Seguridad de la información en instituciones financieras: retos y prácticas clave
-
Upload
bdoriesgosytecnologia -
Category
Documents
-
view
2.198 -
download
1
Transcript of Seguridad de la información en instituciones financieras: retos y prácticas clave
![Page 1: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/1.jpg)
E-CLASS"Seguridad de la Información en
Instituciones Financieras: retos y prácticas clave"
Corriente Estratégica
![Page 2: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/2.jpg)
¡Buenos días! ¡Qué bueno que estás presente!
• Seminarios web para:
• Dos corrientes:
Aprender y Crecer Pensar y
Actuar
Estratégica
Temas GeneralesSituación y Tendencias
entre los sectoresMejores PrácticasBenchmarking
Operativa
Temas específicos
Espacio de Trabajo
Ejercicios en vivoMétodos y Procedimientos
![Page 3: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/3.jpg)
Seguridad de la Información en Instituciones Financieras: retos y prácticas clave
Ing. José Luis Antigua D. ([email protected])Director Riesgos y TecnologíaBDO Dominicana29 Agosto 2012
![Page 4: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/4.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 4
CONTENIDO
HECHOS
CIFRAS IMPORTANTES
LA SEGURIDAD DE LA INFORMACIÓN
COSO-ERM
MÉTODOS COMUNES DE ATAQUE
¿QUÉ HACER?
![Page 5: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/5.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 5
TITULARES
![Page 6: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/6.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 6
CIFRAS IMPORTANTES
En el 2012, el 40% de los ataques de
hackers se hizo directamente al
sector financiero y
seguros
Verizon DBIR, 2010-2012
![Page 7: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/7.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 7
CIFRAS IMPORTANTES
«Transacciones Fraudulentas» está en el «Top 10» de causas
de reclamaciones
28,500Top 10
SIB, 2012
Reclamaciones recibidas por la SIB (últimos dos años)
![Page 8: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/8.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 8
CIFRAS IMPORTANTES
ISACA, 2011
Lo más preocupante es que se desconozcan los riesgos y no se
midan y monitoreen los controles de seguridad.
![Page 9: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/9.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 9
Seguridad de la Información
Es un componente esencial del gobierno corporativo y la gerencia que afecta todos los aspectos de los controles de la entidad.
Su administración es el conjunto de prácticas encaminadas a:- salvaguardar los activos de la empresa- Asegurar disponibilidad continua- Preservar la confidencialidad- Asegurar la integridad
![Page 10: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/10.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 10
Elementos Claves Sistema de Administración de Seguridad de la Información- Compromiso y Apoyo de la Gerencia- Políticas y Procedimientos- Organización- Conciencia y Educación sobre Seguridad- Monitoreo- Administración de Incidentes
ISACA 2010
![Page 11: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/11.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 11
¿HA ESCUCHADO ESTO ALGUNA VEZ?
Veamos algunas violaciones a las normas de seguridad en el día a día
![Page 12: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/12.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 12
Contraseña escrita y disponible en el área de trabajo (escritorio, monitor, etc.)
![Page 13: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/13.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 13
Uso de tarjetas de acceso prestadas
![Page 14: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/14.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 14
Pago con tarjeta sin documento de identificación
![Page 15: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/15.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 15
Acceso al sistema con usuario de otra persona
![Page 16: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/16.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 16
Existen violaciones a diario…
«La Administración de la Seguridad de la Información es un reto afecta y debe ocupar a todos»
Se necesita un cambio de cultura …
![Page 17: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/17.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 17
Recordemos COSO-ERM
“… un proceso, efectuado por la junta directiva de una entidad, la gerencia u otro personal, aplicado en la definición de la estrategia y a través de la organización, diseñado para identificar eventos potenciales que puedan afectar a la entidad, y para administrar los riesgos que se encuentran dentro de su apetito por el riesgo, para proveer una seguridad razonable con respecto al logro de los objetivos de la entidad.”
The Committee of Sponsoring Organizations oh the Treadway Commission
![Page 18: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/18.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 18
Recordemos COSO-ERM
![Page 19: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/19.jpg)
Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto) Respuesta a riesgos Actividades de control
¿Cómo definir adecuadamente un objetivo de control? Información y Comunicación Monitoreo
Informe COSO-ERM, 2004
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 19
![Page 20: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/20.jpg)
Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto) Respuesta a riesgos Actividades de control
¿Cómo definir adecuadamente un objetivo de control? Información y Comunicación Monitoreo
Informe COSO-ERM, 2004
Personas
Procesos
Tecnología
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 20
![Page 21: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/21.jpg)
Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto) Respuesta a riesgos Actividades de control
¿Cómo definir adecuadamente un objetivo de control? Información y Comunicación Monitoreo
21
Informe COSO-ERM, 2004
Alto
Medio
Bajo
Seguridad de Información en Instituciones Financieras – Ing. José Luis Antigua
![Page 22: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/22.jpg)
Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto) Respuesta a riesgos Actividades de control
¿Cómo definir adecuadamente un objetivo de control? Información y Comunicación Monitoreo
Informe COSO-ERM, 2004
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 22
![Page 23: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/23.jpg)
Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto) Respuesta a riesgos Actividades de control
¿Cómo definir adecuadamente un objetivo de control? Información y Comunicación Monitoreo
Informe COSO-ERM, 2004
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 23
![Page 24: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/24.jpg)
Componentes COSO-ERM
Identificación de eventos (vulnerabilidades y amenazas) por proceso u objetivo, considerando factores internos y externos.
