Blog - Jornadas Ejecutivas

Usar puntuación: / 6
MaloBueno 

Es la segunda jornada de la serie prevista por CXO Community. Contó con la participación de más de 100 profesionales especializados en tecnología y seguridad de la información en la industria financiera.

Buenos Aires, 15 de Julio de 2008 - Organizada por CXO Community, Dixit Comunicación de Negocios, y con el apoyo del Instituto Universitario de la Policía Federal Argentina, se realizó la 1er Jornada de Seguridad de la Información en la Industria Financiera.

Como segundo encuentro de la serie temática especializada en Seguridad de la Información, la Jornada generó amplia expectativa.  Se dio tratamiento a los aspectos de mayor actualidad relacionados con la seguridad de la información en la industria bancaria: gestión del riesgo operacional, administración del riesgo técnico no siendo exclusividad de las áreas de IT e IS, conocimientos de los nuevos fraudes y estafas, brechas de seguridad del e-banking y estado de situación de la banca argentina frente a las anteriores,  la seguridad percibida por el cliente interno y externo, el fallo judicial mediante la aplicación de la Ley de Defensa del Consumidor (LDC) y el impacto de este fallo en las instituciones financieras, entre otros.

El encuentro fue auspiciado por las empresas Intel y Lightech y por las entidades financieras: Santander Río, Standard Bank Argentina SA, Banco Ciudad de Buenos Aires y MBA Banco de Inversiones SA.

Las entidades que han convocado al encuentro han sido: CPCI, Segu-Info, Infobae Profesional, Club de Comercio Exterior, ISACA, ADACSI e ISSA.

En la sede del Instituto Universitario de la Policía Federal Argentina (IUPFA), Rosario 532 – Piso 1 - Capital Federal, se realizó la Primer Jornada de Seguridad de la Información en la Industria Financiera. Más de 100 asistentes congregados en el Salón de las Américas, en esta jornada de día completo, pudieron apreciar de las ponencias de destacados referentes del mercado de la Seguridad de la Información, Auditoria de Tecnología Informática y Gestión del Riesgo Operacional.

La apertura de la jornada fue realizada por el Vicepresidente Dr. Juan Curutchet del Banco Ciudad de Buenos Aires, abordando la importancia del respaldo y participación de la alta gerencia en la gestión del riesgo operacional, destacando algunos de los distintos requerimientos impartidos por la normas regulatorias: Comunicación “A” 4793 y Comunicación “A” 4609 en virtud del rol de seguridad informática, ambas de BCRA.

Lic Hugo Diaz, director de relaciones institucionales de CXO Community: "La jornada en relación a los aspectos de la Seguridad en Entidades Bancarias, convocó a importantes profesionales y máximos referentes de las entidades financieras, donde el se destacó el foco en la agenda que los directores tienen en la toma de decisiones cotidianas. Este tipo de jornadas permite vincular los organismos, el sector académico, y las empresas privadas con el fin de mejorar la calidad profesional de las personas que las integran."

Sobre la línea de la administración del riesgo operacional, Germán Rodríguez, Gerente Senior de la Unidad de Banca de Everis (www.everis.com), ofreció la primer presentación titulada “Modelo de Gestión del Riesgo Operacional” indicando que previo a gestionar el riesgo es preciso adoptar el modelo que mejor se adapte a la entidad bancaria, ya que “la gestión del riesgo operacional es particular a cada organización”.  El modelo de gestión presentado tuvo como objetivo representar un marco conceptual simplificado sirviendo de base de referencia para el área de Riesgos Operativo, permitiendo organizar las ideas y detectar rápidamente Líneas de Actuación. El modelo se basó en un bottom-up model que toma como elementos de partida los procesos de la institución, a través del cual se pueden analizar las causas de las pérdidas. Como cierre de su exposición detalló los componentes necesarios a la hora de implementar el modelo de gestión: Etapa 1. Bases del Modelo del Riesgo Operativo y Etapa 2. Desarrollo y Optimización del Modelo Operativo.

La presentación completa puede ser obtenida desde este link (1)

Continuando con la exposición anterior, Miguel Delle Donne, Director de Information Risk Management de KPMG (www.kpmg.com.ar), focalizó su presentación titulada “Evaluación de Riesgos en Tecnología Informática” en el tratamiento del riesgo técnico. Miguel inició su ponencia enfatizando que el directorio, o autoridad equivalente, es el responsable primario de observar la ejecución continua de análisis de riesgos en la entidad debiendo estar formalmente realizados y documentados. Centralizó su exposición en la importancia de reconocer que los riesgos de tecnología de información no sólo pertenecen a TI, no pueden ser definidos sólo por TI y no pueden ser evaluados sólo por TI, por el contrario, debiendo existir un compromiso fuerte por parte de la alta gerencia y como también, siendo preciso la existencia de criterios comunes, una metodología de trabajo uniforme y por sobretodo que la organización toda sea consciente y se involucre en el análisis y prevención de riesgos. 

