Download
1 / 100
1k likes | 1.42k Views
ACI – 425 SEGURIDAD INFORMÁTICA. Unidad 2: Gestión de la continuidad del negocio. Objetivos. Conocer los estándares internacionales de gestión en la continuidad del negocio de manera de poder planear planes de contingencia frente a incidentes, y estimar la probabilidad que ocurran.
E N D
ACI – 425SEGURIDAD INFORMÁTICA Unidad 2: Gestión de la continuidad del negocio
Objetivos • Conocer los estándares internacionales de gestión en la continuidad del negocio de manera de poder planear planes de contingencia frente a incidentes, y estimar la probabilidad que ocurran.
Contenidos • Conceptos: continuidad, evento, incidente, siniestro, riesgo, impacto. • Planificación y planeación de contingencia. • Recuperación de desastres. • Business Continuity Management (BCM): definición, y relación con otros modelos de control interno. • Estándares internacionales. • NIST y DRI. • HB 221:2004 Business Continuity Management. • Tipos de planes.
ESTÁNDARES Internacionales y Nacional NCh 2777, BS 7799 / ISO 17799, COBIT y COSO
Uso de estándares • Algunos estándares son usados de manera mundial y otros estándares son usados de manera preferida por países, por ejemplo:
Valor para TI de Usar Procesos Basados en Estándares • Los auditores usan herramientas basadas en estándares: La parte auditada puede saber contra qué requisitos será comparado. • Se puede aspirar a certificaciones (por ejemplo BS 7799, BS 15000, ISO 9001, European Foundation for Quality Management (EFQM) y TickIT.
COBIT • Objetivos de Control para la Información y las Tecnologías Relacionadas. • Misión: “Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologías de la información con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores”. • 34 objetivos de control de alto nivel y 318 objetivos de control detallados para garantizar un sistema adecuado de gobierno y control sobre las tecnologías de la información de una organización. • Desarrollado originalmente por la Fundación de Control y Auditoria de Sistemas de Información (ISACF) en 1996 • Mantenida por el IT Governance Institute http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=55&ContentID=7981
Características de la información en COBIT Debe satisfacer requerimientos : • De Calidad • Calidad • Costo • Entrega o Distribución • Fiduciarios • Efectividad y eficiencia de las operaciones • Confiabilidad de la información • Cumplimiento de las leyes y regulaciones • De Seguridad • Confidencialidad • Integridad • Disponibilidad
Recursos empleados por las TIidentificados en COBIT • Para generar información, las TI emplean: • Datos • Sistemas de Aplicación • Tecnología • Instalaciones • Personal
¿ Cómo garantizar los rasgos de lainformación definidos en COBIT ? • Aplicando medidas de control adecuadas sobre los recursos empleados para generar la información y/o conocimiento.
Dominios de responsabilidad en COBIT • Los objetivos de control son aplicados en cuatro grandes áreas o dominios de responsabilidad • Cada dominio tiene definido una serie de procesos, actividades y tareas relacionadas con las tecnologías de la información • Planeación y organización (P&O) • Adquisición e implementación (A&I) • Entrega y soporte (D&S) • Monitoreo (M)
Procesos de TI en Planeación y organización (P&O) • Definir un plan estratégico de sistemas • Definir la arquitectura de información • Determinar la dirección tecnológica • Definir la organización de TI y sus relaciones • Administrar las inversiones en TI • Comunicar los objetivos y aspiraciones de la gerencia • Administrar los recursos humanos • Asegurar el cumplimiento de requerimientos externos • Evaluar riesgos • Administrar proyectos • Administrar calidad
Procesos de TI en Adquisición e implementación (A&I) • Identificar soluciones de automatización • Adquirir y mantener software de aplicación • Adquirir y mantener la arquitectura tecnológica • Desarrollar y mantener procedimientos • Instalar y acreditar sistemas de información • Administrar cambios
Procesos de TI en Entrega y soporte (D&S) • Definir niveles de servicio • Administrar servicios de terceros • Administrar desempeño y capacidad • Asegurar continuidad de servicio • Garantizar la seguridad de sistemas • Identificar y asignar costos • Educar y capacitar a usuarios • Apoyar y orientar a clientes • Administrar la configuración • Administrar problemas e incidentes • Administrar la información • Administrar las instalaciones • Administrar la operación
Procesos de TI en Monitoreo • Monitorear el proceso • Evaluar lo adecuado del control interno • Obtener aseguramiento independiente • Proporcionar auditoria independiente
Cobit VS ISO 17799 • En CobiT se tienen cuatro dominios, los cuales tienen, a su vez, procesos. • Uno de ellos es el proceso DS4, de aseguramiento de la continuidad de las operaciones. Dentro de este proceso se tienen trece actividades que van desde la creación del marco de referencia para la continuidad de las operaciones y la definición de una estrategia y filosofía de continuidad hasta las indicaciones de contenido, implementación, prueba y distribución del mismo. • El enfoque de ISO 17799 es seguridad en los sistemas de información y el enfoque de CobiT es control de la información y de las tecnologías relacionadas, pero los dos tienen varias similitudes en el caso de continuidad de las operaciones. • Entre estas similitudes destaca la necesidad de realizar un análisis que nos ayude a entender cuáles son los procesos críticos para la operación del negocio y cuál debería ser la estrategia que la organización debería tomar en este sentido. • Esta estrategia deberá estar basada en los objetivos de la organización y en el nivel de riesgo que esté dispuesta a afrontar.
