990 likes | 1.46k Vues
Objetivos. Conocer los est?ndares internacionales de gesti?n en la continuidad del negocio de manera de poder planear planes de contingencia frente a incidentes, y estimar la probabilidad que ocurran.. Contenidos. Conceptos: continuidad, evento, incidente, siniestro, riesgo, impacto.Planificaci?n
E N D
1. ACI 425SEGURIDAD INFORMTICA Unidad 2:
Gestin de la continuidad del negocio
2. Objetivos Conocer los estndares internacionales de gestin en la continuidad del negocio de manera de poder planear planes de contingencia frente a incidentes, y estimar la probabilidad que ocurran.
3. Contenidos Conceptos: continuidad, evento, incidente, siniestro, riesgo, impacto.
Planificacin y planeacin de contingencia.
Recuperacin de desastres.
Business Continuity Management (BCM): definicin, y relacin con otros modelos de control interno.
Estndares internacionales.
NIST y DRI.
HB 221:2004 Business Continuity Management.
Tipos de planes.
4. ESTNDARES Internacionales y Nacional NCh 2777, BS 7799 / ISO 17799, COBIT y COSO
5. Uso de estndares Algunos estndares son usados de manera mundial y otros estndares son usados de manera preferida por pases, por ejemplo:
6. Los Valor para TI de Usar Procesos Basados en Estndares Los auditores usan herramientas basadas en estndares:
La parte auditada puede saber contra qu requisitos ser comparado.
Se puede aspirar a certificaciones (por ejemplo BS 7799, BS 15000, ISO 9001, European Foundation for Quality Management (EFQM) y TickIT.
7. COBIT Objetivos de Control para la Informacin y las Tecnologas Relacionadas.
Misin: Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologas de la informacin con autoridad, actualizados, de carcter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores.
34 objetivos de control de alto nivel y 318 objetivos de control detallados para garantizar un sistema adecuado de gobierno y control sobre las tecnologas de la informacin de una organizacin.
Desarrollado originalmente por la Fundacin de Control y Auditoria de Sistemas de Informacin (ISACF) en 1996
Mantenida por el IT Governance Institute
http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=55&ContentID=7981
8. Caractersticas de la informacin en COBIT Debe satisfacer requerimientos :
De Calidad
Calidad
Costo
Entrega o Distribucin
Fiduciarios
Efectividad y eficiencia de las operaciones
Confiabilidad de la informacin
Cumplimiento de las leyes y regulaciones
De Seguridad
Confidencialidad
Integridad
Disponibilidad
9. Recursos empleados por las TIidentificados en COBIT Para generar informacin, las TI emplean:
Datos
Sistemas de Aplicacin
Tecnologa
Instalaciones
Personal
10. Cmo garantizar los rasgos de lainformacin definidos en COBIT ? Aplicando medidas de control adecuadas sobre los recursos empleados para generar la informacin y/o conocimiento.
11. Dominios de responsabilidad en COBIT Los objetivos de control son aplicados en cuatro grandes reas o dominios de responsabilidad
Cada dominio tiene definido una serie de procesos, actividades y tareas relacionadas con las tecnologas de la informacin
Planeacin y organizacin (P&O)
Adquisicin e implementacin (A&I)
Entrega y soporte (D&S)
Monitoreo (M)
12. Procesos de TI en Planeacin y organizacin (P&O) Definir un plan estratgico de sistemas
Definir la arquitectura de informacin
Determinar la direccin tecnolgica
Definir la organizacin de TI y sus relaciones
Administrar las inversiones en TI
Comunicar los objetivos y aspiraciones de la gerencia
Administrar los recursos humanos
Asegurar el cumplimiento de requerimientos externos
Evaluar riesgos
Administrar proyectos
Administrar calidad
13. Procesos de TI en Adquisicin e implementacin (A&I) Identificar soluciones de automatizacin
Adquirir y mantener software de aplicacin
Adquirir y mantener la arquitectura tecnolgica
Desarrollar y mantener procedimientos
Instalar y acreditar sistemas de informacin
Administrar cambios
14. Procesos de TI en Entrega y soporte (D&S) Definir niveles de servicio
Administrar servicios de terceros
Administrar desempeo y capacidad
Asegurar continuidad de servicio
Garantizar la seguridad de sistemas
Identificar y asignar costos
Educar y capacitar a usuarios
Apoyar y orientar a clientes
Administrar la configuracin
Administrar problemas e incidentes
Administrar la informacin
Administrar las instalaciones
Administrar la operacin
15. Procesos de TI en Monitoreo Monitorear el proceso
Evaluar lo adecuado del control interno
Obtener aseguramiento independiente
Proporcionar auditoria independiente
16. Cobit VS ISO 17799 En CobiT se tienen cuatro dominios, los cuales tienen, a su vez, procesos.
Uno de ellos es el proceso DS4, de aseguramiento de la continuidad de las operaciones. Dentro de este proceso se tienen trece actividades que van desde la creacin del marco de referencia para la continuidad de las operaciones y la definicin de una estrategia y filosofa de continuidad hasta las indicaciones de contenido, implementacin, prueba y distribucin del mismo.
