Derechos Reservados - El enfoque exacto para su negocio © Roberto Keil Montoya Expositor III Congreso de Prevención del Fraude y Seguridad Riesgos de fraude en el manejo de la información: experiencias en la mitigación o gestión de los riesgos de fraude en Outsoursing Bogotá, Colombia, 2009
Derechos Reservados - El enfoque exacto para su negocio © En términos generales, hablamos de información como un conjunto de datos que están organizados y que tienen un significado. La información es un elemento fundamental en el proceso de la comunicación, ya que tiene un significado para quien la recibe, que la va a comprender si comparte el mismo código que quien la envía. El avance tecnológico y de la informática liga la información en un proceso y un sistema de comunicación que evitan la existencia de barreras entre la confluencia de información desde un punto al otro del planeta. INFORMACIÓN
Derechos Reservados - El enfoque exacto para su negocio © Se considera que la generación y/o obtención de información persigue estos objetivos: Aumentar el conocimiento del usuario. Proporcionar a quien toma decisiones la materia prima fundamental para el desarrollo de soluciones y la elección. Proporcionar una serie de reglas de evaluación y reglas de decisión para fines de control. FUNCIONES DE LA INFORMACIÓN
Derechos Reservados - El enfoque exacto para su negocio © Un activo de la información es un fragmento de información definible, almacenado en cualquier manera que se reconozca como VALIOSO a la organización. La información que abarca un activo de la información, puede ser poco más que un archivo conocido de la perspectiva y de dirección; o puede ser los planes para el lanzamiento de productos. Independiente, la naturaleza de los activos de la información estos tienen las siguientes características: E reconocen como un valor para la organización No son fácilmente reemplazable sin coste, habilidad, tiempo, recursos o una combinación de ellos. Forman una parte de la identidad corporativa, sin la cual, la organización puede verse amenazada. Su clasificación de los datos sería normalmente pública, confidencial o altamente confidencial. ACTIVOS DE INFORMACIÓN
Derechos Reservados - El enfoque exacto para su negocio © Información Confidencial: es toda aquella información que por su naturaleza no puede ser revelada a terceros y no es pública, por ello se entiende que este tipo de información es de nivel crítico y que por ello debe ser tratada y protegida con mayor atención. Información Crítica: Es la información considerada esencial para la continuidad del negocio y para la adecuada toma de decisiones. Seguridad de Información: Son los mecanismos establecidos para garantizar la confidencialidad, integridad y disponibilidad de la información y los recursos relacionados con ella. INFORMACIÓN CONFIDENCIAL E INFORMACIÓN CRÍTICA
Derechos Reservados - El enfoque exacto para su negocio © Características y recomendaciones del manejo: acceso permitido a empleados y no empleados con compromiso escrito de no revelarla Métodos de distribución: por entrega a tercero con firma de cláusula de privacidad, confidencialidad y responsabilidad por indebida distribución Restricciones de distribución: se distribuye debidamente garantizando su naturaleza (encriptación y por conductos o canales de máxima seguridad) Almacenamiento: seguridad para prevenir acceso no autorizado Disposición / Destrucción: condiciones de efectiva destrucción o completa eliminación INFORMACIÓN CONFIDENCIAL
Derechos Reservados - El enfoque exacto para su negocio © La información personal que suministra un cliente a una entidad financiera es información confidencial y debe ser tratada como tal, para efectos de lo previsto por la Circular Externa 052 de 2007 que también establece requerimientos mínimos que deben ser observados en aras de la seguridad y calidad de la información que se maneja a través de los canales y medios de distribución de productos y servicios para clientes y usuarios. INFORMACIÓN PERSONAL E INFORMACIÓN CONFIDENCIAL
Derechos Reservados - El enfoque exacto para su negocio © CAPÍTULO VI SUBCONTRATACIÓN Artículo 21º.- Subcontratación Plena responsabilidad del Banco sobre los resultados de los procesos subcontratados con terceros, pudiendo ser sancionados por su incumplimiento. Asimismo deben asegurarse que se mantenga reserva y confidencialidad sobre la información que pudiera serles proporcionada. En toda subcontratación significativa, un análisis formal de los riesgos asociados deberá ser realizado y puesto en conocimiento del Directorio para su aprobación. Se entenderá por significativa aquella subcontratación que, en caso de falla o suspensión del servicio, puede poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia, o continuidad operativa. La subcontratación de una o más funciones de la gestión de riesgos será considerada como significativa para fines de este reglamento. Las empresas deberán asegurarse de que en los casos de subcontratación significativa, los contratos suscritos con los proveedores correspondientes incluyan cláusulas que faciliten una adecuada revisión de la respectiva prestación por parte de las empresas, de la Unidad de Auditoría Interna, de la Sociedad de Auditoría Externa, así como por parte de la Superintendencia o la persona que ésta designe. REGLAMENTO DE LA GESTIÓN INTEGRAL DE RIESGOS (Resolución S.B.S. N° Perú)
Derechos Reservados - El enfoque exacto para su negocio © TITULO V DE LA NOTIFICACIÓN PREVIA Artículo 37º.- Notificación Previa Las entidades de intermediación financiera deberán notificar previamente y por escrito a la Superintendencia de Bancos, cuando se presente cualquiera de las siguientes situaciones: a)La instalación y/o implementación de centros de procesamientos de datos y accesos externos a los sistemas de la entidad; b)La tercerización de servicios críticos, tales como, procesamiento de datos, hosting, telecomunicaciones, entre otros; c)La descentralización total o parcial del procesamiento de datos fuera del país; d)Implementación de nuevos sistemas o tecnologías desde la última inspección; e)Cambios significativos en los recursos humanos, tales como gerentes de tecnología, auditoría y seguridad o conversión de sistemas; y, f)Cambios en las líneas de negocios en las cuales los controles internos y el sistema de manejo de riesgo, dependan fuertemente de la TI. REGLAMENTO DE LA GESTIÓN INTEGRAL DE RIESGOS (Resolución JM Ecuador)
Derechos Reservados - El enfoque exacto para su negocio © INFORMACIÓN CONFIDENCIAL: PARTICIPANTES Contratante Contratado y Sub contratado Contrato
Derechos Reservados - El enfoque exacto para su negocio © CLÁUSULAS DE CONTRATO: EXPERIENCIA A NIVEL REGIONAL Contrato Requisitos de información: Por parte de proveedor: es responsabilidad exclusiva de este el elaborar una relación de información mínima necesaria para el desarrollo del servicio a realizar que deberá aparecer en su propuesta técnica y como anexo en el contrato una vez sea acordado con el Banco y de forma del manejo y protección en caso sea información confidencial. Por parte del Banco: una vez formalizado el contrato y recibido el requerimiento formal de información por parte del proveedor, el Banco deberá remitir la información en los términos y condiciones acordadas en el contrato. En caso de existir información confidencial deberán especificarse la naturaleza.
