En un entorno tan cambiante y dentro del contexto actual, nos enfrentamos a la inseguridad de la información y los ciber riesgos emergentes, que nos abren una puerta a nuevos retos relacionados con continuidad operativa. Los riesgos (tecno)peracionales ya no solo dependen de la tecnología, ya que la innovación y transformación digital requieren de un fuerte componente estratégico para una definición e implementación que asegure el negocio y sus resultados.
En este sentido, analizaremos juntos en este evento los requisitos mínimos de gestión y control sobre los riesgos relacionados con la tecnología de la información y la necesidad de “CONFIANZA DIGITAL”:
1. NEGOCIO, INFORMACIÓN Y TECNOLOGÍA CONECTADA
2. DELEGACIÓN DE OPERACIONES Y RIESGOS TECNOLÓGICOS
3. REQUISITOS DE CIBERSEGURIDAD ASOCIADO A SERVICIOS TECNOLÓGICOS TERCERIZADOS
4. NUEVO ENFOQUE DE CONTROLES Y (TECNO)CONTINUIDAD OPERATIVA
https://youtu.be/7-cugTpckq8
4. GOBIERNO DE CIBERTECNOLOGÍA
Y CIBERSEGURIDAD
RIESGOS
(TECNO)PERACIONALES Y LA
SOCIEDAD CON PROVEEDORES
Fabián Descalzo – Director (fdescalzo@bdoargentina.com)
Fabián posee 30 años de experiencia en el área de gestión e implementación de Gobierno de Seguridad de la Información, Gobierno de TI,
Compliance y Auditoría de TI en Argentina y Latinoamérica, y asesoramiento para el cumplimiento de Leyes y Normativas Nacionales e
Internacionales en compañías de diferentes áreas de negocio. Docente del módulo de Seguridad de la Información en la “Diplomatura en Gobierno y
Gestión de Servicios de IT” del ITBA; en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Argentina; del módulo Auditoría y
Control en Seguridad de la Información en la Universidad Nacional de Rio Negro. Miembro del Comité Científico del IEEE (Institute of Electrical and
Electronics Engineers), del Comité Directivo de ADACSI/ISACA. Disertante nacional e internacional y columnista especializado en áreas de Gobierno de
la Tecnología y Seguridad de la Información, Ciberseguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES
(ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter de España y MAGAZCITUM de México.
ESPECIALIDADES Y ÁREAS DE CONOCIMIENTO
Riesgo, Gobierno y Auditoría de TI
Continuidad de Negocio y Recuperación de Procesos de Servicios de TI
Análisis de riesgos de Ti y Seguridad de la Información
Cumplimiento de Marco Regulatorio (SOX, HIPAA, PCI-DSS, Data Privacy, Internal Frame)
Gobierno de Seguridad de la Información
Procesos de Servicios TI
Cibercrimen
CERTIFICACIONES - PRACTICAS NOTABLES
COBIT5 Foundation, Lead Auditor ISO/IEC 20000:2011, IRCA ISMS Auditor: Lead Auditor ISO/IEC 27001, Lead Auditor ISO/IEC
22301:2019, ITIL® version 3:2011 Information Management, ITIL® version 3:2011, Accredited Trainer (EXIN Accreditation)
7. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
Riesgos (tecno)peracionales y la sociedad con proveedores
Reportó que hay más de 6.500.000 usuarios de
billeteras virtuales en el país
Las personas multiplicaron el uso de este tipo de
plataformas en un rango de entre 120 y 800%
Fuentes: Kantar Ibope Media 2020 / Cámara Argentina de Fintech
8. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
Riesgos (tecno)peracionales y la sociedad con proveedores
Infraestructura
Software
Gestión
Personas
SEGURIDAD EN
INTERNET
SEGURIDAD DE LA
INFORMACIÓN
SEGURIDAD DE LA
RED
SEGURIDAD DE
LAS TICs
11. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
Riesgos (tecno)peracionales y la sociedad con proveedores
Optimismo
Mantener siempre
la postura de
vigilancia y
monitoreo para una
resiliencia digital de
los negocios
Falsa sensación de
protección No
permite saber
realmente lo que
pasa en el entorno,
cambiante e
incierto
Parcialidad
Ciberseguridad
desde el Gobierno
Corporativo
(estrategia, finanzas,
tecnología)
Actuar como
rebaño Abordar sus
problemas desde la
perspectiva de otra
organización, sin
contemplar
condiciones y
variantes
17. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
Riesgos (tecno)peracionales y la sociedad con proveedores
Seleccionar recurso y el estándar de evaluación asociado
Identificar los riesgos y requerimientos de control
Conocer las necesidades de
aplicación para el Negocio
Modelos de servicio
28. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
Riesgos (tecno)peracionales y la sociedad con proveedores
La Comunicación “A”
6375 emitida en
Noviembre de 2017
por el BCRA,
establece
lineamientos para la
Descentralización y/o
Tercerización de
