PabloMalagon VIJNSI

Pablo A. Malagn T.
palmato@latinmail.com
Pablo A. Malagn T.
AGENDA
ETAPA 1 Proyecto Seguridad Informtica
Diseo: Fases I, II Implementacin: Fases III, IV
ETAPA 2
El Riesgo Operativo como herramienta estratgica Administracin del Riesgo RO a Nivel Internacional RO en Colombia
Pablo A. Malagn T.
Proyecto Seguridad Informtica
ETAPA
Definicin y Alcance
Plan estratgico con proyeccin de 4 aos
Ventajas
Obliga hacer el ejercicio a largo plazo En los cambios administrativos se disminuye el impacto y permite la continuidad de los proyectos
Desventajas
Se puede quedar corto el presupuesto y alcance por la evolucin de la TI Cotizar herramientas que no se requieran en un futuro o vari la funcionalidad Cambios del personal gerencial y administrativo
Pablo A. Malagn T.
Antecedente (1)
RED DE DATOS
HUB 24P.
STAT US
green= ena bled, li k O K n Fla hing green dis abl d, link O K s = e off = l nk OK fa i il 1 1 7 7 1x 12x 2 2 8 8 3 3 9 9 4 4 5 5 6 Pac k et 6 Status
MO DULE
S witch 3000
R
Pow er M GMT
10 1 12 1 1 10 1 12
Pack et Status
Packe t Status
Super Stack II Switch 3000
P5 HUB 24P. HUB 24P. HUB 24P.

S witch 3300
SWITCH 12P.
DOWNLINK
STAT US green= ena bled, li k OK n Fla shing green disabl d, linkOK = e off = lnk O fa i K il 1 1 7 2 2 8 3 3 4 4 5 5 6 Packet 6 Status
MO DULE
S witch 3000
R
Pow er M GMT
9 10 1 12 Pack 1 et 9 10 1 12 Status 1
Packe t Status
P4
7 8 1x 12x
SWITCH 24P. 12P. 24P. 24P. 24P.
SWITCH 12P.
HUB HUB HUB HUB P3
S witch 3300
DOWNLINK
STAT US
green= ena bled, li k O K n Fla hing green dis abl d, link O K s = e off = i nk OK fa l il 1 1 7 7 1x 12x 2 2 8 8 3 3 9 9 4 4 5 5 6 Pac k et 6 Status
MO DULE
S witch 3000
R
Power M MT G
10 1 12 Pac ket 1 10 1 12 Status 1
Pac k e t Status
SWITCH 24P.
SWITCH 12P.
HUB 24P. HUB 24P. HUB 24P. P2
S witch 3300
DOWNLINK
STAT US
green= ena bled, li k O K n Fla hing green dis abl d, link O K s = e off = i nk OK fa l il 1 1 7 7 1x 12x 2 2 8 8 3 3 9 9 4 4 5 5 6 Pac k et 6 Status
MO DULE
S witch 3000
R
Power M MT G
10 1 12 Pac ket 1 10 1 12 Status 1
Pac k e t Status
SWITCH 24P.
S witch 3300
DOWNLINK
Switch core ATM 6P. FIBRA OPTICA
SWITCH 24P. Consola HUB HUB HUB HUB P1 SWITCH 24P. 8P. 24P. 24P. 12P
S witch 3300
DOWNLINK
S TA T U S green= ena bled, li k O K n Fla hing green dis abl d, link O K s = e off = i nk OK fa l il 1 1 7 7 1x 12x 2 2 8 8 3 3 9 9 4 4 5 5 6 Pac k et 6 Status
MO D U LE
S witch 3000
R
CONVENCIONES F.O OC12 F.O OC3 UTP FE
Power M MT G
10 1 12 Pac ket 1 1 10 1 12 Status
Pac k e t Status
SWITCH 12P.
Pablo A. Malagn T.
Proyecto Seguridad Informtica Antecedente (2)