COBIT: Referencias en Internet • http://www.isaca.org/cobit • http://www.itgi.org
COSO • ¿Qué significa COSO? C ommittee O f S ponsoring O rganizations (of the Treadway Commission) En 1992, el Committee of Sponsoring Organizations of the Treadway Commission (COSO) desarrolló un modelo para evaluar controles internos. Este modelo ha sido adoptado y es generalmente aceptado como marco de trabajo para control interno. Además, es ampliamente reconocido como el estándar definitivo con el cual pueden las organizaciones medir la efectividad de sus sistemas de control interno.
Objetivos del Informe COSO • Establecer una definición común del CONTROL INTERNO: “Marco de Referencia” • Proporcionar el “marco” para que cualquier tipo de organización pueda evaluar sus SISTEMAS DE CONTROL y decidir cómo mejorarlos • Ayudar a la dirección de las Empresas a mejorar el CONTROL DE LAS ACTIVIDADES de sus organizaciones
Definición de Control Interno ¿Qué es Control Interno? • Es unproceso efectuado por la Dirección, la alta gerencia y el resto del personal ¿Para qué? • Para proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos ¿En qué niveles? (3 Objetivos del Control Interno) • Eficacia y Eficiencia en las Operaciones • Confiabilidad de la Información Financiera • Cumplimiento con las leyes y normas que sean aplicables
Eficacia y Eficiencia en las Operaciones • EFICACIA: Capacidad de alcanzar las metas y/o resultados propuestos. • EFICIENCIA: Capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo. Se refiere básicamente a los objetivos empresariales: • Rendimiento y rentabilidad • Salvaguarda de los recursos
Confiabilidad de la Información Financiera • Elaboración y publicación de Estados Financieros confiables, estados contables intermedios y toda otra información que deba ser publicada. • Abarca también la información de gestión de uso interno.
Cumplimiento con las leyes y normas que sean aplicables • Cumplimiento con aquellas leyes y normas a las cuales está sujeta la organización. • De esta forma logra evitar: • Efectos perjudiciales para la reputación de la organización. • Contingencias. • Otros eventos de pérdidas y demás consecuencias negativas.
Los cinco Componentes del Control Interno • Ambiente de control • Análisis de Riesgo • Actividades de Control • Información y Comunicaciones • Monitoreo y Supervisión
1: Ambiente de control • Un adecuado Ambiente de Control se verifica por medio de 7 aspectos: • Integridad y valores éticos • Compromiso de competencia profesional • Filosofía de dirección y el estilo de gestión • Estructura Organizacional • Asignación de autoridad y responsabilidad • Políticas y Prácticas de Recursos Humanos • Consejo de Administración / Comité de Auditoría
2: Análisis de Riesgos • Un adecuado Análisis de Riesgo se verifica por medio de 4 aspectos: • Objetivos Organizacionales Globales • Objetivos Asignados a cada Actividad • Identificación de Riesgos • Administración del Riesgo y Cambio
3: Actividades de control • COSO reconoce los siguientes tipos de Actividades de Control: • Análisis efectuados por la dirección • Administración directa de funciones por actividades • Proceso de información • Controles físicos contra los registros • Indicadores de rendimiento • Segregación de funciones • Políticas y procedimientos
4: Información • Evaluación adecuada de los mecanismos de información: • La información interna y externa provee a la Dirección los reportes necesarios para el establecimiento de objetivos organizacionales • Es proporcionada información a las personas adecuadas con suficiente detalle y oportunidad para cumplir con sus responsabilidades • Los Sistemas de Información están basados en un “plan estratégico” (vinculados a la estrategia global de la organización) • Apoyo de la dirección al desarrollo de los sistemas de información necesarios (aporte de los recursos adecuados, tanto humanos como financieros)
4: Comunicación • Evaluación adecuada de los mecanismos de comunicación: • La Comunicación al personal, es eficaz en la descripción de sus funciones y responsabilidades con respecto al control Interno. • El establecimiento de canales de comunicación para la denuncia de posibles actos indebidos. • La Alta Dirección es receptiva a sugerencias de los empleados. • La comunicación a través de toda la empresa es efectiva. • Seguimiento oportuno y adecuado de la dirección de la información obtenida de clientes, proveedores, organismos de control y otros terceros.
