EL RIESGO TECNOLGICO Y LAS MEJORES PRCTICAS APLICABLESRESOLUCIN DE JUNTA MONETARIA JM-102-2011

AGENDA: RIESGO DEIFNICIN DE RIESGO TECNOLGICO GESTIN DEL RIESGO TECNOLGICO MEJORES PRCTICAS RELACIONADAS NORMATIVA INTERNACIONAL RIESGOS EN EL SECTOR FINANCIERO REGLAMENTO PARA LA ADMINISTREACIN DEL RIESGO RECNOLGICO

RIESGOEs la probabilidad de que suceda un evento con consecuencias adversas.El trmino se asocia generalmente con prdidas financieras, se describe como una incertidumbre que podra resultar en prdidas o fluctuaciones adversas en la rentabilidad.EL RIESGO TECNOLGICOLa contingencia de que la interrupcin, alteracin, o falla de la infraestructura de TI, sistemas de informacin, bases de datos y procesos de TI, provoque prdidas financieras a la institucin.IDENTIFICACIN DE VULNERABILIDADES DE SEGURIDADALGUNAS ESTADSTICAS: 91% de las empresas encuestadas en todo el mundo fueron vctimas de por lo menos un ataque al ao. Slo el 35% de las organizaciones detecta filtraciones en los primeros minutos. Un nuevo modelo econmico dice que el costo total por ciberataques, para la economa de los EE.UU. es de al menos U$100 mil millones anuales, con la correspondiente prdida de nada menos que medio milln de puestos de trabajo. Alrededor de $673 mil es el coste medio en el que incurren las grandes empresas como consecuencia de un ciberataque. En las empresas de tamao medio es de aproximadamente $51 mil.LOS MOTIVOS: Aunque algunos negocios creen que la mayor cantidad de ataques viene de afuera, resulta alarmante identificar que el 44% de los cibercrmenes han sido originados desde adentro de la organizacin por estas razones: Malestar personal Inters de una entidad externa Curiosidad (hackeo) Vulnerabilidad en los sistemas Inters de una entidad externa Ganancia financiera Otros.IMPLICACIONES DEL RIESGO TECNOLGICO Imagen Econmico Ambiental LegalQU HACER CON EL RIESGO Correrlo/Ignorarlo = Crisis Riesgo No correrlo = Sin negocioGESTIN DEL RIESGO TECNOLGICOPor qu gestionarlo? Las Tecnologas de Informacin (TI) juegan un rol importante en el desarrollo de las actividades de las organizaciones [G. Hardy, 2006]. Alineacin de la TI para soporten el logro de los del negocio es una tarea fundamental. Aseguramiento del valor de la TI. El incremento en el nmero de requerimientos normativos y de control.MEJORES PRCTICAS RELACIONADAS Normas generales del negocio Balanced Scorecard ISO 9000 Six Sigma COSO Estndares de Auditora: SIAS GAAP GAAS SISA Estndares detallados de Tecnologa: COBIT IT GOVERNANCE INSTITUTE CMMI ITIL IEEE ISO Estndares detallados de la Industria Sun Microsystems HP Microsoft

LA DETERMINACIN DEL NIVEL DE RIESGO TECNOLGICO Y LA ALTA DIRECCINALGUNOS ESTNDARES A CONSIDERAR: COBIT 5 ISO 27000 PCI-DSS = Para seguridad en tarjetas de crditoCOSO II: ERMEstndar COSO II Ambiente interno Formulacin de objetivos Identificacin de eventos Evaluacin del riesgo Actividades de control Informacin y comunicacin Monitoreo

LA DETERMINACIN DEL NIVEL DE RIESGO TECNOLGICO Y LA ALTA DIRECCINEVALUAR, DIRIGIR & MONITOREAR (DOMINIO DE GOBIERNO DE TI)DOMINIOS CON PROCESOS PARA EL MANAGEMENT DE IT: ALINEAR, PLANEAR & ORGANIZAR CONSTRUIR, ADQUIRIR & IMPLEMENTAR ENTREGAR, SERVIR & SOPORTAR MONITOREAR & EVALUAR