Servidor WEB
Firewall
Router
Internet Red local 2
Servidor Red local 1 HUB
RAS
STATU S
g e eab dli k O ren= n l , n K e Fl s in g en d ab dli k O a h g re = is l , n K e o ff =li k O fa n K il 1 2 3 4 5 6 Pake c t at 1 2 3 4 5 6 St us 1 2 c et 7 8 9 10 1 1 Pak 7 8 9 10 1 1 S tu 1 2 ta s 1 x 1x 2 P kt ac e S tu ta s P er ow MM GT
MO U D LE
Sw itch 3000
R
S rS k II upe tac S itc 30 w h 00
Usuarios Remotos
RDSI y RTPC
SWITCH Switch ATM
Usuario Remoto
RDSI: Red Digital de Servicios Integrada RTPC: Red Telefnica Publica Conmutada ATM: Modo de Transferencia Asncrono
Pablo A. Malagn T.
ETAPA
Fase I
Diagnostico y diseo del modelo de seguridad

de la infraestructura garantizando la funcionalidad de los servicios que tiene la organizacin.
Definicin Adquirir
de las polticas organizacionales entorno a la seguridad herramientas bsicas de seguridad informtica y capacitacin en las mismas. y corregir vulnerabilidades (Hardening) de sistemas operaciones de red
Identificar
Diagnostico y definicin de los respaldos y la

recuperacin de la informacin .
Pablo A. Malagn T.
ETAPA
Fase I
Contratos
terceros.
de servicios y conexiones con
Diagnostico
de las practicas en el desarrollo y mantenimiento de sistemas de informacin.
Conservar el personal especializado Las herramientas adquiridas queden en total

funcionamiento, garantizando la disponibilidad del Hardware, software y recurso humano requerido.
Que
este alineado con el estndar seguridad Internacional ISO 17799
de
Pablo A. Malagn T.
ETAPA
1
Router Del ISP Servidor WEB
Fase I
Firewall DMZ
Correo Externo Usuario Interno Remoto

IDS Sin enrutamiento S.O. Hardening
Appliance Antivirus
Red local 2
Red local 1 Firewall
HUB
RAS FIREWALL
S T TAUS
g e=enbl d,i n O ren a e l k K F s in g en d ale, i n O lah g re = is b d l k K of f =i n O f l l k Kai 1 2 3 4 5 6 P kt ac e ta s 1 2 3 4 5 6 S tu 7 8 9 1 1 12 Pck t 0 1 a e 0 1 tu 7 8 9 1 1 12Sta s 1x 12 x P kt ac e S tu ta s P er ow MM GT
MO U D LE
Sw h itc 3000
R
S erS ckII up ta Sw h30 itc 00
SWITCH Switch ATM Servidor
Replica Usuarios RDSI Usuarios RDSI
RDSI y RTPC
Usuarios Remotos
Pablo A. Malagn T.
ETAPA
1
Router del ISP
Antecedente Fase II
Servidor WEB
Firewall DMZ Antivirus
Correo Externo
Usuarios Internos Remotos
Switch Giga VLAN 1
IDS Firewall VLAN 2
RAS FIREWALL
Usuarios Remotos RDSI y RTPC RDSI y RTPC
Usuarios Remotos
Pablo A. Malagn T.
ETAPA
Fase II (A)
Certificados digitales
Modulo de verificacin de firmas para

la comunicacin entre la organizacin y los usuarios remotos
Certificado de Servidor Seguro Capacitacin
Pablo A. Malagn T.
ETAPA
Fase II (A)
Utilizacin del Certificado Digital: Firma Digital

Mensaje de Datos
Firma Digital Certificado
Parte Confiante
Ok!
Pablo A. Malagn T.
ETAPA
1
Router Del ISP
Fase II (A)
Servidor WEB
Certificados Digitales
Firewall
DMZ
Correo Externo
Entidad Certificadora Comunicaciones Antivirus
VLAN 1
Firewall
VLAN 2
IDS
RAS FIREWALL
Directorio Usuarios Remotos

