Sei sulla pagina 1di 34
Abril 2017
Abril 2017
Abril 2017
Abril 2017
Abril 2017
Abril 2017
Abril 2017

Abril 2017

El desarrollo normal de las actividades del sistema financiero depende en alto grado del uso

El desarrollo normal de las actividades del sistema financiero

depende en alto grado del uso de tecnología de la información, por lo que se hace necesario gestionar adecuadamente el

riesgo tecnológico para asegurar la integridad, disponibilidad,

confidencialidad de la información, así como la continuidad de la prestación de sus servicios

disponibilidad, confidencialidad de la información, así como la continuidad de la prestación de sus servicios
disponibilidad, confidencialidad de la información, así como la continuidad de la prestación de sus servicios

Riesgo Tecnológico

Contenido
Contenido

La Tecnología de la Información -TI-

El riesgo tecnológico

El riesgo tecnológico inherente a las operaciones bancarias

La gestión del riesgo tecnológico RART-

Caso de estudio

inherente a las operaciones bancarias • La gestión del riesgo tecnológico – RART- • Caso de
inherente a las operaciones bancarias • La gestión del riesgo tecnológico – RART- • Caso de

Riesgo Tecnológico

Contenido
Contenido

El riesgo tecnológico

El riesgo tecnológico inherente a las operaciones bancarias

La gestión del riesgo tecnológico RART-

Caso de estudio

inherente a las operaciones bancarias • La gestión del riesgo tecnológico – RART- • Caso de
inherente a las operaciones bancarias • La gestión del riesgo tecnológico – RART- • Caso de

La Tecnología de la Información

Procesos de Negocio: • Dirección y Control • Procesos Sustantivos • Procesos de Soporte RRHH
Procesos de Negocio:
• Dirección y Control
• Procesos Sustantivos
• Procesos de Soporte
RRHH
Aplicaciones
Conta
de TI
Sistemas
bilidad
Core
Procesos de
TI
Desarrollo/
Adquisición de
sistemas
Mantenimiento
de Sistemas
Administración
de la Seguridad
Administración
del Servicio
Adquisición de sistemas Mantenimiento de Sistemas Administración de la Seguridad Administración del Servicio
Adquisición de sistemas Mantenimiento de Sistemas Administración de la Seguridad Administración del Servicio

La Tecnología de la Información

Tecnología de la Información: Es el uso de la tecnología para obtener, procesar, almacenar, transmitir,
Tecnología de la Información:
Es el uso de la tecnología para
obtener, procesar, almacenar,
transmitir, comunicar y disponer de la
información, para dar viabilidad a los
procesos de negocio.
Ref. RART.
TI
Sistemas de
Seguridad
Información
de la información, para dar viabilidad a los procesos de negocio. Ref. RART. TI Sistemas de
de la información, para dar viabilidad a los procesos de negocio. Ref. RART. TI Sistemas de

Riesgo Tecnológico

Contenido
Contenido

La Tecnología de la Información -TI-

Contenido • La Tecnología de la Información -TI- • El riesgo tecnológico inherente a las operaciones

El riesgo tecnológico inherente a las operaciones bancarias

La gestión del riesgo tecnológico RART-

Caso de estudio

inherente a las operaciones bancarias • La gestión del riesgo tecnológico – RART- • Caso de
inherente a las operaciones bancarias • La gestión del riesgo tecnológico – RART- • Caso de

El Riesgo Tecnológico

• •
EL RIESGO COMO ELEMENTO INHERENTE AL NEGOCIO
EL RIESGO COMO ELEMENTO INHERENTE AL NEGOCIO
• • EL RIESGO COMO ELEMENTO INHERENTE AL NEGOCIO Las decisiones financieras conllevan un riesgo inherente
Las decisiones financieras conllevan un riesgo inherente o asociado. El riesgo en las decisiones financieras
Las decisiones financieras conllevan un riesgo inherente o
asociado.
El riesgo en las decisiones financieras debe identificarse
(conocerse), valorarlo y aprender a controlarlo.
• El riesgo no sólo como una potencial amenaza, sino como
una posible oportunidad de negocio.
Bancos/
Seguros
Negocio de
gestión de
riesgos
una potencial amenaza, sino como una posible oportunidad de negocio. Bancos/ Seguros Negocio de gestión de
una potencial amenaza, sino como una posible oportunidad de negocio. Bancos/ Seguros Negocio de gestión de

