Dossier SPOUG: Cumplimiento Normativo y Seguridad by SPOUG Spain Oracle Users Group

Grupo de InterĂŠs

Evento celebrado en Madrid el 23 de Octubre de 2014

Pรกgina 2

Las empresas deben cumplir las nuevas normas Europeas y Nacionales de Seguridad El 23 de Octubre, SPOUG Spain Oracle Users Group, el único Grupo de Usuarios en España avalado por Oracle, ha organizado el Seminario “Cumplimiento Normativo y Seguridad en el Nuevo Entorno Digital”, en el Hotel Holiday Inn de Madrid, donde diferentes expertos han explicado las tendencias y lo que está sucediendo en Europa y qué impacto tendrán sobre nuestras empresas. El Grupo de Interés de Segurity, Risk & Compliance de SPOUG decidió celebrar este evento en octubre para colaborar en la campaña European Cyber Security Month (ECSM), que es una campaña de la Unión Europea que tiene lugar este mes con el objetivo de promover la seguridad cibernética. Con tal fin este evento no sólo ha estado dirigido a los socios, sino a todas las empresas que desean prepararse en el ‘Compliance” requerido para 2015. Los participantes en el seminario han conocido de primera mano la información más actualizada sobre: • La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad • cómo afectan la reforma de la regulación normativa a las empresas europeas • recomendaciones para la seguridad de pagos • la nueva ISO/IEC 27001 versión 3 • el papel de la tecnología de seguridad para hacer posible innovar y competir en el mercado, según un enfoque asequible El seminario ha cumplido 100% con las expectativas de los asistentes, principalmente por la calidad de las ponencias y sus conferenciantes, así como el contenido tan completo definido por el Grupo de Interés de Seguridad, Riesgo y Cumplimiento Normativo de SPOUG. Con el presente Dossier SPOUG, queremos compartir todo el conocimiento divulgado por los expertos durante el Seminario. Os animo desde aquí a participar en este grupo de interés que para desarrollar las distintas líneas de acción y colaboración entre los profesionales en Cumplimiento Normativo, Riesgo y Seguridad Espero que disfrutéis de estas páginas, y no olvidéis expresar vuestros comentarios por Twitter a @spoug_es.

Pedro Robledo Gerente gerente@spoug.es

Página 3

Contenido Consejo Editorial Manuel Lozano Sebastián Reiter Pedro Robledo Carmen Larrumbi de Eduvigis Ortiz Moronta José Manuel Peláez Pedro S obrino Javier Barri o José Manuel López

Redacción y Publicidad Pedro Robledo gerente@spoug.es

Resumen y Testimonios

Introducción “El cumplimiento normativo y seguridad en el nuevo entorno digital” Mauricio L. Gumiel, Iberia Security Sales Director (Oracle) Introducción de la situación actual Europea y Nacional sobre el nuevo nivel de medidas de seguridad y cumplimiento normativo en las empresas ante el nuevo entorno digital.

Colaboradores Mauricio Gumiel Alessandro Vallega Oscar López Jesús Castillo Mª Elísabeth Iglesias Enri que Brandariz Javier Fermández

Cómo afectan los incidentes fraudulentos a las empresas europeas y cómo impactan en su cumplimiento normativo Alessandro Vallega, Security Business Developer Manager for Oracle South. Part of Clusit Board of Directors Exposición de los fraudes externos e internos, el riesgo operativo, las medidas de integridad de la información, etc.. Explicación de la necesidad de fortalecer la regulación, supervisión y gestión de riesgos de las empresas.

Edita SPOUG Spain Oracle Users Group

Todos los derechos reservados. Se autoriza la reproducción total o parcial con cita expresa de la fuente “Dossier SPOUG 23 Octubre 2014”. Los editores no se hacen responsables de las opiniones vertidas por los autores en esta publicación, ni comparten necesariamente sus criterios.

Compliance: La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad Oscar López, Abogado experto en TIC/Consultor Legal (UBT Compliance) Análisis de la responsabilidad en la gestión del cumplimiento de obligaciones legales en la compañía, responsabilidades civiles y penales y el respeto a la privacidad, estudiando especialmente la reforma del marco jurídico europeo sobre protección de datos personales, cuyo Reglamento ha sido aprobado por el Parlamento Europeo en marzo de 2014 y cuya aprobación definitiva se prevé a lo largo del año 2015. Este Reglamento fortalece los derechos individuales y exige obligaciones preventivas y de control de privacidad para hacer frente a los retos que plantean la globalización y las nuevas tecnologías.

