Documentos de Académico
Documentos de Profesional
Documentos de Cultura
palmato@latinmail.com
Pablo A. Malagn T.
AGENDA
ETAPA 1 Proyecto Seguridad Informtica
Diseo: Fases I, II Implementacin: Fases III, IV
ETAPA 2
El Riesgo Operativo como herramienta estratgica Administracin del Riesgo RO a Nivel Internacional RO en Colombia
Pablo A. Malagn T.
ETAPA
Definicin y Alcance
Ventajas
Obliga hacer el ejercicio a largo plazo En los cambios administrativos se disminuye el impacto y permite la continuidad de los proyectos
Desventajas
Se puede quedar corto el presupuesto y alcance por la evolucin de la TI Cotizar herramientas que no se requieran en un futuro o vari la funcionalidad Cambios del personal gerencial y administrativo
Pablo A. Malagn T.
Antecedente (1)
RED DE DATOS
HUB 24P.
STAT US
green= ena bled, li k O K n Fla hing green dis abl d, link O K s = e off = l nk OK fa i il 1 1 7 7 1x 12x 2 2 8 8 3 3 9 9 4 4 5 5 6 Pac k et 6 Status
MO DULE
S witch 3000
R
Pow er M GMT
10 1 12 1 1 10 1 12
Pack et Status
Packe t Status
SWITCH 12P.
DOWNLINK
STAT US green= ena bled, li k OK n Fla shing green disabl d, linkOK = e off = lnk O fa i K il 1 1 7 2 2 8 3 3 4 4 5 5 6 Packet 6 Status
MO DULE
S witch 3000
R
Pow er M GMT
9 10 1 12 Pack 1 et 9 10 1 12 Status 1
Packe t Status
P4
7 8 1x 12x
SWITCH 12P.
S witch 3300
DOWNLINK
STAT US
green= ena bled, li k O K n Fla hing green dis abl d, link O K s = e off = i nk OK fa l il 1 1 7 7 1x 12x 2 2 8 8 3 3 9 9 4 4 5 5 6 Pac k et 6 Status
MO DULE
S witch 3000
R
Power M MT G
Pac k e t Status
SWITCH 24P.
SWITCH 12P.
S witch 3300
DOWNLINK
STAT US
green= ena bled, li k O K n Fla hing green dis abl d, link O K s = e off = i nk OK fa l il 1 1 7 7 1x 12x 2 2 8 8 3 3 9 9 4 4 5 5 6 Pac k et 6 Status
MO DULE
S witch 3000
R
Power M MT G
Pac k e t Status
SWITCH 24P.
S witch 3300
DOWNLINK
SWITCH 24P. Consola HUB HUB HUB HUB P1 SWITCH 24P. 8P. 24P. 24P. 12P
S witch 3300
DOWNLINK
S TA T U S green= ena bled, li k O K n Fla hing green dis abl d, link O K s = e off = i nk OK fa l il 1 1 7 7 1x 12x 2 2 8 8 3 3 9 9 4 4 5 5 6 Pac k et 6 Status
MO D U LE
S witch 3000
R
Power M MT G
Pac k e t Status
SWITCH 12P.
Pablo A. Malagn T.
Firewall
Router
RAS
STATU S
g e eab dli k O ren= n l , n K e Fl s in g en d ab dli k O a h g re = is l , n K e o ff =li k O fa n K il 1 2 3 4 5 6 Pake c t at 1 2 3 4 5 6 St us 1 2 c et 7 8 9 10 1 1 Pak 7 8 9 10 1 1 S tu 1 2 ta s 1 x 1x 2 P kt ac e S tu ta s P er ow MM GT
MO U D LE
Sw itch 3000
R
Usuarios Remotos
RDSI y RTPC
Usuario Remoto
RDSI: Red Digital de Servicios Integrada RTPC: Red Telefnica Publica Conmutada ATM: Modo de Transferencia Asncrono
Pablo A. Malagn T.
ETAPA
Fase I
Definicin Adquirir
de las polticas organizacionales entorno a la seguridad herramientas bsicas de seguridad informtica y capacitacin en las mismas. y corregir vulnerabilidades (Hardening) de sistemas operaciones de red
Identificar
ETAPA
Fase I
Contratos
terceros.