El Riesgo Tecnológico

Conceptualización:
Conceptualización:

Es uno de los componentes principales del riesgo operacional y se define como:

principales del riesgo operacional y se define como: La contingencia de que la interrupción, alteración, o

La contingencia de que la interrupción,

alteración, o falla de la infraestructura de TI,

sistemas de información, bases de datos y

procesos de TI, provoque pérdidas financieras a la institución.

de TI, sistemas de información, bases de datos y procesos de TI, provoque pérdidas financieras a
de TI, sistemas de información, bases de datos y procesos de TI, provoque pérdidas financieras a

El Riesgo Tecnológico

El Riesgo Tecnológico
El Riesgo Tecnológico
El Riesgo Tecnológico

El Riesgo Tecnológico

Principales delitos digitales que marcarán la ciberseguridad en 2017
Principales delitos digitales que marcarán la ciberseguridad en 2017
delitos digitales que marcarán la ciberseguridad en 2017 Ransomware: El malware más rentable Infecciones de
Ransomware: El malware más rentable
Ransomware: El malware más rentable
Ransomware: El malware más rentable
Ransomware: El malware más rentable
Ransomware: El malware más rentable
Ransomware: El malware más rentable
Ransomware: El malware más rentable

Ransomware: El

malware más rentable

Infecciones de malware sin archivo
Infecciones de malware sin archivo
Infecciones de malware sin archivo
Infecciones de malware sin archivo
Infecciones de malware sin archivo
Infecciones de malware sin archivo
Infecciones de malware sin archivo

Infecciones de malware

sin archivo

Ataques DDOS en servidores y sistemas web globales
Ataques DDOS en servidores y sistemas web globales
Ataques DDOS en servidores y sistemas web globales
Ataques DDOS en servidores y sistemas web globales

Ataques DDOS en servidores y sistemas web globales

Tráfico HTTPS malicioso
Tráfico HTTPS malicioso
Tráfico HTTPS malicioso
Tráfico HTTPS malicioso

Tráfico HTTPS malicioso

Maladvertising: Malware disfrazado de publicidad
Maladvertising: Malware disfrazado de publicidad
Maladvertising: Malware disfrazado de publicidad
Maladvertising: Malware disfrazado de publicidad
Maladvertising: Malware disfrazado de publicidad
Maladvertising: Malware disfrazado de publicidad

Maladvertising:

Malware disfrazado de publicidad

Internet de las cosas
Internet de las cosas
Internet de las cosas
Internet de las cosas

Internet de las cosas

Phishing ( 7/9 incidentes de seguridad )
Phishing ( 7/9 incidentes de seguridad )
Phishing ( 7/9 incidentes de seguridad )
Phishing ( 7/9 incidentes de seguridad )

Phishing (7/9 incidentes de seguridad)

La Inteligencia artificial
La Inteligencia artificial
La Inteligencia artificial
La Inteligencia artificial

La Inteligencia artificial

Malware disfrazado de publicidad Internet de las cosas Phishing ( 7/9 incidentes de seguridad ) La
Malware disfrazado de publicidad Internet de las cosas Phishing ( 7/9 incidentes de seguridad ) La

Riesgo Tecnológico

Contenido
Contenido

La Tecnología de la Información -TI-

El riesgo tecnológico

de la Información -TI- • • El riesgo tecnológico • La gestión del riesgo tecnológico –

La gestión del riesgo tecnológico RART-

Caso de estudio

Información -TI- • • El riesgo tecnológico • La gestión del riesgo tecnológico – RART- •
Información -TI- • • El riesgo tecnológico • La gestión del riesgo tecnológico – RART- •

