Seguridad de la información en instituciones financieras: retos y prácticas clave

E-CLASS"Seguridad de la Información en

Instituciones Financieras: retos y prácticas clave"

Corriente Estratégica

¡Buenos días! ¡Qué bueno que estás presente!

• Seminarios web para:

• Dos corrientes:

Aprender y Crecer Pensar y

Actuar

Estratégica

Temas GeneralesSituación y Tendencias

entre los sectoresMejores PrácticasBenchmarking

Operativa

Temas específicos

Espacio de Trabajo

Ejercicios en vivoMétodos y Procedimientos

Seguridad de la Información en Instituciones Financieras: retos y prácticas clave

Ing. José Luis Antigua D. ([email protected])Director Riesgos y TecnologíaBDO Dominicana29 Agosto 2012

Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 4

CONTENIDO

HECHOS

CIFRAS IMPORTANTES

LA SEGURIDAD DE LA INFORMACIÓN

COSO-ERM

MÉTODOS COMUNES DE ATAQUE

¿QUÉ HACER?


TITULARES


CIFRAS IMPORTANTES

En el 2012, el 40% de los ataques de

hackers se hizo directamente al

sector financiero y

seguros

Verizon DBIR, 2010-2012


CIFRAS IMPORTANTES

«Transacciones Fraudulentas» está en el «Top 10» de causas

de reclamaciones

28,500Top 10

SIB, 2012

Reclamaciones recibidas por la SIB (últimos dos años)


CIFRAS IMPORTANTES

ISACA, 2011

Lo más preocupante es que se desconozcan los riesgos y no se

midan y monitoreen los controles de seguridad.


Seguridad de la Información

Es un componente esencial del gobierno corporativo y la gerencia que afecta todos los aspectos de los controles de la entidad.

Su administración es el conjunto de prácticas encaminadas a:- salvaguardar los activos de la empresa- Asegurar disponibilidad continua- Preservar la confidencialidad- Asegurar la integridad


Elementos Claves Sistema de Administración de Seguridad de la Información- Compromiso y Apoyo de la Gerencia- Políticas y Procedimientos- Organización- Conciencia y Educación sobre Seguridad- Monitoreo- Administración de Incidentes

ISACA 2010


¿HA ESCUCHADO ESTO ALGUNA VEZ?

Veamos algunas violaciones a las normas de seguridad en el día a día


Contraseña escrita y disponible en el área de trabajo (escritorio, monitor, etc.)


Uso de tarjetas de acceso prestadas


Pago con tarjeta sin documento de identificación


Acceso al sistema con usuario de otra persona


Existen violaciones a diario…

«La Administración de la Seguridad de la Información es un reto afecta y debe ocupar a todos»

Se necesita un cambio de cultura …


Recordemos COSO-ERM

“… un proceso, efectuado por la junta directiva de una entidad, la gerencia u otro personal, aplicado en la definición de la estrategia y a través de la organización, diseñado para identificar eventos potenciales que puedan afectar a la entidad, y para administrar los riesgos que se encuentran dentro de su apetito por el riesgo, para proveer una seguridad razonable con respecto al logro de los objetivos de la entidad.”

The Committee of Sponsoring Organizations oh the Treadway Commission


Recordemos COSO-ERM

Componentes COSO-ERM

Identificación de eventos (vulnerabilidades y amenazas) por proceso u objetivo, considerando factores internos y externos.

Evaluación de riesgos (probabilidad por impacto) Respuesta a riesgos Actividades de control

¿Cómo definir adecuadamente un objetivo de control? Información y Comunicación Monitoreo

Informe COSO-ERM, 2004







Personas

Procesos

Tecnología






21


Alto

Medio

Bajo

Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua

Jose Luis Antigua

cambiar



















Jose Luis Antigua

CAMBIAR

Seguridad en el Reglamento Riesgo Operacional

Emitido por la Junta Monetaria, 2008 – Vigencia desde el año 2009

- Artículos 8 y 16: evaluación de riesgos (incluye seguridad)

- Artículo 32 (literales b, d): Planificación y Organización -

Estrategias de TI, incluyendo seguridad arquitectura

- Artículo 34 (Entrega y Soporte, literal e): mantener

seguridad en prestación servicios

- Artículo 37: notificación cambios seguridad



La Banca: el escenario ideal

- Dinero (no sólo físico)- Personas (internas y externas)- Tecnología (constante demanda)


Métodos Comunes de Ataque

Malware

• Servidores• Redes

• Dispositivos de usuarios

Hacking

• Servidores• Dispositivos usuarios

Físico

• Dispositivos usuarios

Social

• Personas

1

2

3

4

Verizon DBIR, 2012



Malware (Software Maligno):

Programa malicioso que se instala en un equipo. Su objetivo podría ser dañar o capturar información. Existen múltiples tipos.



Ingeniería Social:

Uso de las relaciones / comportamiento humano para llegar a un objetivo.

Phishing:

Forma de Ingeniería Social basada en el engaño (usurpación de identidad empresarial principalmente) a través de páginas, correos, entre otros.


¿Qué hacer ante la realidad?

Administración de Riesgos (partir de

COSO)

- Foco en Personas y Tecnología (Importancia RRHH)

Establecer controles, basado en marcos y

estándares de seguridad

- Controles mínimos entidades financieras:• Proveedores Gobierno TI• Control Cambios Continuidad Negocios• Seguridad


Existen alternativas…Estándares y Marcos de Seguridad

ISO 27000 (Seguridad de la Información)

CObIT 5 (Gobierno de TI; Incluye Objetivos

de Control de Seguridad)

PCI (estándar de seguridad enfoque Tarjetas

Crédito)


Existen alternativas…Herramientas Tecnológicas

- Software para Administrar Riesgos (Desde Levantamiento hasta Seguimiento)

- Software para Análisis y Monitoreo de Transacciones


Existen alternativas…Tips Seguridad de la Información

- Generales:- No comparta sus claves ni tarjetas de acceso - No suministre información confidencial sin confirmar la

identidad del solicitante- No acceda a los vínculos de correos con ofertas o tarjetas de

felicitación- Cambie periódicamente su contraseña; utilice frases y

combinaciones de letras y números- Nunca deje abierta su sesión de trabajo- Capacítese y capacite a su personal constantemente

- Empresas:- Cree una estructura de seguridad (según tamaño de

institución)

CONCLUSIÓN

• La tecnología avanza exponencialmente…• …las instituciones financieras se ven obligadas a

hacer uso de la tecnología para poder satisfacer las necesidades del mercado.

• El uso de la tecnología trae múltiples beneficios, pero también trae consigo notables riesgos, principalmente por el factor «personas».

• A pesar de todo, existen alternativas: contamos con marcos para la administración de esos riesgos y herramientas para enfrentar el reto…sólo hay que ponerlas en práctica…así encaminaremos nuestra empresa hacia la Excelencia.

¿Estamos listos para el siguiente paso?Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 34


Preguntas


Corriente Operativa

PRÓXIMOS SEMINARIOS WEB:

Técnicas de Muestreo: sistema aleatorio y monetario

Septiembre 2012

Corriente Estratégica

La auditoría del mañana en el mundo de hoy Octubre 2012

E-CLASS

Aprender y Crecer

Si es importante para usted,

es importante para nosotros

Documents

Seguridad de la información en instituciones financieras: retos y prácticas clave