Servicios de
Tecnología
Informática (STI)
Las actividades descentralizadas
y/o tercerizadas estarán sujetas
a regulaciones técnicas
correspondientes a la naturaleza
y tipo de actividades
Para la tercerización de Servicios
de Tecnología Informática se
debe implementar un Punto de
Acceso Unificado (PAU) para la
supervisión, control y monitoreo
continuo y permanente de las
actividades relacionadas a los
mismos
Proteger el “dato”
que forma parte del
servicio
29. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
Riesgos (tecno)peracionales y la sociedad con proveedores
Entorno no operativo que debe permitir el control activo, continuo y
permanente de todas las actividades indicadas en el acuerdo del STI.
El PAU debe estar implementado en la República Argentina bajo
administración de la entidad y es independiente de la cantidad de
servicios tercerizados, locaciones y naturaleza de los mismos.
Debe proveer evidencia suficiente para demostrar la confiablidad de la
materia auditable, ante revisiones independientes de auditorías
internas, externas o entes regulatorios.
Si bien el PAU sugiere centralización de cierta información, no implica
que esta función deba asignarse a una persona o área de la
organización. Lo esencial es que cuando la evidencia sea requerida esté
disponible y no haya necesidad de gestionar requerimientos.
31. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
Riesgos (tecno)peracionales y la sociedad con proveedores
Guías de supervisión para la
Ciberseguridad y Ciber-resiliencia
y Guías de supervisión
https://www.bcra.gob.ar/SistemasFinancierosYdePagos/CiberSeguridad-y-Ciberresilencia.asp
https://www.bcra.gob.ar/SistemasFinancierosYdePagos/Guías-de-supervisión.asp
32. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
Riesgos (tecno)peracionales y la sociedad con proveedores
Tabla de valoración de
criticidad (3 niveles)
Requisitos
Mínimos de
Seguridad
Gestión para
la correlación
de eventos
Gestión interna o
externa de proceso
de incidentes
El Directorio o autoridad equivalente es responsable
primario de la gestión de seguridad informática
Banca Móvil
(BM),
Banca por
Internet (BI)
Cajeros
Automáticos
(ATM)
Puntos de
venta (POS)
CANALES
ELECTRÓNICOS
Comunicación “A”
5374
Garantizar registro y
trazabilidad completa de
las actividades
Terminal de
autoservicio
(TAS)
Banca
Telefónica (BT)
Plataforma de
Pagos Móviles
(PPM)
33. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
Riesgos (tecno)peracionales y la sociedad con proveedores
Ciclos de Auditoría
Revisiones de dominios de ciberseguridad en ciclos de auditoría
Familia de controles de
ciberseguridad según
NIST 800-53 r4 Seguim
ientoPOS
Inventario
Tecnológico
Contabilidad
General
CAPRI(GEBPyPago
aproveedoresCiclo
Com
pras)
Depósitos/CA-CC-
PF
RiesgoOperacional
RiesgoTecnológico
Resguardoy
Recupero
Tesorería
Adquisición de Sistemas y servicios X
Auditoría y Responsabilidad X X X
Capacitacion y Training
Concientización X X
Continuidad
Control de acceso
Control de acceso remoto
Evaluación y Autorización de Seguridad
Gestión de cuentas
34. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
Riesgos (tecno)peracionales y la sociedad con proveedores
Requisitos y
procedimientos de
evaluación de seguridad -
Requisito 12.8
A.15 Relación con proveedores
8.4 Control de los
procesos, productos y
servicios suministrados
externamente
Prácticas teóricas de gestión de
riesgos de la cadena de
suministro para sistemas de
información
Buenas prácticas para la
implementación de la
seguridad para la
cadena de suministro
Gestión de riesgos de la cadena
de suministro - Precalificación de
proveedores
36. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
Riesgos (tecno)peracionales y la sociedad con proveedores
Esto implica que sobre el 85% de sus proveedores directos, no
poseen información completa, y muy a menudo tienen poco o
ningún conocimiento sobre sus procesos, personas y
equipamiento que proporciona el producto o servicio adquirido
Fuente: The British Standards Institution/Publicly Available Specification (PAS) 7000:2014
https://www.bsigroup.com/es-ES/PAS-7000-Gestion-del-Riesgo-de-la-Cadena-de-Suministro---Precalificacion-de-proveedores/norma-pas-7000-
descarga-gratuita/
37. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
Riesgos (tecno)peracionales y la sociedad con proveedores
Alcance de las actividades;
Niveles mínimos de prestación de servicio y su tipo / condiciones del servicio brindado;
Participación de subcontratistas.
No podrán tercerizarse actividades con proveedores que a su vez tengan contratada la función
de auditoría interna y/o externa de dichas actividades.
Compromisos de confidencialidad. Término de compromiso de confidencialidad de la
información a la que tenga acceso/alcance el proveedor y/o subcontratista.
Identificar posibles riesgos:
Los mecanismos de notificación de cambios en el control accionario;
Los mecanismos de notificación de cambios de niveles gerenciales;
Resarcimiento por daños económicos que causará el proveedor
El procedimiento por el cual las áreas tecnológicas y de seguridad informática pueda obtener los
datos, los programas fuentes, los manuales y la documentación técnica de los sistemas, ante
cualquier situación que pudiera sufrir el proveedor externo por la cual dejara de prestar sus
servicios o de operar en el mercado
Tener derecho a realizar auditorías a los proveedores, propias o de empresas contratadas para
tal fin, y eestablecer que cualquier Entidad Regulatoria pueda acceder sin limitación
Contar con un plan de contingencia
42. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
Riesgos (tecno)peracionales y la sociedad con proveedores
OBJETIVO
• Detección oportuna de las
desviaciones en cuanto a niveles de
servicio contratados.
• Continuidad operativa de la
operatoria delegada.
• Detección oportuna de
irregularidades en las prestaciones.
• Correcta ejecución de las
actividades delegadas.
• Verificar el mantenimiento de la
protección de la información.
REGISTRAR
• Fecha en que se realizó el control
• Responsable de la ejecución del
control
• Objetivos del control
• Tareas realizadas
• Resultados del control
• Observaciones
46. GOBIERNO DE CIBERTECNOLOGÍA Y CIBERSEGURIDAD
Riesgos (tecno)peracionales y la sociedad con proveedores
Alineación de las gestiones de riesgos, incidentes y crisis entre cliente /
proveedor, como potenciador de la seguridad, resiliencia y continuidad
Asegurar una visión de procesos en toda la gestión de riesgos, para asegurar
un abordaje de tratamiento y madurez que impacte en toda la organización
aún desde una visión de gestión tecnológica
Desarrollar una matriz de responsabilidad compartida entre el proveedor y
la Organización
Asegurar la intervención interdisciplinaria de diferentes sectores de la
Organización en sus proyectos (Legales, Tecnología, Seguridad Informática,
Desarrollo, etc.)
Ejecutar los controles y gestión de riesgos en forma continua
Mitigar los riesgos a través de contratos y SLAs orientados a los Controles
y Gestión de Riesgo
Orientar la selección a proveedores certificados y robustecer la seguridad en
base a las capacidades del proveedor, y así reducir la carga “local” de
cumplimiento al compartirla con el proveedor
47. API
Aseguramiento de Procesos Informáticos
RAS | Risk Advisory Services | IT Assurance, Audit and Compliance
Pablo Silberfich
Socio
psilberfich@bdoargentina.com
Fabián Descalzo
Director
fdescalzo@bdoargentina.com