GESTIÓN EFICIENTE, MINIMIZACION DE RIESGOS Y CUMPLIMIENTO CREÍBLE

Tamaño: px

Comenzar la demostración a partir de la página:

Download "GESTIÓN EFICIENTE, MINIMIZACION DE RIESGOS Y CUMPLIMIENTO CREÍBLE"

Cristina Lara Naranjo
hace 8 años
Vistas:

1 GESTIÓN EFICIENTE, MINIMIZACION DE RIESGOS Y CUMPLIMIENTO CREÍBLE 1 Ingelan Barcelona, 2 de Octubre de 2013 Francesc Garrido

2 CAMBIO DE PARADIGMA Años Hoy 2

3 PROCESOS INDUSTRIALES 3

4 EL SOPORTE TECNOLÓGICO Tecnologías de Información Fiables Proceso Datos Disponibles Mejora Análisis 4

5 TECNOLOGÍA DE LA INFORMACIÓN Argumentos Comerciales iniciales: Tendremos un sistema informático que recoja todos los datos de forma rápida y segura, Podremos analizarlos para obtener indicadores, efectuar mejoras... Accesibilidad immediata de la información... El Santo Grial... El trabajo se iba a hacer solo! 5

6 PERO LA TECNOLOGIA... Requiere conocimiento especializado Recursos para mantenerla Adaptación continua a los avances del mercado 6

7 Y ADEMÁS Minimizar Riesgos Cumplimiento Creible Gestión Eficiente 7

8 Minimizar Riesgos Cumplimiento Creible Gestión Eficiente 8

9 CUMPLIMIENTO CREÍBLE: QUÉ NORMAS? Farma Veterinaria Normativas del sector Cosmética Buenas Prácticas Normativas fiscales, contables. Protección de datos 9

10 QUÉ PIDEN LAS NORMATIVAS? Topics Control Cambios Gestión Incidencias Backup & Restore Seguridad Lógica Trazabilidad 10

11 CÓMO SE DEMUESTRA EL CUMPLIMIENTO? Pruebas de validación Registros de seguimiento de PNT s Registros de cambios Registros de incidencias Control acceso 11

12 GESTIÓN DEL CUMPLIMIENTO Gran volumen de datos + Seguimiento Proactivo Mantenimiento Manual Costoso o Inexistente Herramientas Tecnológicas 12

13 HERRAMIENTAS TECNOLÓGICAS PARA GESTIÓN DEL CUMPLIMIENTO; QUÉ DEBEN HACER? Registro de cambios Versiones de programas Parámetros de configuración Parámetros de proceso Registro incidencias Monitorización eventos, interfases Análisis incidencias según origen Análisis repetitividad Gestión autorizaciones Detección intentos fallidos Bloqueo de cuentas peligrosas Anti-spam, antivirus... Control Accesos 13

14 SOLUCIONES TECNOLÓGICAS Sistemas de monitorización de eventos Control Versiones de software (incluidos PLC) Engineering solutions: - Configuración - Seguimiento - Análisis... Control Acceso a aplicaciones Gestión de inventario sistemas Ayudan, pero no son inteligentes ni autónomos! 14

15 BACKUP & RESTORE Se hace copia de todo (o casi) Sistemas de backup en cinta física o virtuales Sistemas de Replicación completa de Data Centers Alta automatización de las operaciones Cumplimiento de calendario 15

16 LA GRAN PREGUNTA Pero nunca se ha probado realmente!!!!! 16

17 QUÉ BUSCA EL RESTORE? RECUPERAR EL SISTEMA PARA PODER TRABAJAR EN CASO DE FALLO DEL PRINCIPAL... EN LAS MISMAS CONDICIONES, O EQUIVALENTES Y SE DEBE DEMOSTRAR QUE FUNCIONA 17

18 DIFICULTADES DEL RESTORE Disponibilidad de un entorno equivalente. Recursos tecnológicos. Se debe recuperar y acceder a la aplicación para asegurar que ha funcionado bien. Recursos humanos. Personal formado. Se debe recuperar aplicación, configuración, datos... a menudo repartido en diferentes ubicaciones. Se deja de manos del Business Recovery Plan, pero a menudo nuestros sistemas críticos no están incluidos. Cuando realmente necesitamos recuperar el sistema por fallo del principal, es un proceso muy lento y se pierden datos o la configuración no està actualitzada... 18

19 SOLUCIONES TECNOLÓGICAS Sistemas de replicación de aplicaciones, con registro de cambios de configuración Engineering solutions: - Configuración - Verificación... Appliances para creación del entorno equivalente Verificación recuperación periódica 19

