Gestión Integral De Riesgo En La Industria Bancaria Y Seguros

Transcripción

1 Gestión Integral De Riesgo En La Industria Bancaria Y Seguros Giancarlo Marchesi Worldwide Solution Architect Security SWAT, Team Lead Bogotá D.C., 3 de Marzo del 2011

2 Agenda Introducción Como Manejar Los Riesgos - Por qué se ha convertido en algo crítico para el negocio? - Cuánto riesgo estoy dispuesto a aceptar? Dirección Del Mercado - Los retos. - Cómo realizo el análisis de riesgo? - Ejemplo real de una institución financiera. Postura Y Estrategia De IBM Qué nuevos riesgos conllevan las nuevas tecnologías? Aporte de las Soluciones de Seguridad. Conclusión Manejo de riesgos integrado. 2

3 Estado De La Seguridad En Un Planeta Inteligente ( Smarter Planet ) El planeta es cada vez más INSTRUMENTADO, INTERCONNECTADO e INTELIGENTE. Nuevas Posiblidades. Nuevas Complejidades. Nuevos Riesgos. Hemos visto más cambios en los ultimos 10 años que en los anteriores 90. Ad J. Scheepbouwer, CEO, KPN Telecom Infraestructura Crítica y Protección de Aplicaciones Privacidad de Datos y Controles de Identidad Protección y Recuperación de Datos Gobierno y Gestión de Políticas 3

4 Riesgo Y Transparencia Son Un Imperativo Estratégico Importante Para Los Bancos De Hoy CLIENTES Visión Desarrollar análisis de clientes y nuevos esquemas de segmentación Proveer soluciones que satisfagan las necesidades de los clientes Optimizar las interacciones con cliente Atraer y retener conocimientos especializados Confianza Aprovechar iniciativas de transparencia Restablecer la marca Entregar ofertas centradas en el cliente AGILIDAD Costos base Evaluar la planilla y compensaciones Gestionar fusiones y adquisiciones Racionalizar el modelo de funcionamiento Modernización de TI Asociarse Reducir la desconexión de TI/Negocio Racionalizar los proveedores Externalizar componentes no fundamentales del negocio Medir El Riesgo No Implica Tenerlo Gestionado! RIESGO Expuestos Crear una cultura consiente del riesgo Mejorar modelos de gobierno Asegurar información completa, precisa y periódica Ocuparse de modelos de riesgo, escenarios, pruebas de tensión y fallos de los modelos de entrada Transparencia Eliminar barreras para generar reportes granulares Disminuir las brechas, previniendo las revisiones completas de la empresa Interactuar proactivamente con los reguladores y accionistas 4

5 Major IT Control Objectives for IT Regulatory Compliance SOX HIPAA GLBA SEC Basel II USA Patriot Act SB 1386 PCI / CISP Manage Change X X X X X X X Ensure System Security X X X X X X X X Manage Configuration X X X X X Manage Problems & Incidents X X X X X Manage Data X X X X X X X Manage Operations X X X X X X X X Manage 3 rd Party Services X X X X X X X X Acquire or Develop Application Software Acquire Technology Infrastructure Develop & Maintain policies & procedures Install & Test Application SW and Infrastructure X X X X CIRCULAR X 52 X X X Define & Manage Service Levels Customer data validation & privacy protection X X X X X X X X X X X X X X Application Controls X X X X X X X

6 Los Retos De Hoy En Día En El Manejo De Gobernabilidad, Riesgo & Cumplimiento Adopción Segura De Nuevas Tecnologías Protección De Identidades Digitales Y Privacidad Nuevos Modelos De Negocios Como Outsourcing Y Trabajar Desde Casa Adopción De Virtualización Y Cloud Computing Manejar La Complejidad Del Cumplimiento De Normativas Disponibilidad E Integridad De Información Para Tomar Decisiones En Tiempo Real (Al Instante) 5

7 Desafíos Para Mejorar La Gestión De Riesgo Y Cumplimiento De Normativas Implementar procesos necesarios para mitigar riesgos. 38% Aunque más del 50% de los presupuestos se han mantenido igual o crecido, el 36% todavía lucha con la obtención de un financiamiento adecuado. Asegurar el presupuesto de gestión de riesgo. Trabajar en un departamento que posea una visión integral del riesgo a nivel empresa. Comunicar políticas y procedimientos a los empleados. 36% 33% 30% Los encuestados no identificaron un fuerte proceso de comunicación de las políticas de gestión de riesgos. A pesar de los beneficios empresariales asociados a la gestión de riesgos TI, asegurar el apoyo de alta dirección sigue siendo un desafío. Lograr que la alta gerencia posea una visión holística de la gestión de riego. Convencer al superior de dejarme participar activamente en la gestión de riego. 11% 25% Tenemos que madurar la imagen corporativa del área de Riesgos TI, identificarla como agregador de valor y facilitador del negocio, a través de todas las unidades de negocio Aerospace and defense, North America 8

8 Ejemplo Referencia: Banco En Bélgica Client Challenges The bank needed to document, evaluate, and monitor business processes and financial controls to help meet new regulatory requirements. Solution Implemented a compliance solution that included establishing organizational accountability, linking processes to appropriate controls, and evaluating control adherence. Smarter Business Outcomes Responsive dashboards enable monitoring of internal controls effectiveness. Holistic approach eliminates duplicate control initiatives. Consistent reporting across geographic and organizational boundaries. 9

