SlideShare a Scribd company logo

Seguridad más allá del cumplimiento

Asociación de Marketing Bancario Argentino
Asociación de Marketing Bancario Argentino

Este documento resume una discusión sobre seguridad de la información entre varios gerentes de seguridad de bancos e instituciones financieras. Abordaron temas como la interacción con los directorios, la eliminación de los perímetros de seguridad, los desafíos que plantean los empleados y dispositivos móviles, y los tipos de ataques a los que están expuestos. También discutieron sobre la gestión de identidades, el teletrabajo, la autenticación multibancaria y cómo trabajan la gestión de riesgos

Technology
1 of 7
Relación de las áreas de seguridad.¿Qué dinámica se presenta en relación con la toma de decisiones? La interacción con el Board. El perímetro era aquello que nos separaba de la amenaza externa. ¿Hoy existe este perimetro? Dos problemas, el empleado que se distrae y el empleado que resulta víctima de un ataque externo. Tipos de ataques ¿A qué estamos expuestos? Como trabajamos la gestión de identidades hacia adentro Diego Esteve, Gerente de Seguridad de la Información en Banco Galicia. Silvina Ortega, Gerente de Seguridad de la información en Citi. Enrique Rubinstein, Gerente de Seguridad de la Información (CISO) de ICBC Argentina. FedericoVarela, Responsable de la Sub-Gerencia de Seguridad de la Información de Banco Santander Rio. LAS IDEAS PRINCIPALES ACERCA DEL DISERTANTE SEGURIDAD MÁS ALLÁ DEL CUMPLIMIENTO Diego Esteve Silvina Ortega Enrique Rubinstein Federico Varela
Rubén Bahnjte (R. B.): ¿Cómo es la relación de las áreas de seguridad? ¿Qué dinámica se presenta en relación con la toma de decisiones? Diego Esteve (D. E.): Primero, nosotros hace tiempo que venimos trabajando con el Board. Nos enfocamos en el gorro de visión de cumplimiento y en el gorro de visión de seguridad. Últimamente, el tema de la seguridad ha tenido mucha relevancia a nivel internacional. Empresas como Apple y Sony han sido atacadas, y eso llama la atención del Board. El quinto riesgo a nivel mundial en el 2015 fue la problemática de la ciberseguridad. Federico Varela (FV). La interacción con el Board tiene diferentes focos.Yo participo de diversas formas: con el sistema, donde vemos la gestión de los riesgos de seguridad; con auditoría, donde se ven los cumplimientos; entre otros. Tal como lo entiendo, es importante que el Board esté interesado en el tema, que propulse proyectos de gran escala y que pueda reaccionar a las amenazas. En la actualidad, existen variables avanzadas y difíciles de mitigar. Hay, por ejemplo, amenazas resistentes en el tiempo, cuyo funcionamiento es complejo de explicarle al Board. La clave es ponerse en los zapatos del otro y contemplar el interés de aquel que nos escucha. Enrique Rubinstein (ER) Antes, el perímetro era aquello que nos separaba de la amenaza externa. Hoy en día, esto se ha derrumbado y el perímetro no existe, porque desde adentro también nos pueden atacar. El ataque puede venir de cualquier lado. Poreso,hayquecontemplarestrategiaspreventivas,comoaquellasquedesarrollamos en la red, para ver si la marca se ve expuesta. Por otro lado, también hay que proyectar estrategias reactivas, como procedimientos de respuesta incidente, la comunicación con el Board, la reducción del daño, la rapidez en los movimientos para modificar los puntos débiles, entre otros. Silvina Ortega (SO) Lo importante es señalar que tanto el Board como los distintos integrantes de la organización son más conscientes de los riesgos que existen. Al mismo tiempo, es necesario que nosotros podamos acercar nuestro discurso para trabajar codo a codo con el negocio.También resulta fundamental aprender a trabajar con terceros, lo cual siempre hace más compleja la problemática del perímetro. D. E.: Otro punto es: ¿cómo es que el empleado accede a la información y qué elementos de seguridad utilizamos? ¿Cómo aseguramos cualquier dispositivo, sea del empleado o de la empresa? Hay varias herramientas. Tenemos que tener en consideración cuántos dispositivos hay y qué procedencia tienen. F.V.: Hay un cambio de paradigma respecto de cómo pensar la seguridad. Antes pensábamos en la lógica de la fortaleza, con herramientas de seguridad destinadas a laprotección.Hoyeseperímetroesmásdifuso.Esinteresantecontarconherramientas especializadas al área de negocios, dando recursos justos -ni de más ni de menos-. “El quinto riesgo a nivel mundial en el 2015 fue la problemática de la ciberseguridad”. Diego Esteve “Tal como lo entiendo, es importante que el Board esté interesado en el tema, que propulse proyectos de gran escala y que pueda reaccionar a las amenazas”. Federico Varela Lunes, 29 de Junio de 2015Seguridad más allá del cumplimiento
E. R.: Nosotros hemos realizado un esfuerzo para dar seguridad al entorno móvil. Por ejemplo,tenemosqueadaptareltemadelospasswordsdeacuerdoconeldispositivo. Tenemos que proteger la información y que, a su vez, el dispositivo sea utilizable. S.O.: En todas las organizaciones está la cuestión de usar tu propio dispositivo, donde hay elementos de la vida privada y también hay información corporativa. Un dispositivo personal no está estandarizado, entonces si bien no podemos perjudicar al dueño, al mismo tiempo hay que proteger los archivos, que contienen información confidencial. Tenemos que hacer un análisis de riesgo. D.E.: Nuestro desafío es normar y controlar la concientización en el uso de la información por parte de los empleados de la institución. Esto va de la mano de la gestión de identidades: el hecho de otorgar al personal acceso a distintos sistemas. Nosotros entendemos que cada persona debe acceder a la información que precisa para hacer su trabajo, ni más ni menos. El estudio del comportamiento de los clientes en los canales electrónicos se aplica ahora a los empleados de la institución. Actualmente, tenemos mucha información sobre los empleados y tenemos que valernos de ella para identificar los problemas y los ataques. R. B.: Una cosa es el empleado que se distrae y otra el empleado que resulta víctima de un ataque externo. F. V.: En esta cuestión hay diferentes dimensiones involucradas. Una de ellas es la concientización sobre la importancia y los riesgos que involucra la cuestión. Otra es la ignorancia, ante la cual hay que capacitar.También es importante la desidia, ante la cual hay que aplicar el control. La gente trabaja mejor cuando sabe que está siendo controlada y que los desvíos en su forma de actuar pueden tener consecuencias. R. B.: ¿Qué ataques han visto? ¿A qué estamos expuestos? F. V.: En empresas grandes ha habido casos de phishing: un correo con imagen que lleva a sitio y a un troyano, y que toma el control de la máquina. Se trata de un ataque silenciosoconelquesevulneransistemasy,deestemodo,sehallegadohastaafundir empresas. S.O.: La información tiene un ciclo de vida. Muchas veces esta información se tira sin ser destruida, ¿pero qué pasa con esa información? Puede generarse un problema, porque tal vez para la empresa no es útil esa información pero para otros sí. Entonces, algo que parece un dato menor se puede transformar en un gran inconveniente. R.B.: ¿Cómo impacta la omnicanalidad en la seguridad? “Poner una contraseña en una PC es una cosa, pero escribirla en un Smartphone ya es un problema. Nosotros tenemos que tratar de proteger la información y ponerla en un dispositivo fácil de utilizar”. Enrique Rubinstein Lunes, 29 de Junio de 2015Seguridad más allá del cumplimiento GRUPO INGENICO / NUEVA IDENTIDAD Nuestra empresa ha evolucionado en los últimos años. Empezamos solamente suministrando terminales de pago y actualmente podemos ofrecer una gama mucho más amplia de activida- des, gracias a nuestro desarrollo como corporación y las adquisiciones realizadas. Hoy el Grupo Ingenico es una pieza clave en varios segmentos de la industria mundial de pagos, que tiene en su portfolio desde terminales y servicios, hasta soluciones para el comercio electrónico. Para lograr esta trasformación, todos nuestros empleados y actividades están integradas y operan- do bajo nuestra nueva marca mundial: Ingenico Group.
