Memorias Foro Matriz de Riesgos y Seguridad de Informacion y Plan Continuadad de Negocio PDF

Bienvenidos!!
FORO 2017
“Matriz de Riesgos, Seguridad de la
Información y Plan Continuidad de
Negocio”
Ing.LeonardoGarcesM.
OEA
OPERADOR ECONOMICO AUTORIZADO
“Matriz de Riesgos,
Seguridad de la
Información y Plan
Continuidad de Negocio”
FACILITADOR: ING.LEONARDO GARCES MARIÑO
Presentación…
Este FORO ha sido diseñado con el animo de poder
apoyar, gestionar y comprender, cuales pueden ser
las mejores Buenas Practicas de Seguridad en la
Cadena de Suministros para los actuales y futuros
Operadores Económicos Autorizados; que son las
empresas que pertenecen a las cadenas de comercio
internacional.
Contexto del Foro…
1. Evaluando Riesgos en la Cadena de suministros: Conocer cómo
detectar y evaluar los riesgos a los que está expuesta su mercancía
teniendo cuenta la GUIA ISO 31000:2009 Gestión del Riesgo.
1. Matriz de Riesgos herramienta para la Gestión: Identificar cómo

elaborar correctamente una matriz de riesgos de su cadena de
suministro y use apropiadamente esta valiosa herramienta.
1. Fortaleciendo el control de los Documentos en las

operaciones: Conocer los procedimientos para asegurar la
información en su empresa siguiendo la regulación ISO 27001:2007
1. Proyectando el BCP: Estructurar como realizar su Plan de

Continuidad de Negocio siguiendo la regulación ISO 22301:2012.
Contexto del temario
Adoptar
Buenas
Análisis Practicas
Asegurar la
de información de
Contexto seguridad
OEA
Plan de
Matriz de Continuidad
riesgos de negocio
BCP
1. Evaluando Riesgos en la Cadena de
Suministros…
¿En que negocio estoy?
Importador-Exportador-Transportador-Agente de
Carga-Agente de Aduanas-Generador de Carga
Cual es mi cadena de suministros
La cadena de suministros es Cadena de Suministros
considerada la unión de todas las
actividades (eslabones)
desarrolladas en una actividad de
negocio o en Core de negocio, las
cuales conforman etapas, partes
interesadas, documentos,
controles, procesos y
procedimientos.
Pensamiento Basado en riesgos
¿Ser paranoicos?
Pensar como delincuentes….en nuestra
Cadena de suministros
Que es un riesgo…
Análisis y contexto de la evaluación de riesgos..
VULNERABILIDAD
AMENAZA CONSECUENCIA
RIESGO
Safari
Amenazas a las que pueden estar expuestas las
mercancías..
 Narcotráfico  Corrupción
 Robo  Error Humano
 Contrabandistas  Delincuente informático
 Lavadores de dinero  Normatividad legal
 Terrorismo  Negligencia Empleados
 Financiación terrorismo  La tecnología
 Contaminación  Piratería terrestre
 Saqueo  Entorno Social
 Delincuencia Común  Cultura personas
 Economía  Política
Buenas Practicas y lecciones aprendidas
① Para detectar amenazas es importante realizar un buen analisis de contexto
del core de negocio.
② Para evaluar los riesgos, es necesario conocer cuales son las amenazas que
pueden afectar mi core de negocio.
③ Cuando conozco mis amenazas o fuentes de riesgos; puedo proyectar a que
tipo de riesgos estoy expuesto.
④ Es necesario realizar un analisis de las vulnerabilidades que la organización y
la cadena de suministros tiene, y afrontarlas para enfrentarlas.
⑤ La organización debe cuantificar y cualificar las consecuencias de la
materialización de los riesgos.
⑥ Debe existir un programa de capacitación para poder indetificar y detectar los
riesgos por los actores que participan en la cadena de suministros.
2. Matriz de
Riesgos
Herramienta para
la Gestión
Ing.LeonardoGarcesM. Ing.LeonardoGarcesM.
Manufacturero
Exportador
Agencias de Aduanas Transporte Local Patio de Contenedores