RDSI y RTPC
Usuario Remoto
Pablo A. Malagn T.
ETAPA
Fase II (B) Plan de Contingencia
Diagnstico de la Situacin Actual
Mapas de Procesos Matriz de Riesgos BIA (Anlisis de impacto del negocio) Plan de acciones
Definicin de requerimientos para el retorno a la normalidad de las operaciones Estrategias de Recuperacin de Contingencias de TI. Probar, capacitar y ejercitar el plan.
Pablo A. Malagn T.
ETAPA
1
VLAN INTERNET
Firewall
Esquema de Contingencia
Router Del ISP
Servidor WEB
IPS
Entidad Certificadora
2
Correo externo VLAN DMZ
1
VLAN 1
1 2
RAS
PSTN
Antivirus /Anti spam
Firewall
Carrier
3
Switch Usuarios Remotos 1 Puestos de trabajo
Comunicaciones
VLAN 2
3
Usuarios RDSI RAS FIREWALL
2
Router Sitio Alterno
1 30 2
Sistema critico 1 2 Sistema critico 2 3 Sistema critico 3
RDSI y RTPC 5
Usuario Remoto
Pablo A. Malagn T.
ETAPA
1
Adquisicin de Herramientas
Fase III
Control
Internet
de contenido y direcciones de
Proxy Autenticacin
fuerte
de
usuarios
Internos Certificados Digitales Token
Firewalls personales
Pablo A. Malagn T.
ETAPA
1
Router del ISP VLAN INTERNET IPS Firewall Firewall
Fase III
Servidor WEB
Servidor de Certificados Digitales Servidor Control de URL / Proxy
VLAN DMZ Antivirus /Antispam Usuario Interno Remoto Desktop Firewall, Certificado Digital Token

Correo Externo
VLAN 1 Firewall
Comunicaciones
VLAN 2
RAS FIREWALL Certificado Interno Certificado ente externo Documento con Firma Electrnica RDSI y RTPC Usuarios Remotos
Pablo A. Malagn T.
Usuarios RemotosI
ETAPA
Fase IV
Riesgo 5 4 3 2 1 1
Vulnerabilidad
Sistema de Prevencin
Administrador de Vulnerabilidades 2
Explotar
Tiempo
3
Arreglo (Patch / Hardening)
4
Aplicar
5
Retorno Normalidad
Pablo A. Malagn T.
ETAPA
Fase IV
Sistema de Administracin del Riesgo asociado a las vulnerabilidades e intrusiones informticas
Descubrir Priorizar
en lnea dispositivos y realizar el mapa de manera automtica de la infraestructura tecnolgica activos de acuerdo con el nivel de seguridad requerido.
Verificar Facilitar
las vulnerabilidades de plataformas y determinar el nivel exposicin al riesgo
las de
la proteccin de los activos crticos, de acuerdo con los requerimientos y polticas del negocio.
Pablo A. Malagn T.
ETAPA
Fase IV
Asignar,
controlar y validar remediacin de forma autnoma.
la
Capacitar
en la configuracin, administracin y mantenimiento de la solucin
Acompaar
experto
la remediacin con personal
Pablo A. Malagn T.
ETAPA
1
Solucin
Fase IV
Fase de aprendizaje, se analiza por aplicacin Identificacin de los servicios a cerrar, entre ms bloqueos ms latencia Modo oculto, no muestra una direccin IP y tampoco una MAC.
Pablo A. Malagn T.
ETAPA
1
Solucin para mitigar el Riesgo
Fase IV
Remediacin
Resultados:
Califica por nivel de riesgo (Vulnerabilidad alta, media, baja e informativa) Criticidad por importancia del activo Gestin mediante tikes
Pablo A. Malagn T.
ETAPA
Fase IV
Reducir
y mitigar efectivamente el riesgo, balanceando el valor del activo, la severidad de la vulnerabilidad y la criticidad de las amenazas
Focalizndose
importante
en
los
activos
ms
Tomando
medidas para dar continuidad a la organizacin
Definiendo responsables de los sistemas de

informacin
Midiendo el progreso o evolucin del riesgo

de la infraestructura tecnolgica
Pablo A. Malagn T.
ETAPA
Fase IV
Identificacin proactiva de las nuevas amenazas

sobre los activos crticos
Tcnicamente mediante: Patch y/o actualizacin
de
S.O.
aplicaciones comerciales. Antivirus Software de automatizacin de oficina Bases de datos Correo electrnico
Identificando
necesario
software
no
autorizado
Pablo A. Malagn T.
ETAPA
1
Preparacin del recurso humano
Fase I a IV
Herramientas de seguridad Sensibilizacin Concientizacin 1. 2. 3. Definicin de Polticas de seguridad Difusin Audiencia acorde a su inters Segmentacin de audiencias: Preparar para el cambio en el comportamiento del uso de la tecnologa. a. b. c. Administradores de TI Gerencia y Gobierno Corporativo Funcionarios generales
Metodologas y Normas: 1. 2. 3. 4. 5. ISO 9001:2000 ISO 17799 Cobit NTC 5254 ISO 27001
Pablo A. Malagn T.
Riesgo Operativo Como Herramienta Estratgica
ETAPA
BASILEA II
El Riesgo Operativo se define como: El riesgo de prdida debido a la inadecuacin o fallos de: procesos, el personal, sistemas internos o por causa de acontecimientos externos. Esta definicin incluye el riesgo legal, pero excluye el estratgico y el de reputacin.
Administracin del Riesgo