El riesgo tecnológico inherente a las operaciones bancarias

Un poco de historia… Soporte al negocio/ Servicios Riesgos de disponibilidad, integridad, confiabilidad y seguridad
Un poco de historia…
Soporte al negocio/
Servicios
Riesgos de disponibilidad, integridad,
confiabilidad y seguridad de la
información
Sistema
integrados de
Uso de
computadoras
(registro batch o
por lotes) –
registros ex post
computación
(integración a las
operaciones)
Sistemas
orientados a la
interacción con
los clientes y
globalización
Utilización de
calculadoras y
Registros
maquinas NCR
Altos volúmenes de
información
manuales en
libros
Optimización, eficiencia,
Errores en
integración, disponibilidad
registros
desintegrados
Pocos datos
Tiempo
Dependencia tecnológica
0%
100%
en integración, disponibilidad registros desintegrados Pocos datos Tiempo Dependencia tecnológica 0% 100%
en integración, disponibilidad registros desintegrados Pocos datos Tiempo Dependencia tecnológica 0% 100%

El riesgo tecnológico inherente a las operaciones bancarias

El riesgo tecnológico inherente a las operaciones bancarias La tecnología como facilitador del negocio: (un ejemplo)

La tecnología como facilitador del negocio: (un ejemplo)

Costo medio por Transacción
Costo medio por Transacción
Costo medio por Transacción Internet Tarjeta de Crédito ATM Transacción con tarjeta de débido Trasacción telefónica
Costo medio por Transacción Internet Tarjeta de Crédito ATM Transacción con tarjeta de débido Trasacción telefónica
Costo medio por Transacción Internet Tarjeta de Crédito ATM Transacción con tarjeta de débido Trasacción telefónica
Costo medio por Transacción Internet Tarjeta de Crédito ATM Transacción con tarjeta de débido Trasacción telefónica
Costo medio por Transacción Internet Tarjeta de Crédito ATM Transacción con tarjeta de débido Trasacción telefónica
Costo medio por Transacción Internet Tarjeta de Crédito ATM Transacción con tarjeta de débido Trasacción telefónica

Internet

Tarjeta de Crédito

ATM

Transacción con tarjeta de débido

Trasacción telefónica

Depósito de cheque en ventanilla

Transacción en ventanilla

telefónica Depósito de cheque en ventanilla Transacción en ventanilla $- $0.20 $0.40 $0.60 $0.80 $1.00 $1.20

$-

$0.20

$0.40

$0.60

$0.80

$1.00

$1.20

Depósito de cheque en ventanilla Transacción en ventanilla $- $0.20 $0.40 $0.60 $0.80 $1.00 $1.20
Depósito de cheque en ventanilla Transacción en ventanilla $- $0.20 $0.40 $0.60 $0.80 $1.00 $1.20

El riesgo tecnológico inherente a las operaciones bancarias

Matriz de evaluación
Matriz de evaluación
inherente a las operaciones bancarias Matriz de evaluación • Herramienta cualitativa que se utiliza como base

Herramienta cualitativa que se utiliza como base determinar el nivel de exposición al riesgo en aspectos

relevantes de tecnología.

Calificación del Riesgo Tecnológico Inherente: Alto, Medio, Bajo.

Identificar Prevenir Medir Controlar Monitorear
Identificar
Prevenir
Medir
Controlar
Monitorear

Artículo 55 de la Ley de Bancos y Grupos Financieros

Artículo 29 de la Ley de la Actividad Aseguradora

• Artículo 55 de la Ley de Bancos y Grupos Financieros • Artículo 29 de la
• Artículo 55 de la Ley de Bancos y Grupos Financieros • Artículo 29 de la

El riesgo tecnológico inherente a las operaciones bancarias

Amenazas:

Vulnerabilidades:

Fraude

Falta de políticas y procedimientos

Robo

Descontento de empleados

Sabotaje

Débil infraestructura

Daño reputacional

Escasez y mal manejo de recursos

 

Débil integridad de la información

Eventos de riesgo = Amenazas x Vulnerabilidades
Eventos de riesgo = Amenazas x Vulnerabilidades

ER1 = Fraude por descontento de empleados ER2 = Fraude por escases y mal manejo de recursos ER3 = Robo por débil infraestructura ER4 = Robo por descontento de empleados

ER5 = Daño reputacional por falta de políticas para el manejo

de información ER6 = Fraude por débil integridad de la información

por falta de políticas para el manejo de información ER6 = Fraude por débil integridad de
por falta de políticas para el manejo de información ER6 = Fraude por débil integridad de

El riesgo tecnológico inherente a las operaciones bancarias

P R O B A B I L I D A D

ER3 ER2 ER1 ER4
ER3
ER2
ER1
ER4

I M P A C T O

información.

