Compliance, regulaciones y leyes
- 2. AGENDA 1 2 3 4 La importancia de los standares Porque es importante estar compliance ? El valor de estar compliance5 Implementando controles basados en standares Leyes y regulaciones D3NY4LL.BLOGSPOT.COM
- 3. AGENDA 1 2 3 4 La importancia de los standares Porque es importante estar compliance ? El valor de estar compliance5 Implementando controles basados en standares Leyes y regulaciones D3NY4LL.BLOGSPOT.COM
- 4. Resto de la Organizacion Requerimientos cambiantes Gobierno Otras Organizaciones Infraestructura Departmento IT Internet Equipo Clientes Proveedores Information Security La organizacion y la seguridad de la informacion D3NY4LL.BLOGSPOT.COM
- 5. Resto de la Organizacion Regulaciones y Compliance Departmento IT Information Security Regulaciones y Compliance D3NY4LL.BLOGSPOT.COM
- 6. Porque preocuparse por el compliance ? En general • 62% de las organizaciones esperan mas regulaciones y mayor perdida de informacion en los proximos 5 años. En forma puntual • 72% de las organizaciones en US y 52% de las organizaciones europeas sienten un alto grado de temor de quebrar regulaciones sobre proteccion de datos personales. Source: Symantec Benchmark Data 2006. D3NY4LL.BLOGSPOT.COM
- 7. Por tamaño de la organización Source: Symantec Benchmark Data 2006. D3NY4LL.BLOGSPOT.COM
- 8. AGENDA 1 2 3 4 La importancia de los standares Porque es importante estar compliance ? El valor de estar compliance5 Implementando controles basados en standares Leyes y regulaciones D3NY4LL.BLOGSPOT.COM
- 9. Consideracion sobre leyes y regulaciones • Cientos de leyes y regulaciones • Toda informacion creada, transmitida y almacenada puede ser sujeto de leyes y regulaciones. • Leyes y regulaciones estan constantemente evolucionando • Perdida potencial de negocios por no estar compliance D3NY4LL.BLOGSPOT.COM
- 10. • Robo de identidad Proteccion de datos • Escandalos financieros Retencion de datos. Gob. Corporativo • Amenazas terroristas Seguridad Nacional • Comercio Electronico Base legal, Comercio Electronico IPR protection. DR Management Eventos reales Requerimientos Regulatorios Leyes y regulaciones son impulsadas por D3NY4LL.BLOGSPOT.COM
- 11. Directiva de Proteccion de Datos en EEUU Los datos deben ser : 1. Utilizados para propositos limitados – Adecuados, relevantes y no excesivos – No mantener mas tiempo del necesario – Procesarlos de acuerdo con el derecho del sujeto – No tranferirlos a paises sin la proteccion adequada. D3NY4LL.BLOGSPOT.COM
- 12. Gobierno Corporativo y Retencion de Datos • Sarbanes Oxley: o Se aplica a todas las companias en la bolsa NYSE con un mercado mayor a U$S 75 millones o Asegura el comprometimiento de los ejecutivos en el proceso de negocios. o Mayor responsabilidad para aquellos envolvidos en auditorias. o Puede resutar en la prision del CEO y/o CFO • Leyes y Regulaciones o Sistemas de control interno o Sistemas para manejo de riesgos o Responsabilidad de los directores. D3NY4LL.BLOGSPOT.COM
- 13. Regulaciones Especificas para ciertos sectores Basel II: Comprehensive approach to risk management and bank supervision motivating banks to upgrade and improve their risk management systems • New Framework available for implementation 2006 • Advanced Risk Measurement available for implementation 2007 Implementation of Basel II will limit Banks’ minimum capital requirements by aligning these more closely with actual risk of economic loss. US Food and Drugs Administration (FDA): Regulaciones sobre almacenamiento de registros y su proteccion. Payment card industry: Regulations ensuring adequate information security policies, access control measures, data protection and secure networks. D3NY4LL.BLOGSPOT.COM
- 14. AGENDA 1 2 3 4 La importancia de los standares Porque es importante estar compliance ? El valor de estar compliance5 Implementando controles basados en standares Leyes y regulaciones D3NY4LL.BLOGSPOT.COM
