Post on 06-Apr-2016
description
Grupo de Interés
Evento celebrado en Madrid el 23 de Octubre de 2014
Página 2
Página 3
Las empresas deben cumplir las nuevas normas Europeas y Nacionales de Seguridad El 23 de Octubre, SPOUG Spain Oracle Users Group, el único Grupo de Usuarios en España avalado por Oracle, ha organizado el Seminario “Cumplimiento Normativo y Seguridad en el Nuevo Entorno Digital”, en el Hotel Holiday Inn de Madrid, donde diferentes expertos han explicado las tendencias y lo que está sucediendo en Europa y qué impacto tendrán sobre nuestras empresas. El Grupo de Interés de Segurity, Risk & Compliance de SPOUG decidió celebrar este evento en octubre para colaborar en la campaña European Cyber Security Month (ECSM), que es una campaña de la Unión Europea que tiene lugar este mes con el objetivo de promover la seguridad cibernética. Con tal fin este evento no sólo ha estado dirigido a los socios, sino a todas las empresas que desean prepararse en el ‘Compliance” requerido para 2015. Los participantes en el seminario han conocido de primera mano la información más actualizada sobre:
• La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad
• cómo afectan la reforma de la regulación normativa a las empresas europeas
• recomendaciones para la seguridad de pagos • la nueva ISO/IEC 27001 versión 3 • el papel de la tecnología de seguridad para
hacer posible innovar y competir en el mercado, según un enfoque asequible
El seminario ha cumplido 100% con las expectativas de los asistentes, principalmente por la calidad de las ponencias y sus conferenciantes, así como el contenido tan completo definido por el Grupo de Interés de Seguridad, Riesgo y Cumplimiento Normativo de SPOUG. Con el presente Dossier SPOUG, queremos compartir todo el conocimiento divulgado por los expertos durante el Seminario. Os animo desde aquí a participar en este grupo de interés que para desarrollar las distintas líneas de acción y colaboración entre los profesionales en Cumplimiento Normativo, Riesgo y Seguridad Espero que disfrutéis de estas páginas, y no olvidéis expresar vuestros comentarios por Twitter a @spoug_es.
Pedro Robledo Gerente gerente@spoug.es
Página 4
Contenido
Edita
SPOUG
Spain Oracle Users Group
Todos los derechos reserva-
dos. Se autoriza la reproduc-
ción total o parcial con cita
expresa de la fuente “Dossier
SPOUG 23 Octubre 2014”.
Los editores no se hacen res-
ponsables de las opiniones
vertidas por los autores en
esta publicación, ni compar-
ten necesariamente sus crite-
rios.
Consejo Editorial Manuel Lozano
Sebastián Reiter
Pedro Robledo
Carmen Larrumbide
Eduvigis Ortiz Moronta
José Manuel Peláez
Pedro S obrino
Javier Barrio
José Manuel López
Redacción y Publicidad Pedro Robledo
gerente@spoug.es
Colaboradores Mauricio Gumiel
Alessandro Vallega
Oscar López
Jesús Castillo
Mª Elísabeth Iglesias
Enrique Brandariz
Javier Fermández
Resumen y Testimonios Introducción “El cumplimiento normativo y seguridad en el nuevo entorno digital” Mauricio L. Gumiel, Iberia Security Sales Director (Oracle) Introducción de la situación actual Europea y Nacional sobre el nuevo nivel de medidas de seguridad y cumplimiento normativo en las empresas ante el nuevo entorno digital. Cómo afectan los incidentes fraudulentos a las empresas europeas y cómo impactan en su cumplimiento normativo Alessandro Vallega, Security Business Developer Manager for Oracle South. Part of Clusit Board of Directors Exposición de los fraudes externos e internos, el riesgo ope-rativo, las medidas de integridad de la información, etc.. Explicación de la necesidad de fortalecer la regulación, su-pervisión y gestión de riesgos de las empresas. Compliance: La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad Oscar López, Abogado experto en TIC/Consultor Legal (UBT Compliance) Análisis de la responsabilidad en la gestión del cumplimien-to de obligaciones legales en la compañía, responsabilida-des civiles y penales y el respeto a la privacidad, estudiando especialmente la reforma del marco jurídico europeo sobre protección de datos personales, cuyo Reglamento ha sido aprobado por el Parlamento Europeo en marzo de 2014 y cuya aprobación definitiva se prevé a lo largo del año 2015. Este Reglamento fortalece los derechos individuales y exige obligaciones preventivas y de control de privacidad para hacer frente a los retos que plantean la globalización y las nuevas tecnologías.
