Riesgo Operativo - Com. “A” 4609
Lic. Marcelo H. GonzálezGerencia de Auditoría Externa de Sistemas
Superintendencia de Entidades Financieras y Cambiarias
Banco Central de la República Argentina
2
Principales Carencias Com. “A” 3198
– Fue desarrollada en 1996; ha alcanzado un grado
crítico de obsolescencia;
– Se basa en controles generales, y mezcla
requerimientos tecnológicamente específicos;
– No es flexible a los cambios tecnológicos;
– Está orientada a cumplimiento más que a la
administración del riesgo.
3
Principales Carencias (continuación)
– No contempla exigencias relacionadas con
actividades de riesgo tecnológico :
Responsabilidad vs. Riesgo;
• Banca por Internet;
• Instrumentos de débito y pago;
• Banca Móvil (basada en la telefonía móvil);
• No requiere prácticas de:
– Detección de Intrusos,– Security Awareness,– Gestión Integral de la seguridad,– Administración de Riesgo de la Continuidad, ...
4
Razones Básicas de Modificación
• Surge como una necesidad para adecuar la normativa
vigente a la realidad del sistema financiero;
• Contempla la gestión y el control para la protección de
los activos informáticos,
• Brinda mejores prácticas a efectos de lograr un
equilibrio en la administración de los riegos y la
eficiencia en la administración de los datos;
• Considera las amenazas y vulnerabilidades asociadas
a cada entorno tecnológico;
5
• Cuenta con un conjunto de requisitos de sana gestión que han sido tomados de:
• Normas ISO ( 17799, 27001, 15408);
• COBIT, estándar internacional de Objetivos de Control de la Tecnología Informática;
• Sanas Prácticas de BASILEA;
• Experiencia de más de 10 años en el control de las entidades financieras.
Basada en Estándares Internacionales
“REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA,
SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS”
RIESGO OPERATIVO
7
Tendencia de la Gestión del Riesgo
1980s 1990s 2000s
Crédito
Mercado
Operaciones
Negocios
Organizacional
Crédito Crédito
Mercado
Foco en Riesgo de
Crédito
Foco en
RiesgoFinanciero
Foco en
Riesgo Integrado
Operativo
8
Relevancia del Riesgo Operativo
Menú de Enfoques para medir Riesgo Operativo
� Enfoque del indicador básico (Actividad Bancaria Total)
� Enfoque Estandarizado (por línea de negocio)
� Enfoque de medición interna (pérdidas)
Riesgo de Crédito
CAPITAL TOTAL
Riesgo de Mercado Riesgo Operativo
Relación de Capital del Banco (mínimo
8%)
El Comité de Basilea ha estado trabajando con el sector para desarrollar un cargo de capital por riesgo operativo (por ejemplo, el riesgo de pérdida por fallas en las computadoras, documentación insuficiente o de mala calidad o fraudes). Muchos de los bancos más grandes asignan 20% o más de su capital interno al riesgo operativo.
“El riesgo resultante de inadecuados o fallidos procesos
internos, personas o sistemas o de un evento externo”
Comité de Basilea
9
Controlar el Riesgo Operativo
Control se define como:
Las políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para garantizar razonablemente que los objetivos del negocio serán alcanzados y que eventos no deseables serán prevenidos o detectados y corregidos.
PRÁCTICAS DE CONTROL
Regulaciones BCRA
25 Principios de Basilea
12 Principios de Riesgo Operativo
Normas ISO-IEEE
Principios OCC
Principios FSA
Estándares ISACA
10
Desarrollo de un marco adecuado para la gestión del riesgo.Principios 1, 2 y 3
Gestión del riesgo: identificación, evaluación, seguimiento y
cobertura/control.Principios 4, 5, 6 y 7
La función de los supervisores.Principios 8 y 9
La función de la divulgación de información.Principio 10
10 Principios de Riesgo Operativo
Principios que
gobiernan una
buena practica de
gestión del riesgo
operativo en
Basilea II.
11
10 Principios de Riesgo Operativo
• Principio 1: El Consejo de administración deberá conocer cuáles son los principales aspectos
de los riesgos operativos para el banco, como una categoría de riesgo diferenciada, y deberá
aprobar y revisar periódicamente el marco que utiliza el banco para la gestión de este riesgo.