La presentación completa puede ser obtenida desde este link (1)

Luego de la apertura y de las 2 primeras presentaciones, es preciso la toma de conciencia de lo importante y necesario que es contar con una metodología “que mejor le siente a la entidad” de tratamiento del riesgo operacional como también de que el directorio se involucre en los aspectos de análisis y prevención de riesgos, por lo cual era el momento exacto de ahondar en: las brechas de seguridad del e-Banking, los fraudes que a hoy se efectúan con las tarjetas de crédito/cajeros automáticos y la red nacional e internacional que se cierne detrás de los anteriores.

Julio Ardita, Director de CYBSEC SA (www.cybsec.com), continuó con la tercer exposición denominada “Brechas de Seguridad del e-Banking” en relación a las preocupaciones del sector financiero ante los ataques internos y externos a sus sistemas informáticos como también cuáles son las principales amenazas y vulnerabilidades a las que las entidades se exponen mediante la banca electrónica. Julio inició su presentación exponiendo la situación del e-Banking en la Argentina; siendo los factores principales del crecimiento: fuerte competencia, eficiencia en costos y alcance geográfico. En Argentina, hay más de 7 millones de usuarios de e-Banking y creció durante los últimos seis años, tanto entre quienes hacen un uso general de este servicio relacionado con las consultas (pasó de un 35% en 2001 a un 67% en 2007) como en aquellos que realizan transacciones monetarias tales como pagos, créditos, movimientos entre cuentas, contratación de servicios financieros, etc. (subió de 24% a 49%) según D'Alessio-Irol. Continuó con el desarrollo de los tópicos tales como, las brechas más comunes y los ataques informáticos a las entidades financieras. Al finalizar su exposición resaltó la importancia de contar con una Política específica de Seguridad en e-Banking destacando que en base a su experiencia sólo el 60% posee una política específica al respecto.

La presentación completa puede ser obtenida desde este link (1)

A continuación, el Lic. Rodolfo Pardo, Managing Director de Intersecon, abordó la temática de: “Uso de Hardware y Software para Falsificación y Adulteración de Tarjetas de Crédito y Débito - Maniobras Fraudulentas”.

El especialista desarrolló el concepto del fraude detallando las características del anterior como también los medios “artesanales” y “técnicos” para realizarlo. Presentó distintos casos de maniobras fraudulentas por medios técnicos (DNI falsificado, Factura de servicios escaneada y adulterada, entre otros). Asimismo destacó en lo relacionado a la sustracción de tarjetas de crédito y débito, los medios empleados, tales como; la modalidad “pescador” y en lo concerniente a la clonación de tarjetas mediante la técnica de “skimming”. Como cierre de su exposición destacó las distintas etapas que integran la maniobra fraudulenta y la red local e internacional destacando que la zona más “atacada” es Europa y específicamente Francia, España e Italia dado el volumen de turistas que visitan los países mencionados.

La presentación completa puede ser obtenida desde este link (1)

Como complemento de lo desarrollado hasta el momento, Jorge Repetto, Coordinador de Seguridad en Tecnologías de Información - Prevención de Riesgo y Análisis de Fraude por el Banco Ciudad de Buenos Aires (www.bancociudad.com.ar), expuso la quinta presentación “La gestión de riesgos en las manos del CSO ¿Qué hacemos?” dedicada a los temas de creación de un área de protección de activos de la información y como valor agregado la protección y prevención de riesgos en la banca electrónica por diversos medios, específicamente cómo efectuar el control y generar un análisis adecuado y una correcta prevención de fraudes con tarjetas de débito/crédito operando en ATM's y Pos; accesos vía HomeBanking, PhoneBanking, etc. Acorde el primer tema, Jorge recalcó que la protección de los activos de información no distingue a un activo por ser lógico o físico, por el contrario, es considerado un activo no importando el tipo del anterior. Relacionado al segundo y último tema abordado, realizó una detallada ponencia enfatizando los fraudes en la operación en ATMs y Pos como también brindó ejemplos prácticos desde su propia experiencia. Finalizando su exposición desarrolló y detalló el fallo “Bieniauskas Carlos c/ Banco de la Ciudad de Buenos Aires” donde la Justicia validó el reclamo efectuado por un usuario a quién, con una tarjeta de débito “melliza”, le robaron fondos del cajero automático fallando el tribunal a su favor en base a que los servicios financieros están regulados por la Ley del Consumidor (LDC).

La presentación se encontrará disponible en los próximos días.

