IT Risk Management solutions

Les comparto el último cuadrante mágico de Gartner, acerca de IT Risk Management solutions, basado en estudio realizado que considera aspectos tales como:

– Funcionalidades acorde a buenas prácticas

– Versatilidad

– Usabilidad

– Intuitividad

– Potencial data analytics

– Potencial robótica e inteligencia artificial

– Implementación y soporte post go live

#ERM #GRC #RiskManagement

Anuncios

Los problemas y soluciones que identifica el asesor presidencial en ciberseguridad

En entrevista realizada hoy al asesor presidencial en ciberseguridad Mario Farren, por el Diario Financiero, se refiere a los problemas y soluciones que identifica en relación a la implementación de medidas tendientes a mitigar riesgos relativos a ciberseguridad en entidades tanto públicas como privadas y hace mención al estado del arte en que nos encontramos en Chile, resaltando la ausencia de modelos de gestión de riesgos robustos y maduros.

En definitiva, mientras no exista orgánica, marco normativo robusto, eficaz y cambio cultural que potencie la función de gestión integral de riesgos en las organizaciones y de manera holística, difícilmente prosperarán iniciativas orientadas a la gestión del riesgo de ciberseguridad, driver que por cierto, es uno más de los que se debe gestionar en el ámbito operacional y cuyas repercusiones pondrían mermar de sobremanera a entidades, sobre todo en donde las tecnologías son dominantes para el core business, impactando también a nivel estratégico.

Aquí no se trata de pensar en el ROI (retorno sobre la inversión), sino que más bien, hay que pensar en el costo total de falla para avanzar con estas inversiones, donde muchos ejecutivos se pierden en la búsqueda del ROI asociado a la implementación de un modelo de gestión integral de riesgos (ERM) y las iniciativas tienden a quedar en nada, a medias y/o abandonadas.

Tal como dice Mario Farren: ”desde el punto de vista organizacional es que quizás, antes de comenzar a comprar herramientas tecnológicas, tenemos que hacer cambios organizacionales”; esto implica que si no se cuenta con un modelo de riesgos que cumpla con las buenas prácticas, ni las herramientas más sofisticadas le harán gestionar los riesgos de ciberseguridad de forma eficaz.

https://www.df.cl/noticias/mercados/banca-fintech/los-problemas-y-soluciones-que-identifica-el-asesor-presidencial-de/2019-08-02/133452.html

Riesgos de ciberseguridad en industria financiera

A propósito de la noticia que el portal de Radio Biobío, ha dado a conocer hoy, respecto a que la empresa Redbanc admite que le robaron información de casi 300 mil tarjetas de crédito y débito, comentar que las inversiones en medidas de ciberseguridad, claramente no han sido suficientes para mitigar este tipo de riesgos, que repercuten en la imagen y reputación de la entidad, golpea fuertemente la confianza de la ciudadanía en relación al uso de estas tarjetas y quedan mantos de dudas entre el regulador, los bancos y los diversos actores de la industria.

A este respecto, es importante señalar que la evidencia da cuenta que la industria financiera es de las más maduras en nuestro país en materia de gestión de riesgos e incluso varias entidades han implementado modelos de gestión integral de riesgos, basados en ISO 31.000, ISO 27.001, COSO ERM y Basilea I y II, pero a todas luces falta para llegar a un estado del arte que permita estar relativamente tranquilos.

Quizás las entidades de apoyo al giro bancario, están un poco más atrás en la rigurosidad de estos modelos, que deben ser holísticos y apuntar con énfasis a los procesos core business, pero claramente están por sobre la media del resto de las industrias en relación a iniciativas de gestión de riesgos y automatización de las mismas.

Esto nos lleva a reflexionar respecto a que definitivamente la robótica e inteligencia artificial de la mano de data analytics, juegan y seguirán jugando un rol esencial en relación con la implementación de medidas mitigatorias basadas en smart risk, para disminuir este tipo de riesgos, que día a día se hacen más sofisticados y complejos de controlar.

Aquí es donde están los grandes desafíos de la ciberseguridad para la revolución digital que estamos viviendo, es decir, en el uso de big data, data analytics, robótica e inteligencia artificial, lo que debe ser parte de la arquitectura de los modelos de monitoreo continuo preventivo.

La primera y segunda línea de defensa (gerencias operativas y funciones de aseguramiento respectivamente), tienen un desafío no menor y no solamente en la industria financiera, sino que en todas aquellas industrias expuestas con tecnologías dominantes y para la tercera línea de defensa, no deja de ser un gran reto todo esto sin duda alguna, pensando en modelos de auditoría continua.

Consideraciones implementación de solución Risk Management (ERM)

Les comparto último reporte de Gartner respecto a soluciones de clase mundial para la Gestión Integral de Riesgos, lo cual da cuenta de funcionalidades alineadas con buenas prácticas como COSO ERM 2017.