El enfoque de ISO 17799 es seguridad en los sistemas de informacin y el enfoque de CobiT es control de la informacin y de las tecnologas relacionadas, pero los dos tienen varias similitudes en el caso de continuidad de las operaciones.
Entre estas similitudes destaca la necesidad de realizar un anlisis que nos ayude a entender cules son los procesos crticos para la operacin del negocio y cul debera ser la estrategia que la organizacin debera tomar en este sentido.
Esta estrategia deber estar basada en los objetivos de la organizacin y en el nivel de riesgo que est dispuesta a afrontar.
17. COBIT: Referencias en Internet http://www.isaca.org/cobit
http://www.itgi.org
18. COSO Qu significa COSO?
C ommittee
O f
S ponsoring
O rganizations
(of the Treadway Commission)
En 1992, el Committee of Sponsoring Organizations of the Treadway Commission (COSO) desarroll un modelo para evaluar controles internos.
Este modelo ha sido adoptado y es generalmente aceptado como marco de trabajo para control interno. Adems, es ampliamente reconocido como el estndar definitivo con el cual pueden las organizaciones medir la efectividad de sus sistemas de control interno.
19. Objetivos del Informe COSO Establecer una definicin comn del CONTROL INTERNO: Marco de Referencia
Proporcionar el marco para que cualquier tipo de organizacin pueda evaluar sus SISTEMAS DE CONTROL y decidir cmo mejorarlos
Ayudar a la direccin de las Empresas a mejorar el CONTROL DE LAS ACTIVIDADES de sus organizaciones
20. Definicin de Control Interno Qu es Control Interno?
Es un proceso efectuado por la Direccin, la alta gerencia y el resto del personal
Para qu?
Para proporcionar un grado de seguridad razonable en cuanto a la consecucin de objetivos
En qu niveles? (3 Objetivos del Control Interno)
Eficacia y Eficiencia en las Operaciones
Confiabilidad de la Informacin Financiera
Cumplimiento con las leyes y normas que sean aplicables
21. Eficacia y Eficiencia en las Operaciones EFICACIA: Capacidad de alcanzar las metas y/o resultados propuestos.
EFICIENCIA: Capacidad de producir el mximo de resultados con el mnimo de recursos, energa y tiempo. Se refiere bsicamente a los objetivos empresariales:
Rendimiento y rentabilidad
Salvaguarda de los recursos
22. Confiabilidad de la Informacin Financiera Elaboracin y publicacin de Estados Financieros confiables, estados contables intermedios y toda otra informacin que deba ser publicada.
Abarca tambin la informacin de gestin de uso interno.
23. Cumplimiento con las leyes y normas que sean aplicables Cumplimiento con aquellas leyes y normas a las cuales est sujeta la organizacin.
De esta forma logra evitar:
Efectos perjudiciales para la reputacin de la organizacin.
Contingencias.
Otros eventos de prdidas y dems consecuencias negativas.
24. Los cinco Componentes del Control Interno Ambiente de control
Anlisis de Riesgo
Actividades de Control
Informacin y Comunicaciones
Monitoreo y Supervisin
25. 1: Ambiente de control Un adecuado Ambiente de Control se verifica por medio de 7 aspectos:
Integridad y valores ticos
Compromiso de competencia profesional
Filosofa de direccin y el estilo de gestin
Estructura Organizacional
Asignacin de autoridad y responsabilidad
Polticas y Prcticas de Recursos Humanos
Consejo de Administracin / Comit de Auditora
26. 2: Anlisis de Riesgos Un adecuado Anlisis de Riesgo se verifica por medio de 4 aspectos:
Objetivos Organizacionales Globales
Objetivos Asignados a cada Actividad
Identificacin de Riesgos
Administracin del Riesgo y Cambio
27. 3: Actividades de control COSO reconoce los siguientes tipos de Actividades de Control:
Anlisis efectuados por la direccin
Administracin directa de funciones por actividades
Proceso de informacin
Controles fsicos contra los registros
Indicadores de rendimiento
Segregacin de funciones
Polticas y procedimientos
28. 4: Informacin Evaluacin adecuada de los mecanismos de informacin:
La informacin interna y externa provee a la Direccin los reportes necesarios para el establecimiento de objetivos organizacionales
Es proporcionada informacin a las personas adecuadas con suficiente detalle y oportunidad para cumplir con sus responsabilidades
Los Sistemas de Informacin estn basados en un plan estratgico (vinculados a la estrategia global de la organizacin)
Apoyo de la direccin al desarrollo de los sistemas de informacin necesarios (aporte de los recursos adecuados, tanto humanos como financieros)
29. 4: Comunicacin Evaluacin adecuada de los mecanismos de comunicacin:
La Comunicacin al personal, es eficaz en la descripcin de sus funciones y responsabilidades con respecto al control Interno.
El establecimiento de canales de comunicacin para la denuncia de posibles actos indebidos.
La Alta Direccin es receptiva a sugerencias de los empleados.
La comunicacin a travs de toda la empresa es efectiva.
Seguimiento oportuno y adecuado de la direccin de la informacin obtenida de clientes, proveedores, organismos de control y otros terceros.
30. 5: Monitoreo y Supervisin EVALUACION DE LA SUPERVISIN y MONITOREO
Supervisin Continua:
En qu medida obtiene el personal -al realizar sus actividades habituales- evidencia del buen funcionamiento del sistema de control interno?
