Ofrece en su Programación para la Formación Gerencial

Tamaño: px
Comenzar la demostración a partir de la página:

Download "Ofrece en su Programación para la Formación Gerencial"

Transcripción

1 INSTITUTO BANCARIO INTERNACIONAL Centro de Estudios Superiores Asociación Bancaria de Panamá Ofrece en su Programación para la Formación Gerencial SEMINARIO TALLER INTERNACIONAL ANALISIS DE RIESGO DE TECNOLOGIA INFORMATICA -HOW TO DO? MAPEANDO LOS MAS DE 160 RIESGOS DE TI FECHA: 25, 26 y 27 de Junio de 2014 HORARIO: 08:00 a.m. a 05:00 p.m. DURACIÓN: 24 Horas/clase LUGAR: Instituto Bancario Internacional CIUDAD DE PANAMÁ, REP. DE PANAMÁ COSTO: US$1, ANTECEDENTES: El Acuerdo de la Superintendencia de Bancos de Panamá exige el cumplimiento de las mejores prácticas internacionales en el ámbito de los Sistemas de Información y la Tecnología Informática, uno de los pilares de dichas prácticas es el análisis de riesgo, la pregunta del millón es cómo se hace para cumplimentar estos estándares adecuándolos al tamaño y complejidad de los negocios de cada Banco. En este Seminario abordaremos esta temática a partir de la descripción en detalle de los procedimientos que plantea la norma ISO/IEC DIRIGIDO A: Ejecutivos mandos medios y altos de áreas de tecnología informática y sistemas de la información, riesgo y control interno de Entidades Financieras Bancarias y no Bancarias, Entes de Supervisión y Control, Empresas en general, Analistas de Riesgo tecnológico, Responsables de Áreas de Control Interno, Auditoría Interna y Externa. Todos aquellos interesados en la gestión de la tecnología de la información bajo el enfoque orientado a procesos y evaluación de riesgos. NIVEL DE ENSEÑANZA DEL SEMINARIO: Intermedio- Avanzado PROGRAMA PREPARADO POR BANQUEROS PARA BANQUEROS

2 OBJETIVOS: 2 Aportar recomendaciones, nuevas metodologías, procedimientos, soluciones y herramientas internacionalmente aplicadas y probadas en Gestión de Tecnología Informática, para que los asistentes puedan incorporarlas y adaptarlas, rápidamente, a la situación específica de cada Banco, con el propósito de potenciar su crecimiento continuo, mejorar su performance, reducir costos y pérdidas. 2 METODOLOGÍA: Metodología educativa que contempla la combinación de aspectos teóricos y prácticos: Los aspectos teóricos tienen por finalidad dar el marco y la nivelación de los participantes en los temas y aportan la metodología a desarrollar. Los aspectos prácticos se desarrollan bajo la metodología del Método del Caso, aplicado en las principales Universidades de Negocios del Mundo, que consiste en presentar a los asistentes casos prácticos con problemas a resolver, sobre la base de un Caso Real Integral Bancario: Situaciones y factores de riesgos Bancarios, con situaciones reales. Poner a prueba aspectos teóricos en situaciones concretas. Contrastar los conocimientos aprendidos con su aplicación en situaciones reales. Asumir el papel de protagonistas practicantes en vez de mantener una actitud de teorista-observador, entre los participantes. Salvar la distancia entre teoría y práctica efectiva. Desarrollar un diálogo e interacción que rompe con los esquemas tradicionales de la exposición magistral, introduce a los participantes en su propio aprendizaje y facilita el trabajo en equipo. ACERCA DE RISKOFF: RiskOff es una empresa fundada en el año 2005, con sede en la Ciudad Autónoma de Buenos Aires, y conformada por un equipo de profesionales, 100 % Senior, de larga y reconocida trayectoria en la Banca Argentina e Internacional que, a la necesaria formación académica, agregan su experiencia en el "mundo real" de la empresa. Áreas de especialización: Gestión Estratégica de Riesgos Corporativos Diseño e implementación de las mejores prácticas internacionales en Tecnología Informática adaptadas a cada empresa Cambio Organizacional Gobierno Corporativo Evaluación y Rediseño de Procesos Operacionales Implementación de la convergencia en la gestión de riesgos de los procesos operativos y los de gestión de TI Costos y Eficiencia Operativa Plan de Contingencia y Continuidad de Negocios Diseño, Revisión, Análisis y Mejora de Programas de Prevención de Lavado de Activos Desarrollo del Capital Humano Los profesionales de RiskOff basan sus fortalezas en la vasta experiencia que poseen, la cual comparten y aplican juntamente con sus conocimientos, integrando una visión Internacional en cada uno de los proyectos que llevan adelante. A todo ello sumamos la aplicación de metodología, mejores prácticas y tecnología, adaptadas a cada caso en particular. Esto permite generar diversos enfoques y visiones estratégicas del negocio, con el fin de ofrecer a sus clientes un abanico de estrategias y soluciones aplicables a sus Entidades y Empresas. Desarrollo proyectos exitosos en más de 50 Bancos y Empresas y está afiliada a GARP (Global Association of Risk Professionals) y RMA (The Risk Management Association).