Identificar el riesgo operacional implcito, en todos los
productos, actividades, procesos y sistemas Poltica, procesos y procedimientos para la mitigacin de RO Planes de contingencia y continuidad del negocio
Se puede administrar?
Pablo A. Malagn T.
ETAPA
Administracin corporativa del riesgo (ERM)
Conceptos fundamentales:
Es un proceso Efectuado por personas Aplicado en la definicin de la estrategia A travs de toda la organizacin Identifica los eventos que potencialmente
pueden afectar a la entidad
Proveer
seguridad
razonable
la
administracin y a la junta directiva
Orientado al logro de los objetivos
Estndar AS/NZ 4360:1999 / NTC 5354 Gestin del Riesgo

Pablo A. Malagn T.
ETAPA
ADMINISTRAR EL RIESGOS
Establecer el contexto Comunicar y consultar Identificar riesgos Analizar riesgos Evaluar riesgos
Aceptar riesgos
No Si
Tratar los riesgos
Estndar AS/NZ 4360:1999 / NTC 5354 Gestin del Riesgo

Pablo A. Malagn T.
Monitoreo y revisin
ETAPA
ANLISIS DE RIESGOS
Probabilidad
Nivel 1 2 3 4 5 Rango Raro Improbable Posible Probable Casi Seguro EXTREMO ALTO MEDIO BAJO Nivel 1 2 3 4 5
Impacto
Rango Insignificante Menor Moderado Mayor Catastrofico
Nivel de riesgo
Pablo A. Malagn T.
ETAPA
ANLISIS DE RIESGOS
Probabilidad Nivel de riesgo Representa la posibilidad de ocurrencia de un evento
Impacto
Consecuencia que puede ocasionar en la organizacin la materializacin de un riesgo
Pablo A. Malagn T.
ETAPA
TRATAMIENTO DEL RIESGOS
Elimina Reduce o Mitiga Acepta Traslada
Pablo A. Malagn T.
ETAPA
MAPA DE RIESGOS
Herramienta
metodolgica
para
realizar un inventario de los riesgos de una manera sistemtica y ordenada.
Representacin
o descripcin de los
aspectos considerados en la valoracin y tratamiento de los riesgos.
Medio
mltiples
para reportar los riesgos a niveles (organizacional,
proceso o funcin)
Pablo A. Malagn T.
ETAPA
MAPA DE RIESGOS
Soportar
la
metodologa
de
administracin de riesgos.
Documentar las fases del proceso

de administracin de riesgos.
Comunicar
proceso.
los
resultados
del
Pablo A. Malagn T.
ETAPA
MAPA DE RIESGOS
1. Identificacin de riesgos
RIESGO DESCRIPCION POSIBLES CONSECUENCIAS
2. Identificacin, valoracin y tratamiento de riesgos

RIESGO IMPACTO PROBABILIDAD CONTROL EXISTENTE NIVEL DE RIESGO ACCIONES RESPONSABLES CRONOGRAMA INDICADOR
Gua Administracin del Riesgo - DAFP

Pablo A. Malagn T.
ETAPA
MAPA DE RIESGOS
3. Identificacin, valoracin y tratamiento de riesgos
Manual del Usuario Software Methodware