Luego del almuerzo y como comienzo de la segunda parte de la jornada, la apertura fue realizada por el Presidente del CPCI (www.cpci.org.ar), Sr. Rubén Fernández Iriart.
A esa altura de la jornada, el nivel informativo de los riesgos actuales en la industria financiera y de la prevención de fraudes conllevaba a tomar conciencia de una temática aun no desarrollada pero que representa una de las amenazas más temidas y que es la fuga de información. Era necesaria la toma de conocimiento ante el robo o pérdida de información y los mitos asociados a la protección de la anterior, como también, del impacto que dicha pérdida o hurto pudiera ocasionar en la imagen y reputación de una entidad bancaria. La conclusión, y a modo de concientizar como era preciso, Fernández Iriart nos deja como reflexión el valor de la ética profesional y la conciencia de las decisiones que los profesionales de tecnología habitualmente tomamos en nuestras actividades. El fraude y la prevención, se encuentran vinculados desde un mismo punto de contacto: el profesional de informática y seguridad,…, queda en su posición profesional qué camino tomará en sus actividades.

Luego Daniel Vita – Professional Services Manager de ETEK International (www.etek.com), desarrolló la sexta exposición “Derribando los Mitos de la Protección de la Información”. Daniel estructuró su presentación en 3 fases: la problemática actual “la fuga de información”, los 8 mitos de la protección de la información y la visión general de la protección mencionada. Acorde el Ponemon Institute “el 85% de los encuestados declararon haber presentado fugas de datos relacionadas con la pérdida o el robo de información en los últimos 24 meses” y Gartner Group anticipa que “para el año 2010 anticipamos que el 80-90% de las fugas de información confidencial serán involuntarias, accidentales o resultado de procesos ineficientes". Durante la exposición Daniel permitió que la audiencia participara haciendo de su ponencia, un desarrollo interactivo y pensante para todos los presentes, brindando las causas por las cuales se produce la fuga de información para luego detallar los 8 finalistas a la hora de abordar los mitos tecno-urbanos de protección de la información. Como cierre de su exposición brindó los distintos pasos a ejecutar a la hora de proteger la información como también el ranking de las técnicas utilizadas.

La presentación completa puede ser obtenida desde este link (1)

Como cierre de las presentaciones, Claudia Gericke de Belgrano, Gerente de Riesgo y Cumplimiento de MBA Banco de Inversiones SA (www.mba.com.ar), desarrolló la séptima y última presentación “Riesgo Operacional - Sound practices – Basilea II - Com 4793 BCRA”.
Ya casi finalizando la jornada era preciso compartir la experiencia de un Gerente de Riesgo por lo que Claudia brindó la visión práctica que ella misma le ha dado al tratamiento en cuestión. Para ello expuso qué condiciona y cuáles son los elementos cruciales para administrar el RO. También mencionó las sanas prácticas a ser aplicadas como el marco adecuado a la hora de ejercer la gestión del RO. Al momento de precisar documentar el RO recalcó el uso y los componentes de la matriz de riesgos como también las distintas etapas en la administración del RO. Como cierre de su ponencia enfatizó el uso de la Base de Incidentes siendo el pilar fundamental y datos históricos únicos para la medición del riesgo.

La presentación completa puede ser obtenida desde este link (1)

Culminando la jornada era el tiempo exacto para que los Responsables de Seguridad de la Información expusieran sus opiniones e intercambiaran sus experiencias en función de las temáticas expuestas y preguntas realizadas por la audiencia. Oscar A. Schmitz, Director de CXO Community fue el moderador del Panel de los Gerentes de Seguridad de la Información (CSO), integrado por los siguientes profesionales:
Por Banco Ciudad de Buenos Aires – Jorge Repetto.
Por BCRA - Lic. Mara Misto Macias (Integrante del CASI).
Por BST Banco de Servicios y Transacciones SA – Guillermo Díaz (Integrante del CASI).
Por HSBC Bank – Nicolás Mautner (Integrante del CASI).
Por Standard Bank Argentina SA – Enrique Rubinstein (Integrante del CASI).

Algunas de las preguntas efectuadas y quienes brindaron sus respuestas han sido:
1. ¿Qué opinión les merece el fallo “Bieniauskas Carlos c/ Banco de la Ciudad de Buenos Aires” donde La Justicia validó el reclamo efectuado por un usuario a quién, con una tarjeta de débito “melliza”, le robaron fondos del cajero automático, el tribunal falló a su favor y condenó a la entidad bancaria y dijo que los servicios financieros están regulados por la Ley del Consumidor?
Jorge respondió de manera detallada y mediante la exposición de imágenes en un caso que ha experimentado desde muy cerca a él y que en base a su experiencia agregó “Sólo hay una posibilidad en 10000 de que quien porta una tarjeta pueda extraer fondos sin conocer una clave”.

