1
SISTEMA DE GESTION DE PREVENCIÓN DEL DELITO
Francisco Valencia ArribasDirector General
[email protected] 457 524
2
Agenda
Modelo General de Gestión de Riesgos
Prevención del Delito dentro de un marco global de GRC
Implantación de un Sistema de Gestión de GRC
Dificultades y principales retos
2
3
4
5
Art 31 bis 5 del Código Penal1
Secure&IT Gold Security6
3
1• Identificación de las actividades en cuyo ámbito puedan ser cometidos los delitos que deben ser prevenidos.
2• Establecimiento de los protocolos o procedimientos que concreten el proceso de formación de la voluntad
de la persona jurídica, de adopción de decisiones y de ejecución de las mismas con relación a aquéllos
3• Disposición de modelos de gestión de los recursos financieros adecuados para impedir la comisión de los
delitos que deben ser prevenidos.
4• Imposición de la obligación de informar de posibles riesgos e incumplimientos al organismo encargado de
vigilar el funcionamiento y observancia del modelo de prevención.
5• Establecimiento de un sistema disciplinario que sancione adecuadamente el incumplimiento de las medidas
que establezca el modelo.
6• Verificación periódica del sistema y de su eventual modificación cuando se pongan de manifiesto infracciones
relevantes de sus disposiciones, o cuando se produzcan cambios en la organización, en la estructura de control o en la actividad desarrollada que los hagan necesarios.
MODELO DE ORGANIZACIÓN Y GESTIÓN PARA PREVENCIÓN DE DELITOS CP 31BIS-5
4
MODELO GENERAL DE GESTIÓN DE RIESGOS
& BASADO EN EL CICLO DE DEMINGDE MEJORA CONTINUA
& MODELO ADOPTADO EN ISO 27001,22301, 31000, 19600…
& PERMITE EL ANÁLISIS YTRATAMIENTO DE RIESGOS DE UNMODO ESQUEMÁTICO Y SENCILLO
& PERMITE EL ESTABLECIMIENTO DEMODELOS ÚNICOS DE GESTIÓN DERIESGOS.
& EXISTEN HERRAMIENTAS QUEAYUDAN A SU IMPLANTACIÓN
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
LIDERAZGOPOLÍTICAS
5
SISTEMA DE GESTIÓN DE PREVENCIÓN DEL DELITO
1• Identificación de las actividades en cuyo ámbito
puedan ser cometidos delitos.
2• Establecimiento de procedimientos, de adopción
de decisiones y de ejecución de las mismas.
3• Gestión de los recursos financieros adecuados
para impedir la comisión de delitos.
4• Obligación de informar de posibles riesgos e
incumplimientos al encargado del sistema
5 • Establecimiento de un sistema disciplinario
6• Verificación periódica del sistema y de su
eventual modificación
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
LIDERAZGOPOLÍTICAS
1
2
3
4
5
6
1
11
6
& COMPRENSIÓN DE LA ORGANIZACIÓN Y DE SUCONTEXTO
& Cuestiones externas e internas que son pertinentes para supropósito
& Contexto regulatorio, social y cultural& Situación económica& Políticas internas& Procedimientos y Procesos& Recursos
& DETERMINACIÓN Y COMPRESIÓN DE LAS NECESIDADESY EXPECTATIVAS DE LAS PARTES INTERESADAS
& DETERMINACIÓN DEL ALCANCE => LÍMITES YAPLICABILIDAD
& Limites geográficos y/u organizativos& Aspectos internos y externos
CONTEXTO, OBJETIVOS Y ALCANCE
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
7
PREVENCIÓN DEL DELITO DENTRO DE UN MARCO GRC
Governance, Risk and
Compliance
Prevención del Delito
Protección de Datos
Ciberseguridad
Continuidad de Negocio
Contratos con clientes
ISO 27001
Seguridad física y ambiental
Regulación sectorial
& PREVENCIÓN DEL DELITO& PROTECCIÓN DE DATOS& COMERCIO ELECTRÓNICO& BLANQUEO DE CAPITALES& PRESTADORES DE SERVICIOS& FIRMA ELECTRÓNICA& ESQUEMA NACIONAL SEGURIDAD& MEDIDAS BANCO DE ESPAÑA& MEDIDAS CNMV& PCI-DSS& FDA& ISO 27001 / ISO 22301 / ISO 20000& ISO 27017& HIPA& SOX& MEDIDAS DE CLIENTES& MEDIDAS SECTORIALES& ETC…
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
8
& Todos los requisitos indicados y sus riesgos asociados tienen un punto encomún: Los sistemas que gestionan la información de la empresa.