Pablo A. Malagn T.
Riesgo Operativo Como Herramienta Estratgica RO a Nivel Internacional
ETAPA
MEXICO
Segn la Comisin Nacional Bancaria y de Valores: () como la prdida potencial por fallas o deficiencias en los controles internos, por errores en el procesamiento y almacenamiento de las operaciones o en la transmisin de informacin, as como por resoluciones administrativas y judiciales adversas, fraudes o robos y comprende entre otros, al riesgo tecnolgico y al riesgo legal, en el entendido que: El riesgo tecnolgico, se define como la prdida potencial por daos, interrupcin, alteracin o fallas derivadas del uso o dependencia en el hardware, software ,sistemas, aplicaciones, redes y cualquier otro canal de distribucin de informacin en la prestacin de servicios bancarios con los clientes de la institucin.
PERU
Segn la Superintendencia de Banca, Seguros y AFP: Las empresas deben administrar adecuadamente los riesgos de operacin que enfrentan. Entindase por riesgos de operacin a la posibilidad de ocurrencia de prdidas financieras por deficiencias o fallas en procesos internos, en la tecnologa de informacin, en las personas o por ocurrencia de eventos externos adversos. Esta definicin incluye el riesgo legal, pero excluye el riesgo estratgico y de reputacin.
ECUADOR
Segn la Superintendencia de Bancos y Seguros (ECUADOR): La posibilidad de que se ocasionen prdidas financieras por eventos derivados de fallas o insuficiencias en los procesos, personas, tecnologa de informacin y por eventos externos. Incluye el riesgo legal.
Pablo A. Malagn T.
ETAPA
MEXICO
Segn la Comisin Nacional Bancaria y de Valores:
PERU
Segn la Superintendencia de Banca, Seguros y AFP:
ECUADOR
Segn la Superintendencia de Bancos y Seguros (ECUADOR):
El riesgo legal, se define como la prdida potencial por el incumplimiento de las disposiciones legales y administrativas aplicables, la emisin de resoluciones administrativas y judiciales desfavorables y la aplicacin de sanciones, en relacin con las operaciones que las instituciones llevan a cabo.
Riesgo legal: Posibilidad de ocurrencia de prdidas financieras debido a la falla en la ejecucin de contratos o acuerdos, al incumplimiento no intencional de las normas, as como a factores externos, tales como cambios regulatorios, procesos judiciales entre otros.
Riesgo legal: Es la posibilidad de que se presenten prdidas o contingencias negativas como consecuencia de fallas en contratos y transacciones que pueden afectar el funcionamiento o la condicin de una institucin del sistema financiero, derivadas de error, dolo, negligencia o imprudencia en la concertacin, instrumentacin, formalizacin o ejecucin de contratos y transacciones. El riesgo legal surge tambin de incumplimientos de las leyes o normas aplicables.
Pablo A. Malagn T.
ETAPA
MEXICO
1.Objetivo: Impulsar la cultura de la administracin de riesgos 2. Parte de una serie de Definiciones 3. Responsabilidad del Consejo y del Director General
PERU
1.Objetivo: Propender a que las empresas supervisadas cuenten con un sistema de control 2. Parte de una serie de definiciones 3. Responsabilidad del Directorio y la Gerencia
ECUADOR
1.Objetivo: Propender a que las instituciones del sistema financiero cuenten con un sistema de administracin del riesgo operativo 2. Parte de unas definiciones
4. Comit de Riesgo y Unidad para la administracin integral de riesgos 5. Manuales para la administracin Integral de Riesgos 6. Requerimientos de informacin, Supervisin 7. La auditora interna
4. Unidad de Riesgos: 5. Creacin de Manuales: de Organizacin y Funciones, de Polticas y Procedimientos, de Control de Riesgos. 6. Requerimientos de informacin 7. Auditora interna y externa
3. Responsabilidades en la Administracin del R.O. Directorio u Organismo que haga sus veces 4. Comit de Administracin Integral de Riesgos y Unidad de Riesgos 5. Procesos y Cdigos de Conducta 6. Reportes 7. Sistema de control interno
Pablo A. Malagn T.

