1. ACI – 425�SEGURIDAD INFORMÁTICA Unidad 2:
Gestión de la continuidad del negocio
2. Objetivos Conocer los estándares internacionales de gestión en la continuidad del negocio de manera de poder planear planes de contingencia frente a incidentes, y estimar la probabilidad que ocurran.
3. Contenidos Conceptos: continuidad, evento, incidente, siniestro, riesgo, impacto.
Planificación y planeación de contingencia.
Recuperación de desastres.
Business Continuity Management (BCM): definición, y relación con otros modelos de control interno.
Estándares internacionales.
NIST y DRI.
HB 221:2004 Business Continuity Management.
Tipos de planes.
4. ESTÁNDARES �Internacionales y Nacional NCh 2777, BS 7799 / ISO 17799, COBIT y COSO
5. Uso de estándares Algunos estándares son usados de manera mundial y otros estándares son usados de manera preferida por países, por ejemplo:
6. Los Valor para TI de Usar Procesos Basados en Estándares Los auditores usan herramientas basadas en estándares:
La parte auditada puede saber contra qué requisitos será comparado.
Se puede aspirar a certificaciones (por ejemplo BS 7799, BS 15000, ISO 9001, European Foundation for Quality Management (EFQM) y TickIT.
7. COBIT Objetivos de Control para la Información y las Tecnologías Relacionadas.
Misión: “Investigar, desarrollar, publicar y promover un conjunto de objetivos de control en tecnologías de la información con autoridad, actualizados, de carácter internacional y aceptados generalmente para el uso cotidiano de gerentes de empresas y auditores”.
34 objetivos de control de alto nivel y 318 objetivos de control detallados para garantizar un sistema adecuado de gobierno y control sobre las tecnologías de la información de una organización.
Desarrollado originalmente por la Fundación de Control y Auditoria de Sistemas de Información (ISACF) en 1996
Mantenida por el IT Governance Institute
http://www.isaca.org/Template.cfm?Section=COBIT6&Template=/TaggedPage/TaggedPageDisplay.cfm&TPLID=55&ContentID=7981
8. Características de la información en COBIT Debe satisfacer requerimientos :
De Calidad
Calidad
Costo
Entrega o Distribución
Fiduciarios
Efectividad y eficiencia de las operaciones
Confiabilidad de la información
Cumplimiento de las leyes y regulaciones
De Seguridad
Confidencialidad
Integridad
Disponibilidad
9. Recursos empleados por las TI�identificados en COBIT Para generar información, las TI emplean:
Datos
Sistemas de Aplicación
Tecnología
Instalaciones
Personal
10. ¿ Cómo garantizar los rasgos de la�información definidos en COBIT ? Aplicando medidas de control adecuadas sobre los recursos empleados para generar la información y/o conocimiento.
11. Dominios de responsabilidad en COBIT Los objetivos de control son aplicados en cuatro grandes áreas o dominios de responsabilidad
Cada dominio tiene definido una serie de procesos, actividades y tareas relacionadas con las tecnologías de la información
Planeación y organización (P&O)
Adquisición e implementación (A&I)
Entrega y soporte (D&S)
Monitoreo (M)
12. Procesos de TI en Planeación y organización (P&O) Definir un plan estratégico de sistemas
Definir la arquitectura de información
Determinar la dirección tecnológica
Definir la organización de TI y sus relaciones
Administrar las inversiones en TI
Comunicar los objetivos y aspiraciones de la gerencia
Administrar los recursos humanos
Asegurar el cumplimiento de requerimientos externos
Evaluar riesgos
Administrar proyectos
Administrar calidad
13. Procesos de TI en Adquisición e implementación (A&I) Identificar soluciones de automatización
Adquirir y mantener software de aplicación
Adquirir y mantener la arquitectura tecnológica
Desarrollar y mantener procedimientos
Instalar y acreditar sistemas de información
Administrar cambios
14. Procesos de TI en Entrega y soporte (D&S) Definir niveles de servicio
Administrar servicios de terceros
Administrar desempeño y capacidad
Asegurar continuidad de servicio
Garantizar la seguridad de sistemas
Identificar y asignar costos
Educar y capacitar a usuarios
Apoyar y orientar a clientes
Administrar la configuración
Administrar problemas e incidentes
Administrar la información
Administrar las instalaciones
Administrar la operación
15. Procesos de TI en Monitoreo Monitorear el proceso
Evaluar lo adecuado del control interno
Obtener aseguramiento independiente
Proporcionar auditoria independiente
16. Cobit VS ISO 17799 En CobiT se tienen cuatro dominios, los cuales tienen, a su vez, procesos.
Uno de ellos es el proceso DS4, de aseguramiento de la continuidad de las operaciones. Dentro de este proceso se tienen trece actividades que van desde la creación del marco de referencia para la continuidad de las operaciones y la definición de una estrategia y filosofía de continuidad hasta las indicaciones de contenido, implementación, prueba y distribución del mismo.
El enfoque de ISO 17799 es seguridad en los sistemas de información y el enfoque de CobiT es control de la información y de las tecnologías relacionadas, pero los dos tienen varias similitudes en el caso de continuidad de las operaciones.
Entre estas similitudes destaca la necesidad de realizar un análisis que nos ayude a entender cuáles son los procesos críticos para la operación del negocio y cuál debería ser la estrategia que la organización debería tomar en este sentido.
Esta estrategia deberá estar basada en los objetivos de la organización y en el nivel de riesgo que esté dispuesta a afrontar.
17. COBIT: Referencias en Internet http://www.isaca.org/cobit
http://www.itgi.org
18. COSO ¿Qué significa COSO?
C ommittee
O f
S ponsoring
O rganizations
(of the Treadway Commission)
En 1992, el Committee of Sponsoring Organizations of the Treadway Commission (COSO) desarrolló un modelo para evaluar controles internos.
Este modelo ha sido adoptado y es generalmente aceptado como marco de trabajo para control interno. Además, es ampliamente reconocido como el estándar definitivo con el cual pueden las organizaciones medir la efectividad de sus sistemas de control interno.
19. Objetivos del Informe COSO Establecer una definición común del CONTROL INTERNO: “Marco de Referencia”
Proporcionar el “marco” para que cualquier tipo de organización pueda evaluar sus SISTEMAS DE CONTROL y decidir cómo mejorarlos
Ayudar a la dirección de las Empresas a mejorar el CONTROL DE LAS ACTIVIDADES de sus organizaciones
20. Definición de Control Interno ¿Qué es Control Interno?
Es un proceso efectuado por la Dirección, la alta gerencia y el resto del personal
¿Para qué?
Para proporcionar un grado de seguridad razonable en cuanto a la consecución de objetivos
¿En qué niveles? (3 Objetivos del Control Interno)
Eficacia y Eficiencia en las Operaciones
Confiabilidad de la Información Financiera
Cumplimiento con las leyes y normas que sean aplicables
21. Eficacia y Eficiencia en las Operaciones EFICACIA: Capacidad de alcanzar las metas y/o resultados propuestos.
EFICIENCIA: Capacidad de producir el máximo de resultados con el mínimo de recursos, energía y tiempo. Se refiere básicamente a los objetivos empresariales:
Rendimiento y rentabilidad
Salvaguarda de los recursos
22. Confiabilidad de la Información Financiera Elaboración y publicación de Estados Financieros confiables, estados contables intermedios y toda otra información que deba ser publicada.
Abarca también la información de gestión de uso interno.
23. Cumplimiento con las leyes y normas que sean aplicables Cumplimiento con aquellas leyes y normas a las cuales está sujeta la organización.
De esta forma logra evitar:
Efectos perjudiciales para la reputación de la organización.
Contingencias.
Otros eventos de pérdidas y demás consecuencias negativas.
24. Los cinco Componentes del Control Interno Ambiente de control
Análisis de Riesgo
Actividades de Control
Información y Comunicaciones
Monitoreo y Supervisión
25. 1: Ambiente de control Un adecuado Ambiente de Control se verifica por medio de 7 aspectos:
Integridad y valores éticos
Compromiso de competencia profesional
Filosofía de dirección y el estilo de gestión
Estructura Organizacional
Asignación de autoridad y responsabilidad
Políticas y Prácticas de Recursos Humanos
Consejo de Administración / Comité de Auditoría
26. 2: Análisis de Riesgos Un adecuado Análisis de Riesgo se verifica por medio de 4 aspectos:
Objetivos Organizacionales Globales
Objetivos Asignados a cada Actividad
Identificación de Riesgos
Administración del Riesgo y Cambio
27. 3: Actividades de control COSO reconoce los siguientes tipos de Actividades de Control:
Análisis efectuados por la dirección
Administración directa de funciones por actividades
Proceso de información
Controles físicos contra los registros
Indicadores de rendimiento
Segregación de funciones
Políticas y procedimientos
28. 4: Información Evaluación adecuada de los mecanismos de información:
La información interna y externa provee a la Dirección los reportes necesarios para el establecimiento de objetivos organizacionales
Es proporcionada información a las personas adecuadas con suficiente detalle y oportunidad para cumplir con sus responsabilidades
Los Sistemas de Información están basados en un “plan estratégico” (vinculados a la estrategia global de la organización)
Apoyo de la dirección al desarrollo de los sistemas de información necesarios (aporte de los recursos adecuados, tanto humanos como financieros)
29. 4: Comunicación Evaluación adecuada de los mecanismos de comunicación:
La Comunicación al personal, es eficaz en la descripción de sus funciones y responsabilidades con respecto al control Interno.
El establecimiento de canales de comunicación para la denuncia de posibles actos indebidos.
La Alta Dirección es receptiva a sugerencias de los empleados.
La comunicación a través de toda la empresa es efectiva.
Seguimiento oportuno y adecuado de la dirección de la información obtenida de clientes, proveedores, organismos de control y otros terceros.
30. 5: Monitoreo y Supervisión EVALUACION DE LA SUPERVISIÓN y MONITOREO
Supervisión Continua:
¿En qué medida obtiene el personal -al realizar sus actividades habituales- evidencia del buen funcionamiento del sistema de control interno?
¿En qué medida las comunicaciones de 3ros. corroboran la información generada internamente o advierten problemas?
Comparaciones periódicas de importes registrados contra los activos físicos.
Receptividad ante las recomendaciones de auditores internos y externos.
Grado de comprensión del personal sobre los códigos de ética y conducta (ver si se hacen encuestas periódicas).
Eficacia de las actividades de Auditoría Interna.
31. 5: Monitoreo y Supervisión (2) Evaluación periódica puntual:
Alcance y frecuencia
El proceso de evaluación ¿es el ideal? (si se hace bien)
La metodología para evaluar el sistema de controles internos ¿es lógica y adecuada?
Adecuación de las muestras, son significativas y como está la calidad de la documentación examinada.
La comunicación de las deficiencias:
Mecanismos para recoger y comunicar cualquier deficiencia detectada en el control interno.
Los procedimientos de comunicación son los ideales.
Las acciones de seguimiento y mejora continua del sistema de Controles Internos son las correctas.
32. Preguntas de Ejecutivos que siguen sin respuestas ¿Cuánta confianza puedo tener en que la información que recibo refleja completamente la posición frente al riesgo de la compañía?
¿Cómo sé si mi capacidad de manejo de riesgos es efectiva?
¿Qué puedo hacer para mejorar cuando encuentro un problema?
33. COSO Enterprise Risk Management (ERM) El ERM de COSO describe un Marco basado en Principios.
Establece una definición de “administración de riesgos corporativos”
Provee los principios críticos y componentes de un proceso de administración de riesgos corporativos efectivo.
Entrega pautas para las organizaciones sobre como mejorar su administración de riesgos.
Establece criterios para determinar si la administración de riesgos es efectiva, y si no lo es que se necesita para que lo sea.
34. Definición de Administración de Riesgo Corporativo ¿Qué es Administración de Riesgo Corporativo?
Es un proceso efectuado por el Directorio, Gerencia y otros miembros del personal, aplicado en el establecimiento de la estrategia y a lo largo de la 0rganización.
¿Para qué?
Es un proceso Diseñado para identificar eventos potenciales que pueden afectar a la organización y para administrar riesgos de acuerdo a su apetito de riesgo, de modo de proveer seguridad razonable en cuanto al logro de los objetivos de la organización.
35. Conceptos claves Administración del Riesgo en la Determinación de la Estrategia
Eventos y Riesgo
Apetito de Riesgo
Tolerancia al Riesgo
Visión de Portafolio de Riesgos
36. Conceptos claves (2) Esta definición recoge los siguientes conceptos básicos de la gestión de riesgos corporativos:
Es un proceso continuo que fluye por toda la entidad.
Es realizado por su personal en todos los niveles de la organización.
Se aplica en el establecimiento de la estrategia.
Se aplica en toda la entidad, en cada nivel y unidad, e incluye adoptar una perspectiva del riesgo a nivel conjunto de la entidad.
Está diseñado para identificar acontecimientos potenciales que, de ocurrir, afectarían a la entidad y para gestionar los riesgos dentro del nivel de riesgo aceptado.
Es capaz de proporcionar una seguridad razonable al consejo de administración y a la dirección de una entidad.
Está orientada al logro de objetivos dentro de unas categorías diferenciadas, aunque susceptibles de solaparse.
37. ERM de COSO Los objetivos de la entidad pueden ser vistos en el contexto de cuatro categorías:
Estratégicos
Operacionales
Información
Cumplimiento
ERM considera actividades en todos los niveles de la organización:
Entidad
División
Unidad de Negocio
Subsidiaria
38. Administración de Riesgos Corporativo Requiere que la entidad tenga una visión de Portafolio de Riesgos.
Los 8 Componentes interrelacionados son:
Ambiente Interno
Establecimiento de Objetivos
Identificación de Eventos
Evaluación de Riesgos
Respuesta al Riesgo
Actividades de Control
Información y Comunicación
Monitoreo
39. 1. Ambiente interno Es la base fundamental para los otros componentes del ERM, dando disciplina y estructura.
Incide en:
la concienciación del personal respecto del riesgo y el control.
el modo en que las estrategias y objetivos son establecidos, las actividades de negocio son estructuradas y los riesgos son identificados, evaluados y gerenciados.
40. 1. Ambiente interno (2) Los factores que se contemplan son:
Filosofía de la administración de riesgos
Apetito al riesgo
Integridad y valores éticos
Visión del Directorio
Compromiso de competencia profesional
Estructura organizativa
Asignación de autoridad y responsabilidad
Políticas y prácticas de recursos humanos
41. 2. Establecimiento de objetivos Objetivos Seleccionados
Condición previa para la identificación de eventos, evaluación de riesgos y respuesta al riesgo
Objetivos estratégicos
Consisten en metas de alto nivel que se alinean con y sustentan la misión/visión
Reflejan las elecciones estratégicas de la Gerencia sobre cómo la organización buscará crear valor para sus grupos de interés
42. 2. Establecimiento de objetivos (2) Objetivos relacionados
Deben estar alineados con la estrategia seleccionada y con el apetito de riesgo deseado.
Se pueden categorizar de forma amplia en: operativos, confiabilidad de la información y cumplimiento.
Cada nivel de objetivos se relaciona con objetivos más específicos bajo un esquema de cascada.
Tolerancia al Riesgo
La tolerancia al riesgo es el nivel aceptable de desviación en relación con el logro de los objetivos
Se alinea con el apetito de riesgo (directamente relacionado con la definición de la estrategia)
Al establecer las tolerancias al riesgo, la Gerencia considera la importancia relativa de los objetivos relacionados
43. 3. Identificación de eventos Eventos
Se deben identificar eventos potenciales que afectan la implementación de la estrategia o el logro de los objetivos, con impacto positivo, negativo o ambos, distinguiendo Riesgos y Oportunidades
Los eventos con un impacto negativo representan riesgos, los cuales necesitan ser evaluados y administrados
Los eventos con un impacto positivo representan oportunidades, las cuales son recanalizadas por la Gerencia al proceso de establecimiento de estrategia y objetivos
Factores a Considerar
Los eventos pueden provenir de factores internos y externos.
La Gerencia debe reconocer la importancia de comprender dichos factores y el tipo de eventos que pueden estar asociados a los mismos.
44. 4. Evaluación de Riesgos Permite a la entidad considerar el grado en el cual eventos potenciales podrían impactar en el logro de los objetivos.
La evaluación de riesgos puede realizarse desde dos perspectivas: probabilidad de ocurrencia e impacto.
Considera que la evaluación se debe realizar tanto para riesgos inherentes como residuales.
La metodología de evaluación de riesgos comprende una combinación de técnicas cualitativas y cuantitativas
45. 5. Respuesta al Riesgo Una vez evaluado el riesgo, la Gerencia identifica y evalúa posibles respuestas al riesgo en relación al apetito de riesgo de la entidad.
Evaluando Posibles Respuestas.
Las Respuestas son evaluadas con el objetivo de obtener un riesgo residual alineado con el nivel de tolerancia definido
En la evaluación de las respuestas al riesgo, la Gerencia considera varios aspectos
46. 5. Respuesta al Riesgo (2) Categorías de respuesta al riesgo:
Evitarlo: Se toman acciones de modo de discontinuar las actividades que generan riesgo.
Reducirlo: Se toman acciones de modo de reducir el impacto, la probabilidad de ocurrencia del riesgo o ambos.
Compartirlo: Se toman acciones de modo de reducir el impacto o la probabilidad de ocurrencia al transferir o compartir una porción del riesgo.
Aceptarlo: No se toman acciones que afecten el impacto y probabilidad de ocurrencia del riesgo.
47. 5. Respuesta al Riesgo (3) Visión de Portafolio de Riesgos
ERM propone que el riesgo sea considerado desde una perspectiva de la entidad en su conjunto o de portafolio de riesgos.
Permite desarrollar una visión de portafolio de riesgos tanto a nivel de unidades de negocio como a nivel de la entidad.
Es necesario considerar como los riesgos individuales se interrelacionan.
Permite determinar si el perfil de riesgo residual de la entidad esta acorde con su apetito de riesgo global.
48. Impacto vs. Probabilidad
49. 6. Actividades de Control Integración con Respuesta al Riesgo
Son las políticas y procedimientos necesarios para asegurar que las respuestas al riesgo se llevan a cabo de manera adecuada y oportuna
La selección o revisión de las actividades de control comprende la consideración de su relevancia y adecuación a la respuesta al riesgo y al objetivo relacionado
Se realizan a lo largo de toda la organización, a todos los niveles y en todas las funciones
Tipos de Actividades de Control
Preventivas, detectivescas, manuales, computarizadas y controles gerenciales
50. 7. Información y Comunicación La información es necesaria en todos los niveles de la organización para identificar, evaluar y dar una respuesta al riesgo.
Se debe identificar, capturar y comunicar la información pertinente en tiempo y forma que permita a los miembros de la organización cumplir con sus responsabilidades.
La información relevante es obtenida de fuentes internas y externas
La comunicación se debe realizar en sentido amplio, y fluir por la organización en todos los sentidos (ascendente, descendente, paralelo).
Asimismo, debe existir una comunicación adecuada con partes externas a la organización como ser: clientes, proveedores, reguladores y accionistas.
51. 8. Monitoreo Implica monitorear que el proceso de Administración de Riesgos mantiene su efectividad a lo largo del tiempo y que todos los componentes del marco ERM funcionen adecuadamente a través de:
Actividades de monitoreo continuo, que se llevan a cabo durante el curso normal de las operaciones.
Evaluaciones puntuales, realizadas por personal que no es el responsable directo de la ejecución de las actividades. Su alcance y frecuencia de realización depende de los resultados de la evaluación de riesgos y de la efectividad de las actividades de monitoreo continuo.
Una combinación de ambas formas
52. Vinculación entre el ERM y Control interno del COSO ERM se elabora sobre la base de los conceptos de control interno establecidos en el Marco Integrado de Control Interno del COSO (MICI).
ERM incorpora cuatro categorías de objetivos, incluyendo los objetivos estratégicos.
En el marco ERM, la categoría de objetivos relativa a “Información” es más amplia que la de “Información Financiera” del MICI.
ERM incluye ocho componentes.
ERM incluye el establecimiento de objetivos como un componente separado. El MICI considera al establecimiento de objetivos como un prerrequisito para el control interno.
El marco ERM separa el componente “evaluación de riesgos” del MICI en tres componentes del ERM.
53. COSO: Referencias en Internet Organización: http://www.coso.org/
COSO Internal Control Framework Resources
COSO Advisory Council considering Enterprise Risk Management Framework
Resumen ejecutivo de COSO ERM (en español)
54. NUEVAS NORMATIVAS o Leyes BASILEA II, LEY SOX e ITIL
55. Basilea II Propone un método del indicador básico sobre todo el riesgo operativo
Se percibe como una oportunidad por cuanto va a suponer:
Un impulso a la gestión avanzada de Riesgos.
Convergencia entre capital económico y capital regulatorio.
Mayor estabilidad a medio plazo del Sistema Financiero Internacional.
Lleva en consulta desde 1999 y el documento final se presentó en Junio del 2004.
Los elementos se han ordenado en tres pilares fundamentales:
Las ponderaciones de riesgo asignadas a los diferentes tipos de activos de riesgo. Se incluye aquí, los riesgos operacionales.
Supervisión corriente por parte de las Superintendencias, y
La disciplina del mercado a través de más transparencia.
56. EFECTOS DE BASILEA II EN AMÉRICA LATINA El beneficio global de la propuesta de Basilea II sería:
Creación de incentivos para mejorar los procedimientos de evaluación de riesgos.
Mejoras en el sistema de gobierno corporativo. Nuevos modelos internos de riesgo.
Cambio cultural: Necesidad de concienciar a la dirección.
La administración de riesgos requerirá nuevas y sofisticadas herramientas de información, y
Las necesidades de información requieren grandes inversiones en tecnología. Es probable, que las instituciones financieras pequeñas tengan que ser vendidas, fusionadas ó adquiridas. Los posibles efectos adversos de la propuesta de Basilea II sería:
Adopción del Acuerdo en los países industrializados puede tener efecto adverso en los sistemas financieros de los mercados emergentes.
La falta de reconocimiento de la diversificación internacional, como herramienta para el manejo del riesgo crediticio, podría reducir el volumen de préstamos a América Latina, y
Posible pérdida de competitividad de entidades financieras latinoamericanas versus subsidiarias de bancos internacionalmente activos.
57. Referencias sobre Basilea II Gómez Castañeda, O.R.: "Basilea I y II" en Observatorio de la Economía Latinoamericana Nº 56, febrero 2006. Texto completo en http://www.eumed.net/cursecon/ecolat/ve/
http://www.eclac.cl/cgi-bin/getProd.asp?xml=/revista/noticias/articuloCEPAL/5/19425/P19425.xml&xsl=/revista/tpl/p39f.xsl&base=/revista/tpl/top-bottom.xsl
http://www.sbif.cl/sbifweb/servlet/Biblioteca?indice=6.1&idCategoria=1008
58. Ley SOX La Ley Sarbanes-Oxley (SOX) fue establecida en el año 2002 por el Congreso de los Estados Unidos de América, como respuesta al gran número de escándalos financieros y contables relacionados con algunas de las más importantes y prominentes compañías en este país: Enron, World Com, etc.
Dichos escándalos repercutieron negativamente sobre la confianza depositada, por parte de los accionistas y el Estado en los procesos contables y las prácticas de reporte financiero de las compañías públicas.
Es de hacer notar que esta ley, en principio, alcanzó únicamente a a aquellas compañías inscritas en el Security Exchange Comision (SEC) de EEUU.
59. Objeto principal La Ley Sarbanes–Oxley tiene por objeto principal la protección del accionista mediante la prevención del fraude financiero y el aseguramiento de que la información presentada en los mercados sea precisa, completa, fiable, comprensible y se presente en plazo.
La Ley aumentó las responsabilidades corporativas respecto de la emisión de informes financieros de compañías públicas:
Responsabilidad penal para Ejecutivos.
Establece fuertes reformas en materia de gobiernos corporativos.
Mayores restricciones a los auditores en materia de independencia.
60. Características Es una ley severa en materia reglamentaria para la exposición contable, las auditorias, los balances y para los directores de las empresas.
Aunque incide sobre las empresas estadounidenses, las subsidiarias locales también deben ajustarse a la nueva normativa.
Incluso, empresas no alcanzadas han aplicado ciertos criterios y procedimientos implícitos en la ley buscando alcanzar máximos niveles de control.
Esto es así a pesar de que la aplicación de la SOX acarrea altos costos para las empresas, ya que su implementación en el largo plazo puede redundar en beneficios al intensificar la compañía el nivel de control.
61. TI y Control Interno Las TI y el Control Interno constituyen un marco integral para el control y prevención de fraudes financieros.
El marco de control interno sugerido, para cumplir con los lineamientos establecidos por la Ley SOX, es el diseñado por el Comité of Sponsoring Organization of Treadway Comision (COSO).
A comienzos de los años 90, el Comité junto con la asesoría de Pricewaterhouse Coopers, realizó un estudio extensivo sobre controles internos, cuyo resultado fue el marco de control interno COSO.
62. Descripción La Ley SOX indica que la conservación y disponibilidad de los documentos en formato digital no pueden ser modificados por un período de 10 años, lo que implica tres puntos esenciales: almacenamiento, aplicaciones y políticas y procedimientos.
El primero de ellos debe considerar accesibilidad y capacidad de búsqueda para el manejo de datos, con opciones de cinta, disco óptico y magnético para conservar la información.
Las aplicaciones deben contar con especificaciones como protección de documentos, clasificación en línea y capacidad de auditorías.
En lo que respecta a procedimientos, se definen las opciones de cómo los datos serán movidos y almacenados, además de cómo y cuándo está autorizado el personal de TI para tener acceso y modificarlo y en qué tiempo se pueden destruir.
63. Factores para su buen cumplmiento Para un buen cumplimiento de la ley se necesitan algunos factores como:
estructura documentada del control interno;
mayor transparencia en la eficacia de los controles;
monitoreo electrónico continuo de las acciones de mejoramiento;
desarrollo de controles documentados coherentes que se puedan aprovechar en las múltiples unidades empresariales; y
procesos acelerados y racionalizados.
En otras palabras, las empresas se están dando cuenta de que las leyes reglamentarias simplemente significan utilizar buenas prácticas de seguridad.
64. COSO en apoyo de la Ley SOX
65. Conclusiones La seguridad no es la única parte de la plataforma de software que es necesaria para cumplir la ley.
La "gestión de información y documentos" tiene que ser lo más transparente y práctica posible, permitiendo además búsquedas asertivas utilizando, por ejemplo, estructuras de datos en Extensible Markup Language (XML).
También debe ofrecer a los usuarios, operadores y administradores de los sistemas un proceso de alertas y consultas.
66. Conclusiones (2) La comunicación y colaboración entre empleados también debe gestionarse mediante un software de administración que tenga acceso a las bases de datos, además de la posibilidad de compartir proyectos, estados financieros y otro tipo de procesos propios de la empresa moderna.
En definitiva, lo que la Ley busca no sólo tiene relación con la disponibilidad de la información del negocio a auditores externos y así evitar cualquier tipo de fraude, sino que sea la misma empresa, gracias a sus procesos e infraestructura tecnológica, la que regule negligencias y problemas, mostrándose más transparente en una sistema económico donde existen muchos elementos aún para poder flanquear las regulaciones.�
67. Referencias sobre Ley SOX Ley Sarbanes-Oxley Act (SOX, SOA) Federico Iturbide
Los Fuertes Controles Éticos que Deberán Asumir las Empresas Chilenas
Ley Sarbanes-Oxley (Ley SOX) César Pallavicini
LEY SOX, EL NUEVO PANORAMA DEL CONTROL EMPRESARIAL
¿Sigue valiendo la pena estar listado en Nueva York? Miércoles, 05 de Abril de 2006 �Mundo de la Finanzas, Economía y Negocios�CAROLINA SOZA J.
68. ITIL : Biblioteca de Infraestructura de Tecnologías de Información.
Ocho libros contentivos de buenas practicas para la gestión de servicios de tecnologías de información
Su objetivo es presentar una metodología para gestionar de manera efectiva y eficiente el uso de los recursos de tecnologías de información (del gobierno británico)
Desarrollada por The British Office of Government Commerce (OGC)
http://www.itil.co.uk/
69. ¿Qué es ITIL? Desarrollada a finales de 1980, la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) se ha convertido en el estándar mundial de facto en la Gestión de Servicios Informáticos.
Iniciando como una guía para el gobierno de UK, la estructura base ha demostrado ser útil para las organizaciones en todos los sectores a través de su adopción por innumerables compañías como base para consulta, educación y soporte de herramientas de software.
Hoy, ITIL es conocido y utilizado mundialmente. Pertenece a la OGC, pero es de libre utilización.
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_ITIL.php
70. ¿Qué es ITIL? (2) ITIL fue desarrollada al reconocer que las organizaciones dependen cada vez más de la Informática para alcanzar sus objetivos corporativos.
Esta dependencia en aumento ha dado como resultado una necesidad creciente de servicios informáticos de calidad que se correspondan con los objetivos del negocio, y que satisfaga los requisitos y las expectativas del cliente.
A través de los años, el énfasis pasó de estar sobre el desarrollo de las aplicaciones TI a la gestión de servicios TI.
La aplicación TI (a veces nombrada como un sistema de información) sólo contribuye a realizar los objetivos corporativos si el sistema está a disposición de los usuarios y, en caso de fallos o modificaciones necesarias, es soportado por los procesos de mantenimiento y operaciones.
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_ITIL.php
71. ¿Qué es ITIL? (3) A lo largo de todo el ciclo de los productos TI, la fase de operaciones alcanza cerca del 70-80% del total del tiempo y del coste, y el resto se invierte en el desarrollo del producto (u obtención).
De esta manera, los procesos eficaces y eficientes de la Gestión de Servicios TI se convierten en esenciales para el éxito de los departamentos de TI.
Esto se aplica a cualquier tipo de organización, grande o pequeña, pública o privada, con servicios TI centralizados o descentralizados, con servicios TI internos o suministrados por terceros.
En todos los casos, el servicio debe ser fiable, consistente, de alta calidad, y de coste aceptable.
http://itil.osiatis.es/Curso_ITIL/Gestion_Servicios_TI/fundamentos_de_la_gestion_TI/que_es_ITIL/que_es_ITIL.php
72. ITIL consta de ocho libros: Software Asset Management
Service Support
Service Delivery
Planning to Implement Service Management
ICT Infrastructure Management
Application Management
Security Management Book
The Business Perspective
73. Enfoque basado en procesos Para gestionar servicios de tecnologías de información
Define los objetivos, actividades, entradas y salidas de los procesos identificados en los servicios de tecnologías de la información
Los procesos son estudiados desde tres puntos de vista o niveles:
Estratégico
Táctico
Operacional
74. Procesos definidos en ITIL relacionados�con seguridad Incident Management
Problem Management
Configuration Management
Change Management
Release Management
Availability Management
IT Service Continuity Management
Service Level Management
Security Management
75. Gestión de Seguridad de la Información Proceso iterativo:
Planeado
Controlado
Evaluado
Mantenido
Consta de siete pasos
Identificar requerimientos de seguridad
Determinación de factibilidad de honrarlos
Negociación entre el cliente y la organización de servicios de TI. Establecimientos de SLAs
Negociación de OLAs a lo interno de la organización de servicios de TI.
Implementación y monitoreo de los SLAs y OLAs
Generación de reportes periódicos acerca de la efectividad y el estado de los servicios de seguridad ofrecidos
Mantenimiento de los SLAs y OLAs
76. Modelo ITIL
77. Modelo ITIL (2)
78. Gestión de Seguridad de la Información (2) Establece la construcción de los documentos de seguridad:
Políticas de seguridad de la información
Planes de seguridad de la información
Manuales de seguridad de la información
79. ITIL: Referencias en Internet http://www.itil.co.uk
http://www.itil.org
http://www.itsmf.com
http://www.pinkelephant.com
80. RFC 2196 �“Site Security Handbook” RCF 2196:Guía para desarrollar políticas y procedimientos de seguridad para sitios que tienen sistemas en red
RFCs: Documentos de la Internet Engineering Task Force (IETF) conteniendo información sobre algún estándar propuesto
Publicado en septiembre de 1997
81. Orientación del RFC 2196 Desarrollar un plan de seguridad para un sitio:
Identificar los elementos que deben protegerse (capital o activo)
Identificar las amenazas: de qué o de quién deben protegerse (Threats, factores de riesgo)
Explorar las formas en las cuales pueden hacerse efectivas las amenazas.
Implementar medidas de protección adecuadas (deben justificarse de acuerdo a un estudio de beneficio-costo)
Revisar el plan continuamente y realizar mejoras cada vez que una vulnerabilidad sea detectada
82. Definición de una política de seguridad Guiada por los riesgos
Objetivos de una política de seguridad:
Informar al mayor nivel de detalle a los usuarios, empleados y gerentes de las normas, procedimientos y mecanismos que deben cumplir y utilizar para proteger los componentes de los sistemas de la organización.
Proporcionar los criterios para identificar, adquirir, configurar y auditar los sistemas de computación y redes para que estén en concordancia con la política de seguridad.
83. Componentes de una política de�seguridad Una política de intimidad
Una política de autenticación
Una política de acceso
Una política de contabilidad
Planes para satisfacer las expectativas de disponibilidad de los recursos del sistema
Una política de mantenimiento para la red y los sistemas de la organización
Directrices para identificar y adquirir tecnología con rasgos de seguridad requeridos y/o deseables.
Sanciones para quien infrinjan la política de seguridad
Una política de reporte de incidentes y de divulgación de información
84. Arquitectura de seguridad Una política de seguridad especifica las bases sobre las cuales se construirá la arquitectura de seguridad de la organización.
Una arquitectura de seguridad es la forma como se organizan todos los elementos necesarios para satisfacer los objetivos de seguridad definidos en una organización.
85. Arquitectura de seguridad (2) Protección a varios niveles y contra amenazas accidentales e intencionales:
Protección del recurso humano
Ante amenazas físicas
Protección de la infraestructura física
Ante amenazas físicas
Protección de la de red
Ante ataques pasivos y activos
Protección de los servicios
Ante ataques internos a la organización
Ante ataques externos a la organización
86. Servicios, procedimientos y mecanismos de seguridad Los servicios y procedimientos de seguridad implementan políticas de seguridad.
Los servicios y procedimientos de seguridad son implementados a través de mecanismos y tecnologías que han sido desarrollados para prevenir, proteger y neutralizar amenazas de seguridad de un sistema
87. Manejo de incidentes de seguridad Un incidente de seguridad es un evento que involucra la violación de la política de seguridad de la organización
¿Cómo identificar un incidente?
Prestar atención a “sintomas” que pueden estar asociados a incidentes de seguridad
Estrellado del sistema (Crash system)
Cuentas nuevas
Archivos nuevos, modificados o eliminados
Negación de servicios
Rendimiento irregular del sistema
Uso del sistema fuera de los patrones o registros habituales
Líneas que indican un patrón de ataque en los registros del sistema
Ayudarse con herramientas de detección de anomalias (profilers, network monitoring tools, log analyzers, network intusion detection systems)
88. Manejo de incidentes … (2) Debe definirse un plan y una política de manejo de incidentes de seguridad (antes, durante, después)
Objetivos del plan:
Averiguar cómo ocurrió el incidente
Averiguar cómo evitar la generación nuevamente del incidente
Determinar el impacto y daño del incidente (limitarlo)
Recuperar el sistema del incidente (retomar el control)
Actualizar la política de seguridad, sus procedimientos, servicios, mecanismos y tecnologías empleadas
Averiguar quién provocó el incidente y ejecutar las sanciones respectivas
89. Mantenimiento de la seguridad Ambiente de redes y sistemas basados en tecnologías de la información constantemente susceptibles a nuevas amenazas y/o vulnerabilidades.
¿Cómo estar al día con el proceso de seguridad?:
Suscribirse a boletines de seguridad con las últimas noticias de amenazas
http://www.cert.org
http://www.alw.nih.gov/Security/security-advisories.html
http://www.securityfocus.com
Suscribirse a las listas de distribución de correctivos (patches) de las compañías o instituciones que proveen y mantienen el software y las tecnologías utilizadas en los sistemas e infraestructura de la organización
? Aplicar los correctivos de seguridad
Monitorear las configuraciones de los sistemas para identificar cambios y averiguar su origen
? Vigilar y proteger el sistema contra conductas y configuraciones no acordes con los objetivos del plan de seguridad de la organización y con su política de seguridad
? Detectar cambios, revertirlos e investigarlos
Actualizar la política de seguridad
Ante cualquier incidente
En ausencia de incidentes, por lo menos una vez al año
Auditar regularmente la política de seguridad
90. RFC 2196: Referencias en Internet http://www.ietf.org/rfc/rfc2196.txt?number=2196
http://www.ietf.org/
91. Reflexiones y preguntas Suponiendo que su organización fuera atacada con éxito: Identifique cuales son las leyes chilenas violadas de acuerdo con los delitos cometidos. Evalúe el daño total sufrido por su organización.
¿Cómo mostraría y protegería la evidencia del ataque?
¿Puede identificar la fuente del ataque?
92. Bibliografía “Guía Metodológica 2006 – Sistema de Gobierno Electrónico. Programa de Mejoramiento de la Gestión” Gobierno de Chile (http://www.modernizacion.cl/ )
“Gobierno electrónico en Chile 2000 – 2005” Estado del Arte II (http://www.modernizacion.cl/ )
“Tecnología de la Información – Código de práctica para la Seguridad de la Información” NCh2777.Of2003 (ISO/IEC 17799 : 2000)
''NORMA TECNICA SOBRE SEGURIDAD Y CONFIDENCIALIDAD DEL DOCUMENTO ELECTRONICO'‘ Decreto 83 Fecha de Publicación: 12.01.2005; Fecha de Promulgación: 03.06.2004
93. Bibliografía (2) “Planes para continuidad de negocio ante desastres. Algunos conceptos” (archivo Gestión BCM.ppt) “Diplomado en Peritaje Informático”– Universidad de Santiago de Chile.
“Mejores prácticas y estándares internacionales en gestión de riesgos y control interno” Gloria Peña y Lillo (archivo BCM (4742)COSO1.pdf)
"Planes de Contingencia TIC y continuidad del negocio" Roberto Moya Quiles, Stefano Zanero
“Enfoque Integral de BCM” Yves Dávila
¿Garantizan las empresas la Continuidad de su Negocio?
GOBIERNO DE TI Y CONTINUIDAD DEL NEGOCIO
Business continuity planning
http://www.iso.org
http://www.iec.org
http://www.bsi-global.com
94. Páginas complementarias National Institute for Standards (NIST) National Vulnerabilities Database
Common Vulnerabilities and Exposures
Business Continuity, Contingency Planning & Disaster Recovery
The Business Continuity Planning & Disaster Recovery Planning Directory
Business Continuity Planning: Ten Common Mistakes
95. Páginas complementarias (2) Acuerdo Capital de Basilea II
http://www.latinbanking.com/pdf/basilea_2.pdf
Encuesta de los desafios para los jefes de gerencia en riesgo de instituciones financieras
Graham-Leach-Bliley Act (GLBA)
Sarbanes-Oxley(SOX).
96. Herramientas adicionales MAGERIT: Metodología de análisis y gestión de riesgos de los sistemas de información de las Administraciones Públicas. http://www.csi.map.es/csi/pg5m20.htm
NIST Special Publication SP 800-12: An Introduction to Computer Security.The NIST Handbook. National Institute of Standards and Technology. http://csrc.nist.gov/publications/nistpubs/800-12/ (disponible también una versión como libro digital)
Information Security Governance: Guidance for Boards of Directors and Executive Management. IT Governance Institute.
Control Objectives for Information and Related Technology (Cobit). http://www.isaca.org/cobit.htm
97. Textos Sandoval López, Ricardo, “Seguridad en el comercio electrónico”, Lexisnexis 2004.
Kaeo, Merike, “Diseño de seguridad en redes”, Pearson Educación 2003.
Maiwald, Eric, “Fundamentos de seguridad en redes”, McGraw-Hill Interamericana 2005. Parte II pp 93-186
Stallings,William “Fundamentos de Seguridad en Redes. Aplicaciones y Estándares”, Pearson 2004
98. Documentos en CriptoRed Jorge Ramió Aguirre “LIBRO ELECTRÓNICO DE SEGURIDAD INFORMÁTICA Y CRIPTOGRAFÍA” Documento de libre distribución en Internet a través de CriptoRed, Marzo de 2006 (SegInfoCrip_v41.zip)
Antonio Villalón Huerta “SEGURIDAD DE LOS SISTEMAS DE INFORMACION” Julio, 2005 (seguridad_sist_inf.zip)
99. Libros digitales: Seguridad National Institute of Standards and Technology “An Introduction to Computer Security: The NIST Handbook”, Special Publication 800-12 ((ebook) computer security handbook.pdf)
Simson Garfinkel & Eugene H. Spafford “Web Security & Commerce” ISBN: 1-56592-269-7 (O'Reilly - Web Security & Commerce.pdf)
Mitch Tulloch ”Microsoft Encyclopedia of Security” (eBook.MS.Press.-.Microsoft.Encyclopedia.of.Security.ShareReactor.pdf)