& Por ello, un punto de integración es la realización de un análisis de losriesgos tecnológicos y de información de los distintos marcos.
& La aplicación de contramedidas tecnológicas ayudará de manera eficaz a lareducción de los riesgos comunes.
& Podrán existir medidas específicas a aplicar en cada grupo de requisitos.
ANÁLISIS DE RIESGOS
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
9
PROCESOS OPERATIVOS& ESTABLECIMIENTO DE POLÍTICAS
& ROLES Y RESPONSABILIDADES (COMPLIANCE MANAGER, SEGREGACIÓN DE TAREAS)
& PROCESO DE AUTORIZACIÓN DE ACCESO
& ANÁLISIS DE RIESGOS
& CONCIENCIACIÓN Y FORMACIÓN (MANUAL DE PREVENCIÓN DE DELITOS)
& ALTA Y BAJA EN LA EMPRESA
& SEGURIDAD FÍSICA Y AMBIENTAL
& MANTENIMIENTO DE SISTEMAS
& PROCESO DE DESTRUCCIÓN DE INFORMACIÓN
& TELETRABAJO
& GESTIÓN DE EVENTOS, INCIDENCIAS Y CAMBIOS
& PLAN DE CONTINUIDAD DE NEGOCIO
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
10
PROCESOS DE CONTROL& GESTIÓN Y CONTROL DE ACTIVOS FINANCIEROS
& GESTIÓN Y CONTROL DE ACTIVOS TECNOLÓGICOS
& CONTROL DE DONCIONES, ESPONSORIZACIÓN, REGALOS…
& PROCESOS DE CONTROL Y AUDITORIA
& RÉGIMEN DISCIPLINARIO
& GESTIÓN DE PROVEEDORES
& AUDITORÍA INTERNA Y EXTERNA
& MECANISMO DE INVESTIGACIÓN INTERNA
& MONITORIZACIÓN Y VIGILANCIA& CENTRO DE OPERACIONES& CANAL DE DENUNCIAS
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
11
… Y MEDIDAS DE SEGURIDAD TI& SEGURIDAD PERIMETRAL Y EN REDES DE COMUNICACIONES
& CONTROL DE PUESTO DE TRABAJO Y SERVIDORES
& SERVICIOS WEB
& COPIAS DE SEGURIDAD
& USO DE LOS SISTEMAS DE TI
& ANTIMALWARE
& SEGURIDAD EN BASES DE DATOS
& CRIPTOGRAFÍA
& SEGURIDAD EN DISPOSITIVOS MÓVILES
& PREVENCIÓN DE FUGA DE INFORMACIÓN
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
12
& Medio eficaz de autocontrol para luchar contra lacomisión de delitos.
& Canal de comunicación de prácticas ocomportamientos irregulares
& Confidencialidad. Investigación de denuncias,Comunicación de resultados al denunciante
& Obligación Denuncia vs Deber secreto => Elsecreto como valor de empresa, no puede serentendido como encubridor de hechos ilícitos
& Buena fe contractual vs denuncia => La buena feno ampara prácticas ilegales por parte delempresario
& Fichero especialmente protegido
& Analizar la mejora de la eficacia si es externalizado
CANAL DE DENUNCIAS
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
13
MONITORIZACIÓN Y VIGILANCIA
Satisfacer la demanda que le es exigida ala organización.
& Exigencias Legales (Privacidad…)& Normas Sectoriales (PCI-DSS, ENS…)& Estándares (ISO 27001 / 22301….)& Medidas dispuestas por Clientes
Permiten dotar al CEO de un “cuadro demando” de la gestión de su seguridad.