En qu medida las comunicaciones de 3ros. corroboran la informacin generada internamente o advierten problemas?
Comparaciones peridicas de importes registrados contra los activos fsicos.
Receptividad ante las recomendaciones de auditores internos y externos.
Grado de comprensin del personal sobre los cdigos de tica y conducta (ver si se hacen encuestas peridicas).
Eficacia de las actividades de Auditora Interna.
31. 5: Monitoreo y Supervisin (2) Evaluacin peridica puntual:
Alcance y frecuencia
El proceso de evaluacin es el ideal? (si se hace bien)
La metodologa para evaluar el sistema de controles internos es lgica y adecuada?
Adecuacin de las muestras, son significativas y como est la calidad de la documentacin examinada.
La comunicacin de las deficiencias:
Mecanismos para recoger y comunicar cualquier deficiencia detectada en el control interno.
Los procedimientos de comunicacin son los ideales.
Las acciones de seguimiento y mejora continua del sistema de Controles Internos son las correctas.
32. Preguntas de Ejecutivos que siguen sin respuestas Cunta confianza puedo tener en que la informacin que recibo refleja completamente la posicin frente al riesgo de la compaa?
Cmo s si mi capacidad de manejo de riesgos es efectiva?
Qu puedo hacer para mejorar cuando encuentro un problema?
33. COSO Enterprise Risk Management (ERM) El ERM de COSO describe un Marco basado en Principios.
Establece una definicin de administracin de riesgos corporativos
Provee los principios crticos y componentes de un proceso de administracin de riesgos corporativos efectivo.
Entrega pautas para las organizaciones sobre como mejorar su administracin de riesgos.
Establece criterios para determinar si la administracin de riesgos es efectiva, y si no lo es que se necesita para que lo sea.
34. Definicin de Administracin de Riesgo Corporativo Qu es Administracin de Riesgo Corporativo?
Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, aplicado en el establecimiento de la estrategia y a lo largo de la 0rganizacin.
Para qu?
Es un proceso Diseado para identificar eventos potenciales que pueden afectar a la organizacin y para administrar riesgos de acuerdo a su apetito de riesgo, de modo de proveer seguridad razonable en cuanto al logro de los objetivos de la organizacin.
35. Conceptos claves Administracin del Riesgo en la Determinacin de la Estrategia
Eventos y Riesgo
Apetito de Riesgo
Tolerancia al Riesgo
Visin de Portafolio de Riesgos
36. Conceptos claves (2) Esta definicin recoge los siguientes conceptos bsicos de la gestin de riesgos corporativos:
Es un proceso continuo que fluye por toda la entidad.
Es realizado por su personal en todos los niveles de la organizacin.
Se aplica en el establecimiento de la estrategia.
Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva del riesgo a nivel conjunto de la entidad.
Est diseado para identificar acontecimientos potenciales que, de ocurrir, afectaran a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado.
Es capaz de proporcionar una seguridad razonable al consejo de administracin y a la direccin de una entidad.
Est orientada al logro de objetivos dentro de unas categoras diferenciadas, aunque susceptibles de solaparse.
37. ERM de COSO Los objetivos de la entidad pueden ser vistos en el contexto de cuatro categoras:
Estratgicos
Operacionales
Informacin
Cumplimiento
ERM considera actividades en todos los niveles de la organizacin:
Entidad
Divisin
Unidad de Negocio
Subsidiaria
38. Administracin de Riesgos Corporativo Requiere que la entidad tenga una visin de Portafolio de Riesgos.
Los 8 Componentes interrelacionados son:
Ambiente Interno
Establecimiento de Objetivos
Identificacin de Eventos
Evaluacin de Riesgos
Respuesta al Riesgo
Actividades de Control
Informacin y Comunicacin
Monitoreo
39. 1. Ambiente interno Es la base fundamental para los otros componentes del ERM, dando disciplina y estructura.
Incide en:
la concienciacin del personal respecto del riesgo y el control.
el modo en que las estrategias y objetivos son establecidos, las actividades de negocio son estructuradas y los riesgos son identificados, evaluados y gerenciados.
40. 1. Ambiente interno (2) Los factores que se contemplan son:
Filosofa de la administracin de riesgos
Apetito al riesgo
Integridad y valores ticos
Visin del Directorio
Compromiso de competencia profesional
Estructura organizativa
Asignacin de autoridad y responsabilidad
Polticas y prcticas de recursos humanos
41. 2. Establecimiento de objetivos Objetivos Seleccionados
Condicin previa para la identificacin de eventos, evaluacin de riesgos y respuesta al riesgo
Objetivos estratgicos
Consisten en metas de alto nivel que se alinean con y sustentan la misin/visin
Reflejan las elecciones estratgicas de la Gerencia sobre cmo la organizacin buscar crear valor para sus grupos de inters
42. 2. Establecimiento de objetivos (2) Objetivos relacionados
Deben estar alineados con la estrategia seleccionada y con el apetito de riesgo deseado.
Se pueden categorizar de forma amplia en: operativos, confiabilidad de la informacin y cumplimiento.
Cada nivel de objetivos se relaciona con objetivos ms especficos bajo un esquema de cascada.
