Riesgo Operativo - Com. A 4609 Lic. Marcelo H. González Gerencia de Auditoría Externa de Sistemas Superintendencia de Entidades Financieras y Cambiarias Banco Central de la República Argentina
Principales Carencias Com. A 3198 Fue desarrollada en 1996; ha alcanzado un grado crítico de obsolescencia; Se basa en controles generales, y mezcla requerimientos tecnológicamente específicos; No es flexible a los cambios tecnológicos; Está orientada a cumplimiento más que a la administración del riesgo. 2
Principales Carencias (continuación) No contempla exigencias relacionadas con actividades de riesgo tecnológico : Responsabilidad vs. Riesgo; Banca por Internet; Instrumentos de débito y pago; Banca Móvil (basada en la telefonía móvil); No requiere prácticas de: Detección de Intrusos, Security Awareness, Gestión Integral de la seguridad, Administración de Riesgo de la Continuidad,... 3
Razones Básicas de Modificación Surge como una necesidad para adecuar la normativa vigente a la realidad del sistema financiero; Contempla la gestión y el control para la protección de los activos informáticos, Brinda mejores prácticas a efectos de lograr un equilibrio en la administración de los riegos y la eficiencia en la administración de los datos; Considera las amenazas y vulnerabilidades asociadas a cada entorno tecnológico; 4
Basada en Estándares Internacionales Cuenta con un conjunto de requisitos de sana gestión que han sido tomados de: Normas ISO ( 17799, 27001, 15408); COBIT, estándar internacional de Objetivos de Control de la Tecnología Informática; Sanas Prácticas de BASILEA; Experiencia de más de 10 años en el control de las entidades financieras. 5
REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA, SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS RIESGO OPERATIVO
Tendencia de la Gestión del Riesgo Foco en Riesgo Integrado Organizacional Foco en Riesgo Financiero Negocios Operativo Foco en Riesgo de Crédito Mercado Operaciones Mercado Crédito Crédito Crédito 1980s 1990s 2000s 7
Relevancia del Riesgo Operativo El riesgo resultante de inadecuados o fallidos procesos internos, personas o sistemas o de un evento externo Comité de Basilea Riesgo de Crédito CAPITAL TOTAL Riesgo de Mercado Riesgo Operativo Relación de Capital del Banco (mínimo 8%) Menú de Enfoques para medir Riesgo Operativo Enfoque del indicador básico (Actividad Bancaria Total) Enfoque Estandarizado (por línea de negocio) Enfoque de medición interna (pérdidas) El Comité de Basilea ha estado trabajando con el sector para desarrollar un cargo de capital por riesgo operativo (por ejemplo, el riesgo de pérdida por fallas en las computadoras, documentación insuficiente o de mala calidad o fraudes). Muchos de los bancos más grandes asignan 20% o más de su capital interno al riesgo operativo. 8
Controlar el Riesgo Operativo Control se define como: Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos. PRÁCTICAS DE CONTROL Regulaciones BCRA 25 Principios de Basilea 12 Principios de Riesgo Operativo Normas ISO-IEEE Principios OCC Principios FSA Estándares ISACA 9
10 Principios de Riesgo Operativo Desarrollo de un marco adecuado para la gestión del riesgo. Principios 1, 2 y 3 Gestión del riesgo: identificación, evaluación, seguimiento y cobertura/control. Principios 4, 5, 6 y 7 La función de los supervisores. Principios 8 y 9 Principios que gobiernan una buena practica de gestión del riesgo operativo en Basilea II. La función de la divulgación de información. Principio 10 10
10 Principios de Riesgo Operativo Principio 1: El Consejo de administración deberá conocer cuáles son los principales aspectos de los riesgos operativos para el banco, como una categoría de riesgo diferenciada, y deberá aprobar y revisar periódicamente el marco que utiliza el banco para la gestión de este riesgo. Este marco deberá ofrecer una definición de riesgo operativo válida para toda la empresa y establecer los principios para definir, evaluar, seguir y controlar o mitigar este tipo de riesgos. Principio 2: El consejo de administración deberá asegurar que el marco para la gestión del riesgo operativo en el banco esté sujeto a un proceso de auditoría interna eficaz e integral por parte de personal independiente, capacitado y competente. La función de auditoría interna no deberá ser directamente responsable de la gestión del riesgo operativo. Principio 3: La alta gerencia deberá ser la responsable de poner en práctica el marco para la gestión del riesgo operativo aprobado por el consejo de administración. Dicho marco deberá ser aplicado de forma consistente en toda la organización bancaria y todas las categorías laborales deberán comprender sus responsabilidades al respecto. La alta gerencia también deberá ser responsable del desarrollo de políticas, procesos y procedimientos destinados a la gestión de estos riesgos para todos los productos, actividades, procesos y sistemas relevantes para el banco. 11
