La Convergencia entre la Seguridad Lógica y la Seguridad Física El principal desafío para los Directores de Seguridad Expositor: José Marangunich R. Gerente del Área de Seguridad y Prevención de Fraudes Banco de Crédito del Perú
Agenda Antecedentes Evolución de la seguridad y cambio de escenarios Convergencia: nueva tendencia de la seguridad Obstáculos y desafíos para los Directores de Seguridad Seguridad convergente Reflexiones finales
Modelo tradicional de seguridad Antecedentes Las condiciones de mercado y el entorno global exigen a las unidades de seguridad de los bancos, manejar plataformas inteligentes donde se pueda gestionar con eficacia y eficiencia los riesgos inherentes a los procesos críticos. Modelo tradicional de seguridad Escenario local Nuevo modelo integral Escenario global Protección de: Personas Dinero y valores Infraestructura Protección de: Personas Dinero y valores Infraestructura Información / conocimiento Procesos, productos y servicios
Agenda Antecedentes Evolución de la seguridad y cambio de escenarios Convergencia: nueva tendencia de la seguridad Obstáculos y desafíos para los Directores de Seguridad Seguridad convergente Reflexiones finales
2000…. 90´s 70´s Evolución Robo Asalto Estafas Falsificaciones Fraudes Lavado de activos Asalto/Robo 2000…. Delitos informáticos Robo de información Sabotaje Espionaje electrónico Local Internacional Global
Sistemas inteligentes de seguridad Tecnología de seguridad inteligente Evolución Biometría Análisis de imágenes Sistemas inteligentes de seguridad Innovadora CCTV Sensores Firewall Actual Vigilantes Barreras físicas Tradicional Física reactiva Electrónica y lógica Tecnología de seguridad inteligente 6
Incidentes de pérdida/robo de datos Cambio de escenarios Global Incidentes de pérdida/robo de datos Año 2007 Año 2008 Robo o pérdida de equipos Atacante interno Fraude Políticas inseguras Hacking Desconocido Fuente: Symantec - Global Internet security threat report (2008 -- 2009)
Nuevas amenazas de código malicioso Cambio de escenarios Global Nuevas amenazas de código malicioso Fuente: Symantec - Global Internet security threat report (2009)
Percepción de riesgo de fraude por área Cambio de escenarios Perú Percepción de riesgo de fraude por área Asaltos y robos en oficinas bancarias Fuente: Ernst & Young – Estudio: Fraude, impacto en el negocio (2007) Fuente: ASBANC, BCP (2009)
Agenda Antecedentes Evolución de la seguridad y cambio de escenarios Convergencia: nueva tendencia de la seguridad Obstáculos y desafíos para los Directores de Seguridad Seguridad convergente Reflexiones finales
Convergencia Eficiencia Convergencia, nueva tendencia de la seguridad Concepto Seguridad física Seguridad física Sinergia Convergencia Eficiencia Seguridad lógica
Convergencia, nueva tendencia de la seguridad Fundamentos Reducción de costos. Eficiencia de procesos. Optimización de recursos. Económicos Organizaciones más complejas. Entorno globalizado. Crecimiento Antes: Activos tangibles (edificios, equipos, otros). Actualidad: Activos tangibles, información, conocimiento, productos y servicios. Activos críticos Nuevas tecnologías para minimizar riesgos. Innovación Regulación, estándares y mejores prácticas internacionales. Cumplimiento
Convergencia, nueva tendencia de la seguridad Principales procesos Convergencia Procesos de seguridad física y electrónica Procesos de seguridad de información Procesos de gestión de riesgos Procesos de continuidad operativa
Definición de roles y procesos Convergencia, nueva tendencia de la seguridad Condiciones Apoyo alta dirección Visión estratégica Liderazgo Definición de roles y procesos
Aporte a la cadena de valor Ventaja competitiva por modelo Convergencia, nueva tendencia de la seguridad Beneficios Estrategia integral Aporte a la cadena de valor Sinergias Ventaja competitiva por modelo Eficiencia
Agenda Antecedentes Evolución de la seguridad y cambio de escenarios Convergencia: nueva tendencia de la seguridad Obstáculos y desafíos para los Directores de Seguridad Seguridad convergente Reflexiones finales
Obstáculos Diversidad en la cultura organizacional. Resistencia al cambio y a nuevas estructuras. Conflictos internos. Falta de comunicación. Carencia de liderazgo y falta de concertación. Limitaciones presupuestales. Plan de acción no alineado a la convergencia. 17