Tolerancia al Riesgo
La tolerancia al riesgo es el nivel aceptable de desviacin en relacin con el logro de los objetivos
Se alinea con el apetito de riesgo (directamente relacionado con la definicin de la estrategia)
Al establecer las tolerancias al riesgo, la Gerencia considera la importancia relativa de los objetivos relacionados
43. 3. Identificacin de eventos Eventos
Se deben identificar eventos potenciales que afectan la implementacin de la estrategia o el logro de los objetivos, con impacto positivo, negativo o ambos, distinguiendo Riesgos y Oportunidades
Los eventos con un impacto negativo representan riesgos, los cuales necesitan ser evaluados y administrados
Los eventos con un impacto positivo representan oportunidades, las cuales son recanalizadas por la Gerencia al proceso de establecimiento de estrategia y objetivos
Factores a Considerar
Los eventos pueden provenir de factores internos y externos.
La Gerencia debe reconocer la importancia de comprender dichos factores y el tipo de eventos que pueden estar asociados a los mismos.
44. 4. Evaluacin de Riesgos Permite a la entidad considerar el grado en el cual eventos potenciales podran impactar en el logro de los objetivos.
La evaluacin de riesgos puede realizarse desde dos perspectivas: probabilidad de ocurrencia e impacto.
Considera que la evaluacin se debe realizar tanto para riesgos inherentes como residuales.
La metodologa de evaluacin de riesgos comprende una combinacin de tcnicas cualitativas y cuantitativas
45. 5. Respuesta al Riesgo Una vez evaluado el riesgo, la Gerencia identifica y evala posibles respuestas al riesgo en relacin al apetito de riesgo de la entidad.
Evaluando Posibles Respuestas.
Las Respuestas son evaluadas con el objetivo de obtener un riesgo residual alineado con el nivel de tolerancia definido
En la evaluacin de las respuestas al riesgo, la Gerencia considera varios aspectos
46. 5. Respuesta al Riesgo (2) Categoras de respuesta al riesgo:
Evitarlo: Se toman acciones de modo de discontinuar las actividades que generan riesgo.
Reducirlo: Se toman acciones de modo de reducir el impacto, la probabilidad de ocurrencia del riesgo o ambos.
Compartirlo: Se toman acciones de modo de reducir el impacto o la probabilidad de ocurrencia al transferir o compartir una porcin del riesgo.
Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.
47. 5. Respuesta al Riesgo (3) Visin de Portafolio de Riesgos
ERM propone que el riesgo sea considerado desde una perspectiva de la entidad en su conjunto o de portafolio de riesgos.
Permite desarrollar una visin de portafolio de riesgos tanto a nivel de unidades de negocio como a nivel de la entidad.
Es necesario considerar como los riesgos individuales se interrelacionan.
Permite determinar si el perfil de riesgo residual de la entidad esta acorde con su apetito de riesgo global.
48. Impacto vs. Probabilidad
49. 6. Actividades de Control Integracin con Respuesta al Riesgo
Son las polticas y procedimientos necesarios para asegurar que las respuestas al riesgo se llevan a cabo de manera adecuada y oportuna
La seleccin o revisin de las actividades de control comprende la consideracin de su relevancia y adecuacin a la respuesta al riesgo y al objetivo relacionado
Se realizan a lo largo de toda la organizacin, a todos los niveles y en todas las funciones
Tipos de Actividades de Control
Preventivas, detectivescas, manuales, computarizadas y controles gerenciales
50. 7. Informacin y Comunicacin La informacin es necesaria en todos los niveles de la organizacin para identificar, evaluar y dar una respuesta al riesgo.
Se debe identificar, capturar y comunicar la informacin pertinente en tiempo y forma que permita a los miembros de la organizacin cumplir con sus responsabilidades.
La informacin relevante es obtenida de fuentes internas y externas
La comunicacin se debe realizar en sentido amplio, y fluir por la organizacin en todos los sentidos (ascendente, descendente, paralelo).
Asimismo, debe existir una comunicacin adecuada con partes externas a la organizacin como ser: clientes, proveedores, reguladores y accionistas.
51. 8. Monitoreo Implica monitorear que el proceso de Administracin de Riesgos mantiene su efectividad a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente a travs de:
Actividades de monitoreo continuo, que se llevan a cabo durante el curso normal de las operaciones.
Evaluaciones puntuales, realizadas por personal que no es el responsable directo de la ejecucin de las actividades. Su alcance y frecuencia de realizacin depende de los resultados de la evaluacin de riesgos y de la efectividad de las actividades de monitoreo continuo.
Una combinacin de ambas formas
52. Vinculacin entre el ERM y Control interno del COSO ERM se elabora sobre la base de los conceptos de control interno establecidos en el Marco Integrado de Control Interno del COSO (MICI).
ERM incorpora cuatro categoras de objetivos, incluyendo los objetivos estratgicos.
En el marco ERM, la categora de objetivos relativa a Informacin es ms amplia que la de Informacin Financiera del MICI.
ERM incluye ocho componentes.
ERM incluye el establecimiento de objetivos como un componente separado. El MICI considera al establecimiento de objetivos como un prerrequisito para el control interno.
