Está en la página 1de 6

EL RIESGO TECNOLGICO Y LAS MEJORES PRCTICAS

APLICABLES
RESOLUCIN DE JUNTA MONETARIA JM-102-2011

AGENDA:

RIESGO
DEIFNICIN DE RIESGO TECNOLGICO
GESTIN DEL RIESGO TECNOLGICO
MEJORES PRCTICAS RELACIONADAS
NORMATIVA INTERNACIONAL
RIESGOS EN EL SECTOR FINANCIERO
REGLAMENTO PARA LA ADMINISTREACIN DEL RIESGO RECNOLGICO

RIESGO
Es la probabilidad de que suceda un evento con consecuencias adversas.
El trmino se asocia generalmente con prdidas financieras, se describe como
una incertidumbre que podra resultar en prdidas o fluctuaciones adversas en
la rentabilidad.
EL RIESGO TECNOLGICO
La contingencia de que la interrupcin, alteracin, o falla de la infraestructura
de TI, sistemas de informacin, bases de datos y procesos de TI, provoque
prdidas financieras a la institucin.
IDENTIFICACIN DE VULNERABILIDADES DE SEGURIDAD
ALGUNAS ESTADSTICAS:

91% de las empresas encuestadas en todo el mundo fueron vctimas de


por lo menos un ataque al ao.
Slo el 35% de las organizaciones detecta filtraciones en los primeros
minutos.
Un nuevo modelo econmico dice que el costo total por ciberataques,
para la economa de los EE.UU. es de al menos U$100 mil millones
anuales, con la correspondiente prdida de nada menos que medio
milln de puestos de trabajo.
Alrededor de $673 mil es el coste medio en el que incurren las grandes
empresas como consecuencia de un ciberataque. En las empresas de
tamao medio es de aproximadamente $51 mil.

LOS MOTIVOS:

Aunque algunos negocios creen que la mayor cantidad de ataques viene


de afuera, resulta alarmante identificar que el 44% de los cibercrmenes
han sido originados desde adentro de la organizacin por estas razones:
o Malestar personal
o Inters de una entidad externa
o Curiosidad (hackeo)
o Vulnerabilidad en los sistemas
o Inters de una entidad externa
o Ganancia financiera
o Otros.
IMPLICACIONES DEL RIESGO TECNOLGICO

Imagen
Econmico
Ambiental
Legal
QU HACER CON EL RIESGO

Correrlo/Ignorarlo = Crisis
Riesgo
No correrlo = Sin negocio
GESTIN DEL RIESGO TECNOLGICO

Por qu gestionarlo?

Las Tecnologas de Informacin (TI) juegan un rol importante en el


desarrollo de las actividades de las organizaciones [G. Hardy, 2006].
Alineacin de la TI para soporten el logro de los del negocio es una tarea
fundamental.
Aseguramiento del valor de la TI.
El incremento en el nmero de requerimientos normativos y de control.
MEJORES PRCTICAS RELACIONADAS

Normas generales del negocio


o Balanced Scorecard
o ISO 9000
o Six Sigma
o COSO
Estndares de Auditora:
SIAS
GAAP
GAAS
SISA
Estndares detallados de Tecnologa:
o COBIT
o IT GOVERNANCE INSTITUTE

o CMMI
o ITIL
o IEEE
o ISO
Estndares detallados de la Industria
o Sun Microsystems
o HP
o Microsoft

LA DETERMINACIN DEL NIVEL DE RIESGO TECNOLGICO Y LA ALTA


DIRECCIN
ALGUNOS ESTNDARES A CONSIDERAR:

COBIT 5
ISO 27000
PCI-DSS = Para seguridad en tarjetas de crdito
COSO II: ERM

Estndar COSO II

Ambiente interno
Formulacin de objetivos
Identificacin de eventos
Evaluacin del riesgo
Actividades de control
Informacin y comunicacin
Monitoreo

LA DETERMINACIN DEL NIVEL DE RIESGO TECNOLGICO Y LA ALTA


DIRECCIN
EVALUAR, DIRIGIR & MONITOREAR (DOMINIO DE GOBIERNO DE TI)
DOMINIOS CON PROCESOS PARA EL MANAGEMENT DE IT:

ALINEAR, PLANEAR & ORGANIZAR


CONSTRUIR, ADQUIRIR & IMPLEMENTAR
ENTREGAR, SERVIR & SOPORTAR
MONITOREAR & EVALUAR

ESTRATEGIA DEL SERVICIO


1. Gestin financiera
2. Gestin del portafolio

3. Gestin de la demanda
DISEO DEL SERVICIO
1.
2.
3.
4.
5.
6.
7.
8.

Gestin del catlogo de servicios


Gestin de niveles de servicio
Gestin de la disponibilidad
Gestin de la capacidad
Gestin de la continuidad de los servicios de TI
Gestin de proveedores
Gestin de la seguridad de informacin
Coordinacin del diseo

TRANSICIN DEL SERVICIO


1.
2.
3.
4.
5.
6.
7.

