III Congreso de Prevención del Fraude y Seguridad
Riesgos de fraude en el manejo de la información:
experiencias en la mitigación o gestión de los
riesgos de fraude en Outsoursing
Bogotá, Colombia, 2009
Roberto Keil Montoya
Expositor
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
INFORMACIÓN
En términos generales, hablamos de información como un conjunto de datos
que están organizados y que tienen un significado.
La información es un elemento fundamental en el proceso de la comunicación,
ya que tiene un significado para quien la recibe, que la va a comprender si
comparte el mismo código que quien la envía.
El avance tecnológico y de la informática liga la información en un proceso y
un sistema de comunicación que evitan la existencia de barreras entre la
confluencia de información desde un punto al otro del planeta.
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
FUNCIONES DE LA INFORMACIÓN
Se considera que la generación y/o obtención de información persigue estos
objetivos:
Aumentar el conocimiento del usuario.
Proporcionar a quien toma decisiones la materia prima fundamental para el
desarrollo de soluciones y la elección.
Proporcionar una serie de reglas de evaluación y reglas de decisión para fines
de control.
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
ACTIVOS DE INFORMACIÓN
Un activo de la información es un fragmento de información definible,
almacenado en cualquier manera que se reconozca como “VALIOSO” a la
organización.
La información que abarca un activo de la información, puede ser poco más
que un archivo conocido de la perspectiva y de dirección; o puede ser los
planes para el lanzamiento de productos.
Independiente, la naturaleza de los activos de la información estos tienen las
siguientes características:

E reconocen como un valor para la organización

No son fácilmente reemplazable sin coste, habilidad, tiempo, recursos o
una combinación de ellos.

Forman una parte de la identidad corporativa, sin la cual, la organización
puede verse amenazada.

Su clasificación de los datos sería normalmente pública, confidencial o
altamente confidencial.
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
INFORMACIÓN CONFIDENCIAL E INFORMACIÓN CRÍTICA
Información Confidencial: es toda aquella información que por su naturaleza
no puede ser revelada a terceros y no es pública, por ello se entiende que este
tipo de información es de nivel crítico y que por ello debe ser tratada y
protegida con mayor atención.
Información Crítica: Es la información considerada esencial para la continuidad
del negocio y para la adecuada toma de decisiones.
Seguridad de Información: Son los mecanismos establecidos para garantizar la
confidencialidad, integridad y disponibilidad de la información y los recursos
relacionados con ella.
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
INFORMACIÓN CONFIDENCIAL
Características y recomendaciones del manejo: acceso permitido a empleados
y no empleados con compromiso escrito de no revelarla
Métodos de distribución: por entrega a tercero con firma de cláusula de
privacidad, confidencialidad y responsabilidad por indebida distribución
Restricciones de distribución: se distribuye debidamente garantizando su
naturaleza (encriptación y por conductos o canales de máxima seguridad)
Almacenamiento: seguridad para prevenir acceso no autorizado
Disposición / Destrucción: condiciones de efectiva destrucción o completa
eliminación
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
INFORMACIÓN PERSONAL E INFORMACIÓN CONFIDENCIAL
La información personal que suministra un cliente a una entidad financiera es
información confidencial y debe ser tratada como tal, para efectos de lo previsto
por la Circular Externa 052 de 2007 que también establece requerimientos mínimos
que deben ser observados en aras de la seguridad y calidad de la información que
se maneja a través de los canales y medios de distribución de productos y servicios
para clientes y usuarios.
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
REGLAMENTO DE LA GESTIÓN INTEGRAL DE RIESGOS
(Resolución S.B.S. N° 37 -2008 - Perú)
CAPÍTULO VI
SUBCONTRATACIÓN
Artículo 21º.- Subcontratación
Plena responsabilidad del Banco sobre los resultados de los procesos subcontratados con
terceros, pudiendo ser sancionados por su incumplimiento. Asimismo deben asegurarse que se
mantenga reserva y confidencialidad sobre la información que pudiera serles proporcionada.
En toda subcontratación significativa, un análisis formal de los riesgos asociados deberá ser
realizado y puesto en conocimiento del Directorio para su aprobación. Se entenderá por
significativa aquella subcontratación que, en caso de falla o suspensión del servicio, puede
poner en riesgo importante a la empresa, al afectar sus ingresos, solvencia, o continuidad
operativa. La subcontratación de una o más funciones de la gestión de riesgos será
considerada como significativa para fines de este reglamento.
Las empresas deberán asegurarse de que en los casos de subcontratación significativa, los
contratos suscritos con los proveedores correspondientes incluyan cláusulas que faciliten una
adecuada revisión de la respectiva prestación por parte de las empresas, de la Unidad de
Auditoría Interna, de la Sociedad de Auditoría Externa, así como por parte de la
Superintendencia o la persona que ésta designe.
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
REGLAMENTO DE LA GESTIÓN INTEGRAL DE RIESGOS
(Resolución JM 090402-05 - Ecuador)
TITULO V
DE LA NOTIFICACIÓN PREVIA
Artículo 37º.- Notificación Previa
Las entidades de intermediación financiera deberán notificar previamente y por escrito a la
Superintendencia de Bancos, cuando se presente cualquiera de las siguientes situaciones:
a)
La instalación y/o implementación de centros de procesamientos de datos y accesos
externos a los sistemas de la entidad;
b)
La tercerización de servicios críticos, tales como, procesamiento de datos, hosting,
telecomunicaciones, entre otros;
c)
La descentralización total o parcial del procesamiento de datos fuera del país;
d)
Implementación de nuevos sistemas o tecnologías desde la última inspección;
e)
Cambios significativos en los recursos humanos, tales como gerentes de tecnología,
auditoría y seguridad o conversión de sistemas; y,
f)
Cambios en las líneas de negocios en las cuales los controles internos y el sistema de
manejo de riesgo, dependan fuertemente de la TI.
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
INFORMACIÓN CONFIDENCIAL: PARTICIPANTES
Contratante
Contrato
Contratado
y Sub
contratado
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
CLÁUSULAS DE CONTRATO: EXPERIENCIA A NIVEL REGIONAL
Requisitos de información:

