View
2.195
Download
1
Category
Preview:
Citation preview
E-CLASS"Seguridad de la Información en
Instituciones Financieras: retos y prácticas clave"
Corriente Estratégica
¡Buenos días! ¡Qué bueno que estás presente!
• Seminarios web para:
• Dos corrientes:
Aprender y Crecer Pensar y
Actuar
Estratégica
Temas GeneralesSituación y Tendencias
entre los sectoresMejores PrácticasBenchmarking
Operativa
Temas específicos
Espacio de Trabajo
Ejercicios en vivoMétodos y Procedimientos
Seguridad de la Información en Instituciones Financieras: retos y prácticas clave
Ing. José Luis Antigua D. (jose.antigua@bdo.com.do)Director Riesgos y TecnologíaBDO Dominicana29 Agosto 2012
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 4
CONTENIDO
HECHOS
CIFRAS IMPORTANTES
LA SEGURIDAD DE LA INFORMACIÓN
COSO-ERM
MÉTODOS COMUNES DE ATAQUE
¿QUÉ HACER?
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 5
TITULARES
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 6
CIFRAS IMPORTANTES
En el 2012, el 40% de los ataques de
hackers se hizo directamente al
sector financiero y
seguros
Verizon DBIR, 2010-2012
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 7
CIFRAS IMPORTANTES
«Transacciones Fraudulentas» está en el «Top 10» de causas
de reclamaciones
28,500Top 10
SIB, 2012
Reclamaciones recibidas por la SIB (últimos dos años)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 8
CIFRAS IMPORTANTES
ISACA, 2011
Lo más preocupante es que se desconozcan los riesgos y no se
midan y monitoreen los controles de seguridad.
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 9
Seguridad de la Información
Es un componente esencial del gobierno corporativo y la gerencia que afecta todos los aspectos de los controles de la entidad.
Su administración es el conjunto de prácticas encaminadas a:- salvaguardar los activos de la empresa- Asegurar disponibilidad continua- Preservar la confidencialidad- Asegurar la integridad
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 10
Elementos Claves Sistema de Administración de Seguridad de la Información- Compromiso y Apoyo de la Gerencia- Políticas y Procedimientos- Organización- Conciencia y Educación sobre Seguridad- Monitoreo- Administración de Incidentes
ISACA 2010
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 11
¿HA ESCUCHADO ESTO ALGUNA VEZ?
Veamos algunas violaciones a las normas de seguridad en el día a día
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 12
Contraseña escrita y disponible en el área de trabajo (escritorio, monitor, etc.)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 13
Uso de tarjetas de acceso prestadas
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 14
Pago con tarjeta sin documento de identificación
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 15
Acceso al sistema con usuario de otra persona
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 16
Existen violaciones a diario…
«La Administración de la Seguridad de la Información es un reto afecta y debe ocupar a todos»
Se necesita un cambio de cultura …
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 17
Recordemos COSO-ERM
“… un proceso, efectuado por la junta directiva de una entidad, la gerencia u otro personal, aplicado en la definición de la estrategia y a través de la organización, diseñado para identificar eventos potenciales que puedan afectar a la entidad, y para administrar los riesgos que se encuentran dentro de su apetito por el riesgo, para proveer una seguridad razonable con respecto al logro de los objetivos de la entidad.”