10 Principios de Riesgo Operativo Principio 4: Los bancos deberán identificar y evaluar el riesgo operativo inherente a todos sus productos, actividades, procesos y sistemas relevantes. Además, también deberán comprobar que antes de lanzar o presentar nuevos productos, actividades, procesos o sistemas, se evalúa adecuadamente su riesgo operativo inherente. Principio 5: Los bancos deberán vigilar periódicamente los perfiles de riesgo operativo y las exposiciones sustanciales a pérdidas. La alta gerencia y el consejo de administración deberán recibir información pertinente de forma periódica que complemente la gestión activa del riesgo operativo. Principio 6: Los bancos deberán contar con políticas, procesos y procedimientos para controlar y cubrir los riesgos operativos más relevantes. Además, deberán reexaminar periódicamente sus estrategias de control, reducción de riesgos y ajustar su perfil de riesgo operativo según corresponda, utilizando para ello las estrategias que mejor se adapten a su apetito por el riesgo y a su perfil de riesgo. Principio 7: Los bancos deberán contar con planes de contingencia y de continuidad de la actividad, que aseguren su capacidad operativa continua y que reduzcan las pérdidas en caso de interrupción grave de la actividad. 12
10 Principios de Riesgo Operativo Principio 8: Los supervisores bancarios deberán exigir a todos los bancos, sea cual sea su tamaño, que mantengan un marco eficaz para identificar, evaluar, seguir y controlar o mitigar sus riesgos operativos más relevantes, como parte de su aproximación general a la gestión de riesgos. Principio 9: Los supervisores deberán realizar, directa o indirectamente, una evaluación periódica independiente de las políticas, prácticas y procedimientos con los que cuentan los bancos para gestionar sus riesgos operativos. Además, deberán cerciorarse de que se han puesto en marcha los mecanismos necesarios para estar al tanto de cualquier novedad que se produzca en un banco. Principio 10: Los bancos deberán proporcionar información pública suficiente para que los partícipes del mercado puedan evaluar sus estratégicas de gestión del riesgo operativo. Buenas prácticas para la gestión y supervisión del riesgo operativo. http://www.bis.org/publ/bcbs96.htm 13
Principios para a la Banca Electrónica Fijar políticas y mecanismos de seguimiento de los riesgos asociados con las actividades de la banca electrónica. Revisar y aprobar los aspectos claves del proceso de control de la seguridad. Aplicar criterios de due diligence sobre el manejo de tercerización de actividades propias (outsourcing). Establecer formas apropiadas de autenticar a los clientes. Proveer mecanismos para el no repudio y responsabilidad de las transacciones. Mantener una clara segregación de funciones de las tareas criticas. Asegurar control de acceso a las aplicaciones y datos. Contar con mecanismos para proteger de integridad de las transacciones y los datos. Asegurar la existencia de pistas de auditoría. Preservar la confidencialidad de la información. Informar adecuadamente en las canales electrónicos todos los aspectos legales. Asegurar la adherencia a los requisitos de confidencialidad del cliente según las leyes aplicables. Asegurar la disponibilidad permanente de los sistemas de banca electrónica. Establecer un adecuado proceso de atención de reclamos y atención de incidentes. Risk management principles for electronic banking. http://www.bis.org/publ/bcbs98.htm 14
Tipificación de Riesgos Operativos Según Basilea II Fraude interno: Errores intencionados en la información sobre posiciones, robos por parte de empleados, utilización de información confidencial en beneficio de la cuenta del empleado, etc. Fraude externo: Atraco, falsificación, circulación de cheques en descubierto, daños por intrusión en los sistemas informáticos, etc. Relaciones laborales y seguridad en el puesto de trabajo: Solicitud de indemnizaciones por parte de los empleados, infracción de las normas laborales de seguridad e higiene, organización de actividades laborales, acusaciones de discriminación, responsabilidades generales, etc. Daños a activos materiales: Terrorismo, vandalismo, terremotos, incendios, inundaciones, etc. Prácticas con los clientes, productos y negocios: Abusos de confianza, abuso de información confidencial sobre el cliente, negociación fraudulenta en las cuentas del banco, blanqueo de capitales, venta de productos no autorizados, etc. Alteraciones en la actividad y fallos en los sistemas: Fallos del hardware o del software, problemas en las telecomunicaciones, interrupción en la prestación de servicios públicos, etc. Ejecución, entrega y procesamiento: Errores en la introducción de datos, fallos en la administración del colateral, documentación jurídica incompleta, concesión de acceso no autorizado a las cuentas de los clientes, prácticas inadecuadas de contrapartes distintas de clientes, litigios con distribuidores, etc. 15