PERU
Aspectos que Originan R.O:
Procesos Internos: Riesgos asociados a:
-Fallas modelos utilizados -Errores en transacciones -Evaluacin inadecuada de contratos -Errores informacin contable -Inadecuada compensacin, liquidacin o pago -Insuficiencia recursos para el volumen de operaciones -Inadecuada documentacin de transacciones -Incumplimiento de plazos y costos planeados. Tecnologa de Informacin: Minimizar posibilidad de prdidas financieras por uso inadecuado de sistemas informticos y tecnologas que afectan operaciones y servicios de la empresa: Fallas en la seguridad y continuidad operativa de los sistemas informticos Errores en el desarrollo e implementacin de los mismos. Problemas calidad de informacin Inadecuada inversin de tecnologa Fallas adecuacin objetivo del negocio. Personas: Inadecuada capacitacin Negligencia Error Humano Sabotaje Fraude, robo Apropiacin informacin sensible Similares Eventos Externos: -Contingencias legales -Fallas en los servicios pblicos -Ocurrencia en los desastres naturales -Atentados y actos delictivos -Fallas en servicios crticos provistos por terceros. El riesgo se asume, se comparte, se evita, o se transfiere. Con el propsito de reducir sus consecuencias y efectos, y alertar al directorio y a la Alta Gerencia en la toma de decisiones y acciones como: Implantar planes de contingencia, revisa estrategias, actualizar o modificar procesos, implantar o modificar lmites de riesgo, etc.
ETAPA
ECUADOR
Identificacin Eventos que Originan RO:
Las entidades debern identificar por lnea de negocio, los eventos de RO, agrupados por tipo de evento, as: -Fraude interno -Fraude externo -Prcticas laborales y seguridad del ambiente de trabajo. -Prcticas relacionadas con los clientes, los productos y el negocio. -Daos a los activos fsicos. -interrupcin del negocio por fallas en la tecnologa de informacin. -Deficiencias en la ejecucin de procesos, en el procesamiento de operaciones y en las relaciones con proveedores y terceros. Los eventos de RO y las fallas e insuficiencias sern identificados con los factores de riesgo a travs de una metodologa formal, debidamente documentada y aprobada, la cual puede incorporar utilizacin de herramientas como : Auto evaluacin, mapas de riesgos, indicadores, tablas de control (scorecards), bases de datos, etc. Una vez identificados los eventos de RO, LOS NIVELES DIRECTIVOS deben decidir si:
Pablo A. Malagn T.
ETAPA
Riesgo Operativo en Colombia
Que de acuerdo con el artculo 325, numeral 2, pargrafo 1 del Estatuto Orgnico del Sistema Financiero, podrn ser sometidas a la vigilancia de la Superintendencia Bancaria de Colombia, las entidades que administren los sistemas de tarjetas de crdito o de dbito, as como las que administren sistemas de pago y compensacin El riesgo operativo es: El riesgo de errores humanos o de falla en los equipos, los programas de computacin o los sistemas y canales de comunicacin que se requieran para el adecuado y continuo funcionamiento de un sistema de pago.
La misma disposicin defini el riesgo legal as: Riesgo de que un participante incumpla definitivamente con la obligacin resultante de la compensacin y/o liquidacin a su cargo por causas imputables a debilidades o vacos del marco legal vigente, los reglamentos o los contratos y, por lo tanto, afectan la exigibilidad de las obligaciones contempladas en estos ltimos.
Decreto 1400 de 2005 Ministerio de Hacienda y Crdito Pblico
Pablo A. Malagn T.
ETAPA
Articulo 4: a) Criterios de acceso. Tales criterios debern ser objetivos y basarse en adecuadas consideraciones de prevencin y mitigacin de los riesgos a que se refiere el literal c) del presente artculo;
c) Reglas y procedimientos con que contar la entidad con el fin de prevenir y mitigar los riesgos a que se expone en el desarrollo de su actividad, en especial, los de crdito, legal, liquidez, operativo, sistmico, y de lavado de activos;

