La Seguridad de la Información en la Gestión del Negocio Financiero

Transcripción

1 La Seguridad de la Información en la Gestión del Negocio Financiero Lic. Julio C. Ardita CYBSEC S.A. Security Systems

2 Agenda - Análisis de la situación actual - Continuidad de servicios - Gerenciamiento de la Seguridad 2

3 Análisis de la Situación Actual 3

4 Durante la ultima década se incorpora con una importancia creciente el concepto de la Seguridad Informática a la vez que este mismo concepto inicial se transforma en el concepto de Seguridad de la Información, permitiendo una mejor definición del problema que afecta a las Organizaciones. 4

5 El concepto de seguridad de la información incluye como centro de atención, quizás lo que es el valor más destacado en la Gestión Financiera: el valor de los datos mantenidos por los sistemas. Doble problemática de administración: Datos propios referidos a operaciones. Datos de terceros. 5

6 Antes: Hoy: La seguridad informática no era un gran problema. Centros de cómputos pequeños y pocas terminales. Redes aisladas de computadoras pequeñas y sólo usuarios internos. La seguridad Informática es un tema prioritario. Los sistemas informáticos están dispersos e interconectados en toda la Organización. Tenemos grandes redes; Internet; diversidad de plataformas; múltiples sistemas operativos; usuarios internos, externos e invitados; computadoras móviles, etc. 6

7 Realidad - Los mismos problemas de seguridad - Mayores responsabilidades - Pocos recursos - Masificación del problema 7

8 Realidad Sofisticación de los ataques informáticos 8

9 Durante abril de 2006 hubo más m de 570 ataques exitosos a páginas Web en Argentina. Fuente: 9

10 La seguridad informática hoy* El mercado aparentemente no reacciona ante los problemas de seguridad informática, vulnerabilidades básicas siguen apareciendo en los programas, los administradores todavía no realizan upgrades y no aplican patches a los sistemas y los usuarios siguen haciendo click sobre los archivos adjuntos enviados por correo electrónico. 10

11 La seguridad informática hoy* Las empresas no pueden solucionar los problemas de seguridad porque si lo hacen, las aplicaciones críticas que están en producción entran en crisis y los proveedores siguen tratando de explicar que tener permisos habilitados para todo el mundo, utilizar usuarios genéricos y guardar passwords en plano, no es tan inseguro. * Transparencias año

12 Cantidad de vulnerabilidades informáticas CERT/CC 12

13 Cambio del entorno tecnológico El problema de la seguridad ya no es más un problema técnico, es un problema que afecta a la Organización y del cual los Directivos son los responsables. Factores externos: Cumplimiento de normativas locales (BCRA), internacionales (SOX, Basilea 2, ISO 17799, etc), auditorías externas, etc. Factores internos: Concientización, auditorías internas, mejores prácticas, etc. 13

14 Continuidad de Servicios 14

15 El negocio financiero es claramente un negocio de servicios, que como ya se sabe en buena medida avanza hacia el servicio remoto y durante las 24 hs. 15

16 Si bien resulta casi obvio destacar la importancia de disponer de capacidades continuas para brindar los servicios, la gestión de la continuidad de los negocios, se está transformando en un tema prioritario que requiere incluso la participación de la Alta Dirección de las Entidades. Mantener la continuidad de los negocios 16

17 Qué significa disponer de un Plan de Continuidad? La capacidad para recuperarse exitosamente de los efectos de un desastre o percance que inhabilite uno o todos los servicios informáticos dentro de un período predeterminado de tiempo, permitiendo la continuidad del negocio y que se logren los objetivos de control establecidos. 17

18 El BCP cubre las contingencias que se definan durante el desarrollo del mismo. Mientras más abarcativo sea el BCP, más costosa es su implementación y mantenimiento. Se debe llegar al Punto de Equilibrio y la Entidad debe definir qué riesgos desea aceptar. Por qué implementar un BCP? - Supervivencia Corporativa -Exigencias de Seguros - Superintendencia de Bancos - Basilea II 18

19 Requerimientos de un BCP - Compromiso por parte de la Dirección del Banco para que sea efectivo y pueda ser llevado a cabo. - Conciencia del tamaño del Proyecto. - Inversiones (HW, SW, Lugar físico, Consultoría, Recursos humanos, Contratos, etc). - Mantenimiento proactivo. 19

20 Pasos para Implementar un BCP 20

21 Pasos para Implementar un BCP 21

22 Pasos para Implementar un BCP 22

23 Gerenciamiento de la Seguridad 23

24 La gestión de la seguridad consiste en la realización de las tareas necesarias para garantizar los niveles de seguridad exigibles en una Organización. Algunas consideraciones: - Los riesgos se gestionan. - La seguridad no es un producto, es un proceso. - Los problemas de seguridad no son únicamente de índole tecnológica. 24

25 Porqué gestionar? - Garantizar la confidencialidad, integridad y disponibilidad de sus Activos es crítico para cualquier Organización. - Las nuevas tecnologías introducen nuevas amenazas. - La dependencia creciente de los recursos de IT aumenta los Impactos. - No siempre se pueden eliminar los riesgos Es necesario gestionar la seguridad de la información 25

26 Los problemas más comunes No comprender los objetivos generales de la Organización. No ser funcional a los objetivos generales de la Organización. No contribuir a optimizar los procesos de producción. No controlar el cumplimiento de la asignación de recursos y tiempos. No realizar una adecuada evaluación y planificación de la demanda de recursos presupuestarios. 26

27 Quién n es el CSO (Chief Security Officer)? Es el responsable de Seguridad de la Información n de la Organización. n. Reporta al Directorio. Cualidades de un buen CSO: Muy buen nivel de comunicación. n. Capacidad de Negociación. Destacada habilidad como líder. l Conocimientos técnico t de entornos tecnológicos. Conocimientos técnicos t de seguridad informática. 27

28 Quién n es el CSO (Chief Security Officer)? Es quien entiende el negocio, las cosas que lo hacen exitoso, logra identificar los factores de riesgos que posee el negocio y encuentra las maneras de gestionarlos de forma técnica, t operacional o procedural. 28

29 Integrar la Seguridad a la cultura de la Organización Problemática de la venta de intangibles. Problemática de la venta de la Seguridad Informática. Hacer las cosas bien y luego vender bien la SI. Es obligatorio saber vender para el área de SI. Mostrar resultados (Caso de negocios). 29

30 Conclusiones - La seguridad de la información, nunca fue ni será un objetivo del negocio financiero, pero sin lugar a dudas es un componente clave para poder hacerlo. - El problema de la seguridad ya no es más técnico, es un problema que afecta a la Organización y del cual los Directivos son los responsables. - Se debe contemplar la Continuidad de los Negocios ante incidentes informáticos. 30

31 Gracias por acompañarnos. arnos. Lic. Julio C. Ardita CYBSEC S.A. Security Systems