ER6 ER5
ER6
ER5

manejo de recursos

P A C T O información. ER6 ER5 manejo de recursos B a j o Medio

Bajo

información. ER6 ER5 manejo de recursos B a j o Medio Alto ER1: Fraude por descontento

Medio

ER6 ER5 manejo de recursos B a j o Medio Alto ER1: Fraude por descontento de

Alto

ER1: Fraude por descontento de empleados ER2: Fraude por escases y mal

ER3: Robo por débil infraestructura ER4: Robo por descontento de empleados ER5: Daño reputacional por falta de políticas para el manejo de

ER6: Fraude por débil integridad de la información

ER5: Daño reputacional por falta de políticas para el manejo de ER6: Fraude por débil integridad
ER5: Daño reputacional por falta de políticas para el manejo de ER6: Fraude por débil integridad

Riesgo Tecnológico

Contenido
Contenido

La Tecnología de la Información -TI-

El riesgo tecnológico

El riesgo tecnológico inherente a las operaciones bancarias

• • El riesgo tecnológico • El riesgo tecnológico inherente a las operaciones bancarias • Caso

Caso de estudio

• • El riesgo tecnológico • El riesgo tecnológico inherente a las operaciones bancarias • Caso
• • El riesgo tecnológico • El riesgo tecnológico inherente a las operaciones bancarias • Caso

La gestión del riesgo tecnológico -RART-

¿Por qué gestionarlo? • Las Tecnologías de Información (TI) juegan un rol importante en el
¿Por qué gestionarlo?
• Las Tecnologías de Información (TI) juegan un rol
importante en el desarrollo de las actividades de las
organizaciones bancarias.
• Se puede hacer negocio sin el soporte de tecnología?
• Aseguramiento del valor de la TI.
• El incremento en el número de requerimientos
normativos y de control
• Aseguramiento del valor de la TI. • El incremento en el número de requerimientos normativos
• Aseguramiento del valor de la TI. • El incremento en el número de requerimientos normativos

La gestión del riesgo tecnológico -RART-

Riesgo Inherente Control y Gestión
Riesgo
Inherente
Control y
Gestión

Nivel de exposición al riesgo = Riesgo Inherente Control y Gestión

-RART- Riesgo Inherente Control y Gestión Nivel de exposición al riesgo = Riesgo Inherente – Control
-RART- Riesgo Inherente Control y Gestión Nivel de exposición al riesgo = Riesgo Inherente – Control

La gestión del riesgo tecnológico -RART-

La gestión del riesgo tecnológico -RART- ¿Cómo gestionarlo? Aceptarlo • Monitorear Transferirlo • Ceder la

¿Cómo gestionarlo?

Aceptarlo • Monitorear Transferirlo • Ceder la gestión • • Mitigarlo • Control • •
Aceptarlo
• Monitorear
Transferirlo
• Ceder la
gestión
Mitigarlo
• Control

Políticas y procedimientos

Regulación

Estándares internacionales

Buenas prácticas

Mitigarlo • Control • • Políticas y procedimientos Regulación Estándares internacionales Buenas prácticas
Mitigarlo • Control • • Políticas y procedimientos Regulación Estándares internacionales Buenas prácticas

La gestión del riesgo tecnológico -RART-

La gestión del riesgo tecnológico -RART- La regulación vigente y los estándares internacionales JM- 102 -

La regulación vigente y los estándares internacionales

del riesgo tecnológico -RART- La regulación vigente y los estándares internacionales JM- 102 - 2011 JM-

JM- 102 - 2011

JM-

120 - 2011

del riesgo tecnológico -RART- La regulación vigente y los estándares internacionales JM- 102 - 2011 JM-
del riesgo tecnológico -RART- La regulación vigente y los estándares internacionales JM- 102 - 2011 JM-
del riesgo tecnológico -RART- La regulación vigente y los estándares internacionales JM- 102 - 2011 JM-