Página 5
Recomendaciones para la seguridad de pagos Jesús Castillo Vega, Jefe de Servicios Interbancarios y Convenios con la Administración en CECABANK. El uso de dispositivos y tecnologías móviles para realizar pagos crea nue-vos riesgos para la seguridad de los pagos. Banco Central Europeo ofrece recomendaciones de seguridad de los pagos de internet y por móvil. ISO/IEC 27001 versión 2013 y ENS (Esquema Nacional de Seguridad) Ponente: Mª Elísabeth Iglesias Domínguez, LEAD AUDITOR en ISO 27001, Consultora/Auditora de Seguridad de Gesdatos Software,S.L. ISACA VALENCIA, APEP Cómo implantar ISO/IEC 27001 versión 2013, el estándar para la seguri-dad de la información que especifica los requisitos necesarios para esta-blecer, implantar, mantener y mejorar un sistema de gestión de la segu-ridad de la información (SGSI). Implantación al Esquema Nacional de Seguridad (ENS) referente a la política de seguridad en la utilización de medios electrónicos y las sinergias con el estándar ISO 27001:2013. El papel de la tecnología para implantar las nuevas normas en las empresas: Enrique Brandariz, Responsable Área de Seguridad (avanttic) La implantación de las nuevas normas en las empresas para su cumpli-miento pasa por el establecimiento de controles internos, la aprobación de procedimientos y el uso de diversas tecnologías, de manera equili-brada, para asegurar la integridad, confidencialidad y disponibilidad de la información. La Gestión de la Identidad para el cumplimiento normativo y de seguridad en la transformación digital de las empresas Javier Fernández, Director Transformación Digital ( CMC) Para que las empresas sean competitivas y viables deben innovar necesa-riamente en sus productos y en sus servicios. La transformación empre-sarial será factible mediante las soluciones TI adecuadas, que aseguren en todo momento el cumplimiento normativo y las posibles amenazas a la seguridad. La Gestión de la Identidad juega un rol central en todos los procesos relacionados con el cliente y permite gestionar las fuerzas disruptivas Social, Mobile, Cloud y Big Data en la transformación digital de las empresas.
Página 6
Página 7
Técnico Servicio Redes y Sistemas, Jefe de la Oficina de Seguridad TIC, Director de Sistemas, Seguridad y Procesos,
Innovation & Alliance Director, Director del Departamento de Auditoría de Aplicaciones, Supervisor de Infraestructura, Responsable Area de Informática, Director de Calidad y Servicios Generales, Responsable de Calidad, Director de TI,
CIO, Responsable Seguridad Informática. Dirección de Sistemas.
