Integración de Datos * Business Analytics * Gestión de Identidades * Arquitectura orientada a servicios * Business Process Management * WebCenter * WebLogic * Gestión empresarial * Gestión de nube * Oracle Application Management * Database Management * Gestión de middleware * Gestión de hardware y de virtualización * Gestión heterogénea * Oracle Lifecycle Management * Sistemas de ingeniería * Big Data Appliance * Exadata Database Machine * Exalogic Elastic Cloud * Exalytics In-Memory Machine * Database Appliance * Oracle SuperCluster * Oracle Virtual Compute Appliance * Oracle ZFS Storage Appliance * Servidores * SPARC * x86 * Blade * Netra * Almacenamiento y cinta * SAN Storage * NAS Storage * Tape Storage * Networking and Data Center Fabric Products * Enterprise Communications * Virtualization * Oracle VM for x86 *Oracle VM for SPARC * Oracle Secure Global Desktop * Servicios * Consultoría * Premier Support * Ad vanced Customer Support Services * Formación * Cloud Services * Financiación * Oracle Customer Programs

Página 85


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.