Panel: Control y Gestión de Riesgos frente al nuevo escenario de Banca Digital José Esposito CAE- Credicorp

Transcripción

1 Panel: Control y Gestión de Riesgos frente al nuevo escenario de Banca Digital José Esposito CAE- Credicorp

2 Agenda Cuál es el significado de Digital Consecuencias del error Marco de Control en un mundo digital Rol de la Tercera Linea Interacción del Directorio / Comité de Auditoría Caso Credicorp 2

3 Qué es Digital? Creación de valor en las nuevas fronteras Creando valor en los negocios centrales [visión cliente] Toma de decisiones proactiva Interactividad con el contexto Automatización en tiempo real Innovación enfocada en el viaje del cliente Construcción de capacidades fundacionales Mentalidad Sistema y arquitectura de datos What digital really means McKinsey Digital, July 2015 AGILIDAD 3

4 Qué es Digital? Fuente.- Technology trends in Financial Services to watch, FS Audit & Risk Committee Forum, PwC, NY,

5 El control interno en mundo digital Las instituciones financieras son solo una parte del ecosistema digital El control interno es un proceso llevado a cabo por diseñado con el objeto de proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos Objetivos Operativos: efectividad y eficiencia de las operaciones, incluidos sus objetivos de rendimiento financiero y operacional, y la protección de sus activos Objetivos de información: financiera y no financiera interna y externa, y pueden abarcar aspectos de confiabilidad, oportunidad, transparencia. Objetivos de cumplimiento: leyes y regulaciones a la que está sujeta la entidad Fuente.- COSO 2013 PwC IAI España Fuente.- COSO in the cyber age, pag.3; Deloitte COSO,

6 Consecuencias de hacerlo mal Ponemon: costo x breach US$ 141 Según los modelos: La pérdida promedio se estima entre 9% y 26% del ingreso neto del sector financiero De haber contagio, esta porcentaje sube al rango 12% - 34% Fuente.- Cyber Risk for the Financial Sector: A Framework for Quantitative Assesment WP/18/143 IMF Antoine Bouveret - International Monetary Fund 6

7 Consecuencias de hacerlo mal Fuente.- Revealing the true cost of financial crime, 2018 Survey Report, Thompson Reuters 7

8 Visión Cliente Fuente.- PwC 2018 Digital Banking Consumer Survey, PwC June

9 Visión Cliente Fuente.- Accelerating digital transformation in banking, Deloitte Insights,

10 BCG: Modelo de madurez de ciberseguridad Fuente: The Boston Consulting Group, uso autorizado 10

11 Roles de las 3 líneas de defensa Fuente: The Boston Consulting Group 11

12 Rol de auditoría Interna en el Gobierno TI las auditorías sobre el Gobierno de TI deberían enfocarse en la implementación de las prácticas de gobernanza, lo que incluye políticas claramente definidas, roles y responsabilidades, alineamiento con el apetito de riesgo, comunicación efectiva, gestión del valor de TI y una clara asignación de rendición de cuentas Fuente: IIA GTAG Auditing It Governance, enero

13 IIA: GTAG Evaluando el Riesgo de Ciberseguridad 1. La gerencia y directorio conocen los riesgos clave relacionados con la ciberseguridad? Actividades comunes de la 3ra Línea de Defensa 2. Ha realizado la administración una evaluación de riesgos para identificar activos susceptibles a amenazas cibernéticas o infracciones de seguridad, y ha evaluado el Proporcionar evaluaciones continuas e impacto potencial (financiero y no financiero)? independientes de las medidas 3. Están la primera y la segunda líneas de defensa colaborando con sus pares en la preventivas y de detección industria para estar al día con los riesgos emergentes, las debilidades comunes y las relacionadas con la ciberseguridad. violaciones de ciberseguridad? Evaluar los activos de TI de los 4. Están implementadas las políticas y procedimientos de seguridad cibernética, y los usuarios con acceso privilegiado para empleados y proveedores reciben capacitación y concientización? configuraciones de seguridad estándar, 5. Los procesos de TI están diseñados y operando para detectar amenazas sitios web problemáticos, software cibernéticas? 6. Están funcionando los mecanismos de retroalimentación para dar a la malicioso y extracción de datos alta gerencia y al directorio información sobre los programas de ciberseguridad? Seguimiento de la diligencia de 7. La administración cuenta con una línea directa efectiva o un procedimiento de remediación emergencia en caso de un ciber ataque o amenaza? Realizar evaluaciones de riesgos 8. La actividad de auditoría interna es capaz de evaluar los procesos y controles para cibernéticos de organizaciones de mitigar las ciber amenazas? servicios y proveedores (nota: las 9. Mantiene la organización una lista de proveedores de servicios tercerizados que líneas de defensa primera y segunda tienen acceso al sistema? Se ha llevado a cabo un examen independiente de comparten esta responsabilidad ciberseguridad? continua) 10. Auditoría ha identificado las amenazas cibernéticas y las ha incorporado en sus procesos de evaluación de riesgos y planeamiento? Ethical Hacker Fuente: IIA GTAG Assesing Cibersecurity Risk, setiembre