5: Monitoreo y Supervisión EVALUACION DE LA SUPERVISIÓN y MONITOREO • Supervisión Continua: • ¿En qué medida obtiene el personal -al realizar sus actividades habituales- evidencia del buen funcionamiento del sistema de control interno? • ¿En qué medida las comunicaciones de 3ros. corroboran la información generada internamente o advierten problemas? • Comparaciones periódicas de importes registrados contra los activos físicos. • Receptividad ante las recomendaciones de auditores internos y externos. • Grado de comprensión del personal sobre los códigos de ética y conducta (ver si se hacen encuestas periódicas). • Eficacia de las actividades de Auditoría Interna.
5: Monitoreo y Supervisión (2) • Evaluación periódica puntual: • Alcance y frecuencia • El proceso de evaluación ¿es el ideal? (si se hace bien) • La metodología para evaluar el sistema de controles internos ¿es lógica y adecuada? • Adecuación de las muestras, son significativas y como está la calidad de la documentación examinada. • La comunicación de las deficiencias: • Mecanismos para recoger y comunicar cualquier deficiencia detectada en el control interno. • Los procedimientos de comunicación son los ideales. • Las acciones de seguimiento y mejora continua del sistema de Controles Internos son las correctas.
Preguntas de Ejecutivos que siguen sin respuestas • ¿Cuánta confianza puedo tener en que la información que recibo refleja completamente la posición frente al riesgo de la compañía? • ¿Cómo sé si mi capacidad de manejo de riesgos es efectiva? • ¿Qué puedo hacer para mejorar cuando encuentro un problema?
COSO Enterprise Risk Management (ERM) • El ERM de COSO describe un Marco basado en Principios. • Establece una definición de “administración de riesgos corporativos” • Provee los principios críticos y componentes de un proceso de administración de riesgos corporativos efectivo. • Entrega pautas para las organizaciones sobre como mejorar su administración de riesgos. • Establece criterios para determinar si la administración de riesgos es efectiva, y si no lo es que se necesita para que lo sea.
Definición de Administración de Riesgo Corporativo • ¿Qué es Administración de Riesgo Corporativo? Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, aplicado en el establecimiento de la estrategia y a lo largo de la 0rganización. • ¿Para qué? Es un proceso Diseñado para identificar eventos potenciales que pueden afectar a la organización y para administrar riesgos de acuerdo a su apetito de riesgo, de modo de proveer seguridad razonable en cuanto al logro de los objetivos de la organización.
Conceptos claves • Administración del Riesgo en la Determinación de la Estrategia • Eventos y Riesgo • Apetito de Riesgo • Tolerancia al Riesgo • Visión de Portafolio de Riesgos
Conceptos claves (2) • Esta definición recoge los siguientes conceptos básicos de la gestión de riesgos corporativos: • Es un proceso continuo que fluye por toda la entidad. • Es realizado por su personal en todos los niveles de la organización. • Se aplica en el establecimiento de la estrategia. • Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva del riesgo a nivel conjunto de la entidad. • Está diseñado para identificar acontecimientos potenciales que, de ocurrir, afectarían a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado. • Es capaz de proporcionar una seguridad razonable al consejo de administración y a la dirección de una entidad. • Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque susceptibles de solaparse.
ERM de COSO • Los objetivos de la entidad pueden ser vistos en el contexto de cuatro categorías: • Estratégicos • Operacionales • Información • Cumplimiento • ERM considera actividades en todos los niveles de la organización: • Entidad • División • Unidad de Negocio • Subsidiaria
Administración de Riesgos Corporativo • Requiere que la entidad tenga una visión de Portafolio de Riesgos. • Los 8 Componentes interrelacionados son: • Ambiente Interno • Establecimiento de Objetivos • Identificación de Eventos • Evaluación de Riesgos • Respuesta al Riesgo • Actividades de Control • Información y Comunicación • Monitoreo
1. Ambiente interno • Es la base fundamental para los otros componentes del ERM, dando disciplina y estructura. • Incide en: • la concienciación del personal respecto del riesgo y el control. • el modo en que las estrategias y objetivos son establecidos, las actividades de negocio son estructuradas y los riesgos son identificados, evaluados y gerenciados.