El marco ERM separa el componente evaluacin de riesgos del MICI en tres componentes del ERM.
53. COSO: Referencias en Internet Organizacin: http://www.coso.org/
COSO Internal Control Framework Resources
COSO Advisory Council considering Enterprise Risk Management Framework
Resumen ejecutivo de COSO ERM (en espaol)
54. NUEVAS NORMATIVAS o Leyes BASILEA II, LEY SOX e ITIL
55. Basilea II Propone un mtodo del indicador bsico sobre todo el riesgo operativo
Se percibe como una oportunidad por cuanto va a suponer:
Un impulso a la gestin avanzada de Riesgos.
Convergencia entre capital econmico y capital regulatorio.
Mayor estabilidad a medio plazo del Sistema Financiero Internacional.
Lleva en consulta desde 1999 y el documento final se present en Junio del 2004.
Los elementos se han ordenado en tres pilares fundamentales:
Las ponderaciones de riesgo asignadas a los diferentes tipos de activos de riesgo. Se incluye aqu, los riesgos operacionales.
Supervisin corriente por parte de las Superintendencias, y
La disciplina del mercado a travs de ms transparencia.
56. EFECTOS DE BASILEA II EN AMRICA LATINA El beneficio global de la propuesta de Basilea II sera:
Creacin de incentivos para mejorar los procedimientos de evaluacin de riesgos.
Mejoras en el sistema de gobierno corporativo. Nuevos modelos internos de riesgo.
Cambio cultural: Necesidad de concienciar a la direccin.
La administracin de riesgos requerir nuevas y sofisticadas herramientas de informacin, y
Las necesidades de informacin requieren grandes inversiones en tecnologa. Es probable, que las instituciones financieras pequeas tengan que ser vendidas, fusionadas adquiridas. Los posibles efectos adversos de la propuesta de Basilea II sera:
Adopcin del Acuerdo en los pases industrializados puede tener efecto adverso en los sistemas financieros de los mercados emergentes.
La falta de reconocimiento de la diversificacin internacional, como herramienta para el manejo del riesgo crediticio, podra reducir el volumen de prstamos a Amrica Latina, y
Posible prdida de competitividad de entidades financieras latinoamericanas versus subsidiarias de bancos internacionalmente activos.
57. Referencias sobre Basilea II Gmez Castaeda, O.R.: "Basilea I y II" en Observatorio de la Economa Latinoamericana N 56, febrero 2006. Texto completo en http://www.eumed.net/cursecon/ecolat/ve/
http://www.eclac.cl/cgi-bin/getProd.asp?xml=/revista/noticias/articuloCEPAL/5/19425/P19425.xml&xsl=/revista/tpl/p39f.xsl&base=/revista/tpl/top-bottom.xsl
http://www.sbif.cl/sbifweb/servlet/Biblioteca?indice=6.1&idCategoria=1008
58. Ley SOX La Ley Sarbanes-Oxley (SOX) fue establecida en el ao 2002 por el Congreso de los Estados Unidos de Amrica, como respuesta al gran nmero de escndalos financieros y contables relacionados con algunas de las ms importantes y prominentes compaas en este pas: Enron, World Com, etc.
Dichos escndalos repercutieron negativamente sobre la confianza depositada, por parte de los accionistas y el Estado en los procesos contables y las prcticas de reporte financiero de las compaas pblicas.
Es de hacer notar que esta ley, en principio, alcanz nicamente a a aquellas compaas inscritas en el Security Exchange Comision (SEC) de EEUU.
59. Objeto principal La Ley SarbanesOxley tiene por objeto principal la proteccin del accionista mediante la prevencin del fraude financiero y el aseguramiento de que la informacin presentada en los mercados sea precisa, completa, fiable, comprensible y se presente en plazo.
La Ley aument las responsabilidades corporativas respecto de la emisin de informes financieros de compaas pblicas:
Responsabilidad penal para Ejecutivos.
Establece fuertes reformas en materia de gobiernos corporativos.
Mayores restricciones a los auditores en materia de independencia.
60. Caractersticas Es una ley severa en materia reglamentaria para la exposicin contable, las auditorias, los balances y para los directores de las empresas.
Aunque incide sobre las empresas estadounidenses, las subsidiarias locales tambin deben ajustarse a la nueva normativa.
Incluso, empresas no alcanzadas han aplicado ciertos criterios y procedimientos implcitos en la ley buscando alcanzar mximos niveles de control.
Esto es as a pesar de que la aplicacin de la SOX acarrea altos costos para las empresas, ya que su implementacin en el largo plazo puede redundar en beneficios al intensificar la compaa el nivel de control.
61. TI y Control Interno Las TI y el Control Interno constituyen un marco integral para el control y prevencin de fraudes financieros.
El marco de control interno sugerido, para cumplir con los lineamientos establecidos por la Ley SOX, es el diseado por el Comit of Sponsoring Organization of Treadway Comision (COSO).
A comienzos de los aos 90, el Comit junto con la asesora de Pricewaterhouse Coopers, realiz un estudio extensivo sobre controles internos, cuyo resultado fue el marco de control interno COSO.
62. Descripcin La Ley SOX indica que la conservacin y disponibilidad de los documentos en formato digital no pueden ser modificados por un perodo de 10 aos, lo que implica tres puntos esenciales: almacenamiento, aplicaciones y polticas y procedimientos.
