Seguridad de la información en instituciones financieras: retos y prácticas clave

E-CLASS
Corriente Estratégica

"Seguridad de la Información en Instituciones
Financieras: retos y prácticas clave"

¡Buenos días! ¡Qué bueno que estás presente!

• Seminarios web para:
 Aprender y Crecer
 Pensar y Actuar

• Dos corrientes:

Estratégica Operativa
Temas Generales
Temas específicos
Situación y Tendencias
entre los sectores Espacio de Trabajo
Mejores Prácticas Ejercicios en vivo
Benchmarking Métodos y Procedimientos

Seguridad de la Información en Instituciones
Financieras: retos y prácticas clave

Ing. José Luis Antigua D. (jose.antigua@bdo.com.do)
Director Riesgos y Tecnología
BDO Dominicana
29 Agosto 2012

CONTENIDO

 HECHOS

 CIFRAS IMPORTANTES

 LA SEGURIDAD DE LA INFORMACIÓN

 COSO-ERM

 MÉTODOS COMUNES DE ATAQUE

 ¿QUÉ HACER?

Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
Page 4

TITULARES

Page 5

CIFRAS IMPORTANTES

En el 2012, el
40% de los
ataques de
hackers se hizo
directamente al
sector financiero
y seguros

Verizon DBIR, 2010-2012
Page 6

CIFRAS IMPORTANTES

Reclamaciones recibidas
por la SIB (últimos dos
años)

«Transacciones
Fraudulentas» está en el
«Top 10» de causas de
reclamaciones

SIB, 2012
Page 7

CIFRAS IMPORTANTES

Lo más preocupante es que se desconozcan
los riesgos y no se midan y monitoreen los
controles de seguridad.

ISACA, 2011
Page 8

Seguridad de la Información

Es un componente esencial del gobierno corporativo y la
gerencia que afecta todos los aspectos de los controles de la
entidad.

Su administración es el conjunto de prácticas encaminadas a:
- salvaguardar los activos de la empresa
- Asegurar disponibilidad continua
- Preservar la confidencialidad
- Asegurar la integridad

Page 9

Elementos Claves Sistema de Administración de
Seguridad de la Información

- Compromiso y Apoyo de la Gerencia
- Políticas y Procedimientos
- Organización
- Conciencia y Educación sobre Seguridad
- Monitoreo
- Administración de Incidentes

ISACA 2010

Page 10

¿HA ESCUCHADO ESTO ALGUNA VEZ?

Veamos algunas violaciones
a las normas de seguridad
en el día a día
Page 11

Contraseña escrita y disponible en el área de trabajo
(escritorio, monitor,Financieras – Ing. José Luis Antigua
Seguridad de Información en Instituciones
Page 12 etc.)

Uso de tarjetas de acceso prestadas

Page 13

Pago con tarjeta sin documento de identificación
Page 14

Acceso al sistema con
usuario de otra persona

Page 15

Existen violaciones a diario…

«La Administración de la Seguridad de la
Información es un reto afecta y debe
ocupar a todos»

Se necesita un cambio de cultura …

Page 16

Recordemos COSO-ERM

“… un proceso, efectuado por la junta directiva de una entidad, la
gerencia u otro personal, aplicado en la definición de la estrategia
y a través de la organización, diseñado para identificar eventos
potenciales que puedan afectar a la entidad, y para administrar los
riesgos que se encuentran dentro de su apetito por el riesgo, para
proveer una seguridad razonable con respecto al logro de los
objetivos de la entidad.”

The Committee of Sponsoring Organizations oh the Treadway Commission

Page 17

Recordemos COSO-ERM

Page 18

Componentes COSO-ERM

 Identificación de eventos (vulnerabilidades y amenazas) por
proceso u objetivo, considerando factores internos y externos.
 Evaluación de riesgos (probabilidad por impacto)
 Respuesta a riesgos
 Actividades de control
 ¿Cómo definir adecuadamente un objetivo de control?
 Información y Comunicación
 Monitoreo

Informe COSO-ERM, 2004

Page 19


 Evaluación de riesgos (probabilidad por impacto) Personas
 Información y Comunicación Procesos
Infraestruc
tura
 Monitoreo