Este marco deberá ofrecer una definición de riesgo operativo válida para toda la empresa y
establecer los principios para definir, evaluar, seguir y controlar o mitigar este tipo de riesgos.
• Principio 2: El consejo de administración deberá asegurar que el marco para la gestión del
riesgo operativo en el banco esté sujeto a un proceso de auditoría interna eficaz e integral por
parte de personal independiente, capacitado y competente. La función de auditoría interna no
deberá ser directamente responsable de la gestión del riesgo operativo.
• Principio 3: La alta gerencia deberá ser la responsable de poner en práctica el marco para la
gestión del riesgo operativo aprobado por el consejo de administración. Dicho marco deberá ser
aplicado de forma consistente en toda la organización bancaria y todas las categorías laborales
deberán comprender sus responsabilidades al respecto. La alta gerencia también deberá ser
responsable del desarrollo de políticas, procesos y procedimientos destinados a la gestión de
estos riesgos para todos los productos, actividades, procesos y sistemas relevantes para el
banco.
12
10 Principios de Riesgo Operativo
• Principio 4: Los bancos deberán identificar y evaluar el riesgo operativo inherente a todos sus productos, actividades, procesos y sistemas relevantes. Además, también deberán comprobar que antes de lanzar o presentar nuevos productos, actividades, procesos o sistemas, se evalúa adecuadamente su riesgo operativo inherente.
• Principio 5: Los bancos deberán vigilar periódicamente los perfiles de riesgo operativo y las exposiciones sustanciales a pérdidas. La alta gerencia y el consejo de administración deberán recibir información pertinente de forma periódica que complemente la gestión activa del riesgo operativo.
• Principio 6: Los bancos deberán contar con políticas, procesos y procedimientos para controlar y cubrir los riesgos operativos más relevantes. Además, deberán reexaminar periódicamente sus estrategias de control, reducción de riesgos y ajustar su perfil de riesgo operativo según corresponda, utilizando para ello las estrategias que mejor se adapten a su apetito por el riesgo y a su perfil de riesgo.
• Principio 7: Los bancos deberán contar con planes de contingencia y de continuidad de la actividad, que aseguren su capacidad operativa continua y que reduzcan las pérdidas en caso de interrupción grave de la actividad.
13
10 Principios de Riesgo Operativo
• Principio 8: Los supervisores bancarios deberán exigir a todos los bancos, sea cual sea su tamaño, que mantengan un marco eficaz para identificar, evaluar, seguir y controlar o mitigar sus riesgos operativos más relevantes, como parte de su aproximación general a la gestión de riesgos.
• Principio 9: Los supervisores deberán realizar, directa o indirectamente, una evaluación periódica independiente de las políticas, prácticas y procedimientos con los que cuentan los bancos para gestionar sus riesgos operativos. Además, deberán cerciorarse de que se han puesto en marcha los mecanismos necesarios para estar al tanto de cualquier novedad que se produzca en un banco.
• Principio 10: Los bancos deberán proporcionar información pública suficiente para que los partícipes del mercado puedan evaluar sus estratégicas de gestión del riesgo operativo.
Buenas prácticas para la gestión y supervisión del riesgo operativo. http://www.bis.org/publ/bcbs96.htm
14
Principios para a la Banca Electrónica
• Fijar políticas y mecanismos de seguimiento de los riesgos asociados con las actividades de la
banca electrónica.
• Revisar y aprobar los aspectos claves del proceso de control de la seguridad.
• Aplicar criterios de due diligence sobre el manejo de tercerización de actividades propias
(outsourcing).
• Establecer formas apropiadas de autenticar a los clientes.
• Proveer mecanismos para el no repudio y responsabilidad de las transacciones.
• Mantener una clara segregación de funciones de las tareas criticas.
• Asegurar control de acceso a las aplicaciones y datos.
• Contar con mecanismos para proteger de integridad de las transacciones y los datos.
• Asegurar la existencia de pistas de auditoría.
• Preservar la confidencialidad de la información.
