José Marangunich Racchumi Asociación de Bancos del Perú: Presidente del Comité de Prevención de Estafas y Defraudaciones ASBANC Banco de Crédito del Perú: Gerente del Área Seguridad y Prevención de Fraudes Modelo de seguridad integral bancario ante nuevos escenarios en América Latina
23
Embed
José Marangunich Racchumi Asociación de Bancos del Perú: Presidente del Comité de Prevención de Estafas y Defraudaciones ASBANC Banco de Crédito del Perú:
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
José Marangunich RacchumiAsociación de Bancos del Perú:
Presidente del Comité de Prevención de Estafas y Defraudaciones ASBANCBanco de Crédito del Perú:
Gerente del Área Seguridad y Prevención de Fraudes
Modelo de seguridad integral bancario ante nuevos
escenarios en América Latina
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
América Latina: Situación actual
Oportunidades, riesgos y desafíos de seguridad para la banca
Construyendo un modelo de seguridad integral
Economía, inversión y aspecto social en la región. Caso Perú: Economía y seguridad ciudadana. Nuevos riesgos en la banca.
Estrategias para la bancarización. Desarrollo de las TIC como oportunidad de negocio. Evolución de los riesgos en seguridad: Del delito al ciberdelito. Perfiles y amenazas. Necesidad de un nuevo modelo orientado a riesgos de seguridad.
Motivación y objetivo. Modelo de seguridad tradicional. Propuesta del modelo integral: Orientado a procesos. Objetivo estratégico y factores críticos. Propuesta de estructura funcional. Cadena de valor. Análisis de caso: Experiencia BCP.
América Latina
Situación actual
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
América Latina: Situación actualEconomía e inversión
Reservas internacionales netas (Miles de millones US$)
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
Recuperación asociada al crecimiento económico, estabilidad jurídica y mejoras en orden social, generan confianza para la inversión local y extranjera.
La Seguridad Ciudadana es uno de las principales materias de atención en los países de la región y se genera la necesidad de incorporarla como política de Estado. Medios de comunicación y Sociedad Civil ponen especial atención a esta problemática.
En el aspecto de inseguridad, las encuestas a la población identifican escenarios relacionados a la industria de la banca.
En la percepción de inseguridad predominan las amenazas de seguridad física, seguridad informática y temas de prevención, lo cual evidencia la necesidad de manejar un concepto integral de seguridad (modelo) bajo un enfoque de convergencia (física – lógica). Esta tarea es uno de los actuales retos para los Directores de Seguridad.
América Latina: Situación actualEscenarios de mayor impacto en la región
América Latina: Oportunidades, riesgos y desafíos de seguridad para la banca
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
Europa• Migración a internet, Smartphone y ATM’s.• Prioridad actual es traer gente a las oficinas.• Diseño de oficinas tipo “retail”.
Norteamérica• Migración a Internet y ATMs. • Celular para alertas y token.• Tercerización de canales alternos.• Mini oficinas en establecimientos.
Asia• India : agentes
corresponsales y banca celular SMS.
• Japón: internet y Smartphone.
• China: ATMs y Smartphone.
LATAM• Migración a agentes corresponsales y a ATM’s. • Poca penetración de internet. • Inicio de banca celular SMS
África• Explosión Banca celular SMS : modelo bancarizador.• Poca penetración de otros canales en zonas rurales.
Fuente:Honohan 2007 (Consultor del Banco Mundial) Cross-Country Variation in Household Access to Financial Services
Adaptación en el BCP
Estudios del Banco Mundial indican que por cada incremento de un 1% en la atención bancaria a zonas rurales, se reduce el índice de pobreza en un 0,34%
Hogares con acceso a servicios financieros
Nuevos escenarios y retos comercialesEstrategias para la bancarización
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
Argentina Brasil Colombia México Perú1
21
41
61
81
101
121
141
Suscripciones de telefonía móvil(Por cada 100 personas)
Fuente: Unión Internacional de Telecomunicaciones, 2008 Fuente: Unión Internacional de Telecomunicaciones, 2008
Fuente: Superintendencia de Banca, Seguros y AFP, 2010
Jan-07 Jan-08 Jan-09 Jan-100
2,000
4,000
6,000
8,000
Principales canales bancarios en Perú
Agente corresponsal ATM's Agencias
Nuevos escenarios y retos comercialesDesarrollo de las TIC como oportunidad de negocio
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
Local Global
Asalto / robo
Secuestro y extorsión
Terrorismo
Atentados contra infraestructura
Fraude interno, suplantación, falsificación,
otros
Lavado de
activos
Fraude con tarjetas de
crédito
Suplantación y robo de identidad (Web 2.0)
Fraude con tarjetas en
canales electrónicos (HBK, ATMs,
POS)
Robo de información
Fraude interno en Sistemas y
Mercado de Capitales
Lavado de activos /
narcoterrorismo
Ciberdelito
Manipulación y alteración de
canales electrónicos
Fraudes en canales móviles (Celular,
IVR)
80 - 2000 2000 en adelante
Amenazas a la seguridad informática
Nuevos escenarios y retos comercialesEvolución de los riesgos en seguridad
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
A través de la bancarización, las entidades financieras han encontrado una oportunidad de contribuir a la inclusión social mediante el empleo de tecnologías accesibles, económicas y de alta difusión; a la vez que impulsan el crecimiento del sistema.