• “Multisector y la horizontalidad del seminario”
• “Beneficio la excelente explicación sobre nuevo marco normativo, sistemas integrados de certificación y cumplimiento e identidad de los clientes” • “Una visión global sobre el cumplimiento normativo” • “Me han gustado mucho todas las ponencias” • “Muy interesante tener una primera aproximación a la futura regulación europea de protección de datos y seguridad” • “Visión global de la evolución de la S.I. En general me ha parecido muy interesante” • “Muy interesante” • “El hincapié en que la protección principal es el dato personal” • “Muy positivo, enriquecedor y con alto nivel de ponentes” • “Ventaja: El abordaje interdisciplinar y avanzado” • “Bueno. Conocer a ponentes que no son los habituales de los grandes eventos. Personas que son más cercanas y que tratan temas más próximos a nuestra realidad”
Página 8
Influir
Descuentos Especiales
Organizar Eventos
Canalizar preguntas
Compartir información
Crear sinergias
Editar Publicaciones
Representar a los usuarios
Ayudar a Relacionarse
SPOUG (SPain Oracle Users Group) es una asociación sin ánimo de lucro, con 25 Años de existencia, la evolucíón de CUORE (Círculo de Usuarios de Oracle de España) reconocida por Oracle como la única organización oficial en España de usuarios de productos y servicios Oracle.
OBJETIVOS
Página 9
Grupo de Interés de Seguridad, Riesgo y
Cumplimiento
SPOUG (SPain Oracle Users Group) está creando una comunidad de Seguridad, Riesgo y Cumplimiento, tomando ideas de la experiencia de las comunidades de Italia ClusIT (http://bit.ly/1yHnvxT) y “Oracle Community for Security” (http://bit.ly/1E0qkwS) Los Objetivos del Grupo son: • Dinamizar un foro de intercambio de ideas y
conocimientos • Desarrollar conjuntamente proyectos específicos
que ofrezcan valor a los asociados y al propio Oracle
Sergio Fumagalli, vicepresidente de Zeropiu, integrador de sistemas especializado en seguridad e identidad digital, operando en Italia y los países nórdicos, tiene a Oracle como su partner más importante desde los últimos cinco años, participa activamente en la comunidad italiana de seguridad y recomienda que en España hagamos una iniciativa similar.
Sergio Fumagalli, Vicepresidente
Página 10
Página 11
Mauricio L. Gumiel Muñoz Iberia Security Sales Director, Oracle
Página 12
El evento comenzó con la ponencia “Introducción al cumplimiento normativo y seguridad en el nuevo entorno digital”, realizada por Mauricio L. Gumiel, Iberia Security Sales Director de Oracle, que explicó la situación actual Europea y Nacional sobre el nuevo nivel de medidas de seguridad y cumplimiento normativo en las empresas ante el nuevo entorno digital. Se está incrementan-do la preocupación de las empresas sobre la seguridad de los activos digitales en los últimos meses, debido a los numerosos incidentes de seguridad ocasionados por las violaciones de datos, fraudes, espionajes, sabotajes y otros ataques cibernéticos de muchos tipos. Los criminales atacan a empresas de todo tamaño y tipo, así como de cualquier sector. Como consecuencia de este problema, las autoridades nacionales e internacionales están promoviendo la aproba-ción de un número cada vez mayor de normas, que implican que las empresas implanten un nuevo nivel de medidas de seguridad y la adopción de las prácticas internacionales más modernas, para anticiparse, ser predictivas, analizar y corregir los incidentes de seguridad. Finalizó Mauricio con tres recomendaciones: 1) aumentar la resistencia humana y organizacional a través de diferentes iniciativas de concienciación de seguridad / formación 2) crear una arqui-tectura de seguridad para hacer frente a los problemas de seguridad y conseguir que las aplicaciones puedan innovar libremente, y 3) adoptar las mejores prácticas internacio-nales y montar un Information Security Management System (ISMS)
Página 13
Cumplimento normativo y Seguridad en el Nuevo Entorno Digital
Página 14 Source: http://on.bcg.com/ZWT6PZ
Cumplimento normativo y Seguridad en el Nuevo Entorno Digital
Página 15
Cumplimento normativo y Seguridad en el Nuevo Entorno Digital
Página 16
Cumplimento normativo y Seguridad en el Nuevo Entorno Digital
Página 17
Cumplimento normativo y Seguridad en el Nuevo Entorno Digital
Página 18
Cumplimento normativo y Seguridad en el Nuevo Entorno Digital
Página 19
Cumplimento normativo y Seguridad en el Nuevo Entorno Digital
Página 20
Página 21
Alessandro Vallega Security Business Development Oracle Europe WCE South. Chairman Oracle Community for Security. Clusit Board of Directors
Página 22
A continuación, Alessandro Vallega, Security Business Developer Manager for Oracle South, bajo el título “Cómo afectan los incidentes fraudu-lentos a las empresas europeas y cómo impactan en su cumplimiento normativo”, expuso los fraudes externos e internos, el riesgo operativo (dinero, propiedad intelectual, secretos comer-ciales…), las medidas de integridad, confidencialidad y disponibilidad de la información, etc. Y explicó la necesidad de fortalecer la regulación, supervisión y gestión de riesgos de las empresas. La innovación TIC va más deprisa que la seguridad necesaria para esa innovación, creando nuevas oportunidades para los delincuentes, por lo que es importante no esperar y aplicar los cumplimientos normativos en frameworks.
