Pablo A. Malagón T. Pablo A. Malagón T.
|
|
- Juan Francisco San Segundo Poblete
- hace 8 años
- Vistas:
Transcripción
1
2 AGENDA ETAPA 1 Proyecto Seguridad Informática Diseño: Fases I, II Implementación: Fases III, IV ETAPA 2 El Riesgo Operativo como herramienta estratégica Administración del Riesgo RO a Nivel Internacional RO en Colombia
3 Proyecto Seguridad Informática ETAPA 1 Definición y Alcance Plan estratégico con proyección de 4 años Ventajas Obliga hacer el ejercicio a largo plazo En los cambios administrativos se disminuye el impacto y permite la continuidad de los proyectos Desventajas Se puede quedar corto el presupuesto y alcance por la evolución de la TI Cotizar herramientas que no se requieran en un futuro o varié la funcionalidad Cambios del personal gerencial y administrativo
4 DOWNLINK DOWNLINK DOWNLINK DOWNLINK DOWNLINK Switch 3300 Switch 3300 Switch 3300 Switch 3300 Switch x 1x 1x 1x 1x 12x 12x 12x 12x 12x STAT US green= enabled, link O K Flashing green= disabled, link O K off = link OK fail Packet Status STAT US Packet Status green= enabled, link OK Flashing green= disabled, link OK off = link OK fail Packet Status Packet Status green= enabled, link O K Flashing green= disabled, link O K off = link OK fail Packet Status 7 STAT US Packet Status STAT US green= enabled, link O K Flashing green= disabled, link O K off = link OK fail Packet Status Packet Status green= enabled, link O K Flashing green= disabled, link O K off = link OK fail Packet Status S TA T U S Packet Status MO DULE Packet Status MO DULE Packet Status Packet Status Packet Status Packet Status MO DULE MO DULE MO D U LE Power MGMT Power MGMT Power MG MT Power MG MT Power MG MT S witch 3000 Super Stack II Switch 3000 S witch 3000 Super Stack II Switch 3000 S witch 3000 SuperStack II Switch 3000 S witch 3000 SuperStack II Switch 3000 S witch 3000 SuperStack II Switch 3000 R R R R R Proyecto Seguridad Informática RED DE DATOS Antecedente (1) HUB 24P. P5 SWITCH 12P. HUB 24P. HUB 24P. HUB 24P. P4 SWITCH 24P. SWITCH 12P. HUB 12P. HUB 24P. HUB 24P. HUB 24P. P3 SWITCH 24P. SWITCH 12P. HUB 24P. HUB 24P. HUB 24P. P2 SWITCH 24P. SWITCH 24P. Consola Switch core ATM 6P. FIBRA OPTICA HUB 8P. HUB 24P. HUB 24P. HUB 12P P1 SWITCH 24P. SWITCH 12P. CONVENCIONES F.O OC12 F.O OC3 UTP FE
5 1x 12x green=enabled, link OK Flashinggreen=disabled, link OK off =link OK fail STATUS Packet Status Packet Status MODULE Packet Status Power MGMT Switch 3000 SuperStack II Switch 3000 R Proyecto Seguridad Informática Antecedente (2) Servidor WEB Firewall Router Internet Servidor Red local 2 Red local 1 HUB RAS SWITCH Usuarios Remotos Usuario Remoto Switch ATM RDSI y RTPC RDSI: Red Digital de Servicios Integrada RTPC: Red Telefónica Publica Conmutada ATM: Modo de Transferencia Asíncrono
6 ETAPA 1 Proyecto Seguridad Informática Fase I Diagnostico y diseño del modelo de seguridad de la infraestructura garantizando la funcionalidad de los servicios que tiene la organización. Definición de las políticas organizacionales entorno a la seguridad Adquirir herramientas básicas de seguridad informática y capacitación en las mismas. Identificar y corregir vulnerabilidades (Hardening) de sistemas operaciones de red Diagnostico y definición de los respaldos y la recuperación de la información.
7 ETAPA 1 Proyecto Seguridad Informática Fase I Contratos de servicios y conexiones con terceros. Diagnostico de las practicas en el desarrollo y mantenimiento de sistemas de información. Conservar el personal especializado Las herramientas adquiridas queden en total funcionamiento, garantizando la disponibilidad del Hardware, software y recurso humano requerido. Que este alineado con el estándar de seguridad Internacional ISO 17799
8 1x 12x STATUS green= enabled,link OK Flashinggreen=disabled, link OK of =link OKfail Packet Status Packet Status MODULE Packet Status Power MGMT Switch 3000 SuperStack II Switch 3000 R Proyecto Seguridad Informática ETAPA 1 Fase I Router Del ISP Servidor WEB Firewall Correo Externo DMZ Usuario Interno Remoto Appliance Antivirus IDS Sin enrutamiento S.O. Hardening Red local 2 Red local 1 HUB Firewall RAS FIREWALL SWITCH Replica Usuarios RDSI Switch ATM Servidor Usuarios RDSI RDSI y RTPC Usuarios Remotos
9 ETAPA 1 Proyecto Seguridad Informática Antecedente Fase II Router del ISP Servidor WEB Firewall DMZ Correo Externo Antivirus Usuarios Internos Remotos Switch Giga VLAN 1 Firewall VLAN 2 IDS RAS FIREWALL Usuarios Remotos RDSI y RTPC Usuarios Remotos
10 Proyecto Seguridad Informática ETAPA 1 Fase II (A) Certificados digitales Modulo de verificación de firmas para la comunicación entre la organización y los usuarios remotos Certificado de Servidor Seguro Capacitación
11 Proyecto Seguridad Informática ETAPA 1 Fase II (A) Utilización n del Certificado Digital: Firma Digital Mensaje de Datos Certificado Firma Digital Ok! Parte Confiante
12 Proyecto Seguridad Informática ETAPA 1 Fase II (A) Certificados Digitales Router Del ISP Servidor WEB Firewall Correo Externo Comunicaciones Antivirus DMZ Entidad Certificadora VLAN 1 Firewall VLAN 2 IDS RAS FIREWALL Directorio Usuarios Remotos RDSI y RTPC Usuario Remoto
13 Proyecto Seguridad Informática ETAPA 1 Fase II (B) Plan de Contingencia Diagnóstico de la Situación n Actual Mapas de Procesos Matriz de Riesgos BIA (Análisis de impacto del negocio) Plan de acciones Definición n de requerimientos para el retorno a la normalidad de las operaciones Estrategias de Recuperación n de Contingencias de TI.. Probar, P capacitar y ejercitar el plan.