The Committee of Sponsoring Organizations oh the Treadway Commission
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 18
Recordemos COSO-ERM
Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto) Respuesta a riesgos Actividades de control
¿Cómo definir adecuadamente un objetivo de control? Información y Comunicación Monitoreo
Informe COSO-ERM, 2004
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 19
Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto) Respuesta a riesgos Actividades de control
¿Cómo definir adecuadamente un objetivo de control? Información y Comunicación Monitoreo
Informe COSO-ERM, 2004
Personas
Procesos
Tecnología
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 20
Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto) Respuesta a riesgos Actividades de control
¿Cómo definir adecuadamente un objetivo de control? Información y Comunicación Monitoreo
21
Informe COSO-ERM, 2004
Alto
Medio
Bajo
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto) Respuesta a riesgos Actividades de control
¿Cómo definir adecuadamente un objetivo de control? Información y Comunicación Monitoreo
Informe COSO-ERM, 2004
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 22
Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto) Respuesta a riesgos Actividades de control
¿Cómo definir adecuadamente un objetivo de control? Información y Comunicación Monitoreo
Informe COSO-ERM, 2004
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 23
Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto) Respuesta a riesgos Actividades de control
¿Cómo definir adecuadamente un objetivo de control? Información y Comunicación Monitoreo
Informe COSO-ERM, 2004
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 24
Seguridad en el Reglamento Riesgo Operacional
Emitido por la Junta Monetaria, 2008 – Vigencia desde el año 2009
- Artículos 8 y 16: evaluación de riesgos (incluye seguridad)
- Artículo 32 (literales b, d): Planificación y Organización -
Estrategias de TI, incluyendo seguridad arquitectura
- Artículo 34 (Entrega y Soporte, literal e): mantener
seguridad en prestación servicios
- Artículo 37: notificación cambios seguridad
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 25
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 26
La Banca: el escenario ideal
- Dinero (no sólo físico)- Personas (internas y externas)- Tecnología (constante demanda)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 27
Métodos Comunes de Ataque
Malware
• Servidores• Redes
• Dispositivos de usuarios
Hacking
• Servidores• Dispositivos usuarios
Físico
• Dispositivos usuarios
Social
• Personas
1
2
3
4
Verizon DBIR, 2012
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 28
Métodos Comunes de Ataque
Malware (Software Maligno):
Programa malicioso que se instala en un equipo. Su objetivo podría ser dañar o capturar información. Existen múltiples tipos.
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 29
Métodos Comunes de Ataque
Ingeniería Social:
Uso de las relaciones / comportamiento humano para llegar a un objetivo.
Phishing:
Forma de Ingeniería Social basada en el engaño (usurpación de identidad empresarial principalmente) a través de páginas, correos, entre otros.
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 30
¿Qué hacer ante la realidad?
Administración de Riesgos (partir de
COSO)
- Foco en Personas y Tecnología (Importancia RRHH)
Establecer controles, basado en marcos y
estándares de seguridad
- Controles mínimos entidades financieras:• Proveedores Gobierno TI• Control Cambios Continuidad Negocios• Seguridad
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 31
Existen alternativas…Estándares y Marcos de Seguridad
ISO 27000 (Seguridad de la Información)
CObIT 5 (Gobierno de TI; Incluye Objetivos
de Control de Seguridad)
PCI (estándar de seguridad enfoque Tarjetas
Crédito)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 32
Existen alternativas…Herramientas Tecnológicas
- Software para Administrar Riesgos (Desde Levantamiento hasta Seguimiento)
- Software para Análisis y Monitoreo de Transacciones
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 33
Existen alternativas…Tips Seguridad de la Información
- Generales:- No comparta sus claves ni tarjetas de acceso - No suministre información confidencial sin confirmar la
identidad del solicitante- No acceda a los vínculos de correos con ofertas o tarjetas de
felicitación- Cambie periódicamente su contraseña; utilice frases y
combinaciones de letras y números- Nunca deje abierta su sesión de trabajo- Capacítese y capacite a su personal constantemente
- Empresas:- Cree una estructura de seguridad (según tamaño de
institución)
CONCLUSIÓN
• La tecnología avanza exponencialmente…• …las instituciones financieras se ven obligadas a
hacer uso de la tecnología para poder satisfacer las necesidades del mercado.
• El uso de la tecnología trae múltiples beneficios, pero también trae consigo notables riesgos, principalmente por el factor «personas».
• A pesar de todo, existen alternativas: contamos con marcos para la administración de esos riesgos y herramientas para enfrentar el reto…sólo hay que ponerlas en práctica…así encaminaremos nuestra empresa hacia la Excelencia.
¿Estamos listos para el siguiente paso?Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 34
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 35
Preguntas
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 36
Corriente Operativa
PRÓXIMOS SEMINARIOS WEB:
Técnicas de Muestreo: sistema aleatorio y monetario
Septiembre 2012
Corriente Estratégica
La auditoría del mañana en el mundo de hoy Octubre 2012
E-CLASS
Aprender y Crecer
Si es importante para usted,
es importante para nosotros
Recommended