Derechos Reservados - El enfoque exacto para su negocio © CLÁUSULAS DE CONTRATO: EXPERIENCIA A NIVEL REGIONAL Contrato Propiedad y acceso: Propiedad: identificación y propiedad de todos los activos intelectuales y físicos, relacionados al contrato, debe estar claramente establecida, incluyendo activos adquiridos o producidos como consecuencia del contrato. Establecer cuándo y cómo el proveedor de servicios podrá hacer uso de los activos del banco, y los derechos de esta última para acceder a dichos activos. Acceso: el tema de acceso a activos reviste otra naturaleza por el impacto que ello puede originar al Banco: financiero, legal, reputacional. En este punto el Banco debe definir (activos críticos, mecanismos de control y supervisión, responsabilidades del proveedor al acceder a información)
Derechos Reservados - El enfoque exacto para su negocio © CLÁUSULAS DE CONTRATO: EXPERIENCIA A NIVEL REGIONAL Contrato Confidencialidad, seguridad y segregación de la propiedad Externalización de servicios u outsourcing supone un acceso a información confidencial y bases de datos por terceros. Para garantizar la seguridad y protección de dicha información es necesario regular la prestación de los servicios externalizados. Además, para proteger la información confidencial del Banco cuando es tratada por un tercero es necesario firmar un contrato de prestación de servicios en las que se establezcan las condiciones del tratamiento y especialmente las obligaciones de confidencialidad y secreto.
Derechos Reservados - El enfoque exacto para su negocio © ESQUEMA DE GESTIÓN RIESGO DE FRAUDE EN OUTSOURCING Activos de Información Fase 1 Información Confidencial (niveles) Fase 2 Información Confidencial: Participantes Fase 3 Responsabilidades Asignadas Fase 4 Contratos Fase 5
Derechos Reservados - El enfoque exacto para su negocio © FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE INFORMACIÓN CONFIDENCIAL FCE 1. Políticas y Clasificaciones 2. Conocimiento de la Identidad 3. Flujo del Incidente 4. Escalabilidad 5. Integrado a la Organización Mejores políticas para clasificación y mitigación del riesgo
Derechos Reservados - El enfoque exacto para su negocio © FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE INFORMACIÓN CONFIDENCIAL FCE 1. Políticas y Clasificaciones 2. Conocimiento de la Identidad 3. Flujo del Incidente 4. Escalabilidad 5. Integrado a la Organización Para la clasificación, control y corrección
Derechos Reservados - El enfoque exacto para su negocio © FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE INFORMACIÓN CONFIDENCIAL FCE 1. Políticas y Clasificaciones 2. Conocimiento de la Identidad 3. Flujo del Incidente 4. Escalabilidad 5. Integrado a la Organización Alerta consolidado para la correcta información al personal correcto y toma de decisiones correctas
Derechos Reservados - El enfoque exacto para su negocio © FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE INFORMACIÓN CONFIDENCIAL FCE 1. Políticas y Clasificaciones 2. Conocimiento de la Identidad 3. Flujo del Incidente 4. Escalabilidad 5. Integrado a la Organización Explorar más data de modo más rápido con menor hardware y recursos
Derechos Reservados - El enfoque exacto para su negocio © FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE INFORMACIÓN CONFIDENCIAL FCE 1. Políticas y Clasificaciones 2. Conocimiento de la Identidad 3. Flujo del Incidente 4. Escalabilidad 5. Integrado a la Organización Que todo el Mundo la conozca y cumpla
Derechos Reservados - El enfoque exacto para su negocio © Planificación, planeamiento, objetivos El proceso asigna propietario El contrato asigna responsabilidades y mitiga La tecnología apoya al desarrollo del negocio El control no puede obviarse nunca La responsabilidad es de ambas partes pero la mayor es la del contratante siempre Efecto frente al mercado puede decidir el futuro de la organización CONCLUSIONES