Riesgo Operativo La banca, por su naturaleza, corre una considerable cantidad de riesgos. Es muy importante entender estos riesgos y considerar adecuado su medición y que se manejen de manera apropiada. Crédito Mercado Liquidez Tasa de Interés Transferencia Legal Reputacional Estratégico Operativo Fallas en los controles internos y en la administración corporativa, que pueden llevar a pérdidas financieras a través de error, fraude, o ejecuciones inoportunas que comprometan los intereses de la entidad. Incluye fallas importantes de TI/SI y eventos contingentes operativos. Es el riesgo resultante de inadecuados o fallidos procesos internos; personas o sistemas, o de un evento externo Mayor riesgo operativo puede existir en los productos que se manejas por medios automatizados, especialmente en aquellas líneas de negocios que no hayan sido adecuada y oportunamente planeadas, analizadas, implementadas y controladas. 16
Universo del Riesgo Operativo Ambiente de Riesgo Riesgos propios de la industria Riesgos vinculados con las regulaciones y su cumplimiento Riesgos estratégicos Aplicación Seguridad de la Aplicación Confidencialidad Integridad Segregación de Tareas Controles de los Proc. de Neg. Exactitud Integridad Workflow de aprobación y revisión. Core System Aplicaciónes Infraestructura de IT Procesos de Negocio Aplicación Seguridad de la Aplicación Administración del Contenido Transformación de los datos - Integridad Integridad de las interfases Internet intranet Extranet Infraestructura Técnica Proveedores Mercado Acceso Físico Seguridad del sistema operativo, Base de datos, etc. Encripción Disponibilidad 24x7 Test de Penetración 17
Riesgo Operativo y la Com. A 4609 Este riesgo es muy importante por la naturaleza tecnológica de muchos de los procesos de negocio. Alineación a la Com. A 4609 Crédito Mercado Liquidez Tasa de Interés Transferencia Legal Reputacional Estratégico Operativo Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Integridad de datos Banca Electrónica 18
Riesgo Operativo y la Com. A 4609 Objetivos de control interno Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Integridad de datos Comité de Tecnología Informática. Integración y funciones. Políticas y procedimientos. Análisis de Riesgos. Dependencia del área de Tecnología Informática y Sistemas. Gestión de Tecnología Informática y Sistemas. Planificación. Control de gestión. Segregación de funciones. 19
Riesgo Operativo y la Com. A 4609 Objetivos de control interno Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Integridad de datos Gestión de la seguridad. Dependencia del área. Estrategia de seguridad. Planeamiento de los recursos. Política de protección. Clasificación de los activos de información. Estándares de acceso. Control de utilidades especiales. Registros de seguridad y pistas de auditoría. Alertas de seguridad y software de análisis. Software malicioso. Responsabilidades del área. Control y monitoreo. Implementación de los controles de seguridad física aplicados a los activos de información. 20
Riesgo Operativo y la Com. A 4609 Objetivos de control interno Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Responsabilidades sobre la planificación de la continuidad del procesamiento de datos. Análisis de impacto. Instalaciones alternativas de procesamiento de datos. Plan de continuidad del procesamiento de datos. Mantenimiento y actualización del plan de continuidad de procesamiento de datos. Pruebas de continuidad del procesamiento de datos. Integridad de datos 21
Riesgo Operativo y la Com. A 4609 Objetivos de control interno Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Integridad de datos Responsabilidad del área. Inventario tecnológico. Políticas y procedimientos para la operación de los sistemas informáticos y manejadores de datos. Procedimientos de resguardos de información, sistemas productivos y sistemas de base. Mantenimiento preventivo de los recursos tecnológicos. Administración de las bases de datos. Gestión de cambios al software de base. Control de cambios a los sistemas productivos. Mecanismos de distribución de información. Manejo de incidentes. Medición y planeamiento de la capacidad. Soporte a usuarios. 22