14 Proyecto Seguridad Informática ETAPA 1 Esquema de Contingencia VLAN INTERNET Router Del ISP Servidor WEB IPS Firewall Entidad Certificadora 2 1 Comunicaciones VLAN 1 VLAN 2 Antivirus /Anti spam Correo externo VLAN DMZ Firewall Carrier Switch 1 2 RAS 3 PSTN Usuarios Remotos Puestos de trabajo 1 Usuarios RDSI 3 RAS FIREWALL Router Sitio Alterno Sistema critico 1 Sistema critico 2 Sistema critico 3 RDSI y RTPC Usuario Remoto 5
15 Proyecto Seguridad Informática ETAPA 1 Fase III Adquisición de Herramientas Control de contenido y direcciones de Internet Proxy Autenticación fuerte de usuarios Internos Certificados Digitales Token Firewalls personales
16 Proyecto Seguridad Informática ETAPA 1 Fase III VLAN INTERNET Router del ISP Servidor WEB IPS Firewall Firewall Servidor Control de URL / Proxy Servidor de Certificados Digitales Antivirus /Antispam Correo Externo VLAN DMZ Usuario Interno Remoto Desktop Firewall, Certificado Digital Token VLAN 1 Firewall Comunicaciones VLAN 2 RAS FIREWALL Certificado Interno Usuarios RemotosI RDSI y RTPC Usuarios Remotos Certificado ente externo Documento con Firma Electrónica
17 Proyecto Seguridad Informática ETAPA 1 Fase IV Riesgo Sistema de Prevención 2 1 Administrador de Vulnerabilidades Vulnerabilidad Explotar Arreglo (Patch / Hardening) Aplicar Retorno Normalidad Tiempo
18 Proyecto Seguridad Informática ETAPA 1 Fase IV Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticas Descubrir en línea dispositivos y realizar el mapa de manera automática de la infraestructura tecnológica Priorizar activos de acuerdo con el nivel de seguridad requerido. Verificar las vulnerabilidades de las plataformas y determinar el nivel de exposición al riesgo Facilitar la protección de los activos críticos, de acuerdo con los requerimientos y políticas del negocio.
19 Proyecto Seguridad Informática ETAPA 1 Fase IV Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticas Asignar, controlar y validar la remediación de forma autónoma. Capacitar en la configuración, administración y mantenimiento de la solución Acompañar la remediación con personal experto
20 Proyecto Seguridad Informática ETAPA 1 Fase IV Solución Fase de aprendizaje, se analiza por aplicación Identificación de los servicios a cerrar, entre más bloqueos más latencia Modo oculto, no muestra una dirección IP y tampoco una MAC.
21 Proyecto Seguridad Informática ETAPA 1 Fase IV Solución para mitigar el Riesgo Remediación Resultados: Califica por nivel de riesgo (Vulnerabilidad alta, media, baja e informativa) Criticidad por importancia del activo Gestión mediante tikes
22 Proyecto Seguridad Informática ETAPA 1 Fase IV Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticas Reducir y mitigar efectivamente el riesgo, balanceando el valor del activo, la severidad de la vulnerabilidad y la criticidad de las amenazas Focalizándose en los activos más importante Tomando medidas para dar continuidad a la organización Definiendo responsables de los sistemas de información Midiendo el progreso o evolución del riesgo de la infraestructura tecnológica
23 Proyecto Seguridad Informática ETAPA 1 Fase IV Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticas Identificación proactiva de las nuevas amenazas sobre los activos críticos Técnicamente mediante: Patch y/o actualización de S.O. y aplicaciones comerciales. Antivirus Software de automatización de oficina Bases de datos Correo electrónico Identificando software no autorizado o necesario
24 Proyecto Seguridad Informática ETAPA 1 Fase I a IV Preparación del recurso humano Herramientas de seguridad Sensibilización Concientización 1. Definición de Políticas de seguridad 2. Difusión Audiencia acorde a su interés 3. Segmentación de audiencias: Preparar para el cambio en el comportamiento del uso de la tecnología. Metodologías y Normas: a. Administradores de TI b. Gerencia y Gobierno Corporativo c. Funcionarios generales 1. ISO 9001: ISO Cobit 4. NTC ISO 27001
25 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 BASILEA II El Riesgo Operativo se define como: El riesgo de pérdida debido a la inadecuación o fallos de: procesos, el personal, sistemas internos o por causa de acontecimientos externos. Esta definición incluye el riesgo legal, pero excluye el estratégico y el de reputación. Administración del Riesgo Identificar el riesgo operacional implícito, en todos los productos, actividades, procesos y sistemas Política, procesos y procedimientos para la mitigación de RO Planes de contingencia y continuidad del negocio Se puede administrar?
26 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 Administración corporativa del riesgo (ERM) Conceptos fundamentales: Es un proceso Efectuado por personas Aplicado en la definición de la estrategia A través de toda la organización Identifica los eventos que potencialmente pueden afectar a la entidad Proveer seguridad razonable a la administración y a la junta directiva Orientado al logro de los objetivos Estándar AS/NZ 4360:1999 / NTC 5354 Gestión del Riesgo
27 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 ADMINISTRAR EL RIESGOS Establecer el contexto Comunicar y consultar Identificar riesgos Analizar riesgos Evaluar riesgos Aceptar riesgos No Tratar los riesgos Si Monitoreo y revisión Estándar AS/NZ 4360:1999 / NTC 5354 Gestión del Riesgo
28 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 ANÁLISIS DE RIESGOS Probabilidad Impacto Nivel Rango Raro Improbable Posible Probable Casi Seguro Nivel Rango Insignificante Menor Moderado Mayor Catastrofico EXTREMO ALTO MEDIO BAJO Nivel de riesgo
29 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 ANÁLISIS DE RIESGOS Probabilidad Impacto Nivel de riesgo Representa la posibilidad de ocurrencia de un evento Consecuencia que puede ocasionar en la organización la materialización de un riesgo
30 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 TRATAMIENTO DEL RIESGOS Elimina Reduce o Mitiga Acepta Traslada
31 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 MAPA DE RIESGOS Herramienta metodológica para realizar un inventario de los riesgos de una manera sistemática y ordenada. Representación o descripción de los aspectos considerados en la valoración y tratamiento de los riesgos. Medio para reportar los riesgos a múltiples niveles (organizacional, proceso o función)
32 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 MAPA DE RIESGOS Soportar la metodología de administración de riesgos. Documentar las fases del proceso de administración de riesgos. Comunicar los resultados del proceso.