3 CONTENIDO: 3 Temas Centrales a Abordar: I. Introducción El análisis de riesgo. Objetivos. Importancia de definir una metodología acorde al tamaño y complejidad de los negocios del Banco. Definiendo el alcance del análisis de riesgos: los activos de la información y los procesos de gestión de TI. Metodología del análisis de riesgos, etapas que la componen. Haciendo un uso adecuado de la herramienta como proceso continuo. Planificando la estructura para gestionar el análisis de riesgos de TI. Analizando la estrecha interrelación de los riesgos de TI en relación al riesgo operativo. Entendiendo el riesgo de TI como el riesgo operacional por excelencia. Concepto básico: el riesgo de TI no puede ser sólo un tema de técnicos. II. Iniciando la tarea Estableciendo el contexto de la organización. Criterios básicos a seguir: valoración de los riesgos a partir de la probabilidad de ocurrencia y el impacto económico esperado. Criterios de aceptación de los riesgos. Identificando los activos de la información y los procesos. III. Análisis de Riesgo de los Activos de la Información Estrecho relacionamiento entre la clasificación de los activos de la información y el análisis de riesgo de los mismos. Identificando las amenazas. Creando un catálogo de amenazas personalizado para el Banco por tipo de dispositivo. Identificando las vulnerabilidades por tipo de activo. Vulnerabilidades y riesgos comunes a varios tipos de activo. Valoración del riesgo residual. Modelos de cubo de valoración. Planes de remediación. Acciones posibles: aceptar, eliminar, reducir, transferir. IV. Análisis de riesgo de los procesos de gestión de TI Diversas modalidades de agrupamiento de los riesgos de TI en procesos y subprocesos. Las matrices de riesgo. Mapeando los riesgos que hacen a la organización del área de TI siguiendo un modelo de apertura de los procesos de gestión.

4 CONTENIDO: 3 IV.1 Matriz del Proceso de Planificación y Organización del Área de Sistemas Planificación de sistemas y de seguridad informática Relaciones con terceras partes Estructura del área, segregación de funciones, manual de funciones. IV.2 Matriz del Proceso de Adquisición y Mantenimiento de Soluciones Informáticas Adquisición y mantenimiento de soluciones informáticas: analizando el ciclo de vida completo de los requerimientos de los sectores usuarios en desarrollos propios y desarrollos de terceras partes Importancia de la definición de los pasos metodológicos del planeamiento, ejecución, aseguramiento de la calidad del software, prueba y puesta a punto. La metodología de prueba y documentación de los aplicativos: un factor clave para el aseguramiento de la calidad del desarrollo. Necesaria participación del dueño del activo en la preparación de los lotes de prueba. Insoslayable participación del dueño del activo informático en la aprobación de la funcionalidad en forma previa al pase a producción. Trazabilidad de cada etapa. Riesgos vinculados a la actualización tecnológica IV.3 Matriz del Proceso de Gestión de la Seguridad Los riesgos vinculados a la seguridad lógica y física, aseguramiento de la calidad en el proceso de altas, bajas y modificaciones de perfiles de usuario. Seguridad en redes y plataformas, posibles debilidades de los logs de actividad Riesgos de intrusión, software malicioso e instalación de aplicativos no permitidos o licenciados por el Banco Riesgos inherentes a la seguridad física IV.4 Matriz del Proceso de Administración de la Infraestructura Planificación de la continuidad del procesamiento de datos: un punto central para la continuidad del negocio. Importancia estratégica del BIA (Bussiness Impact Analysis) Copias de seguridad y proceso de restauración de la información, pruebas de integridad de back ups Operaciones del centro de procesamiento de datos Gestión de incidentes Inventario tecnológico Evaluación de la capacidad y performance de los equipamientos Mantenimiento de bases de datos.