Diagnostico
Que
de
Pablo A. Malagn T.
ETAPA
1
Router Del ISP Servidor WEB
Fase I
Firewall DMZ
Appliance Antivirus
Red local 2
HUB
RAS FIREWALL
S T TAUS
g e=enbl d,i n O ren a e l k K F s in g en d ale, i n O lah g re = is b d l k K of f =i n O f l l k Kai 1 2 3 4 5 6 P kt ac e ta s 1 2 3 4 5 6 S tu 7 8 9 1 1 12 Pck t 0 1 a e 0 1 tu 7 8 9 1 1 12Sta s 1x 12 x P kt ac e S tu ta s P er ow MM GT
MO U D LE
Sw h itc 3000
R
RDSI y RTPC
Usuarios Remotos
Pablo A. Malagn T.
ETAPA
1
Router del ISP
Antecedente Fase II
Servidor WEB
Correo Externo
RAS FIREWALL
Usuarios Remotos
Pablo A. Malagn T.
ETAPA
Fase II (A)
Certificados digitales
Pablo A. Malagn T.
ETAPA
Fase II (A)
Parte Confiante
Ok!
Pablo A. Malagn T.
ETAPA
1
Router Del ISP
Fase II (A)
Servidor WEB
Certificados Digitales
Firewall
DMZ
Correo Externo
VLAN 1
Firewall
VLAN 2
IDS
RAS FIREWALL
Usuario Remoto
Pablo A. Malagn T.
ETAPA
Mapas de Procesos Matriz de Riesgos BIA (Anlisis de impacto del negocio) Plan de acciones
Definicin de requerimientos para el retorno a la normalidad de las operaciones Estrategias de Recuperacin de Contingencias de TI. Probar, capacitar y ejercitar el plan.
Pablo A. Malagn T.
ETAPA
1
VLAN INTERNET
Firewall
Esquema de Contingencia
Router Del ISP
Servidor WEB
IPS
Entidad Certificadora
2
Correo externo VLAN DMZ
1
VLAN 1
1 2
RAS
PSTN
Firewall
Carrier
3
Switch Usuarios Remotos 1 Puestos de trabajo
Comunicaciones
VLAN 2
3
Usuarios RDSI RAS FIREWALL
2
Router Sitio Alterno
1 30 2
RDSI y RTPC 5
Usuario Remoto
Pablo A. Malagn T.
ETAPA
1
Adquisicin de Herramientas
Fase III
Control
Internet
de contenido y direcciones de
Proxy Autenticacin
fuerte
de
usuarios
Firewalls personales
Pablo A. Malagn T.
ETAPA
1
Router del ISP VLAN INTERNET IPS Firewall Firewall
Fase III
Servidor WEB
VLAN DMZ Antivirus /Antispam Usuario Interno Remoto Desktop Firewall, Certificado Digital Token
Correo Externo
VLAN 1 Firewall
Comunicaciones
VLAN 2
RAS FIREWALL Certificado Interno Certificado ente externo Documento con Firma Electrnica RDSI y RTPC Usuarios Remotos
Pablo A. Malagn T.
Usuarios RemotosI
ETAPA
Fase IV
Riesgo 5 4 3 2 1 1
Vulnerabilidad
Sistema de Prevencin
Administrador de Vulnerabilidades 2
Explotar
Tiempo
3
Arreglo (Patch / Hardening)
4
Aplicar
5
Retorno Normalidad
Pablo A. Malagn T.
ETAPA
Fase IV
Descubrir Priorizar
en lnea dispositivos y realizar el mapa de manera automtica de la infraestructura tecnolgica activos de acuerdo con el nivel de seguridad requerido.
Verificar Facilitar
las de
la proteccin de los activos crticos, de acuerdo con los requerimientos y polticas del negocio.
Pablo A. Malagn T.
ETAPA
Fase IV
Asignar,
la
Capacitar
Acompaar
experto
Pablo A. Malagn T.
