IT Compliance en Banca Taller 1.4: Legislación y Seguridad de la Información en el Sector Financiero Carlos Alberto Sáiz Peña Socio Responsable de IT Compliance Ecija Vicepresidente de ISMS Forum
Índice 1. Introducción 2. Valores del Compliance 3. Normativas y regulaciones dentro del Compliance 4. La labor de Compliance en el sector bancario 5. Cómo gestionar los riesgos de IT Compliance? 6. Conclusiones 2
1 Introducción Fundamentos de la Regulación de las Nuevas Tecnologías Sociedad de la Información: Sabemos más, somos más productivos y también más vulnerables que nunca Derechos de los ciudadanos LOPD, LSSI, LISI Orden Económico SOX, MIFID, BASILEA II, SOLVENCIA II Seguridad de los Estados Ley 25/2007 (Retención de datos) La normativa se establece para evitar que se produzcan violaciones a estos derechos y bienes jurídicos Blanqueo de Capitales 3
3 Valores del Compliance Compliance Value (Estimación del valor del cumplimiento) Cumplimiento de Normas de Obligatorio Cumplimiento Alineamiento con Buen Gobierno y Mejores Prácticas Mejora de la Imagen en el Mercado Mejor Análisis del Coste del Riesgo Cohesión corporativa en la relación con Instituciones 4
4 Normativas y regulaciones dentro del Compliance Norma Objetivo Tipo LOPD Blanqueo Buen Gobierno SOX Solvencia II Basilea II ISO 27001 MiFID Protección de los datos de personas físicas Todas las organizaciones Medidas de prevención de blanqueo de capitales Diversos sectores Transparencia y protección de accionistas Sociedades cotizadas Controles internos para la transparencia Filiales cotizadas USA Medición, control y gestión del Riesgo Sector Asegurador Medición, control y gestión del Riesgo Sector Financiero! Sistema de Gestión de Seguridad Información Estándar Voluntario Control riesgo, protección mercado e inversores Mercado de Valores 5
4 Normativas y regulaciones dentro del Compliance Pero no sólo esas BANCOS DE TEJIDOS y GENÉTICA Health CFR US Food & Drugs ESTÁNDARES COBIT NIST RETENCIÓN DE DATOS ISP s Teleco SECTORES REGULADOS Energía, Banca, Seguros, Telecom, Farma Etc. PROTECCIÓN DE CONTENIDOS Industria Entretenimiento E-ADMINISTRACIÓN Admon Pública NORMAS USA GLBA (financiero) FISMA (seguridad información federal HIPAA (Seguros de vida) GASP (normas contables) LISI Suministros TELECOMUNICACIONES Operadores LUCHA CONTRA LA MOROSIDAD 6
COMPLIANCE Estatuto Trabajadores PRL Seg. Física Videovigilancia LSSI, LISI Mapa de Cumplimiento Normativo ISO 27001 LOPD Retención datos ITIL SOX, MiFID, Basel, Blanqueo E-Admon Conocer Riesgos Decisión Dirección Plan Acción 7
5 La labor de Compliance en el sector bancario El Principio Qué materias va a abarcar el Dpto. de Compliance Quién va a dirigir ese área Qué apoyo y respaldo tenemos de la Dirección A quién reportamos De qué medios y recursos vamos a disponer Entonces qué es el Compliance y dónde lo situamos? 8
5 La labor de Compliance en el sector bancario DEPARTAMENTO LEGAL DIRECCIÓN GENERAL ASESORÍA JURÍDICA DE NEOGCIO COMPLIANCE LITIGATION Auditoría IT Sistemas de Información Seguridad de la Información 9
6 Gestión de Riesgos de IT Compliance Qué implica la Gestión de Riesgos de IT Compliance? Cálculo de pérdidas potenciales por el incumplimiento Leyes (LOPD, LSSI, LISI,MIFID,SOX) Regulaciones (BDE) Estándares de Industria (PCI/DSS) Cómo podemos saber donde hay incumplimientos? Existen instrumentos que permiten traducir obligaciones legales en controles de IT auditables 10
6 Gestión de Riesgos de Compliance Cumplimiento normativo básico Derechos de personas (p.e. clientes) Protección mercado Derechos accionistas Protección del Negocio Análisis de de riesgos de de mi mi información Protección ante actividades criminales Alineación a a Buen Gobierno Corporativo EQUILIBRIO EXIGIDO EN SEGURIDAD Excelencia Operativa Hacer el el trabajo de de los los usuarios viable Controles IT IT sostenibles Mejor organización y y procedimientos Cultura corporativa Inversiones proporcionales: La La Dirección exige optimizar el el coste de de cumplir La La seguridad absoluta no no existe ROI del del Dpto de de Compliance 11
6 Gestión de Riesgos de Compliance Fases 12
6 Gestión de riesgos de Compliance Leyes, Regulaciones y Estándares LOPD SOX LSSI Mejores Prácticas REPOSITORI O Evidencias PROCESOS APLICACIONES Controles I.ACT D.SEG CONTRATO PERSONAS ACTIVO S REDES COMUNIC. 13
6 Gestión de riesgos de Compliance 14
6 Gestión de riesgos de Compliance Y finalmente Identificación de los diferentes tipos de riesgos normativos que afectan a la organización. Valoración de su importancia. Recomendación de acciones orientadas a mantener los riesgos normativos en niveles aceptables. 15
Buen Gobierno Corporativo Cumplimiento Legal Seguridad de la Información Continuidad de Negocio La era de la gestión responsable de la información RSC Códigos de conducta Como Directivo Como Trabajador Como Ciudadano 16
7 Conclusiones Es necesario delimitar materias y funciones del Dpto de Compliance Las medidas de compliance afectan a Organización, IT y Seguridad de la Información Ya existen estándares que cubren muchos de los controles exigidos por la normativa 17
Muchas gracias 18