Riesgo Operativo y la Com. A 4609 Objetivos de control interno Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Controles generales. Controles particulares para cada canal donde se cursen transacciones - cajeros automáticos (ATM s), puntos de venta (POS), Internet (ebanking), dispositivos móviles, atención telefónica (Phone Banking), y otros -. Integridad de datos 23
Riesgo Operativo y la Com. A 4609 Objetivos de control interno Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Actividades Factibles de Delegación. Responsabilidades propias de la entidad. Formalización de la delegación. Responsabilidades del tercero. Implementación del procesamiento de datos en un tercero. Control de las actividades delegadas. Planificación de continuidad de la operatoria delegada. Integridad de datos 24
Riesgo Operativo y la Com. A 4609 Objetivos de control interno Gestión de TI Seguridad Infor. TI/SI Continuidad Opereraciones Infraestructura - canales Delegación Cumplimiento de requisitos normativos. Integridad y validez de la información. Administración y registro de las operaciones. Sistemas de información que generan el régimen informativo a remitir y/o a disposición del Banco Central de la República Argentina. Documentación de los sistemas de información. Integridad de datos 25
Principios vs. Com. A 4609 Principios Basilea II Principio 1: El Consejo de administración deberá conocer cuáles son los principales aspectos de los riesgos operativos para el banco, como una categoría de riesgo diferenciada, y deberá aprobar y revisar periódicamente el marco que utiliza el banco para la gestión de este riesgo. Este marco deberá ofrecer una definición de riesgo operativo válida para toda la empresa y establecer los principios para definir, evaluar, seguir y controlar o mitigar este tipo de riesgos. Gobierno del Riesgo de TI/SI Relevancia vinculada a TI/SI El Alta Dirección es el responsable primario del establecimiento y la existencia de un área que gestione y administre los riesgos relacionados al procesamiento de datos, sistemas y tecnologías relacionadas para todos los canales electrónicos por los que la entidad financiera realiza el ofrecimiento de sus productos y servicios, dado el impacto en el riesgo operativo por fallos en los mismos. Sección 1. Aspectos generales. 26
Principios vs. Com. A 4609 Principios Basilea II Principio 2: El consejo de administración deberá asegurar que el marco para la gestión del riesgo operativo en el banco esté sujeto a un proceso de auditoría interna eficaz e integral por parte de personal independiente, capacitado y competente. La función de auditoría interna no deberá ser directamente responsable de la gestión del riesgo operativo. Control de TI/SI Relevancia vinculada a TI/SI La función de auditoría de TI/SI deberá estar lo suficientemente preparada de acuerdo al perfil de riesgo y automatización de los procesos de negocio, incluyendo la provision de suficientes fondos para la contratación de especialistas, cuando sea necesario. 2.5.2. Control de gestión. 27
Principios vs. Com. A 4609 Principios Basilea II Principio 3: La alta gerencia deberá ser la responsable de poner en práctica el marco para la gestión del riesgo operativo aprobado por el consejo de administración. Dicho marco deberá ser aplicado de forma consistente en toda la organización bancaria y todas las categorías laborales deberán comprender sus responsabilidades al respecto. La alta gerencia también deberá ser responsable del desarrollo de políticas, procesos y procedimientos destinados a la gestión de estos riesgos para todos los productos, actividades, procesos y sistemas relevantes para el banco. Gobierno del Riesgo de TI/SI Relevancia vinculada a TI/SI Las políticas como los procedimientos deben estar claramente escritos, identificar los riesgos que mitigan, ser formalmente comunicados, mantenerse actualizados, establecer la asignación de responsabilidades, y ser la base de la coordinación y realización de las tareas, como así también el instrumento que permita el entrenamiento sobre las actividades vinculadas a la administración y/o procesamiento de datos, sistemas o tecnologías relacionadas de la entidad. 2.2. Políticas y procedimientos. 28
