Na segurança da tecnologia da informação

Transcripción

1 Na segurança da tecnologia da informação... A tecnologia da informação a serviço do sistema financeiro Palestrante: José Ángel PEÑA IBARRA Vicepresidente Internacional de ISACA Vicepresidente del IT Governance Institute Presidente da Mesa: Washington Lopes da Silva 1 Superintendente de Auditoría Interna de TI UNIBANCO Coordenador da Sub-Comissão de Auditoria Interna de TI da FEBRABAN

2 Na segurança da tecnologia da informação Índice 1. La seguridad de TI en el sistema financiero 2. Administración del riesgo tecnológico. 3. Marco de referencia: CobiT (ISACA/ITGI) 4. Invirtiendo en la seguridad: Gobierno de la Seguridad de la Información. 2

3 ISACA ITGI ISACA fue fundada en Más de 80,000 miembros en 140 países. IT Governance Institute es su brazo de investigación y desarrollo. 3

4 Actividades de ISACA Red de Capítulos global Certified Information Systems Auditor (CISA ) (CISA ) Certified Information Security Manager ( CISM ) Certified in the Governance of Enterprise IT (CGEIT ) IS auditing standards, guidelines, control standards 4

5 Na segurança da tecnologia da informação 1. La seguridad de TI en el sector financiero. 5

6 Importancia de la información en el sector financiero Base del negocio: El tratamiento de la información es la primera línea de producción en el sector financiero. Valor: La información representa dinero. Propiedad: El dinero es de los clientes del banco. 6

7 Importancia de la información en el sector financiero Custodia: El banco está obligado a proteger la integridad del dinero de sus clientes. Disponibilidad: El banco debe entregar el dinero de sus clientes cuando estos lo requieran, de acuerdo a las condiciones establecidas. Competitividad: Si una organización del sector financiero no es eficiente en el manejo de la TI, no sobrevivirá. 7

8 Importancia de TI para la entrega de estrategia, por sector Importance of IT to strategy delivery, by industry sector De acuerdo al IT Governance Global Status Report 2008, en el sector financiero es dónde más se considera la importancia estratégica de TI 8 Fuente: IT Governance Global Status Report 2008 del ITGI

9 Aspectos que deben considerarse para TI en el sector financiero CUMPLIMIENTO BS7799 / ITIL COBIT 70+ países tienen adoptadas leyes que involucran el control de la tecnología de información y es necesario aplicar estándares. Basel II Seguridad Sarbanes-Oxley Privacidad OPERACIONAL Necesidad de Continuidad Banca electrónica Dependencia de múltiples proveedores AMENAZAS Empleados deshonestos Hackers Rapidez y complejidad Complejidad de TI Demandas de Conectividad Banca internacional Fallas de componentes, sistemas y aplicaciones Desastres Naturales 9

10 TI en el sector financiero Por la naturaleza de sus operaciones, la importancia de la seguridad de TI es sustancialmente mayor en bancos y otras empresas financieras. En consecuencia, el riesgo tecnológico debe ser comprendido y debidamente administrado y se deben adoptar marcos de referencia y mejores prácticas para la seguridad de TI 10

11 Na segurança da tecnologia da informação 2. Administración del riesgo tecnológico 11

12 Riesgos en el sector financiero RIESGO DE LIQUIDEZ RIESGO OPERATIVO Riesgo Operativo, es el riesgo de pérdidas debido a fallas o a inadecuados procesos, personal y sistemas internos o bien a causa de acontecimientos externos. RIESGO DE CRÉDITO RIESGO DE MERCADO Riesgo Tecnológico es uno de los componentes principales del Riesgo Operativo 12

13 Riesgo Tecnológico El Riesgo Tecnológico implica la probabilidad de pérdidas ante fallas de los sistemas de información. También considera la probabilidad de fraudes internos y externos a través de los sistemas de información. Involucra al riesgo legal y al riesgo de pérdida de reputación por fallas en la seguridad y por la no disponibilidad de los sistemas de información. 13

14 Continuidad y riesgos La continuidad de las operaciones y la seguridad de TI están fuertemente relacionadas en el riesgo tecnológico. El Análisis de Impacto al Negocio (BIA) que se realiza en un plan de continuidad está profundamente ligado con el Análisis de Riesgos. Ambos trabajos de Análisis son imprescindibles para un adecuada Seguridad de la información y la tecnología relacionada. 14

15 Pregunta Qué es primero, el análisis de riesgos ó el análisis de impacto al negocio (BIA)? 15

16 Proceso de administración de riesgo Identificación y valuación de activos Evaluación de amenazas Contramedidas Evaluación de vulnerabilidad Evaluación de riesgos Evaluación de control Plan de acción Riesgos residuales Fuente: IT Governance Institute 16