20 SEGURIDAD LÓGICA Control de Acceso: ID + password Definición de perfiles Logout automático Cambio peródico de password Complejidad de password Registro de accessos Logs de seguridad 20

21 DIFICULTADES Cada sistema dispone de su propia política de Seguridad. Dificultad en integrar la política de Seguridad de los diferentes sistemas. ID + passsword está bastante resuelto, pero aun existen usuarios comunes. No nos creemos que sea algo crítico. O no damos a los datos la importancia que les toca. 21

22 SOLUCIONES TECNOLÓGICAS Single Sign On (LDAP) Engineering solutions: - Configuración - Verificación... Monitorización Eventos de Seguridad: -Acceso usuarios. - Uso funciones críticas Antivirus, Antispam, Anti-intrusismo 22

23 LA SEGURIDAD LÓGICA Y LA NORMATIVA La Seguridad es un reto global de la compañía Seguridad de los datos Integridad de los datos Disponibles cuando se necesitan Fiabilidad Continuada Los datos están para demostrar cómo se fabrica y analizar tendencias, resultados. 23

24 Cumplimiento Creible Minimizar Riesgos Gestión Eficiente 24

25 RIESGOS Posible amenaza Severidad X Probabilidad ocurrencia X Detectabilidad -1 Nivel de riesgo Los riesgos se cuantifican y se definen medidas de control en base al nivel de riesgo que suponga 25

Normativo Falta de trazabilidad Información no

26 TIPOS DE RIESGOS Negocio Parada procesos Pérdida información crítica Manipulación proceso/datos Normativo Falta de trazabilidad Información no atribuible Modificaciones no controladas Pérdida de datos relevantes 26

27 RIESGOS PUEDEN AFECTAR A: Integridad Datos no modificables a lo largo del tiempo Seguridad Accesible a usuario autorizado Modificaciones controladas Fiabilidad Los datos provienen de Fuentes seguras Consultables sin alteración 27

28 Minimizar CÓMO MINIMIZAR RIESGOS Reducir probabilidad ocurrencia Aumentar detectabilidad (Reducir impacto) 28

29 MINIMIZAR RIESGOS Aumentar probabilidad detección Reducir probabilidad ocurrencia Diseño de la funcionalidad Elementos de control externos (PNT) Origen del riesgo Elementos de control del sistema 29

30 MINIMIZAR RIESGOS Plan de Control de Riesgos Proceso Tecnología Identificación riesgos - Pérdida de datos - Acceso a funciones críticas - Versiones de SW - Cambios configuración Herramientas de Control Análisis medidas aplicadas 30

31 Cumplimiento Creible Gestión Eficiente Minimizar Riesgos 31

32 GESTIÓN DEL CUMPLIMIENTO Cumplimiento Normativas + Control Riesgos Métodos Manuales Costes elevados Difícil de seguir Poca información Métodos Tecnológicos Inversión inicial Configuración Centrado en riesgos Gran volumen de info. 32

33 Monitorización Identificación anomalías Gestión Cumplimiento Operación del sistema Capa Cumplimiento Sistema 1 Capa Cumplimiento Sistema 2 Capa Cumplimiento Sistema 3 33

34 Monitorización Identificación anomalías Gestión Cumplimiento Operación del sistema Eventos Categorización Análisis Eventos Diseño eficiente monitorización Elementos de Riesgo 34

35 RETOS Obtener información relevante de los procesos. Analizar la información para análisis del proceso, del uso de la tecnología, de la aplicación de controles... Mayor conocimiento del proceso de fabricación y de gestión de la información, para mejorarlo. Centrar esfuerzos en puntos críticos. Información Análisis CONOCIMIENTO 35 ICH Q8

36 36 CONCLUSIONES

37 CONCLUSIONES La incorporación de la tecnología ha abierto nuevos retos. Es necesario demostrar que los posibles riesgos derivados del uso de la tecnología están bajo control. Se necesita un sistema de gestión del cumplimiento normativo, que requiere tiempo y recursos cualificados. Las operaciones manuales corren el riesgo de no realizarse por no ser prioritarias. Se requieren herramientas tecnológicas para gestionar de forma eficiente el cumplimiento. 37

38 CONCLUSIONES Existen soluciones tecnológicas, que requieren conocimiento y definición clara de los puntos críticos. Se genera mucha información que se debe saber filtrar y analizar. Es necesario interpretar la información: Data Mining. Evitar repetición de errores. 38

39 39

Francesc Garrido francesc.garrido@csvexperts.com CSV Experts SL Av.

40 Francesc Garrido CSV Experts SL Av. Ernest Lluch 32, TecnoCampus Mataró Torre 2, 5ª Planta

Documentos relacionados

MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013

1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene