Derechos Reservados - El enfoque exacto para su negocio © Roberto Keil Montoya Expositor III...

Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©

Roberto Keil MontoyaExpositor

III Congreso de Prevención del Fraude y Seguridad

Riesgos de fraude en el manejo de la información: experiencias en la mitigación o gestión de los riesgos de

fraude en OutsoursingBogotá, Colombia, 2009


En términos generales, hablamos de información como un conjunto de datos que están organizados y que tienen un significado.

La información es un elemento fundamental en el proceso de la comunicación, ya que tiene un significado para quien la recibe, que la va a comprender si comparte el mismo código que quien la envía.

El avance tecnológico y de la informática liga la información en un proceso y un sistema de comunicación que evitan la existencia de barreras entre la confluencia de información desde un punto al otro del planeta.

INFORMACIÓN


Se considera que la generación y/o obtención de información persigue estos objetivos:

Aumentar el conocimiento del usuario.

Proporcionar a quien toma decisiones la materia prima fundamental para el desarrollo de soluciones y la elección.

Proporcionar una serie de reglas de evaluación y reglas de decisión para fines de control.

FUNCIONES DE LA INFORMACIÓN


Un activo de la información es un fragmento de información definible, almacenado en cualquier manera que se reconozca como “VALIOSO” a la organización.

La información que abarca un activo de la información, puede ser poco más que un archivo conocido de la perspectiva y de dirección; o puede ser los planes para el lanzamiento de productos.

Independiente, la naturaleza de los activos de la información estos tienen las siguientes características:

E reconocen como un valor para la organización

No son fácilmente reemplazable sin coste, habilidad, tiempo, recursos o una combinación de ellos.

Forman una parte de la identidad corporativa, sin la cual, la organización puede verse amenazada.

Su clasificación de los datos sería normalmente pública, confidencial o altamente confidencial.

ACTIVOS DE INFORMACIÓN


Información Confidencial: es toda aquella información que por su naturaleza no puede ser revelada a terceros y no es pública, por ello se entiende que este tipo de información es de nivel crítico y que por ello debe ser tratada y protegida con mayor atención.

Información Crítica: Es la información considerada esencial para la continuidad del negocio y para la adecuada toma de decisiones.

Seguridad de Información: Son los mecanismos establecidos para garantizar la confidencialidad, integridad y disponibilidad de la información y los recursos relacionados con ella.

INFORMACIÓN CONFIDENCIAL E INFORMACIÓN CRÍTICA


Características y recomendaciones del manejo: acceso permitido a empleados y no empleados con compromiso escrito de no revelarla

Métodos de distribución: por entrega a tercero con firma de cláusula de privacidad, confidencialidad y responsabilidad por indebida distribución

Restricciones de distribución: se distribuye debidamente garantizando su naturaleza (encriptación y por conductos o canales de máxima seguridad)

Almacenamiento: seguridad para prevenir acceso no autorizado

Disposición / Destrucción: condiciones de efectiva destrucción o completa eliminación

INFORMACIÓN CONFIDENCIAL


La información personal que suministra un cliente a una entidad financiera es información confidencial y debe ser tratada como tal, para efectos de lo previsto por la Circular Externa 052 de 2007 que también establece requerimientos mínimos que deben ser observados en aras de la seguridad y calidad de la información que se maneja a través de los canales y medios de distribución de productos y servicios para clientes y usuarios.

INFORMACIÓN PERSONAL E INFORMACIÓN CONFIDENCIAL


CAPÍTULO VI

SUBCONTRATACIÓN

Artículo 21º.- Subcontratación

Plena responsabilidad del Banco sobre los resultados de los procesos subcontratados con terceros, pudiendo ser sancionados por su incumplimiento. Asimismo deben asegurarse que se mantenga reserva y confidencialidad sobre la información que pudiera serles proporcionada.

En toda subcontratación significativa, un análisis formal de los riesgos asociados deberá ser realizado y puesto en conocimiento del Directorio para su aprobación. Se entenderá por significativa aquella subcontratación que, en caso de falla o suspensión del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia, o continuidad operativa. La subcontratación de una o más funciones de la gestión de riesgos será considerada como significativa para fines de este reglamento.

Las empresas deberán asegurarse de que en los casos de subcontratación significativa, los contratos suscritos con los proveedores correspondientes incluyan cláusulas que faciliten una adecuada revisión de la respectiva prestación por parte de las empresas, de la Unidad de Auditoría Interna, de la Sociedad de Auditoría Externa, así como por parte de la Superintendencia o la persona que ésta designe.

REGLAMENTO DE LA GESTIÓN INTEGRAL DE RIESGOS (Resolución S.B.S. N° 37 -2008 - Perú)


TITULO V

DE LA NOTIFICACIÓN PREVIA

Artículo 37º.- Notificación Previa

Las entidades de intermediación financiera deberán notificar previamente y por escrito a la Superintendencia de Bancos, cuando se presente cualquiera de las siguientes situaciones:

a)La instalación y/o implementación de centros de procesamientos de datos y accesos externos a los sistemas de la entidad;

b)La tercerización de servicios críticos, tales como, procesamiento de datos, hosting, telecomunicaciones, entre otros;

c)La descentralización total o parcial del procesamiento de datos fuera del país;

d)Implementación de nuevos sistemas o tecnologías desde la última inspección;

e)Cambios significativos en los recursos humanos, tales como gerentes de tecnología, auditoría y seguridad o conversión de sistemas; y,

f)Cambios en las líneas de negocios en las cuales los controles internos y el sistema de manejo de riesgo, dependan fuertemente de la TI.

REGLAMENTO DE LA GESTIÓN INTEGRAL DE RIESGOS (Resolución JM 090402-05 - Ecuador)


INFORMACIÓN CONFIDENCIAL: PARTICIPANTES


CLÁUSULAS DE CONTRATO: EXPERIENCIA A NIVEL REGIONAL

Contrato

Requisitos de información:

Por parte de proveedor: es responsabilidad

exclusiva de este el elaborar una relación de

información mínima necesaria para el desarrollo

del servicio a realizar que deberá aparecer en su

propuesta técnica y como anexo en el contrato

una vez sea acordado con el Banco y de forma

del manejo y protección en caso sea

información confidencial.

Por parte del Banco: una vez formalizado el

contrato y recibido el requerimiento formal de

información por parte del proveedor, el Banco

deberá remitir la información en los términos y

condiciones acordadas en el contrato. En caso

de existir información confidencial deberán

especificarse la naturaleza.



Contrato

Propiedad y acceso:

Propiedad: identificación y propiedad de

todos los activos intelectuales y físicos,

relacionados al contrato, debe estar

claramente establecida, incluyendo activos

adquiridos o producidos como consecuencia

del contrato. Establecer cuándo y cómo el

proveedor de servicios podrá hacer uso de

los activos del banco, y los derechos de esta

última para acceder a dichos activos.

Acceso: el tema de acceso a activos reviste

otra naturaleza por el impacto que ello

puede originar al Banco: financiero, legal,

reputacional. En este punto el Banco debe

definir (activos críticos, mecanismos de

control y supervisión, responsabilidades del

proveedor al acceder a información)



Contrato

Confidencialidad, seguridad y segregación de la

propiedad

Externalización de servicios u outsourcing

supone un acceso a información confidencial y

bases de datos por terceros.

Para garantizar la seguridad y protección de

dicha información es necesario regular la

prestación de los servicios externalizados.

Además, para proteger la información

confidencial del Banco cuando es tratada por un

tercero es necesario firmar un contrato de

prestación de servicios en las que se

establezcan las condiciones del tratamiento y

especialmente las obligaciones de

confidencialidad y secreto.


ESQUEMA DE GESTIÓN RIESGO DE FRAUDE EN OUTSOURCING


FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE INFORMACIÓN CONFIDENCIAL

Mejores políticas para clasificación y mitigación del riesgo



Para la clasificación, control y corrección



Alerta consolidado para la correcta información al personal correcto y toma de

decisiones correctas



“Explorar” más data de modo más rápido con menor hardware y recursos



Que todo “el Mundo” la conozca y cumpla


Planificación, planeamiento, objetivos

El proceso asigna propietario

El contrato asigna responsabilidades y mitiga

La tecnología apoya al desarrollo del negocio

El control no puede obviarse nunca

La responsabilidad es de ambas partes pero la mayor es la del contratante siempre

Efecto frente al mercado puede decidir el futuro de la organización

CONCLUSIONES

Derechos Reservados - El enfoque exacto para su negocio © Roberto Keil Montoya Expositor III...

Documents

Transcript of Derechos Reservados - El enfoque exacto para su negocio © Roberto Keil Montoya Expositor III...