Agencia de Carga
Operador Logístico
Autoridades
Escolta Operador Portuario
Monitoreo Agente Marítimo
Naviera
Transporte Local Puerto de Salida
Autoridades
Agentes
Operadores
Naviera
Puerto de Llegada Buque / Motonave
Ing.LeonardoGarcesM. Transporte Local Importador / Cliente

Gestión del Riesgo
La organización cuando realiza la

implementación de la
herramienta para el análisis y
gestión de riesgos debe tener en
cuenta las directrices principales
para que esta gestión sea
eficiente. La buena gestión de los
riesgos lleva a la organización a
la mejora continua de sus
operaciones.
Herramienta: Matriz de Gestión de Riesgos…
Plan de
Actividad Parte Vulnerabili Consecuen
Proceso Amenaza Riesgo Control Contingen
C/S interesada dad cia
cia
Avisar aut.
Proceso No se Perdida Estudios de
Cliente- Capacitació
Vinculación Comercial- Lavador de Lavado de Realiza Económica- seguridad-
Gerente n.
de clientes Proceso activos activos F/T visita al Perdida de Conocimien
Comercial Reporte
Financiero cliente reputación to Cliente
ACPM
Perdidas Reporte
Generador Proceso de Narcotrafica Inspección
Transporte Narcotráfico VH No economicas autoridades
de carga- logística- nte- de VH-
de -Robo Precintado- - Capacitació
Transportad Proceso de Delincuenci Control
mercancías Mcias No satelital Contaminac n
or seguridad a Común Trafico
ion ACPM
Criterios de Evaluación de Riesgos
CRITERIOS PARA CALIFICACIÓN EN LA EVALUACIÓN DE RIESGOS
La posibilidad de ocurrencia de la amenaza; esta puede ser medida con criterios de

FUENTE DE RIESGO
frecuencia, teniendo en cuenta la presencia de factores internos y externos que pueden
(PELIGRO/AMENAZA) propiciar el riesgo, aunque éste no se haya materializado
Amenaza sin capacidad y/o sin intención. No se han presentado eventos relacionados con esta
1 BAJA fuente de riesgo.
Amenaza con capacidad y se ha presentado eventos en instalaciones vecinas o de similares

2 MEDIA características atribuibles a esta fuente de riesgo.
Amenaza con la capacidad y la intensión. Se han presentado eventos en la empresa atribuibles a

3 ALTA esta fuente de riesgo.
Análisis de la Amenaza
Determinamos y
calificamos el tipo de
amenaza de acuerdo al Plan de
Proceso Amenaza Riesgo análisis de contexto Control Contingen
cia
Avisar aut.
Gerente n.
Comercial Reporte
ACPM
Perdidas Reporte
ion ACPM
Debilidades de los procesos, de los procedimientos, del personal, de las instalaciones, del
VULNERABILIDAD sistema de seguridad, etc.
Los controles de seguridad establecidos y aplicados en la empresa son totalmente eficaces para evitar la
1 BAJA materialización del riesgo
Los controles de seguridad establecidos y aplicados son satisfactorios para evitar la materialización del
2 MEDIO BAJA riesgo
3 MEDIA Los controles de seguridad establecidos y aplicados son mínimos para evitar la materialización del riesgo
No se han establecido y aplican controles de seguridad para evitar la materialización del riesgo. Existen
4 ALTA controles de seguridad establecidos y aplicados pero son ineficaces.
Análisis de la Vulnerabilidad
Evaluamos que tan
vulnerables somos frente
Plan de
Actividad al riesgo
Parte inicialmente Vulnerabili Consecuen
Proceso Amenaza Riesgo Control Contingen
determinado cia
Avisar aut.
Gerente n.
Comercial Reporte
ACPM
Perdidas Reporte
ion ACPM
CONSECUENCIA Consecuencias que puede ocasionar a la organización la materialización del riesgo. Pueden
(IMPACTO / DAÑO) ser sociales, legales, económicas, físicas, operativa, etc.
Las consecuencias son mínimas o casi nulas. Las consecuencias puede ser asumidas por la
1 INSIGNIFICANTE organización sin ningún problema.
Con consecuencias para los bienes, la infraestructura, los documentos, la información, etc. (Afecta
2 MENOR solamente un área de la organización).
Con consecuencias para gran parte de la empresa. Impacto legal medio. (Afecta los procesos y
3 MODERADO las actividades )
Con consecuencias altas para la seguridad de la empresa y/o su imagen. Impacto económico
4 MAYOR grave. Alto impacto legal. (Probabilidad de grandes daños a las instalaciones, probabilidad de
daño a las personas)
Con consecuencias para las personas, bienes e instalaciones la empresa. Afectación al negocio,
5 CATASTRÓFICO gran pérdida de valores de difícil recuperación, daño a las instalaciones, afectación a la imagen y
reputación organizacional)
Análisis de la Consecuencia
Determinamos las Plan de

