LECCIONES APRENDIDAS EN LA INTEGRACIÓN DE … · Basilea II establece en su “Pilar1”los...
Transcript of LECCIONES APRENDIDAS EN LA INTEGRACIÓN DE … · Basilea II establece en su “Pilar1”los...
LECCIONES APRENDIDAS EN LA INTEGRACIÓN DE LA SEGURIDAD FÍSICA Y LA CIBERSEGURIDAD
Alfonso Bilbao
Enero 2016
Índice
2
1. Las nuevas amenazas
2. La visión de la Dirección General
3. Una Security
4. Lecciones aprendidas
15
Basilea II establece en su “Pilar 1” los requisitospara el cálculo de las necesidades de Capital, y enellos se ha de tener en cuenta:
2. La visión de la Dirección General
Riesgos del mercado
Riesgos de crédito
Riesgos de liquidez
Riesgos operativos
Necesidades de Capital
16
Los riegos operativos se desglosan en:
2. La visión de la Dirección General
Riesgos operativos
Fraude interno
Fraude externo
Relaciones laborales
Prácticas con
clientes
Gestión de los
procesosOtros
Daños materiales
Fallos en los
sistemas
17
Según las encuestas realizadas el porcentaje depérdidas de cada unos de estos riesgos es elsiguiente:
2. La visión de la Dirección General
7%
16%
7%
13%
24%
3%
29%
1%
Fraude internos
Fraude externo
Relaciones laborales
Prácticas con clientes
Daños materiales
Fallos en los sistemas
Gestión de los procesos
Otros
18
2. La visión de la Dirección GeneralLos “apellidos” de la Seguridad
Seguridad Laboral
Bienes PersonasMedio-
ambienteInformación
Naturales X
Técnicos X
Deliberados
Bienes PersonasMedio-
ambienteInformación
Naturales X X X
Técnicos X X X
Deliberados
Seguridad Industrial
Ciberseguridad
Bienes PersonasMedio-
ambienteInformación
Naturales X
Técnicos X
Deliberados X
Bienes PersonasMedio-
ambienteInformación
Naturales
Técnicos
Deliberados X X X
Seguridad Física (Security)
19
2. La visión de la Dirección GeneralDos “apellidos” próximos: Security
Seguridad Física y Ciberseguridad
Bienes PersonasMedio-
ambienteInformación
Naturales X
Técnicos X
Deliberados X X X X
20
Security afecta a tres tipos de Riesgos Operativos
2. La visión de la Dirección General
7%
16%
7%
13%
24%
3%
29%
1%
Fraude internos
Fraude externo
Relaciones laborales
Prácticas con clientes
Daños materiales
Fallos en los sistemas
Gestión de los procesos
Otros
21
2. La visión de la Dirección General
Security es una función esencial para elcumplimiento de Basilea II, haciendo frente ariesgos operativos. Su estrategia, recursos yresponsabilidad han de estar unificados.
Riesgos del mercado
Riesgos de crédito
Riesgos de liquidez
Riesgos operativos
Necesidades de Capital
SECURITY
23
Security como Seguridad frente a riesgosdeliberados.Por lo tanto debieran estar todos sus riegostratados uniformemente.
3. Una Security
RIESGOS
FUERZAS Y CUERPOS DE SEGURIDAD
DERECHO PENAL Y PROCESAL
REGULACIÓN SEGURIDAD
PRIVADA
ORGANIZACIÓN DE LA SEGURIDAD
24
Las ciberamenazas has evolucionado muyrápidamente en los últimos años
3. Una Security
ESTADO EMPRESA
Derecho penal y procesal desfasado
Organización interna compleja
Cuerpos y fuerzas de Seguridad con recursos limitados
Responsabilidades dispersas
Regulación de la Seguridad privada incompleta.
Resistencia al cambio por la unificación de responsabilidades
26
Cuevavaliente ingenieros, en colaboración conDeloitte ha asistido a operadores críticos pararedactar y aprobar
4. Lecciones aprendidas
PSO PPE
Realizados 6 22
En realización 4 -
Cuevavaliente ha asistido además a 2 grandesempresas en la organización de una estructura deSeguridad corporativa integral, que integraSeguridad física y ciberseguridad.
27
4. Lecciones aprendidasPrincipales conclusiones
Un «nuevo» Director de Seguridad
La Seguridad como función transversal
Modelos de gestión basados en la mejora continua
Análisis de riesgos físicos y lógicos único
Métrica común
28
4. Lecciones aprendidasUn «nuevo» Director de Seguridad
Perfil de gestión mas enfatizado Conocimientos más amplios y quizás menos
profundos Mantenimiento de la orientación a la Seguridad Capacidad de interacción con la dirección de la
empresa Orientación según la estrategia corporativa Dotado de un equipo multidisciplinar.
29
4. Lecciones aprendidasLa Seguridad como función transversal
Afecta y está afectada por todas las funciones de lacorporación.
Necesidad de compartir información y criterios Funciones especialmente afectadas: Gestión de riesgos Continuidad de negocio Cumplimiento normativo Comunicación Inteligencia económica
30
4. Lecciones aprendidas
Decisión y Compromiso
Diseño del Marco de Actuación del SGSF
Implementacióndel SGSF
Seguimiento y Revisión del SGSF
Mejora continua del SGSF
Plan del SGSI
Mantenimiento y mejora del SGSI
Implementación del SGSI
Medición del SGSI
Seguridad de la Información gestionada
Requerimientos de la Seguridad de la Información
Planificación
Implementación
Medición
Actuación
MODELO SGSCSGSC: Sistema de Gestión Corporativa de Seguridad
RequerimientosPolíticas
Gestión de la SeguridadCumplimiento LPIC
SGSF: Sistema de Gestión de Seguridad Física
SGSI: Sistema de Gestión de Seguridad de la Información
Modelos de gestión basados en la mejora continua
31
4. Lecciones aprendidas
ANÁLISIS DE RIESGOS
PROPUESTA DE MEDIDAS DE SEGURIDAD
IDENTIFICACIÓN DE RIESGOS
CO
MU
NIC
AC
IÓN
Y C
ON
SULT
A
MO
NIT
OR
IZA
CIÓ
N Y
REV
ISIÓ
N
ESTABLECIMIENTO DE CONTEXTO
EVALUACIÓN DE RIESGOS
AS
ES
OR
AM
IEN
TO
DE
L R
IES
GO
TRATAMIENTO DE LOS RIESGOS
ANÁLISIS DE RIESGOS
Análisis de riesgos únicos
Amenazas específicas Amenazas “cruzadas” Identificación de activos
con enfoque diferente Estimación de impactos
común Presentación de resultados
común Criterios de medidas de
Seguridad específicos
32
4. Lecciones aprendidasMétrica común
De resultados De realización de proyectos De estado de las medidas
dispuestas (madurez) De desempeño