La Seguridad de la Información en la Gestión del Negocio Financiero

(1)

“La Seguridad de la

Información en la Gestión

del Negocio Financiero”

Lic. Julio C. Ardita

Lic. Julio C. Ardita [email protected]

[email protected]

CYBSEC S.A. Security Systems

(2)

La Seguridad de la Información en la Gestión del Negocio Financiero

Agenda

- Análisis de la situación actual - Continuidad de servicios

(3)

Análisis de la Situación

Actual

(4)

Durante la ultima década se incorpora con una importancia creciente el concepto de la Seguridad Informática a la vez que este mismo concepto inicial se transforma en el concepto de Seguridad de la Información, permitiendo una mejor definición del problema que afecta a las Organizaciones.

(5)

El concepto de seguridad de la información incluye como centro de atención, quizás lo que es el valor más destacado en la Gestión Financiera: el valor de los datos mantenidos por los sistemas.

Doble problemática de administración:

Datos propios referidos a operaciones. Datos de terceros.

(6)

Antes:

La seguridad informática no era un gran problema. Centros de cómputos pequeños y pocas terminales. Redes aisladas de computadoras pequeñas y sólo

usuarios internos.

Hoy:

La seguridad Informática es un tema prioritario. Los sistemas informáticos están dispersos e interconectados en toda la Organización.

(7)

Realidad

- Los mismos problemas de seguridad - Mayores responsabilidades

(8)

Realidad

(9)

Durante abril de Durante abril de 2006 hubo m 2006 hubo máás s de 570 ataques de 570 ataques exitosos a exitosos a p

pááginas Web ginas Web en Argentina.

en Argentina.

Fuente: www.zone-h.org

(10)

La seguridad inform

á

tica hoy*

El mercado aparentemente no reacciona ante los problemas de seguridad informática, vulnerabilidades básicas siguen apareciendo en los programas, los administradores todavía no realizan upgrades y no aplican patches a los sistemas y los usuarios siguen haciendo click sobre los archivos adjuntos enviados por correo electrónico.

(11)

La seguridad inform

á

tica hoy*

Las empresas no pueden solucionar los problemas de seguridad porque si lo hacen, las aplicaciones críticas que están en producción entran en crisis y los proveedores siguen tratando de explicar que tener permisos habilitados para todo el mundo, utilizar usuarios genéricos y guardar passwords en plano, no es tan inseguro.

(12)

Cantidad de vulnerabilidades inform

(13)

Cambio del entorno tecnológico

El problema de la seguridad ya no es más un problema técnico, es un problema que afecta a la Organización y del cual los Directivos son los responsables.

Factores externos: Cumplimiento de normativas locales (BCRA), internacionales (SOX, Basilea 2, ISO 17799, etc), auditorías externas, etc.

Factores internos: Concientización, auditorías internas, mejores prácticas, etc.

(14)

(15)

El negocio financiero es claramente un negocio de servicios, que como ya se sabe en buena medida

(16)

Si bien resulta casi obvio destacar la importancia de disponer de capacidades continuas para brindar los servicios, la gestión de la continuidad de los negocios, se está transformando en un tema prioritario que

requiere incluso la participación de la Alta Dirección de las Entidades.

(17)

¿Qué significa disponer de un Plan de Continuidad? La capacidad para recuperarse exitosamente de los efectos de un desastre o percance que inhabilite uno o todos los servicios informáticos dentro de un período predeterminado de tiempo, permitiendo la continuidad del negocio y que se logren los objetivos de control establecidos.

(18)

El BCP cubre las contingencias que se definan durante el desarrollo del mismo. Mientras más abarcativo sea el BCP, más costosa es su implementación y

mantenimiento.

Se debe llegar al Punto de Equilibrio y la Entidad debe definir qué riesgos desea aceptar.

(19)

Requerimientos de un BCP

- Compromiso por parte de la Dirección del Banco para que sea efectivo y pueda ser llevado a cabo.

- Conciencia del tamaño del Proyecto.

- Inversiones (HW, SW, Lugar físico, Consultoría, Recursos humanos, Contratos, etc).

(20)

(21)

(22)

(23)

Gerenciamiento de la

Seguridad

(24)

La gestión de la seguridad consiste en la realización de las tareas necesarias para garantizar los niveles de seguridad exigibles en una Organización.

Algunas consideraciones: - Los riesgos se gestionan.

(25)

¿Porqué gestionar?

- Garantizar la confidencialidad, integridad y disponibilidad de sus Activos es crítico para cualquier Organización.

- Las nuevas tecnologías introducen nuevas amenazas.

- La dependencia creciente de los recursos de IT aumenta los Impactos.

- No siempre se pueden eliminar los riesgos

(26)

Los problemas más comunes

No comprender los objetivos generales de la Organización. No ser funcional a los objetivos generales de la

Organización.

No contribuir a optimizar los procesos de producción.

No controlar el cumplimiento de la asignación de recursos y tiempos.

(27)

¿

Qui

é

n es el CSO (Chief Security Officer)?

Es el responsable de Seguridad de la Informaci

Es el responsable de Seguridad de la Informacióón de la n de la Organizaci

Organizacióón.n.

Reporta al Directorio.

Cualidades de un buen CSO:

Muy buen nivel de comunicaciMuy buen nivel de comunicacióón.n.

Capacidad de NegociaciCapacidad de Negociacióón.n.

Destacada habilidad como lDestacada habilidad como lííder.der.

Conocimientos tConocimientos téécnico de entornos tecnolcnico de entornos tecnolóógicos.gicos.

(28)

¿

Qui

é

n es el CSO (Chief Security Officer)?

Es quien entiende el negocio, las cosas que lo

hacen exitoso, logra identificar los factores de

riesgos que posee el negocio y encuentra las

maneras de gestionarlos de forma t

é

cnica,

operacional o procedural.

(29)

Integrar la Seguridad a la cultura de la Organizaci

ó

n

Problemática de la venta de intangibles.

Problemática de la venta de la Seguridad Informática.

Hacer las cosas bien y luego “vender” bien la SI. Es obligatorio saber “vender” para el área de SI. Mostrar resultados (Caso de negocios).

(30)

Conclusiones

- La seguridad de la información, nunca fue ni será un objetivo del negocio financiero, pero sin lugar a dudas es un componente clave para poder hacerlo .

- El problema de la seguridad ya no es más técnico, es un

problema que afecta a la Organización y del cual los Directivos son los responsables.

La Seguridad de la Información en la Gestión del Negocio Financiero