Integral Banking Security: Best Practices Information Security Trends for the Banking Industry Andres Leonardo Gil Security & Privacy Leader for Spanish Latin America Deloitte

Introducción Resultados de la 8va. Encuesta Anual de Seguridad de la Información para la Industria Financiera Principales Tendencias Globales Tendencias para Latinoamérica Conclusiones Agenda

Introducción Desafíos para la Banca en materia de Seguridad de la Información

El Contexto Actual y los Desafíos de Seguridad Alta dependencia de los recursos informáticos y del acceso a información Ambientes de procesamiento cada vez más complejos y heterodoxos: múltiples plataformas, ambientes virtualizados, tecnología tercerizada y procesamiento en la nube Aumento de los ataques y expuestos de seguridad, tanto en cantidad como en sofisticación, con foco en los canales electrónicos de atención a clientes Preocupación por la confidencialidad de la información, especialmente cuando la información puede afectar al negocio o a las personas Riesgos de fraude y de impacto en la imagen derivados de incidentes de seguridad: el riesgo reputacional es considerado el más crítico Incremento de los requerimientos regulatorios y legales sobre seguridad y protección de información Si bien la seguridad de la información es reconocida como un tema crítico, muchas veces no recibe la atención y apoyo que debería de los niveles de alta dirección

Vivimos en la era de la Información y de los Cyber-Ataques

Encuesta anual de Seguridad de la Información sobre la Industria Financiera a nivel Global

Encuestas Globales de Seguridad de Deloitte Incluyen a Organizaciones de distintas industrias: FSI – Financial Services Industry TMT – Technology, Media & Telecommunications E&R – Energia y Recursos Naturales Se realizan mediante entrevistas personales de nuestros Socios y Gerentes de Security & Privacy con CISOs (Chief Information Security Officer) y ejecutivos responsables en la gestión de Seguridad de la Información de organizaciones a nivel global El objetivo es poder contar con información de primera mano, del nivel ejecutivo, sobre las tendencias, necesidades e intereses de las Organizaciones en materia de Seguridad de la información

Participaron más de 250 entidades de la industria financiera pertenecientes a 39 países Entrevistas personalizadas con el Chief Security Officers/Chief Information Security Officers (CISOs) o el equipo de seguridad de la información Perfil de la 8va Encuesta Global de Seguridad en FSI Participantes por región e ingresos Región% de participantes% de ganancias APAC (excl. Japón)9% Japón9%4% EMEA (excl. Reino Unido)35%31% América Latina & Caribe (LACRO) 31%6% Reino Unido4%16% Estados Unidos7%20% Canadá5%14% * Ranking basado en Dow Jones Companies & Executives de acuerdo a ganancias percibidas Participantes por Sector Participantes por Cantidad de Empleados

Principales Tendencias Globales

Prácticamente las dos terceras partes de los encuestados creen que la función de seguridad de la información y el negocio están alineados y se apoyan mutuamente. Alrededor del 50% de los encuestados indicaron que hay un fuerte trabajo en equipo con la función de Gestión de Riesgos Operacionales y con la Gestión Integral de Riesgos de la Organización Las principales iniciativas en materia de seguridad de la información este año son: Gobierno de seguridad de la información Administración de identidades y accesos Definición de una Estrategia y Plan de Seguridad de la Información Los encuestados creen que la falta de un adecuado presupuesto (44%) y la sofisticación de las amenazas (28%) son las principales barreras para implementar un programa de seguridad de la información efectivo. Resumen de Las Principales Tendencias a Nivel Global 1. La unión hace la fuerza: derribando barreras

Resumen de Las Principales Tendencias a Nivel Global 2. Adaptándose a nuevas tecnologías: Innovación en seguridad Con el incremento de la utilización de redes sociales, el 37% de los encuestados se encuentra revisando las políticas de la organización; 33% ha comenzado a educar y concientizar a los usuarios para prevenir los riesgos provenientes de la utilización de dichas redes. El 40% de los encuestados han indicado que aún no han adquirido este servicios en la nube. Las razones citadas incluyen: falta de madurez de la tecnología riesgos de seguridad falta de capacidades dentro de la organización. La utilización de dispositivos móviles por clientes y empleados es considerada como de alto riesgo. Sin embargo, más del 50% de los encuestados no han implementado ni planean implementar tecnologías de seguridad sofisticada para proteger estos dispositivos, como ser: software anti-phishing aplicaciones de cara al cliente y a los empleados data loss prevention (DLP) para dispositivos móviles.

