Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco?

Transcripción

1 Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Presentado por: Sergio Quiroz, CISSP CISM CISA CRISC CEH CFI, Asesor Principal en Gestión de Riesgo de las TI

2 Agenda 1. Resumen de los Acuerdos de la SBP 2. Requerimientos y fechas importantes 3. Obteniendo soporte de la Dirección 4. Alineando las TI a los objetivos de negocio 5. Camino al cumplimiento 6. Presentación de Above Security 7. Servicios que apoyan el cumplimiento de requisitos de la SBP 8. Preguntas y respuestas 2

3 Superintendencia de Bancos de Panamá (SBP) Objetivos Velar por la solidez y eficiencia del sistema bancario; Fortalecer y fomentar condiciones propicias para el desarrollo de Panamá como centro financiero internacional; Promover la confianza pública en el sistema bancario. 3

4 Resumen de Acuerdos de la SBP Acuerdo No Lineamientos para la gestión del riesgo de la tecnología de la información. (Inicio de vigencia: Enero 2013) Acuerdo No Lineamientos sobre banca electrónica y la gestión de riesgos relacionados. (Inicio de vigencia: Septiembre 2012) Acuerdo No Normas sobre Riesgo Operativo. (Inicio de vigencia: Julio 2012) Acuerdo No Disposiciones sobre Gestión Integral de Riesgos. (Inicio de vigencia: Diciembre 2010) Acuerdo No Relacionado con la Tercerización o Outsourcing. (Inicio de vigencia: Abril 2006) 4

5 Algunos elementos claves Acuerdo : Gobierno de TI. Los bancos deberán contar con una estructura organizacional acorde a su tamaño, complejidad de sus operaciones y perfil de riesgo, que les permita gestionar la TI y sus riesgos asociados. Acuerdo : Medidas de control aplicables a bancos que presten servicios o faciliten productos a sus clientes a través de banca electrónica. Acuerdo : Establece los principios para la gestión de riesgo operativo, el cual debe incluir la identificación, medición, mitigación, monitoreo y control, e información. 5

6 Reflexión Cuáles son las implicaciones para los bancos? En qué afectan estas disposiciones a los bancos? 6

7 La percepción tradicional Inhibe actividades de negocio Costo de cumplimiento Temor a sanciones 7

8 Análisis del contenido de los acuerdos Promueven buen gobierno en las organizaciones Promueven buenas prácticas de gestión del riesgo Responsabilidad de negocio, no de TI Definen líneas de base de seguridad Inspirados en mejores prácticas (Cobit, ISO 2700x, etc.) Determinan el qué, no el cómo 8

9 Beneficios para la administración Orientación sobre prácticas de buen gobierno Aprovechar las TI para producir valor al negocio Minimizar riesgos del uso de las TI Diagnóstico periódico 9

11 Requerimientos de la SBP (parcial) Planificación de Continuidad del Negocio Revisiones externas Pruebas de intrusión y vulnerabilidad Gestión de riesgos relacionados con banca electrónica Registro de accesos ,16. Controles de seguridad Reporte de incidentes de seguridad. 11

12 Algunas fechas y entregables importantes Acuerdo Promulgación Inicio Vigencia Principios para la gestión de riesgo operativo. Dic 2011 Jul Lineamientos sobre banca electrónica y la gestión de riesgos relacionados Dic 2011 Sep Lineamientos para la gestión del riesgo de la tecnología de la información. Mayo 2012 Enero 2013 Acuerdo No Principios para la gestión de riesgo operativo Artículo Actividad Exigencia / Fecha límite 15 Manual de gestión Remitir manual de gestión 1 de enero de 2013 Actualizaciones 22 Autoevaluaciones Realizar autoevaluaciones que detecten las fortalezas y debilidades del entorno de control en las operaciones y actividades de servicios en el negocio bancario 24 Auditoría externa Informe producido por auditores externos sobre el cumplimiento del acuerdo Periódicamente Una vez al año Anualmente 28 Requerimientos de información Informe anual que contenga los principales aspectos y resultados de la gestión de riesgo operativo. Base de datos de eventos e incidencias. Anualmente, a partir de la gestión del 2012 Anualmente, a partir de la gestión del

13 Algunas fechas y entregables importantes Acuerdo Promulgación Inicio Vigencia Lineamientos sobre banca electrónica y la gestión de riesgos relacionados Dic 2011 Sep 2012 Acuerdo No Lineamientos sobre banca electrónica y la gestión de riesgos relacionados. Artículo Actividad Exigencia / Fecha límite 10 Pruebas de Intrusión y vulnerabilidad 1 Pruebas de intrusión externa Mínimo una vez al año 2 Pruebas de intrusión interna Al menos cada 2 años 11 Gestión de riesgos relacionados a banca electrónica 7 Establecer sistemas para la administración de los casos de fraude Dic Plan de acción para la implementación Junio Controles de Seguridad Banca por Internet y Banca Móvil Cajeros automáticos Terminal de punto de venta (POS) 4 Contar con tarjetas de circuito integrado Dic Plan de trabajo Dic 2013 Plazo de adecuación: Dic