• Informar adecuadamente en las canales electrónicos todos los aspectos legales.
• Asegurar la adherencia a los requisitos de confidencialidad del cliente según las leyes aplicables.
• Asegurar la disponibilidad permanente de los sistemas de banca electrónica.
• Establecer un adecuado proceso de atención de reclamos y atención de incidentes.
Risk management principles for electronic banking. http://www.bis.org/publ/bcbs98.htm
15
Tipificación de Riesgos Operativos
• Fraude interno: Errores intencionados en la información sobre posiciones, robos por parte de
empleados, utilización de información confidencial en beneficio de la cuenta del empleado, etc.
• Fraude externo: Atraco, falsificación, circulación de cheques en descubierto, daños por intrusión
en los sistemas informáticos, etc.
• Relaciones laborales y seguridad en el puesto de trabajo: Solicitud de indemnizaciones por
parte de los empleados, infracción de las normas laborales de seguridad e higiene, organización
de actividades laborales, acusaciones de discriminación, responsabilidades generales, etc.
• Daños a activos materiales: Terrorismo, vandalismo, terremotos, incendios, inundaciones, etc.
• Prácticas con los clientes, productos y negocios: Abusos de confianza, abuso de
información confidencial sobre el cliente, negociación fraudulenta en las cuentas del banco,
blanqueo de capitales, venta de productos no autorizados, etc.
• Alteraciones en la actividad y fallos en los sistemas: Fallos del hardware o del software,
problemas en las telecomunicaciones, interrupción en la prestación de servicios públicos, etc.
• Ejecución, entrega y procesamiento: Errores en la introducción de datos, fallos en la
administración del colateral, documentación jurídica incompleta, concesión de acceso no
autorizado a las cuentas de los clientes, prácticas inadecuadas de contrapartes distintas de
clientes, litigios con distribuidores, etc.
Según Basilea II
16
Riesgo Operativo
Mayor riesgo operativo puede existir en los
productos que se manejas por medios
automatizados, especialmente en aquellas
líneas de negocios que no hayan sido adecuada
y oportunamente planeadas, analizadas,
implementadas y controladas.
Fallas en los controles internos y en la administración corporativa, que pueden llevar a pérdidas financieras a través de error, fraude, o ejecuciones inoportunas que comprometan los intereses de la entidad. Incluye fallas importantes de TI/SI y eventos contingentes operativos. “Es el riesgo resultante de inadecuados o fallidos procesos internos; personas o sistemas, o de un evento externo”
Crédito
Mercado
Liquidez
Reputacional
Estratégico
Legal
Tasa de Interés
Transferencia
Operativo
“La banca, por su naturaleza, corre una considerable cantidad de riesgos. Es muy importante entender estos riesgos y considerar adecuado su medición y que se manejen de manera apropiada.”
17
Universo del Riesgo Operativo
Aplicación
Seguridad de la AplicaciónAdministración del
Contenido
Transformación de los datos
- Integridad
Integridad de las interfases
Proveedores
Mercado
Internet
intranet
Extranet
Acceso FísicoSeguridad del sistema operativo, Base
de datos, etc.
Encripción
Disponibilidad 24x7
Test de Penetración
Infraestructura Técnica
ExactitudIntegridad
Workflow de
aprobación y
revisión.
Controles de los Proc. de Neg.
Core
System
Aplicaciónes
Infraestructura de IT
Procesos de NegocioSeguridad de la Aplicación
Confidencialidad
Integridad
Segregación de Tareas
Aplicación
Riesgos propios
de la industria
Riesgos
vinculados con las
regulaciones y su cumplimiento
Riesgos
estratégicos
Ambiente de Riesgo
18
Riesgo Operativo y la Com. “A” 4609
Crédito
Mercado
Liquidez
Reputacional
Estratégico
Legal
Tasa de Interés
Transferencia
Operativo
Gestión de TI
Seguridad Infor. TI/SI
Continuidad
Integridad de datos
Delegación
Opereraciones
Infraestructura - canales
Alineación a la Com. “A” 4609
Ba
nca
Ele
ctró
nic
a
Este riesgo es muy importante por la naturaleza tecnológica de muchos de los procesos de negocio.