33 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 MAPA DE RIESGOS 1. Identificación de riesgos RIESGO DESCRIPCION POSIBLES CONSECUENCIAS 2. Identificación, valoración y tratamiento de riesgos RIESGO IMPACTO PROBABILIDAD CONTROL EXISTENTE NIVEL RIESGO DE ACCIONES RESPONSABLES CRONOGRAMA INDICADOR Guía Administración del Riesgo - DAFP
34 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 MAPA DE RIESGOS 3. Identificación, valoración y tratamiento de riesgos Manual del Usuario Software Methodware
35 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 RO a Nivel Internacional MEXICO PERU ECUADOR Según la Comisión Nacional Bancaria y de Valores: ( ) como la pérdida potencial por fallas o deficiencias en los controles internos, por errores en el procesamiento y almacenamiento de las operaciones o en la transmisión de información, así como por resoluciones administrativas y judiciales adversas, fraudes o robos y comprende entre otros, al riesgo tecnológico y al riesgo legal, en el entendido que: El riesgo tecnológico, se define como la pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o dependencia en el hardware, software,sistemas, aplicaciones, redes y cualquier otro canal de distribución de información en la prestación de servicios bancarios con los clientes de la institución. Según la Superintendencia de Banca, Seguros y AFP: Las empresas deben administrar adecuadamente los riesgos de operación que enfrentan. Entiéndase por riesgos de operación a la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación. Según la Superintendencia de Bancos y Seguros (ECUADOR): La posibilidad de que se ocasionen pérdidas financieras por eventos derivados de fallas o insuficiencias en los procesos, personas, tecnología de información y por eventos externos. Incluye el riesgo legal.
36 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 RO a Nivel Internacional MEXICO PERU ECUADOR Según la Comisión Nacional Bancaria y de Valores: El riesgo legal, se define como la pérdida potencial por el incumplimiento de las disposiciones legales y administrativas aplicables, la emisión de resoluciones administrativas y judiciales desfavorables y la aplicación de sanciones, en relación con las operaciones que las instituciones llevan a cabo. Según la Superintendencia de Banca, Seguros y AFP: Riesgo legal: Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución de contratos o acuerdos, al incumplimiento no intencional de las normas, así como a factores externos, tales como cambios regulatorios, procesos judiciales entre otros. Según la Superintendencia de Bancos y Seguros (ECUADOR): Riesgo legal: Es la posibilidad de que se presenten pérdidas o contingencias negativas como consecuencia de fallas en contratos y transacciones que pueden afectar el funcionamiento o la condición de una institución del sistema financiero, derivadas de error, dolo, negligencia o imprudencia en la concertación, instrumentación, formalización o ejecución de contratos y transacciones. El riesgo legal surge también de incumplimientos de las leyes o normas aplicables.
37 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 RO a Nivel Internacional MEXICO 1.Objetivo: Impulsar la cultura de la administración de riesgos 2. Parte de una serie de Definiciones 3. Responsabilidad del Consejo y del Director General 4. Comité de Riesgo y Unidad para la administración integral de riesgos 5. Manuales para la administración Integral de Riesgos 6. Requerimientos de información, Supervisión 7. La auditoría interna PERU 1.Objetivo: Propender a que las empresas supervisadas cuenten con un sistema de control 2. Parte de una serie de definiciones 3. Responsabilidad del Directorio y la Gerencia 4. Unidad de Riesgos: 5. Creación de Manuales: de Organización y Funciones, de Políticas y Procedimientos, de Control de Riesgos. 6. Requerimientos de información 7. Auditoría interna y externa ECUADOR 1.Objetivo: Propender a que las instituciones del sistema financiero cuenten con un sistema de administración del riesgo operativo 2. Parte de unas definiciones 3. Responsabilidades en la Administración del R.O. Directorio u Organismo que haga sus veces 4. Comité de Administración Integral de Riesgos y Unidad de Riesgos 5. Procesos y Códigos de Conducta 6. Reportes 7. Sistema de control interno
38 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 RO a Nivel Internacional PERU Aspectos que Originan R.O: Procesos Internos: Riesgos asociados a: -Fallas modelos utilizados -Errores en transacciones -Evaluación inadecuada de contratos -Errores información contable -Inadecuada compensación, liquidación o pago -Insuficiencia recursos para el volumen de operaciones -Inadecuada documentación de transacciones -Incumplimiento de plazos y costos planeados. Tecnología de Información: Minimizar posibilidad de pérdidas financieras por uso inadecuado de sistemas informáticos y tecnologías que afectan operaciones y servicios de la empresa: Fallas en la seguridad y continuidad operativa de los sistemas informáticos Errores en el desarrollo e implementación de los mismos. Problemas calidad de información Inadecuada inversión de tecnología Fallas adecuación objetivo del negocio. Personas: Inadecuada capacitación Negligencia Error Humano Sabotaje Fraude, robo Apropiación información sensible Similares Eventos Externos: -Contingencias legales -Fallas en los servicios públicos -Ocurrencia en los desastres naturales -Atentados y actos delictivos -Fallas en servicios críticos provistos por terceros. ECUADOR Identificación Eventos que Originan RO: Las entidades deberán identificar por línea de negocio, los eventos de RO, agrupados por tipo de evento, así: -Fraude interno -Fraude externo -Prácticas laborales y seguridad del ambiente de trabajo. -Prácticas relacionadas con los clientes, los productos y el negocio. -Daños a los activos físicos. -interrupción del negocio por fallas en la tecnología de información. -Deficiencias en la ejecución de procesos, en el procesamiento de operaciones y en las relaciones con proveedores y terceros. Los eventos de RO y las fallas e insuficiencias serán identificados con los factores de riesgo a través de una metodología formal, debidamente documentada y aprobada, la cual puede incorporar utilización de herramientas como : Auto evaluación, mapas de riesgos, indicadores, tablas de control (scorecards), bases de datos, etc. Una vez identificados los eventos de RO, LOS NIVELES DIRECTIVOS deben decidir si: El riesgo se asume, se comparte, se evita, o se transfiere. Con el propósito de reducir sus consecuencias y efectos, y alertar al directorio y a la Alta Gerencia en la toma de decisiones y acciones como: Implantar planes de contingencia, revisa estrategias, actualizar o modificar procesos, implantar o modificar límites de riesgo, etc.