Página 23
Cómo afectan los incidentes fraudulentos a las empresas europeas y cómo impactan en su cumplimiento normativo
Página 24
Cómo afectan los incidentes fraudulentos a las empresas europeas y cómo impactan en su cumplimiento normativo
Página 25
This increasing gap is the Attack Surface.
Cloud, Mobility, Social, IoT, Big Data, Web
Services, B2B…
create new opportunities for attackers
To close the gap we shall:
•Increase Awareness
•create a Security Architecture
•adopt Best Practices and ISMS
Cómo afectan los incidentes fraudulentos a las empresas europeas y cómo impactan en su cumplimiento normativo
Página 26
Cómo afectan los incidentes fraudulentos a las empresas europeas y cómo impactan en su cumplimiento normativo
Página 27
https://www.twitter.com/SPOUG_es/
https://www.linkedin.com/groups?gid=2880611
Página 28
Oscar López desde el año 2001, lidera Urbetec Abogados, despacho de referencia en España en Derecho de las Tecnologías de la Información y las Comunicaciones y uno de los pioneros en ofrecer servicios especializados en este ámbito. Partiendo de la amplia experiencia acumulada, desde el año 2013 es gerente de UBT Compliance, empresa dedicada a la prestación de servicios de gestión y asesora-miento especializado en Cumpli-miento Legal y Normativo. Desde el año 2007 es el Presidente del grupo de Regulación de AUTELSI (Asociación de Usuarios de Telecomunicaciones y la Sociedad de la Información).
Página 29
Oscar López Gerente, UBT Compliance Services
Página 30
El abogado experto en TIC/Consultor Legal (UBT Com-pliance), Óscar López, con su conferencia “Compliance: La nueva regulación Europea sobre Protección de Da-tos, Responsabilidad y Seguridad” hizo un análisis de la responsabilidad en la gestión del cumplimiento de obligacio-nes legales en la compañía, responsabilidades civiles y pena-les y el respeto a la privacidad, estudiando especialmente la reforma del marco jurídico europeo sobre protección de da-tos personales, cuyo Reglamento ha sido aprobado por el Parlamento Europeo el 12 de marzo de 2014 (621 votos a favor por 10 en contra y 22 abstenciones) y cuya aprobación definitiva por el Consejo se prevé a lo largo del año 2015. Este Reglamento tendrá una aplicación directa y, por lo tan-to, vendrá a unificar el marco normativo en todos los países de la Unión Europea, fortaleciendo los derechos individuales y exigiendo obligaciones preventivas y de control de privaci-dad para hacer frente a los retos que plantean la globaliza-ción y las nuevas tecnologías. Resaltó la necesidad de asig-nar un DPO (Data Protection Officer) externo o interno que será el responsable de controlar el cumplimiento; informar, asesorar y formar al personal; y documentar las medidas de cumplimiento. Seis pilares son necesarios para el control del cumplimiento normativo y LOPD: Responsabilidad, Metodolo-gía, Seguimiento, Actualización, Prevención y Anticipación.