Principios vs. Com. A 4609 Principios Basilea II Principio 4: Los bancos deberán identificar y evaluar el riesgo operativo inherente a todos sus productos, actividades, procesos y sistemas relevantes. Además, también deberán comprobar que antes de lanzar o presentar nuevos productos, actividades, procesos o sistemas, se evalúa adecuadamente su riesgo operativo inherente. Gobierno del Riesgo de TI/SI Relevancia vinculada a TI/SI Se deberá evidenciar la existencia de análisis de riesgos formalmente realizados y documentados sobre los sistemas de información, la tecnología informática y sus recursos asociados. Los resultados de los análisis mencionados y sus actualizaciones periódicas deben ser formalmente reportados al Directorio, que será el responsable primario de gestionar que las debilidades que expongan a la entidad financiera a niveles de riesgo operativo alto o inaceptable sean corregidas a niveles aceptables. 2.3. Análisis de Riesgos. 29
Principios vs. Com. A 4609 Principios Basilea II Principio 5: Los bancos deberán vigilar periódicamente los perfiles de riesgo operativo y las exposiciones sustanciales a pérdidas. La alta gerencia y el consejo de administración deberán recibir información pertinente de forma periódica que complemente la gestión activa del riesgo operativo. Gobierno del Riesgo de TI/SI Relevancia vinculada a TI/SI Se deberá evidenciar la existencia de reportes formales, que sean el resultado del control ejercido en los procesos automatizados, que mayores riesgos implícitos posean, y los mismos reflejen los desvíos sobre los riesgos residuales y las practicas de control ejercida. 2.1. Comité de Tecnología Informática. Integración y funciones. 30
Principios vs. Com. A 4609 Principios Basilea II Principio 6: Los bancos deberán contar con políticas, procesos y procedimientos para controlar y cubrir los riesgos operativos más relevantes. Además, deberán reexaminar periódicamente sus estrategias de control, reducción de riesgos y ajustar su perfil de riesgo operativo según corresponda, utilizando para ello las estrategias que mejor se adapten a su apetito por el riesgo y a su perfil de riesgo. Gobierno del Riesgo de TI/SI Relevancia vinculada a TI/SI De acuerdo con sus operaciones, procesos y estructura, las entidades financieras deben definir una estrategia de protección de activos de TI/SI, que conlleve control y reducción de los riesgos, que les permita optimizar la efectividad en la administración y el control de los mismos. Dicha estrategia debe considerar las amenazas y las vulnerabilidades asociadas a cada entorno tecnológico, su impacto en el negocio, los requerimientos y los estándares vigentes. Para ello deben asignar claramente roles y responsabilidades en materia de seguridad, comprometiendo a los máximos niveles directivos y gerenciales Sección 1. Aspectos generales. 2.3. Análisis de Riesgos. 31
Principios vs. Com. A 4609 Principios Basilea II Principio 7: Los bancos deberán contar con planes de contingencia y de continuidad de la actividad, que aseguren su capacidad operativa continua y que reduzcan las pérdidas en caso de interrupción grave de la actividad. Gobierno de la continuidad Relevancia vinculada a TI/SI El Alta Dirección, es el responsable primario por la identificación, la valorización, la gestión y el control de los riesgos. Debe asegurar la existencia y la provisión de los recursos necesarios para la creación, mantenimiento y prueba de un plan de recuperación del procesamiento electrónico de datos. El mismo deberá ser operable y funcional, acorde a los requerimientos de negocio de la entidad financiera y de los organismos de control. Deberá designarse formalmente un área o sector, que será responsable de la creación, mantenimiento y prueba satisfactoria del plan de recuperación del procesamiento electrónico de datos. La continuidad es considerada como un proceso que se inicia con la recuperación durante la contingencia, y concluye con la vuelta a la normalidad una vez controladas las causas que generaron dicha contingencia. Sección 4. Continuidad del procesamiento electrónico de datos. 32
Principios vs. Com. A 4609 Principios Basilea II Principio 8: Los supervisores bancarios deberán exigir a todos los bancos, sea cual sea su tamaño, que mantengan un marco eficaz para identificar, evaluar, seguir y controlar o mitigar sus riesgos operativos más relevantes, como parte de su aproximación general a la gestión de riesgos. Gobierno del Riesgo de TI/SI Relevancia vinculada a TI/SI El Alta Dirección, es el responsable primario por la identificación, la valorización, la gestión y el control de los riesgos de TI/SI que impacten en el riesgo operativo de la entidad, para ello deberán tener en lugar controles internos que como mínimo satisfagan las expectativas del regulador. Sección 1. Aspectos generales. 33