- 15. Standards, Regulaciones y Leyes • Standards: o Definidos por Organismos nacionales o Internacionales : BSI, ISO. o Codigos de practica (e.g. ITIL, ISO 17799, COSO)= “Que hacer” Requerimientos para certificacion (e.g. ISO 27001, ISO 9001)= “Lo minimo que debe hacer”. o Juntos pueden formar frameworks de compliances. o Sanciones: Ninguna • Regulations: o Definidos por agencias gubernamentales, mercados o ciertos sectores. o Agencias e.g. US SEC & FDA, UK FSA. Mercados e.g. Turnbull for LSE. Sectores e.g. Basel II para Bancos o Sanciones: multas,perdida de permiso para realizar negocios. • Leyes: o Definidos por el gobierno o Trans-sectorial e.g. Data Protection Directive, SOX. Sectorial e.g. HIPAA, GLBA, Data Retention Directive. o Sanciones: Carcel, multas, perdida de permiso para realizar negocios. D3NY4LL.BLOGSPOT.COM
- 16. Usando standares para estar en Compliance Source: IDC April 2006 D3NY4LL.BLOGSPOT.COM
- 17. Standards • ISO 15489: o Standard para el manejo de registros o Especificaciones detalladas para programas que manejan registros o Cubre registros almacenados en todo tipo de medio. • ITIL/ITSM: o IT Infrastructure Library o Best Practice en IT Service Management o IT services orientado a los negocios o Enfocado en la Gente, Procesos y Recursos • ISO 17799: o Standard para el manejo seguro de la informacion o 11 Areas de Control incluyendo: Politica, personal, seguridad fisica,continuidad del negocio ycompliance, tanto como comunicaciones y manejo de operaciones. D3NY4LL.BLOGSPOT.COM
- 18. AGENDA 1 2 3 4 La importancia de los standares Porque es importante estar compliance ? El valor de estar compliance5 Implementando controles basados en standares Leyes y regulaciones D3NY4LL.BLOGSPOT.COM
- 19. Implementar standards significa implementar controles Threats/ Issues Detection & Prevention Controls Success? Risk Sorted! Vulnerabilities/ Weaknesses Fixing/ Resolution Controls Success? Risk Sorted! Impact Management Controls Risk Sorted! Success? Unmanaged Risk NO NO NO YES YES YES D3NY4LL.BLOGSPOT.COM
- 20. Controles deben alcanzar tanto IT como el resto de la Organizacion. Departmento IT Resto de la Organizacion Prevention & Detection Controls Fixing Controls Management Controls D3NY4LL.BLOGSPOT.COM
- 21. Un espectro de controles es mejor Departmento IT Resto de la Organizacion 1 - Detection & Prevention of Threats/Issues 2 - Fixing Vulnerabilities/ Weaknesses 3 - Response and Recovery 4 - Risk Analysis 5 - Management Programs 6 - Strategic Direction Control Spectrum D3NY4LL.BLOGSPOT.COM
- 22. Con reportes y auditable 1 - Detection & Prevention of Threats/Issues 2 - Fixing Vulnerabilities/ Weaknesses 3 - Response and Recovery 4 - Risk Analysis 5 - Management Programs 6 - Strategic Direction Control Spectrum Reporting System Auditing System Departmento IT Resto de la Organizacion D3NY4LL.BLOGSPOT.COM
- 23. Reporting debe estar en toda la Organizacion IT Risk Managers Operational Management Executives Operational Risk Managers D3NY4LL.BLOGSPOT.COM
- 24. Usando el tipo de reporte apropiado Benchmarking Analysis Trends Risk Information Risk Data D3NY4LL.BLOGSPOT.COM
- 25. AGENDA 1 2 3 4 La importancia de los standares Porque es importante estar compliance ? El valor de estar compliance5 Implementando controles basados en standares Leyes y regulaciones D3NY4LL.BLOGSPOT.COM
- 26. Porque los controles de compliance son mas necesarios ? • Espectativas de usuarios o Entorno de computacion hogareno • Deperimetrzacion o Desaparecen las fronteras de la Organizacion o Remote computing se vuelve una norma o Internet es una herramienta de bajo costo o Integracion IT entre companias • Computacion Distribuida D3NY4LL.BLOGSPOT.COM
- 27. Valor de implementar Compliance • Ayuda al management: “No puede administrar lo q ue no puede medir” • Permite benchmarking interno y externo • Construye confianza con socios y clientes • Habilita el analisis de tendencias: “Estamos mejor o peor ?” • Permite que los standares se distribuyan por toda la organizacion. D3NY4LL.BLOGSPOT.COM