19
Riesgo Operativo y la Com. “A” 4609
Comité de Tecnología Informática.
Integración y funciones.
Políticas y procedimientos.
Análisis de Riesgos.
Dependencia del área de Tecnología
Informática y Sistemas.
Gestión de Tecnología Informática y
Sistemas.
Planificación.
Control de gestión.
Segregación de funciones.
Objetivos de control interno
Gestión de TI
Seguridad Infor. TI/SI
Continuidad
Integridad de datos
Delegación
Opereraciones
Infraestructura - canales
20
Riesgo Operativo y la Com. “A” 4609
Gestión de la seguridad.
Dependencia del área.
Estrategia de seguridad.
Planeamiento de los recursos.
Política de protección.
Clasificación de los activos de información.
Estándares de acceso.
Control de utilidades especiales.
Registros de seguridad y pistas de auditoría.
Alertas de seguridad y software de análisis.
Software malicioso.
Responsabilidades del área.
Control y monitoreo.
Implementación de los controles de seguridad
física aplicados a los activos de información.
Gestión de TI
Seguridad Infor. TI/SI
Continuidad
Integridad de datos
Delegación
Opereraciones
Infraestructura - canales
Objetivos de control interno
21
Riesgo Operativo y la Com. “A” 4609
Responsabilidades sobre la planificación de
la continuidad del procesamiento de datos.
Análisis de impacto.
Instalaciones alternativas de procesamiento
de datos.
Plan de continuidad del procesamiento de
datos.
Mantenimiento y actualización del plan de
continuidad de procesamiento de datos.
Pruebas de continuidad del procesamiento
de datos.
Gestión de TI
Seguridad Infor. TI/SI
Continuidad
Integridad de datos
Delegación
Opereraciones
Infraestructura - canales
Objetivos de control interno
22
Riesgo Operativo y la Com. “A” 4609
Responsabilidad del área.
Inventario tecnológico.
Políticas y procedimientos para la operación
de los sistemas informáticos y manejadores
de datos.
Procedimientos de resguardos de información,
sistemas productivos y sistemas de base.
Mantenimiento preventivo de los recursos
tecnológicos.
Administración de las bases de datos.
Gestión de cambios al software de base.
Control de cambios a los sistemas productivos.
Mecanismos de distribución de información.
Manejo de incidentes.
Medición y planeamiento de la capacidad.
Soporte a usuarios.
Gestión de TI
Seguridad Infor. TI/SI
Continuidad
Integridad de datos
Delegación
Opereraciones
Infraestructura - canales
Objetivos de control interno
23
Riesgo Operativo y la Com. “A” 4609
Controles generales.
Controles particulares para cada canal
donde se cursen transacciones - cajeros
automáticos (ATM’s), puntos de venta
(POS), Internet (ebanking), dispositivos
móviles, atención telefónica (Phone
Banking), y otros -.
Gestión de TI
Seguridad Infor. TI/SI
Continuidad
Integridad de datos
Delegación
Opereraciones
Infraestructura - canales
Objetivos de control interno
24
Riesgo Operativo y la Com. “A” 4609
Actividades Factibles de Delegación.
Responsabilidades propias de la entidad.
Formalización de la delegación.
Responsabilidades del tercero.
Implementación del procesamiento de datos
en un tercero.
Control de las actividades delegadas.
Planificación de continuidad de la operatoria
delegada.
Gestión de TI
Seguridad Infor. TI/SI
Continuidad
Integridad de datos
Delegación
Opereraciones
Infraestructura - canales
Objetivos de control interno
25
Riesgo Operativo y la Com. “A” 4609
Cumplimiento de requisitos normativos.
Integridad y validez de la información.
Administración y registro de las operaciones.
Sistemas de información que generan el
régimen informativo a remitir y/o a
disposición del Banco Central de la
República Argentina.
Documentación de los sistemas de
información.