Página 31
Compliance: La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad
•Ley 15/1999, de Protección de Datos de
Carácter Personal.
•RD 1720/2007 Reglamento LOPD.
•Ley 34/2012, de Servicios de la Sociedad
de la Información (spam, cookies,4)
Leyes Sectoriales:
–Ley 9/2014, de Telecomunicaciones
(incidentes de seguridad, guías abona-dos,4)
–Ley 41/2002, de autonomía del paciente
–Ley 25/2007, de conservación de datos
–4.
Página 32
Compliance: La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad
Página 33
Compliance: La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad
Página 34
Compliance: La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad
Página 35
Compliance: La nueva regulación Europea sobre Protección de Datos, Responsabilidad y Seguridad
Página 36
Jesús Castillo Vega, Jefe de Servicios Interbancarios y Conve-nios con la Administración en CECABANK. CECABANK es un banco mayoris-ta que presta servicios financieros y de soporte a procesos de negocio bancario. CECABANK agrupa su actividad en tres áreas: Tesorería, Securities Services y Servicios Bancarios. Dentro de sus responsabilidades está la coordinación del Comité de Pagos y Operaciones de los bancos adheridos a CECA, asociación que representa aproxi-madamente al 50% del sector financiero español. Este comité define las líneas estratégicas de las entidades en la aplicación o desarrollo de los procesos afectados por la Zona Única de Pagos en Euros (SEPA), así como los objetivos del sector para la reducción de costes y la eficiencia en las áreas de medios de pagos. En sus relaciones con las Entidades, Jesús está involucrado actualmente en diversos proyec-tos estratégicos de pagos para dar servicios de valor añadido en el intercambio de información entre clientes de Entidades y su evolución a métodos de pagos innovadores.
Página 37
Jesús Castillo Jefe de Servicios Interbancarios, CECABANK
Página 38
Las “Recomendaciones para la seguridad de pagos” las explicó Jesús Castillo Vega, Jefe de Servicios Interbancarios y Convenios con la Administración en CECABANK. El BCE (Banco Central Europeo) ofrece recomendaciones de seguridad de los pagos por móvil mediante un documento borrador que se sometió a consulta pública hasta el 31-1-2014, cuya fecha de implementación prevista será el 01-02-2017. También se han elaborado unas recomendaciones de seguridad para los servicios de acceso a las cuentas de pago, pero requiere una revisión antes de su obligado cumplimiento. El BCE hizo público en febrero de 2014 la Guía de evaluación de la seguridad de los pagos por Internet, que reflejan 14 recomenda-ciones aplicables a PSPs y autoridades responsables del gobierno de los esquemas de pago, recomenda-ciones que deberán ser implementadas el 1 de febrero de 2015. Estas recomendaciones están organizadas en tres bloques: control y seguridad de la plataforma; medidas de seguridad y control; y educación y concienciación del consumidor. La EBA publicó el pasado 20-10-2014 un documento de consulta sobre la implementación de sus Directrices sobre la seguridad de los pagos por Internet, que entrarán en vigor en Agosto de 2015.