E.R.: La omnicanalidad es un desafío para la seguridad. Hoy no creo que haya un cambio en los parámetros de seguridad sino en el ámbito de las personas. D.E.: La omnicanalidad para nosotros, los de seguridad, va a ser un desafío. Vamos a tener que revisar sistemas de seguridad que ya conocemos por otros nuevos. Tendremos que confiar en otros métodos de autenticación. F.V.: Siguiendo la idea de la omnicanalidad interna, creo que se puede potenciar la seguridad con la cuestión de la identidad. Necesitamos métodos más robustos, necesitamossabercómofuesucomportamiento.Nuestrasherramientasdeseguridad también van a tener que ser omnicanales. R.B.: ¿Se imaginan un futuro donde se delegue en terceros la autenticación, como por ejemplo, Facebook? E. R.: No veo que hoy podamos tener libertades en lo referido adónde vamos a autenticar. Confiar en un tercero es muy difícil. S. O.: La mayoría de las organizaciones tienen múltiples plataformas. Aunar las autentificaciones requiere un trabajo codo a codo con el equipo de tecnología e infraestructura. Esto precisa un nivel de certeza alto para saber si el cliente pasó por los diferentes espacios. Si a eso le sumamos un tercero para autenticar, se profundiza aún más la complejidad. Para llevar adelante esto, resulta fundamental un trabajo multidisciplinario, porque también hay que ver los aspectos legales. D. E.: Hace poco atacaron el servicio de LAN Pass. Nosotros debemos repensarnos para saber qué sí que no con terceros. F. V.: También podemos pensar en trabajar con terceros que resulten fuertes, como es el estado o la AFIP. La debilidad depende también del tipo de organización con la que trabajemos. E. R.: También hay que admitir que cuando hay ataques dirigidos, es muy difícil defenderse. No queremos sembrar miedo, pero esto es así. F. V.: En el caso del teletrabajo, por supuesto, preferiríamos que los empleados trabajaran con nuestros equipos, pero hay que avanzar a un esquema flexible. Es necesario pensar a qué tiene que acceder cada trabajador y hay que tener distintas soluciones acordes a las necesidades. D. E.: Respecto del teletrabajo, soluciones hay un montón. A nivel tecnología nosotros podemos controlar, pero el tema del teletrabajo es un cambio en la modalidad de pensar. Entonces, me parece que el desafío es el cambio de mentalidad a nivel Recursos Humanos y a nivel jefe. “En todas las organizaciones está la cuestión de usar tu propio dispositivo, donde hay elementos de la vida privada y también hay información corporativa”. Silvina Ortega Lunes, 29 de Junio de 2015Seguridad más allá del cumplimiento Florida 336 | Piso 8 | (C1005AAH) | Buenos Aires | Argentina Tel./Fax: (5411) 4325-6808/4267 amba@ambanet.org | www.ambanet.org
S.O.:Elconceptodeteletrabajoesunamovidaqueintentacompatibilizarlavidafamiliar con la vida laboral. Cuando sabemos que estamos siendo controlados en el trabajo, tenemos una forma de trabajar y de proteger la información: estamos más atentos. Pero cuando estamos en casa, la PC no cumple con todos los requisitos de seguridad, puede ser que no seamos los únicos usuarios, y además yo estoy más relajada en lo que a seguridad respecta. El riesgo es que esa PC pueda tener algún virus e impactar en la organización. Muchas veces, hay que revisar cada área de negocios y buscar las mejores opciones. R. B.: ¿Se ha definido una modalidad única de autenticación para múltiples bancos? D.E.: Podemos pensar en Tokens, utilizables en múltiples bancos. Al mismo tiempo, también es cierto que la diferenciación en la autentificación es un valor agregado. F.V.: Habría que pensar cuál es el beneficio para el cliente. Tenemos empresas que trabajan con el multibanco, pero operan de formas diferentes y en la diferencia hay un valor agregado. La vulnerabilidad del sistema es un disvalor. E.R.: La tecnología hoy está disponible para realizar los cambios. Lo que falta son los acuerdos y ver si esto nos va a llevar a un horizonte más útil. Tecnológicamente, no habría problemas para generar un mismo repositorio de autentificación. Respecto del análisis de riesgo, tiene que haber un comité de riesgo. No todo se centra en la gente de seguridad. F.V.: En nuestro caso, se analizan los riesgos a partir de métricas para ver si son aceptables o si debemos definir un mitigante extra. También tenemos un comité de riesgo, que evalúa los casos. S.O.: Actualmente, hay un cambio cultural respecto del trabajo codo a codo con los distintos grupos. No se trata ya de hacer una presentación para el Board, sino de colaborar para que la institución tenga menos dolores de cabeza. Las áreas de negocio, hoy en día, entienden que estamos al lado de ellos, pero siempre pensando en la seguridad. En este sentido, nosotros buscamos que dejen de entendernos como una barrera. R. B.: La gestión de identidades hacia adentro: ¿cómo se trabaja? E. R.: Hay que estar atento al nivel de madurez de la empresa, no podemos pensar que todos los problemas de gestión e identidades se pueden aplicar por igual. La otra mirada es ver que el rol de seguridad es quien da el acceso.Tenemos que implementar roles estables. Tengo dos consejos: observar el nivel de madurez en la gestión de identidades para que sea eficaz y trabajar con sistemas que sean estables. “También hay que admitir que cuando hay ataques dirigidos, es muy difícil defenderse. No queremos sembrar miedo, pero esto es así”. Enrique Rubinstein Lunes, 29 de Junio de 2015Seguridad más allá del cumplimiento Florida 336 | Piso 8 | (C1005AAH) | Buenos Aires | Argentina Tel./Fax: (5411) 4325-6808/4267 amba@ambanet.org | www.ambanet.org
F. V.: Nosotros tenemos un sistema basado en roles. La automatización es otro componente importante. Hay herramientas, que por sí solas no funcionan, pero cuando sabemos el objetivo sabemos cómo es el comportamiento interno de nuestros empleados y así detectamos el fraude. S.O. : La definición de roles no es la única solución. El rol le permite al usuario ingresar a la data, pero, si bien uno puede tener procesos de creación de roles, los sistemas pueden variar, como es común que suceda en toda organización. Por eso, es necesario que cada línea de negocios analice el comportamiento de su gente. F.V.: En nuestro caso, estamos incorporando la revisión por parte del dueño de la aplicación. No nos centramos solamente en los roles. Es una mirada distinta que, sumada a los roles, puede ser productiva. D.E.: Nosotros también complementamos el rol con el owner, que siempre es más meticuloso con su análisis. A su vez, tenemos mucho linkeado con recursos humanos. De este modo, el esquema de perfiles se encuentra más ordenado. En ese sentido, estamos estandarizados: hay una dinámica de negocios que requiere moverse rápido. Hoy en día, la gente dedicada a la seguridad de la información tiene una mirada de la problemática distinta. A su vez, los ataques son distintos, más personalizados y por eso, nuestro trabajo va a ser como buscar una aguja en un pajar. F.V.: Ha habido distintos ataques con objetivos diferentes. Por ejemplo, existen ataques de negación de servicios. Se trata de un escenario en el que el servicio de Internet deja de funcionar. Se desarrolla una inundación de tráfico, que tapa el ancho de banda. Allí el cliente no puede hacer nada. Son los proveedores los que se tienen que encargar. También tenemos ataques de vulnerabilidad en la aplicación: los hackers hacen un relevamiento de nuestras aplicaciones y escuchan el tiempo de respuesta de cada componente. Cuando detectan un componente lento, tiran abajo la aplicación. R.B.: Respecto de los nuevos desafíos, ¿cómo se transforman los recursos en la capacitación para los nuevos profesionales? S.O.: El concepto de seguridad de la información está cambiando, con lo cual el profesionalnosolotienequetenerconocimientotécnicosinotambiénconocimiento de negocio. Con las nuevas tecnologías y la globalización, el profesional tiene que tener una mirada hacia lo inmediato. Hay que establecer paradigmas de comportamiento para saber dónde se puede vulnerar la información. R.B: ¿Las universidades están acompañando estos cambios? E.R.: Hoy hay universidades tanto públicas como privadas con gran afluencia de estudiantes. Los planes de estudio existen. “El rol le permite al usuario ingresar a la data, pero, si bien uno puede tener procesos de creación de roles, los sistemas pueden variar”. Silvina Ortega Lunes, 29 de Junio de 2015Seguridad más allá del cumplimiento
S.O.: En las carreras de grado, sobre todo en ingeniería, se está viendo la necesidad de generar especialistas en seguridad. La seguridad es una especialización y ya no solo una materia. R.B.: ¿Los profesionales del desarrollo acompañan el crecimiento, en relación con el tema seguridad? D.E.: Yo soy docente de la Universidad de Palermo y puedo decirte que la gente de desarrollotieneelconceptodeseguridad,aunquenototalmenteincorporado.Todavía estamos en la seguridad informática y no en la seguridad de la información, así que seguimos un poco atrás todavía. Lunes, 29 de Junio de 2015Seguridad más allá del cumplimiento