39 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 Riesgo Operativo en Colombia Que de acuerdo con el artículo 325, numeral 2, parágrafo 1º del Estatuto Orgánico del Sistema Financiero, podrán ser sometidas a la vigilancia de la Superintendencia Bancaria de Colombia, las entidades que administren los sistemas de tarjetas de crédito o de débito, así como las que administren sistemas de pago y compensación El riesgo operativo es: El riesgo de errores humanos o de falla en los equipos, los programas de computación o los sistemas y canales de comunicación que se requieran para el adecuado y continuo funcionamiento de un sistema de pago. La misma disposición definió el riesgo legal así: Riesgo de que un participante incumpla definitivamente con la obligación resultante de la compensación y/o liquidación a su cargo por causas imputables a debilidades o vacíos del marco legal vigente, los reglamentos o los contratos y, por lo tanto, afectan la exigibilidad de las obligaciones contempladas en estos últimos. Decreto 1400 de 2005 Ministerio de Hacienda y Crédito Público
40 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 Riesgo Operativo en Colombia Articulo 4º: a) Criterios de acceso. Tales criterios deberán ser objetivos y basarse en adecuadas consideraciones de prevención y mitigación de los riesgos a que se refiere el literal c) del presente artículo; c) Reglas y procedimientos con que contará la entidad con el fin de prevenir y mitigar los riesgos a que se expone en el desarrollo de su actividad, en especial, los de crédito, legal, liquidez, operativo, sistémico, y de lavado de activos; Decreto 1400 de 2005 Ministerio de Hacienda y Crédito Público
41 Riesgo Operativo Como Herramienta Estratégica ETAPA 2 Riesgo Operativo en Colombia Artículo 5. h) El deber de los participantes de contar con planes de contingencia y de seguridad informática, para garantizar la continuidad de su operación en el Sistema de Pago de Bajo Valor; o) El manejo de la confidencialidad y la provisión de información a los participantes. Igualmente, los compromisos que adquiere la entidad administradora del Sistema de Pago de Bajo Valor para proteger la información y prevenir su modificación, daño o pérdida; Publíquese y cúmplase, dado en Bogotá, D. C., 4 de mayo de ÁLVARO URIBE VÉLEZ Decreto 1400 de 2005 Ministerio de Hacienda y Crédito Público
42 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia 2. Medición, Evaluación y limitación de Riesgos En la evaluación de los riesgos las entidades deben definir objetivos (De cumplimiento, de Operación, De información financiera y contable y De manejo del cambio) y limites, igualmente ante los cambios económicas, financieras, regulatorias y operativas, estos deben ser cambiantes. La administración también debe establecer parámetros para medir esos riesgos especiales y prevenir su posible ocurrencia a través de mecanismos de control e información. UN RIESGO NO TIPIFICADO NI MEDIDO ES UN PROBLEMA DE CONTROL INTERNO. Las entidades deben implementar sistemas ágiles de información que capturen e identifiquen claramente las condiciones cambiantes que afecten sus objetivos así como el análisis de las oportunidades asociadas a los riesgos. Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno
43 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia 2. Medición, Evaluación y limitación de Riesgos Las entidades deben implementar sistemas ágiles de información que capturen e identifiquen claramente las condiciones cambiantes que afecten sus objetivos así como el análisis de las oportunidades asociadas a los riesgos. Cambio en el ambiente de operación Personal Nuevo Sistemas nuevos o reconstruidos Tecnología nueva Línea, productos y actividades nuevas Reestructuración corporativa y Operaciones en el exterior Las entidades deben identificar los cambios que se deban realizar o que ocurrirán, de tal forma que le permitan a la administración anticipar y planear los cambio significativos, a los riesgos nuevos y a sus efectos. Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno
44 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia 3. Control de Actividades El control Interno de las entidades vigiladas debe ser efectivo y eficiente Es indispensable que las entidades implementen la ejecución de las políticas a través de toda la organización en todos los niveles y en todas las funciones e incluye el establecimiento de procedimientos obligatorios para todas las actividades. Este control tiene distintas características, pueden ser manuales o computarizadas, administrativas u operacionales, generales o especificas, preventivas o detectivas. Sin embargo todas ellas deben tener como objetivo principal la determinación y prevención de los riesgos (Potenciales o reales) en beneficio de la entidad Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno
45 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia 4. Monitoreo Las entidades vigiladas deben implementar sistemas de monitoreo en toda la organización hasta lograr el control de su marcha integrar. Es importante que se establezcan controles automáticos o alarmas tanto en los sistemas computacionales como en los manuales para que permanentemente se valore la calidad y el desempeño del sistema, pues ello equivale a una actividad de supervisión y administración. Para ello dicho monitoreo se debe realizar en todas las etapas del proceso y en tiempo real en el curso de las operaciones Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno
46 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia RESPONSABILIDAD DE LA JUNTA DIRECTIVA Y DE LA ALTA GERENCIA: Fijación de límites para la toma de riesgos en dichas actividades y el adoptar las medidas REQUISITOS Y CARACTERÍSTICAS DE LA GESTIÓN DE RIESGOS: Deben existir estrategias, políticas y mecanismos de medición y control para los riesgos de crédito y/o contraparte, mercado, liquidez, operacionales y legales. RESPONSABILIDADES Y REPORTES DE CONTROL DE RIESGOS: Debe ser informada mensualmente sobre los niveles de riesgo y el desempeño del área de tesorería. De manera inmediata si se presentan violaciones importantes o sistemáticas a las políticas y límites internos REQUISITOS DEL SISTEMA DE CONTROL Y GESTION DE RIESGOS: Tener un sistema manual o automático de medición y control de los riesgos inherentes al negocio de tesorería Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería
47 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia CARACTERÍSTICAS MÍNIMAS DE LOS ANÁLISIS POR TIPO DE RIESGO Riesgo Operacional: c) Los equipos computacionales y las aplicaciones informáticas empleadas, tanto en la negociación como en las actividades de control y la función operacional de las tesorerías, guarden correspondencia con la naturaleza, complejidad y volumen de las actividades de tesorería. f) Exista un adecuado plan de contingencia en caso de presentarse dificultades en el funcionamiento de los sistemas de negociación o de una falla en los sistemas automáticos utilizados por el Middle Office y el Back Office. Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería g)exista un plan de contingencia en la entidad que indique qué hacer en caso de que se aumenten las exposiciones por encima de los límites establecidos a cualquier tipo de riesgo.