Página 4

Recomendaciones para la seguridad de pagos Jesús Castillo Vega, Jefe de Servicios Interbancarios y Convenios con la Administración en CECABANK. El uso de dispositivos y tecnologías móviles para realizar pagos crea nuevos riesgos para la seguridad de los pagos. Banco Central Europeo ofrece recomendaciones de seguridad de los pagos de internet y por móvil.

ISO/IEC 27001 versión 2013 y ENS (Esquema Nacional de Seguridad) Ponente: Mª Elísabeth Iglesias Domínguez, LEAD AUDITOR en ISO 27001, Consultora/Auditora de Seguridad de Gesdatos Software,S.L. ISACA VALENC IA, APEP Cómo implantar ISO/IEC 27001 versión 2013, el estándar para la seguridad de la información que especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI). Implantación al Esquema Nacional de Seguridad (ENS) referente a la política de seguridad en la utilización de medios electrónicos y las sinergias con el estándar ISO 27001:2013.

El papel de la tecnología para implantar las nuevas normas en las empresas: Enrique Brandariz, Responsable Área de Seguridad (av anttic) La implantación de las nuevas normas en las empresas para su cumplimiento pasa por el establecimiento de controles internos, la aprobación de procedimientos y el uso de diversas tecnologías, de manera equilibrada, para asegurar la integridad, confidencialidad y disponibilidad de la información.

La Gestión de la Identidad para el cumplimiento normativo y de seguridad en la transformación digital de las empresas Javier Fernández, Director Transformación Digital ( CMC) Para que las empresas sean competitivas y viables deben innovar necesariamente en sus productos y en sus servicios. La transformación empresarial será factible mediante las soluciones TI adecuadas, que aseguren en todo momento el cumplimiento normativo y las posibles amenazas a la seguridad. La Gestión de la Identidad juega un rol central en todos los procesos relacionados con el cliente y permite gestionar las fuerzas disruptivas Social, Mobile, Cloud y Big Data en la transformación digital de las empresas.

Página 5

Pรกgina 6

Técnico Servicio Redes y Sistemas, Jefe de la Oficina de Seguridad TIC, Director de Sistemas, Seguridad y Procesos, Innovation & Alliance Director, Director del Departamento de Auditoría de Aplicaciones, Supervisor de Infraestructura, Responsable Area de Informática, Director de Calidad y Servicios Generales, Responsable de Calidad, Director de TI, CIO, Responsable Seguridad Informática. Dirección de Sistemas.

•

“Multisector y la horizontalidad del seminario”

“Beneficio la excelente explicación sobre nuevo marco normativo, sistemas integrados de certificación y cumplimiento e identidad de los clientes”

•

“Una visión global sobre el cumplimiento normativo”

•

“Me han gustado mucho todas las ponencias”

• “Muy interesante tener una primera aproximación a la futura regulación europea de protección de datos y seguridad” “Visión global de la evolución de la S.I. En general me ha parecido muy interesante”

•

“Muy interesante”

• “El hincapié en que la protección principal es el dato personal” “Muy positivo, enriquecedor y con alto nivel de ponentes”

•

“Ventaja: El abordaje interdisciplinar y avanzado”

•

“Bueno. Conocer a ponentes que no son los habituales de los grandes eventos. Personas que son más cercanas y que tratan temas más próximos a nuestra realidad”

•

Página 7

SPOUG (SPa in Oracle Users Group) es una asociación sin á nimo de lucro, con 25 Años de existencia, la evolucíón de C UORE (Círculo de Usua rios de Orac le de España) reconoc ida por Oracle como la única organización oficia l en España de usua rios de productos y servicios Oracle. OBJETIVOS

Compartir información

Ayudar a Relacionarse

Representar a los usuarios

Organizar Eventos

Canalizar preguntas

Influir

Editar Publicaciones

Crear sinergias

Descuentos Especiales

Página 8

Grupo de Interés de Seguridad, Riesgo y Cumplimiento SPOUG (SPain Oracle Use rs Group) está crea ndo una comunidad de Seguridad, Riesgo y C umplimiento, tomando ideas de la experienc ia de las comunidades de Italia ClusIT (http://bit.ly/1yHnvxT) y “Oracle Community for Sec urity” (http://bit.ly/1E0qkwS) Los Objetivos de l Grupo son: • •