ETAPA
1
Solucin
Fase IV
Fase de aprendizaje, se analiza por aplicacin Identificacin de los servicios a cerrar, entre ms bloqueos ms latencia Modo oculto, no muestra una direccin IP y tampoco una MAC.
Pablo A. Malagn T.
ETAPA
1
Solucin para mitigar el Riesgo
Fase IV
Remediacin
Resultados:
Califica por nivel de riesgo (Vulnerabilidad alta, media, baja e informativa) Criticidad por importancia del activo Gestin mediante tikes
Pablo A. Malagn T.
ETAPA
Fase IV
Reducir
y mitigar efectivamente el riesgo, balanceando el valor del activo, la severidad de la vulnerabilidad y la criticidad de las amenazas
Focalizndose
importante
en
los
activos
ms
Tomando
ETAPA
Fase IV
de
S.O.
aplicaciones comerciales. Antivirus Software de automatizacin de oficina Bases de datos Correo electrnico
Identificando
necesario
software
no
autorizado
Pablo A. Malagn T.
ETAPA
1
Preparacin del recurso humano
Fase I a IV
Herramientas de seguridad Sensibilizacin Concientizacin 1. 2. 3. Definicin de Polticas de seguridad Difusin Audiencia acorde a su inters Segmentacin de audiencias: Preparar para el cambio en el comportamiento del uso de la tecnologa. a. b. c. Administradores de TI Gerencia y Gobierno Corporativo Funcionarios generales
Metodologas y Normas: 1. 2. 3. 4. 5. ISO 9001:2000 ISO 17799 Cobit NTC 5254 ISO 27001
Pablo A. Malagn T.
ETAPA
BASILEA II
El Riesgo Operativo se define como: El riesgo de prdida debido a la inadecuacin o fallos de: procesos, el personal, sistemas internos o por causa de acontecimientos externos. Esta definicin incluye el riesgo legal, pero excluye el estratgico y el de reputacin.
Se puede administrar?
Pablo A. Malagn T.
ETAPA
Conceptos fundamentales:
Es un proceso Efectuado por personas Aplicado en la definicin de la estrategia A travs de toda la organizacin Identifica los eventos que potencialmente
pueden afectar a la entidad
Proveer
seguridad
razonable
la
ETAPA
ADMINISTRAR EL RIESGOS
Establecer el contexto Comunicar y consultar Identificar riesgos Analizar riesgos Evaluar riesgos
Aceptar riesgos
No Si
Monitoreo y revisin
ETAPA
ANLISIS DE RIESGOS
Probabilidad
Nivel 1 2 3 4 5 Rango Raro Improbable Posible Probable Casi Seguro EXTREMO ALTO MEDIO BAJO Nivel 1 2 3 4 5
Impacto
Rango Insignificante Menor Moderado Mayor Catastrofico
Nivel de riesgo
Pablo A. Malagn T.
ETAPA
ANLISIS DE RIESGOS
Impacto
Pablo A. Malagn T.
ETAPA
Pablo A. Malagn T.
ETAPA
MAPA DE RIESGOS
Herramienta
metodolgica
para
Representacin
o descripcin de los
Medio
mltiples
proceso o funcin)
Pablo A. Malagn T.
ETAPA
MAPA DE RIESGOS
Soportar
la
metodologa
de
administracin de riesgos.
Comunicar
proceso.
los
resultados
del
Pablo A. Malagn T.
ETAPA
MAPA DE RIESGOS
1. Identificacin de riesgos
RIESGO DESCRIPCION POSIBLES CONSECUENCIAS
ETAPA
MAPA DE RIESGOS
ETAPA
MEXICO
Segn la Comisin Nacional Bancaria y de Valores: () como la prdida potencial por fallas o deficiencias en los controles internos, por errores en el procesamiento y almacenamiento de las operaciones o en la transmisin de informacin, as como por resoluciones administrativas y judiciales adversas, fraudes o robos y comprende entre otros, al riesgo tecnolgico y al riesgo legal, en el entendido que: El riesgo tecnolgico, se define como la prdida potencial por daos, interrupcin, alteracin o fallas derivadas del uso o dependencia en el hardware, software ,sistemas, aplicaciones, redes y cualquier otro canal de distribucin de informacin en la prestacin de servicios bancarios con los clientes de la institucin.
PERU
Segn la Superintendencia de Banca, Seguros y AFP: Las empresas deben administrar adecuadamente los riesgos de operacin que enfrentan. Entindase por riesgos de operacin a la posibilidad de ocurrencia de prdidas financieras por deficiencias o fallas en procesos internos, en la tecnologa de informacin, en las personas o por ocurrencia de eventos externos adversos. Esta definicin incluye el riesgo legal, pero excluye el riesgo estratgico y de reputacin.
ECUADOR
Segn la Superintendencia de Bancos y Seguros (ECUADOR): La posibilidad de que se ocasionen prdidas financieras por eventos derivados de fallas o insuficiencias en los procesos, personas, tecnologa de informacin y por eventos externos. Incluye el riesgo legal.
Pablo A. Malagn T.
ETAPA
MEXICO
Segn la Comisin Nacional Bancaria y de Valores:
PERU
Segn la Superintendencia de Banca, Seguros y AFP:
ECUADOR
Segn la Superintendencia de Bancos y Seguros (ECUADOR):
El riesgo legal, se define como la prdida potencial por el incumplimiento de las disposiciones legales y administrativas aplicables, la emisin de resoluciones administrativas y judiciales desfavorables y la aplicacin de sanciones, en relacin con las operaciones que las instituciones llevan a cabo.
Riesgo legal: Posibilidad de ocurrencia de prdidas financieras debido a la falla en la ejecucin de contratos o acuerdos, al incumplimiento no intencional de las normas, as como a factores externos, tales como cambios regulatorios, procesos judiciales entre otros.
Riesgo legal: Es la posibilidad de que se presenten prdidas o contingencias negativas como consecuencia de fallas en contratos y transacciones que pueden afectar el funcionamiento o la condicin de una institucin del sistema financiero, derivadas de error, dolo, negligencia o imprudencia en la concertacin, instrumentacin, formalizacin o ejecucin de contratos y transacciones. El riesgo legal surge tambin de incumplimientos de las leyes o normas aplicables.
Pablo A. Malagn T.
ETAPA
MEXICO
1.Objetivo: Impulsar la cultura de la administracin de riesgos 2. Parte de una serie de Definiciones 3. Responsabilidad del Consejo y del Director General
PERU
1.Objetivo: Propender a que las empresas supervisadas cuenten con un sistema de control 2. Parte de una serie de definiciones 3. Responsabilidad del Directorio y la Gerencia
ECUADOR
1.Objetivo: Propender a que las instituciones del sistema financiero cuenten con un sistema de administracin del riesgo operativo 2. Parte de unas definiciones
4. Comit de Riesgo y Unidad para la administracin integral de riesgos 5. Manuales para la administracin Integral de Riesgos 6. Requerimientos de informacin, Supervisin 7. La auditora interna
4. Unidad de Riesgos: 5. Creacin de Manuales: de Organizacin y Funciones, de Polticas y Procedimientos, de Control de Riesgos. 6. Requerimientos de informacin 7. Auditora interna y externa
3. Responsabilidades en la Administracin del R.O. Directorio u Organismo que haga sus veces 4. Comit de Administracin Integral de Riesgos y Unidad de Riesgos 5. Procesos y Cdigos de Conducta 6. Reportes 7. Sistema de control interno
Pablo A. Malagn T.
ETAPA
ECUADOR
Identificacin Eventos que Originan RO:
Las entidades debern identificar por lnea de negocio, los eventos de RO, agrupados por tipo de evento, as: -Fraude interno -Fraude externo -Prcticas laborales y seguridad del ambiente de trabajo. -Prcticas relacionadas con los clientes, los productos y el negocio. -Daos a los activos fsicos. -interrupcin del negocio por fallas en la tecnologa de informacin. -Deficiencias en la ejecucin de procesos, en el procesamiento de operaciones y en las relaciones con proveedores y terceros. Los eventos de RO y las fallas e insuficiencias sern identificados con los factores de riesgo a travs de una metodologa formal, debidamente documentada y aprobada, la cual puede incorporar utilizacin de herramientas como : Auto evaluacin, mapas de riesgos, indicadores, tablas de control (scorecards), bases de datos, etc. Una vez identificados los eventos de RO, LOS NIVELES DIRECTIVOS deben decidir si:
Pablo A. Malagn T.