48 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia Riesgo Operacional: h) Los parámetros utilizados en las aplicaciones informáticas de medición y control de riesgos estén dentro de los rangos de mercado y sean revisados periódicamente, al menos de forma mensual. Riesgo legal Las operaciones realizadas deben ser formalizadas por medio de un contrato, el cual debe cumplir tanto con las normas legales pertinentes como con las políticas y estándares de la entidad. Los términos establecidos en los contratos deben encontrarse adecuadamente documentados. La participación en nuevos mercados o productos debe contar con el visto bueno del área jurídica, en lo que respecta a los contratos empleados y el régimen de inversiones y operaciones aplicable a cada entidad. Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería
49 ETAPA 2 Riesgo Operativo Como Herramienta Estratégica Riesgo Operativo en Colombia POLÍTICAS DE PERSONAL a. La Alta Gerencia de la entidad debe garantizar que el personal vinculado en las labores de trading, control y gerencia de riesgos, back office, contabilidad y auditoría de las operaciones de tesorería tenga un conocimiento profundo de los productos transados y de los procedimientos administrativos y operativos asociados. b. En particular, el personal del área de monitoreo y control de riesgos debe poseer un conocimiento profundo de la operatividad de los mercados y de las técnicas de valoración y de medición de riesgos, así como un buen manejo tecnológico. c. Las políticas de remuneración del personal encargado de las negociaciones deben definirse de manera que no incentiven un apetito excesivo por riesgo. En este sentido, las escalas salariales no deben depender exclusivamente del resultado de las labores de trading. Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería
50
I. INTRODUCCIÓN DEFINICIONES
REF.: INSTRUYE SOBRE LA IMPLEMENTACIÓN DE LA GESTIÓN DE RIESGO OPERACIONAL EN LAS ENTIDADES DE DEPÓSITO Y CUSTODIA DE VALORES Y EN LAS SOCIEDADES ADMINISTRADORAS DE SISTEMAS DE COMPENSACIÓN Y LIQUIDACIÓN
Más detallesSEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA Seguridad de la información? Vs Seguridad? ISO/IEC 17799 ISO/IEC 2700 -> SGSI Organización de Estándares Internacionales/Comisión Electrotécnica
Más detallesLIBRO I.- NORMAS GENERALES PARA LA APLICACIÓN DE LA LEY GENERAL DE INSTITUCIONES DEL SISTEMA FINANCIERO
LIBRO I.- NORMAS GENERALES PARA LA APLICACIÓN DE LA LEY GENERAL DE INSTITUCIONES DEL SISTEMA FINANCIERO TITULO X.- DE LA GESTION Y ADMINISTRACION DE RIESGOS CAPITULO II.- DE LA ADMINISTRACIÓN DEL RIESGO
Más detallesCONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA
CONCEJO MUNICIPAL DE CHOCONTA- CUNDINAMARCA PLAN DE MANEJO DE RIESGOS Contenido PLAN DE MANEJO DE RIESGOS.... 3 Elaboración del mapa de riesgos... 3 Monitoreo... 4 Autoevaluación... 4 Metodología... 7
Más detallesPOLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST
POLÍTICA PARA LA GESTIÓN INTEGRAL DE RIESGOS EN IBERPLAST VERSIÓN: 01 1. Presentación y Contexto El riesgo es una condición inherente en las organizaciones. Es por eso que, La Junta Directiva y el Comité
Más detallesGestión del Riesgo Operacional - Experiencia del Perú -
Gestión del Riesgo Operacional - Experiencia del Perú - Septiembre 2013 Claudia Cánepa Silva MBA PMP Supervisor Principal de Riesgo Operacional Superintendencia de Banca, Seguros y AFP Agenda Organización
Más detallesCapítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL
Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL Luego de la identificación de riesgos amenazas y vulnerabilidades se pudo determinar el conjunto de actividades más importantes a ser realizadas por el
Más detallesSistema de Administración del Riesgos Empresariales
Sistema de Administración del Riesgos Empresariales Si tomas riesgos podrías fallar. Si no tomas riesgos, seguramente fallarás. El riesgo mayor de todos es no hacer nada Roberto Goizueta CEO Coca-Cola
Más detallesDESCRIPCIÓN DEL PROCESO DE RIESGO OPERACIONAL
DESCRIPCIÓN DEL PROCESO DE RIESGO Julio 10, de 2012 INDICE Proceso Riesgo Operacional... 1 Objetivo General... 1 Objetivos Específicos... 1 I. Identificación del Riesgo.... 1 II. Medición y Mitigación
Más detallesNorma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información
Norma NTC-ISO/IEC 27001 Sistema de Gestión de Seguridad de Información AGENDA SISTEMA DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN CONCEPTOS BÁSICOS QUÉ ES LA NORMA ISO/IEC 27001:2005? ORIGEN NORMA ISO/IEC
Más detallesEl Comité de Riesgos establece políticas y estrategias de riesgo, da seguimiento a las mismas y vigila su cumplimiento.