& Identificación y valoración de Activos& Análisis de Riesgos& Roles y Responsabilidades& Medidas aplicadas y sus Resultados& Procedimientos de prevención
Protegen las vulnerabilidades propias delos sistemas informáticos:
& Sistemas anti malware& Protección contra hackers& Copias de seguridad& Criptografía
OTNEIMILP
MUCS
OSECORP
IT DADIRUGES
Informes de cumplimiento
Requerimiento de monitorizar
Cuadros de mando
Detección de eventos e incidentes
Correlación de eventos
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
14
& ESTABLECIMIENTO DE MEDIDAS DE CONTROLTÉCNICO
& REGIMEN DISCIPLINARIO
& CANAL DE COMUNICACIÓN CON CUERPOS YFUERZAS DE SEGURIDAD
& MECANISMO DE INFORMACIÓN A POSIBLESVÍCTIMAS O PARTES INTERESADAS
& SUSPENSIÓN CAUTELAR DE LA ACTIVIDADAFECTADA
& ETC…
DEFINICIÓN DE ACTUACIONES
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
15
& Establecer para cada control un grado de implantación
& Establecer para cada control una medida de eficacia
& Establecer para cada control un peso relativo en laprevención del delito
& Analizar el grado de consecución de los objetivos
& Analizar el grado de implantación de controles
& Analizar la eficacia y eficiencia de los controles
& Chequear la reducción efectiva del riesgo
& Repetir este proceso de manera periódica o cuandohaya cambios significativos en la valoración de riesgos
& Preferentemente auditoría por auditor externo
MEDIDAS, MÉTRICAS Y AUDITORÍA
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
16
ADECUACIÓN A NORMAS UNE-ISO/IECSEGURIDAD DE LA INFORMACIÓN - ISO 27001
Permite planificar, ejecutar, verificar y mejorar unconjunto de controles y medidas técnicas, deprocedimientos y organizativas que permitirán reducir elriesgo de Seguridad en las Organizaciones y, sobre todo,dotarlas de un esquema de gestión de los procesos deseguridad.
SERVICIOS DE TI - ISO 20000
Permite garantizar el alineamiento de los servicios de ITcon los requerimientos y estrategia del gobiernocorporativo de la empresa.
CONTINUIDAD DE NEGOCIO - ISO 22301
Cualquier organización, grande o pequeña, disminuirá laposibilidad de que ocurra cualquier incidente destructivoy, en caso de producirse, la organización estarápreparada para responder de forma adecuada y reducirdrásticamente el daño potencial del incidente
ADECUACIÓN A UNE/ISO-IEC
& Mejora la organización de la empresa& Reduce drásticamente los riesgos& Permite disponer de cuadros de mando& Dota acceso a nuevos mercados y clientes& Permite demostrar buenas prácticas& Adecuada gestión de imprevistos& Cientos de controles de auditoría& Reducido consumo de recursos
GESTIÓN DE
RIESGOS
SGSI ISO27001
SGSTI ISO20000
SGCN ISO22301
17
Agenda
Modelo General de Gestión de Riesgos
Prevención del Delito dentro de un marco global de GRC
Implantación de un Sistema de Gestión de GRC
Dificultades y principales retos
2
3
4
5
Art 31 bis 5 del Código Penal1
Secure&IT Gold Security6
18
¿Cómo se coordinan todas?
GESTIÓN DE
RIESGOS
CUMPLIMIENTONORMATIVO
PROCESOSCORPORATIVOS
SEGURIDADINFORMÁTICA
VIGILANCIA Y CONTROL
19
PRINCIPALES DIFICULTADES
Falta de liderazgo
Equipo multidisciplinar
Fuertes inversiones
Proyecto multidepartamental
Dificultad en la valoración de
activos
Falta de formación
Dificultad para comprender los
riesgos
Falta de prioridad
Falta de foco, no es el principal
cometido de nadie en la empresa
Existen “parches” parciales a la seguridad y el cumplimiento
No identificación de partes interesadas y
sus requisitos
Falta de apoyos
Análisis de riesgos
Definición de medidas
Implantación
Vigilancia y control
Planes de repuesta
Mejora continua
Contexto, Objetivos y Alcance
Requisitos Stakeholders
20
COMPLIANCE OFFICER& ¿QUIEN ES EL COMPLIANCE OFFICER?
& Rol establecido para la coordinación de las distintas áreas y especialistas para dar soporte a lareducción del riesgo de incumplimientos.