Recommended

Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011Emilio Márquez Espino
 
Trabajohankeadoimpress
TrabajohankeadoimpressTrabajohankeadoimpress
Trabajohankeadoimpressmichitohan
 
Tokio Marine HCC - Sandra Da Silva - Economista - Feb 2018
Tokio Marine HCC - Sandra Da Silva - Economista - Feb 2018Tokio Marine HCC - Sandra Da Silva - Economista - Feb 2018
Tokio Marine HCC - Sandra Da Silva - Economista - Feb 2018Laura Tibbo
 
unidad 1
unidad 1unidad 1
unidad 1gustavocun94
 
La ciberseguridad día a día: trabajar en el sector de la ciberseguridad
La ciberseguridad día a día: trabajar en el sector de la ciberseguridadLa ciberseguridad día a día: trabajar en el sector de la ciberseguridad
La ciberseguridad día a día: trabajar en el sector de la ciberseguridadJorge Martínez Taboada
 
Bring Your Own Destruction: ¿qué hacemos con los dispositivos personales?
Bring Your Own Destruction: ¿qué hacemos con los dispositivos personales?Bring Your Own Destruction: ¿qué hacemos con los dispositivos personales?
Bring Your Own Destruction: ¿qué hacemos con los dispositivos personales?Asociación de Marketing Bancario Argentino
 
[WEBINAR] Uso de Smartphones y Tablets en la compañia.
[WEBINAR] Uso de Smartphones y Tablets en la compañia.[WEBINAR] Uso de Smartphones y Tablets en la compañia.
[WEBINAR] Uso de Smartphones y Tablets en la compañia.Grupo Smartekh
 
Power over 9000
Power over 9000Power over 9000
Power over 9000manferpa
 

Recommended

Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011Ciber Seguridad Mayo 2011
Ciber Seguridad Mayo 2011Emilio Márquez Espino
 
Trabajohankeadoimpress
TrabajohankeadoimpressTrabajohankeadoimpress
Trabajohankeadoimpressmichitohan
 
Tokio Marine HCC - Sandra Da Silva - Economista - Feb 2018
Tokio Marine HCC - Sandra Da Silva - Economista - Feb 2018Tokio Marine HCC - Sandra Da Silva - Economista - Feb 2018
Tokio Marine HCC - Sandra Da Silva - Economista - Feb 2018Laura Tibbo
 
unidad 1
unidad 1unidad 1
unidad 1gustavocun94
 
La ciberseguridad día a día: trabajar en el sector de la ciberseguridad
La ciberseguridad día a día: trabajar en el sector de la ciberseguridadLa ciberseguridad día a día: trabajar en el sector de la ciberseguridad
La ciberseguridad día a día: trabajar en el sector de la ciberseguridadJorge Martínez Taboada
 
Bring Your Own Destruction: ¿qué hacemos con los dispositivos personales?
Bring Your Own Destruction: ¿qué hacemos con los dispositivos personales?Bring Your Own Destruction: ¿qué hacemos con los dispositivos personales?
Bring Your Own Destruction: ¿qué hacemos con los dispositivos personales?Asociación de Marketing Bancario Argentino
 