Dinamizar un foro de inte rcambio de ideas y conocimientos Desarrolla r conjuntamente proyectos específicos que ofrezcan valor a los asociados y al propio Oracle

Sergio Fuma galli, vicepresidente de Ze ropiu, integrador de sistemas especia lizado en seguridad e identidad digita l, ope rando en Italia y los pa íses nórdicos, tiene a Orac le como su pa rtner más importante desde los últimos cinco a ños, pa rticipa activamente en la comunida d italiana de seguridad y recomie nda que e n España hagamos una iniciativa similar.

Sergio Fumagalli, Vicepresidente

Página 9

Pรกgina 10

Mauricio L. Gumiel Muñoz Iberia Security Sales Director, Oracle

Página 11

El evento comenzó con la ponencia “Introducción al cumplimiento normativo y seguridad en el nuevo entorno digital”, realizada por Mauricio L. Gumiel, Iberia Security Sales Director de Oracle, que explicó la situación actual Europea y Nacional sobre el nuevo nivel de medidas de seguridad y cumplimiento normativo en las empresas ante el nuevo entorno digital. Se está incrementando la preocupación de las empresas sobre la seguridad de los activos digitales en los últimos meses, debido a los numerosos incidentes de seguridad ocasionados por las violaciones de datos, fraudes, espionajes, sabotajes y otros ataques cibernéticos de muchos tipos. Los criminales atacan a empresas de todo tamaño y tipo, así como de cualquier sector. Como consecuencia de este problema, las autoridades nacionales e internacionales están promoviendo la aprobación de un número cada vez mayor de normas, que implican que las empresas implanten un nuevo nivel de medidas de seguridad y la adopción de las prácticas internacionales más modernas, para anticiparse, ser predictivas, analizar y corregir los incidentes de seguridad. Finalizó Mauricio con tres recomendaciones: 1) aumentar la resistencia humana y organizacional a través de diferentes iniciativas de concienciación de seguridad / formación 2) crear una arquitectura de seguridad para hacer frente a los problemas de seguridad y conseguir que las aplicaciones puedan innovar libremente, y 3) adoptar las mejores prácticas internacionales y montar un Information Security Management System (ISMS) Página 12

Cumplimento normativo y Seguridad en el Nuevo Entorno Digital

Pรกgina 13

Cumplimento normativo y Seguridad en el Nuevo Entorno Digital

Source: http://on.bcg.com/ZWT6PZ

Pรกgina 14

Cumplimento normativo y Seguridad en el Nuevo Entorno Digital

Pรกgina 15

Cumplimento normativo y Seguridad en el Nuevo Entorno Digital

Pรกgina 16

Cumplimento normativo y Seguridad en el Nuevo Entorno Digital

Pรกgina 17

Cumplimento normativo y Seguridad en el Nuevo Entorno Digital

Pรกgina 18

Cumplimento normativo y Seguridad en el Nuevo Entorno Digital

Pรกgina 19

Pรกgina 20

Alessandro Vallega Security Business Development Oracle Europe WCE South. Chairman Oracle Community for Security. Clusit Board of Directors

Pรกgina 21

A continuación, Alessandro Vallega, Security Business Developer Manager for Oracle South, bajo el título “Cómo afectan los incidentes fraudulentos a las empresas europeas y cómo impactan en su cumplimiento normativo”, expuso los fraudes externos e internos, el riesgo operativo (dinero, propiedad intelectual, secretos comerciales…), las medidas de integridad, confidencialidad y disponibilidad de la información, etc. Y explicó la necesidad de fortalecer la regulación, supervisión y gestión de riesgos de las empresas. La innovación TIC va más deprisa que la seguridad necesaria para esa innovación, creando nuevas oportunidades para los delincuentes, por lo que es importante no esperar y aplicar los cumplimientos normativos en frameworks.

