lecciones aprendidas en la integraciÓn de la … · 2019-06-07 · lecciones aprendidas un...

LECCIONES APRENDIDAS EN LA INTEGRACIÓN DE LA SEGURIDAD FÍSICA Y LA CIBERSEGURIDAD

Alfonso Bilbao

Enero 2016

Índice

2

1. Las nuevas amenazas

2. La visión de la Dirección General

3. Una Security

4. Lecciones aprendidas

3

1. Las nuevas amenazas

1. Las nuevas amenazas

4

IMPACTO

PROBABILIDAD

1. Las nuevas amenazas

5

IMPACTO

PROBABILIDAD

R1

1. Las nuevas amenazas

6

IMPACTO

PROBABILIDAD

R1

Seguros

Seguridad

R1

1. Las nuevas amenazas

7

IMPACTO

PROBABILIDAD

R1

Seguros

Seguridad

R1

R2

R3

R4

R5

1. Las nuevas amenazas

8

IMPACTO

PROBABILIDAD

R1

1. Las nuevas amenazas

9

IMPACTO

PROBABILIDAD

YIHADISMO

R1

1. Las nuevas amenazas

10

IMPACTO

PROBABILIDAD

R1

1. Las nuevas amenazas

11

IMPACTO

PROBABILIDAD

CIBERRIESGOS

R1

1. Las nuevas amenazas

12

IMPACTO

PROBABILIDAD

1. Las nuevas amenazas

13

IMPACTO

PROBABILIDAD

LEGISLACIÓN PIC

R1

R2 R4

R5

R3

14

2. La visión de la Dirección General

15

Basilea II establece en su “Pilar 1” los requisitospara el cálculo de las necesidades de Capital, y enellos se ha de tener en cuenta:

2. La visión de la Dirección General

Riesgos del mercado

Riesgos de crédito

Riesgos de liquidez

Riesgos operativos

Necesidades de Capital

16

Los riegos operativos se desglosan en:

2. La visión de la Dirección General

Riesgos operativos

Fraude interno

Fraude externo

Relaciones laborales

Prácticas con

clientes

Gestión de los

procesosOtros

Daños materiales

Fallos en los

sistemas

17

Según las encuestas realizadas el porcentaje depérdidas de cada unos de estos riesgos es elsiguiente:

2. La visión de la Dirección General

7%

16%

7%

13%

24%

3%

29%

1%

Fraude internos

Fraude externo

Relaciones laborales

Prácticas con clientes

Daños materiales

Fallos en los sistemas

Gestión de los procesos

Otros

18

2. La visión de la Dirección GeneralLos “apellidos” de la Seguridad

Seguridad Laboral

Bienes PersonasMedio-

ambienteInformación

Naturales X

Técnicos X

Deliberados

Bienes PersonasMedio-

ambienteInformación

Naturales X X X

Técnicos X X X

Deliberados

Seguridad Industrial

Ciberseguridad

Bienes PersonasMedio-

ambienteInformación

Naturales X

Técnicos X

Deliberados X

Bienes PersonasMedio-

ambienteInformación

Naturales

Técnicos

Deliberados X X X

Seguridad Física (Security)

19

2. La visión de la Dirección GeneralDos “apellidos” próximos: Security

Seguridad Física y Ciberseguridad

Bienes PersonasMedio-

ambienteInformación

Naturales X

Técnicos X

Deliberados X X X X

20

Security afecta a tres tipos de Riesgos Operativos

2. La visión de la Dirección General

7%

16%

7%

13%

24%

3%

29%

1%

Fraude internos

Fraude externo

Relaciones laborales

Prácticas con clientes

Daños materiales

Fallos en los sistemas

Gestión de los procesos

Otros

21

2. La visión de la Dirección General

Security es una función esencial para elcumplimiento de Basilea II, haciendo frente ariesgos operativos. Su estrategia, recursos yresponsabilidad han de estar unificados.

