Riesgo tecnológico: Enfoque práctico de atención

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Riesgo tecnológico: Enfoque práctico de atención"

María Ángeles Méndez Benítez
hace 6 años
Vistas:

1 Riesgo tecnológico: Enfoque práctico de atención 3ª Convención Nacional AMSOFIPO Ing. Nelther Radilla López, CISA Junio 2017 Puerto Vallarta, Jalisco, México.

2 Informe Ciberseguridad 2016 Estamos preparados en América Latina y el Caribe?

Contexto Informe Ciberseguridad 32 países, más de 260 respuestas 49 indicadores del modelo de madurez de la capacidad de seguridad cibernética desarrollado por el GCSCC (The Global Cyber Security

3 Contexto Informe Ciberseguridad 32 países, más de 260 respuestas 49 indicadores del modelo de madurez de la capacidad de seguridad cibernética desarrollado por el GCSCC (The Global Cyber Security Capacity Centre de la Universidad de Oxford). 5 dimensiones, 5 posibles evaluaciones En México respondieron: Asociación Mexicana de Internet, A.C. Comité Especializado en la Seguridad de Información (CESI) Petróleos Mexicanos Procuraduría General de la República Secretaría de Gobernación Fuente: BID / OEA Informe Ciberseguridad 2016

4 Marco metodológico, dimensiones Fuente: BID / OEA Informe Ciberseguridad 2016

5 Marco metodológico, dimensiones Fuente: BID / OEA Informe Ciberseguridad 2016

6 Marco metodológico, dimensiones Fuente: BID / OEA Informe Ciberseguridad 2016

cibernética, los países de ALC se autoevaluaron de la

7 Evaluación de países de ALC De acuerdo al modelo de cinco niveles de madurez de la capacidad de seguridad cibernética, los países de ALC se autoevaluaron de la siguiente forma: Fuente: BID / OEA Informe Ciberseguridad 2016

8 Banco atacado en Centro América Impacto USD$2 Millones Transferencias electrónicas Cajeros automáticos Convivencia en plataforma tecnológica por tres meses Falta de monitoreo comunicaciones, alertas FW Prevención de fraudes en el mismo ecosistema tecnológico Obtención de credenciales de acceso, malware Antivirus desactualizado Sin políticas de hardening Liberación de servidores virtuales sin controles Sin inventarios de acceso a BD, de servidores, de FW

9 Contexto de TI en financieras Entorno tecnológico Nuevas tecnologías o plataformas para instituciones financieras SaaS, IaaS, Cloud, mobile, contabilidad electrónica, fintechs, bitcoins, blockchain, etc. Retos Enfoque al cliente, crecimiento Mejorar la funcionalidad del esquema aplicativo de la financiera Poder responder a los cambios tecnológicos de forma rápida y eficiente Disminuir los costos y conseguir acceso a mejoras tecnologías Acceder a mejores esquemas de financiamiento o fondeo por contar con controles tecnológicos robustos y seguros Responder a la autoridad de forma precisa, rápida y automática. Riesgos Interrupción de la operación Fraudes, ataques cibernéticos Mala calidad en el servicio Mantener registros íntegros y consistentes en la operación y el registro contable.

10 Enfoque práctico disminución de RT P r o c e s o s d e n e g o c i o Plataforma Tecnológica Continuidad de Negocio Cumplimiento funcional apps Auto evaluación informática Seguridad informática 4 2 Interfases funcionales y seguras Conciliación automática 3

11 1. Cumplimiento y funcionalidad en sistemas informáticos Cumplimiento funcional apps Revisión de: La funcionalidad de los sistemas informáticos utilizados y su apego a la normatividad CNBV Documentación de aplicaciones y procesos (Inventario) Licencias y autorizaciones de uso (Inventario) Controles para minimizar riesgos de interrupción en operación Registros de auditoría por operación en cada aplicación.

12 2. Funcionalidad y seguridad de interfases entre los principales aplicativos Interfases funcionales y seguras Revisión de: Mecanismos y procedimientos para soportar el adecuado flujo de información entre las áreas relacionadas en el intercambio de datos. La seguridad, confidencialidad e integridad de la información enviada/recibida por las interfases entre los principales aplicativos. Inventario de interfaces, tipos, periodicidad, exposición.

13 3. Automatización de la conciliación contable crediticia Conciliación automática Revisión de: La mecánica de conciliación entre las diferentes aplicaciones o sistemas informáticos que intervienen en el proceso de crédito del Instituto (análisis, otorgamiento, recuperación, cobranza, calificación de cartera, contabilización, por ejemplo ) Las políticas y procedimientos documentados del proceso de conciliación La evidencia de pruebas de revisiones para evitar diferencias.

14 4. Cumplimiento en seguridad física y lógica Seguridad informática Revisión de: Hardening / antivirus Procedimientos para mantenimiento de la integridad de la información y/o política o Manual de Seguridad Informática Elementos de seguridad lógica de las aplicaciones de los procesos dentro del alcance Políticas y procedimientos para el control de acceso lógico Políticas y procedimientos para la administración de incidentes y su solución Administración de bitácoras de acceso y transacciones Seguridad física de los equipos de cómputo y comunicaciones que soportan los sistemas informáticos dentro del alcance del análisis.

15 5. Impacto y continuidad de negocio Continuidad de Negocio Revisión de: La existencia de un Plan de Contingencia (BIA, BCP, DRP) documentado y actualizado Contar con evidencia de pruebas periódicas (una vez al año) Pruebas de los mecanismos de comunicación y difusión internos La evidencia de que haya sido sancionado por el Comité de Auditoría La alineación a procesos críticos del BIA.

contratos de proveedores Políticas y procedimientos para la administración de respaldos Monitoreo de desempeño de los equipos de

16 6. Revisión de plataforma de cómputo y comunicaciones Plataforma Tecnológica Revisión de: Las pruebas de vulnerabilidades practicadas Políticas y procedimientos para mantener niveles de servicio Administración de proveedores de servicios informáticos Vigencia de contratos de proveedores Políticas y procedimientos para la administración de respaldos Monitoreo de desempeño de los equipos de cómputo centrales Inventarios servidores, estaciones de trabajo, firewalls, switches, etc.. Administración de la capacidad de los equipos de cómputo.

17 Gracias

Documentos relacionados

MANUAL DE ORGANIZACIÓN DIRECCIÓN DE CRÉDITO

MANUAL DE ORGANIZACIÓN Dirección General Propiedad del Banco Nacional de Obras y Servicios Públicos, S.N.C. Dirección de Crédito Av. Javier Barros Sierra No. 515, 5 Piso, Col. Lomas de Santa Fe, Delegación