Gestión de TI
Seguridad Infor. TI/SI
Continuidad
Integridad de datos
Delegación
Opereraciones
Infraestructura - canales
Objetivos de control interno
26
Principios vs. Com. “A” 4609
Principio 1: El Consejo de administración deberá conocer cuáles son los principales aspectos de los riesgos operativos para el banco, como una categoría de riesgo diferenciada, y deberá aprobar y revisar periódicamente el marco que utiliza el banco para la gestión de este riesgo. Este marco deberá ofrecer una definición de riesgo operativo válida para toda la empresa y establecer los principios para definir, evaluar, seguir y controlar o mitigar este tipo de riesgos.
El Alta Dirección es el responsable primario del establecimiento y la existencia de un área que gestione y administre los riesgos relacionados al procesamiento de datos, sistemas y tecnologías relacionadas para todos los canales electrónicos por los que la entidad financiera realiza el ofrecimiento de sus productos y servicios, dado el impacto en el riesgo operativo por fallos en los mismos.
Principios Basilea II
Relevancia vinculada a TI/SI
Gobierno del
Riesgo de TI/SI
Sección 1. Aspectos generales.
27
Principios vs. Com. “A” 4609
Principio 2: El consejo de administración deberá asegurar que el marco para la gestión del riesgo operativo en el banco esté sujeto a un proceso de auditoría interna eficaz e integral por parte de personal independiente, capacitado y competente. La función de auditoría interna no deberá ser directamente responsable de la gestión delriesgo operativo.
La función de auditoría de TI/SI deberá estar lo suficientementepreparada de acuerdo al perfil de riesgo y automatización de losprocesos de negocio, incluyendo la provision de suficientes fondos para la contratación de especialistas, cuando sea necesario.
Principios Basilea II
Relevancia vinculada a TI/SI
Control de TI/SI
2.5.2. Control de gestión.
28
Principios vs. Com. “A” 4609
Principio 3: La alta gerencia deberá ser la responsable de poner en práctica el marco para la gestión del riesgo operativo aprobado por el consejo de administración. Dicho marco deberá ser aplicado de forma consistente en toda la organización bancaria y todas las categorías laborales deberán comprender sus responsabilidades al respecto. Laalta gerencia también deberá ser responsable del desarrollo de políticas, procesos y procedimientos destinados a la gestión de estos riesgos para todos los productos, actividades, procesos y sistemas relevantes para el banco.
Las políticas como los procedimientos deben estar claramente escritos, identificar los riesgos que mitigan, ser formalmente comunicados, mantenerse actualizados, establecer la asignación de responsabilidades, y ser la base de la coordinación y realización de las tareas, como así también el instrumento que permita el entrenamiento sobre las actividades vinculadas a la administración y/o procesamiento de datos, sistemas o tecnologías relacionadas de la entidad.
Principios Basilea II
Relevancia vinculada a TI/SI
Gobierno del
Riesgo de TI/SI
2.2. Políticas y procedimientos.
29
Principios vs. Com. “A” 4609
Principio 4: Los bancos deberán identificar y evaluar el riesgo operativo inherente a todos sus productos, actividades, procesos y sistemas relevantes. Además, también deberán comprobar que antes de lanzar o presentar nuevos productos, actividades, procesos o sistemas, se evalúa adecuadamente su riesgo operativo inherente.
Se deberá evidenciar la existencia de análisis de riesgos formalmente realizados y documentados sobre los sistemas de información, la tecnología informática y sus recursos asociados. Los resultados de los análisis mencionados y sus actualizaciones periódicas deben ser formalmente reportados al Directorio, que será el responsable primario de gestionar que las debilidades que expongan a la entidad financiera a niveles de riesgo operativo alto o inaceptable seancorregidas a niveles aceptables.
Principios Basilea II
Relevancia vinculada a TI/SI
Gobierno del
Riesgo de TI/SI
2.3. Análisis de Riesgos.
30
Principios vs. Com. “A” 4609
Principio 5: Los bancos deberán vigilar periódicamente los perfiles de riesgo operativo y las exposiciones sustanciales a pérdidas. La alta gerencia y el consejo de administración deberán recibir información pertinente de forma periódica que complemente la gestión activa del riesgo operativo.
Se deberá evidenciar la existencia de reportes formales, que sean el resultado del control ejercido en los procesos automatizados, que mayores riesgos implícitos posean, y los mismos reflejen los desvíos sobre los riesgos residuales y las practicas de control ejercida.