Esta Documentación ha sido preparada por CECABANK única-
mente con fines informativos y no debe ser entendida como una
recomendación, sugerencia guía o propuesta de actuaciones
comerciales o estratégicas concretas. CECABANK no se hace res-
ponsable ni está vinculada por las manifestaciones realizadas
en la misma, las cuales no representan necesariamente la posi-
ción de CECABANK
Página 39
Recomendaciones para la seguridad de pagos
Página 40
Recomendaciones para la seguridad de pagos
Página 41
Recomendaciones para la seguridad de pagos
Página 42
Recomendaciones para la seguridad de pagos
Página 43
Recomendaciones para la seguridad de pagos
Página 44
Recomendaciones para la seguridad de pagos
Página 45
Recomendaciones para la seguridad de pagos
Página 46
Elísabeth Iglesias Domínguez está certificada en ISO 27001, es Directora de Información en la Junta Directiva de ISACA Valencia, creadora y adminis-tradora del grupo de seguridad de “ENS-Esquema Nacional de Seguridad” en Grupo Linkedin: Foro de encuentro de profesio-nales dedicados a la implanta-ción de seguridad en las Administraciones Públicas, y consultora/auditora de Seguri-dad en Gesdatos Software,S.L. Gesdatos Software dispone de una plataforma líder en España en materia de Cumplimiento Normativo en Protección de Datos de Carácter Personal, que gestiona más de 6000 organizaciones, con más de 180 consultores. Ofrece un único servicio que integra: 1) la Excelencia de las mejores soluciones tecnológicas para la implantación y mantenimiento de Sistemas de Gestión ENS e ISO, 2) la Excelencia en el cumplimiento de la legislación vigente en materia de Seguri-dad y Privacidad (ENS y LOPD).
Página 47
Elísabeth Iglesias Domínguez Consultor/Auditora de Seguridad, Gesdatos Software,S.L.
Página 48
Posteriormente Mª Elísabet Iglesias Domínguez, Lead Auditor en ISO 27001, Consultora/Auditora de Seguridad de Gesdatos Software y perteneciente a ISACA VALENCIA, se centró en “la implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)”. El estándar internacional “ISO 27.001:2013 Tecnología de la información. Técnicas de seguridad. Sistemas de Gestión de la Seguridad de la Información (SGSI).Requisitos.” especifica los requisitos necesarios para establecer, implantar, mantener y mejorar un sistema de gestión de la seguridad de la información (SGSI) según el conocido como “Ciclo de Deming”: PDCA - acrónimo de Plan, Do, Check, Act (Planificar, Hacer, Verificar, Actuar). La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos reconoce el derecho de los ciudadanos a relacionarse a través de medios electrónicos con las administraciones públicas. Desde el pasado 1 de enero de 2010 los ciudadanos tenemos derecho a realizar todos nuestros trámi-tes administrativos a través de Internet, según el objetivo impuesto por la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos. Para garantizar que este proceso se realice con las debidas garantías de seguridad, se han aprobado los reales decretos que desarrollan los Esquemas Nacionales de Seguridad (ENS) e Interoperabilidad (ENI). Con la finalidad de la crear las condiciones necesarias de confian-za en el uso de los medios electrónicos, a través de medidas para garantizar la seguridad de los sistemas, los datos, las comunica-ciones y los servicios electrónicos, que permita a los ciudadanos y a las Administraciones públicas, el ejercicio de derechos y el cumplimiento de deberes a través de estos medios.
Página 49
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 50
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 51
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 52
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 53
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 54
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 55
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 56
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 57
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 58
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 59
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 60
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 61
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 62
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 63
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 64
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 65
La implantación de ISO/IEC 27001 versión 2013 (SGSI) y del Esquema Nacional de Seguridad (R.D 3/2010 ENS)
Página 66
avanttic es una empresa de servicios informáticos con el claro objetivo de ayudar a sus clientes en el uso adecuado, eficiente y sostenible de las tecnologías de la información, permitiéndoles incrementar la productividad, la calidad y los resultados. avanttic es una consultora tec-nológica especializada y de alta calidad. avanttic vincula todos sus ser-vicios a la tecnología Oracle.
