Webinar Febrero 2013 Cómo aprovechar la nueva regulación de la SBP en beneficio de su Banco? Presentado por: Sergio Quiroz, CISSP CISM CISA CRISC CEH CFI, Asesor Principal en Gestión de Riesgo de las TI
Agenda 1. Resumen de los Acuerdos de la SBP 2. Requerimientos y fechas importantes 3. Obteniendo soporte de la Dirección 4. Alineando las TI a los objetivos de negocio 5. Camino al cumplimiento 6. Presentación de Above Security 7. Servicios que apoyan el cumplimiento de requisitos de la SBP 8. Preguntas y respuestas 2
Superintendencia de Bancos de Panamá (SBP) Objetivos Velar por la solidez y eficiencia del sistema bancario; Fortalecer y fomentar condiciones propicias para el desarrollo de Panamá como centro financiero internacional; Promover la confianza pública en el sistema bancario. 3
Resumen de Acuerdos de la SBP Acuerdo No. 003-2012 Lineamientos para la gestión del riesgo de la tecnología de la información. (Inicio de vigencia: Enero 2013) Acuerdo No. 006-2011 Lineamientos sobre banca electrónica y la gestión de riesgos relacionados. (Inicio de vigencia: Septiembre 2012) Acuerdo No. 007-2011 Normas sobre Riesgo Operativo. (Inicio de vigencia: Julio 2012) Acuerdo No. 008-2010 Disposiciones sobre Gestión Integral de Riesgos. (Inicio de vigencia: Diciembre 2010) Acuerdo No. 009-2005 Relacionado con la Tercerización o Outsourcing. (Inicio de vigencia: Abril 2006) 4
Algunos elementos claves Acuerdo 003-2012: Gobierno de TI. Los bancos deberán contar con una estructura organizacional acorde a su tamaño, complejidad de sus operaciones y perfil de riesgo, que les permita gestionar la TI y sus riesgos asociados. Acuerdo 006-2011: Medidas de control aplicables a bancos que presten servicios o faciliten productos a sus clientes a través de banca electrónica. Acuerdo 007-2011: Establece los principios para la gestión de riesgo operativo, el cual debe incluir la identificación, medición, mitigación, monitoreo y control, e información. 5
Reflexión Cuáles son las implicaciones para los bancos? En qué afectan estas disposiciones a los bancos? 6
La percepción tradicional Inhibe actividades de negocio Costo de cumplimiento Temor a sanciones 7
Análisis del contenido de los acuerdos Promueven buen gobierno en las organizaciones Promueven buenas prácticas de gestión del riesgo Responsabilidad de negocio, no de TI Definen líneas de base de seguridad Inspirados en mejores prácticas (Cobit, ISO 2700x, etc.) Determinan el qué, no el cómo 8
Beneficios para la administración Orientación sobre prácticas de buen gobierno Aprovechar las TI para producir valor al negocio Minimizar riesgos del uso de las TI Diagnóstico periódico 9
Agenda 1. Resumen de los Acuerdos de la SBP 2. Requerimientos y fechas importantes 3. Obteniendo soporte de la Dirección 4. Alineando las TI a los objetivos de negocio 5. Camino al cumplimiento 6. Presentación de Above Security 7. Servicios que apoyan el cumplimiento de requisitos de la SBP 8. Preguntas y respuestas 10
Requerimientos de la SBP (parcial) 006-06. Planificación de Continuidad del Negocio. 006-09. Revisiones externas. 006-10. Pruebas de intrusión y vulnerabilidad. 006-11. Gestión de riesgos relacionados con banca electrónica. 006-12. Registro de accesos. 006-15,16. Controles de seguridad. 006-17. Reporte de incidentes de seguridad. 11
Algunas fechas y entregables importantes Acuerdo Promulgación Inicio Vigencia 007-2011 Principios para la gestión de riesgo operativo. Dic 2011 Jul 2012 006-2011 Lineamientos sobre banca electrónica y la gestión de riesgos relacionados Dic 2011 Sep 2012 003-2012. Lineamientos para la gestión del riesgo de la tecnología de la información. Mayo 2012 Enero 2013 Acuerdo No. 007-2011 - Principios para la gestión de riesgo operativo Artículo Actividad Exigencia / Fecha límite 15 Manual de gestión Remitir manual de gestión 1 de enero de 2013 Actualizaciones 22 Autoevaluaciones Realizar autoevaluaciones que detecten las fortalezas y debilidades del entorno de control en las operaciones y actividades de servicios en el negocio bancario 24 Auditoría externa Informe producido por auditores externos sobre el cumplimiento del acuerdo Periódicamente Una vez al año Anualmente 28 Requerimientos de información Informe anual que contenga los principales aspectos y resultados de la gestión de riesgo operativo. Base de datos de eventos e incidencias. Anualmente, a partir de la gestión del 2012 Anualmente, a partir de la gestión del 2013 12