El uso de nuevos canales para productos y servicios bancarios, empleando las TICs, genera una innovación en el modelo de negocio y traen consigo nuevos riesgos de diversa complejidad.
Al igual que lo evidenciado en la problemática de inseguridad ciudadana, en donde se observan riesgos de naturaleza física/lógica relacionados a la industria bancaria; las nuevas estrategias comerciales exigen a los Directores de Seguridad la implementación de modelos integrales de prevención y gestión del riesgo como aporte de valor a la propuesta de negocio.
Nuevos escenarios y retos comercialesOportunidades, riesgos y desafíos de seguridad
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
Gestión del riesgo: Construyendo un modelo de Seguridad Integral
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
Motivación: Conceptualizar un enfoque orientado hacia los procesos y riesgos
vinculados a los escenarios de seguridad. Alinear la gestión de la Seguridad y la Prevención con la cadena de valor
del negocio. Estructurar el diseño de puestos, roles e interrelaciones entre las unidades
involucradas bajo lineamientos de eficiencia operativa y eficacia en resultados.
Objetivo: Proponer un modelo integral de Seguridad que permita gestionar los
riesgos y que esté alineado a los procesos de negocio, contribuyendo a la generación de valor (migrar de la seguridad tradicional a un esquema integrado).
Construyendo un modelo de Seguridad IntegralMotivación y objetivo
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
Físicos
Lógicos
Legales
Reputacional
Operacional
Otros
Unidades de Negocio
Riesgos Organización Resultado
Percepción de valor
Aspecto comercial
Sobrecosto
Gestión tradicional de la Seguridad
Modelo de Seguridad y el negocioEsquema tradicional: Excesivo control y sobrecostos
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
Procesos de Negocio Procesos de Negocio
Enfoque tradicional Enfoque integrado
Alta Dirección
Fina
nzas
Logí
stica
Mar
ketin
g
Otr
os
Fuente:SEC – Presentación Evaluación, BCP – 2010
Adaptado en el ASPF, BCP
ESTRATEGICO
TACTICO y OPERACIONAL
CSO
Alta Dirección
CSO Políticas Control
Modelo de Seguridad y el negocioOrientado a los procesos del negocio
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
Unidades de Negocio
Unidades de Negocio
Basado en el esquema de mejora continua de la Norma ISO 9000
Requisitos
Satisfacción
Entradas Salidas
Mejora continua
Actividades que aportan valorFlujo de información
Servicio prestado
Modelo de Seguridad y el negocioPropuesta de enfoque por procesos
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
CSO
Investigación Forense
Centro de Operaciones
Ingeniería de Seguridad EvaluaciónMejora
Continua
• Fraude interno.
• Fraude externo.
• Informática forense.
• Accidentes / incidentes de seguridad.
• Gestión post fraude.
• Acción correctiva.
• Planeamiento .
• Proyectos.• Capacitación
y entrenamiento.
Análisis Preventivo
• Ethical Hacking.
• Modelos estadísticos.
• inteligencia.• Diseño y
gestión de alertas.
• Identificación y gestión del riesgo.
• Monitoreo y atención de alertas.
• Respuesta a incidentes.
• Infraestructura de TI.
• Infraestructura física y Defensa Civil.
• Cumplimiento de políticas y estándares.
• Mediciones.
