La gestión del riesgo digital: conocimiento y mitigación

Tamaño: px

Comenzar la demostración a partir de la página:

Download "La gestión del riesgo digital: conocimiento y mitigación"

Vicente Bustos Martínez
hace 8 años
Vistas:

1 : conocimiento y mitigación Andrés García Ortega Banco Santander Madrid, 14 de Marzo de 2012

2 Conceptos 2 Transformación de los Riesgos Operacionales y como se manifiestan, afectados por los cambios y la de las Tecnologías de la Información y las Comunicaciones (TIC) Consideración de los Riesgos Tecnológicos, como circunstancias o hechos que se producen en el ámbito de las Tecnologías de la Información y pueden suponer fallos en los sistemas, errores y situaciones no deseadas. Integridad, disponibilidad, y correcto acceso/autorización de los recursos de IT Los riesgos digitales. Relevancia de aquellos que se originan vinculados a amenazas externas.

de las Tecnologías de la Información y pueden suponer fallos en los sistemas, errores y situaciones no deseadas.

3 Tipologías 3 Los riesgos digitales, originados por amenazas externas a la entidad, se pueden categorizar de distintos modos: Fraudes electrónico Robo / fuga de información Ataques a la disponibilidad de los sistemas Afectación a la imagen de la empresa Suplantación de identidad Atentados a la propiedad intelectual Y aquellos grandes eventos que pueden implicar la activación de planes de contingencia y planes de continuidad de negocio

Afectación a la imagen de la empresa Suplantación de identidad Atentados a la propiedad intelectual.

4 Amenazas 4 Las amenazas son múltiples y requerirán medidas específicas para la mitigación de los riesgos Malware (troyanos, virus) Phishing Web falsas Ingeniería social Actividad de los hackers Accesos indebidos / no autorizados a datos y transacciones Además de catástrofes naturales y otros accidentes con afectación a IT (incendios, inundaciones, terremotos)

los hackers Accesos indebidos / no autorizados a datos y transacciones.

5 Mitigación medidas específicas (1 de 2) 5 Dependiendo de la tipología del riesgo digital, existirán diferentes medidas técnicas y procedimentales para su mitigación, así por ejemplo: Fraude electrónico: Mecanismos robustos de firma; procesos antiphishing; herramientas de monitorización y scoring; procedimientos seguros, etc. Robo / fuga de información Protección de información sensible, control de accesos; monitorización de la actividad; control y restricción de las comunicaciones entrantes y salientes hacia y desde nuestros sistemas, etc.

herramientas de monitorización y scoring; procedimientos seguros, etc.

6 Mitigación medidas específicas (2 de 2) 6 Ataques a la disponibilidad de los sistemas, ataques y alteración de webs de la entidad (afectación a la imagen de la entidad) Controles para el desarrollo seguro del software; pruebas de hacking ético; anitivirus / antimalware; etc Suplantación de identidad de la empresa, violaciones de la propiedad intelectual Herramientas de monitorización y seguimiento; procedimientos de gestión.... Y estrategias de contingencia tecnológica, activación de planes de continuidad de negocio

antimalware; etc Suplantación de identidad de la empresa, violaciones de la propiedad intelectual Herramientas de monitorización y

7 Organización para la gestión del riesgo 7 Para desarrollar una adecuada gestión y control del riesgo digital, se requiere la implantación de un modelo organizativo consistente a todos lo niveles (locales y corporativos): Implicación y conocimiento de la Alta Dirección y el Consejo de Administración Involucración en la gestión y mitigación de las áreas de ejecución Función diferenciada para la gestión y el seguimiento, definición de marco de actuación y desarrollo de metodologías Funciones independientes de control y supervisión

Dirección y el Consejo de Administración Involucración en la gestión y mitigación de las áreas de ejecución Función diferenciada para

8 Marco y modelo metodológico 8 La gestión del riesgo debe sustentarse mediante la implantación de un marco de actuación y un modelo metodológico. Dicho modelo contempla las siguientes actividades: Identificación de los riesgos Medición y evaluación Control y mitigación Información y reporte La aplicación del modelo se desarrolla mediante la utilización de diferentes herramientas de gestión, ente las que destacan: Procesos de autoevaluación Indicadores de riesgo Registro de eventos y quebrantos

Dicho modelo contempla las siguientes actividades: Identificación de los riesgos Medición y evaluación Control y mitigación

Documentos relacionados

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED INTRODUCCIÓN GENERAL DEL CURSO A. Parte jurídica. MÓDULO 1. La propiedad industrial e intelectual en el ámbito tecnológico. Las marcas