& Puede ser una persona interna, externa, o un Comité multidepartamental
& Debe disponer de independencia, autoridad, recursos, acceso a la información,responsabilidades, comunicación, concienciación
& Puede (y debería) ser el mismo que ejerce de DPO o Responsable de Seguridad
& FUNCIONES& Diseño e implementación de un Programa de Prevención del Delito
& Integración de varios Sistemas de Gestión
& Políticas de evaluación
& Políticas de Compliance
& Políticas de control de empleados
& Políticas de control de datos e información
& Herramientas de evaluación del riesgo penal
21
El Sistema de Gestión de Seguridad y el cumplimiento debe estar gestionado por un equipomultidisciplinar y con capacidad de actuar con los distintos departamentos de la empresa:
EL COMITÉ DE SEGURIDAD Y CUMPLIMIENTO
Comité de Seguridad
Dirección
Tecnologías de la información
Dirección financiera
Proveedores
OperacionesDesarrolloProducción
Asesoría Jurídica
Ventas y Marketing
Logística
Cumplimiento
Procesos
Seguridad TI
Riesgos
22
Agenda
Modelo General de Gestión de Riesgos
Prevención del Delito dentro de un marco global de GRC
Implantación de un Sistema de Gestión de GRC
Dificultades y principales retos
2
3
4
5
Art 31 bis 5 del Código Penal1
Secure&IT Gold Security6
23
& Secure&IT, como empresa especializada en ciberseguridady cumplimiento, ha desarrollado un servicio deacompañamiento que ayuda a las organizaciones aestablecer un Sistema de Gestión de Seguridad de laInformación y el cumplimiento considerando:
& Protección de Datos& Cumplimiento normativo& Prevención del Delito Tecnológico& Procesos Corporativos de Seguridad& Seguridad de la Información
& Este programa de acompañamiento es reconocido ycertificado. Un programa que certifica un estrictocumplimiento de controles de seguridad que han sidoseleccionados por Secure&IT de entre los presentes en losmejores estándares y normativas de gestión de la Seguridad.
& Gracias a este servicio, su empresa contará con un COMITÉDE SEGURIDAD, formada por personal propio y porexpertos, que le ayudarán a medir y reducir sus riesgos, ydemostrar a terceros esta capacidad.
PROGRAMA GOLD SECURITY
24
COMPROMISO POR DIRECCIÓN
IDENTIFICACIÓN DE PROCESOS DE
NEGOCIO
IDENTIFICACIÓN Y VALORACIÓN DE
ACTIVOS DE INFORMACIÓN
IDENTIFICACIÓN DE MEDIDAS APLICABLES
AUDITORÍA DE CUMPLIMIENTO
PLAN DIRECTOR DE SEGURIDAD
APLICACIÓN DE CONTRAMEDIDAS
VIGILANCIA DE LA SEGURIDAD
PROGRAMA GOLD SECURITY
25
& Se establece un periodo de trabajo de 3 años, en los cuales:
& Se establece un Comité de Seguridad y cumplimiento con seguimientomensual
& Se realizan auditorías bienales de Protección de Datos, Seguridad Informática yProcesos
& Se establece un Plan Director de Seguridad y cumplimiento, con indicación delos proyectos a ejecutar en los tres años
& Se asegura el cumplimiento de la organización en la normativa que le es deaplicación
& Se implantan las medidas tecnológicas necesarias para el cumplimiento& Se establecen procesos corporativos de gestión de la seguridad& Se certifica a la organización conforme la norma ISO/IEC 27001:2013& Se integran los sistemas de TI de la organización en el SOC de Secure&IT& Se imparte formación y concienciación continuada (píldoras formativas
semanales)& Se crea el Canal de denuncias de Delitos
& Y todo ello bajo una única cuota mensual. Sin inversiones ni más gastos
PROGRAMA GOLD SECURITY
26
VENTAJAS Y BENEFICIOS DEL SERVICIO GOLD SECURITY
& Permite a las empresas centrarse en su Core Business.& Disponga en su Comité de Seguridad de los mejores profesionales multidisciplinares& Información sobre seguridad actualizada.& Adapta el número de recursos humanos a las necesidades de la Compañía.& Reduce los Riesgos económicos y de vulnerabilidades de sus sistemas.& Asegura la Calidad del servicio.& Disminuye los Costes.& Aumenta la capacidad de respuesta de la Compañía, ante amenazas.
OPCIONAL: SERVICIO GOLD SECURITY ON-PREMISES
& Disponga de una oficina técnica on-premises& Mayor eficacia y eficiencia del servicio GOLD SECURITY& Más rápida interlocución, mejor integración entre departamentos y órganos de decisión& Sin perder comunicación directa con los especialistas& Coste de la oficina técnica distribuida a lo largo de la vida del contrato
PROGRAMA GOLD SECURITY