Resumen de Las Principales Tendencias a Nivel Global 3. Vigilando las Ciberamenazas: protegiendo los activos de información Los fraudes financieros a través de los sistemas de información, errores de empleados en el manejo de la información y el robo de información sensible son las principales amenazas identificadas por los responsables de Seguridad Tres de cada cuatro organizaciones encuestadas, han asignado roles dedicados a la protección de la privacidad de la información; las organizaciones están focalizándose cada vez más en proteger la información sensible y formalizar la función de privacidad. 49% de los encuestados manifiestan administrar en forma activa las vulnerabilidades de seguridad; 82% de ellos efectúa búsquedas para detectar nuevas amenazas y proteger de manera proactiva los activos de información. La mayoría de las organizaciones utiliza un Centro de Operaciones de Seguridad (SOC, por su siglas en inglés) para monitorear el tráfico y los datos y responder de forma activa ante incidentes y brechas en la seguridad. Más de la mitad de los encuestados ha indicado que el SOC es administrado en forma interna a la organización a fin de lograr un mejor entendimiento de los incidentes de seguridad y ganar más control sobre sus operaciones.

Tendencias en Latinoamérica

Introducción y alcance 67% de los Bancos participantes tienen 500 empleados o más 64 participantes de la Industria Bancaria de la Región de Latinoamérica y el Caribe

Tendencias en Latinoamérica Gobierno de Seguridad de la Información

92% de las entidades bancarias poseen al menos un funcionario responsable de la seguridad de la información (Chief Information Security Officer – CISO o similar). El funcionario responsable de la seguridad de la información reporta al: –Chief Operations Officer (COO) (24%) –Chief Risk Officer (CRO) (21%) –Chief Information Officer (CIO) (13%) –a la Junta Directiva (12%). 56% de las entidades cuenta con una estrategia de seguridad de la información documentada y aprobada por la gerencia. 53% señaló que cuenta con un equipo de trabajo dedicado a tareas de seguridad conformado por 1 a 5 personas con dedicación full time (FTEs). 1. Gobierno de seguridad de la información

2. Principales responsabilidades del CISO

3. Relación con la función de Administración de Riesgos 49% respondió que existe una fuerte relación entre el funcionario responsable de la seguridad de la información y el funcionario responsable de la administración de riesgo operativo y ejecutan actividades coordinadas. 41% respondió que existe una fuerte relación entre el funcionario responsable de la seguridad de la información y el funcionario responsable de la administración de integral de riesgos y ejecutan actividades coordinadas.

4. Principales barreras para alcanzar los objetivos

Tendencias en Latinoamérica Inversión en Seguridad de la Información

1. Presupuesto asignado a Seguridad de la Información Porcentaje del presupuesto de IT asignado a seguridad Evolución presupuesto 59% 71%

2. Principales iniciativas

Tendencias en Latinoamérica Valor de la Seguridad de la Información para el Negocio

1. Nivel de cumplimiento con los requerimientos de la organización 2. Alineamiento de las iniciativas de seguridad con las iniciativas del negocio

3. Confianza en el nivel de protección contra ataques internos 4. Confianza en el nivel de protección contra ataques externos

5. Experiencias de ataques externos 6. Experiencias de ataques internos AtaquesLo han Sufrido Robo de información causado por espionaje industrial o del Estado3% Fraude financiero externo a través de los sistemas de información9% Incidentes en la información causados por un ataque electrónico fuera de la organización 7% Incidentes en la información causados por un ataque físico fuera de la organización8% Incidentes en la información causados por un proveedor fuera de las premisas de la organización 3% Incidente en la red móvil originada desde fuera de la organización3% Software malicioso originado en las afueras de la organización8% Ataques a sitios web3% Otros3% AtaquesLo han Sufrido Fraude financiero interno a través de los sistemas de información13% Incidente de seguridad causado desde adentro o por un socio comercial3% Incidente de seguridad causado desde adentro de la organización por un empleado19% Incidente de seguridad causado desde adentro de la organización por un tercero5% Incidentes en la información causados por un proveedor dentro de la organización5% Incidente en la red móvil originada desde adentro de la organización3% Software malicioso originado dentro de la organización11% Otros2%

8. Observaciones encontradas en las auditorías

9. Riesgos de seguridad asociados a servicios en la nube

Conclusiones Mucho se avanzó, queda mucho por Realizar

Principales Conclusiones Las exigencias del negocio y la evolución de los marcos regulatorios hacen que la Seguridad de la Información sea un prioridad Los Bancos entienden que cada vez requerirán mayor inversión en Seguridad, en consecuencia destinan más presupuestos a esta gestión Muchas Entidades se han vuelto más proactivas en implementar medidas de seguridad innovadoras y en crear mayor conciencia con respecto a la seguridad de la información dentro de su organización. El desafío es establecer un equilibrio entre los costos de las iniciativas referentes a seguridad de la información y la materialización de las amenazas e implementación de nuevas tecnologías. Más allá del riesgo de fraude, el principal impacto es de Riesgo Reputacional y Regulatorio