14 El Auditor Digital 14

15 Qué puede hacer el Directorio para supervisar la resiliencia digital? 1. Entender dónde estamos: se espera que la ciberseguridad sea gestionada y reportada de acuerdo a un marco conceptual 2. Determinar qué tenemos: llevar la conversación desde ciber hacia riesgos de información 3. Requerir y participar en escenarios de juegos de guerra para Probar qué tanto estamos preparados para responder 4. Empujar a los líderes para determinar aspiraciones sobre ciberseguridad como primer paso para elaborar una estrategia integral de ciberseguridad 5. Implementar un sólido programa de gestión del rendimiento cibernético Fuente: McKinsey & Company; Presentación CLAIN 2017, otros 15 Palancas críticas para la Resiliencia Digital 1. Priorizar los activos de información y los riesgos del negocio asociados 2. Conseguir que el personal de 1ra Línea entienda el valor de los activos de información 3. Integrar la resiliencia cibernética en los procesos integrales de gobierno 4. Integrar las respuestas a incidentes entre las funciones de negocio, con test realistas 5. Integración profunda de la seguridad en el ambiente de tecnología, impulsando escalabilidad 6. Proveer protección diferenciada para los activos más importantes 7. Desplegar defensas activas para responder a ataques emergentes en tiempo real

16 Credicorp: uso de CAT del FFIEC 5 Dominios 15 Factores de Evaluación Puesto DOMINIO 1: Cyber Risk Management & Oversight 1. La junta o un comité apropiado tiene experiencia en 1 ciberseguridad o involucra a expertos para ayudar con las responsabilidades de supervisión. 17. El personal con responsabilidades de seguridad 2 cibernética tiene las calificaciones requeridas para realizar las tareas necesarias del puesto. 8. Las configuraciones de línea de base no se pueden modificar sin una solicitud formal de cambio, una 3 aprobación documentada y una evaluación de las implicaciones de seguridad. 10. Existen procesos automatizados para detectar y 4 bloquear cambios no autorizados en el software y el hardware. 16. La gestión con el conocimiento y la experiencia 5 adecuados conduce a los esfuerzos de ciberseguridad de la institución. Total % 22 73% % 40% 12 40% 11 37% Puesto DOMINIO 2: Threat Intelligence & Collaboration 11. La inteligencia de amenazas internas y externas 1 emergentes y el análisis de registros correlacionados se usan para predecir ataques futuros. 7. Se implementa un proceso para monitorear la 2 información de amenazas y descubrir las amenazas emergentes. 4. Un modelo de inteligencia cibernética se utiliza para 3 recopilar información sobre amenazas. 2. La información sobre amenazas se usa para mejorar 4 la gestión y los controles internos de riesgos. 14. Existe un proceso formal y seguro para compartir 5 información sobre amenazas y vulnerabilidades con otras entidades. 16 Total % 22 73% 20 67% 13 43% 12 40% 11 37% Puesto DOMINIO 3: Cybersecurity Controls 2. Se utilizan herramientas antivirus y antimalware 1 actualizadas. 1. Se utilizan herramientas de defensa perimetral de 2 red (por ejemplo, enrutador de borde y cortafuegos). 11. Los datos confidenciales se cifran cuando se 3 transmiten a través de redes públicas o que no son de confianza (por ejemplo, Internet). 3. Las configuraciones de los sistemas (para servidores, 4 escritorios, enrutadores, etc.) siguen los estándares de la industria y se aplican El acceso para realizar cambios en las configuraciones de los sistemas (incluidas las máquinas virtuales y los hipervisores) se controla y supervisa. Total % 12 40% 11 37% 11 37% 8 27% 8 27%

17 Construyendo una Auditoría Ágil 17