Principios Basilea II
Relevancia vinculada a TI/SI
Gobierno del
Riesgo de TI/SI
2.1. Comité de Tecnología
Informática. Integración y
funciones.
31
Principios vs. Com. “A” 4609
Principio 6: Los bancos deberán contar con políticas, procesos y procedimientos para controlar y cubrir los riesgos operativos más relevantes. Además, deberán reexaminar periódicamente sus estrategias de control, reducción de riesgos y ajustar su perfil de riesgo operativo según corresponda, utilizando para ello las estrategias que mejor se adapten a su apetito por el riesgo y a su perfil de riesgo.
De acuerdo con sus operaciones, procesos y estructura, las entidades financieras deben definir una estrategia de protección de activos de TI/SI, que conlleve control y reducción de los riesgos, que les permita optimizar la efectividad en la administración y el control de los mismos. Dicha estrategia debe considerar las amenazas y las vulnerabilidades asociadas a cada entorno tecnológico, su impacto en el negocio, los requerimientos y los estándares vigentes. Para ello deben asignar claramente roles y responsabilidades en materia deseguridad, comprometiendo a los máximos niveles directivos y gerenciales
Principios Basilea II
Relevancia vinculada a TI/SI
Gobierno del
Riesgo de TI/SI
Sección 1. Aspectos generales.
2.3. Análisis de Riesgos.
32
Principios vs. Com. “A” 4609
Principio 7: Los bancos deberán contar con planes de contingencia y de continuidad de la actividad, que aseguren su capacidad operativa continua y que reduzcan las pérdidas en caso de interrupción grave de la actividad.
El Alta Dirección, es el responsable primario por la identificación, la valorización, la gestión y el control de los riesgos. Debe asegurar la existencia y la provisión de los recursos necesarios para la creación, mantenimiento y prueba de un plan de recuperación del procesamiento electrónico de datos. El mismo deberá ser operable y funcional, acorde a los requerimientos de negocio de la entidad financiera y de los organismos de control. Deberá designarse formalmente un área o sector, que será responsable de la creación, mantenimiento y prueba satisfactoria del plan de recuperación del procesamiento electrónico de datos. La continuidad es considerada como un proceso que se inicia con la recuperación durante la contingencia, y concluye con la vuelta a la normalidad una vez controladas las causas que generaron dicha contingencia.
Principios Basilea II
Relevancia vinculada a TI/SI
Gobierno de la
continuidad
Sección 4. Continuidad del
procesamiento electrónico de
datos.
33
Principios vs. Com. “A” 4609
Principio 8: Los supervisores bancarios deberán exigir a todos los bancos, sea cual sea su tamaño, que mantengan un marco eficaz para identificar, evaluar, seguir y controlar o mitigar sus riesgos operativos más relevantes, como parte de su aproximación general a la gestión de riesgos.
El Alta Dirección, es el responsable primario por la identificación, la valorización, la gestión y el control de los riesgos de TI/SI que impacten en el riesgo operativo de la entidad, para ello deberán tener en lugar controles internos que como mínimo satisfagan las expectativas del regulador.
Principios Basilea II
Relevancia vinculada a TI/SI
Gobierno del
Riesgo de TI/SI
Sección 1. Aspectos generales.
34
Principios vs. Com. “A” 4609
Principio 9: Los supervisores deberán realizar, directa o indirectamente, una evaluación periódica independiente de las políticas, prácticas y procedimientos con los que cuentan los bancos para gestionar sus riesgos operativos. Además, deberán cerciorarse de que se han puesto en marcha los mecanismos necesarios para estar al tanto de cualquier novedad que se produzca en un banco.
El Alta Dirección, es el responsable primario por la existencia de políticas, practicas y procedimientos que regulen las actividades y controlen los riesgos, y que los mismos, junto con los procesos que se vinculen, estén siempre en condiciones de ser auditados y permitan evidenciar sanas practicas de control.
Principios Basilea II
Relevancia vinculada a TI/SI
Auditoría de
TI/SI
Verificación de adecuación
normativa y gestión del riesgo
35
Principios vs. Com. “A” 4609
Principio 10: Los bancos deberán proporcionar información pública suficiente para que los partícipes del mercado puedan evaluar sus estratégicas de gestión del riesgo operativo.