17 Análisis de riesgos Fases del Análisis de riesgos Identificación de activos Todo elemento necesario para mantener las actividades de la organización Información, hardware, personal, imagen de la organización Evaluación de las amenazas Evento que puede afectar a los activos de la organización, poniendo en peligro su integridad Las amenazas dependen de Tipo de servicios: banca electrónica, internacional, ubicación de las instalaciones, tipo de sistema a proteger. 17

18 Análisis de riesgos Fases del Análisis de riesgos Evaluación de las amenazas (continuación) Tipos de amenazas Naturaleza, errores o accidentes, intencionadas (locales o remotas) Identificar la causa de la amenaza Identificar el activo afectado por la amenaza Calcular la probabilidad de que ocurra la amenaza Resultados Lista de Amenazas Activos afectados Probabilidad de que ocurra 18

19 Análisis de riesgos Fases del Análisis de riesgos Tratamiento del riesgo Encontrar un equilibrio: Costo Protección VS costo de exposición Decisiones Aceptar el riesgo Transferir el riesgo Reducir el riesgo a un nivel aceptable Consideraciones de cumplimiento: Circulares nacionales, Basilea II, SOX. 19

20 ANÁLISIS DE IMPACTO AL NEGOCIO, BIA Identificación de Procesos Críticos Clasificación de la Información Identificación de Infraestructura Crítica Análisis de Vulnerabilidades Impactos Identificación de Amenazas Objetivos de Continuidad RTO y RPO DRP 20

21 2. ANÁLISIS DE RIESGOS Identificación de Procesos Críticos Clasificación de la Información Identificación de Amenazas Riesgos Identificación de Infraestructura Crítica Análisis de Vulnerabilidades Impactos Objetivos de Continuidad (RTO y RPO) Estrategia de Continuidad Controles Preventivos 1. ANÁLISIS DE IMPACTO AL NEGOCIO DRP 3. TRATAMIENTO 21 DEL RIESGO

22 Respuesta a la pregunta Qué es primero, el análisis de riesgos ó el análisis de impacto al negocio (BIA)? 22 Espero que no tengamos otra vez la misma y antigua discusión

23 Na segurança da tecnologia da informação 3. Marco de Referencia: CobiT de ISACA. 23

24 CobiT CobiT fue desarrollado en 1992 En el 2000 se publicó la tercera versión CobiT 4.0 a fines del

25 Evolución de CobiT CobiT ha evolucionado de ser una herramienta de auditoría a ser un marco de referencia de gobierno de TI. 25

26 CobiT 4.0 tiene 4 secciones: 1. Resumen ejecutivo. 2. Framework. 3. Contenido central: Objetivos de control, guías de administración y modelos de madurez. 4. Apéndices 26

27 Vistazo de CobiT Dominios Agrupamiento natural de los procesos de TI. Procesos Actividades ó tareas Serie de actividades con puntos de control. Acciones que deben tener un resultado medible. Actividades tienen un ciclo de vida. Tareas son discretas. 27

28 CobiT Objetivos de negocio Recurso de TI Monitorear y Evaluar Planear y Organizar IT Life Cycle Entregar y Soportar Adquirir e Implementar 28 = Dominio de CobiT

29 Procesos CobiT Planear y Organizar Adquirir e Implementar PO1 PO2 PO3 PO4 PO5 PO6 PO7 PO8 PO9 PO10 AI1 AI2 AI3 AI4 AI5 AI6 AI7 Definir el plan estratégico de TI Definir la arquitectura de la información Determinar la dirección tecnológica Definir procesos, organización y relaciones de TI Administrar la inversión en TI Comunicar las aspiraciones y la dirección de la gerencia Administrar recursos humanos de TI Administar calidad Evaluar y administrar los riesgos de TI Administrar proyectos Identificar soluciones automatizadas Adquirir y mantener el software aplicativo Adquirir y mantener la infraestructura tecnológica Facilitar operación y el uso Adquirir recursos de TI Administrar cambios Instalar y acreditar soluciones y cambios 29

30 Procesos CobiT Entregar y Soportar Monitorear y Evaluar DS1 DS2 DS3 DS4 DS5 DS6 DS7 DS8 DS9 DS10 DS11 DS12 DS13 ME1 ME2 ME3 ME4 Definir y administrar niveles de servicio Administrar servicios de terceros Administrar desempeño y capacidad Garantizar la continuidad del servicio Garantizar la seguridad de los sistemas Identificar y asignar costos Educar y entrenar a los usuarios Administrar la mesa de servicio y los incidentes Administrar la configuración Administrar los problemas Administrar los datos Administrar el ambiente físico Administrar las operaciones Monitorear y evaluar el desempeño de TI Monitorear y evaluar el desempeño del control interno Garantizar el cumplimiento regulatorio Proporcionar gobierno de TI 30