ESTRATEGIA DEL SERVICIO1. Gestin financiera2. Gestin del portafolio3. Gestin de la demandaDISEO DEL SERVICIO1. Gestin del catlogo de servicios2. Gestin de niveles de servicio3. Gestin de la disponibilidad4. Gestin de la capacidad5. Gestin de la continuidad de los servicios de TI6. Gestin de proveedores7. Gestin de la seguridad de informacin8. Coordinacin del diseoTRANSICIN DEL SERVICIO1. Gestin de la configuracin y activos2. Gestin del cambio3. Gestin del conocimiento4. Planificacin y apoyo a la transicin5. Gestin de relase y despliegue6. Gestin, validacin y pruebas7. Evaluacin (Evaluacin del cambio)OPERACIN DEL SERVICIO1. Gestin de incidentes2. Gestin de problemas3. Cumplimiento de solicitudes4. Gestin de eventos5. Gestin de accesosPCI-DSS1. Desarrollar y mantener una red segura2. Proteger los datos del titular de la tarjeta3. Desarrollar un programa de administracin de vulnerabilidades4. Implementar medidas slidas de control de acceso5. Supervisar y probar las redes con regularidad6. Mantener una poltica de seguridad de la informacinISO 27000 ESTRUCTURA Seguridad organizativa Seguridad lgica Seguridad fsica Seguridad legal

RIESGOS EN EL SECTOR FINANCIEROCRDITIO El deudor o contraparte incumpla sus obligaciones en los trminos acordados.MERCADO Existan movimientos adversos en precios en los mercados financieros.LIQUIDEZ La institucin no tenga capacidad para fondear incrementos en sus activos o cumplir con sus obligaciones oportunamente.OPERACIONAL La inadecuacin o fallas de procesos, de personas, de personas, de los sistemas internos, o bien a causa de eventos externos.

REGLAMENTO PARA LA ADMINISTRACIN DEL RIESGO TECNOLGICOJM-102-2011 LEY DE BANCOS Y GRUPOS FINANCIEROS ARTCULO 21. DEBERES Y ATRIBUCIONES DEL CONSEJO DE ADMINISTRACIN. ARTCULO 55. RIESGOS. Los bancos y las empresas que integran grupos financieros debern contar con procesos integrales que incluyan, segn el caso, la administracin de riesgos de crdito, de mercado, de tasas de inters, de liquidez, cambiario, de transferencia, operacional y otros a que estn expuestos, que contengan sistemas de informacin y un comit de gestin de riesgos.RIESGO OPERACIONALEs la contingencia de que una institucin incurra en prdidas debido a la inadecuacin o a fallas de procesos, de personas, de los sistemas internos, o bien a causa de eventos externos. Incluye los riesgos tecnolgico y legal.PRINCIPALES ASPECTOS REGULADOSCAPTULO II: ORGANIZACIN PARA LA ADMINISTRACIN DEL RIESGO TECNOLGICO Plan estratgico de TI Organizacin de TI Manual de administracin de riesgo tecnolgicoCAPTULO III: INFRAESTRUCTURA DE TI, SISTEMAS DE INFORMACIN, BASES DE DATOS Y SERVICIOS DE TI Esquema de la informacin del negocio. Inventarios de infraestructura de TI, sistemas de informacin y bases de datos. Administracin de las bases de datos Monitoreo de TI Adquisicin, mantenimiento e implementacin de TI Gestin de servicios de TI Ciclo de vida de los sistemas de informacin CAPTULO IV: SEGURIDAD DE LA TECNOLOGA DE LA INFORMACIN Confidencialidad, integridad y disponibilidad de los datos Clasificacin de la informacin Monitoreo de la seguridad Roles y responsabilidades Seguridad Lgica Seguridad Fsica Copias de respaldo Operaciones y servicios a travs de canales electrnicosCAPTULO V: CONTINUIDAD DE OPERACIONES DE TI Plan de continuidad de operaciones de TI BIA DRP Centro de cmputo alternoCAPTULO VI: PROCESAMIENTO DE INFORMACIN Y TERCERIZACIN PROCESAMIENTO DE INORMACIN Libre acceso a la SIB Replicacin en tiempo real Personal tcnico capacitado TERCERIZACIN Confidencialidad SLA Cumplimiento de ste reglamentoRIESGO TECNOLGICOCMO GESTIONARLO? Identificar Medir Monitorear Controlar