Evaluación de riesgos (probabilidad por impacto) Respuesta a riesgos Actividades de control
¿Cómo definir adecuadamente un objetivo de control? Información y Comunicación Monitoreo
Informe COSO-ERM, 2004
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 24
![Page 25: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/25.jpg)
Seguridad en el Reglamento Riesgo Operacional
Emitido por la Junta Monetaria, 2008 – Vigencia desde el año 2009
- Artículos 8 y 16: evaluación de riesgos (incluye seguridad)
- Artículo 32 (literales b, d): Planificación y Organización -
Estrategias de TI, incluyendo seguridad arquitectura
- Artículo 34 (Entrega y Soporte, literal e): mantener
seguridad en prestación servicios
- Artículo 37: notificación cambios seguridad
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 25
![Page 26: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/26.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 26
La Banca: el escenario ideal
- Dinero (no sólo físico)- Personas (internas y externas)- Tecnología (constante demanda)
![Page 27: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/27.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 27
Métodos Comunes de Ataque
Malware
• Servidores• Redes
• Dispositivos de usuarios
Hacking
• Servidores• Dispositivos usuarios
Físico
• Dispositivos usuarios
Social
• Personas
1
2
3
4
Verizon DBIR, 2012
![Page 28: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/28.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 28
Métodos Comunes de Ataque
Malware (Software Maligno):
Programa malicioso que se instala en un equipo. Su objetivo podría ser dañar o capturar información. Existen múltiples tipos.
![Page 29: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/29.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 29
Métodos Comunes de Ataque
Ingeniería Social:
Uso de las relaciones / comportamiento humano para llegar a un objetivo.
Phishing:
Forma de Ingeniería Social basada en el engaño (usurpación de identidad empresarial principalmente) a través de páginas, correos, entre otros.
![Page 30: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/30.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 30
¿Qué hacer ante la realidad?
Administración de Riesgos (partir de
COSO)
- Foco en Personas y Tecnología (Importancia RRHH)
Establecer controles, basado en marcos y
estándares de seguridad
- Controles mínimos entidades financieras:• Proveedores Gobierno TI• Control Cambios Continuidad Negocios• Seguridad
![Page 31: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/31.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 31
Existen alternativas…Estándares y Marcos de Seguridad
ISO 27000 (Seguridad de la Información)
CObIT 5 (Gobierno de TI; Incluye Objetivos
de Control de Seguridad)
PCI (estándar de seguridad enfoque Tarjetas
Crédito)
![Page 32: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/32.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 32
Existen alternativas…Herramientas Tecnológicas
- Software para Administrar Riesgos (Desde Levantamiento hasta Seguimiento)
- Software para Análisis y Monitoreo de Transacciones
![Page 33: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/33.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 33
Existen alternativas…Tips Seguridad de la Información
- Generales:- No comparta sus claves ni tarjetas de acceso - No suministre información confidencial sin confirmar la
identidad del solicitante- No acceda a los vínculos de correos con ofertas o tarjetas de
felicitación- Cambie periódicamente su contraseña; utilice frases y
combinaciones de letras y números- Nunca deje abierta su sesión de trabajo- Capacítese y capacite a su personal constantemente
- Empresas:- Cree una estructura de seguridad (según tamaño de
institución)
![Page 34: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/34.jpg)
CONCLUSIÓN
• La tecnología avanza exponencialmente…• …las instituciones financieras se ven obligadas a
hacer uso de la tecnología para poder satisfacer las necesidades del mercado.
• El uso de la tecnología trae múltiples beneficios, pero también trae consigo notables riesgos, principalmente por el factor «personas».
• A pesar de todo, existen alternativas: contamos con marcos para la administración de esos riesgos y herramientas para enfrentar el reto…sólo hay que ponerlas en práctica…así encaminaremos nuestra empresa hacia la Excelencia.
¿Estamos listos para el siguiente paso?Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 34
![Page 35: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/35.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 35
Preguntas
![Page 36: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/36.jpg)
Seguridad de Información en Instituciones Financieras – Ing. José Luis AntiguaPage 36
Corriente Operativa
PRÓXIMOS SEMINARIOS WEB:
Técnicas de Muestreo: sistema aleatorio y monetario
Septiembre 2012
Corriente Estratégica
La auditoría del mañana en el mundo de hoy Octubre 2012
E-CLASS
Aprender y Crecer
![Page 37: Seguridad de la información en instituciones financieras: retos y prácticas clave](https://reader036.fdocuments.ec/reader036/viewer/2022062303/55641297d8b42a130c8b53d3/html5/thumbnails/37.jpg)
Si es importante para usted,
es importante para nosotros