Página 22

C贸mo afectan los incidentes fraudulentos a las empresas europeas y c贸mo impactan en su cumplimiento normativo

P谩gina 23

C贸mo afectan los incidentes fraudulentos a las empresas europeas y c贸mo impactan en su cumplimiento normativo

P谩gina 24

Cómo afectan los incidentes fraudulentos a las empresas europeas y cómo impactan en su cumplimiento normativo

This increasing gap is the Attack Surface. Cloud, Mobility, Social, IoT, Big Data, Web Services, B2B… create new opportunities for attackers To close the gap we shall: •Increase Awareness •create a Security Architecture •adopt Best Practices and ISMS

Página 25

C贸mo afectan los incidentes fraudulentos a las empresas europeas y c贸mo impactan en su cumplimiento normativo

P谩gina 26

https://www.twitter.com/SPOUG_es/

https://www.linkedin.com/groups?gid=2880611

Pรกgina 27

Oscar López desde el año 2001, lidera Urbetec Abogados, despacho de referencia en España en Derecho de las Tecnologías de la Información y las Comunicaciones y uno de los pioneros en ofrecer servicios especializados en este ámbito. Partiendo de la amplia experiencia acumulada, desde el año 2013 es gerente de UBT Compliance, empresa dedicada a la prestación de servicios de gestión y asesoramiento especializado en Cumplimiento Legal y Normativo. Desde el año 2007 es el Presidente del grupo de Regulación de AUTELSI (Asociación de Usuarios de Telecomunicaciones y la Sociedad de la Información).

Página 28

Oscar L贸pez Gerente, UBT Compliance Services

P谩gina 29

El abogado experto en TIC/Consultor Legal (UBT Compliance), Óscar López, con su conferencia “Compliance: La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad” hizo un análisis de la responsabilidad en la gestión del cumplimiento de obligaciones legales en la compañía, responsabilidades civiles y penales y el respeto a la privacidad, estudiando especialmente la reforma del marco jurídico europeo sobre protección de datos personales, cuyo Reglamento ha sido aprobado por el Parlamento Europeo el 12 de marzo de 2014 (621 votos a favor por 10 en contra y 22 abstenciones) y cuya aprobación definitiva por el Consejo se prevé a lo largo del año 2015. Este Reglamento tendrá una aplicación directa y, por lo tanto, vendrá a unificar el marco normativo en todos los países de la Unión Europea, fortaleciendo los derechos individuales y exigiendo obligaciones preventivas y de control de privacidad para hacer frente a los retos que plantean la globalización y las nuevas tecnologías. Resaltó la necesidad de asignar un DPO (Data Protection Officer) externo o interno que será el responsable de controlar el cumplimiento; informar, asesorar y formar al personal; y documentar las medidas de cumplimiento. Seis pilares son necesarios para el control del cumplimiento normativo y LOPD: Responsabilidad, Metodología, Seguimiento, Actualización, Prevención y Anticipación.

Página 30

Compliance: La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad

•Ley 15/1999, de Protección de Datos de Carácter Personal. •RD 1720/2007 Reglamento LOPD. •Ley 34/2012, de Servicios de la Sociedad de la Información (spam, cookies,4) Leyes Sectoriales:

–Ley 9/2014, de Telecomunicaciones (incidentes de seguridad, guías abonados,4) –Ley 41/2002, de autonomía del paciente –Ley 25/2007, de conservación de datos –4.

Página 31

Compliance: La nueva regulaci贸n Europea sobre Protecci贸n de Datos, Responsabilidad y Seguridad

P谩gina 32

Compliance: La nueva regulaci贸n Europea sobre Protecci贸n de Datos, Responsabilidad y Seguridad

P谩gina 33

Compliance: La nueva regulaci贸n Europea sobre Protecci贸n de Datos, Responsabilidad y Seguridad

P谩gina 34

Compliance: La nueva regulaci贸n Europea sobre Protecci贸n de Datos, Responsabilidad y Seguridad

P谩gina 35

Jesús Castillo Vega, Jefe de Servicios Interbancarios y Convenios con la Administración en CECABANK. CECABANK es un banco mayorista que presta servicios financieros y de soporte a procesos de negocio bancario. CECABANK agrupa su actividad en tres áreas: Tesorería, Securities Services y Servicios Bancarios. Dentro de sus responsabilidades está la coordinación del Comité de Pagos y Operaciones de los bancos adheridos a CECA, asociación que representa aproximadamente al 50% del sector financiero español. Este comité define las líneas estratégicas de las entidades en la aplicación o desarrollo de los procesos afectados por la Zona Única de Pagos en Euros (SEPA), así como los objetivos del sector para la reducción de costes y la eficiencia en las áreas de medios de pagos. En sus relaciones con las Entidades, Jesús está involucrado actualmente en diversos proyectos estratégicos de pagos para dar servicios de valor añadido en el intercambio de información entre clientes de Entidades y su evolución a métodos de pagos innovadores. Página 36