El primero de ellos debe considerar accesibilidad y capacidad de bsqueda para el manejo de datos, con opciones de cinta, disco ptico y magntico para conservar la informacin.
Las aplicaciones deben contar con especificaciones como proteccin de documentos, clasificacin en lnea y capacidad de auditoras.
En lo que respecta a procedimientos, se definen las opciones de cmo los datos sern movidos y almacenados, adems de cmo y cundo est autorizado el personal de TI para tener acceso y modificarlo y en qu tiempo se pueden destruir.
63. Factores para su buen cumplmiento Para un buen cumplimiento de la ley se necesitan algunos factores como:
estructura documentada del control interno;
mayor transparencia en la eficacia de los controles;
monitoreo electrnico continuo de las acciones de mejoramiento;
desarrollo de controles documentados coherentes que se puedan aprovechar en las mltiples unidades empresariales; y
procesos acelerados y racionalizados.
En otras palabras, las empresas se estn dando cuenta de que las leyes reglamentarias simplemente significan utilizar buenas prcticas de seguridad.
64. COSO en apoyo de la Ley SOX
65. Conclusiones La seguridad no es la nica parte de la plataforma de software que es necesaria para cumplir la ley.
La "gestin de informacin y documentos" tiene que ser lo ms transparente y prctica posible, permitiendo adems bsquedas asertivas utilizando, por ejemplo, estructuras de datos en Extensible Markup Language (XML).
Tambin debe ofrecer a los usuarios, operadores y administradores de los sistemas un proceso de alertas y consultas.
66. Conclusiones (2) La comunicacin y colaboracin entre empleados tambin debe gestionarse mediante un software de administracin que tenga acceso a las bases de datos, adems de la posibilidad de compartir proyectos, estados financieros y otro tipo de procesos propios de la empresa moderna.
En definitiva, lo que la Ley busca no slo tiene relacin con la disponibilidad de la informacin del negocio a auditores externos y as evitar cualquier tipo de fraude, sino que sea la misma empresa, gracias a sus procesos e infraestructura tecnolgica, la que regule negligencias y problemas, mostrndose ms transparente en una sistema econmico donde existen muchos elementos an para poder flanquear las regulaciones.
67. Referencias sobre Ley SOX Ley Sarbanes-Oxley Act (SOX, SOA) Federico Iturbide
Los Fuertes Controles ticos que Debern Asumir las Empresas Chilenas
Ley Sarbanes-Oxley (Ley SOX) Csar Pallavicini
LEY SOX, EL NUEVO PANORAMA DEL CONTROL EMPRESARIAL
Sigue valiendo la pena estar listado en Nueva York? Mircoles, 05 de Abril de 2006 Mundo de la Finanzas, Economa y NegociosCAROLINA SOZA J.
68. ITIL : Biblioteca de Infraestructura de Tecnologas de Informacin.
Ocho libros contentivos de buenas practicas para la gestin de servicios de tecnologas de informacin
Su objetivo es presentar una metodologa para gestionar de manera efectiva y eficiente el uso de los recursos de tecnologas de informacin (del gobierno britnico)
Desarrollada por The British Office of Government Commerce (OGC)
http://www.itil.co.uk/
69. Qu es ITIL? Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologas de la Informacin (ITIL) se ha convertido en el estndar mundial de facto en la Gestin de Servicios Informticos.
Iniciando como una gua para el gobierno de UK, la estructura base ha demostrado ser til para las organizaciones en todos los sectores a travs de su adopcin por innumerables compaas como base para consulta, educacin y soporte de herramientas de software.
Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilizacin.
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_ITIL.php
70. Qu es ITIL? (2) ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez ms de la Informtica para alcanzar sus objetivos corporativos.
Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informticos de calidad que se correspondan con los objetivos del negocio, y que satisfaga los requisitos y las expectativas del cliente.
A travs de los aos, el nfasis pas de estar sobre el desarrollo de las aplicaciones TI a la gestin de servicios TI.
La aplicacin TI (a veces nombrada como un sistema de informacin) slo contribuye a realizar los objetivos corporativos si el sistema est a disposicin de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_ITIL.php
71. Qu es ITIL? (3) A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtencin).
De esta manera, los procesos eficaces y eficientes de la Gestin de Servicios TI se convierten en esenciales para el xito de los departamentos de TI.
Esto se aplica a cualquier tipo de organizacin, grande o pequea, pblica o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros.
En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_ITIL.php
72. ITIL consta de ocho libros: Software Asset Management
Service Support
Service Delivery
Planning to Implement Service Management
ICT Infrastructure Management
Application Management
Security Management Book
The Business Perspective
73. Enfoque basado en procesos Para gestionar servicios de tecnologas de informacin
Define los objetivos, actividades, entradas y salidas de los procesos identificados en los servicios de tecnologas de la informacin
Los procesos son estudiados desde tres puntos de vista o niveles:
Estratgico
Tctico
Operacional
74. Procesos definidos en ITIL relacionadoscon seguridad Incident Management
Problem Management
Configuration Management
Change Management
Release Management
Availability Management
IT Service Continuity Management
Service Level Management
Security Management
75. Gestin de Seguridad de la Informacin Proceso iterativo:
Planeado
Controlado
Evaluado
Mantenido
Consta de siete pasos
Identificar requerimientos de seguridad
Determinacin de factibilidad de honrarlos
Negociacin entre el cliente y la organizacin de servicios de TI. Establecimientos de SLAs
Negociacin de OLAs a lo interno de la organizacin de servicios de TI.