ADMINISTRACION INTEGRAL DE RIESGOS La función de identificar, medir, monitorear, controlar e informar los distintos tipos de riesgo a que se encuentra expuesta Banca Afirme, está a cargo de la Unidad de
Más detalles14-A NOTA 17 CONTROLES DE LEY Durante los ejercicios comprendidos entre el 1 de enero y el 31 de diciembre de 2011 y 2010, la Compañía ha dado debido cumplimiento a los controles de ley que le son aplicables,
Más detallesCOMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL
COMPONENTES DEL SISTEMA DE CONTROL INTERNO COMITÉ DE CONTROL INTERNO- SISOL COMPONENTES DEL SISTEMA DE CONTROL INTERNO 1. 2. 3. 4. 5. Ambiente de Control. Evaluación de Riesgos. Actividades de Control
Más detallesMODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013
1 MODELOS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN MADRID, 27 DE MAYO DE 2013 Qué es la Seguridad de la 2 Información? La información es un activo que, como otros activos importantes del negocio, tiene
Más detallesLINEAMIENTOS ADMINISTRACIÓN DEL RIESGO
LINEAMIENTOS ADMINISTRACIÓN DEL RIESGO Código: DG-D-008 - Versión: 03 - Fecha Emisión: 01/03/2013 1/14 Contenido 1. OBJETIVOS....3 2. ALCANCE....4 3. REFERENCIAS NORMATIVAS....4 4. TERMINOS Y DEFINICIONES...5
Más detallesINDICE Gestión Integral de Riesgos Gobierno Corporativo Estructura para la Gestión Integral de Riesgos 4.1 Comité de Riesgos
INFORME GESTION INTEGRAL DE RIESGOS 2014 1 INDICE 1. Gestión Integral de Riesgos... 3 2. Gobierno Corporativo... 4 3. Estructura para la Gestión Integral de Riesgos... 4 4.1 Comité de Riesgos... 4 4.2
Más detallesS A R L AFT Un cambio de cultura y gestión en la prevención del Riesgo de Lavado de Dinero en Paraguay
S A R L AFT Un cambio de cultura y gestión en la prevención del Riesgo de Lavado de Dinero en Paraguay INSTRUCCIONES RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO DE LAVADO DE ACTIVOS Y DE LA FINANCIACIÓN DEL
Más detalles12 JUNIO 2014. Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 Rev.3: 05 Marzo 2015. 1 de 76. BN-MOF-2400-10-05 Rev.3 MOF DEPARTAMENTO DE INFORMÁTICA
Rev.1: 07 Agosto 2014 Rev.2: 06 Octubre 2014 : 05 Marzo 2015 MANUAL DE ORGANIZACIÓN Y FUNCIONES DEPARTAMENTO DE INFORMÁTICA Aprobado mediante Resolución de Gerencia General EF/92.2000 N 020-2014, de fecha
Más detallesINFORME DE RIESGO OPERATIVO
INFORME DE RIESGO OPERATIVO 1 Julio 2015 Contenido 1. Introducción... 3 2. Riesgo Operativo... 3 2.1 Concepto... 3 2.2. Eventos... 3 2.3. Proceso de Gestión de Riesgo Operativo... 5 3. Objetivos... 5 4.
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS N 354-2011, del 17 de
Más detallesPOLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A.
POLÍTICAS DE CONTROL INTERNO DE LA BOLSA DE VALORES DE COLOMBIA S.A. 1. ÁMBITO DE APLICACIÓN El presente documento establece los lineamientos generales mínimos que deben observar los administradores y
Más detallesGestión de Seguridad Informática
Gestión de Seguridad Informática La información es un activo que es esencial al negocio de una organización y requiere en consecuencia una protección adecuada. La información puede estar impresa o escrita
Más detalles1.8 TECNOLOGÍA DE LA INFORMACIÓN
Objetivo General: 1.8 TECNOLOGÍA DE LA INFORMACIÓN Establecer una infraestructura y plataforma tecnológica y de sistemas de información, y definir las políticas, estrategias y directrices para su implantación
Más detallesPOLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP)
POLÍTICA DE CONTINUIDAD DEL NEGOCIO (BCP,DRP) SISTESEG Bogotá Colombia Artículo informativo SISTESEG uso no comercial. Política Continuidad del Negocio (BCP/DRP) 1.1 Audiencia Esta política aplicará para
Más detallesEVALUACIÓN DEL CONTROL INTERNO CONTABLE VIGENCIA 2013
EVALUACIÓN DEL CONTROL INTERNO CONTABLE VIGENCIA 2013 En cumplimiento de las funciones asignadas a la Oficina de Control Interno, desarrollamos los procedimientos de auditoría que se indican más adelante,
Más detallesTRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas.
CAPITULO 1-7 (Bancos y Financieras) MATERIA: TRANSFERENCIA ELECTRONICA DE INFORMACION Y FONDOS. 1.- Aplicación de las presentes normas. Las presentes normas se refieren a la prestación de servicios bancarios
Más detallesGUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA DE SEGURIDAD DE LA INFORMACIÓN GUÍA GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción La información puede adoptar o estar representada en diversas formas: impresa o escrita (papeles de trabajo,
Más detallesMACROPROCESO DE APOYO PROCESO GESTIÓN CALIDAD PROCEDIMIENTO ADMINISTRACION DEL RIESGO
PAGINA: 1 de 7 OBJETIVO Identificar los riesgos, realizar el análisis y valoración de los mismos, con el fin de determinar las acciones de mitigación, que permitan intervenir los eventos internos y externos,
Más detallesMANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA
MANUAL DE ORGANIZACIÓN Y FUNCIONES GERENCIA DE INFORMÁTICA Aprobando mediante Resolución de Gerencia General N 052-2015 de fecha 26 Junio 2015 ELABORADO POR: APROBADO POR: 1 de 82 ÍNDICE 1 INTRODUCCIÓN...