C/S
consecuencias,
interesada
Proceso de Amenaza
la Riesgo
dad cia
Control Contingen
cia
posible materialización
de un riesgo
Avisar aut.
Gerente n.
Comercial Reporte
ACPM
Perdidas Reporte
ion ACPM
Nivel de riesgos
Posibilidad de ocurrencia del riesgo que entorpecer el normal desarrollo de las
funciones de la empresa y le impidan el logro de sus objetivos.
NIVEL DE RIESGO
Nivel de Riesgo (NR) es igual a la Amenaza (A) por la Vulnerabilidad (V) por el
Impacto (I).
Mantener el monitoreo sobre los controles establecidos para evitar la materialización del
0-6 ACEPTABLE riesgo. Tomar acciones correctivas para los riesgos materializados.
7 - 14 TOLERABLE Tomar acciones e implementar medidas de control para reducir el riesgo residual.
Implementar programas y medidas de seguridad, protección de activos y prevención de

15 - 29 MODERADO pérdidas. Tomar acciones para reducir el riesgo residual. Requiere la atención por parte
de los lideres de procesos.
Requiere atención por parte de las directivas. Tomar las acciones requeridas para
30 - 39 IMPORTANTE reducir el riesgo residual. De aplicar se recomienda compartir los riesgos con la
adquisición de pólizas de seguros.
Requiere implementar medidas urgentes. Diseñar e implementar un Plan de continuidad