El Alta Dirección, es la responsable de hacer evidente a sus clientes, y accionistas, la aplicación de sanas practicas en la mitigación de los riesgos, como por ejemplo informando en cada uno de los canales electrónicos, cuales son las políticas de seguridad de alto nivel que se aplican.
Principios Basilea II
Relevancia vinculada a TI/SI
Difusión y
escalación
Verificación de adecuación
normativa y gestión del riesgo
36
Ejs. Eventos/Causas - > Com. “A” 4609
2.5.3. Segregación de funciones.
Mal uso de software, hardware y/o otros recursos,
Abusos de autoridad y/o privilegios,
Descuidos intencionales en la protección de la seguridad,
Incompetencia funcional, ...
Relaciones laborales y seguridad en el puesto de trabajo
3.1.2. Estrategia de seguridad de acceso a los activos de información.
3.1.4. Política de protección.
3.1.4.5 Alertas de seguridad y software de análisis.
3.1.4.6. Software malicioso.
Cambios indebidos a sistemas o datos por hacking,
Acceso externo a información confidencial,
Intercepción de comunicaciones en forma no autorizada,
Uso indebido de derechos en los accesos remotos,
Ataques de virus y/o malware,...
Fraude externo
2.5.3. Segregación de funciones.
3.1.2. Estrategia de seguridad de acceso a los activos de información.
3.1.4. Política de protección.
3.1.4.3. Programas de utilidad con capacidades de manejo de datos -Usuarios privilegiados y de contingencia.
Modificación indebida de programas,
Modificación de funciones o uso no autorizado,
Manejo indebido de funciones de sistema operativo,
Uso indebido de hardware,
Cambios indebidos a sistemas o datos por hacking,
Uso o copia de software violando copyrights,
Abuso de las atribuciones o privilegios, ....
Fraude interno
Com. “A” 4609Causas probables relacionadas con TI/SIBasilea II
37
Ejs. Eventos/Causas - > Com. “A” 4609
3.2. Implementación de los controles de seguridad física aplicados a los activos de información.
Daño intencional o accidental de activos de información y/o recursos de tecnología,...
Daños a activos materiales
5.3. Políticas y procedimientos para la operación de los sistemas informáticos y manejadores de datos.
4.1. Responsabilidades sobre la planificación de la continuidad del procesamiento de datos.
Errores o fallas en medios electrónicos,Estaciones de trabajo no atendidas,Errores en el control de cambios a programas,Ingreso incompleto en el ingreso de las transacciones,Errores en el ingreso o salida de datos,Errores en la programación o en las pruebas...
Ejecución, entrega y procesamiento
4.1. Responsabilidades sobre la planificación de la continuidad del procesamiento de datos.
4.4. Plan de continuidad del procesamiento de datos.
Fallas o malfuncionamiento de hardware / software,Fallas en las telecomunicaciones,Perdida de recursos humanos,Destrucción de software / datos,Ataques de virus,Fallas de los resguardos de información,Ataques de denegación de servicio,Errores de configuración,Eventos adversos, ...
Alteraciones en la actividad y fallos en los sistemas
3.1.5.1. Control y monitoreo.Malas practicas llevadas por terceras partes vinculadas,Divulgación de proyectos confidenciales, ...
Prácticas con los clientes, productos y negocios
Com. “A” 4609Causas probables relacionadas con TI/SIBasilea II
38
Finalmente no nos encontremos así …
“REQUISITOS MÍNIMOS DE GESTIÓN, IMPLEMENTACIÓN, Y CONTROL DE LOS RIESGOS RELACIONADOS CON TECNOLOGÍA INFORMÁTICA,
SISTEMAS DE INFORMACIÓN Y RECURSOS ASOCIADOS PARA LAS ENTIDADES FINANCIERAS – COM. “A” 4609”
Principales interpretaciones de las consultas efectuadas por las Cámaras de Entidades Financieras Asociadas
¿PREGUNTAS?
Lic. Marcelo H. González ([email protected])
Top Related