5 CONTENIDO: 3 IV.5 Matriz del Proceso de Banca Electrónica por Diversos Medios Banca electrónica por diversos medios: un universo completo de riesgos vinculados a la tecnología que impactan directamente en el negocio bancario. Los riesgos de los ATM S Los riesgos de la banca telefónica Los riesgos del E-Banking Los riesgos de las terminales de autoservicio Los riesgos de los dispositivos móviles Tratamiento de casos prácticos El taller será desarrollado mediante la combinación de un enfoque teórico y la aplicación de estos conceptos en casos prácticos. Para el análisis de riesgo de los activos de la información se proveerán matrices de riesgo por tipo de activo con las cuales los asistentes podrán aplicar los conceptos vertidos en el segmento teórico en forma práctica. Similar criterio se aplicará para el análisis de riesgo de los procesos de TI en donde se proveerán matrices con los aproximadamente 160 riesgos que aplican para los mismos. Todos los casos prácticos están predicados sobre situaciones reales. Carga horaria El seminario taller se llevará a cabo en tres días sucesivos de 8 horas cada uno de ellos.

6 FACILITADOR: 4 DR. ALBERTO MIGUEL CHICHILNITZKY, (Nacionalidad Argentina) Sénior International Executive con más de 30 años de experiencia en consultoría de apoyo a diversas ramas de la Industria y el Comercio, y más 20 años colaborando con Bancos del sector privado y el sector público de diversos tamaños para personalizar las mejores prácticas internacionales a las necesidades de cada una de ellas y, fundamentalmente, a su modelo de negocios. Contador Público recibido en la Universidad de Buenos Aires, ha complementado la formación universitaria con numerosos talleres y seminarios orientados a créditos, administración de empresas, auditoría interna y externa, sistemas de información y la tecnología informática, con el enfoque orientado a procesos. Actualmente pertenece al equipo de Consultores y Capacitadores de RiskOff de Argentina. Lidera y desarrolla tareas de asesoramiento y entrenamiento en distintas Entidades Financieras y Cámaras Empresariales. Fue Líder de Proyectos Informáticos en Proceda S.A. (Grupo Bunge y Born) donde lideró la informatización de los Juzgados Nacionales de Primera Instancia en lo Laboral, primera experiencia argentina en la incorporación de herramientas tecnológicas en la justica. Ha tenido a su cargo la Gerencia de Consultoría y Sistemas de González Fischer Asociados (importante estudio nacional con orientación a Bancos del ámbito Público y Privado). Fue Gerente de Organización y Sistemas de Banco Piano S.A., para luego dedicarse por entero a la consultoría de Entidades Financieras en donde tuvo la oportunidad de liderar desarrollos de procesos conducentes a la certificación SOX de uno de los principales Bancos de la Republica Argentina, donde participó en el análisis de riesgo de los procesos de negocio, de soporte y de tecnología informática. Por otra parte ha desarrollado investigaciones y desarrollo de metodologías basadas en el marco de Basilea, para la Gestión Integral de Riesgos implementando la convergencia entre el Riesgo Operativo y el Riesgo Tecnológico en diversos bancos lo que le permitió implementar estrategias, políticas, normas y procedimientos con orientación a diversos mercados dentro del sistema financiero, siempre considerando el tamaño y complejidad de los negocios de cada uno de ellas. Dicta cursos, seminarios y talleres de trabajo Gestión Coporativa de Riesgos, Tecnología Informática, Gestión de Procesos en Base a Riesgos, Sistemas de Información, y de Cultura Organizacional. Especialidades: Asesor, capacitador en materia de Gobierno Corporativo, Gestión del Riesgo, Compliance, Rediseño de Procesos, Sistemas de Control Interno, Sistemas de Información, Estándares Internacionales de Tecnología Informática, Prevención de Lavado de Dinero y Continuidad del Negocio. PARA MAYOR INFORMACIÓN Teléfonos (507) / , fax (507) , correo electrónico: inscripciones@institutobancario.org Para inscripciones ver la página web: