ACI 425 SEGURIDAD INFORM TICA

1. ACI � 425SEGURIDAD INFORM�TICA Unidad 2: Gesti�n de la continuidad del negocio

2. Objetivos Conocer los est�ndares internacionales de gesti�n en la continuidad del negocio de manera de poder planear planes de contingencia frente a incidentes, y estimar la probabilidad que ocurran.

3. Contenidos Conceptos: continuidad, evento, incidente, siniestro, riesgo, impacto. Planificaci�n y planeaci�n de contingencia. Recuperaci�n de desastres. Business Continuity Management (BCM): definici�n, y relaci�n con otros modelos de control interno. Est�ndares internacionales. NIST y DRI. HB 221:2004 Business Continuity Management. Tipos de planes.

4. EST�NDARES Internacionales y Nacional NCh 2777, BS 7799 / ISO 17799, COBIT y COSO

5. Uso de est�ndares Algunos est�ndares son usados de manera mundial y otros est�ndares son usados de manera preferida por pa�ses, por ejemplo:

6. Los Valor para TI de Usar Procesos Basados en Est�ndares Los auditores usan herramientas basadas en est�ndares: La parte auditada puede saber contra qu� requisitos ser� comparado. Se puede aspirar a certificaciones (por ejemplo BS 7799, BS 15000, ISO 9001, European Foundation for Quality Management (EFQM) y TickIT.

7. COBIT Objetivos de Control para la Informaci�n y las Tecnolog�as Relacionadas. Misi�n: �Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnolog�as de la informaci�n con autoridad, actualizados, de car�cter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores�. 34 objetivos de control de alto nivel y 318 objetivos de control detallados para garantizar un sistema adecuado de gobierno y control sobre las tecnolog�as de la informaci�n de una organizaci�n. Desarrollado originalmente por la Fundaci�n de Control y Auditoria de Sistemas de Informaci�n (ISACF) en 1996 Mantenida por el IT Governance Institute http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=55&ContentID=7981

8. Caracter�sticas de la informaci�n en COBIT Debe satisfacer requerimientos : De Calidad Calidad Costo Entrega o Distribuci�n Fiduciarios Efectividad y eficiencia de las operaciones Confiabilidad de la informaci�n Cumplimiento de las leyes y regulaciones De Seguridad Confidencialidad Integridad Disponibilidad

9. Recursos empleados por las TIidentificados en COBIT Para generar informaci�n, las TI emplean: Datos Sistemas de Aplicaci�n Tecnolog�a Instalaciones Personal

10. � C�mo garantizar los rasgos de lainformaci�n definidos en COBIT ? Aplicando medidas de control adecuadas sobre los recursos empleados para generar la informaci�n y/o conocimiento.

11. Dominios de responsabilidad en COBIT Los objetivos de control son aplicados en cuatro grandes �reas o dominios de responsabilidad Cada dominio tiene definido una serie de procesos, actividades y tareas relacionadas con las tecnolog�as de la informaci�n Planeaci�n y organizaci�n (P&O) Adquisici�n e implementaci�n (A&I) Entrega y soporte (D&S) Monitoreo (M)

12. Procesos de TI en Planeaci�n y organizaci�n (P&O) Definir un plan estrat�gico de sistemas Definir la arquitectura de informaci�n Determinar la direcci�n tecnol�gica Definir la organizaci�n de TI y sus relaciones Administrar las inversiones en TI Comunicar los objetivos y aspiraciones de la gerencia Administrar los recursos humanos Asegurar el cumplimiento de requerimientos externos Evaluar riesgos Administrar proyectos Administrar calidad

13. Procesos de TI en Adquisici�n e implementaci�n (A&I) Identificar soluciones de automatizaci�n Adquirir y mantener software de aplicaci�n Adquirir y mantener la arquitectura tecnol�gica Desarrollar y mantener procedimientos Instalar y acreditar sistemas de informaci�n Administrar cambios

14. Procesos de TI en Entrega y soporte (D&S) Definir niveles de servicio Administrar servicios de terceros Administrar desempe�o y capacidad Asegurar continuidad de servicio Garantizar la seguridad de sistemas Identificar y asignar costos Educar y capacitar a usuarios Apoyar y orientar a clientes Administrar la configuraci�n Administrar problemas e incidentes Administrar la informaci�n Administrar las instalaciones Administrar la operaci�n

15. Procesos de TI en Monitoreo Monitorear el proceso Evaluar lo adecuado del control interno Obtener aseguramiento independiente Proporcionar auditoria independiente

16. Cobit VS ISO 17799 En CobiT se tienen cuatro dominios, los cuales tienen, a su vez, procesos. Uno de ellos es el proceso DS4, de aseguramiento de la continuidad de las operaciones. Dentro de este proceso se tienen trece actividades que van desde la creaci�n del marco de referencia para la continuidad de las operaciones y la definici�n de una estrategia y filosof�a de continuidad hasta las indicaciones de contenido, implementaci�n, prueba y distribuci�n del mismo. El enfoque de ISO 17799 es seguridad en los sistemas de informaci�n y el enfoque de CobiT es control de la informaci�n y de las tecnolog�as relacionadas, pero los dos tienen varias similitudes en el caso de continuidad de las operaciones. Entre estas similitudes destaca la necesidad de realizar un an�lisis que nos ayude a entender cu�les son los procesos cr�ticos para la operaci�n del negocio y cu�l deber�a ser la estrategia que la organizaci�n deber�a tomar en este sentido. Esta estrategia deber� estar basada en los objetivos de la organizaci�n y en el nivel de riesgo que est� dispuesta a afrontar.

17. COBIT: Referencias en Internet http://www.isaca.org/cobit http://www.itgi.org

18. COSO �Qu� significa COSO? C ommittee O f S ponsoring O rganizations (of the Treadway Commission) En 1992, el Committee of Sponsoring Organizations of the Treadway Commission (COSO) desarroll� un modelo para evaluar controles internos. Este modelo ha sido adoptado y es generalmente aceptado como marco de trabajo para control interno. Adem�s, es ampliamente reconocido como el est�ndar definitivo con el cual pueden las organizaciones medir la efectividad de sus sistemas de control interno.

19. Objetivos del Informe COSO Establecer una definici�n com�n del CONTROL INTERNO: �Marco de Referencia� Proporcionar el �marco� para que cualquier tipo de organizaci�n pueda evaluar sus SISTEMAS DE CONTROL y decidir c�mo mejorarlos Ayudar a la direcci�n de las Empresas a mejorar el CONTROL DE LAS ACTIVIDADES de sus organizaciones

20. Definici�n de Control Interno �Qu� es Control Interno? Es un proceso efectuado por la Direcci�n, la alta gerencia y el resto del personal �Para qu�? Para proporcionar un grado de seguridad razonable en cuanto a la consecuci�n de objetivos �En qu� niveles? (3 Objetivos del Control Interno) Eficacia y Eficiencia en las Operaciones Confiabilidad de la Informaci�n Financiera Cumplimiento con las leyes y normas que sean aplicables

21. Eficacia y Eficiencia en las Operaciones EFICACIA: Capacidad de alcanzar las metas y/o resultados propuestos. EFICIENCIA: Capacidad de producir el m�ximo de resultados con el m�nimo de recursos, energ�a y tiempo. Se refiere b�sicamente a los objetivos empresariales: Rendimiento y rentabilidad Salvaguarda de los recursos

22. Confiabilidad de la Informaci�n Financiera Elaboraci�n y publicaci�n de Estados Financieros confiables, estados contables intermedios y toda otra informaci�n que deba ser publicada. Abarca tambi�n la informaci�n de gesti�n de uso interno.

23. Cumplimiento con las leyes y normas que sean aplicables Cumplimiento con aquellas leyes y normas a las cuales est� sujeta la organizaci�n. De esta forma logra evitar: Efectos perjudiciales para la reputaci�n de la organizaci�n. Contingencias. Otros eventos de p�rdidas y dem�s consecuencias negativas.

24. Los cinco Componentes del Control Interno Ambiente de control An�lisis de Riesgo Actividades de Control Informaci�n y Comunicaciones Monitoreo y Supervisi�n

25. 1: Ambiente de control Un adecuado Ambiente de Control se verifica por medio de 7 aspectos: Integridad y valores �ticos Compromiso de competencia profesional Filosof�a de direcci�n y el estilo de gesti�n Estructura Organizacional Asignaci�n de autoridad y responsabilidad Pol�ticas y Pr�cticas de Recursos Humanos Consejo de Administraci�n / Comit� de Auditor�a

26. 2: An�lisis de Riesgos Un adecuado An�lisis de Riesgo se verifica por medio de 4 aspectos: Objetivos Organizacionales Globales Objetivos Asignados a cada Actividad Identificaci�n de Riesgos Administraci�n del Riesgo y Cambio

27. 3: Actividades de control COSO reconoce los siguientes tipos de Actividades de Control: An�lisis efectuados por la direcci�n Administraci�n directa de funciones por actividades Proceso de informaci�n Controles f�sicos contra los registros Indicadores de rendimiento Segregaci�n de funciones Pol�ticas y procedimientos

28. 4: Informaci�n Evaluaci�n adecuada de los mecanismos de informaci�n: La informaci�n interna y externa provee a la Direcci�n los reportes necesarios para el establecimiento de objetivos organizacionales Es proporcionada informaci�n a las personas adecuadas con suficiente detalle y oportunidad para cumplir con sus responsabilidades Los Sistemas de Informaci�n est�n basados en un �plan estrat�gico� (vinculados a la estrategia global de la organizaci�n) Apoyo de la direcci�n al desarrollo de los sistemas de informaci�n necesarios (aporte de los recursos adecuados, tanto humanos como financieros)

29. 4: Comunicaci�n Evaluaci�n adecuada de los mecanismos de comunicaci�n: La Comunicaci�n al personal, es eficaz en la descripci�n de sus funciones y responsabilidades con respecto al control Interno. El establecimiento de canales de comunicaci�n para la denuncia de posibles actos indebidos. La Alta Direcci�n es receptiva a sugerencias de los empleados. La comunicaci�n a trav�s de toda la empresa es efectiva. Seguimiento oportuno y adecuado de la direcci�n de la informaci�n obtenida de clientes, proveedores, organismos de control y otros terceros.

30. 5: Monitoreo y Supervisi�n EVALUACION DE LA SUPERVISI�N y MONITOREO Supervisi�n Continua: �En qu� medida obtiene el personal -al realizar sus actividades habituales- evidencia del buen funcionamiento del sistema de control interno? �En qu� medida las comunicaciones de 3ros. corroboran la informaci�n generada internamente o advierten problemas? Comparaciones peri�dicas de importes registrados contra los activos f�sicos. Receptividad ante las recomendaciones de auditores internos y externos. Grado de comprensi�n del personal sobre los c�digos de �tica y conducta (ver si se hacen encuestas peri�dicas). Eficacia de las actividades de Auditor�a Interna.

31. 5: Monitoreo y Supervisi�n (2) Evaluaci�n peri�dica puntual: Alcance y frecuencia El proceso de evaluaci�n �es el ideal? (si se hace bien) La metodolog�a para evaluar el sistema de controles internos �es l�gica y adecuada? Adecuaci�n de las muestras, son significativas y como est� la calidad de la documentaci�n examinada. La comunicaci�n de las deficiencias: Mecanismos para recoger y comunicar cualquier deficiencia detectada en el control interno. Los procedimientos de comunicaci�n son los ideales. Las acciones de seguimiento y mejora continua del sistema de Controles Internos son las correctas.

32. Preguntas de Ejecutivos que siguen sin respuestas �Cu�nta confianza puedo tener en que la informaci�n que recibo refleja completamente la posici�n frente al riesgo de la compa��a? �C�mo s� si mi capacidad de manejo de riesgos es efectiva? �Qu� puedo hacer para mejorar cuando encuentro un problema?

33. COSO Enterprise Risk Management (ERM) El ERM de COSO describe un Marco basado en Principios. Establece una definici�n de �administraci�n de riesgos corporativos� Provee los principios cr�ticos y componentes de un proceso de administraci�n de riesgos corporativos efectivo. Entrega pautas para las organizaciones sobre como mejorar su administraci�n de riesgos. Establece criterios para determinar si la administraci�n de riesgos es efectiva, y si no lo es que se necesita para que lo sea.

34. Definici�n de Administraci�n de Riesgo Corporativo �Qu� es Administraci�n de Riesgo Corporativo? Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, aplicado en el establecimiento de la estrategia y a lo largo de la 0rganizaci�n. �Para qu�? Es un proceso Dise�ado para identificar eventos potenciales que pueden afectar a la organizaci�n y para administrar riesgos de acuerdo a su apetito de riesgo, de modo de proveer seguridad razonable en cuanto al logro de los objetivos de la organizaci�n.

35. Conceptos claves Administraci�n del Riesgo en la Determinaci�n de la Estrategia Eventos y Riesgo Apetito de Riesgo Tolerancia al Riesgo Visi�n de Portafolio de Riesgos

36. Conceptos claves (2) Esta definici�n recoge los siguientes conceptos b�sicos de la gesti�n de riesgos corporativos: Es un proceso continuo que fluye por toda la entidad. Es realizado por su personal en todos los niveles de la organizaci�n. Se aplica en el establecimiento de la estrategia. Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva del riesgo a nivel conjunto de la entidad. Est� dise�ado para identificar acontecimientos potenciales que, de ocurrir, afectar�an a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado. Es capaz de proporcionar una seguridad razonable al consejo de administraci�n y a la direcci�n de una entidad. Est� orientada al logro de objetivos dentro de unas categor�as diferenciadas, aunque susceptibles de solaparse.

37. ERM de COSO Los objetivos de la entidad pueden ser vistos en el contexto de cuatro categor�as: Estrat�gicos Operacionales Informaci�n Cumplimiento ERM considera actividades en todos los niveles de la organizaci�n: Entidad Divisi�n Unidad de Negocio Subsidiaria

38. Administraci�n de Riesgos Corporativo Requiere que la entidad tenga una visi�n de Portafolio de Riesgos. Los 8 Componentes interrelacionados son: Ambiente Interno Establecimiento de Objetivos Identificaci�n de Eventos Evaluaci�n de Riesgos Respuesta al Riesgo Actividades de Control Informaci�n y Comunicaci�n Monitoreo

39. 1. Ambiente interno Es la base fundamental para los otros componentes del ERM, dando disciplina y estructura. Incide en: la concienciaci�n del personal respecto del riesgo y el control. el modo en que las estrategias y objetivos son establecidos, las actividades de negocio son estructuradas y los riesgos son identificados, evaluados y gerenciados.

40. 1. Ambiente interno (2) Los factores que se contemplan son: Filosof�a de la administraci�n de riesgos Apetito al riesgo Integridad y valores �ticos Visi�n del Directorio Compromiso de competencia profesional Estructura organizativa Asignaci�n de autoridad y responsabilidad Pol�ticas y pr�cticas de recursos humanos

41. 2. Establecimiento de objetivos Objetivos Seleccionados Condici�n previa para la identificaci�n de eventos, evaluaci�n de riesgos y respuesta al riesgo Objetivos estrat�gicos Consisten en metas de alto nivel que se alinean con y sustentan la misi�n/visi�n Reflejan las elecciones estrat�gicas de la Gerencia sobre c�mo la organizaci�n buscar� crear valor para sus grupos de inter�s

42. 2. Establecimiento de objetivos (2) Objetivos relacionados Deben estar alineados con la estrategia seleccionada y con el apetito de riesgo deseado. Se pueden categorizar de forma amplia en: operativos, confiabilidad de la informaci�n y cumplimiento. Cada nivel de objetivos se relaciona con objetivos m�s espec�ficos bajo un esquema de cascada. Tolerancia al Riesgo La tolerancia al riesgo es el nivel aceptable de desviaci�n en relaci�n con el logro de los objetivos Se alinea con el apetito de riesgo (directamente relacionado con la definici�n de la estrategia) Al establecer las tolerancias al riesgo, la Gerencia considera la importancia relativa de los objetivos relacionados