Algunas fechas y entregables importantes Acuerdo Promulgación Inicio Vigencia 006-2011 Lineamientos sobre banca electrónica y la gestión de riesgos relacionados Dic 2011 Sep 2012 Acuerdo No. 006-2011 - Lineamientos sobre banca electrónica y la gestión de riesgos relacionados. Artículo Actividad Exigencia / Fecha límite 10 Pruebas de Intrusión y vulnerabilidad 1 Pruebas de intrusión externa Mínimo una vez al año 2 Pruebas de intrusión interna Al menos cada 2 años 11 Gestión de riesgos relacionados a banca electrónica 7 Establecer sistemas para la administración de los casos de fraude Dic 2013 7 Plan de acción para la implementación Junio 2013 15 Controles de Seguridad 2 4 5 Banca por Internet y Banca Móvil Cajeros automáticos Terminal de punto de venta (POS) 4 Contar con tarjetas de circuito integrado Dic 2014 4 Plan de trabajo Dic 2013 Plazo de adecuación: Dic 2013 13
Y las implicaciones para TI? Más proyectos Más trabajo Mayor presión 14
Agenda 1. Resumen de los Acuerdos de la SBP 2. Requerimientos y fechas importantes 3. Obteniendo soporte de la Dirección 4. Alineando las TI a los objetivos de negocio 5. Camino al cumplimiento 6. Presentación de Above Security 7. Servicios que apoyan el cumplimiento de requisitos de la SBP 8. Preguntas y respuestas 15
Obteniendo soporte de la dirección Análisis costo/beneficio Organizaciones promotoras de mejores prácticas Recomendaciones Estándares y normas Casos de negocio y análisis comparativos (Benchmarks) Proveedores Organizaciones de investigación y consultoría 16
Barreras comunes a iniciativas de TI Dificultad para identificar valor al negocio Percepción como proyecto técnico Disponibilidad de recursos Tiempo Personal Conocimiento técnico $$$ 17
Regulación: Un aliado para TI Guía sobre la aplicación de mejores prácticas y la selección de controles de seguridad Define líneas de base de controles de seguridad Provee apoyo a la implementación de iniciativas de seguridad de las TI Promueve implicación de las áreas de negocio Facilita asignación de recursos Provee medidas para forzar cumplimiento 18
Gestión de Riesgo Todas las áreas trabajan juntas para minimizar el riesgo Interrupción del servicio Pérdida de datos Multas, sanciones Mala imagen Fraudes La seguridad de la información no debería de ser responsabilidad de TI solamente: Es una cuestión corporativa! 19
Agenda 1. Resumen de los Acuerdos de la SBP 2. Requerimientos y fechas importantes 3. Obteniendo soporte de la Dirección 4. Alineando las TI a los objetivos de negocio 5. Camino al cumplimiento 6. Presentación de Above Security 7. Servicios que apoyan el cumplimiento de requisitos de la SBP 8. Preguntas y respuestas 20
El gran desafío de TI 003-03 Alineación estratégica: elaborar un plan estratégico de TI en el que se defina las iniciativas de TI alineadas con las metas del negocio, sus planes y operaciones. Business alignment Business accountability 21
Alineando las TI a los objetivos de negocio Actividades que son responsabilidad de las áreas de negocio para orientar las actividades de TI (*) : Definición de Políticas; Definición de apetito al riesgo; Clasificación y pertenencia (ownership) de datos; Definición de niveles de acceso; Análisis de impacto al negocio (BIA). (*) Herramienta para diagnóstico de iniciativas corporativas que pueden impactar las TI 22
Políticas Definen la posición de la dirección en relación a la protección de sus activos informáticos; Definen expectativas de la dirección en relación a comportamiento esperado de sus empleados; Establecen lineamientos para la aplicación de medidas de seguridad; Formaliza la asignación de responsabilidades y el apoyo al equipo de implementación. 23