La gestión del riesgo tecnológico -RART-

La organización para la gestión del riesgo tecnológico:
La organización para la gestión del riesgo tecnológico:
La organización para la gestión del riesgo tecnológico: - Aprobar las políticas y procedimientos, el PETI
La organización para la gestión del riesgo tecnológico: - Aprobar las políticas y procedimientos, el PETI
La organización para la gestión del riesgo tecnológico: - Aprobar las políticas y procedimientos, el PETI
- Aprobar las políticas y procedimientos, el PETI y el CA PCO TI. - Conocer
-
Aprobar las políticas y procedimientos, el PETI y el
CA
PCO TI.
-
Conocer los reportes que le remita el Comité, sobre
el nivel de exposición al riesgo tecnológico, así como
medidas
correctivas adoptadas.
Vela por que se implemente e instruye para
-
Conocer
sobre el nivel de cumplimiento de políticas
que se mantenga
una adecuada
gestión de
y procedimientos aprobados.
- Analizar
los reportes que le remita la Unidad,
sobre el nivel de exposición al riesgo,
riesgos.
cumplimiento y actualización de políticas y
PETI, PCO TI.
Comité
- Definir la estrategia de implementación de
políticas.
- Reportar al Consejo, al menos
- Monitorea la exposición al riesgo tecnológico
semestralmente sobre la exposición al riesgo
Evalúa,
analiza,
- propone
Analiza el riesgo tecnológico inherente de las
y
dirige
la
tecnológico, cumplimiento de políticas y
innovaciones de TI
procedimientos aprobados.
implementación de las directrices del Consejo
-
Reporta al comité al menos trimestralmente sobre el
de Administración.
nivel de exposición al riesgo,
cumplimiento de
políticas y procedimientos.
Unidad
-
Proponer al comité: PETI, PCO TI y el Manual de RT.
Implementa, propone, monitorea.

La gestión del riesgo tecnológico -RART-

Organización para la administración del riesgo tecnológico
Organización para la administración del riesgo tecnológico

Plan estratégico de TI:

Objetivos alineados a la estrategia del negocio

Planes tácticos proyectos y actividades específicas

Presupuesto financiero

Organización de TI Alineada al plan estratégico

programas de entrenamiento y capacitación

Segregación de funciones Marco de trabajo orientado a procesos

Manual de Administración de Riesgo Tecnológico

Políticas y procedimientos para la administración del RT

Aprobado por el CA

Administración de Riesgo Tecnológico Políticas y procedimientos para la administración del RT Aprobado por el CA
Administración de Riesgo Tecnológico Políticas y procedimientos para la administración del RT Aprobado por el CA
Administración de Riesgo Tecnológico Políticas y procedimientos para la administración del RT Aprobado por el CA

La gestión del riesgo tecnológico -RART-

Infraestructura de TI, Sistemas de Información, Bases de Datos y Servicios de TI • Esquema
Infraestructura de TI, Sistemas de Información, Bases de Datos y Servicios de TI
Esquema de la información del negocio.
Inventarios de infraestructura de TI,
sistemas de información y Bases de Datos.
Administración de las Bases de Datos
Monitoreo de TI
Adquisición,
mantenimiento
e
implementación de TI
Gestión de servicios de TI
Ciclo
de
vida
de
los
sistemas
de
información.
e implementación de TI • Gestión de servicios de TI • Ciclo de vida de los
e implementación de TI • Gestión de servicios de TI • Ciclo de vida de los

La gestión del riesgo tecnológico -RART-

Seguridad de la Tecnología de la Información
Seguridad de la Tecnología de la Información

Confidencialidad, integridad

disponibilidad de los datos.