Página 67
Enrique Brandariz Responsable Área de Seguridad, avanttic
Página 68
“La implantación de las nuevas normas en las empresas para su cumplimiento pasa por el establecimiento de controles internos, la aprobación de procedimientos y el uso de diversas tecnologías, de manera equilibrada, para asegurar la integridad, confidenciali-dad y disponibilidad de la información”, confirma Enrique Brandariz, Responsable Área de Seguridad de la consultora avanttic en su ponencia “El papel de la tecnología para implantar las nuevas normas en las empresas”. Incidió en que las dos terceras partes de los datos sensibles y regulados residen en Bases de datos… y los datos se duplican cada año. La tecnología ha provocado un problema de privacidad de datos al proporcionar facilidad de acceso a los datos de forma rápida, pero también la tecnología es la solución al permitir proteger la información con soluciones de seguridad. La regulación en este sentido nos obliga a que la tecnología proteja el dato, permita el acceso sólo a quién debe acceder, sepamos quién accede a qué dato y seamos capaces de informar en caso de incidente. Concluyó indicando que “La complejidad de la gestión de las medidas apropiadas requiere de soluciones organizativas y tecnológicas cuyo coste solo se puede reducir moviendo la "seguridad dentro de la arquitectura“, liberando a los proyectos y aplicaciones individuales de la necesidad de implementar la seguridad cada vez desde cero”.
Página 69
El papel de la tecnología para implantar las nuevas normas en las empresas
Página 70
El papel de la tecnología para implantar las nuevas normas en las empresas
Página 71
El papel de la tecnología para implantar las nuevas normas en las empresas
Página 72
El papel de la tecnología para implantar las nuevas normas en las empresas
¿Quién podía imaginar que hace 20, 10, 5 años, alguien tendría sus fotos en la nube y podría verlas desde un móvil, una tablet, un ordenador…? Bueno lo de las fotos íntimas siempre existió. Solo había que tener cuidado al llevarlas a revelar. ¿De quién fue la culpa? ¿Del usuario que subió fotos comprometidas a la nube? ¿Del proveedor del servicio que no protegió adecuadamente los activos? Quizá la pregunta de seguridad para recuperar la contraseña perdida no fuera muy robusta. O lo suficientemente secreta. Quizá el reintento después de unos cuantos fallos sea un indicador de que algo no va bien.
Página 73
El papel de la tecnología para implantar las nuevas normas en las empresas
En los orígenes de la programación, los programadores compartían directamen-te el código fuente. Cualquier mejora introducida en un módulo tenía que ser actualizada a todos los demás programas modificando el código fuente. Ya en la época del Cobol surgieron los famosos COPYs, ficheros compartidos con la es-tructura de los registros que eran utilizados por todos los programas de un apli-cativo. Más adelante, empezó a compartirse directamente el código objeto, las librerí-as, los frameworks que permitían una productividad mayor. Pasando por la programación orientada a objetos, donde se comparten objetos formados por datos y código, para llegar al mundo de los servicios. Con este paradigma ya no es necesario cambiar un aplicativo entero; sólo los servicios que cambian, por lo que teniendo un conjunto básico de servicios, se pueden construir nuevas funcionalidades apoyándose en los servicios básicos y en otros ya construidos.
Página 74
El papel de la tecnología para implantar las nuevas normas en las empresas
Con las medidas de seguridad pasó algo parecido. Al principio cada programa gestionaba su propia seguridad. Como los aplicativos cada vez estaban formados por más programas, hubo que pasar la seguridad a un nivel superior: la aplicación. Pero según iba creciendo el negocio, las aplicaciones se fueron combinando en grupos mayores: el sistema. Por lo tanto había que mover la seguridad a un nivel superior. Y de nuevo, con el crecimiento, las compañías empezaron a usar varios sistemas, llegando al punto de tener que gestionar la seguridad a nivel de compañía. Pero teniendo en cuenta la profundidad a la que definió la seguridad, cualquier cambio requería la modificación de sistemas, aplicativos y programas haciendo que el coste se disparara. Al igual que los servicios web en el mundo de la programación, surge la necesidad de sacar el control de la seguridad fuera de los aplicativos y programas.