Factores Tecnologí
Externos a

Page 20


 Monitoreo


21


 Monitoreo


Page 22


 Monitoreo


Page 23


 Monitoreo


Page 24

Seguridad en el Reglamento Riesgo Operacional

Emitido por la Junta Monetaria, 2008 – Vigencia desde el año 2009

- Artículos 8 y 16: evaluación de riesgos (incluye seguridad)

- Artículo 32 (literales b, d): Planificación y Organización - Estrategias
de TI, incluyendo seguridad arquitectura

- Artículo 34 (Entrega y Soporte, literal e): mantener seguridad en
prestación servicios

- Artículo 37: notificación cambios seguridad

Page 25

La Banca: el escenario ideal

- Dinero (no sólo físico)
- Personas (internas y externas)
- Tecnología (constante demanda)

Page 26

Métodos Comunes de Ataque

Malware Físico

• Servidores
1 3
• Dispositivos usuarios
• Redes
• Dispositivos de usuarios

Hacking Social

• Servidores 2 • Personas
4
• Dispositivos usuarios

Verizon DBIR, 2012

Page 27


Malware (Software Maligno):

Programa malicioso que se instala en un equipo. Su
objetivo podría ser dañar o capturar información.
Existen múltiples tipos.

Page 28


Ingeniería Social:

Uso de las relaciones / comportamiento humano para llegar a
un objetivo.

Phishing:

Forma de Ingeniería Social basada en el engaño (usurpación
de identidad empresarial principalmente) a través de
páginas, correos, entre otros.
Page 29

¿Qué hacer ante la realidad?

 Administración de Riesgos (partir de COSO)
- Foco en Personas y Tecnología (Importancia RRHH)

 Establecer controles, basado en marcos y
estándares de seguridad
- Controles mínimos entidades financieras:
• Proveedores Gobierno TI
• Control Cambios Continuidad Negocios
• Seguridad
Page 30

Existen alternativas…
Estándares y Marcos de Seguridad

 ISO 27000 (Seguridad de la Información)

 CObIT 5 (Gobierno de TI; Incluye Objetivos de
Control de Seguridad)

 PCI (estándar de seguridad enfoque Tarjetas
Crédito)

Page 31

Herramientas Tecnológicas

- Software para Administrar Riesgos (Desde
Levantamiento hasta Seguimiento)

- Software para Análisis y Monitoreo de
Transacciones

Page 32

Tips Seguridad de la Información
- Generales:
- No comparta sus claves ni tarjetas de acceso
- No suministre información confidencial sin confirmar la identidad del
solicitante
- No acceda a los vínculos de correos con ofertas o tarjetas de
felicitación
- Cambie periódicamente su contraseña; utilice frases y combinaciones
de letras y números
- Nunca deje abierta su sesión de trabajo
- Capacítese y capacite a su personal constantemente
- Empresas:
- Cree una estructura de seguridad (según tamaño de institución)
Page 33

CONCLUSIÓN
• La tecnología avanza exponencialmente…
• …las instituciones financieras se ven obligadas a hacer uso
de la tecnología para poder satisfacer las necesidades del
mercado.
• El uso de la tecnología trae múltiples beneficios, pero
también trae consigo notables riesgos, principalmente por
el factor «personas».
• A pesar de todo, existen alternativas: contamos con marcos
para la administración de esos riesgos y herramientas para
enfrentar el reto…sólo hay que ponerlas en práctica…así
encaminaremos nuestra empresa hacia la Excelencia.
¿Estamos listos para el siguiente paso?
Page 34

Preguntas

Page 35

PRÓXIMOS SEMINARIOS WEB:

E-CLASS
Aprender y Crecer

Corriente Operativa

Técnicas de Muestreo: sistema aleatorio y monetario Septiembre 2012

Corriente Estratégica

La auditoría del mañana en el mundo de hoy Octubre 2012

Page 36

Seguridad de la información en instituciones financieras: retos y prácticas clave

Seguridad de la información en instituciones financieras: retos y prácticas clave

Recomendados

Recomendados

Más contenido relacionado

La actualidad más candente

La actualidad más candente (20)

Destacado

Destacado (19)

Similar a Seguridad de la información en instituciones financieras: retos y prácticas clave

Similar a Seguridad de la información en instituciones financieras: retos y prácticas clave (20)

Seguridad de la información en instituciones financieras: retos y prácticas clave

Notas del editor