El documento discute los retos de seguridad de la información en instituciones financieras. Señala que el 40% de los ataques cibernéticos están dirigidos al sector financiero y que las transacciones fraudulentas son una de las principales causas de reclamaciones. También describe los componentes clave de un sistema de administración de seguridad de la información según normas como COSO e ISO, así como métodos comunes de ataque y prácticas recomendadas para instituciones financieras.
Seguridad de la información en instituciones financieras: retos y prácticas clave
1. E-CLASS
Corriente Estratégica
"Seguridad de la Información en Instituciones
Financieras: retos y prácticas clave"
2. ¡Buenos días! ¡Qué bueno que estás presente!
• Seminarios web para:
Aprender y Crecer
Pensar y Actuar
• Dos corrientes:
Estratégica Operativa
Temas Generales
Temas específicos
Situación y Tendencias
entre los sectores Espacio de Trabajo
Mejores Prácticas Ejercicios en vivo
Benchmarking Métodos y Procedimientos
3. Seguridad de la Información en Instituciones
Financieras: retos y prácticas clave
Ing. José Luis Antigua D. (jose.antigua@bdo.com.do)
Director Riesgos y Tecnología
BDO Dominicana
29 Agosto 2012
4. CONTENIDO
HECHOS
CIFRAS IMPORTANTES
LA SEGURIDAD DE LA INFORMACIÓN
COSO-ERM
MÉTODOS COMUNES DE ATAQUE
¿QUÉ HACER?
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 4
6. CIFRAS IMPORTANTES
En el 2012, el
40% de los
ataques de
hackers se hizo
directamente al
sector financiero
y seguros
Verizon DBIR, 2010-2012
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 6
7. CIFRAS IMPORTANTES
Reclamaciones recibidas
por la SIB (últimos dos
años)
«Transacciones
Fraudulentas» está en el
«Top 10» de causas de
reclamaciones
SIB, 2012
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 7
8. CIFRAS IMPORTANTES
Lo más preocupante es que se desconozcan
los riesgos y no se midan y monitoreen los
controles de seguridad.
ISACA, 2011
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 8
9. Seguridad de la Información
Es un componente esencial del gobierno corporativo y la
gerencia que afecta todos los aspectos de los controles de la
entidad.
Su administración es el conjunto de prácticas encaminadas a:
- salvaguardar los activos de la empresa
- Asegurar disponibilidad continua
- Preservar la confidencialidad
- Asegurar la integridad
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 9
10. Elementos Claves Sistema de Administración de
Seguridad de la Información
- Compromiso y Apoyo de la Gerencia
- Políticas y Procedimientos
- Organización
- Conciencia y Educación sobre Seguridad
- Monitoreo
- Administración de Incidentes
ISACA 2010
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 10
11. ¿HA ESCUCHADO ESTO ALGUNA VEZ?
Veamos algunas violaciones
a las normas de seguridad
en el día a día
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 11
12. Contraseña escrita y disponible en el área de trabajo
(escritorio, monitor,Financieras – Ing. José Luis Antigua
Seguridad de Información en Instituciones
Page 12 etc.)
13. Uso de tarjetas de acceso prestadas
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 13
14. Pago con tarjeta sin documento de identificación
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 14
15. Acceso al sistema con
usuario de otra persona
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 15
16. Existen violaciones a diario…
«La Administración de la Seguridad de la
Información es un reto afecta y debe
ocupar a todos»
Se necesita un cambio de cultura …
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 16
17. Recordemos COSO-ERM
“… un proceso, efectuado por la junta directiva de una entidad, la
gerencia u otro personal, aplicado en la definición de la estrategia
y a través de la organización, diseñado para identificar eventos
potenciales que puedan afectar a la entidad, y para administrar los
riesgos que se encuentran dentro de su apetito por el riesgo, para
proveer una seguridad razonable con respecto al logro de los
objetivos de la entidad.”
The Committee of Sponsoring Organizations oh the Treadway Commission
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 17
19. Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por
proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto)
Respuesta a riesgos
Actividades de control
¿Cómo definir adecuadamente un objetivo de control?
Información y Comunicación
Monitoreo
Informe COSO-ERM, 2004
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 19
20. Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por
proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto) Personas
Respuesta a riesgos
Actividades de control
¿Cómo definir adecuadamente un objetivo de control?
Información y Comunicación Procesos
Infraestruc
tura
Monitoreo
Factores Tecnologí
Externos a
Informe COSO-ERM, 2004
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 20
21. Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por
proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto)
Respuesta a riesgos
Actividades de control
¿Cómo definir adecuadamente un objetivo de control?