Jesús Castillo Jefe de Servicios Interbancarios, CECABANK

Página 37

Las “Recomendaciones para la seguridad de pagos” las explicó Jesús Castillo Vega, Jefe de Servicios Interbancarios y Convenios con la Administración en CECABANK. El BCE (Banco Central Europeo) ofrece recomendaciones de seguridad de los pagos por móvil mediante un documento borrador que se sometió a consulta pública hasta el 31-1-2014, cuya fecha de implementación prevista será el 01-02-2017. También se han elaborado unas recomendaciones de seguridad para los servicios de acceso a las cuentas de pago, pero requiere una revisión antes de su obligado cumplimiento. El BCE hizo público en febrero de 2014 la Guía de evaluación de la seguridad de los pagos por Internet, que reflejan 14 recomendaciones aplicables a PSPs y autoridades responsables del gobierno de los esquemas de pago, recomendaciones que deberán ser implementadas el 1 de febrero de 2015. Estas recomendaciones están organizadas en tres bloques: control y seguridad de la plataforma; medidas de seguridad y control; y educación y concienciación del consumidor. La EBA publicó el pasado 20-10-2014 un documento de consulta sobre la implementación de sus Directrices sobre la seguridad de los pagos por Internet, que entrarán en vigor en Agosto de 2015. Esta Documentación ha sido preparada por CECABANK únicamente con fines informativos y no debe ser entendida como una recomendación, sugerencia guía o propuesta de actuaciones comerciales o estratégicas concretas. CECABANK no se hace responsable ni está vinculada por las manifestaciones realizadas en la misma, las cuales no representan necesariamente la posición de CECABANK

Página 38

Recomendaciones para la seguridad de pagos

Pรกgina 39

Recomendaciones para la seguridad de pagos

Pรกgina 40

Recomendaciones para la seguridad de pagos

Pรกgina 41

Recomendaciones para la seguridad de pagos

Pรกgina 42

Recomendaciones para la seguridad de pagos

Pรกgina 43

Recomendaciones para la seguridad de pagos

Pรกgina 44

Recomendaciones para la seguridad de pagos

Pรกgina 45

Elísabeth Iglesias Domínguez está certificada en ISO 27001, es Directora de Información en la Junta Directiva de ISACA Valencia, creadora y administradora del grupo de seguridad de “ENS-Esquema Nacional de Seguridad” en Grupo Linkedin: Foro de encuentro de profesionales dedicados a la implantación de seguridad en las Administraciones Públicas, y consultora/auditora de Seguridad en Gesdatos Software,S.L. Gesdatos Software dispone de una plataforma líder en España en materia de Cumplimiento Normativo en Protección de Datos de Carácter Personal, que gestiona más de 6000 organizaciones, con más de 180 consultores. Ofrece un único servicio que integra: 1) la Excelencia de las mejores soluciones tecnológicas para la implantación y mantenimiento de Sistemas de Gestión ENS e ISO, 2) la Excelencia en el cumplimiento de la legislación vigente en materia de Seguridad y Privacidad (ENS y LOPD).

Página 46

Elísabeth Iglesias Domínguez Consultor/Auditora de Seguridad, Gesdatos Software,S.L.

Página 47

Posteriormente Mª Elísabet Iglesias Domínguez, Lead Auditor en ISO 27001, Consultora/Auditora de Seguridad de Gesdatos Software y perteneciente a ISACA VALENCIA, se centró en “la implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)”. El estándar internacional “ISO 27.001:2013 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI).Requisitos.” especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos reconoce el derecho de los ciudadanos a relacionarse a través de medios electrónicos con las administraciones públicas. Desde el pasado 1 de enero de 2010 los ciudadanos tenemos derecho a realizar todos nuestros trámites administrativos a través de Internet, según el objetivo impuesto por la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos. Para garantizar que este proceso se realice con las debidas garantías de seguridad, se han aprobado los reales decretos que desarrollan los Esquemas Nacionales de Seguridad (ENS) e Interoperabilidad (ENI). Con la finalidad de la crear las condiciones necesarias de confianza en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios. Página 48