43. 3. Identificaci�n de eventos Eventos Se deben identificar eventos potenciales que afectan la implementaci�n de la estrategia o el logro de los objetivos, con impacto positivo, negativo o ambos, distinguiendo Riesgos y Oportunidades Los eventos con un impacto negativo representan riesgos, los cuales necesitan ser evaluados y administrados Los eventos con un impacto positivo representan oportunidades, las cuales son recanalizadas por la Gerencia al proceso de establecimiento de estrategia y objetivos Factores a Considerar Los eventos pueden provenir de factores internos y externos. La Gerencia debe reconocer la importancia de comprender dichos factores y el tipo de eventos que pueden estar asociados a los mismos.

44. 4. Evaluaci�n de Riesgos Permite a la entidad considerar el grado en el cual eventos potenciales podr�an impactar en el logro de los objetivos. La evaluaci�n de riesgos puede realizarse desde dos perspectivas: probabilidad de ocurrencia e impacto. Considera que la evaluaci�n se debe realizar tanto para riesgos inherentes como residuales. La metodolog�a de evaluaci�n de riesgos comprende una combinaci�n de t�cnicas cualitativas y cuantitativas

45. 5. Respuesta al Riesgo Una vez evaluado el riesgo, la Gerencia identifica y eval�a posibles respuestas al riesgo en relaci�n al apetito de riesgo de la entidad. Evaluando Posibles Respuestas. Las Respuestas son evaluadas con el objetivo de obtener un riesgo residual alineado con el nivel de tolerancia definido En la evaluaci�n de las respuestas al riesgo, la Gerencia considera varios aspectos

46. 5. Respuesta al Riesgo (2) Categor�as de respuesta al riesgo: Evitarlo: Se toman acciones de modo de discontinuar las actividades que generan riesgo. Reducirlo: Se toman acciones de modo de reducir el impacto, la probabilidad de ocurrencia del riesgo o ambos. Compartirlo: Se toman acciones de modo de reducir el impacto o la probabilidad de ocurrencia al transferir o compartir una porci�n del riesgo. Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.

47. 5. Respuesta al Riesgo (3) Visi�n de Portafolio de Riesgos ERM propone que el riesgo sea considerado desde una perspectiva de la entidad en su conjunto o de portafolio de riesgos. Permite desarrollar una visi�n de portafolio de riesgos tanto a nivel de unidades de negocio como a nivel de la entidad. Es necesario considerar como los riesgos individuales se interrelacionan. Permite determinar si el perfil de riesgo residual de la entidad esta acorde con su apetito de riesgo global.

48. Impacto vs. Probabilidad

49. 6. Actividades de Control Integraci�n con Respuesta al Riesgo Son las pol�ticas y procedimientos necesarios para asegurar que las respuestas al riesgo se llevan a cabo de manera adecuada y oportuna La selecci�n o revisi�n de las actividades de control comprende la consideraci�n de su relevancia y adecuaci�n a la respuesta al riesgo y al objetivo relacionado Se realizan a lo largo de toda la organizaci�n, a todos los niveles y en todas las funciones Tipos de Actividades de Control Preventivas, detectivescas, manuales, computarizadas y controles gerenciales

50. 7. Informaci�n y Comunicaci�n La informaci�n es necesaria en todos los niveles de la organizaci�n para identificar, evaluar y dar una respuesta al riesgo. Se debe identificar, capturar y comunicar la informaci�n pertinente en tiempo y forma que permita a los miembros de la organizaci�n cumplir con sus responsabilidades. La informaci�n relevante es obtenida de fuentes internas y externas La comunicaci�n se debe realizar en sentido amplio, y fluir por la organizaci�n en todos los sentidos (ascendente, descendente, paralelo). Asimismo, debe existir una comunicaci�n adecuada con partes externas a la organizaci�n como ser: clientes, proveedores, reguladores y accionistas.

51. 8. Monitoreo Implica monitorear que el proceso de Administraci�n de Riesgos mantiene su efectividad a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente a trav�s de: Actividades de monitoreo continuo, que se llevan a cabo durante el curso normal de las operaciones. Evaluaciones puntuales, realizadas por personal que no es el responsable directo de la ejecuci�n de las actividades. Su alcance y frecuencia de realizaci�n depende de los resultados de la evaluaci�n de riesgos y de la efectividad de las actividades de monitoreo continuo. Una combinaci�n de ambas formas

52. Vinculaci�n entre el ERM y Control interno del COSO ERM se elabora sobre la base de los conceptos de control interno establecidos en el Marco Integrado de Control Interno del COSO (MICI). ERM incorpora cuatro categor�as de objetivos, incluyendo los objetivos estrat�gicos. En el marco ERM, la categor�a de objetivos relativa a �Informaci�n� es m�s amplia que la de �Informaci�n Financiera� del MICI. ERM incluye ocho componentes. ERM incluye el establecimiento de objetivos como un componente separado. El MICI considera al establecimiento de objetivos como un prerrequisito para el control interno. El marco ERM separa el componente �evaluaci�n de riesgos� del MICI en tres componentes del ERM.

53. COSO: Referencias en Internet Organizaci�n: http://www.coso.org/ COSO Internal Control Framework Resources COSO Advisory Council considering Enterprise Risk Management Framework Resumen ejecutivo de COSO ERM (en espa�ol)

54. NUEVAS NORMATIVAS o Leyes BASILEA II, LEY SOX e ITIL

55. Basilea II Propone un m�todo del indicador b�sico sobre todo el riesgo operativo Se percibe como una oportunidad por cuanto va a suponer: Un impulso a la gesti�n avanzada de Riesgos. Convergencia entre capital econ�mico y capital regulatorio. Mayor estabilidad a medio plazo del Sistema Financiero Internacional.�� Lleva en consulta desde 1999 y el documento final se present� en Junio del 2004. Los elementos se han ordenado en tres pilares fundamentales:� � Las ponderaciones de riesgo asignadas a los diferentes tipos de activos de riesgo. Se incluye aqu�, los riesgos operacionales. Supervisi�n corriente por parte de las Superintendencias, y La disciplina del mercado a trav�s de m�s transparencia.

56. EFECTOS DE BASILEA II EN AM�RICA LATINA El beneficio global de la propuesta de Basilea II ser�a: Creaci�n de incentivos para mejorar los procedimientos de evaluaci�n de riesgos. Mejoras en el sistema de gobierno corporativo. Nuevos modelos internos de riesgo. Cambio cultural: Necesidad de concienciar a la direcci�n. La administraci�n de riesgos requerir� nuevas y sofisticadas herramientas de informaci�n, y Las necesidades de informaci�n requieren grandes inversiones en tecnolog�a. Es probable, que las instituciones financieras peque�as tengan que ser vendidas, fusionadas � adquiridas. Los posibles efectos adversos de la propuesta de Basilea II ser�a: Adopci�n del Acuerdo en los pa�ses industrializados puede tener efecto adverso en los sistemas financieros de los mercados emergentes. La falta de reconocimiento de la diversificaci�n internacional, como herramienta para el manejo del riesgo crediticio, podr�a reducir el volumen de pr�stamos a Am�rica Latina, y Posible p�rdida de competitividad de entidades financieras latinoamericanas versus subsidiarias de bancos internacionalmente activos.

57. Referencias sobre Basilea II G�mez Casta�eda, O.R.: "Basilea I y II" en Observatorio de la Econom�a Latinoamericana N� 56, febrero 2006. Texto completo en http://www.eumed.net/cursecon/ecolat/ve/ http://www.eclac.cl/cgi-bin/getProd.asp?xml=/revista/noticias/articuloCEPAL/5/19425/P19425.xml&xsl=/revista/tpl/p39f.xsl&base=/revista/tpl/top-bottom.xsl http://www.sbif.cl/sbifweb/servlet/Biblioteca?indice=6.1&idCategoria=1008

58. Ley SOX La Ley Sarbanes-Oxley (SOX) fue establecida en el a�o 2002 por el Congreso de los Estados Unidos de Am�rica, como respuesta al gran n�mero de esc�ndalos financieros y contables relacionados con algunas de las m�s importantes y prominentes compa��as en este pa�s: Enron, World Com, etc. Dichos esc�ndalos repercutieron negativamente sobre la confianza depositada, por parte de los accionistas y el Estado en los procesos contables y las pr�cticas de reporte financiero de las compa��as p�blicas. Es de hacer notar que esta ley, en principio, alcanz� �nicamente a a aquellas compa��as inscritas en el Security Exchange Comision (SEC) de EEUU.

59. Objeto principal La Ley Sarbanes�Oxley tiene por objeto principal la protecci�n del accionista mediante la prevenci�n del fraude financiero y el aseguramiento de que la informaci�n presentada en los mercados sea precisa, completa, fiable, comprensible y se presente en plazo. La Ley aument� las responsabilidades corporativas respecto de la emisi�n de informes financieros de compa��as p�blicas: Responsabilidad penal para Ejecutivos. Establece fuertes reformas en materia de gobiernos corporativos. Mayores restricciones a los auditores en materia de independencia.

60. Caracter�sticas Es una ley severa en materia reglamentaria para la exposici�n contable, las auditorias, los balances y para los directores de las empresas. Aunque incide sobre las empresas estadounidenses, las subsidiarias locales tambi�n deben ajustarse a la nueva normativa. Incluso, empresas no alcanzadas han aplicado ciertos criterios y procedimientos impl�citos en la ley buscando alcanzar m�ximos niveles de control. Esto es as� a pesar de que la aplicaci�n de la SOX acarrea altos costos para las empresas, ya que su implementaci�n en el largo plazo puede redundar en beneficios al intensificar la compa��a el nivel de control.

61. TI y Control Interno Las TI y el Control Interno constituyen un marco integral para el control y prevenci�n de fraudes financieros. El marco de control interno sugerido, para cumplir con los lineamientos establecidos por la Ley SOX, es el dise�ado por el Comit� of Sponsoring Organization of Treadway Comision (COSO). A comienzos de los a�os 90, el Comit� junto con la asesor�a de Pricewaterhouse Coopers, realiz� un estudio extensivo sobre controles internos, cuyo resultado fue el marco de control interno COSO.

62. Descripci�n La Ley SOX indica que la conservaci�n y disponibilidad de los documentos en formato digital no pueden ser modificados por un per�odo de 10 a�os, lo que implica tres puntos esenciales: almacenamiento, aplicaciones y pol�ticas y procedimientos. El primero de ellos debe considerar accesibilidad y capacidad de b�squeda para el manejo de datos, con opciones de cinta, disco �ptico y magn�tico para conservar la informaci�n. Las aplicaciones deben contar con especificaciones como protecci�n de documentos, clasificaci�n en l�nea y capacidad de auditor�as. En lo que respecta a procedimientos, se definen las opciones de c�mo los datos ser�n movidos y almacenados, adem�s de c�mo y cu�ndo est� autorizado el personal de TI para tener acceso y modificarlo y en qu� tiempo se pueden destruir.

63. Factores para su buen cumplmiento Para un buen cumplimiento de la ley se necesitan algunos factores como: estructura documentada del control interno; mayor transparencia en la eficacia de los controles; monitoreo electr�nico continuo de las acciones de mejoramiento; desarrollo de controles documentados coherentes que se puedan aprovechar en las m�ltiples unidades empresariales; y procesos acelerados y racionalizados. En otras palabras, las empresas se est�n dando cuenta de que las leyes reglamentarias simplemente significan utilizar buenas pr�cticas de seguridad.

64. COSO en apoyo de la Ley SOX

65. Conclusiones La seguridad no es la �nica parte de la plataforma de software que es necesaria para cumplir la ley. La "gesti�n de informaci�n y documentos" tiene que ser lo m�s transparente y pr�ctica posible, permitiendo adem�s b�squedas asertivas utilizando, por ejemplo, estructuras de datos en Extensible Markup Language (XML). Tambi�n debe ofrecer a los usuarios, operadores y administradores de los sistemas un proceso de alertas y consultas.

66. Conclusiones (2) La comunicaci�n y colaboraci�n entre empleados tambi�n debe gestionarse mediante un software de administraci�n que tenga acceso a las bases de datos, adem�s de la posibilidad de compartir proyectos, estados financieros y otro tipo de procesos propios de la empresa moderna. En definitiva, lo que la Ley busca no s�lo tiene relaci�n con la disponibilidad de la informaci�n del negocio a auditores externos y as� evitar cualquier tipo de fraude, sino que sea la misma empresa, gracias a sus procesos e infraestructura tecnol�gica, la que regule negligencias y problemas, mostr�ndose m�s transparente en una sistema econ�mico donde existen muchos elementos a�n para poder flanquear las regulaciones.

67. Referencias sobre Ley SOX Ley Sarbanes-Oxley Act (SOX, SOA) Federico Iturbide Los Fuertes Controles �ticos que Deber�n Asumir las Empresas Chilenas Ley Sarbanes-Oxley (Ley SOX) C�sar Pallavicini LEY SOX, EL NUEVO PANORAMA DEL CONTROL EMPRESARIAL �Sigue valiendo la pena estar listado en Nueva York? Mi�rcoles, 05 de Abril de 2006 Mundo de la Finanzas, Econom�a y NegociosCAROLINA SOZA J.

68. ITIL : Biblioteca de Infraestructura de Tecnolog�as de Informaci�n. Ocho libros contentivos de buenas practicas para la gesti�n de servicios de tecnolog�as de informaci�n Su objetivo es presentar una metodolog�a para gestionar de manera efectiva y eficiente el uso de los recursos de tecnolog�as de informaci�n (del gobierno brit�nico) Desarrollada por The British Office of Government Commerce (OGC) http://www.itil.co.uk/

69. �Qu� es ITIL? Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnolog�as de la Informaci�n (ITIL) se ha convertido en el est�ndar mundial de facto en la Gesti�n de Servicios Inform�ticos. Iniciando como una gu�a para el gobierno de UK, la estructura base ha demostrado ser �til para las organizaciones en todos los sectores a trav�s de su adopci�n por innumerables compa��as como base para consulta, educaci�n y soporte de herramientas de software. Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilizaci�n. http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_ITIL.php

70. �Qu� es ITIL? (2) ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez m�s de la Inform�tica para alcanzar sus objetivos corporativos. Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios inform�ticos de calidad que se correspondan con los objetivos del negocio, y que satisfaga los requisitos y las expectativas del cliente. A trav�s de los a�os, el �nfasis pas� de estar sobre el desarrollo de las aplicaciones TI a la gesti�n de servicios TI. La aplicaci�n TI (a veces nombrada como un sistema de informaci�n) s�lo contribuye a realizar los objetivos corporativos si el sistema est� a disposici�n de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones. http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_ITIL.php

71. �Qu� es ITIL? (3) A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtenci�n). De esta manera, los procesos eficaces y eficientes de la Gesti�n de Servicios TI se convierten en esenciales para el �xito de los departamentos de TI. Esto se aplica a cualquier tipo de organizaci�n, grande o peque�a, p�blica o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros. En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable. http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_ITIL.php

72. ITIL consta de ocho libros: Software Asset Management Service Support Service Delivery Planning to Implement Service Management ICT Infrastructure Management Application Management Security Management Book The Business Perspective

73. Enfoque basado en procesos Para gestionar servicios de tecnolog�as de informaci�n Define los objetivos, actividades, entradas y salidas de los procesos identificados en los servicios de tecnolog�as de la informaci�n Los procesos son estudiados desde tres puntos de vista o niveles: Estrat�gico T�ctico Operacional

74. Procesos definidos en ITIL relacionadoscon seguridad Incident Management Problem Management Configuration Management Change Management Release Management Availability Management IT Service Continuity Management Service Level Management Security Management

75. Gesti�n de Seguridad de la Informaci�n Proceso iterativo: Planeado Controlado Evaluado Mantenido Consta de siete pasos Identificar requerimientos de seguridad Determinaci�n de factibilidad de honrarlos Negociaci�n entre el cliente y la organizaci�n de servicios de TI. Establecimientos de SLAs Negociaci�n de OLAs a lo interno de la organizaci�n de servicios de TI. Implementaci�n y monitoreo de los SLAs y OLAs Generaci�n de reportes peri�dicos acerca de la efectividad y el estado de los servicios de seguridad ofrecidos Mantenimiento de los SLAs y OLAs

76. Modelo ITIL

77. Modelo ITIL (2)

78. Gesti�n de Seguridad de la Informaci�n (2) Establece la construcci�n de los documentos de seguridad: Pol�ticas de seguridad de la informaci�n Planes de seguridad de la informaci�n Manuales de seguridad de la informaci�n

79. ITIL: Referencias en Internet http://www.itil.co.uk http://www.itil.org http://www.itsmf.com http://www.pinkelephant.com

80. RFC 2196 �Site Security Handbook� RCF 2196:Gu�a para desarrollar pol�ticas y procedimientos de seguridad para sitios que tienen sistemas en red RFCs: Documentos de la Internet Engineering Task Force (IETF) conteniendo informaci�n sobre alg�n est�ndar propuesto Publicado en septiembre de 1997

81. Orientaci�n del RFC 2196 Desarrollar un plan de seguridad para un sitio: Identificar los elementos que deben protegerse (capital o activo) Identificar las amenazas: de qu� o de qui�n deben protegerse (Threats, factores de riesgo) Explorar las formas en las cuales pueden hacerse efectivas las amenazas. Implementar medidas de protecci�n adecuadas (deben justificarse de acuerdo a un estudio de beneficio-costo) Revisar el plan continuamente y realizar mejoras cada vez que una vulnerabilidad sea detectada

82. Definici�n de una pol�tica de seguridad Guiada por los riesgos Objetivos de una pol�tica de seguridad: Informar al mayor nivel de detalle a los usuarios, empleados y gerentes de las normas, procedimientos y mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la organizaci�n. Proporcionar los criterios para identificar, adquirir, configurar y auditar los sistemas de computaci�n y redes para que est�n en concordancia con la pol�tica de seguridad.

83. Componentes de una pol�tica deseguridad Una pol�tica de intimidad Una pol�tica de autenticaci�n Una pol�tica de acceso Una pol�tica de contabilidad Planes para satisfacer las expectativas de disponibilidad de los recursos del sistema Una pol�tica de mantenimiento para la red y los sistemas de la organizaci�n Directrices para identificar y adquirir tecnolog�a con rasgos de seguridad requeridos y/o deseables. Sanciones para quien infrinjan la pol�tica de seguridad Una pol�tica de reporte de incidentes y de divulgaci�n de informaci�n

84. Arquitectura de seguridad Una pol�tica de seguridad especifica las bases sobre las cuales se construir� la arquitectura de seguridad de la organizaci�n. Una arquitectura de seguridad es la forma como se organizan todos los elementos necesarios para satisfacer los objetivos de seguridad definidos en una organizaci�n.

85. Arquitectura de seguridad (2) Protecci�n a varios niveles y contra amenazas accidentales e intencionales: Protecci�n del recurso humano Ante amenazas f�sicas Protecci�n de la infraestructura f�sica Ante amenazas f�sicas Protecci�n de la de red Ante ataques pasivos y activos Protecci�n de los servicios Ante ataques internos a la organizaci�n Ante ataques externos a la organizaci�n

86. Servicios, procedimientos y mecanismos de seguridad Los servicios y procedimientos de seguridad implementan pol�ticas de seguridad. Los servicios y procedimientos de seguridad son implementados a trav�s de mecanismos y tecnolog�as que han sido desarrollados para prevenir, proteger y neutralizar amenazas de seguridad de un sistema

87. Manejo de incidentes de seguridad Un incidente de seguridad es un evento que involucra la violaci�n de la pol�tica de seguridad de la organizaci�n �C�mo identificar un incidente? Prestar atenci�n a �sintomas� que pueden estar asociados a incidentes de seguridad Estrellado del sistema (Crash system) Cuentas nuevas Archivos nuevos, modificados o eliminados Negaci�n de servicios Rendimiento irregular del sistema Uso del sistema fuera de los patrones o registros habituales L�neas que indican un patr�n de ataque en los registros del sistema Ayudarse con herramientas de detecci�n de anomalias (profilers, network monitoring tools, log analyzers, network intusion detection systems)

88. Manejo de incidentes � (2) Debe definirse un plan y una pol�tica de manejo de incidentes de seguridad (antes, durante, despu�s) Objetivos del plan: Averiguar c�mo ocurri� el incidente Averiguar c�mo evitar la generaci�n nuevamente del incidente Determinar el impacto y da�o del incidente (limitarlo) Recuperar el sistema del incidente (retomar el control) Actualizar la pol�tica de seguridad, sus procedimientos, servicios, mecanismos y tecnolog�as empleadas Averiguar qui�n provoc� el incidente y ejecutar las sanciones respectivas