Más detallesMANUAL DE POLITICAS DE RIESGO ESTRATEGICO
MANUAL DE POLITICAS DE RIESGO ESTRATEGICO REGISTRO DE CAMBIOS Y REVISIONES Fecha Descripción del cambio o revisión Versión Responsable 26.05.2014 Manual de Políticas de Riesgo Estratégico 1.0 Carlos Zapata
Más detallesInformación del Proyecto en http://colombia.casals.com
ENTIDADES DE LA ALIANZA PROGRAMA EFICIENCIA Y RENDICIÓN DE CUENTAS EN EL ESTADO COLOMBIANO Información del Proyecto en http://colombia.casals.com 1 MODELO ESTÁNDAR DE CONTROL INTERNO MECI- CAPACITACIÓN
Más detallesa) Descripción de los aspectos cualitativos con el proceso de administración integral de riesgos
Datos a junio 2015 ACTINVER CASA DE BOLSA Actinver Casa de Bolsa, S.A. de C.V., Grupo Financiero Actinver opera bajo un perfil de riesgos conservador, tanto en operaciones por cuenta propia, como en intermediación
Más detallesAdministración de Riesgos
Administración de Riesgos La Operadora de Fondos proveerá lo necesario para que las posiciones de riesgo de las Sociedades de Inversión de renta variable y en instrumentos de deuda a las que presten servicios
Más detallesUnidad 6: Protección Sistemas de Información
Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información U.N.Sa. Facultad de Cs.Económicas SIG 2015 UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad
Más detallesQué pasa si el entorno de seguridad falla?
Sistemas de Información para la Gestión Unidad 6: Protección Sistemas de Información UNIDAD 6: PROTECCIÓN DE LOS SISTEMAS DE INFORMACIÓN 1. Seguridad, Privacidad e Integralidad: Objetivos de la seguridad
Más detallesRiesgos discrecionales Son aquellos resultantes de la toma de una posición de riesgo, como:
ADMINISTRACIÓN DE RIESGOS: Con el fin de cumplir con las Disposiciones de Carácter Prudencial en Materia de Administración Integral de Riesgos Aplicables a las Instituciones de Crédito vigentes, a continuación
Más detallesPara cumplimiento con esta misión, los objetivos marcados para esta Función son los siguientes:
Enero 5 de 2015 GESTIÓN Y CONTROL DE RIESGOS Helm Fiduciaria S.A., como parte integrante del Grupo Corpbanca, está soportada por la infraestructura que el Grupo ha diseñado para controlar y gestionar los
Más detallesRiesgo Operacional. BBVA Bancomer Gestión S.A. de C.V. Sociedad Operadora de Sociedades de Inversión. Metodología
BBVA Bancomer Gestión S.A. de C.V. Sociedad Operadora de Sociedades de Inversión Metodología Contenido Sección I Modelo Estratégico Visión organizacional Formas de gestión: ex-ante y ex-post Sección II
Más detallesAspectos Cualitativos Relacionados con la Administración Integral de Riesgos
31 de Agosto de 2015 Aspectos Cualitativos Relacionados con la Administración Integral de Riesgos Las debilidades en el sistema financiero de un país pueden amenazar su estabilidad financiera y económica.
Más detallesV.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN
V.4 SUBDIRECCIÓN DE TECNOLOGÍAS DE INFORMACIÓN Página 1 de 19 Área(s)/Órgano(s) Colegiado(s) Acuerdo(s)/FAC CONTENIDO Número Tema Página Hoja de aprobación 3 Organigrama de la 4 133000 5 133100 Gerencia
Más detallesGESTIÓN DE RIESGOS. Oficina de Planeación 2013
GESTIÓN DE RIESGOS Oficina de Planeación 2013 AGENDA 1. QUÉ ES LA GESTIÓN DE RIESGOS? 2. ETAPAS DE LA GESTIÓN DEL RIESGO 3. CLASES DE RIESGOS 4. CATEGORIAS DE RIESGOS 5. CAUSAS Y EFECTOS ASOCIADAS A LOS
Más detallesPLANEACIÓN INTEGRAL FECHA DE APROBACIÓN: 03/02/2015
1. Introducción Teniendo en cuenta que la administración de riesgos es estratégica para el logro de los objetivos institucionales a continuación se enuncian las principales guías o marcos de acción que
Más detallesPolítica General de Control y Gestión de Riesgos
Empresas Inarco Política General de Control y Gestión de Riesgos Auditoría Interna 2014 POLITICA GENERAL DE CONTROL Y GESTION DE RIESGOS EMPRESAS INARCO La Política General de Control y Gestión de Riesgos,
Más detallesGestión de riesgo operacional
Gestión de riesgo operacional Vicente Lazen J. Jefe División Custodia y Liquidación de Valores Superintendencia de Valores y Seguros Chile Presentación y Taller sobre el Estudio del Registro, Compensación
Más detallesDOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013
DOCUMENTO TECNICO PROGRAMA DE MEJORAMIENTO DE LA GESTIÓN (PMG) PROGRAMA MARCO AÑO 2013 Agosto 2012 VERSIÓN N 01- PMB 2013 AGOSTO 2012 1 de 18 DOCUMENTO ELABORADO POR EL DEPTO. DE GESTIÓN DE LA DIVISIÓN
Más detallesCONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA
CONCEPTOS GENERALES SOBRE SEGURIDAD INFORMATICA Hoy en día las redes de comunicaciones son cada vez mas importantes para las organizaciones ya que depende de estás, para que exista un manejo adecuado de
Más detallesISO/IEC 27001 Sistema de Gestión de Seguridad de la Información
Sistema de gestión de seguridad de la información ISO/IEC 27001 En la sociedad moderna de la información y el conocimiento, las empresas se encargan del procesamiento de datos empresariales a través de
Más detallesPOLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL
POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL Osvaldo G. Marinetti Política Provincial de Seguridad de la Información Alineada con el Plan Maestro
Más detallesRIESGO DE LAVADO DE ACTIVOS
RIESGO DE LAVADO DE ACTIVOS CONOZCA A SU AFILIADO/CLIENTE Una gestión eficaz de los riesgos financieros exige en la actualidad procedimientos de Conozca a su Afiliado/Cliente más sólidos, amplios y seguros.
