Derechos Reservados - El enfoque exacto para su negocio © Roberto Keil Montoya Expositor III...
-
Upload
inmaculada-gavino -
Category
Documents
-
view
2 -
download
1
Transcript of Derechos Reservados - El enfoque exacto para su negocio © Roberto Keil Montoya Expositor III...
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
Roberto Keil MontoyaExpositor
III Congreso de Prevención del Fraude y Seguridad
Riesgos de fraude en el manejo de la información: experiencias en la mitigación o gestión de los riesgos de
fraude en OutsoursingBogotá, Colombia, 2009
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
En términos generales, hablamos de información como un conjunto de datos que están organizados y que tienen un significado.
La información es un elemento fundamental en el proceso de la comunicación, ya que tiene un significado para quien la recibe, que la va a comprender si comparte el mismo código que quien la envía.
El avance tecnológico y de la informática liga la información en un proceso y un sistema de comunicación que evitan la existencia de barreras entre la confluencia de información desde un punto al otro del planeta.
INFORMACIÓN
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
Se considera que la generación y/o obtención de información persigue estos objetivos:
Aumentar el conocimiento del usuario.
Proporcionar a quien toma decisiones la materia prima fundamental para el desarrollo de soluciones y la elección.
Proporcionar una serie de reglas de evaluación y reglas de decisión para fines de control.
FUNCIONES DE LA INFORMACIÓN
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
Un activo de la información es un fragmento de información definible, almacenado en cualquier manera que se reconozca como “VALIOSO” a la organización.
La información que abarca un activo de la información, puede ser poco más que un archivo conocido de la perspectiva y de dirección; o puede ser los planes para el lanzamiento de productos.
Independiente, la naturaleza de los activos de la información estos tienen las siguientes características:
E reconocen como un valor para la organización
No son fácilmente reemplazable sin coste, habilidad, tiempo, recursos o una combinación de ellos.
Forman una parte de la identidad corporativa, sin la cual, la organización puede verse amenazada.
Su clasificación de los datos sería normalmente pública, confidencial o altamente confidencial.
ACTIVOS DE INFORMACIÓN
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
Información Confidencial: es toda aquella información que por su naturaleza no puede ser revelada a terceros y no es pública, por ello se entiende que este tipo de información es de nivel crítico y que por ello debe ser tratada y protegida con mayor atención.
Información Crítica: Es la información considerada esencial para la continuidad del negocio y para la adecuada toma de decisiones.
Seguridad de Información: Son los mecanismos establecidos para garantizar la confidencialidad, integridad y disponibilidad de la información y los recursos relacionados con ella.
INFORMACIÓN CONFIDENCIAL E INFORMACIÓN CRÍTICA
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
Características y recomendaciones del manejo: acceso permitido a empleados y no empleados con compromiso escrito de no revelarla
Métodos de distribución: por entrega a tercero con firma de cláusula de privacidad, confidencialidad y responsabilidad por indebida distribución
Restricciones de distribución: se distribuye debidamente garantizando su naturaleza (encriptación y por conductos o canales de máxima seguridad)
Almacenamiento: seguridad para prevenir acceso no autorizado
Disposición / Destrucción: condiciones de efectiva destrucción o completa eliminación
INFORMACIÓN CONFIDENCIAL
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
La información personal que suministra un cliente a una entidad financiera es información confidencial y debe ser tratada como tal, para efectos de lo previsto por la Circular Externa 052 de 2007 que también establece requerimientos mínimos que deben ser observados en aras de la seguridad y calidad de la información que se maneja a través de los canales y medios de distribución de productos y servicios para clientes y usuarios.
INFORMACIÓN PERSONAL E INFORMACIÓN CONFIDENCIAL
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
CAPÍTULO VI
SUBCONTRATACIÓN
Artículo 21º.- Subcontratación
Plena responsabilidad del Banco sobre los resultados de los procesos subcontratados con terceros, pudiendo ser sancionados por su incumplimiento. Asimismo deben asegurarse que se mantenga reserva y confidencialidad sobre la información que pudiera serles proporcionada.
En toda subcontratación significativa, un análisis formal de los riesgos asociados deberá ser realizado y puesto en conocimiento del Directorio para su aprobación. Se entenderá por significativa aquella subcontratación que, en caso de falla o suspensión del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia, o continuidad operativa. La subcontratación de una o más funciones de la gestión de riesgos será considerada como significativa para fines de este reglamento.
Las empresas deberán asegurarse de que en los casos de subcontratación significativa, los contratos suscritos con los proveedores correspondientes incluyan cláusulas que faciliten una adecuada revisión de la respectiva prestación por parte de las empresas, de la Unidad de Auditoría Interna, de la Sociedad de Auditoría Externa, así como por parte de la Superintendencia o la persona que ésta designe.
