Kk123456

 

Plan de Seguridad Informática para una Entidad de Servicios Financieros

1.

El por qué de su necesidad?

La globalización de los servicios financieros, sinergizada por la creciente sofisticación de la tecnología, han generado un marco en el cual las actividades de las entidades orientadas a la provisión de estos servicios se hacen cada vez más diversas y complejas. En otros tiempos notan lejanos, la seguridad de la información se simplificaba de tal manera, que bastaba con resguardar los documentos más importantes bajo llave y mantener seguros a los empleados sobre los que recaía el conocimiento poniendo guardias de seguridad. Los sistemas electrónicos invadieron las oficinas, obligando a los sistemas de seguridad a evolucionar para acompañar el despliegue de dichasherramientas. Y la irrupción de Internet (una amplia red pública con pocas reglas y casi sin guardianes), a la cual acceden millones de usuarios (entre ellos organizaciones aún las más pequeñas) completó un cuadro de situación en el que la ausencia de una adecuada protección de los activos de la información es el caldo de cultivo ideal para la consumación de todo tipo de delitos. De manera similar a otrotipo de crímenes, el cuantificar los gastos y pérdidas en seguridad de la información y ataques cibernéticos es muy difícil. Existe una marcada tendencia a minimizar los incidentes por motivos muchas veces justificables. Basta esta introducción para sensibilizar a una entidad a encarar un proyecto? Tal vez, no. Veamos un poco datos de la realidad

2.

Impactos concretos del delito informáticoen el quehacer de las organizaciones

Una reciente encuesta de Kroll, que difundiera el GARP (Global Association of Risk Professionals) el 25/9/07 nos indica que: EN LOS ULTIMOS TRES AÑOS CUATRO DE CINCO COMPAÑIAS HAN SUFRIDO FRAUDE CORPORATIVO.

Av. Córdoba 1345 | 6º Piso | Oficina C | C1055AAD Ciudad Autónoma de Buenos Aires | Argentina Tel./Fax.: +54 (011) 5236-0308 | www.dpya-sa.com.ar 

MAS DE UNA QUINTA PARTE DE LAS QUE REPORTARON DICHOS FRAUDES, SUFRIERON PERDIDAS SUPERIORES AL MILLON DE DOLARES (entre ellas las correspondientes a los servicios financieros) EL ROBO, LA PÉRDIDA O UN ATAQUE SOBRE LA INFORMACION SON LAS MAYORES PREOCUPACIONES DE LAS EMPRESAS DE CARA AL FUTURO INMEDIATO. UN 20% DE LAS QUE LO AFIRMAN SE DESCRIBEN A SI MISMAS COMO ALTAMENTE VULNERABLES A DICHOSRIESGOS. LA ALTA ROTACION DE PERSONAL ES MENCIONADA POR UN 32% DE LOS ENCUESTADOS COMO LA FUENTE MÁS IMPORTANTE DEL FRAUDE. CASI PEGADO A DICHO RATIO, LA COMPLEJIDAD DE LOS DESARROLLOS INFORMATICOS ES CONTRIBUTORIA, SEGÚN LAS EMPRESAS, EN UN 31% DE LA CONSUMACION DE LOS FRAUDES.

Aún después de leer estas noticias, hay quienes aún pueden resistirse a darle al tema la importancia ysignificatividad que realmente reviste. En ese contexto se puede soslayar el ingrediente normativo como disparador de la necesidad. 3. Incidencia del marco normativo

El Acuerdo de Basilea II tiene un grado dispar de implementación en el mundo. Con un fuerte acatamiento en el mercado europeo y un desarrollo avanzado en Asia y Norteamérica, se está instalando cada vez con mayor vigor en Latinoamérica. Aún condistintos niveles de progreso, el año 2010 se erige como el momento en que la gran mayoría de países de nuestro continente (pueden seguramente llegar a ser todos) lo habrán adoptado, con su correlato de exigencias en las entidades orientadas a los servicios financieros. Y entre las más importantes exigencias está la de administrar y gestionar el riesgo de la tecnología de la información, cuyaherramienta fundamental es el Plan de Seguridad de la Información. En general, las normas sobre la gestión del riesgo en tecnología y sistemas ya promulgadas en Latinoamérica (Ecuador, Perú, Brasil, Argentina, Uruguay) no explicitan otras exigencias que no estén contempladas por los estándares internacionales en la materia: ISO 17799, ITIL, COBIT, etc. En consecuencia, la norma puede actuar como...