14 Y las implicaciones para TI? Más proyectos Más trabajo Mayor presión 14

16 Obteniendo soporte de la dirección Análisis costo/beneficio Organizaciones promotoras de mejores prácticas Recomendaciones Estándares y normas Casos de negocio y análisis comparativos (Benchmarks) Proveedores Organizaciones de investigación y consultoría 16

17 Barreras comunes a iniciativas de TI Dificultad para identificar valor al negocio Percepción como proyecto técnico Disponibilidad de recursos Tiempo Personal Conocimiento técnico $$$ 17

18 Regulación: Un aliado para TI Guía sobre la aplicación de mejores prácticas y la selección de controles de seguridad Define líneas de base de controles de seguridad Provee apoyo a la implementación de iniciativas de seguridad de las TI Promueve implicación de las áreas de negocio Facilita asignación de recursos Provee medidas para forzar cumplimiento 18

19 Gestión de Riesgo Todas las áreas trabajan juntas para minimizar el riesgo Interrupción del servicio Pérdida de datos Multas, sanciones Mala imagen Fraudes La seguridad de la información no debería de ser responsabilidad de TI solamente: Es una cuestión corporativa! 19

21 El gran desafío de TI Alineación estratégica: elaborar un plan estratégico de TI en el que se defina las iniciativas de TI alineadas con las metas del negocio, sus planes y operaciones. Business alignment Business accountability 21

22 Alineando las TI a los objetivos de negocio Actividades que son responsabilidad de las áreas de negocio para orientar las actividades de TI (*) : Definición de Políticas; Definición de apetito al riesgo; Clasificación y pertenencia (ownership) de datos; Definición de niveles de acceso; Análisis de impacto al negocio (BIA). (*) Herramienta para diagnóstico de iniciativas corporativas que pueden impactar las TI 22

23 Políticas Definen la posición de la dirección en relación a la protección de sus activos informáticos; Definen expectativas de la dirección en relación a comportamiento esperado de sus empleados; Establecen lineamientos para la aplicación de medidas de seguridad; Formaliza la asignación de responsabilidades y el apoyo al equipo de implementación. 23

24 Gestión de Riesgo Apetito al riesgo/tratamiento de riesgo Define tolerancia al riesgo en términos de impacto al negocio: Financiero; Nivel de servicio; Seguridad del personal; Imagen de la compañía; Incumplimiento de disposiciones legales. Provee líneas directrices para tratamiento del riesgo: Aceptar/Mitigar/Transferir/Evitar 24

25 Mitigar el riesgo (a un costo razonable) y cumplir con las normas regulatorias MATRIZ DE RIESGO 25

26 Clasificación de datos Identifica propietario de datos (área de negocio); Define sensibilidad de datos en función de impacto al negocio relacionados con: Pérdida (Disponibilidad); Alteración indebida (Integridad); Divulgación no autorizada (Confidencialidad). Propietario define reglas de acceso y utilización; IT funge como custodio de los datos y se encarga de aplicar las reglas definidas por el propietario. 26

27 Análisis de Impacto al Negocio (BIA) Identifica procesos de negocio y sus correspondientes propietarios (responsables de negocio); Identifica procesos críticos en función del impacto al negocio en caso de: Interrupción del servicio; Degradación de servicio. Identifica infraestructura y servicios que soportan procesos críticos. Determina medidas de protección necesarias para asegurar continuidad del negocio. IT se encarga de implementar las medidas definidas por el propietario (responsable) de negocio. 27

29 Conclusión: La nueva regulación Promueve un buen gobierno de los bancos; Promueve implicación de la alta dirección; Orienta sobre iniciativas para asegurar un nivel mínimo de seguridad en el sector bancario; Es un valioso aliado para impulsar iniciativas dirigidas a mejorar la seguridad de los bancos; Orienta la toma de decisiones sobre inversiones en TI; Promueve eficiencia y operación más segura; Promueve mejora continua. Incluye mecanismos para asegurar una evaluación periódica de la eficiencia de los controles implementados. 29

30 Camino al cumplimiento Asegurar implicación de las áreas de negocio Realizar análisis de diferencias (Gap analysis) en relación a los controles exigidos de la SBP y considerando el modelo de negocios del banco Identificar capacidades y habilidades requeridas Analizar capacidades Planificar implementación Desarrollar capacidades Identificar necesidad de apoyo externo Implementar Verificar 30