Página 75
El papel de la tecnología para implantar las nuevas normas en las empresas
Página 76
El papel de la tecnología para implantar las nuevas normas en las empresas
Página 77
Página 78
CMC es un Grupo Multinacional Español dedicado a la Consultoría de Gestión, Tecnología y Outsour-cing. Se encuentra dentro del TOP 25 del ranking de 1000 empresas TIC del mercado español. La innovación es considerada como un elemento esencial de su oferta, a través de la cual diseña soluciones diferenciales para la competitividad de sus clientes. Entre sus líneas de innovación se encuentra la Seguridad, la Transformación Digital y la Movili-dad de los Procesos de Negocio, contando en su estructura con Unidades de Negocio focalizadas y especializadas en estas materias.
Página 79
Javier Fernández Grande Director de Transformación Digital y Movilidad, Grupo CMC
Página 80
El Director de Transformación Digital y Movilidad del Grupo CMC, Javier Fernández Grande, terminó el ciclo de ponencias con “La Gestión de la Identidad para el cumplimiento normativo y de seguridad en la transformación digital de las empresas”. Para que las empresas sean competitivas y viables deben innovar necesariamente en sus productos y en sus servicios. Según los analistas, en 5 años el 30% de todas las operaciones se realizarán de forma online y con medios digitales, por lo que no sorprende que en 2015 la gran mayoría de las compañías tienen previstas acciones de transformación digital, que será factible mediante las soluciones TI adecuadas, que aseguren en todo momento el cumplimiento normativo y las posibles amenazas a la seguridad. La Gestión de la Identidad juega un rol central en todos los procesos relacionados con el cliente y permite gestionar las fuerzas disruptivas Social, Mobile, Cloud y Big Data en la transformación digital de las empresas. En el modelo digital, las obligaciones regulatorias, deben ser percibidas como un “valor diferencial” para el Negocio, por lo que hay que situar la seguridad en el núcleo del ciclo de vida de los procesos de negocio.
Página 81
La Gestión de la Identidad para el cumplimiento normativo y de se-guridad en la transformación digital de las empresas
Página 82
La Gestión de la Identidad para el cumplimiento normativo y de se-guridad en la transformación digital de las empresas
Página 83
La Gestión de la Identidad para el cumplimiento normativo y de se-guridad en la transformación digital de las empresas
Página 84
Página 85
Oracle Cloud * Aplicaciones * Customer Experience * Enterprise Performance Management * Enterprise Resource Plan-ning * Gestión de Capital Humano * Supply Chain Management * Industry Applications * Applications Product Lines* Database * Bases de Datos Oracle * Real Application Clusters * Data Warehousing * Database Security * MySQL * Ber-keley DB * TimesTen In-Memory Database * Java * Herramientas de desarrollo * Sistemas operativos * Oracle Solaris * Oracle Linux * Middleware * Base para las aplicaciones en la nube * Integración de Datos * Business Analytics * Gestión de Identidades * Arquitectura orientada a servicios * Business Process Management * WebCenter * WebLogic * Gestión empresarial * Gestión de nube * Oracle Application Management * Database Management * Gestión de middleware * Gestión de hardware y de virtualización * Gestión heterogénea * Oracle Lifecycle Management * Sistemas de ingeniería * Big Data Appliance * Exadata Database Machine * Exalogic Elastic Cloud * Exalytics In-Memory Machine * Database Appliance * Oracle SuperCluster * Oracle Virtual Compute Appliance * Oracle ZFS Storage Appliance * Servidores * SPARC * x86 * Blade * Netra * Almacenamiento y cinta * SAN Storage * NAS Storage * Tape Storage * Networking and Data Center Fabric Products * Enterprise Communications * Virtualization * Oracle VM for x86 *Oracle VM for SPARC * Oracle Secure Global Desktop * Servicios * Consultoría * Premier Support * Advanced Customer Support Services * For-mación * Cloud Services * Financiación * Oracle Customer Programs
Los grupos de interés permiten desarrollar las distintas líneas de acción y colaboración entre los profesionales en el campo de mutuo interés