9 La Estrategia De IBM Security IBM Security Framework Visión de Negocio Dominios Seguridad Problemas e incentivos Describe los problemas de seguridad desde el punto de vista del negocio Foundational Security Mgmt Services IBM Security Blueprint Visión Técnica Standards & principles Common Security Infrastructure features Describe los productos de manera agnóstica, basado en la experiencia del cliente, estándares y principios comunes Capacidades y ofertas IBM Visión de Architectura Platforms Components Configurations Technologies and Practices Catálogo integrado de productos, servicios y soluciones White Papers Briefings a Clientes Mejores prácticas/ RedBooks / Guías / RedGuides Estándares/ Frameworks Industria Arquitecturas de Solución Documentación de productos

10 Por Qué Funciona Nuestra Estrategia? Visión Completa Servicios Profesionales Servicios Gestionados GRC Security Governance, Risk and Compliance Security Information and Event Management (SIEM) & Log Management Productos En La Nube Identity & Access Management Identity Management Access Management Data Security Data Loss Prevention Data Entitlement Management Security Encryption & Key Lifecycle Management Database Monitoring & Protection Messaging Security Data Masking Application Security Application Vulnerability Scanning Web Application Firewall Web / URL Filtering Access & Entitlement Management SOA Security Infrastructure Security Vulnerability Assessment Virtual System Security Endpoint Protection Threat Analysis Security Event Management Managed Mobility Svcs Intrusion Prevention System Firewall, IDS/IPS MFS Management Mainframe Security Audit, Admin & Compliance Security Configuration & Patch Management Physical Security 11

11 IBM Virtual Server Protection For VMWare Nuevos Riesgos Con La Virtualización Amenazas Tradicionales Nuevas Amenazas De Ambientes VM Traditional threats can attack VMs just like real systems Management Vulnerabilities Secure storage of VMs and the management data Requires new skill sets Virtual server sprawl Dynamic relocation Dynamic state VM stealing Loss of visibility Resource sharing Single point of failure Stealth rootkits in hardware now possible Virtual NICs & Virtual Hardware are targets MÁS COMPONENTES = MÁS EXPUESTOS ESTÁIS 12

12 IBM Security Information & Event Manager Gestión Empresarial De Logs Y Auditoría Centralizada IT Operations Escalation Netcool Omnibus Tivoli Service Request Mgr. TEC BA Dashboards Long-term log storage/archiving. Guardium DB2 (Host/Distributed) DB2/z Sybase Oracle Database Teradata SQL Server, 13 12

13 IBM Guardium Monitoreo De Bases De Datos En Tiempo Real Y Auditoria 13 Guardium provee monitoreo continuo y en tiempo real del acceso y actividades de las bases de datos. 13 DB2 Beneficios Arquitectura noinvasiva. Fuera de la base de datos. Impacto en diseño mínimo (2-3%). Sin cambios al DBMS o aplicativos. Solución multiplataforma. 100% visibilidad incluyendo accesos locales de DBAs. Refuerza segregación de funciones. Granular, políticas en tiempo real y auditoría: Quién, Dónde, Cuándo, Cómo

14 La Visión Integral De IBM Security Solutions Para El Mejor Cumplimiento De Regulaciones Aplicar políticas, demostrar cumplimiento y mitigar amenazas

15 Gestión Integral De Riesgo: IBM Le Permite A Las Entidades Financieras Y A Los Seguros A Evaluar las categorías de diferentes riesgos, mejor. Ayudar a entender el sistema completo de la entidad y tomar decisiones informadas. Instrumentar a organizaciones para detectar, interrumpir e informar sobre los delitos financieros y el fraude. Anticipar y mitigar los riesgos potenciales de las brechas de auditoría de TI, y proporcionar herramientas que mejoren la remediación de riesgo de procesos de negocios global y de evaluación de rendimiento. Ser más inteligente en el cumplimiento de las normativas y proporcionar mejor informes de seguimiento. Evite costosas multas. Overview Offerings Integrated Risk Management Link Financial Risk Link Link Financial Crimes Link Link Operational & IT Risk Governance & Compliance Link Link Link Link Integrated Risk Management Financial Risk Financial Crimes Operational & IT Risk Governance & Compliance 16

16 IBM Security: Una Sola Voz De Seguridad IBM ha establecido el servicio más eficiente y dinámico, cros-compañía para su portafolio de Seguridad TI, enlazando las áreas de investigación, diseño, desarrollo, comercialización, servicios y soporte para soluciones de seguridad en todo el mundo. IBM es el Asociado de Confianza entregando productos y servicios reconocidos por su liderazgo en Seguridad de TI. La filosofía de IBM, Seguro por Diseño, en donde el factor Seguridad y Privacidad se utilizan en el diseño inicial y no luego que la solución ya es un hecho. Las soluciones de Seguridad de IBM permiten a los clientes ocuparse de las 3 Cs: Complejidad, Cumplimiento y Costo. Visión Integral: Una Sola Voz De Seguridad Para más información visite: 01.ibm.com/software/tivoli/solutions/security /index.html 17