Desafíos Lograr compromiso de alta dirección. Implementar un modelo de seguridad integral. Incorporar una cultura de prevención y seguridad. Adecuada gestión de recursos. Revisión de mejores prácticas. Innovación y permanente revisión de procesos, roles y recursos. 18
Agenda Antecedentes Evolución de la seguridad y cambio de escenarios Convergencia: nueva tendencia de la seguridad Obstáculos y desafíos para los Directores de Seguridad Seguridad convergente Reflexiones finales
Seguridad convergente Traducido de Gartner , Noviembre 2007 Guardias / vigilancia Seguridad personal Recuperación de desastres Administración de amenazas y vulnerabilidades Arquitectura empresarial de seguridad de información Riesgo de proyectos Riesgo de RRHH / Habilidades Controles / políticas Información impresa Administración de identidades Controles de acceso Continuidad de negocio Monitoreo Privacidad Administración de procesos Cumplimiento de regulaciones eDiscovery Respuesta a incidentes Riesgos Seguridad de Información Seguridad Física
Seguridad convergente Seguridad lógica Bloqueo de cuenta Paso 2: Login a la red Sistema de control de acceso a la red Login a la red ¡ OK ! ¡ALERTA! Correlación de eventos en tiempo real Seguridad física Paso 1: Ingreso físico Sistema de control de acceso de personas
Agenda Antecedentes Evolución de la seguridad y cambio de escenarios Convergencia: nueva tendencia de la seguridad Obstáculos y desafíos para los Directores de Seguridad Seguridad convergente Reflexiones finales
Reto para los Directores Reflexiones finales Importancia de la convergencia Reto para los Directores Beneficios Ante un mercado globalizado donde predomina el uso de la tecnología y riesgos de alta criticidad que generan importantes pérdidas; la convergencia entre la seguridad física y lógica, permite afrontar estos eventos bajo esquemas de sinergia, eficiencia y efectividad. Lograr que la alta dirección y la organización en general entienda a la seguridad como una fortaleza y ventaja competitiva para el negocio (socio estratégico). La convergencia permite importantes sinergias orientadas a la reducción de costos por el uso de tecnología, mayor capacidad de reacción inmediata, optimizar el rol preventivo y adecuado manejo de estrategias. 23
Modelo que migra de la Seguridad Física a la Seguridad Lógica Modelo que incorpora la convergencia Prevenir Detener Responder Recuperar Personas Custodia Administradores de sistema/accesos Equipos funcionales Equipos de respuesta Estructura Organizacional Roles y Responsabilidades Procesos Protocolos de Seguridad Gestión de alertas Plan de reacción inmediata Procesos de contingencia Clasificación de Procesos y Recursos Información Manejo de fuentes Análisis de data Identificación de riesgos Diseño y aplicación de estrategias Ejecución de protocolos Continuidad operativa Inteligencia Tecnología Arquitectura de Seguridad Sistemas de seguridad Centros de monitoreo Equipos de contingencia Uso de Dispositivos Tecnológicos Modelo que migra de la Seguridad Física a la Seguridad Lógica Área de Seguridad y Prevención de Fraudes Basado en Booz, Allen, Hamilton Convergence of Enterprise Security Organizations 24
Referencias bibliográficas Modelo de seguridad integral del Banco de Crédito del Perú. 2008. Convergence of enterprise security organization. Booz, Allen, Hamilton. The Alliance for Enterprise Security Risk Management. 2005. La Convergencia de la seguridad. Villalon, Antonio. S2Grupo Foro Latinoamérica Sistemas, Tecnología, Comunicaciones. 2008. El nuevo Director de Seguridad. Villalon, Antonio. ISACA. 2008. Chief Security Officer (CSO) guidelines. ASIS International. 2004. http://www.belt.es Belt Ibérica - Portal de los Profesionales en Seguridad. Memoria anual. ASBANC. 2007. Estudio: Fraude, impacto en el negocio. Ernst & Young. 2007. Global Internet security threat report. Symantec. 2008, 2009. Information security breaches survey. BERR y otros. 2006, 2008. 25
La Convergencia entre la Seguridad Lógica y la Seguridad Física El principal desafío para los Directores de Seguridad José Marangunich R. Gerente del Área de Seguridad y Prevención de Fraudes Banco de Crédito del Perú E-mail : jmarangunich@bcp.com.pe Panamá, Septiembre 2009