Deloitte se refiere a una o más de las firmas miembros de Deloitte Touche Tohmatsu Limited, una compañía privada del Reino Unido limitada por garantía, y su red de firmas miembros, cada una como una entidad única e independiente y legalmente separada. Una descripción detallada de la estructura legal de Deloitte Touche Tohmatsu Limited y sus firmas miembros puede verse en el sitio web

Información Complementaria

Principales resultados por Región Puntos destacados 2010 Global 2011 Global APAC (excl. Japan) Japón* EMEA (excl. UK) LACRO Reino Unido Estado s Unidos Canadá 1 Los encuestados creen que hay un incremento en el presupuesto de seguridad de la información 56%57%73%14%55%59%56%94%46% 2 Los encuestados creen que los gastos en seguridad de la información están alineados o por encima del plan estimado 45%48%50%27%50% 44%50%31% 3a Las iniciativas de seguridad más importantes son: Los encuestados creen que la administración de accesos e identidades es la iniciativa número 1 44%27%18%9%38%43%44%33%46% 3b Los encuestados creen que el Gobierno de seguridad de la información es la iniciativa número 1 N/A28%36% 31%34%11%1111%8% 4 Los encuestados han implementado o comprado servicios en la nube N/A48%50%41%54%30%89% 62% 5 Los encuestados han experimentado incidentes de seguridad/privacidad durante el último año N/A27%32%23%26%22%67%50%23% Excepto Canadá y Japón, más del 50% de los encuestados en cada región ha señalado que su presupuesto para seguridad de la información se ha incrementado. A pesar de la crisis económica y los recortes en los presupuestos corporativos, la mayoría de las regiones cree que sus gastos en seguridad de la información están alineados o por encima del plan estimado. La administración de accesos e identidades es la iniciativa de seguridad número 1 en Canadá y el Reino Unido. El Gobierno de seguridad de la información es la primer iniciativa para Japón y APAC. A la hora de adoptar nuevas tecnologías, Estados Unidos y el Reino Unido poseen el mayor número de organizaciones que han implementado servicios en la nube. Los encuestados de las regiones de Estados Unidos y el Reino Unido han experimentado mayor cantidad de incidentes de seguridad/privacidad en los últimos 12 meses. * Para el propósito de este documento, hemos separado Japón del resto de Asia del Pacífico Valores más altos Valores más bajos

Principales amenazas de seguridad por Región Estados Unidos posee el mayor número de encuestados que ha señalado que el espionaje industrial es la mayor amenaza. Canadá tiene el mayor número de encuestados que considera que la utilización de redes móviles es una amenaza; y APAC y Japón poseen el menor número de encuestados que lo consideran así. Estados Unidos tiene el mayor número de encuestados que considera que la utilización de redes sociales es una amenaza (28%); y EMEA con el 4% posee el menor número de encuestados que lo considera así. Más del 50% de los encuestados de Canadá han considerado al fraude financiero a través de sistemas de información como una amenaza. Más del 50% de los encuestados de Estados Unidos considera una amenaza a la seguridad las actividades realizadas por terceros; mientras que Japón ha obtenido el menor porcentaje (5%) El Reino Unido posee el mayor número de respuestas que consideran al hactivismo or ciberactivismo como una amenaza clave; Japón posee el menor porcentaje ( 0%). * Para el propósito de este documento, hemos separado Japón del resto de Asia del Pacífico Principales amenazas 2011 Global APAC (excl. Japón) Japón * EMEA (excl. UK) LACRO Reino Unido Estados Unidos Canadá 1Espionaje industrial o de Estado6%14%0%5%3%0%22%0% 2Ataques explotando vulnerabilidades en la red móvil10%9% 10%4%11% 15% 3 Amenazas resultantes de la conjunción de las redes sociales y las plataformas online dentro de la red corporativa (por ejemplo: utilización de micro-blogging por un gerente) 8%14%9%4%7%11%28%8% 4Fraude financiero a través de sistemas de información18%14%5%15%16%44%22%54% 5 Brechas de seguridad relacionadas con terceros (por ejemplo: supply chain o contratistas) 12%14%5%7%5%33%50%15% 6Hacktivismo o ciberactivismo14%9%0%15%7%33%17%23% Valores más altos Valores más bajos

Acceso a la encuesta completa