[WEBINAR] Uso de Smartphones y Tablets en la compañia.
[WEBINAR] Uso de Smartphones y Tablets en la compañia.[WEBINAR] Uso de Smartphones y Tablets en la compañia.
[WEBINAR] Uso de Smartphones y Tablets en la compañia.Grupo Smartekh
 
Power over 9000
Power over 9000Power over 9000
Power over 9000manferpa
 
Transformación Digital
Transformación DigitalTransformación Digital
Transformación DigitalAsociación de Marketing Bancario Argentino
 
Lore tic2
Lore tic2Lore tic2
Lore tic2Dan Hunter
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1aleleo1
 
Autenticación Adaptativa
Autenticación AdaptativaAutenticación Adaptativa
Autenticación AdaptativaAsociación de Marketing Bancario Argentino
 
Seguridad electronica
Seguridad electronicaSeguridad electronica
Seguridad electronicamafend86
 
Unidad 1 capitulo1_final
Unidad 1 capitulo1_finalUnidad 1 capitulo1_final
Unidad 1 capitulo1_finalAltagracia Suero
 
Seguridad y Riesgos Tecnológicos: dos palabras y un destino
Seguridad y Riesgos Tecnológicos: dos palabras y un destinoSeguridad y Riesgos Tecnológicos: dos palabras y un destino
Seguridad y Riesgos Tecnológicos: dos palabras y un destinoJulio San Jose
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxAlexisMorales838262
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Disrupción Digital en la Industria de Seguros: Impacto en el Negocio y TI
Disrupción Digital en la Industria de Seguros: Impacto en el Negocio y TIDisrupción Digital en la Industria de Seguros: Impacto en el Negocio y TI
Disrupción Digital en la Industria de Seguros: Impacto en el Negocio y TIAsociación de Marketing Bancario Argentino
 
Ciber seguridad
Ciber seguridadCiber seguridad
Ciber seguridadAugecorpInteligencia
 
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitasTemas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitasPlanimedia
 
Seguridad
SeguridadSeguridad
SeguridadAna María Citlali Díaz Hernández
 
Hakin9 inseguridad
Hakin9 inseguridadHakin9 inseguridad
Hakin9 inseguridadheynan
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfenseCSA Argentina
 
Presentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaPresentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaservidoresdedic
 
Ciberataques
CiberataquesCiberataques
CiberataquesErnesto Burgueño Cervantes
 
Jornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJordi Garcia Castillon
 
4mayoresriesgos.pdf
4mayoresriesgos.pdf4mayoresriesgos.pdf
4mayoresriesgos.pdfCade Soluciones
 
riesgos de ciberseguridad.pdf
riesgos de ciberseguridad.pdfriesgos de ciberseguridad.pdf
riesgos de ciberseguridad.pdfCade Soluciones
 
"Tarjetas de Crédito, en el Banco Digital" - por Damian Otaegui
"Tarjetas de Crédito, en el Banco Digital" - por Damian Otaegui"Tarjetas de Crédito, en el Banco Digital" - por Damian Otaegui
"Tarjetas de Crédito, en el Banco Digital" - por Damian OtaeguiAsociación de Marketing Bancario Argentino
 
Innovación - Por Alejandra Rodriguez
Innovación - Por Alejandra RodriguezInnovación - Por Alejandra Rodriguez
Innovación - Por Alejandra RodriguezAsociación de Marketing Bancario Argentino
 

More Related Content

Similar to Seguridad más allá del cumplimiento

Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1aleleo1
 
Seguridad electronica
Seguridad electronicaSeguridad electronica
Seguridad electronicamafend86
 
Seguridad y Riesgos Tecnológicos: dos palabras y un destino
Seguridad y Riesgos Tecnológicos: dos palabras y un destinoSeguridad y Riesgos Tecnológicos: dos palabras y un destino
Seguridad y Riesgos Tecnológicos: dos palabras y un destinoJulio San Jose
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxAlexisMorales838262
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadEdmundo Diego Bonini ஃ
 
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitasTemas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitasPlanimedia
 
Hakin9 inseguridad
Hakin9 inseguridadHakin9 inseguridad
Hakin9 inseguridadheynan
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfenseCSA Argentina
 
Presentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaPresentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaservidoresdedic
 
Jornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJordi Garcia Castillon
 
riesgos de ciberseguridad.pdf
riesgos de ciberseguridad.pdfriesgos de ciberseguridad.pdf
riesgos de ciberseguridad.pdfCade Soluciones
 

Similar to Seguridad más allá del cumplimiento (20)

Transformación Digital
Transformación DigitalTransformación Digital
Transformación Digital
 
Lore tic2
Lore tic2Lore tic2
Lore tic2
 
Seguridad informatica 1
Seguridad informatica 1Seguridad informatica 1
Seguridad informatica 1
 
Autenticación Adaptativa
Autenticación AdaptativaAutenticación Adaptativa
Autenticación Adaptativa
 
Seguridad electronica
Seguridad electronicaSeguridad electronica
Seguridad electronica
 
Unidad 1 capitulo1_final
Unidad 1 capitulo1_finalUnidad 1 capitulo1_final
Unidad 1 capitulo1_final
 
Seguridad y Riesgos Tecnológicos: dos palabras y un destino
Seguridad y Riesgos Tecnológicos: dos palabras y un destinoSeguridad y Riesgos Tecnológicos: dos palabras y un destino
Seguridad y Riesgos Tecnológicos: dos palabras y un destino
 
Propuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptxPropuesta-ciberseguridad-ESP.pptx
Propuesta-ciberseguridad-ESP.pptx
 
Creacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridadCreacion de un centro de operaciones de seguridad
Creacion de un centro de operaciones de seguridad
 
Disrupción Digital en la Industria de Seguros: Impacto en el Negocio y TI
Disrupción Digital en la Industria de Seguros: Impacto en el Negocio y TIDisrupción Digital en la Industria de Seguros: Impacto en el Negocio y TI
Disrupción Digital en la Industria de Seguros: Impacto en el Negocio y TI
 
Ciber seguridad
Ciber seguridadCiber seguridad
Ciber seguridad
 
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitasTemas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
Temas candentes de la Ciberseguridad. Un nuevo espacio lleno de incógnitas
 
Seguridad
SeguridadSeguridad
Seguridad
 
Hakin9 inseguridad
Hakin9 inseguridadHakin9 inseguridad
Hakin9 inseguridad
 
Hardening usuarios smartfense
Hardening usuarios smartfenseHardening usuarios smartfense
Hardening usuarios smartfense
 
Presentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informaticaPresentacion 7 acciones que mejoraran seguridad informatica
Presentacion 7 acciones que mejoraran seguridad informatica
 