Pablo A. Malagn T.
ETAPA
Artculo 5. h) El deber de los participantes de contar con planes de contingencia y de seguridad informtica, para garantizar la continuidad de su operacin en el Sistema de Pago de Bajo Valor; o) El manejo de la confidencialidad y la provisin de informacin a los participantes. Igualmente, los compromisos que adquiere la entidad administradora del Sistema de Pago de Bajo Valor para proteger la informacin y prevenir su modificacin, dao o prdida; Publquese y cmplase, dado en Bogot, D. C., 4 de mayo de 2005. LVARO URIBE VLEZ
Pablo A. Malagn T.
ETAPA
2. Medicin, Evaluacin y limitacin de Riesgos En la evaluacin de los riesgos las entidades deben definir objetivos (De cumplimiento, de Operacin, De informacin financiera y contable y De manejo del cambio) y limites, igualmente ante los cambios econmicas, financieras, regulatorias y operativas, estos deben ser cambiantes. La administracin tambin debe establecer parmetros para medir esos riesgos especiales y prevenir su posible ocurrencia a travs de mecanismos de control e informacin. UN RIESGO NO TIPIFICADO NI MEDIDO ES UN PROBLEMA DE CONTROL INTERNO. Las entidades deben implementar sistemas giles de informacin que capturen e identifiquen claramente las condiciones cambiantes que afecten sus objetivos as como el anlisis de las oportunidades asociadas a los riesgos.
Numeral 7 Capitulo IX Titulo I Circular Bsica Jurdica.
Control Interno
Pablo A. Malagn T.
ETAPA
2. Medicin, Evaluacin y limitacin de Riesgos Las entidades deben implementar sistemas giles de informacin que capturen e identifiquen claramente las condiciones cambiantes que afecten sus objetivos as como el anlisis de las oportunidades asociadas a los riesgos. Cambio en el ambiente de operacin Personal Nuevo Sistemas nuevos o reconstruidos Tecnologa nueva Lnea, productos y actividades nuevas Reestructuracin corporativa y Operaciones en el exterior Las entidades deben identificar los cambios que se deban realizar o que ocurrirn, de tal forma que le permitan a la administracin anticipar y planear los cambio significativos, a los riesgos nuevos y a sus efectos.
Control Interno
Pablo A. Malagn T.
ETAPA
3. Control de Actividades
El control Interno de las entidades vigiladas debe ser efectivo y eficiente Es indispensable que las entidades implementen la ejecucin de las polticas a travs de toda la organizacin en todos los niveles y en todas las funciones e incluye el establecimiento de procedimientos obligatorios para todas las actividades. Este control tiene distintas caractersticas, pueden ser manuales o computarizadas, administrativas u operacionales, generales o especificas, preventivas o detectivas. Sin embargo todas ellas deben tener como objetivo principal la determinacin y prevencin de los riesgos (Potenciales o reales) en beneficio de la entidad
Control Interno
Pablo A. Malagn T.
ETAPA
4. Monitoreo Las entidades vigiladas deben implementar sistemas de monitoreo en toda la organizacin hasta lograr el control de su marcha integrar. Es importante que se establezcan controles automticos o alarmas tanto en los sistemas computacionales como en los manuales para que permanentemente se valore la calidad y el desempeo del sistema, pues ello equivale a una actividad de supervisin y administracin. Para ello dicho monitoreo se debe realizar en todas las etapas del proceso y en tiempo real en el curso de las operaciones
Control Interno
Pablo A. Malagn T.
Riesgo Operativo Como Herramienta Estratgica Riesgo Operativo en Colombia
ETAPA
RESPONSABILIDAD DE LA JUNTA DIRECTIVA Y DE LA ALTA GERENCIA: Fijacin de lmites para la toma de

riesgos en dichas actividades y el adoptar las medidas
REQUISITOS Y CARACTERSTICAS DE LA GESTIN DE RIESGOS: Deben existir estrategias, polticas y

mecanismos de medicin y control para los riesgos de crdito y/o contraparte, mercado, liquidez, operacionales y legales.
RESPONSABILIDADES Y REPORTES DE CONTROL DE RIESGOS: Debe ser informada mensualmente sobre los
niveles de riesgo y el desempeo del rea de tesorera. De manera inmediata si se presentan violaciones importantes o sistemticas a las polticas y lmites internos
Circular Externa 088 de 2000, Captulo XX de la Circular Bsica Contable y Financiera
Parmetros Mnimos de Administracin de Riesgos en Operaciones de Tesorera
REQUISITOS DEL SISTEMA DE CONTROL Y GESTION DE RIESGOS: Tener un sistema manual o automtico de
medicin y control de los riesgos inherentes al negocio de tesorera
Pablo A. Malagn T.
ETAPA
CARACTERSTICAS MNIMAS ANLISIS POR TIPO DE RIESGO Riesgo Operacional:
DE
LOS
c) Los equipos computacionales y las aplicaciones informticas empleadas, tanto en la negociacin como en las actividades de control y la funcin operacional de las tesoreras, guarden correspondencia con la naturaleza, complejidad y volumen de las actividades de tesorera. f) Exista un adecuado plan de contingencia en caso de presentarse dificultades en el funcionamiento de los sistemas de negociacin o de una falla en los sistemas automticos utilizados por el Middle Office y el Back Office.
g)Exista un plan de contingencia en la entidad que indique qu hacer en caso de que se aumenten las exposiciones por encima de los lmites establecidos a cualquier tipo de riesgo.
Pablo A. Malagn T.
ETAPA
Riesgo Operacional:
h) Los parmetros utilizados en las aplicaciones informticas de medicin y control de riesgos estn dentro de los rangos de mercado y sean revisados peridicamente, al menos de forma mensual.
Riesgo legal
Las operaciones realizadas deben ser formalizadas por medio de un contrato, el cual debe cumplir tanto con las normas legales pertinentes como con las polticas y estndares de la entidad. Los trminos establecidos en los contratos deben encontrarse adecuadamente documentados. La participacin en nuevos mercados o productos debe contar con el visto bueno del rea jurdica, en lo que respecta a los contratos empleados y el rgimen de inversiones y operaciones aplicable a cada entidad.