89. Mantenimiento de la seguridad Ambiente de redes y sistemas basados en tecnolog�as de la informaci�n constantemente susceptibles a nuevas amenazas y/o vulnerabilidades. �C�mo estar al d�a con el proceso de seguridad?: Suscribirse a boletines de seguridad con las �ltimas noticias de amenazas http://www.cert.org http://www.alw.nih.gov/Security/security-advisories.html http://www.securityfocus.com Suscribirse a las listas de distribuci�n de correctivos (patches) de las compa��as o instituciones que proveen y mantienen el software y las tecnolog�as utilizadas en los sistemas e infraestructura de la organizaci�n ? Aplicar los correctivos de seguridad Monitorear las configuraciones de los sistemas para identificar cambios y averiguar su origen ? Vigilar y proteger el sistema contra conductas y configuraciones no acordes con los objetivos del plan de seguridad de la organizaci�n y con su pol�tica de seguridad ? Detectar cambios, revertirlos e investigarlos Actualizar la pol�tica de seguridad Ante cualquier incidente En ausencia de incidentes, por lo menos una vez al a�o Auditar regularmente la pol�tica de seguridad

90. RFC 2196: Referencias en Internet http://www.ietf.org/rfc/rfc2196.txt?number=2196 http://www.ietf.org/

91. Reflexiones y preguntas Suponiendo que su organizaci�n fuera atacada con �xito: Identifique cuales son las leyes chilenas violadas de acuerdo con los delitos cometidos. Eval�e el da�o total sufrido por su organizaci�n. �C�mo mostrar�a y proteger�a la evidencia del ataque? �Puede identificar la fuente del ataque?

92. Bibliograf�a �Gu�a Metodol�gica 2006 � Sistema de Gobierno Electr�nico. Programa de Mejoramiento de la Gesti�n� Gobierno de Chile (http://www.modernizacion.cl/ ) �Gobierno electr�nico en Chile 2000 � 2005� Estado del Arte II (http://www.modernizacion.cl/ ) �Tecnolog�a de la Informaci�n � C�digo de pr�ctica para la Seguridad de la Informaci�n� NCh2777.Of2003 (ISO/IEC 17799 : 2000) ''NORMA TECNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRONICO'� Decreto 83 Fecha de Publicaci�n: 12.01.2005; Fecha de Promulgaci�n: 03.06.2004

93. Bibliograf�a (2) �Planes para continuidad de negocio ante desastres. Algunos conceptos� (archivo Gesti�n BCM.ppt) �Diplomado en Peritaje Inform�tico�� Universidad de Santiago de Chile. �Mejores pr�cticas y est�ndares internacionales en gesti�n de riesgos y control interno� Gloria Pe�a y Lillo (archivo BCM (4742)COSO1.pdf) "Planes de Contingencia TIC y continuidad del negocio" Roberto Moya Quiles, Stefano Zanero �Enfoque Integral de BCM� Yves D�vila �Garantizan las empresas la Continuidad de su Negocio? GOBIERNO DE TI Y CONTINUIDAD DEL NEGOCIO Business continuity planning http://www.iso.org http://www.iec.org http://www.bsi-global.com

94. P�ginas complementarias National Institute for Standards (NIST) National Vulnerabilities Database Common Vulnerabilities and Exposures Business Continuity, Contingency Planning & Disaster Recovery The Business Continuity Planning & Disaster Recovery Planning Directory Business Continuity Planning: Ten Common Mistakes

95. P�ginas complementarias (2) Acuerdo Capital de Basilea II http://www.latinbanking.com/pdf/basilea_2.pdf Encuesta de los desafios para los jefes de gerencia en riesgo de instituciones financieras Graham-Leach-Bliley Act (GLBA) Sarbanes-Oxley(SOX).

96. Herramientas adicionales MAGERIT: Metodolog�a de an�lisis y gesti�n de riesgos de los sistemas de informaci�n de las Administraciones P�blicas. http://www.csi.map.es/csi/pg5m20.htm NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-12/ (disponible tambi�n una versi�n como libro digital) Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute. Control Objectives for Information and Related Technology (Cobit). http://www.isaca.org/cobit.htm

97. Textos Sandoval L�pez, Ricardo, �Seguridad en el comercio electr�nico�, Lexisnexis 2004. Kaeo, Merike, �Dise�o de seguridad en redes�, Pearson Educaci�n 2003. Maiwald, Eric, �Fundamentos de seguridad en redes�, McGraw-Hill Interamericana 2005. Parte II pp 93-186 Stallings,William �Fundamentos de Seguridad en Redes. Aplicaciones y Est�ndares�, Pearson 2004

98. Documentos en CriptoRed Jorge Rami� Aguirre �LIBRO ELECTR�NICO DE SEGURIDAD INFORM�TICA Y CRIPTOGRAF�A� Documento de libre distribuci�n en Internet a trav�s de CriptoRed, Marzo de 2006 (SegInfoCrip_v41.zip) Antonio Villal�n Huerta �SEGURIDAD DE LOS SISTEMAS DE INFORMACION� Julio, 2005 (seguridad_sist_inf.zip)

99. Libros digitales: Seguridad National Institute of Standards and Technology �An Introduction to Computer Security: The NIST Handbook�, Special Publication 800-12 ((ebook) computer security handbook.pdf) Simson Garfinkel & Eugene H. Spafford �Web Security & Commerce� ISBN: 1-56592-269-7 (O'Reilly - Web Security & Commerce.pdf) Mitch Tulloch��Microsoft Encyclopedia of Security� (eBook.MS.Press.-.Microsoft.Encyclopedia.of.Security.ShareReactor.pdf)