40 - 60 INACEPTABLE del negocio puntual reducir el riesgo residual. De aplicar, eliminar la fuente/actividad que
genera el riesgo.
① La buena evaluación de las actividades a traves de la matriz de gestión de
riesgos depende del buen levantamiento de la cadena de suministros.
② La matriz de riesgos debe ayudarme a describir actividades, partes
interesadas, procesos, amenazas, riesgos, vulnerabilidades, consecuencias,
controles y planes de contingencia.
③ Establecer un criterio de calificación de riesgos, implementando la ISO31000,
o cualquier herramienta que me permita analizar la cadena de suministros.
④ La fuente de riesgo (amenaza), vulnerabilidad y consecuencia, determina mi
nivel de riesgo.
⑤ Los controles y planes de emergencia deben ser estructurados de acuerdo al
analisis de riesgos.
3. Fortaleciendo el Control
de los documentos en las
operaciones
Una vista al Sistema de Gestión de Seguridad de la
Información..
• Medios Digitales
Algunos Datos: Seguridad
•
•
Medios electrónicos
Intranet
En 2106 594 Mill Pax fueron impactadas Informática • Servidores
por el cibercrimen; de ellas 27% eran
empresas.
La seguridad de la información puede
apoyar en temas del Habeas Data 1581-. • Archivo físico
SGSI ISO 27001:2013. • Listado
Seguridad • Contratos
Las operaciones de Comerciales y de • Acuerdos facturas
comercio deben tener políticas de Información • Documentos Op
protección documental y confidencialidad • Hojas de Vida
de la información.
Claves y ciclo de vida de la información…
La información en la organización
hace parte de uno de los activos
mas importantes, las medidas
deben ser abiertas y
estudiadas…
La seguridad de la información establece factores
como:
Controles de seguridad de información y documentos..
Anexo A
SGSI
① La organización debe establecer, comunicar y capacitar una politica y
procedimientos de seguridad de la información.
② Se deben establecer los niveles de acceso a la información de acuerdo a la
criticidad de todos y cada uno de los usuarios o cargos de la organización.
③ Al implementar un SGSI, la organización debe asumir que sus niveles de
seguridad elevaran la transferencia de información.
④ Las restricciones y controles que desde el software, servidores, ERP, que
establezcan, ayudan a fortalecer el primer anillo de seguridad de la
información.
⑤ Es importante que la organización estructure los niveles de gestión
documental, es decir cuales y como son los documentos a proteger.
⑥ La cultura de la seguridad es el anillo más fuerte frente a la seguridad de la
información.
4. Proyectando
el plan de
continuidad de
negocio (BCP)
Plan de Continuidad de negocio
Definición Continuidad de
negocio: capacidad estratégica y
táctica de la organización de
planificar y responder ante
incidentes e interrupciones de
negocio para continuar las
operaciones en un nivel
aceptable definido.
CICLO DE VIDA DEL PLAN DE CONTINUIDAD DE
NEGOCIO
IDENTIFICAR
ANALISIS DE ANALIZAR
RIESGOS
ANALISIS DE DISEÑAR
IMPACTO DEL
NEGOCIO SELECCIÓN DE EJECUTAR
LA ESTRATEGIA
EJECUCION Y EVALUAR
DESARROLLO
DEL PLAN PLAN DE
EVALUACION Y
MANTENIMIENTO
Gestión de Continuidad de
Negocio
Análisis de
impacto del
negocio
Entendimiento
Selección de
de la
estrategias
organización
Gestión
continuidad
de Negocio
Pruebas,
mantenimiento Desarrollo de
y revisión del planes
plan
① Un plan de continuidad de negocio debe establecer un buen analisis
de riesgos en la organización.
② Los planes de continuidad de negocio establecen los planes de
contingencia y emergencia en una organización, para sus operaciones.
③ Los planes de continuidad de negocio deben ayudar a la organización
a poder probar los controles y sistemas en caso de la materialización
de un riesgo.
④ La continuidad de negocio ayuda a identificar los riesgos, Analizar los
impactos, Diseñar las estrategias, Ejecutar los planes de contingencia
y emergencia y a evaluar los planes de mantenimiento del BCP.
OEA-OPERADOR ECONOMICO AUTORIZADO
Atendiendo los lineamientos propuestos por la

Organización Mundial de Aduanas, se
entiende el OEA como la certificación que
otorga la autoridad aduanera a una empresa
que demuestra estar comprometida con la
seguridad en toda su cadena de suministro,
mediante el cumplimiento de requisitos en
materia de seguridad e historial satisfactorio
de obligaciones aduaneras.
BUENAS PRACTICAS OEA
Gracias… Contacto:
Email:
ing.leonardogarces@gmail.com
Cel: 311-533 99 69
@consultorGo_
Clic aquí para más información
1 0 0 0…
Contacto:
Email:
ing.leonardogarces@gmail.com
Cel: 311-533 99 69
@consultorGo_

Memorias Foro Matriz de Riesgos y Seguridad de Informacion y Plan Continuadad de Negocio PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Memorias Foro Matriz de Riesgos y Seguridad de Informacion y Plan Continuadad de Negocio PDF

Cargado por

Copyright:

Formatos disponibles

Bienvenidos!!

1. Matriz de Riesgos herramienta para la Gestión: Identificar cómo

1. Fortaleciendo el control de los Documentos en las

1. Proyectando el BCP: Estructurar como realizar su Plan de

Agencias de Aduanas Transporte Local Patio de Contenedores

Puerto de Llegada Buque / Motonave

Ing.LeonardoGarcesM. Transporte Local Importador / Cliente

La organización cuando realiza la

La posibilidad de ocurrencia de la amenaza; esta puede ser medida con criterios de

Amenaza con capacidad y se ha presentado eventos en instalaciones vecinas o de similares

Amenaza con la capacidad y la intensión. Se han presentado eventos en la empresa atribuibles a

Determinamos las Plan de

Implementar programas y medidas de seguridad, protección de activos y prevención de

Requiere implementar medidas urgentes. Diseñar e implementar un Plan de continuidad

Atendiendo los lineamientos propuestos por la

Clic aquí para más información

También podría gustarte