31 Cada proceso tiene 4 secciones 1. Objetivo de control de alto nivel. 2. Objetivos de control detallado. 3. Guías de administración. 4. Modelo de madurez del proceso. 31

32 Modelo de Madurez No existente Inicial Repetible Definido Administrado Optimizado No se aplican procesos administrativos en lo absoluto. 1 Los procesos son ad-hoc y desorganizados. 2 Los procesos siguen un patrón regular. 3 Los procesos se documentan y se comunican. 4 Los procesos se monitorean y se miden. 5 Las buenas prácticas se siguen y se automatizan. 32

33 Uso de Cobit en el mundo Bancos libaneses apoyan COBIT Auditor General de Québec adopta COBIT US National Institute of Standards and Technology hace referencia de COBIT US House of Representatives adopta COBIT Australian National Audit Office usa COBIT en auditorías de TI Philippine Commission on Audit (COA) adopta COBIT US Department of Defense, Office of Inspector General, adopta COBIT 33

34 Na segurança da tecnologia da informação 4. Invirtiendo en seguridad: Gobierno de Seguridad de TI 34

35 Invirtiendo en seguridad Para enfrentar los desafíos de la seguridad las organizaciones deben invertir en dos aspectos vitales: 1. Establecer un sistema de gobierno de la seguridad de TI. 2. Contar con personal capacitado para implementar el gobierno de la seguridad de TI. 35

36 Gobierno de seguridad de TI Gobierno de la seguridad de TI consiste del liderazgo, estructuras organizacionales y procesos que salvaguardan la información y la tecnología relacionada. El Gobierno de seguridad de TI debe ir alineado con el Gobierno Empresarial y el Gobierno de TI. 36

37 Marco de referencia de seguridad de TI Para lograr un gobierno de seguridad de TI efectivo, se debe establecer y mantener un framework que guíe el desarrollo del programa de seguridad. El framework de seguridad de TI consiste de: Una metodología de administración de riesgos de seguridad. Una estrategia de seguridad alineada con los objetivos del negocio y los objetivos de TI. Una estructura organizacional de seguridad efectiva. Un reconocimiento del valor de la información a proteger. 37

38 Marco de referencia de seguridad de TI Políticas de seguridad que consideren los aspectos de estrategia, control y regulaciones. Un conjunto de estándares de seguridad. Procesos de monitoreo institucionales para asegurar el cumplimiento y proveer retroalimentación en la mitigación del riesgo. Un proceso continuo de evaluación y actualización de políticas, estándares, procedimientos y riesgos. 38

39 Se requiere un enfoque estructurado para el desafío de la seguridad de TI ALINEACIÓN ESTRATÉGICA ENTREGA DE VALOR MEDICIÓN DEL DESEMPEÑO GOBIERNO DE SEGURIDAD DE TI ADMINISTRACIÓN DE RECURSOS ADMINISTRACIÓN DE RIESGOS 39 Esa estructura la proporciona el Gobierno de Seguridad de TI

40 Gobierno de seguridad de TI Los procesos de CobiT que más se relacionan con la seguridad de TI son: PO9 Evaluar y Administrar riesgos de TI. DS4 Asegurar continuidad del servicio. DS5 Asegurar seguridad de los sistemas. 40

41 Modelo conceptual de Gobierno de seguridad de TI 41 Fuente: Information Security Governance, 2nd Edition, ITGI

42 Personal capacitado en seguridad de TI. La National Association of Corporate Directors (NACD), organización líder para directivos en US, reconoce la importancia de la seguridad de la información y recomienda cuatro practicas esenciales: Poner la seguridad de TI en la agenda. Identificar líderes de seguridad, hacerlos responsables y darles todo el soporte. Asegurar la efectividad de la política de seguridad de la empresa a través de revisiones y aprobaciones. 42 Asignar la seguridad de la información a un comité clave y darles todo el soporte.

43 Conclusión La seguridad de la Información no es solo un problema técnico, es un reto de negocios y de gobierno que incluye una adecuada administración de los riesgos, reporte y rendición de cuentas. Las juntas directivas deberán hacer la seguridad de la información una parte intrínseca del gobierno de la empresa, alineada con el gobierno de TI. 43

44 Obrigado, gracias, thanks! Na segurança da tecnologia da informação José Ángel PEÑA IBARRA Vicepresidente Internacional ISACA 44