ETAPA
Que de acuerdo con el artculo 325, numeral 2, pargrafo 1 del Estatuto Orgnico del Sistema Financiero, podrn ser sometidas a la vigilancia de la Superintendencia Bancaria de Colombia, las entidades que administren los sistemas de tarjetas de crdito o de dbito, as como las que administren sistemas de pago y compensacin El riesgo operativo es: El riesgo de errores humanos o de falla en los equipos, los programas de computacin o los sistemas y canales de comunicacin que se requieran para el adecuado y continuo funcionamiento de un sistema de pago.
La misma disposicin defini el riesgo legal as: Riesgo de que un participante incumpla definitivamente con la obligacin resultante de la compensacin y/o liquidacin a su cargo por causas imputables a debilidades o vacos del marco legal vigente, los reglamentos o los contratos y, por lo tanto, afectan la exigibilidad de las obligaciones contempladas en estos ltimos.
Pablo A. Malagn T.
ETAPA
Articulo 4: a) Criterios de acceso. Tales criterios debern ser objetivos y basarse en adecuadas consideraciones de prevencin y mitigacin de los riesgos a que se refiere el literal c) del presente artculo;
c) Reglas y procedimientos con que contar la entidad con el fin de prevenir y mitigar los riesgos a que se expone en el desarrollo de su actividad, en especial, los de crdito, legal, liquidez, operativo, sistmico, y de lavado de activos;
ETAPA
Artculo 5. h) El deber de los participantes de contar con planes de contingencia y de seguridad informtica, para garantizar la continuidad de su operacin en el Sistema de Pago de Bajo Valor; o) El manejo de la confidencialidad y la provisin de informacin a los participantes. Igualmente, los compromisos que adquiere la entidad administradora del Sistema de Pago de Bajo Valor para proteger la informacin y prevenir su modificacin, dao o prdida; Publquese y cmplase, dado en Bogot, D. C., 4 de mayo de 2005. LVARO URIBE VLEZ
Pablo A. Malagn T.
ETAPA
2. Medicin, Evaluacin y limitacin de Riesgos En la evaluacin de los riesgos las entidades deben definir objetivos (De cumplimiento, de Operacin, De informacin financiera y contable y De manejo del cambio) y limites, igualmente ante los cambios econmicas, financieras, regulatorias y operativas, estos deben ser cambiantes. La administracin tambin debe establecer parmetros para medir esos riesgos especiales y prevenir su posible ocurrencia a travs de mecanismos de control e informacin. UN RIESGO NO TIPIFICADO NI MEDIDO ES UN PROBLEMA DE CONTROL INTERNO. Las entidades deben implementar sistemas giles de informacin que capturen e identifiquen claramente las condiciones cambiantes que afecten sus objetivos as como el anlisis de las oportunidades asociadas a los riesgos.
Numeral 7 Capitulo IX Titulo I Circular Bsica Jurdica.
Control Interno
Pablo A. Malagn T.
ETAPA
2. Medicin, Evaluacin y limitacin de Riesgos Las entidades deben implementar sistemas giles de informacin que capturen e identifiquen claramente las condiciones cambiantes que afecten sus objetivos as como el anlisis de las oportunidades asociadas a los riesgos. Cambio en el ambiente de operacin Personal Nuevo Sistemas nuevos o reconstruidos Tecnologa nueva Lnea, productos y actividades nuevas Reestructuracin corporativa y Operaciones en el exterior Las entidades deben identificar los cambios que se deban realizar o que ocurrirn, de tal forma que le permitan a la administracin anticipar y planear los cambio significativos, a los riesgos nuevos y a sus efectos.
Numeral 7 Capitulo IX Titulo I Circular Bsica Jurdica.
Control Interno
Pablo A. Malagn T.