Gestin de la configuracin y activos


Gestin del cambio
Gestin del conocimiento
Planificacin y apoyo a la transicin
Gestin de relase y despliegue
Gestin, validacin y pruebas
Evaluacin (Evaluacin del cambio)

OPERACIN DEL SERVICIO


1.
2.
3.
4.
5.

Gestin de incidentes
Gestin de problemas
Cumplimiento de solicitudes
Gestin de eventos
Gestin de accesos
PCI-DSS

1.
2.
3.
4.
5.
6.

Desarrollar y mantener una red segura


Proteger los datos del titular de la tarjeta
Desarrollar un programa de administracin de vulnerabilidades
Implementar medidas slidas de control de acceso
Supervisar y probar las redes con regularidad
Mantener una poltica de seguridad de la informacin
ISO 27000 ESTRUCTURA

Seguridad
Seguridad
Seguridad
Seguridad

organizativa
lgica
fsica
legal

RIESGOS EN EL SECTOR FINANCIERO


CRDITIO

El deudor o contraparte incumpla sus obligaciones en los trminos


acordados.

MERCADO

Existan movimientos adversos en precios en los mercados financieros.

LIQUIDEZ

La institucin no tenga capacidad para fondear incrementos en sus


activos o cumplir con sus obligaciones oportunamente.

OPERACIONAL

La inadecuacin o fallas de procesos, de personas, de personas, de los


sistemas internos, o bien a causa de eventos externos.

REGLAMENTO PARA LA ADMINISTRACIN DEL RIESGO TECNOLGICO


JM-102-2011

LEY DE BANCOS Y GRUPOS FINANCIEROS


o ARTCULO 21. DEBERES Y ATRIBUCIONES DEL CONSEJO DE
ADMINISTRACIN.
o ARTCULO 55. RIESGOS. Los bancos y las empresas que integran
grupos financieros debern contar con procesos integrales que
incluyan, segn el caso, la administracin de riesgos de crdito,
de mercado, de tasas de inters, de liquidez, cambiario, de
transferencia, operacional y otros a que estn expuestos, que
contengan sistemas de informacin y un comit de gestin de
riesgos.

RIESGO OPERACIONAL
Es la contingencia de que una institucin incurra en prdidas debido a la
inadecuacin o a fallas de procesos, de personas, de los sistemas internos, o
bien a causa de eventos externos. Incluye los riesgos tecnolgico y legal.
PRINCIPALES ASPECTOS REGULADOS
CAPTULO II: ORGANIZACIN PARA LA ADMINISTRACIN DEL RIESGO
TECNOLGICO

Plan estratgico de TI
Organizacin de TI
Manual de administracin de riesgo tecnolgico

CAPTULO III: INFRAESTRUCTURA DE TI, SISTEMAS DE INFORMACIN,


BASES DE DATOS Y SERVICIOS DE TI

Esquema de la informacin del negocio. Inventarios de infraestructura de


TI, sistemas de informacin y bases de datos.
Administracin de las bases de datos
Monitoreo de TI
Adquisicin, mantenimiento e implementacin de TI
Gestin de servicios de TI
Ciclo de vida de los sistemas de informacin

CAPTULO IV: SEGURIDAD DE LA TECNOLOGA DE LA INFORMACIN

Confidencialidad, integridad y disponibilidad de los datos


Clasificacin de la informacin
Monitoreo de la seguridad
Roles y responsabilidades
Seguridad Lgica
Seguridad Fsica
Copias de respaldo
Operaciones y servicios a travs de canales electrnicos

CAPTULO V: CONTINUIDAD DE OPERACIONES DE TI

Plan de continuidad de operaciones de TI


BIA
DRP
Centro de cmputo alterno

CAPTULO VI: PROCESAMIENTO DE INFORMACIN Y TERCERIZACIN

PROCESAMIENTO DE INORMACIN
o Libre acceso a la SIB
o Replicacin en tiempo real
o Personal tcnico capacitado
TERCERIZACIN
o Confidencialidad
o SLA
o Cumplimiento de ste reglamento
RIESGO TECNOLGICO
CMO GESTIONARLO?

Identificar
Medir
Monitorear
Controlar