Información y Comunicación
Monitoreo
Informe COSO-ERM, 2004
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
21
22. Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por
proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto)
Respuesta a riesgos
Actividades de control
¿Cómo definir adecuadamente un objetivo de control?
Información y Comunicación
Monitoreo
Informe COSO-ERM, 2004
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 22
23. Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por
proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto)
Respuesta a riesgos
Actividades de control
¿Cómo definir adecuadamente un objetivo de control?
Información y Comunicación
Monitoreo
Informe COSO-ERM, 2004
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 23
24. Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por
proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto)
Respuesta a riesgos
Actividades de control
¿Cómo definir adecuadamente un objetivo de control?
Información y Comunicación
Monitoreo
Informe COSO-ERM, 2004
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 24
25. Seguridad en el Reglamento Riesgo Operacional
Emitido por la Junta Monetaria, 2008 – Vigencia desde el año 2009
- Artículos 8 y 16: evaluación de riesgos (incluye seguridad)
- Artículo 32 (literales b, d): Planificación y Organización - Estrategias
de TI, incluyendo seguridad arquitectura
- Artículo 34 (Entrega y Soporte, literal e): mantener seguridad en
prestación servicios
- Artículo 37: notificación cambios seguridad
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 25
26. La Banca: el escenario ideal
- Dinero (no sólo físico)
- Personas (internas y externas)
- Tecnología (constante demanda)
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 26
27. Métodos Comunes de Ataque
Malware Físico
• Servidores
1 3
• Dispositivos usuarios
• Redes
• Dispositivos de usuarios
Hacking Social
• Servidores 2 • Personas
4
• Dispositivos usuarios
Verizon DBIR, 2012
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 27
28. Métodos Comunes de Ataque
Malware (Software Maligno):
Programa malicioso que se instala en un equipo. Su
objetivo podría ser dañar o capturar información.
Existen múltiples tipos.
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 28
29. Métodos Comunes de Ataque
Ingeniería Social:
Uso de las relaciones / comportamiento humano para llegar a
un objetivo.
Phishing:
Forma de Ingeniería Social basada en el engaño (usurpación
de identidad empresarial principalmente) a través de
páginas, correos, entre otros.
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 29
30. ¿Qué hacer ante la realidad?
Administración de Riesgos (partir de COSO)
- Foco en Personas y Tecnología (Importancia RRHH)
Establecer controles, basado en marcos y
estándares de seguridad
- Controles mínimos entidades financieras:
• Proveedores Gobierno TI
• Control Cambios Continuidad Negocios
• Seguridad
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 30
31. Existen alternativas…
Estándares y Marcos de Seguridad
ISO 27000 (Seguridad de la Información)
CObIT 5 (Gobierno de TI; Incluye Objetivos de
Control de Seguridad)
PCI (estándar de seguridad enfoque Tarjetas
Crédito)
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 31
32. Existen alternativas…
Herramientas Tecnológicas
- Software para Administrar Riesgos (Desde
Levantamiento hasta Seguimiento)
- Software para Análisis y Monitoreo de
Transacciones
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 32
33. Existen alternativas…
Tips Seguridad de la Información
- Generales:
- No comparta sus claves ni tarjetas de acceso
- No suministre información confidencial sin confirmar la identidad del
solicitante
- No acceda a los vínculos de correos con ofertas o tarjetas de
felicitación
- Cambie periódicamente su contraseña; utilice frases y combinaciones
de letras y números
- Nunca deje abierta su sesión de trabajo
- Capacítese y capacite a su personal constantemente
- Empresas:
- Cree una estructura de seguridad (según tamaño de institución)
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 33
34. CONCLUSIÓN
• La tecnología avanza exponencialmente…
• …las instituciones financieras se ven obligadas a hacer uso
de la tecnología para poder satisfacer las necesidades del
mercado.
• El uso de la tecnología trae múltiples beneficios, pero
también trae consigo notables riesgos, principalmente por
el factor «personas».
• A pesar de todo, existen alternativas: contamos con marcos
para la administración de esos riesgos y herramientas para
enfrentar el reto…sólo hay que ponerlas en práctica…así
encaminaremos nuestra empresa hacia la Excelencia.
¿Estamos listos para el siguiente paso?
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 34
36. PRÓXIMOS SEMINARIOS WEB:
E-CLASS
Aprender y Crecer
Corriente Operativa
Técnicas de Muestreo: sistema aleatorio y monetario Septiembre 2012
Corriente Estratégica
La auditoría del mañana en el mundo de hoy Octubre 2012
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 36
Notas del editor
Cifras claves que evidencian los ataques…
Qué opinan los especialistas en tecnología? - Lo más preocupante es que se desconozcan los riesgos y no se midan y monitoreen los controles de seguridad.