Ciberataques
CiberataquesCiberataques
Ciberataques
 
Jornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH esJornada ciberseguridad base CiberTECCH es
Jornada ciberseguridad base CiberTECCH es
 
4mayoresriesgos.pdf
4mayoresriesgos.pdf4mayoresriesgos.pdf
4mayoresriesgos.pdf
 
riesgos de ciberseguridad.pdf
riesgos de ciberseguridad.pdfriesgos de ciberseguridad.pdf
riesgos de ciberseguridad.pdf
 

More from Asociación de Marketing Bancario Argentino

Digital Transformation, The Future of the "Digital Experience" - Por Kwafo Of...
Digital Transformation, The Future of the "Digital Experience" - Por Kwafo Of...Digital Transformation, The Future of the "Digital Experience" - Por Kwafo Of...
Digital Transformation, The Future of the "Digital Experience" - Por Kwafo Of...Asociación de Marketing Bancario Argentino
 
TRANSFORMACIÓN DIGITAL EN EL PROCESO DE "VENTA SIN PAPEL” DE PRODUCTOS EN BAN...
TRANSFORMACIÓN DIGITAL EN EL PROCESO DE "VENTA SIN PAPEL” DE PRODUCTOS EN BAN...TRANSFORMACIÓN DIGITAL EN EL PROCESO DE "VENTA SIN PAPEL” DE PRODUCTOS EN BAN...
TRANSFORMACIÓN DIGITAL EN EL PROCESO DE "VENTA SIN PAPEL” DE PRODUCTOS EN BAN...Asociación de Marketing Bancario Argentino
 
EL DESAFÍO DE LA INCLUSIÓN FINANCIERA EN LA ARGENTINA: Un caso de éxito cont...
EL DESAFÍO DE LA INCLUSIÓN FINANCIERA EN LA ARGENTINA: Un caso de éxito cont...EL DESAFÍO DE LA INCLUSIÓN FINANCIERA EN LA ARGENTINA: Un caso de éxito cont...
EL DESAFÍO DE LA INCLUSIÓN FINANCIERA EN LA ARGENTINA: Un caso de éxito cont...Asociación de Marketing Bancario Argentino
 

More from Asociación de Marketing Bancario Argentino (20)

"Tarjetas de Crédito, en el Banco Digital" - por Damian Otaegui
"Tarjetas de Crédito, en el Banco Digital" - por Damian Otaegui"Tarjetas de Crédito, en el Banco Digital" - por Damian Otaegui
"Tarjetas de Crédito, en el Banco Digital" - por Damian Otaegui
 
Innovación - Por Alejandra Rodriguez
Innovación - Por Alejandra RodriguezInnovación - Por Alejandra Rodriguez
Innovación - Por Alejandra Rodriguez
 
Presentación Verint
Presentación VerintPresentación Verint
Presentación Verint
 
Nubi: Un producto pensado para el cliente - por Felipe Kusserow
Nubi: Un producto pensado para el cliente - por Felipe KusserowNubi: Un producto pensado para el cliente - por Felipe Kusserow
Nubi: Un producto pensado para el cliente - por Felipe Kusserow
 
¿Banco o Empresa de Tecnologia Financiera? - por Walter Risi
¿Banco o Empresa de Tecnologia Financiera? - por Walter Risi¿Banco o Empresa de Tecnologia Financiera? - por Walter Risi
¿Banco o Empresa de Tecnologia Financiera? - por Walter Risi
 
La Divina Comedia Digital - por Esteban Socorro
La Divina Comedia Digital - por Esteban SocorroLa Divina Comedia Digital - por Esteban Socorro
La Divina Comedia Digital - por Esteban Socorro
 
Digital Transformation, The Future of the "Digital Experience" - Por Kwafo Of...
Digital Transformation, The Future of the "Digital Experience" - Por Kwafo Of...Digital Transformation, The Future of the "Digital Experience" - Por Kwafo Of...
Digital Transformation, The Future of the "Digital Experience" - Por Kwafo Of...
 
Santiago Sinelnicof - Cultura Avierta para la Innovación Eficaz
Santiago Sinelnicof - Cultura Avierta para la Innovación EficazSantiago Sinelnicof - Cultura Avierta para la Innovación Eficaz
Santiago Sinelnicof - Cultura Avierta para la Innovación Eficaz
 
Alejandra Rodriguez - Innovación
Alejandra Rodriguez - InnovaciónAlejandra Rodriguez - Innovación
Alejandra Rodriguez - Innovación
 
Presentacion Miguez Diez, Genesys - Club Banca Digital Julio
Presentacion Miguez Diez, Genesys - Club Banca Digital JulioPresentacion Miguez Diez, Genesys - Club Banca Digital Julio
Presentacion Miguez Diez, Genesys - Club Banca Digital Julio
 
Presentación Guillermo Tolosa, ICBC - Club Banca Digital Julio
Presentación Guillermo Tolosa, ICBC - Club Banca Digital JulioPresentación Guillermo Tolosa, ICBC - Club Banca Digital Julio
Presentación Guillermo Tolosa, ICBC - Club Banca Digital Julio
 
Factores de éxito en la transformación digital
Factores de éxito en la transformación digitalFactores de éxito en la transformación digital
Factores de éxito en la transformación digital
 
TRANSFORMACIÓN DIGITAL EN EL PROCESO DE "VENTA SIN PAPEL” DE PRODUCTOS EN BAN...
TRANSFORMACIÓN DIGITAL EN EL PROCESO DE "VENTA SIN PAPEL” DE PRODUCTOS EN BAN...TRANSFORMACIÓN DIGITAL EN EL PROCESO DE "VENTA SIN PAPEL” DE PRODUCTOS EN BAN...
TRANSFORMACIÓN DIGITAL EN EL PROCESO DE "VENTA SIN PAPEL” DE PRODUCTOS EN BAN...
 
MACHINE LEARNING EN OPERACIONES DE TI. CASO ICBC ARGENTINA.
MACHINE LEARNING EN OPERACIONES DE TI. CASO ICBC ARGENTINA.MACHINE LEARNING EN OPERACIONES DE TI. CASO ICBC ARGENTINA.
MACHINE LEARNING EN OPERACIONES DE TI. CASO ICBC ARGENTINA.
 
EL DESAFÍO DE LA INCLUSIÓN FINANCIERA EN LA ARGENTINA: Un caso de éxito cont...
EL DESAFÍO DE LA INCLUSIÓN FINANCIERA EN LA ARGENTINA: Un caso de éxito cont...EL DESAFÍO DE LA INCLUSIÓN FINANCIERA EN LA ARGENTINA: Un caso de éxito cont...
EL DESAFÍO DE LA INCLUSIÓN FINANCIERA EN LA ARGENTINA: Un caso de éxito cont...
 