Riesgos del mercado

Riesgos de crédito

Riesgos de liquidez

Riesgos operativos

Necesidades de Capital

SECURITY

22

3. Una Security

23

Security como Seguridad frente a riesgosdeliberados.Por lo tanto debieran estar todos sus riegostratados uniformemente.

3. Una Security

RIESGOS

FUERZAS Y CUERPOS DE SEGURIDAD

DERECHO PENAL Y PROCESAL

REGULACIÓN SEGURIDAD

PRIVADA

ORGANIZACIÓN DE LA SEGURIDAD

24

Las ciberamenazas has evolucionado muyrápidamente en los últimos años

3. Una Security

ESTADO EMPRESA

Derecho penal y procesal desfasado

Organización interna compleja

Cuerpos y fuerzas de Seguridad con recursos limitados

Responsabilidades dispersas

Regulación de la Seguridad privada incompleta.

Resistencia al cambio por la unificación de responsabilidades

25

4. Lecciones aprendidas

26

Cuevavaliente ingenieros, en colaboración conDeloitte ha asistido a operadores críticos pararedactar y aprobar

4. Lecciones aprendidas

PSO PPE

Realizados 6 22

En realización 4 -

Cuevavaliente ha asistido además a 2 grandesempresas en la organización de una estructura deSeguridad corporativa integral, que integraSeguridad física y ciberseguridad.

27

4. Lecciones aprendidasPrincipales conclusiones

Un «nuevo» Director de Seguridad

La Seguridad como función transversal

Modelos de gestión basados en la mejora continua

Análisis de riesgos físicos y lógicos único

Métrica común

28

4. Lecciones aprendidasUn «nuevo» Director de Seguridad

Perfil de gestión mas enfatizado Conocimientos más amplios y quizás menos

profundos Mantenimiento de la orientación a la Seguridad Capacidad de interacción con la dirección de la

empresa Orientación según la estrategia corporativa Dotado de un equipo multidisciplinar.

29

4. Lecciones aprendidasLa Seguridad como función transversal

Afecta y está afectada por todas las funciones de lacorporación.

Necesidad de compartir información y criterios Funciones especialmente afectadas: Gestión de riesgos Continuidad de negocio Cumplimiento normativo Comunicación Inteligencia económica

30

4. Lecciones aprendidas

Decisión y Compromiso

Diseño del Marco de Actuación del SGSF

Implementacióndel SGSF

Seguimiento y Revisión del SGSF

Mejora continua del SGSF

Plan del SGSI

Mantenimiento y mejora del SGSI

Implementación del SGSI

Medición del SGSI

Seguridad de la Información gestionada

Requerimientos de la Seguridad de la Información

Planificación

Implementación

Medición

Actuación

MODELO SGSCSGSC: Sistema de Gestión Corporativa de Seguridad

RequerimientosPolíticas

Gestión de la SeguridadCumplimiento LPIC

SGSF: Sistema de Gestión de Seguridad Física

SGSI: Sistema de Gestión de Seguridad de la Información

Modelos de gestión basados en la mejora continua

31

4. Lecciones aprendidas

ANÁLISIS DE RIESGOS

PROPUESTA DE MEDIDAS DE SEGURIDAD

IDENTIFICACIÓN DE RIESGOS

CO

MU

NIC

AC

IÓN

Y C

ON

SULT

A

MO

NIT

OR

IZA

CIÓ

N Y

REV

ISIÓ

N

ESTABLECIMIENTO DE CONTEXTO

EVALUACIÓN DE RIESGOS

AS

ES

OR

AM

IEN

TO

DE

L R

IES

GO

TRATAMIENTO DE LOS RIESGOS

ANÁLISIS DE RIESGOS

Análisis de riesgos únicos

Amenazas específicas Amenazas “cruzadas” Identificación de activos

con enfoque diferente Estimación de impactos

común Presentación de resultados

común Criterios de medidas de

Seguridad específicos

32

4. Lecciones aprendidasMétrica común

De resultados De realización de proyectos De estado de las medidas

dispuestas (madurez) De desempeño

33

Muchas gracias por su atención