Implementacin y monitoreo de los SLAs y OLAs
Generacin de reportes peridicos acerca de la efectividad y el estado de los servicios de seguridad ofrecidos
Mantenimiento de los SLAs y OLAs
76. Modelo ITIL
77. Modelo ITIL (2)
78. Gestin de Seguridad de la Informacin (2) Establece la construccin de los documentos de seguridad:
Polticas de seguridad de la informacin
Planes de seguridad de la informacin
Manuales de seguridad de la informacin
79. ITIL: Referencias en Internet http://www.itil.co.uk
http://www.itil.org
http://www.itsmf.com
http://www.pinkelephant.com
80. RFC 2196 Site Security Handbook RCF 2196:Gua para desarrollar polticas y procedimientos de seguridad para sitios que tienen sistemas en red
RFCs: Documentos de la Internet Engineering Task Force (IETF) conteniendo informacin sobre algn estndar propuesto
Publicado en septiembre de 1997
81. Orientacin del RFC 2196 Desarrollar un plan de seguridad para un sitio:
Identificar los elementos que deben protegerse (capital o activo)
Identificar las amenazas: de qu o de quin deben protegerse (Threats, factores de riesgo)
Explorar las formas en las cuales pueden hacerse efectivas las amenazas.
Implementar medidas de proteccin adecuadas (deben justificarse de acuerdo a un estudio de beneficio-costo)
Revisar el plan continuamente y realizar mejoras cada vez que una vulnerabilidad sea detectada
82. Definicin de una poltica de seguridad Guiada por los riesgos
Objetivos de una poltica de seguridad:
Informar al mayor nivel de detalle a los usuarios, empleados y gerentes de las normas, procedimientos y mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la organizacin.
Proporcionar los criterios para identificar, adquirir, configurar y auditar los sistemas de computacin y redes para que estn en concordancia con la poltica de seguridad.
83. Componentes de una poltica deseguridad Una poltica de intimidad
Una poltica de autenticacin
Una poltica de acceso
Una poltica de contabilidad
Planes para satisfacer las expectativas de disponibilidad de los recursos del sistema
Una poltica de mantenimiento para la red y los sistemas de la organizacin
Directrices para identificar y adquirir tecnologa con rasgos de seguridad requeridos y/o deseables.
Sanciones para quien infrinjan la poltica de seguridad
Una poltica de reporte de incidentes y de divulgacin de informacin
84. Arquitectura de seguridad Una poltica de seguridad especifica las bases sobre las cuales se construir la arquitectura de seguridad de la organizacin.
Una arquitectura de seguridad es la forma como se organizan todos los elementos necesarios para satisfacer los objetivos de seguridad definidos en una organizacin.
85. Arquitectura de seguridad (2) Proteccin a varios niveles y contra amenazas accidentales e intencionales:
Proteccin del recurso humano
Ante amenazas fsicas
Proteccin de la infraestructura fsica
Ante amenazas fsicas
Proteccin de la de red
Ante ataques pasivos y activos
Proteccin de los servicios
Ante ataques internos a la organizacin
Ante ataques externos a la organizacin
86. Servicios, procedimientos y mecanismos de seguridad Los servicios y procedimientos de seguridad implementan polticas de seguridad.
Los servicios y procedimientos de seguridad son implementados a travs de mecanismos y tecnologas que han sido desarrollados para prevenir, proteger y neutralizar amenazas de seguridad de un sistema
87. Manejo de incidentes de seguridad Un incidente de seguridad es un evento que involucra la violacin de la poltica de seguridad de la organizacin
Cmo identificar un incidente?
Prestar atencin a sintomas que pueden estar asociados a incidentes de seguridad
Estrellado del sistema (Crash system)
Cuentas nuevas
Archivos nuevos, modificados o eliminados
Negacin de servicios
Rendimiento irregular del sistema
Uso del sistema fuera de los patrones o registros habituales
Lneas que indican un patrn de ataque en los registros del sistema
Ayudarse con herramientas de deteccin de anomalias (profilers, network monitoring tools, log analyzers, network intusion detection systems)
88. Manejo de incidentes (2) Debe definirse un plan y una poltica de manejo de incidentes de seguridad (antes, durante, despus)
Objetivos del plan:
Averiguar cmo ocurri el incidente
Averiguar cmo evitar la generacin nuevamente del incidente
Determinar el impacto y dao del incidente (limitarlo)
Recuperar el sistema del incidente (retomar el control)
Actualizar la poltica de seguridad, sus procedimientos, servicios, mecanismos y tecnologas empleadas
Averiguar quin provoc el incidente y ejecutar las sanciones respectivas
89. Mantenimiento de la seguridad Ambiente de redes y sistemas basados en tecnologas de la informacin constantemente susceptibles a nuevas amenazas y/o vulnerabilidades.