Gestión de Riesgo Apetito al riesgo/tratamiento de riesgo Define tolerancia al riesgo en términos de impacto al negocio: Financiero; Nivel de servicio; Seguridad del personal; Imagen de la compañía; Incumplimiento de disposiciones legales. Provee líneas directrices para tratamiento del riesgo: Aceptar/Mitigar/Transferir/Evitar 24
Mitigar el riesgo (a un costo razonable) y cumplir con las normas regulatorias MATRIZ DE RIESGO 25
Clasificación de datos Identifica propietario de datos (área de negocio); Define sensibilidad de datos en función de impacto al negocio relacionados con: Pérdida (Disponibilidad); Alteración indebida (Integridad); Divulgación no autorizada (Confidencialidad). Propietario define reglas de acceso y utilización; IT funge como custodio de los datos y se encarga de aplicar las reglas definidas por el propietario. 26
Análisis de Impacto al Negocio (BIA) Identifica procesos de negocio y sus correspondientes propietarios (responsables de negocio); Identifica procesos críticos en función del impacto al negocio en caso de: Interrupción del servicio; Degradación de servicio. Identifica infraestructura y servicios que soportan procesos críticos. Determina medidas de protección necesarias para asegurar continuidad del negocio. IT se encarga de implementar las medidas definidas por el propietario (responsable) de negocio. 27
Agenda 1. Resumen de los Acuerdos de la SBP 2. Requerimientos y fechas importantes 3. Obteniendo soporte de la Dirección 4. Alineando las TI a los objetivos de negocio 5. Camino al cumplimiento 6. Presentación de Above Security 7. Servicios que apoyan el cumplimiento de requisitos de la SBP 8. Preguntas y respuestas 28
Conclusión: La nueva regulación Promueve un buen gobierno de los bancos; Promueve implicación de la alta dirección; Orienta sobre iniciativas para asegurar un nivel mínimo de seguridad en el sector bancario; Es un valioso aliado para impulsar iniciativas dirigidas a mejorar la seguridad de los bancos; Orienta la toma de decisiones sobre inversiones en TI; Promueve eficiencia y operación más segura; Promueve mejora continua. Incluye mecanismos para asegurar una evaluación periódica de la eficiencia de los controles implementados. 29
Camino al cumplimiento Asegurar implicación de las áreas de negocio Realizar análisis de diferencias (Gap analysis) en relación a los controles exigidos de la SBP y considerando el modelo de negocios del banco Identificar capacidades y habilidades requeridas Analizar capacidades Planificar implementación Desarrollar capacidades Identificar necesidad de apoyo externo Implementar Verificar 30
Agenda 1. Resumen de los Acuerdos de la SBP 2. Requerimientos y fechas importantes 3. Obteniendo soporte de la Dirección 4. Alineando las TI a los objetivos de negocio 5. Camino al cumplimiento 6. Presentación de Above Security 7. Servicios que apoyan el cumplimiento de requisitos de la SBP 8. Preguntas y respuestas 31
Nuestra empresa Above Security, una empresa especializada en seguridad cibernética, ayuda a los bancos de varios países a cumplir con sus regulaciones locales. Fundada en 1999 Sirviendo a clientes en cerca de 40 países Sede y el Centro de Operaciones de Seguridad (SOC) en Montreal, Canadá Centro de Operaciones de Seguridad (SOC) en Suiza Industrias: finanza, seguros, salud, telecomunicaciones, servicios públicos Mercados: Canadá, Europa, África del Norte, Oriente Medio, el Caribe, América Latina 32
La misión de Above Security consiste en apoyar a sus clientes en la optimización de su gestión de riesgos informáticos mediante servicios de consultoría estratégica y de monitoreo administrado de seguridad. 33 33