Mejora continua Retroalimentación
30
Modelo de Seguridad y el negocioPropuesta de estructura funcional
Aseguramiento Control
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
Centro de Operaciones:• Monitoreo y gestión de alertas de seguridad y transacciones en canales.• Respuesta primaria (rápida y oportuna) a incidentes de seguridad:
Análisis Preventivo:• Ethical Hacking.• Elaboración de
modelos estadísticos.• Gestión de la
inteligencia.• Diseño y gestión de
alertas. Parametrización.
• Proceso de identificación de peligros y evaluación de riesgos de seguridad y salud.
Ingeniería de Seguridad:• Definición de
estrategias para el aseguramiento de infraestructura de TI.
• Diseño de infraestructura y estrategias de Seguridad Física y protección de personas.
Mejora Continua:• Implementación de
acciones correctivas.• Planeamiento,
formulación y gestión de proyectos.
• Programas de capacitación y entrenamiento.
Evaluación:• Verificación del cumplimiento de políticas y estándares en procesos de negocio.• Medición de desviaciones y generación de reportes. Valor Agregado
Fuente: Cadena de valor genérica. M. Porter
Modelo de Seguridad y el negocioCadena de valor
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
El desafío está en cambiar el rol de la Seguridad, considerando las nuevas amenazas y aportando valor a las unidades de negocio.
La aplicación de un modelo integral de prevención puede contribuir a:
Alinear la gestión de la Seguridad al proceso de negocio.
Evaluar el modelo antes de la implantación y determinar posibles desviaciones y correcciones.
Reducción de costos operativos. Contribución a la eficiencia.
Sinergia entre las unidades operativas. Contribución a la eficacia.
32
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
Banco referente en el sistema financiero local sobre modelo de gestión de seguridad y fraudes.
Sinergia entre las unidades de Seguridad, Prevención e Investigaciones. Resultado del Fraude Transaccional:
Implementación del nuevo esquema de capacitación modular y virtual. Conformación del Comité de Seguridad entre Prevención y Áreas de Negocio.
33
Experiencia BCPResultados
Ene-Jul 08 Ene-Jul 09 Ene-Jul 10
Pbb T Débito 0.05% 0.05% 0.03%
Pbb T Crédito 0.43% 0.09% 0.09%
Var. % Fraude +29% -11% -38%
José Marangunich RacchumiPresidente del COPREDE – ASBANC Gerente del ASPF – Banco de Crédito del Perú
Bibliografía Banco Mundial /Corporación Financiera Internacional – 2010 Anuario Estadístico de América Latina y el Caribe, CEPAL – 2009 Latinobarómetro Opinión Pública Latinoamericana, Corporación Latinobarómetro – 2005 a 2009 América Latina: Evolución de la Pobreza e Indigencia 1980- 2008, CEPAL – 2009 Resumen Informativo N° 31, BCRP – 2010 Información de Mercado, MEF – 2010 13a Encuesta Anual Global de CEO’s, Price Water House Coopers – 2010 Estado de la Opinión Pública, IOP, PUCP – 2010 VI Encuesta Anual sobre Seguridad Ciudadana, Grupo de Opinión Pública de la Universidad de Lima - 2009 The convergence of physical and information security in the context of enterprise risk management, AESRM & Deloitte, USA – 2007 The 6th annual Global Security Survey, Deloitte, 2009 Honohan 2007 (Consultor del Banco Mundial) Cross-Country Variation in Household Access to Financial Services Superintendencia de Banca, Seguros y AFP - 2010 Unión Internacional de Telecomunicaciones - 2008 América Economía Intelligence, 2009 Estudio TGI 2009, KMR - 2009 Virtual criminology report: North American Study into organized crime and the Internet, McAfee - 2005 Insights on IT risk, Countering cyber attacks, Ernst & Young – Abril 2010 Information Security as an institutional priority - Allen, J. Carnegie Mellon University - CERT/SEI ,USA - 2005 Cano, J. – Convergencia de la Inseguridad de la Información. Universidad de los Andes, Colombia - 2008 Fifth Third Bank - Electronic Fraud and the Evolution of Cybercrime - 2010 Enterprise Threat Management and Security Convergence - A Benchmarking study, Honeywell - 2007 Mageni Networks - 2010 SEC – Presentación Evaluación, BCP – 2010 Esquema de mejora continua de la Norma ISO 9000
José Marangunich RacchumiAsociación de Bancos del Perú:
Presidente del Comité de Prevención de Estafas y Defraudaciones ASBANCBanco de Crédito del Perú:
Gerente del Área Seguridad y Prevención de Fraudes