Clasificación de la información

Roles y responsabilidades

Monitoreo de la seguridad

Seguridad física

Seguridad lógica

Copias de respaldo

y

• Monitoreo de la seguridad • Seguridad física • Seguridad lógica • Copias de respaldo y
• Monitoreo de la seguridad • Seguridad física • Seguridad lógica • Copias de respaldo y
• Monitoreo de la seguridad • Seguridad física • Seguridad lógica • Copias de respaldo y
• Monitoreo de la seguridad • Seguridad física • Seguridad lógica • Copias de respaldo y

La gestión del riesgo tecnológico -RART-

Seguridad de la Tecnología de la Información • Operaciones y servicios a través de canales
Seguridad de la Tecnología de la Información
• Operaciones y servicios a través de
canales electrónicos
• Seguridad
en
el
intercambio
de
información.
• Protección de datos.
• Control de la infraestructura.
• Registro y bitácoras de transacciones.
información. • Protección de datos. • Control de la infraestructura. • Registro y bitácoras de transacciones.
información. • Protección de datos. • Control de la infraestructura. • Registro y bitácoras de transacciones.

La gestión del riesgo tecnológico -RART-

Continuidad de operaciones de TI
Continuidad de operaciones de TI

Plan de Continuidad de Negocio (BCP)

Análisis de Impacto al Negocio (BIA)

Plan de continuidad de operaciones de TI (DRP)

Revisión, pruebas y actualización de los planes

Personal clave para la continuidad de operaciones de TI

Centro de cómputo alterno

de los planes • Personal clave para la continuidad de operaciones de TI • Centro de
de los planes • Personal clave para la continuidad de operaciones de TI • Centro de
de los planes • Personal clave para la continuidad de operaciones de TI • Centro de

La gestión del riesgo tecnológico -RART-

Procesamiento de información y tercerización
Procesamiento de información y tercerización

Procesamiento de información Dentro o fuera del territorio nacional

Contar con un centro de cómputo alterno

Personal técnico capacitado

Replicación en tiempo real Libre acceso a la SIB

Tercerización

Cumplimiento de este reglamento Acuerdos de niveles de servicio Confidencialidad

acceso a la SIB • Tercerización Cumplimiento de este reglamento Acuerdos de niveles de servicio Confidencialidad
acceso a la SIB • Tercerización Cumplimiento de este reglamento Acuerdos de niveles de servicio Confidencialidad
acceso a la SIB • Tercerización Cumplimiento de este reglamento Acuerdos de niveles de servicio Confidencialidad

La gestión del riesgo tecnológico -RART-

Matriz de evaluación de la gestión de TI • •
Matriz de evaluación de la gestión de TI
-RART- Matriz de evaluación de la gestión de TI • • Herramienta cualitativa que es base

Herramienta cualitativa que es base para determinar el nivel de gestión del riesgo tecnológico.

Calificación de la gestión del Riesgo Tecnológico: Deficiente, Mejorable, Aceptable.

del riesgo tecnológico. Calificación de la gestión del Riesgo Tecnológico: Deficiente , Mejorable , Aceptable .
del riesgo tecnológico. Calificación de la gestión del Riesgo Tecnológico: Deficiente , Mejorable , Aceptable .

Riesgo Tecnológico

Contenido
Contenido

La Tecnología de la Información -TI-

El riesgo tecnológico

El riesgo tecnológico inherente a las operaciones bancarias

La gestión del riesgo tecnológico RART-

• El riesgo tecnológico inherente a las operaciones bancarias • La gestión del riesgo tecnológico –
• El riesgo tecnológico inherente a las operaciones bancarias • La gestión del riesgo tecnológico –
• El riesgo tecnológico inherente a las operaciones bancarias • La gestión del riesgo tecnológico –

Caso de estudio

Caso de estudio
Caso de estudio
Caso de estudio

Consideraciones finales:

Matriz de evaluación de la gestión de TI • Continuidad del negocio –mantenerse vivo- •
Matriz de evaluación de la gestión de TI
• Continuidad del negocio –mantenerse vivo-
• Ventajas competitivas –oportunidades de negocio-
• Efectividad en el uso de los recursos –optimización-
• Alineación estratégica con el negocio –adecuada planificación e
implementación de servicios-
–optimización- • Alineación estratégica con el negocio –adecuada planificación e implementación de servicios-
–optimización- • Alineación estratégica con el negocio –adecuada planificación e implementación de servicios-
–optimización- • Alineación estratégica con el negocio –adecuada planificación e implementación de servicios-
–optimización- • Alineación estratégica con el negocio –adecuada planificación e implementación de servicios-
–optimización- • Alineación estratégica con el negocio –adecuada planificación e implementación de servicios-