Hay que recordar que antes de implementar una solución para la Gestión Integral de Riesgos (ERM), es importante considerar:

– Alto estándar de cumplimiento respecto a prácticas de ciberseguridad, puesto que si se trata de soluciones SaaS (Software como servicio), si no cuenta con altos estándares de seguridad, la información estratégica y confidencial de las entidades queda absolutamente expuesta. Esta condición debería ser certificada en materia de ciberseguridad.

– Niveles de respaldo adecuados y certificados.

– Alta usabilidad, es decir, que sea una solución intuitiva para los usuarios finales.

– Interfaz gráfica compatible con reportabilidad para los niveles de alta dirección y el directorio.

– Que se pueda integrar a las diversas funciones de la organización de forma holística. Primera, segunda y tercera línea de defensa.

– Que se pueda generar indicadores claves de riesgo (KRI) y que los mismos sea posible vincularlos con los indicadores claves de gestión (KPI) de la organización, conforme a como lo establece COSO ERM 2017.

Ver último reporte de GARTNER https://grclatam-my.sharepoint.com/:b:/p/phernandez/EQ7Lu4pSh71NuGzmMWxJqskBDj-DnmzlMgBBHRaHfGIX5w?e=nvwhod

Protocolo de ciberseguridad

Protocolo de ciberseguridad plantea plazo de 30 minutos para que empresas informen sobre incidentes informáticos.

Todas las superintendencias deberán revisar este convenio, hacer sus reparos y ser firmado en las próximas semanas para su entrada en vigencia en Chile.

Las medidas contemplan el hecho que ante un incidente operacional que afecte los datos, la información o los recursos de las empresas o sus clientes, ya sea en el sector público o privado y que detonen planes de contingencia, las compañías afectadas deberán informar a la superintendencia respectiva en un plazo máximo de 30 minutos.

Otra de las medidas exigidas, es el compromiso de las entidades en implementar buenas prácticas en materia de gestión de ciberseguridad y continuidad de negocios.

Se requiere mucha masa crítica competente para abordar estas materias y estamos muy escasos en Chile.

Fuente: El Mercurio sábado 22-06-2019.

#CyberSecurity #Compliance

Encargado de Ciberseguridad en reparticiones públicas

El Presidente de la República acaba de presentarle al nuevo delegado presidencial para la ciberseguridad, un Instructivo de Ciberseguridad que fija obligaciones a los distintos servicios públicos del Estado, tales como la designación de un encargado de ciberseguridad de alto nivel en cada servicio, que será responsable de implementar normas y estándares que garanticen la seguridad informática en su repartición.

¿Qué perfil debe tener este encargado de ciberseguridad?

Conocimientos en:

– Gestión de Seguridad de la Información (SGSI) y Continuidad, ISO 27.001 y 22.301

– Gestión Integral de Riesgos (ERM), ISO 31.000

– Control Interno, COSO 2017.

¿Las universidades están formando profesionales con estas skills?

El conocimiento es muy escaso en la educación de pregrado y principalmente estas capacidades se están pudiendo obtener por medio de cursos de especialización, postgrados y certificaciones internacionales tales como: CISM, CISSP, CRISC, entre otras., pero estamos muy lejos del nivel de preparación que se requiere para contar con profesionales con este nivel de competencias técnicas.

Además, estos profesionales deben ser capaces de persuadir a toda la organización en materia de ciberseguridad, evangelizar y transmitir a la alta dirección los resultados.

#CyberSecurity

SAP Access Control Assessment – SAP Business One

¿Tienes implementado ERP SAP Business One?

Si deseas llevar a cabo un diagnóstico de segregación de funciones (SoD), para ver si la asignación de privilegios a usuarios se alinea con buenas prácticas de control interno, te podemos ayudar.

Recordemos que siempre es recomendable hacer al menos tres diagnósticos de segregación de funciones al año en la organización, a fin de poder tener la certeza respecto a la razonabilidad de la asignación de permisos a los usuarios en el sistema y con esto contribuir a mitigar riesgos de errores y/o fraudes. 

Tanto la primera línea de defensa (gerencias operativas) como la segunda (unidades de aseguramiento), es necesario que lleven a cabo estos monitoreos continuos del control interno, considerando que estos controles automáticos representan una porción importante del ambiente de control de sus procesos. 

La tercera línea de defensa (auditoría interna), también es necesario que como parte de sus pruebas de auditoría continua y en el marco del plan anual, lleve a cabo el diseño y ejecución de pruebas de cumplimiento tendientes a verificar el grado de confianza de estos controles de accesos, los cuales al ser dinámicos, tienden a generar ciertas vulnerabilidades que podrían poner en riesgo los procesos de la organización. 

#SAPCyberSecurity