2. En base a la experiencia de cada uno de ustedes, ¿Cuál ha resultado la mejor manera de educar y concientizar, al cliente interno y externo?
Enrique expresó enfatizando que “Es preciso que exista una política clara. En las comunicaciones internas lo ideal no es abundar en una lista interminable de conceptos, estos deben ser pocos y claros”.

3. ¿Cuál es el la posición organizacional que mejor le sienta al Responsable de Seguridad de la Información? ¿Dependencia del CIO, del COO, del CFO o del CEO? ¿Cuál y por qué?
Guillermo respondió que “En mi caso, he dependido de la Gerencia de IT; luego de la Gerencia General; a posteriori, de Auditoría. Es cierto que Seguridad de la Información nació dentro de IT, pero lo cierto es que luego creció más que IT. En lo personal, me siento más cómodo dependiendo del COO, del sector operativo.” 

4. Como Responsables de Seguridad de la Información, ¿Qué consejo darían de lo “que no debe hacer” y de lo “que si debe hacer” a lo largo de su gestión?
Misto contestó "Para resolver la resistencia de las áreas informáticas a la implementación de las medidas de seguridad, teniendo en cuenta mi experiencia personal, me parece conveniente la creación del Comité de Seguridad de la Información (u órgano equivalente) que, en función de las necesidades de la organización y conociendo los riesgos asociados, sea quien defina si se implementan o no las recomendaciones, y asuma los riegos respectivos en caso de no hacerlo".

5. ¿Qué le recomendaría a los responsables de seguridad para mejorar su carrera profesional y académica?
Nicolás enfatizó que “Es condición fundamental capacitarse en forma continua. En lo personal a lo largo de mi trayectoria he aprendido mucho más intercambiando experiencias y contactándome con mis pares” esto último lo destacó como primera medida para el mejoramiento de la carrera profesional.

Para mayor información:

• Agenda de la jornada
• Galería de Imágenes
• Adelando del Video de la Jornada
• Los Bancos analizan los riesgos
• Robo de tarjetas de débito

(1) Para poder realizar la descarga de las presentaciones (archivos PDF) podrá acceder a la sección “Documentos” donde se encuentran cada uno de los contenidos indicados. Asimismo podrá solicitar las presentaciones por correo electrónico a info(at)cxo-community.com.ar 

CXO Community, www.cxo-community.com.ar, info(at)cxo-community.com.ar

[DIXIT] Comunicaciones, www.dixitcomunicaciones.com.ar, info(at)dixitcomunicaciones.com.ar

Solicite el DVD completo de la jornada a jornadas(at)cxo-community.com.ar

Gestión de Riesgos - ¿Qué hay de nuevo, viejo?

Por Claudia Belgrano

Así como el gerenciamiento de los riesgos no constituye una novedad en la historia de la administración empresaria, la importancia dada a este rubro tampoco es una novedad. Lo nuevo son las metodologías y herramientas a utilizar para su mejor identificación, evaluación, medición y control. Estos elementos constituyen la parte fundamental que las empresas deberán potenciar en sus estructuras si quieren alinearse con los futuros exitosos y no simplemente con los cumplidores.

La especialización en el análisis de riesgo dada a ciertas profesiones no es nueva. Así vemos a lo largo de la historia de la administración corporativa, y en diversos territorios con distintas estructuras y organizaciones, la existencia de grupos profesionales especialistas en la calificación y evaluación de las empresas. En nuestro mundo globalizado cada vez se le dan más responsabilidades a aquellos que deben certificar la salud de las empresas y hoy deben analizar también la efectividad de sus procesos de gerenciamiento de riesgos.

Los conceptos en los que se basan las metodologías, las herramientas y las técnicas a utilizar para la detección, medición y gerenciamiento de los riesgos no son nuevas, su alcance y sofisticación es lo que mejora día a día dando cada vez más posibilidades (al igual que en el resto de los campos de la actividad humana) de mejorar los procesos, hacerlos más efectivos y eficientes. Pero si estas metodologías son organizadas en función de objetivos erróneos o deficientes, en estructuras inadecuadas, con personal no idóneo o poco capacitado para la función del manejo de riesgos, no son más que un desperdicio terrible de tiempo y esfuerzo.

Existe y existirá un cambio cultural permanente que obligará a las empresas a mantener estructuras flexibles o permeables al mismo para poder reaccionar eficientemente y sin quiebres fundamentales en su gobierno.

Las corporaciones deberán estar permanentemente alertas a las tendencias no sólo económicas sino culturales, ya que las primeras son consecuencias de las segundas. Para ello será necesario que estén preparadas y dispuestas permanentemente a medir y analizar, tendencias, para fijar los comportamientos adecuados, ser “proactivos” o simplemente reactivos pero a tiempo. 

El artículo completo puede ser leído en la revista CXO Community #1.