"Coquetear con el envejecimiento"
"Coquetear con el envejecimiento" "Coquetear con el envejecimiento"
"Coquetear con el envejecimiento"
 
Monedas virtuales
Monedas virtualesMonedas virtuales
Monedas virtuales
 
Viaje en billetera al mundo extrabancario
Viaje en billetera al mundo extrabancarioViaje en billetera al mundo extrabancario
Viaje en billetera al mundo extrabancario
 
Experiencia del Cliente. De la teoría a la práctica
Experiencia del Cliente. De la teoría a la prácticaExperiencia del Cliente. De la teoría a la práctica
Experiencia del Cliente. De la teoría a la práctica
 
Los desafíos de la innovación en un mundo exponencial
Los desafíos de la innovación en un mundo exponencialLos desafíos de la innovación en un mundo exponencial
Los desafíos de la innovación en un mundo exponencial
 

Recently uploaded

tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzzAlexandergo5
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxGESTECPERUSAC
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadMiguelAngelVillanuev48
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúCEFERINO DELGADO FLORES
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerValentinaTabares11
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxAlexander López
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMidwarHenryLOZAFLORE
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxAlexander López
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son241514984
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx241522327
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.241514949
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOnarvaezisabella21
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfedepmariaperez
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfjeondanny1997
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesEdomar AR
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptchaverriemily794
 

Recently uploaded (20)

tarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzztarea de exposicion de senati zzzzzzzzzz
tarea de exposicion de senati zzzzzzzzzz
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
Tecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptxTecnologias Starlink para el mundo tec.pptx
Tecnologias Starlink para el mundo tec.pptx
 
Presentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidadPresentación inteligencia artificial en la actualidad
Presentación inteligencia artificial en la actualidad
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del PerúRed Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
Red Dorsal Nacional de Fibra Óptica y Redes Regionales del Perú
 
Excel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel tallerExcel (1) tecnologia.pdf trabajo Excel taller
Excel (1) tecnologia.pdf trabajo Excel taller
 
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptxLAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
LAS_TIC_COMO_HERRAMIENTAS_EN_LA_INVESTIGACIÓN.pptx
 
Mapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptxMapa-conceptual-del-Origen-del-Universo-3.pptx
Mapa-conceptual-del-Origen-del-Universo-3.pptx
 
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptxEl_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
El_Blog_como_herramienta_de_publicacion_y_consulta_de_investigacion.pptx
 
El uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que sonEl uso de las tic en la vida ,lo importante que son
El uso de las tic en la vida ,lo importante que son
 
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
FloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptxFloresMorales_Montserrath_M1S3AI6 (1).pptx
FloresMorales_Montserrath_M1S3AI6 (1).pptx
 
El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.El uso de las TIC's en la vida cotidiana.
El uso de las TIC's en la vida cotidiana.
 
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPOAREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
AREA TECNOLOGIA E INFORMATICA TRABAJO EN EQUIPO
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Trabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdfTrabajo de tecnología excel avanzado.pdf
Trabajo de tecnología excel avanzado.pdf
 
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdfLa Electricidad Y La Electrónica Trabajo Tecnología.pdf
La Electricidad Y La Electrónica Trabajo Tecnología.pdf
 
Los Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, AplicacionesLos Microcontroladores PIC, Aplicaciones
Los Microcontroladores PIC, Aplicaciones
 
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).pptLUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
LUXOMETRO EN SALUD OCUPACIONAL(FINAL).ppt
 