REGLAMENTO DE LA GESTIÓN INTEGRAL DE RIESGOS (Resolución S.B.S. N° 37 -2008 - Perú)
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
TITULO V
DE LA NOTIFICACIÓN PREVIA
Artículo 37º.- Notificación Previa
Las entidades de intermediación financiera deberán notificar previamente y por escrito a la Superintendencia de Bancos, cuando se presente cualquiera de las siguientes situaciones:
a)La instalación y/o implementación de centros de procesamientos de datos y accesos externos a los sistemas de la entidad;
b)La tercerización de servicios críticos, tales como, procesamiento de datos, hosting, telecomunicaciones, entre otros;
c)La descentralización total o parcial del procesamiento de datos fuera del país;
d)Implementación de nuevos sistemas o tecnologías desde la última inspección;
e)Cambios significativos en los recursos humanos, tales como gerentes de tecnología, auditoría y seguridad o conversión de sistemas; y,
f)Cambios en las líneas de negocios en las cuales los controles internos y el sistema de manejo de riesgo, dependan fuertemente de la TI.
REGLAMENTO DE LA GESTIÓN INTEGRAL DE RIESGOS (Resolución JM 090402-05 - Ecuador)
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
INFORMACIÓN CONFIDENCIAL: PARTICIPANTES
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
CLÁUSULAS DE CONTRATO: EXPERIENCIA A NIVEL REGIONAL
Contrato
Requisitos de información:
Por parte de proveedor: es responsabilidad
exclusiva de este el elaborar una relación de
información mínima necesaria para el desarrollo
del servicio a realizar que deberá aparecer en su
propuesta técnica y como anexo en el contrato
una vez sea acordado con el Banco y de forma
del manejo y protección en caso sea
información confidencial.
Por parte del Banco: una vez formalizado el
contrato y recibido el requerimiento formal de
información por parte del proveedor, el Banco
deberá remitir la información en los términos y
condiciones acordadas en el contrato. En caso
de existir información confidencial deberán
especificarse la naturaleza.
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
CLÁUSULAS DE CONTRATO: EXPERIENCIA A NIVEL REGIONAL
Contrato
Propiedad y acceso:
Propiedad: identificación y propiedad de
todos los activos intelectuales y físicos,
relacionados al contrato, debe estar
claramente establecida, incluyendo activos
adquiridos o producidos como consecuencia
del contrato. Establecer cuándo y cómo el
proveedor de servicios podrá hacer uso de
los activos del banco, y los derechos de esta
última para acceder a dichos activos.
Acceso: el tema de acceso a activos reviste
otra naturaleza por el impacto que ello
puede originar al Banco: financiero, legal,
reputacional. En este punto el Banco debe
definir (activos críticos, mecanismos de
control y supervisión, responsabilidades del
proveedor al acceder a información)
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
CLÁUSULAS DE CONTRATO: EXPERIENCIA A NIVEL REGIONAL
Contrato
Confidencialidad, seguridad y segregación de la
propiedad
Externalización de servicios u outsourcing
supone un acceso a información confidencial y
bases de datos por terceros.
Para garantizar la seguridad y protección de
dicha información es necesario regular la
prestación de los servicios externalizados.
Además, para proteger la información
confidencial del Banco cuando es tratada por un
tercero es necesario firmar un contrato de
prestación de servicios en las que se
establezcan las condiciones del tratamiento y
especialmente las obligaciones de
confidencialidad y secreto.
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
ESQUEMA DE GESTIÓN RIESGO DE FRAUDE EN OUTSOURCING
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE INFORMACIÓN CONFIDENCIAL
Mejores políticas para clasificación y mitigación del riesgo
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE INFORMACIÓN CONFIDENCIAL
Para la clasificación, control y corrección
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE INFORMACIÓN CONFIDENCIAL
Alerta consolidado para la correcta información al personal correcto y toma de
decisiones correctas
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE INFORMACIÓN CONFIDENCIAL
“Explorar” más data de modo más rápido con menor hardware y recursos
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE INFORMACIÓN CONFIDENCIAL
Que todo “el Mundo” la conozca y cumpla
Derechos Reservados - www.griskm.com El enfoque exacto para su negocio©
Planificación, planeamiento, objetivos
El proceso asigna propietario
El contrato asigna responsabilidades y mitiga
La tecnología apoya al desarrollo del negocio
El control no puede obviarse nunca
La responsabilidad es de ambas partes pero la mayor es la del contratante siempre
Efecto frente al mercado puede decidir el futuro de la organización
CONCLUSIONES