Principios vs. Com. A 4609 Principios Basilea II Principio 9: Los supervisores deberán realizar, directa o indirectamente, una evaluación periódica independiente de las políticas, prácticas y procedimientos con los que cuentan los bancos para gestionar sus riesgos operativos. Además, deberán cerciorarse de que se han puesto en marcha los mecanismos necesarios para estar al tanto de cualquier novedad que se produzca en un banco. Auditoría de TI/SI Relevancia vinculada a TI/SI El Alta Dirección, es el responsable primario por la existencia de políticas, practicas y procedimientos que regulen las actividades y controlen los riesgos, y que los mismos, junto con los procesos que se vinculen, estén siempre en condiciones de ser auditados y permitan evidenciar sanas practicas de control. Verificación de adecuación normativa y gestión del riesgo 34
Principios vs. Com. A 4609 Principios Basilea II Principio 10: Los bancos deberán proporcionar información pública suficiente para que los partícipes del mercado puedan evaluar sus estratégicas de gestión del riesgo operativo. Difusión y escalación Relevancia vinculada a TI/SI El Alta Dirección, es la responsable de hacer evidente a sus clientes, y accionistas, la aplicación de sanas practicas en la mitigación de los riesgos, como por ejemplo informando en cada uno de los canales electrónicos, cuales son las políticas de seguridad de alto nivel que se aplican. Verificación de adecuación normativa y gestión del riesgo 35
Ejs. Eventos/Causas - > Com. A 4609 Basilea II Fraude interno Fraude externo Relaciones laborales y seguridad en el puesto de trabajo Causas probables relacionadas con TI/SI Modificación indebida de programas, Modificación de funciones o uso no autorizado, Manejo indebido de funciones de sistema operativo, Uso indebido de hardware, Cambios indebidos a sistemas o datos por hacking, Uso o copia de software violando copyrights, Abuso de las atribuciones o privilegios,... Cambios indebidos a sistemas o datos por hacking, Acceso externo a información confidencial, Intercepción de comunicaciones en forma no autorizada, Uso indebido de derechos en los accesos remotos, Ataques de virus y/o malware,... Mal uso de software, hardware y/o otros recursos, Abusos de autoridad y/o privilegios, Descuidos intencionales en la protección de la seguridad, Incompetencia funcional,... Com. A 4609 2.5.3. Segregación de funciones. 3.1.2. Estrategia de seguridad de acceso a los activos de información. 3.1.4. Política de protección. 3.1.4.3. Programas de utilidad con capacidades de manejo de datos - Usuarios privilegiados y de contingencia. 3.1.2. Estrategia de seguridad de acceso a los activos de información. 3.1.4. Política de protección. 3.1.4.5 Alertas de seguridad y software de análisis. 3.1.4.6. Software malicioso. 2.5.3. Segregación de funciones. 36
Ejs. Eventos/Causas - > Com. A 4609 Basilea II Daños a activos materiales Prácticas con los clientes, productos y negocios Alteraciones en la actividad y fallos en los sistemas Ejecución, entrega y procesamiento Causas probables relacionadas con TI/SI Daño intencional o accidental de activos de información y/o recursos de tecnología,... Malas practicas llevadas por terceras partes vinculadas, Divulgación de proyectos confidenciales,... Fallas o malfuncionamiento de hardware / software, Fallas en las telecomunicaciones, Perdida de recursos humanos, Destrucción de software / datos, Ataques de virus, Fallas de los resguardos de información, Ataques de denegación de servicio, Errores de configuración, Eventos adversos,... Errores o fallas en medios electrónicos, Estaciones de trabajo no atendidas, Errores en el control de cambios a programas, Ingreso incompleto en el ingreso de las transacciones, Errores en el ingreso o salida de datos, Errores en la programación o en las pruebas... Com. A 4609 3.2. Implementación de los controles de seguridad física aplicados a los activos de información. 3.1.5.1. Control y monitoreo. 4.1. Responsabilidades sobre la planificación de la continuidad del procesamiento de datos. 4.4. Plan de continuidad del procesamiento de datos. 5.3. Políticas y procedimientos para la operación de los sistemas informáticos y manejadores de datos. 4.1. Responsabilidades sobre la planificación de la continuidad del procesamiento de datos. 37
Finalmente no nos encontremos así 38
REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA, SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS COM. A 4609 Principales interpretaciones de las consultas efectuadas por las Cámaras de Entidades Financieras Asociadas
PREGUNTAS?
Lic. Marcelo H. González (mgonzalez@bcra.gov.ar)