ETAPA
3. Control de Actividades
El control Interno de las entidades vigiladas debe ser efectivo y eficiente Es indispensable que las entidades implementen la ejecucin de las polticas a travs de toda la organizacin en todos los niveles y en todas las funciones e incluye el establecimiento de procedimientos obligatorios para todas las actividades. Este control tiene distintas caractersticas, pueden ser manuales o computarizadas, administrativas u operacionales, generales o especificas, preventivas o detectivas. Sin embargo todas ellas deben tener como objetivo principal la determinacin y prevencin de los riesgos (Potenciales o reales) en beneficio de la entidad
Control Interno
Pablo A. Malagn T.
ETAPA
4. Monitoreo Las entidades vigiladas deben implementar sistemas de monitoreo en toda la organizacin hasta lograr el control de su marcha integrar. Es importante que se establezcan controles automticos o alarmas tanto en los sistemas computacionales como en los manuales para que permanentemente se valore la calidad y el desempeo del sistema, pues ello equivale a una actividad de supervisin y administracin. Para ello dicho monitoreo se debe realizar en todas las etapas del proceso y en tiempo real en el curso de las operaciones
Control Interno
Pablo A. Malagn T.
ETAPA
RESPONSABILIDADES Y REPORTES DE CONTROL DE RIESGOS: Debe ser informada mensualmente sobre los
niveles de riesgo y el desempeo del rea de tesorera. De manera inmediata si se presentan violaciones importantes o sistemticas a las polticas y lmites internos
Circular Externa 088 de 2000, Captulo XX de la Circular Bsica Contable y Financiera
Parmetros Mnimos de Administracin de Riesgos en Operaciones de Tesorera
REQUISITOS DEL SISTEMA DE CONTROL Y GESTION DE RIESGOS: Tener un sistema manual o automtico de
medicin y control de los riesgos inherentes al negocio de tesorera
Pablo A. Malagn T.
ETAPA
DE
LOS
c) Los equipos computacionales y las aplicaciones informticas empleadas, tanto en la negociacin como en las actividades de control y la funcin operacional de las tesoreras, guarden correspondencia con la naturaleza, complejidad y volumen de las actividades de tesorera. f) Exista un adecuado plan de contingencia en caso de presentarse dificultades en el funcionamiento de los sistemas de negociacin o de una falla en los sistemas automticos utilizados por el Middle Office y el Back Office.
Circular Externa 088 de 2000, Captulo XX de la Circular Bsica Contable y Financiera
Parmetros Mnimos de Administracin de Riesgos en Operaciones de Tesorera
g)Exista un plan de contingencia en la entidad que indique qu hacer en caso de que se aumenten las exposiciones por encima de los lmites establecidos a cualquier tipo de riesgo.
Pablo A. Malagn T.
ETAPA
Riesgo Operacional:
h) Los parmetros utilizados en las aplicaciones informticas de medicin y control de riesgos estn dentro de los rangos de mercado y sean revisados peridicamente, al menos de forma mensual.
Riesgo legal
Las operaciones realizadas deben ser formalizadas por medio de un contrato, el cual debe cumplir tanto con las normas legales pertinentes como con las polticas y estndares de la entidad. Los trminos establecidos en los contratos deben encontrarse adecuadamente documentados. La participacin en nuevos mercados o productos debe contar con el visto bueno del rea jurdica, en lo que respecta a los contratos empleados y el rgimen de inversiones y operaciones aplicable a cada entidad.
Pablo A. Malagn T.
ETAPA
POLTICAS DE PERSONAL
a. La Alta Gerencia de la entidad debe garantizar que el personal vinculado en las labores de trading, control y gerencia de riesgos, back office, contabilidad y auditora de las operaciones de tesorera tenga un conocimiento profundo de los productos transados y de los procedimientos administrativos y operativos asociados. En particular, el personal del rea de monitoreo y control de riesgos debe poseer un conocimiento profundo de la operatividad de los mercados y de las tcnicas de valoracin y de medicin de riesgos, as como un buen manejo tecnolgico. Las polticas de remuneracin del personal encargado de las negociaciones deben definirse de manera que no incentiven un apetito excesivo por riesgo. En este sentido, las escalas salariales no deben depender exclusivamente del resultado de las labores de trading.
b.
c.
Pablo A. Malagn T.
Pablo A. Malagn T.