Seguridad más allá del cumplimiento

  • 1. Relación de las áreas de seguridad.¿Qué dinámica se presenta en relación con la toma de decisiones? La interacción con el Board. El perímetro era aquello que nos separaba de la amenaza externa. ¿Hoy existe este perimetro? Dos problemas, el empleado que se distrae y el empleado que resulta víctima de un ataque externo. Tipos de ataques ¿A qué estamos expuestos? Como trabajamos la gestión de identidades hacia adentro Diego Esteve, Gerente de Seguridad de la Información en Banco Galicia. Silvina Ortega, Gerente de Seguridad de la información en Citi. Enrique Rubinstein, Gerente de Seguridad de la Información (CISO) de ICBC Argentina. FedericoVarela, Responsable de la Sub-Gerencia de Seguridad de la Información de Banco Santander Rio. LAS IDEAS PRINCIPALES ACERCA DEL DISERTANTE SEGURIDAD MÁS ALLÁ DEL CUMPLIMIENTO Diego Esteve Silvina Ortega Enrique Rubinstein Federico Varela
  • 2. Rubén Bahnjte (R. B.): ¿Cómo es la relación de las áreas de seguridad? ¿Qué dinámica se presenta en relación con la toma de decisiones? Diego Esteve (D. E.): Primero, nosotros hace tiempo que venimos trabajando con el Board. Nos enfocamos en el gorro de visión de cumplimiento y en el gorro de visión de seguridad. Últimamente, el tema de la seguridad ha tenido mucha relevancia a nivel internacional. Empresas como Apple y Sony han sido atacadas, y eso llama la atención del Board. El quinto riesgo a nivel mundial en el 2015 fue la problemática de la ciberseguridad. Federico Varela (FV). La interacción con el Board tiene diferentes focos.Yo participo de diversas formas: con el sistema, donde vemos la gestión de los riesgos de seguridad; con auditoría, donde se ven los cumplimientos; entre otros. Tal como lo entiendo, es importante que el Board esté interesado en el tema, que propulse proyectos de gran escala y que pueda reaccionar a las amenazas. En la actualidad, existen variables avanzadas y difíciles de mitigar. Hay, por ejemplo, amenazas resistentes en el tiempo, cuyo funcionamiento es complejo de explicarle al Board. La clave es ponerse en los zapatos del otro y contemplar el interés de aquel que nos escucha. Enrique Rubinstein (ER) Antes, el perímetro era aquello que nos separaba de la amenaza externa. Hoy en día, esto se ha derrumbado y el perímetro no existe, porque desde adentro también nos pueden atacar. El ataque puede venir de cualquier lado. Poreso,hayquecontemplarestrategiaspreventivas,comoaquellasquedesarrollamos en la red, para ver si la marca se ve expuesta. Por otro lado, también hay que proyectar estrategias reactivas, como procedimientos de respuesta incidente, la comunicación con el Board, la reducción del daño, la rapidez en los movimientos para modificar los puntos débiles, entre otros. Silvina Ortega (SO) Lo importante es señalar que tanto el Board como los distintos integrantes de la organización son más conscientes de los riesgos que existen. Al mismo tiempo, es necesario que nosotros podamos acercar nuestro discurso para trabajar codo a codo con el negocio.También resulta fundamental aprender a trabajar con terceros, lo cual siempre hace más compleja la problemática del perímetro. D. E.: Otro punto es: ¿cómo es que el empleado accede a la información y qué elementos de seguridad utilizamos? ¿Cómo aseguramos cualquier dispositivo, sea del empleado o de la empresa? Hay varias herramientas. Tenemos que tener en consideración cuántos dispositivos hay y qué procedencia tienen. F.V.: Hay un cambio de paradigma respecto de cómo pensar la seguridad. Antes pensábamos en la lógica de la fortaleza, con herramientas de seguridad destinadas a laprotección.Hoyeseperímetroesmásdifuso.Esinteresantecontarconherramientas especializadas al área de negocios, dando recursos justos -ni de más ni de menos-. “El quinto riesgo a nivel mundial en el 2015 fue la problemática de la ciberseguridad”. Diego Esteve “Tal como lo entiendo, es importante que el Board esté interesado en el tema, que propulse proyectos de gran escala y que pueda reaccionar a las amenazas”. Federico Varela Lunes, 29 de Junio de 2015Seguridad más allá del cumplimiento
  • 3. E. R.: Nosotros hemos realizado un esfuerzo para dar seguridad al entorno móvil. Por ejemplo,tenemosqueadaptareltemadelospasswordsdeacuerdoconeldispositivo. Tenemos que proteger la información y que, a su vez, el dispositivo sea utilizable. S.O.: En todas las organizaciones está la cuestión de usar tu propio dispositivo, donde hay elementos de la vida privada y también hay información corporativa. Un dispositivo personal no está estandarizado, entonces si bien no podemos perjudicar al dueño, al mismo tiempo hay que proteger los archivos, que contienen información confidencial. Tenemos que hacer un análisis de riesgo. D.E.: Nuestro desafío es normar y controlar la concientización en el uso de la información por parte de los empleados de la institución. Esto va de la mano de la gestión de identidades: el hecho de otorgar al personal acceso a distintos sistemas. Nosotros entendemos que cada persona debe acceder a la información que precisa para hacer su trabajo, ni más ni menos. El estudio del comportamiento de los clientes en los canales electrónicos se aplica ahora a los empleados de la institución. Actualmente, tenemos mucha información sobre los empleados y tenemos que valernos de ella para identificar los problemas y los ataques. R. B.: Una cosa es el empleado que se distrae y otra el empleado que resulta víctima de un ataque externo. F. V.: En esta cuestión hay diferentes dimensiones involucradas. Una de ellas es la concientización sobre la importancia y los riesgos que involucra la cuestión. Otra es la ignorancia, ante la cual hay que capacitar.También es importante la desidia, ante la cual hay que aplicar el control. La gente trabaja mejor cuando sabe que está siendo controlada y que los desvíos en su forma de actuar pueden tener consecuencias. R. B.: ¿Qué ataques han visto? ¿A qué estamos expuestos? F. V.: En empresas grandes ha habido casos de phishing: un correo con imagen que lleva a sitio y a un troyano, y que toma el control de la máquina. Se trata de un ataque silenciosoconelquesevulneransistemasy,deestemodo,sehallegadohastaafundir empresas. S.O.: La información tiene un ciclo de vida. Muchas veces esta información se tira sin ser destruida, ¿pero qué pasa con esa información? Puede generarse un problema, porque tal vez para la empresa no es útil esa información pero para otros sí. Entonces, algo que parece un dato menor se puede transformar en un gran inconveniente. R.B.: ¿Cómo impacta la omnicanalidad en la seguridad? “Poner una contraseña en una PC es una cosa, pero escribirla en un Smartphone ya es un problema. Nosotros tenemos que tratar de proteger la información y ponerla en un dispositivo fácil de utilizar”. Enrique Rubinstein Lunes, 29 de Junio de 2015Seguridad más allá del cumplimiento GRUPO INGENICO / NUEVA IDENTIDAD Nuestra empresa ha evolucionado en los últimos años. Empezamos solamente suministrando terminales de pago y actualmente podemos ofrecer una gama mucho más amplia de activida- des, gracias a nuestro desarrollo como corporación y las adquisiciones realizadas. Hoy el Grupo Ingenico es una pieza clave en varios segmentos de la industria mundial de pagos, que tiene en su portfolio desde terminales y servicios, hasta soluciones para el comercio electrónico. Para lograr esta trasformación, todos nuestros empleados y actividades están integradas y operan- do bajo nuestra nueva marca mundial: Ingenico Group.
