: conocimiento y mitigación Andrés García Ortega Banco Santander Madrid, 14 de Marzo de 2012
Conceptos 2 Transformación de los Riesgos Operacionales y como se manifiestan, afectados por los cambios y la de las Tecnologías de la Información y las Comunicaciones (TIC) Consideración de los Riesgos Tecnológicos, como circunstancias o hechos que se producen en el ámbito de las Tecnologías de la Información y pueden suponer fallos en los sistemas, errores y situaciones no deseadas. Integridad, disponibilidad, y correcto acceso/autorización de los recursos de IT Los riesgos digitales. Relevancia de aquellos que se originan vinculados a amenazas externas.
Tipologías 3 Los riesgos digitales, originados por amenazas externas a la entidad, se pueden categorizar de distintos modos: Fraudes electrónico Robo / fuga de información Ataques a la disponibilidad de los sistemas Afectación a la imagen de la empresa Suplantación de identidad Atentados a la propiedad intelectual...... Y aquellos grandes eventos que pueden implicar la activación de planes de contingencia y planes de continuidad de negocio
Amenazas 4 Las amenazas son múltiples y requerirán medidas específicas para la mitigación de los riesgos Malware (troyanos, virus) Phishing Web falsas Ingeniería social Actividad de los hackers Accesos indebidos / no autorizados a datos y transacciones...... Además de catástrofes naturales y otros accidentes con afectación a IT (incendios, inundaciones, terremotos)
Mitigación medidas específicas (1 de 2) 5 Dependiendo de la tipología del riesgo digital, existirán diferentes medidas técnicas y procedimentales para su mitigación, así por ejemplo: Fraude electrónico: Mecanismos robustos de firma; procesos antiphishing; herramientas de monitorización y scoring; procedimientos seguros, etc. Robo / fuga de información Protección de información sensible, control de accesos; monitorización de la actividad; control y restricción de las comunicaciones entrantes y salientes hacia y desde nuestros sistemas, etc.
Mitigación medidas específicas (2 de 2) 6 Ataques a la disponibilidad de los sistemas, ataques y alteración de webs de la entidad (afectación a la imagen de la entidad) Controles para el desarrollo seguro del software; pruebas de hacking ético; anitivirus / antimalware; etc Suplantación de identidad de la empresa, violaciones de la propiedad intelectual Herramientas de monitorización y seguimiento; procedimientos de gestión.... Y estrategias de contingencia tecnológica, activación de planes de continuidad de negocio
Organización para la gestión del riesgo 7 Para desarrollar una adecuada gestión y control del riesgo digital, se requiere la implantación de un modelo organizativo consistente a todos lo niveles (locales y corporativos): Implicación y conocimiento de la Alta Dirección y el Consejo de Administración Involucración en la gestión y mitigación de las áreas de ejecución Función diferenciada para la gestión y el seguimiento, definición de marco de actuación y desarrollo de metodologías Funciones independientes de control y supervisión
Marco y modelo metodológico 8 La gestión del riesgo debe sustentarse mediante la implantación de un marco de actuación y un modelo metodológico. Dicho modelo contempla las siguientes actividades: Identificación de los riesgos Medición y evaluación Control y mitigación Información y reporte La aplicación del modelo se desarrolla mediante la utilización de diferentes herramientas de gestión, ente las que destacan: Procesos de autoevaluación Indicadores de riesgo Registro de eventos y quebrantos