Cmo estar al da con el proceso de seguridad?:
Suscribirse a boletines de seguridad con las ltimas noticias de amenazas
http://www.cert.org
http://www.alw.nih.gov/Security/security-advisories.html
http://www.securityfocus.com
Suscribirse a las listas de distribucin de correctivos (patches) de las compaas o instituciones que proveen y mantienen el software y las tecnologas utilizadas en los sistemas e infraestructura de la organizacin
? Aplicar los correctivos de seguridad
Monitorear las configuraciones de los sistemas para identificar cambios y averiguar su origen
? Vigilar y proteger el sistema contra conductas y configuraciones no acordes con los objetivos del plan de seguridad de la organizacin y con su poltica de seguridad
? Detectar cambios, revertirlos e investigarlos
Actualizar la poltica de seguridad
Ante cualquier incidente
En ausencia de incidentes, por lo menos una vez al ao
Auditar regularmente la poltica de seguridad
90. RFC 2196: Referencias en Internet http://www.ietf.org/rfc/rfc2196.txt?number=2196
http://www.ietf.org/
91. Reflexiones y preguntas Suponiendo que su organizacin fuera atacada con xito: Identifique cuales son las leyes chilenas violadas de acuerdo con los delitos cometidos. Evale el dao total sufrido por su organizacin.
Cmo mostrara y protegera la evidencia del ataque?
Puede identificar la fuente del ataque?
92. Bibliografa Gua Metodolgica 2006 Sistema de Gobierno Electrnico. Programa de Mejoramiento de la Gestin Gobierno de Chile (http://www.modernizacion.cl/ )
Gobierno electrnico en Chile 2000 2005 Estado del Arte II (http://www.modernizacion.cl/ )
Tecnologa de la Informacin Cdigo de prctica para la Seguridad de la Informacin NCh2777.Of2003 (ISO/IEC 17799 : 2000)
''NORMA TECNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRONICO' Decreto 83 Fecha de Publicacin: 12.01.2005; Fecha de Promulgacin: 03.06.2004
93. Bibliografa (2) Planes para continuidad de negocio ante desastres. Algunos conceptos (archivo Gestin BCM.ppt) Diplomado en Peritaje Informtico Universidad de Santiago de Chile.
Mejores prcticas y estndares internacionales en gestin de riesgos y control interno Gloria Pea y Lillo (archivo BCM (4742)COSO1.pdf)
"Planes de Contingencia TIC y continuidad del negocio" Roberto Moya Quiles, Stefano Zanero
Enfoque Integral de BCM Yves Dvila
Garantizan las empresas la Continuidad de su Negocio?
GOBIERNO DE TI Y CONTINUIDAD DEL NEGOCIO
Business continuity planning
http://www.iso.org
http://www.iec.org
http://www.bsi-global.com
94. Pginas complementarias National Institute for Standards (NIST) National Vulnerabilities Database
Common Vulnerabilities and Exposures
Business Continuity, Contingency Planning & Disaster Recovery
The Business Continuity Planning & Disaster Recovery Planning Directory
Business Continuity Planning: Ten Common Mistakes
95. Pginas complementarias (2) Acuerdo Capital de Basilea II
http://www.latinbanking.com/pdf/basilea_2.pdf
Encuesta de los desafios para los jefes de gerencia en riesgo de instituciones financieras
Graham-Leach-Bliley Act (GLBA)
Sarbanes-Oxley(SOX).
96. Herramientas adicionales MAGERIT: Metodologa de anlisis y gestin de riesgos de los sistemas de informacin de las Administraciones Pblicas. http://www.csi.map.es/csi/pg5m20.htm
NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-12/ (disponible tambin una versin como libro digital)
Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute.
Control Objectives for Information and Related Technology (Cobit). http://www.isaca.org/cobit.htm
97. Textos Sandoval Lpez, Ricardo, Seguridad en el comercio electrnico, Lexisnexis 2004.
Kaeo, Merike, Diseo de seguridad en redes, Pearson Educacin 2003.
Maiwald, Eric, Fundamentos de seguridad en redes, McGraw-Hill Interamericana 2005. Parte II pp 93-186
Stallings,William Fundamentos de Seguridad en Redes. Aplicaciones y Estndares, Pearson 2004
98. Documentos en CriptoRed Jorge Rami Aguirre LIBRO ELECTRNICO DE SEGURIDAD INFORMTICA Y CRIPTOGRAFA Documento de libre distribucin en Internet a travs de CriptoRed, Marzo de 2006 (SegInfoCrip_v41.zip)
Antonio Villaln Huerta SEGURIDAD DE LOS SISTEMAS DE INFORMACION Julio, 2005 (seguridad_sist_inf.zip)
99. Libros digitales: Seguridad National Institute of Standards and Technology An Introduction to Computer Security: The NIST Handbook, Special Publication 800-12 ((ebook) computer security handbook.pdf)
Simson Garfinkel & Eugene H. Spafford Web Security & Commerce ISBN: 1-56592-269-7 (O'Reilly - Web Security & Commerce.pdf)
Mitch TullochMicrosoft Encyclopedia of Security (eBook.MS.Press.-.Microsoft.Encyclopedia.of.Security.ShareReactor.pdf)