  • 4. E.R.: La omnicanalidad es un desafío para la seguridad. Hoy no creo que haya un cambio en los parámetros de seguridad sino en el ámbito de las personas. D.E.: La omnicanalidad para nosotros, los de seguridad, va a ser un desafío. Vamos a tener que revisar sistemas de seguridad que ya conocemos por otros nuevos. Tendremos que confiar en otros métodos de autenticación. F.V.: Siguiendo la idea de la omnicanalidad interna, creo que se puede potenciar la seguridad con la cuestión de la identidad. Necesitamos métodos más robustos, necesitamossabercómofuesucomportamiento.Nuestrasherramientasdeseguridad también van a tener que ser omnicanales. R.B.: ¿Se imaginan un futuro donde se delegue en terceros la autenticación, como por ejemplo, Facebook? E. R.: No veo que hoy podamos tener libertades en lo referido adónde vamos a autenticar. Confiar en un tercero es muy difícil. S. O.: La mayoría de las organizaciones tienen múltiples plataformas. Aunar las autentificaciones requiere un trabajo codo a codo con el equipo de tecnología e infraestructura. Esto precisa un nivel de certeza alto para saber si el cliente pasó por los diferentes espacios. Si a eso le sumamos un tercero para autenticar, se profundiza aún más la complejidad. Para llevar adelante esto, resulta fundamental un trabajo multidisciplinario, porque también hay que ver los aspectos legales. D. E.: Hace poco atacaron el servicio de LAN Pass. Nosotros debemos repensarnos para saber qué sí que no con terceros. F. V.: También podemos pensar en trabajar con terceros que resulten fuertes, como es el estado o la AFIP. La debilidad depende también del tipo de organización con la que trabajemos. E. R.: También hay que admitir que cuando hay ataques dirigidos, es muy difícil defenderse. No queremos sembrar miedo, pero esto es así. F. V.: En el caso del teletrabajo, por supuesto, preferiríamos que los empleados trabajaran con nuestros equipos, pero hay que avanzar a un esquema flexible. Es necesario pensar a qué tiene que acceder cada trabajador y hay que tener distintas soluciones acordes a las necesidades. D. E.: Respecto del teletrabajo, soluciones hay un montón. A nivel tecnología nosotros podemos controlar, pero el tema del teletrabajo es un cambio en la modalidad de pensar. Entonces, me parece que el desafío es el cambio de mentalidad a nivel Recursos Humanos y a nivel jefe. “En todas las organizaciones está la cuestión de usar tu propio dispositivo, donde hay elementos de la vida privada y también hay información corporativa”. Silvina Ortega Lunes, 29 de Junio de 2015Seguridad más allá del cumplimiento Florida 336 | Piso 8 | (C1005AAH) | Buenos Aires | Argentina Tel./Fax: (5411) 4325-6808/4267 amba@ambanet.org | www.ambanet.org
  • 5. S.O.:Elconceptodeteletrabajoesunamovidaqueintentacompatibilizarlavidafamiliar con la vida laboral. Cuando sabemos que estamos siendo controlados en el trabajo, tenemos una forma de trabajar y de proteger la información: estamos más atentos. Pero cuando estamos en casa, la PC no cumple con todos los requisitos de seguridad, puede ser que no seamos los únicos usuarios, y además yo estoy más relajada en lo que a seguridad respecta. El riesgo es que esa PC pueda tener algún virus e impactar en la organización. Muchas veces, hay que revisar cada área de negocios y buscar las mejores opciones. R. B.: ¿Se ha definido una modalidad única de autenticación para múltiples bancos? D.E.: Podemos pensar en Tokens, utilizables en múltiples bancos. Al mismo tiempo, también es cierto que la diferenciación en la autentificación es un valor agregado. F.V.: Habría que pensar cuál es el beneficio para el cliente. Tenemos empresas que trabajan con el multibanco, pero operan de formas diferentes y en la diferencia hay un valor agregado. La vulnerabilidad del sistema es un disvalor. E.R.: La tecnología hoy está disponible para realizar los cambios. Lo que falta son los acuerdos y ver si esto nos va a llevar a un horizonte más útil. Tecnológicamente, no habría problemas para generar un mismo repositorio de autentificación. Respecto del análisis de riesgo, tiene que haber un comité de riesgo. No todo se centra en la gente de seguridad. F.V.: En nuestro caso, se analizan los riesgos a partir de métricas para ver si son aceptables o si debemos definir un mitigante extra. También tenemos un comité de riesgo, que evalúa los casos. S.O.: Actualmente, hay un cambio cultural respecto del trabajo codo a codo con los distintos grupos. No se trata ya de hacer una presentación para el Board, sino de colaborar para que la institución tenga menos dolores de cabeza. Las áreas de negocio, hoy en día, entienden que estamos al lado de ellos, pero siempre pensando en la seguridad. En este sentido, nosotros buscamos que dejen de entendernos como una barrera. R. B.: La gestión de identidades hacia adentro: ¿cómo se trabaja? E. R.: Hay que estar atento al nivel de madurez de la empresa, no podemos pensar que todos los problemas de gestión e identidades se pueden aplicar por igual. La otra mirada es ver que el rol de seguridad es quien da el acceso.Tenemos que implementar roles estables. Tengo dos consejos: observar el nivel de madurez en la gestión de identidades para que sea eficaz y trabajar con sistemas que sean estables. “También hay que admitir que cuando hay ataques dirigidos, es muy difícil defenderse. No queremos sembrar miedo, pero esto es así”. Enrique Rubinstein Lunes, 29 de Junio de 2015Seguridad más allá del cumplimiento Florida 336 | Piso 8 | (C1005AAH) | Buenos Aires | Argentina Tel./Fax: (5411) 4325-6808/4267 amba@ambanet.org | www.ambanet.org
  • 6. F. V.: Nosotros tenemos un sistema basado en roles. La automatización es otro componente importante. Hay herramientas, que por sí solas no funcionan, pero cuando sabemos el objetivo sabemos cómo es el comportamiento interno de nuestros empleados y así detectamos el fraude. S.O. : La definición de roles no es la única solución. El rol le permite al usuario ingresar a la data, pero, si bien uno puede tener procesos de creación de roles, los sistemas pueden variar, como es común que suceda en toda organización. Por eso, es necesario que cada línea de negocios analice el comportamiento de su gente. F.V.: En nuestro caso, estamos incorporando la revisión por parte del dueño de la aplicación. No nos centramos solamente en los roles. Es una mirada distinta que, sumada a los roles, puede ser productiva. D.E.: Nosotros también complementamos el rol con el owner, que siempre es más meticuloso con su análisis. A su vez, tenemos mucho linkeado con recursos humanos. De este modo, el esquema de perfiles se encuentra más ordenado. En ese sentido, estamos estandarizados: hay una dinámica de negocios que requiere moverse rápido. Hoy en día, la gente dedicada a la seguridad de la información tiene una mirada de la problemática distinta. A su vez, los ataques son distintos, más personalizados y por eso, nuestro trabajo va a ser como buscar una aguja en un pajar. F.V.: Ha habido distintos ataques con objetivos diferentes. Por ejemplo, existen ataques de negación de servicios. Se trata de un escenario en el que el servicio de Internet deja de funcionar. Se desarrolla una inundación de tráfico, que tapa el ancho de banda. Allí el cliente no puede hacer nada. Son los proveedores los que se tienen que encargar. También tenemos ataques de vulnerabilidad en la aplicación: los hackers hacen un relevamiento de nuestras aplicaciones y escuchan el tiempo de respuesta de cada componente. Cuando detectan un componente lento, tiran abajo la aplicación. R.B.: Respecto de los nuevos desafíos, ¿cómo se transforman los recursos en la capacitación para los nuevos profesionales? S.O.: El concepto de seguridad de la información está cambiando, con lo cual el profesionalnosolotienequetenerconocimientotécnicosinotambiénconocimiento de negocio. Con las nuevas tecnologías y la globalización, el profesional tiene que tener una mirada hacia lo inmediato. Hay que establecer paradigmas de comportamiento para saber dónde se puede vulnerar la información. R.B: ¿Las universidades están acompañando estos cambios? E.R.: Hoy hay universidades tanto públicas como privadas con gran afluencia de estudiantes. Los planes de estudio existen. “El rol le permite al usuario ingresar a la data, pero, si bien uno puede tener procesos de creación de roles, los sistemas pueden variar”. Silvina Ortega Lunes, 29 de Junio de 2015Seguridad más allá del cumplimiento
  • 7. S.O.: En las carreras de grado, sobre todo en ingeniería, se está viendo la necesidad de generar especialistas en seguridad. La seguridad es una especialización y ya no solo una materia. R.B.: ¿Los profesionales del desarrollo acompañan el crecimiento, en relación con el tema seguridad? D.E.: Yo soy docente de la Universidad de Palermo y puedo decirte que la gente de desarrollotieneelconceptodeseguridad,aunquenototalmenteincorporado.Todavía estamos en la seguridad informática y no en la seguridad de la información, así que seguimos un poco atrás todavía. Lunes, 29 de Junio de 2015Seguridad más allá del cumplimiento