Portafolio de servicios Políticas de seguridad Plan de continuidad Plan de recuperación en caso de desastres GOVERNANCE CUMPLIMIENTO PCI-DSS ISO 27001 Control de acceso y auditoría IDS/IPS Gestión de logs Correlación de eventos MSS Gestión de respuesta a incidentes Análisis de vulnerabilidades Informes mensuales Pruebas de intrusión Revisión de la arquitectura y de la configuración Análisis forense Ingeniería social AUDITORÍA TÉCNICA FORMACIÓN Y SENSIBILIZACIÓN Taller de codificación segura Curso ISO 27001 de auditor líder Programa de sensibilización 34 34
Agenda 1. Resumen de los Acuerdos de la SBP 2. Requerimientos y fechas importantes 3. Obteniendo soporte de la Dirección 4. Alineando las TI a los objetivos de negocio 5. Camino al cumplimiento 6. Presentación de Above Security 7. Servicios que apoyan el cumplimiento de requisitos de la SBP 8. Preguntas y respuestas 35
Mapeo de los servicios de Above Security con los requerimientos de la SBP Acuerdo 006-2011 Articulo y puntos Descripción general 5.3,4,5,6,7 Mecanismos de supervisión de los riesgos asociados con la banca electrónica. 9 Revisiones externas. 10.1,2 Pruebas de intrusión y vulnerabilidad externa e interna. 11.6,7 Respuesta y comunicación de incidentes. Solución integral de monitoreo que contenga mecanismos de identificación, alerta tempranas, mitigación y seguimiento investigativo. 15.1 Servidor de logs, IDS, IPS. Almacenamiento de logs por un (1) año. Generar estadísticas y resúmenes. 36
Mapeo de los servicios de Above Security con los requerimientos de la SBP Acuerdo 007-2011 Articulo y puntos Descripción general 4 Nuestros servicios soportan el criterio de independencia requerido por la unidad de administración de riesgos. 7.1 Evitar fraudes o incidentes por parte del personal interno. 8 Identificar, medir, mitigar, monitorear, controlar e informar sobre los eventos de riesgo operativo. 9.1,2 Evitar fraudes internos e externos. 10 Determinar la probabilidad de ocurrencia e impacto de incidencias. 37
Mapeo de los servicios de Above Security con los requerimientos de la SBP Acuerdo 007-2011 Articulo y puntos Descripción general 11 Mitigación. Nuestros analistas le apoyan en mitigar riesgos descubiertos en una base 24x7. 12 Monitoreo y control. 13 Informar. Los reportes generados mensualmente pueden ser útiles para informar la alta gerencia sobre la gestión del riesgo que se esta realizando. 16.4 Reportes periódicos sobre los niveles de exposición al riesgo operativo. 17.4,5 Supervisar que los riesgos operativos sean consistentemente identificados, medidos, mitigados, monitoreados y controlados. 38
Mapeo de los servicios de Above Security con los requerimientos de la SBP Acuerdo 007-2011 Articulo y puntos Descripción general 22 Autoevaluaciones. Nuestros servicios incluyen una herramienta de escaneo de vulnerabilidades interno. 23.2 Nivel de detalle del registro de eventos. 28 Informe sobre los resultados de la gestión de riesgo operativo. Base de datos de eventos e incidencias. 39
Servicios de monitoreo Vigilancia 24x7 por parte del equipo de analistas de los Security Operations Centers (SOC) Gestión, agregación, correlación de logs Correlación de eventos Detección/prevención contra intrusiones (IDS e IPS) Gestión, escaneo de las vulnerabilidades Acceso al portal de la seguridad Manejo y respuesta a incidentes Producción de reportes mensuales sobre la postura de seguridad 40
Beneficios de los Servicios Visión imparcial de un tercero Más de una década de experiencia Mejor enfoque de sus empleados en actividades estratégicas Visión centralizada de su situación de seguridad en tiempo real Ayuda a prevenir ataques gracias a la capacidad de identificación de vulnerabilidades Mejor definición sobre el impacto potencial de cada ataque Mejora de productividad por la reducción del manejo inapropiado de sus sistemas de información 41
Muchas gracias! Canadá Sede Principal Oficina 203 1919 boul. Lionel-Bertrand Boisbriand, QC J7H 1N8 Canadá +1 450 430 8166 info@abovesecurity.com Suiza Above Security Europa Technopôle 5 3960 Sierre Suiza +41 (0) 22 365 7510 europe@abovesecurity.com E.A.U. Above Security Medio Oriente P.O. Box 262746 Dubai Emiratos Árabes Unidos +971 481 37 758 middleeast@abovesecurity.com www.abovesecurity.com 42