SISTEMA DE GESTION DE PREVENCIÓN DEL DELITO

Transcripción

1 SISTEMA DE GESTION DE PREVENCIÓN DEL DELITO Francisco Valencia Arribas Director General

2 Agenda 1 Art 31 bis 5 del Código Penal 2 Modelo General de Gestión de Riesgos 3 Prevención del Delito dentro de un marco global de GRC 4 Implantación de un Sistema de Gestión de GRC 5 Dificultades y principales retos 6 SecureIT Gold Security 2

3 MODELO DE ORGANIZACIÓN Y GESTIÓN PARA PREVENCIÓN DE DELITOS CP 31BIS Identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos. Establecimiento de los protocolos o procedimientos que concreten el proceso de formación de la voluntad de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos Disposición de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los delitos que deben ser prevenidos. Imposición de la obligación de informar de posibles e incumplimientos al organismo encargado de vigilar el funcionamiento y observancia del modelo de prevención. Establecimiento de un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas que establezca el modelo. Verificación periódica del sistema y de su eventual modificación cuando se pongan de manifiesto infracciones relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios. 3

4 MODELO GENERAL DE GESTIÓN DE RIESGOS BASADO EN EL CICLO DE DEMING DE MEJORA CONTINUA Contexto, Objetivos y Alcance MODELO ADOPTADO EN ISO 27001, 22301, 31000, Requisitos Stakeholders PERMITE EL ANÁLISIS Y TRATAMIENTO DE RIESGOS DE UN MODO ESQUEMÁTICO Y SENCILLO Mejora continua Análisis de Definición de medidas PERMITE EL ESTABLECIMIENTO DE MODELOS ÚNICOS DE GESTIÓN DE RIESGOS. Planes de repuesta LIDERAZGO POLÍTICAS Implantación EXISTEN HERRAMIENTAS QUE AYUDAN A SU IMPLANTACIÓN Vigilancia y control 4

5 SISTEMA DE GESTIÓN DE PREVENCIÓN DEL DELITO 1 2 Identificación de las actividades en cuyo ámbito puedan ser cometidos delitos. Establecimiento de procedimientos, de adopción de decisiones y de ejecución de las mismas. Contexto, Objetivos y Alcance Requisitos 1 1 Stakeholders 1 3 Gestión de los recursos financieros adecuados para impedir la comisión de delitos. 6 Análisis de 1 4 Obligación de informar de posibles e incumplimientos al encargado del sistema Mejora continua Definición de medidas Establecimiento de un sistema disciplinario Verificación periódica del sistema y de su eventual modificación Planes de repuesta 5 LIDERAZGO POLÍTICAS Vigilancia y control 4 Implantación 3 5

6 CONTEXTO, OBJETIVOS Y ALCANCE COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SU CONTEXTO Cuestiones externas e internas que son pertinentes para su propósito Contexto regulatorio, social y cultural Situación económica Políticas internas Procedimientos y Procesos Recursos Contexto, Objetivos y Alcance Requisitos Análisis de Stakeholders DETERMINACIÓN Y COMPRESIÓN DE LAS NECESIDADES Y EXPECTATIVAS DE LAS PARTES INTERESADAS Mejora continua Definición de medidas DETERMINACIÓN DEL ALCANCE => LÍMITES Y APLICABILIDAD Planes de repuesta Vigilancia y control Implantación Limites geográficos y/u organizativos Aspectos internos y externos 6

7 PREVENCIÓN DEL DELITO DENTRO DE UN MARCO GRC PREVENCIÓN DEL DELITO PROTECCIÓN DE DATOS COMERCIO ELECTRÓNICO BLANQUEO DE CAPITALES PRESTADORES DE SERVICIOS FIRMA ELECTRÓNICA ESQUEMA NACIONAL SEGURIDAD MEDIDAS BANCO DE ESPAÑA MEDIDAS CNMV PCI-DSS FDA ISO / ISO / ISO ISO HIPA SOX MEDIDAS DE CLIENTES MEDIDAS SECTORIALES ETC Seguridad física y ambiental Regulación sectorial ISO Prevención del Delito Governance, Risk and Compliance Contratos con clientes Protección de Datos Continuidad de Negocio Ciberseguridad Mejora continua Contexto, Objetivos y Alcance Requisitos Análisis de Stakeholders Definición de medidas Planes de repuesta Implantación 7 Vigilancia y control