32 Nuestra empresa Above Security, una empresa especializada en seguridad cibernética, ayuda a los bancos de varios países a cumplir con sus regulaciones locales. Fundada en 1999 Sirviendo a clientes en cerca de 40 países Sede y el Centro de Operaciones de Seguridad (SOC) en Montreal, Canadá Centro de Operaciones de Seguridad (SOC) en Suiza Industrias: finanza, seguros, salud, telecomunicaciones, servicios públicos Mercados: Canadá, Europa, África del Norte, Oriente Medio, el Caribe, América Latina 32

33 La misión de Above Security consiste en apoyar a sus clientes en la optimización de su gestión de riesgos informáticos mediante servicios de consultoría estratégica y de monitoreo administrado de seguridad

34 Portafolio de servicios Políticas de seguridad Plan de continuidad Plan de recuperación en caso de desastres GOVERNANCE CUMPLIMIENTO PCI-DSS ISO Control de acceso y auditoría IDS/IPS Gestión de logs Correlación de eventos MSS Gestión de respuesta a incidentes Análisis de vulnerabilidades Informes mensuales Pruebas de intrusión Revisión de la arquitectura y de la configuración Análisis forense Ingeniería social AUDITORÍA TÉCNICA FORMACIÓN Y SENSIBILIZACIÓN Taller de codificación segura Curso ISO de auditor líder Programa de sensibilización 34 34

36 Mapeo de los servicios de Above Security con los requerimientos de la SBP Acuerdo Articulo y puntos Descripción general 5.3,4,5,6,7 Mecanismos de supervisión de los riesgos asociados con la banca electrónica. 9 Revisiones externas. 10.1,2 Pruebas de intrusión y vulnerabilidad externa e interna. 11.6,7 Respuesta y comunicación de incidentes. Solución integral de monitoreo que contenga mecanismos de identificación, alerta tempranas, mitigación y seguimiento investigativo Servidor de logs, IDS, IPS. Almacenamiento de logs por un (1) año. Generar estadísticas y resúmenes. 36

37 Mapeo de los servicios de Above Security con los requerimientos de la SBP Acuerdo Articulo y puntos Descripción general 4 Nuestros servicios soportan el criterio de independencia requerido por la unidad de administración de riesgos. 7.1 Evitar fraudes o incidentes por parte del personal interno. 8 Identificar, medir, mitigar, monitorear, controlar e informar sobre los eventos de riesgo operativo. 9.1,2 Evitar fraudes internos e externos. 10 Determinar la probabilidad de ocurrencia e impacto de incidencias. 37

38 Mapeo de los servicios de Above Security con los requerimientos de la SBP Acuerdo Articulo y puntos Descripción general 11 Mitigación. Nuestros analistas le apoyan en mitigar riesgos descubiertos en una base 24x7. 12 Monitoreo y control. 13 Informar. Los reportes generados mensualmente pueden ser útiles para informar la alta gerencia sobre la gestión del riesgo que se esta realizando Reportes periódicos sobre los niveles de exposición al riesgo operativo. 17.4,5 Supervisar que los riesgos operativos sean consistentemente identificados, medidos, mitigados, monitoreados y controlados. 38

39 Mapeo de los servicios de Above Security con los requerimientos de la SBP Acuerdo Articulo y puntos Descripción general 22 Autoevaluaciones. Nuestros servicios incluyen una herramienta de escaneo de vulnerabilidades interno Nivel de detalle del registro de eventos. 28 Informe sobre los resultados de la gestión de riesgo operativo. Base de datos de eventos e incidencias. 39

40 Servicios de monitoreo Vigilancia 24x7 por parte del equipo de analistas de los Security Operations Centers (SOC) Gestión, agregación, correlación de logs Correlación de eventos Detección/prevención contra intrusiones (IDS e IPS) Gestión, escaneo de las vulnerabilidades Acceso al portal de la seguridad Manejo y respuesta a incidentes Producción de reportes mensuales sobre la postura de seguridad 40

41 Beneficios de los Servicios Visión imparcial de un tercero Más de una década de experiencia Mejor enfoque de sus empleados en actividades estratégicas Visión centralizada de su situación de seguridad en tiempo real Ayuda a prevenir ataques gracias a la capacidad de identificación de vulnerabilidades Mejor definición sobre el impacto potencial de cada ataque Mejora de productividad por la reducción del manejo inapropiado de sus sistemas de información 41

42 Muchas gracias! Canadá Sede Principal Oficina boul. Lionel-Bertrand Boisbriand, QC J7H 1N8 Canadá Suiza Above Security Europa Technopôle Sierre Suiza +41 (0) europe@abovesecurity.com E.A.U. Above Security Medio Oriente P.O. Box Dubai Emiratos Árabes Unidos middleeast@abovesecurity.com 42