1. Ambiente interno (2) Los factores que se contemplan son: • Filosofía de la administración de riesgos • Apetito al riesgo • Integridad y valores éticos • Visión del Directorio • Compromiso de competencia profesional • Estructura organizativa • Asignación de autoridad y responsabilidad • Políticas y prácticas de recursos humanos
2. Establecimiento de objetivos Objetivos Seleccionados • Condición previa para la identificación de eventos, evaluación de riesgos y respuesta al riesgo Objetivos estratégicos • Consisten en metas de alto nivel que se alinean con y sustentan la misión/visión • Reflejan las elecciones estratégicas de la Gerencia sobre cómo la organización buscará crear valor para sus grupos de interés
2. Establecimiento de objetivos (2) Objetivos relacionados • Deben estar alineados con la estrategia seleccionada y con el apetito de riesgo deseado. • Se pueden categorizar de forma amplia en: operativos, confiabilidad de la información y cumplimiento. • Cada nivel de objetivos se relaciona con objetivos más específicos bajo un esquema de cascada. Tolerancia al Riesgo • La tolerancia al riesgo es el nivel aceptable de desviación en relación con el logro de los objetivos • Se alinea con el apetito de riesgo (directamente relacionado con la definición de la estrategia) • Al establecer las tolerancias al riesgo, la Gerencia considera la importancia relativa de los objetivos relacionados
3. Identificación de eventos Eventos • Se deben identificar eventos potenciales que afectan la implementación de la estrategia o el logro de los objetivos, con impacto positivo, negativo o ambos, distinguiendo Riesgos y Oportunidades • Los eventos con un impacto negativo representan riesgos, los cuales necesitan ser evaluados y administrados • Los eventos con un impacto positivo representan oportunidades, las cuales son recanalizadas por la Gerencia al proceso de establecimiento de estrategia y objetivos Factores a Considerar • Los eventos pueden provenir de factores internos y externos. • La Gerencia debe reconocer la importancia de comprender dichos factores y el tipo de eventos que pueden estar asociados a los mismos.
4. Evaluación de Riesgos • Permite a la entidad considerar el grado en el cual eventos potenciales podrían impactar en el logro de los objetivos. • La evaluación de riesgos puede realizarse desde dos perspectivas: probabilidad de ocurrencia e impacto. • Considera que la evaluación se debe realizar tanto para riesgos inherentes como residuales. • La metodología de evaluación de riesgos comprende una combinación de técnicas cualitativas y cuantitativas
5. Respuesta al Riesgo • Una vez evaluado el riesgo, la Gerencia identifica y evalúa posibles respuestas al riesgo en relación al apetito de riesgo de la entidad. • Evaluando Posibles Respuestas. • Las Respuestas son evaluadas con el objetivo de obtener un riesgo residual alineado con el nivel de tolerancia definido • En la evaluación de las respuestas al riesgo, la Gerencia considera varios aspectos
5. Respuesta al Riesgo (2) Categorías de respuesta al riesgo: • Evitarlo: Se toman acciones de modo de discontinuar las actividades que generan riesgo. • Reducirlo: Se toman acciones de modo de reducir el impacto, la probabilidad de ocurrencia del riesgo o ambos. • Compartirlo: Se toman acciones de modo de reducir el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo. • Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.
5. Respuesta al Riesgo (3) Visión de Portafolio de Riesgos • ERM propone que el riesgo sea considerado desde una perspectiva de la entidad en su conjunto o de portafolio de riesgos. • Permite desarrollar una visión de portafolio de riesgos tanto a nivel de unidades de negocio como a nivel de la entidad. • Es necesario considerar como los riesgos individuales se interrelacionan. • Permite determinar si el perfil de riesgo residual de la entidad esta acorde con su apetito de riesgo global.
6. Actividades de Control Integración con Respuesta al Riesgo • Son las políticas y procedimientos necesarios para asegurar que las respuestas al riesgo se llevan a cabo de manera adecuada y oportuna • La selección o revisión de las actividades de control comprende la consideración de su relevancia y adecuación a la respuesta al riesgo y al objetivo relacionado • Se realizan a lo largo de toda la organización, a todos los niveles y en todas las funciones Tipos de Actividades de Control • Preventivas, detectivescas, manuales, computarizadas y controles gerenciales
7. Información y Comunicación • La información es necesaria en todos los niveles de la organización para identificar, evaluar y dar una respuesta al riesgo. • Se debe identificar, capturar y comunicar la información pertinente en tiempo y forma que permita a los miembros de la organización cumplir con sus responsabilidades. • La información relevante es obtenida de fuentes internas y externas • La comunicación se debe realizar en sentido amplio, y fluir por la organización en todos los sentidos (ascendente, descendente, paralelo). • Asimismo, debe existir una comunicación adecuada con partes externas a la organización como ser: clientes, proveedores, reguladores y accionistas.