8 ANÁLISIS DE RIESGOS Todos los requisitos indicados y sus asociados tienen un punto en común: Los sistemas que gestionan la información de la empresa. Por ello, un punto de integración es la realización de un análisis de los tecnológicos y de información de los distintos marcos. La aplicación de contramedidas tecnológicas ayudará de manera eficaz a la reducción de los comunes. Podrán existir medidas específicas a aplicar en cada grupo de requisitos. Contexto, Objetivos y Alcance Requisitos Stakeholders Análisis de Mejora continua Definición de medidas Planes de repuesta Implantación Vigilancia y control 8

9 PROCESOS OPERATIVOS ESTABLECIMIENTO DE POLÍTICAS ROLES Y RESPONSABILIDADES (COMPLIANCE MANAGER, SEGREGACIÓN DE TAREAS) PROCESO DE AUTORIZACIÓN DE ACCESO ANÁLISIS DE RIESGOS CONCIENCIACIÓN Y FORMACIÓN (MANUAL DE PREVENCIÓN DE DELITOS) ALTA Y BAJA EN LA EMPRESA SEGURIDAD FÍSICA Y AMBIENTAL Contexto, Objetivos y Alcance MANTENIMIENTO DE SISTEMAS Requisitos Stakeholders PROCESO DE DESTRUCCIÓN DE INFORMACIÓN Análisis de TELETRABAJO Mejora continua Definición de medidas GESTIÓN DE EVENTOS, INCIDENCIAS Y CAMBIOS Planes de repuesta Implantación PLAN DE CONTINUIDAD DE NEGOCIO Vigilancia y control 9

10 PROCESOS DE CONTROL GESTIÓN Y CONTROL DE ACTIVOS FINANCIEROS GESTIÓN Y CONTROL DE ACTIVOS TECNOLÓGICOS CONTROL DE DONCIONES, ESPONSORIZACIÓN, REGALOS PROCESOS DE CONTROL Y AUDITORIA RÉGIMEN DISCIPLINARIO GESTIÓN DE PROVEEDORES Contexto, Objetivos y Alcance Requisitos Stakeholders AUDITORÍA INTERNA Y EXTERNA MECANISMO DE INVESTIGACIÓN INTERNA Mejora continua Análisis de Definición de medidas MONITORIZACIÓN Y VIGILANCIA CENTRO DE OPERACIONES CANAL DE DENUNCIAS Planes de repuesta Vigilancia y control Implantación 10

11 Y MEDIDAS DE SEGURIDAD TI SEGURIDAD PERIMETRAL Y EN REDES DE COMUNICACIONES CONTROL DE PUESTO DE TRABAJO Y SERVIDORES SERVICIOS WEB COPIAS DE SEGURIDAD USO DE LOS SISTEMAS DE TI ANTIMALWARE SEGURIDAD EN BASES DE DATOS Contexto, Objetivos y Alcance Requisitos Análisis de Stakeholders CRIPTOGRAFÍA SEGURIDAD EN DISPOSITIVOS MÓVILES Mejora continua Planes de repuesta Definición de medidas Implantación PREVENCIÓN DE FUGA DE INFORMACIÓN Vigilancia y control 11

12 CANAL DE DENUNCIAS Medio eficaz de autocontrol para luchar contra la comisión de delitos. Canal de comunicación de prácticas o comportamientos irregulares Confidencialidad. Investigación de denuncias, Comunicación de resultados al denunciante Obligación Denuncia vs Deber secreto => El secreto como valor de empresa, no puede ser entendido como encubridor de hechos ilícitos Contexto, Objetivos y Alcance Requisitos Stakeholders Buena fe contractual vs denuncia => La buena fe no ampara prácticas ilegales por parte del empresario Mejora continua Análisis de Definición de medidas Fichero especialmente protegido Planes de repuesta Implantación Analizar la mejora de la eficacia si es externalizado Vigilancia y control 12

13 MONITORIZACIÓN Y VIGILANCIA CUMPLIMIENTO Satisfacer la demanda que le es exigida a la organización. Exigencias Legales (Privacidad ) Normas Sectoriales (PCI-DSS, ENS ) Estándares (ISO / ) Medidas dispuestas por Clientes Informes de cumplimiento PROCESOS Permiten dotar al CEO de un cuadro de mando de la gestión de su seguridad. Identificación y valoración de Activos Análisis de Riesgos Roles y Responsabilidades Medidas aplicadas y sus Resultados Procedimientos de prevención Requerimiento de monitorizar Cuadros de mando Contexto, Objetivos y Alcance Requisitos Stakeholders SEGURIDAD TI Protegen las vulnerabilidades propias de los sistemas informáticos: Sistemas anti malware Protección contra hackers Copias de seguridad Criptografía Detección de eventos e incidentes Correlación de eventos Mejora continua Planes de repuesta Análisis de Definición de medidas Implantación Vigilancia y control 13

14 DEFINICIÓN DE ACTUACIONES ESTABLECIMIENTO DE MEDIDAS DE CONTROL TÉCNICO REGIMEN DISCIPLINARIO CANAL DE COMUNICACIÓN CON CUERPOS Y FUERZAS DE SEGURIDAD MECANISMO DE INFORMACIÓN A POSIBLES VÍCTIMAS O PARTES INTERESADAS Contexto, Objetivos y Alcance Requisitos Stakeholders SUSPENSIÓN CAUTELAR DE LA ACTIVIDAD AFECTADA Mejora continua Análisis de Definición de medidas ETC Planes de repuesta Implantación Vigilancia y control 14

15 MEDIDAS, MÉTRICAS Y AUDITORÍA Establecer para cada control un grado de implantación Establecer para cada control una medida de eficacia Establecer para cada control un peso relativo en la prevención del delito Analizar el grado de consecución de los objetivos Analizar el grado de implantación de controles Contexto, Objetivos y Alcance Analizar la eficacia y eficiencia de los controles Requisitos Stakeholders Chequear la reducción efectiva del riesgo Análisis de Repetir este proceso de manera periódica o cuando haya cambios significativos en la valoración de Mejora continua Definición de medidas Preferentemente auditoría por auditor externo Planes de repuesta Vigilancia y control Implantación 15

16 ADECUACIÓN A NORMAS UNE-ISO/IEC ADECUACIÓN A UNE/ISO-IEC SEGURIDAD DE LA INFORMACIÓN - ISO Mejora la organización de la empresa Reduce drásticamente los Permite disponer de cuadros de mando Dota acceso a nuevos mercados y clientes Permite demostrar buenas prácticas Adecuada gestión de imprevistos Cientos de controles de auditoría Reducido consumo de recursos Permite planificar, ejecutar, verificar y mejorar un conjunto de controles y medidas técnicas, de procedimientos y organizativas que permitirán reducir el riesgo de Seguridad en las Organizaciones y, sobre todo, dotarlas de un esquema de gestión de los procesos de seguridad. SERVICIOS DE TI - ISO SGSI ISO27001 SGSTI ISO20000 GESTIÓN DE RIESGOS SGCN ISO22301 Permite garantizar el alineamiento de los servicios de IT con los requerimientos y estrategia del gobierno corporativo de la empresa. CONTINUIDAD DE NEGOCIO - ISO Cualquier organización, grande o pequeña, disminuirá la posibilidad de que ocurra cualquier incidente destructivo y, en caso de producirse, la organización estará preparada para responder de forma adecuada y reducir drásticamente el daño potencial del incidente 16

18 Cómo se coordinan todas? CUMPLIMIENTO NORMATIVO VIGILANCIA Y CONTROL GESTIÓN DE RIESGOS PROCESOS CORPORATIVOS SEGURIDAD INFORMÁTICA 18

19 PRINCIPALES DIFICULTADES Falta de liderazgo Falta de prioridad Falta de foco, no es el principal cometido de nadie en la empresa Equipo multidisciplinar Dificultad para comprender los Existen parches parciales a la seguridad y el cumplimiento Contexto, Objetivos y Alcance Fuertes inversiones Falta de formación No identificación de partes interesadas y sus requisitos Requisitos Análisis de Stakeholders Mejora continua Definición de medidas Proyecto multidepartamental Dificultad en la valoración de activos Falta de apoyos Planes de repuesta Vigilancia y control Implantación 19

20 COMPLIANCE OFFICER QUIEN ES EL COMPLIANCE OFFICER? Rol establecido para la coordinación de las distintas áreas y especialistas para dar soporte a la reducción del riesgo de incumplimientos. Puede ser una persona interna, externa, o un Comité multidepartamental Debe disponer de independencia, autoridad, recursos, acceso a la información, responsabilidades, comunicación, concienciación Puede (y debería) ser el mismo que ejerce de DPO o Responsable de Seguridad FUNCIONES Diseño e implementación de un Programa de Prevención del Delito Integración de varios Sistemas de Gestión Políticas de evaluación Políticas de Compliance Políticas de control de empleados Políticas de control de datos e información Herramientas de evaluación del riesgo penal 20

21 EL COMITÉ DE SEGURIDAD Y CUMPLIMIENTO El Sistema de Gestión de Seguridad y el cumplimiento debe estar gestionado por un equipo multidisciplinar y con capacidad de actuar con los distintos departamentos de la empresa: Dirección Logística Tecnologías de la información Cumplimiento Ventas y Marketing Comité de Seguridad Dirección financiera Riesgos Procesos Asesoría Jurídica Proveedores Seguridad TI Desarrollo Producción Operaciones 21

23 PROGRAMA GOLD SECURITY SecureIT, como empresa especializada en ciberseguridad y cumplimiento, ha desarrollado un servicio de acompañamiento que ayuda a las organizaciones a establecer un Sistema de Gestión de Seguridad de la Información y el cumplimiento considerando: Protección de Datos Cumplimiento normativo Prevención del Delito Tecnológico Procesos Corporativos de Seguridad Seguridad de la Información Este programa de acompañamiento es reconocido y certificado. Un programa que certifica un estricto cumplimiento de controles de seguridad que han sido seleccionados por SecureIT de entre los presentes en los mejores estándares y normativas de gestión de la Seguridad. Gracias a este servicio, su empresa contará con un COMITÉ DE SEGURIDAD, formada por personal propio y por expertos, que le ayudarán a medir y reducir sus, y demostrar a terceros esta capacidad. 23

24 PROGRAMA GOLD SECURITY COMPROMISO POR DIRECCIÓN VIGILANCIA DE LA SEGURIDAD IDENTIFICACIÓN DE PROCESOS DE NEGOCIO APLICACIÓN DE CONTRAMEDIDAS IDENTIFICACIÓN Y VALORACIÓN DE ACTIVOS DE INFORMACIÓN PLAN DIRECTOR DE SEGURIDAD IDENTIFICACIÓN DE MEDIDAS APLICABLES AUDITORÍA DE CUMPLIMIENTO 24

25 PROGRAMA GOLD SECURITY Se establece un periodo de trabajo de 3 años, en los cuales: Se establece un Comité de Seguridad y cumplimiento con seguimiento mensual Se realizan auditorías bienales de Protección de Datos, Seguridad Informática y Procesos Se establece un Plan Director de Seguridad y cumplimiento, con indicación de los proyectos a ejecutar en los tres años Se asegura el cumplimiento de la organización en la normativa que le es de aplicación Se implantan las medidas tecnológicas necesarias para el cumplimiento Se establecen procesos corporativos de gestión de la seguridad Se certifica a la organización conforme la norma ISO/IEC 27001:2013 Se integran los sistemas de TI de la organización en el SOC de SecureIT Se imparte formación y concienciación continuada (píldoras formativas semanales) Se crea el Canal de denuncias de Delitos Y todo ello bajo una única cuota mensual. Sin inversiones ni más gastos 25

26 PROGRAMA GOLD SECURITY VENTAJAS Y BENEFICIOS DEL SERVICIO GOLD SECURITY Permite a las empresas centrarse en su Core Business. Disponga en su Comité de Seguridad de los mejores profesionales multidisciplinares Información sobre seguridad actualizada. Adapta el número de recursos humanos a las necesidades de la Compañía. Reduce los Riesgos económicos y de vulnerabilidades de sus sistemas. Asegura la Calidad del servicio. Disminuye los Costes. Aumenta la capacidad de respuesta de la Compañía, ante amenazas. OPCIONAL: SERVICIO GOLD SECURITY ON-PREMISES Disponga de una oficina técnica on-premises Mayor eficacia y eficiencia del servicio GOLD SECURITY Más rápida interlocución, mejor integración entre departamentos y órganos de decisión Sin perder comunicación directa con los especialistas Coste de la oficina técnica distribuida a lo largo de la vida del contrato 26

27 MUCHAS GRACIAS Francisco Valencia Arribas Director General