Pablo A. Malagn T.
ETAPA
POLTICAS DE PERSONAL
a. La Alta Gerencia de la entidad debe garantizar que el personal vinculado en las labores de trading, control y gerencia de riesgos, back office, contabilidad y auditora de las operaciones de tesorera tenga un conocimiento profundo de los productos transados y de los procedimientos administrativos y operativos asociados. En particular, el personal del rea de monitoreo y control de riesgos debe poseer un conocimiento profundo de la operatividad de los mercados y de las tcnicas de valoracin y de medicin de riesgos, as como un buen manejo tecnolgico. Las polticas de remuneracin del personal encargado de las negociaciones deben definirse de manera que no incentiven un apetito excesivo por riesgo. En este sentido, las escalas salariales no deben depender exclusivamente del resultado de las labores de trading.
b.

c.
Pablo A. Malagn T.
Pablo A. Malagn T.

PabloMalagon VIJNSI

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

PabloMalagon VIJNSI

Cargado por

Copyright:

Formatos disponibles

Pablo A. Malagn T.

Proyecto Seguridad Informtica

Plan estratgico con proyeccin de 4 aos

Proyecto Seguridad Informtica

Super Stack II Switch 3000

P5 HUB 24P. HUB 24P. HUB 24P.

Super Stack II Switch 3000

SWITCH 24P. 12P. 24P. 24P. 24P.

HUB HUB HUB HUB P3

10 1 12 Pac ket 1 10 1 12 Status 1

Super Stack II Switch 3000

HUB 24P. HUB 24P. HUB 24P. P2

10 1 12 Pac ket 1 10 1 12 Status 1

Super Stack II Switch 3000

Switch core ATM 6P. FIBRA OPTICA

CONVENCIONES F.O OC12 F.O OC3 UTP FE

10 1 12 Pac ket 1 1 10 1 12 Status

Super Stack II Switch 3000

Proyecto Seguridad Informtica Antecedente (2)

Internet Red local 2

Servidor Red local 1 HUB

S rS k II upe tac S itc 30 w h 00

SWITCH Switch ATM

Proyecto Seguridad Informtica

Diagnostico y diseo del modelo de seguridad

Diagnostico y definicin de los respaldos y la

Proyecto Seguridad Informtica

de servicios y conexiones con

de las practicas en el desarrollo y mantenimiento de sistemas de informacin.

Conservar el personal especializado Las herramientas adquiridas queden en total

este alineado con el estndar seguridad Internacional ISO 17799

Proyecto Seguridad Informtica

Correo Externo Usuario Interno Remoto

Red local 1 Firewall

S erS ckII up ta Sw h30 itc 00

SWITCH Switch ATM Servidor

Replica Usuarios RDSI Usuarios RDSI

Proyecto Seguridad Informtica

Firewall DMZ Antivirus

Usuarios Internos Remotos

Switch Giga VLAN 1

IDS Firewall VLAN 2

Usuarios Remotos RDSI y RTPC RDSI y RTPC

Proyecto Seguridad Informtica

Modulo de verificacin de firmas para

Certificado de Servidor Seguro Capacitacin

Proyecto Seguridad Informtica

Utilizacin del Certificado Digital: Firma Digital

Firma Digital Certificado

Proyecto Seguridad Informtica

Entidad Certificadora Comunicaciones Antivirus

Directorio Usuarios Remotos

Proyecto Seguridad Informtica

Fase II (B) Plan de Contingencia

Diagnstico de la Situacin Actual

Proyecto Seguridad Informtica

Antivirus /Anti spam

Sistema critico 1 2 Sistema critico 2 3 Sistema critico 3

Proyecto Seguridad Informtica

Internos Certificados Digitales Token

Proyecto Seguridad Informtica

Servidor de Certificados Digitales Servidor Control de URL / Proxy

Proyecto Seguridad Informtica