Por parte de proveedor: es responsabilidad exclusiva
de este el elaborar una relación de información mínima
necesaria para el desarrollo del servicio a realizar que
deberá aparecer en su propuesta técnica y como
anexo en el contrato una vez sea acordado con el
Banco y de forma del manejo y protección en caso sea
Contrato
información confidencial.

Por parte del Banco: una vez formalizado el contrato y
recibido el requerimiento formal de información por
parte del proveedor, el Banco deberá remitir la
información en los términos y condiciones acordadas
en el contrato. En caso de existir información
confidencial deberán especificarse la naturaleza.
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
CLÁUSULAS DE CONTRATO: EXPERIENCIA A NIVEL REGIONAL
Propiedad y acceso:

Propiedad: identificación y propiedad de todos los
activos intelectuales y físicos, relacionados al
contrato,
debe
estar
claramente
establecida,
incluyendo activos adquiridos o producidos como
consecuencia del contrato. Establecer cuándo y
Contrato
cómo el proveedor de servicios podrá hacer uso de
los activos del banco, y los derechos de esta
última para acceder a dichos activos.

Acceso: el tema de acceso a activos reviste otra
naturaleza por el impacto que ello puede originar
al Banco: financiero, legal, reputacional. En este
punto el Banco debe definir (activos críticos,
mecanismos
de
control
y
supervisión,
responsabilidades del proveedor al acceder a
información)
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
CLÁUSULAS DE CONTRATO: EXPERIENCIA A NIVEL REGIONAL
Confidencialidad,
seguridad
y
segregación
de
la
propiedad

Externalización de servicios u outsourcing supone
un acceso a información confidencial y bases de
datos por terceros.
Contrato

Para garantizar la seguridad y protección de dicha
información es necesario regular la prestación de
los servicios externalizados.

Además, para proteger la información confidencial
del Banco cuando es tratada por un tercero es
necesario firmar un contrato de prestación de
servicios en las que se establezcan las condiciones
del tratamiento y especialmente las obligaciones
de confidencialidad y secreto.
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
ESQUEMA DE GESTIÓN RIESGO DE FRAUDE EN OUTSOURCING
Fase 2
• Activos de
Información
Fase 1
• Información
Confidencial
(niveles)
Fase 4
• Información
Confidencial:
Participantes
• Responsabilidades
Asignadas
Fase 3
Derechos Reservados - www.griskm.com
• Contratos
Fase 5
El enfoque exacto para su negocio©
FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE
INFORMACIÓN CONFIDENCIAL
Mejores políticas para clasificación y
mitigación del riesgo
1. Políticas y
Clasificaciones
5. Integrado a
la Organización
FCE
4. Escalabilidad
2.
Conocimiento
de la Identidad
3. Flujo del
Incidente
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE
INFORMACIÓN CONFIDENCIAL
1. Políticas y
Clasificaciones
5. Integrado a
la Organización
FCE
4. Escalabilidad
2.
Conocimiento
de la Identidad
Para la clasificación, control y corrección
3. Flujo del
Incidente
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE
INFORMACIÓN CONFIDENCIAL
1. Políticas y
Clasificaciones
5. Integrado a
la Organización
FCE
4. Escalabilidad
2.
Conocimiento
de la Identidad
3. Flujo del
Incidente
Derechos Reservados - www.griskm.com
Alerta consolidado para la correcta
información al personal correcto y toma de
decisiones correctas
El enfoque exacto para su negocio©
FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE
INFORMACIÓN CONFIDENCIAL
1. Políticas y
Clasificaciones
5. Integrado a
la Organización
FCE
2.
Conocimiento
de la Identidad
“Explorar” más data de modo más rápido
con menor hardware y recursos
4. Escalabilidad
Derechos Reservados - www.griskm.com
3. Flujo del
Incidente
El enfoque exacto para su negocio©
FACTORES DE ÉXITO PARA PREVENIR EL MAL MANEJO DE
INFORMACIÓN CONFIDENCIAL
1. Políticas y
Clasificaciones
Que todo “el Mundo” la conozca y cumpla
5. Integrado a
la Organización
FCE
4. Escalabilidad
Derechos Reservados - www.griskm.com
2.
Conocimiento
de la Identidad
3. Flujo del
Incidente
El enfoque exacto para su negocio©
CONCLUSIONES
Planificación, planeamiento, objetivos
El proceso asigna propietario
El contrato asigna responsabilidades y mitiga
La tecnología apoya al desarrollo del negocio
El control no puede obviarse nunca
La responsabilidad es de ambas partes pero la mayor es la del contratante
siempre
Efecto frente al mercado puede decidir el futuro de la organización
Derechos Reservados - www.griskm.com
El enfoque exacto para su negocio©
Descargar

Descargar documento Adjunto