Más detallesTaller Nacional Sistema de Seguridad de la Información. Departamento de Gestión Sectorial TIC
Taller Nacional Sistema de Seguridad de la Información Departamento de Gestión Sectorial TIC Octubre 2014 TALLER SISTEMA DE SEGURIDAD DE LA INFORMACION Agenda 1. Introducción, fundamentos y definiciones
Más detallesGUÍA GESTIÓN DE RIESGOS DE FRAUDE GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP
GUÍA GESTIÓN DE RIESGOS DE FRAUDE GUÍA DE GOBIERNO CORPORATIVO PARA EMPRESAS SEP 1. Introducción Hasta hace poco en Chile, casos como los de Enron o Lehman Brothers eran vistos como temas de muy baja probabilidad
Más detallesProceso: AI2 Adquirir y mantener software aplicativo
Proceso: AI2 Adquirir y mantener software aplicativo Se busca conocer los estándares y métodos utilizados en la adquisición de y mantenimiento del software. Determinar cuál es proceso llevado a cabo para
Más detallesGuía de indicadores de la gestión para la seguridad de la información. Guía Técnica
Guía de indicadores de la gestión para la seguridad de la información Guía Técnica 1 HISTORIA VERSIÓN FECHA CAMBIOS INTRODUCIDOS 2.0 11/30/2011 Documento del Modelo Anterior 3.0 25/05/2015 Ajustes por
Más detallesAnexo I. Politicas Generales de Seguridad del proyecto CAT
Anexo I Politicas Generales de Seguridad del proyecto CAT 1 Del Puesto de Servicio. Se requiere mantener el Puesto de Servicio: a) Disponible, entendiendo por ello que el Puesto de Servicio debe estar
Más detallesGestión del Servicio de Tecnología de la información
Gestión del Servicio de Tecnología de la información Comentario de la norma ISO 20000 bajo el enfoque de ITIL Autor: Francisco Tejera (ISO 20000 Practitioner) Agenda 1-2-3 INTRODUCCIÓN 4 5 REQUISITOS GENERALES
Más detallesRELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA
RELACIÓN ENTRE ADMINISTRACIÓN DE RIESGO Y AUDITORÍA INTERNA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. CONTENIDO Introducción Antecedentes Evolución de la Gestión de Riesgo Gestión
Más detallesPOLÍTICA DE TECNOLOGÍA DE INFORMACIÓN
TABLA DE CONTENIDO 1. OBJETIVO... 1 2. ALCANCE... 1 3. CONTENIDO DE LA POLÍTICA... 1 3.1 Premisas generales para el cumplimiento de la política... 2 3.2 Contenido de la política... 3 3.2.1 Responsabilidades
Más detallesRIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA. José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM.
RIESGO OPERACIONAL. LA VISION DE LA GERENCIA CON APOYO DEL COMITÉ DE AUDITORíA José Manuel Taveras Lay Contralor BANCO CENTRAL DE LA REP. DOM. Introducción Antecedentes CONTENIDO Evolución de la Gestión
Más detallesPolíticas de Seguridad de la información
2014 Políticas de Seguridad de la información JAIRO BRAVO MENDOZA POSITIVA S.A. Página No 1 de 9 Introducción 2 Políticas de seguridad de la información 2 a. Política de Seguridad de la Información 2 b.
Más detallesPolíticas de seguridad de la información. Empresa
Políticas de seguridad de la información Empresa Mes Año Aviso legal Control de versiones del documento Versión Fecha Creada por Descripción 1.0 Abril 10 de 2014 Héctor Vargas Creación del documento Contenido
Más detallesREGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A
REGLAMENTO COMITÉ DE AUDITORÍA COMPAÑÍA MUNDIAL DE SEGUROS S.A Bogotá D.C. 2011 CONTENIDO I. Aspectos Generales 1.1 Objetivo del Comité de Auditoría 1.2 Normatividad Vigente para el Comité de Auditoría
Más detallesSistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1)
INSTITUTO URUGUAYO DE NORMAS TECNICAS Sistemas de gestión en servicios de TI (UNIT ISO/IEC 20000-1) Ing. Virginia Pardo 30 de Julio 2009 Servicios y calidad El proceso de proveer un servicio es la combinación
Más detallesConsejo Superior Universitario Acuerdo 046 de 2009 página 2
CONSEJO SUPERIOR UNIVERSITARIO ACUERDO 046 DE 2009 (Acta 15 del 1 de diciembre) Por el cual se definen y aprueban las políticas de Informática y Comunicaciones que se aplicarán en la Universidad Nacional
Más detallesPrincipio Básico de Seguros IAIS No. 10 Control Interno. Experiencia Peruana. Superintendencia de Banca, Seguros y AFP Abril 2010.
Principio Básico de Seguros IAIS No. 10 Control Interno Experiencia Peruana Tomás Wong-Kit Superintendencia de Banca, Seguros y AFP Abril 2010 Contenido Definición de PBS IAIS No. 10 Objetivos exposición
Más detallesEstado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 Documento: A5_Politica_Seguridad_V2
Estado: Aprobación Versión: 2.0 Fecha: 04/11/2009 Página 1 de 9 INDICE 1. DECLARACIÓN DE LA POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN... 3 2. POLÍTICA DE SEGURIDAD... 4 2.1. OBJETIVOS... 4 2.2. ALCANCE...
Más detallesSu aliado Estratégico. José E. Quintero Forero CISM, CRISC
Su aliado Estratégico José E. Quintero Forero CISM, CRISC Abril 27 de 2011 Entorno de Negocios. Gobierno de Seguridad de la Información. Seguridad de la Información. Gestión de Riesgos. Portafolio de Servicios
Más detallesTEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799.
TEMA 39 Código de buenas prácticas para la Gestión de la Seguridad de la Información. Norma UNE-ISO 17799. Índice 1 Introducción... 1 2 La Norma UNED-ISO 27002... 2 2.1 Estructura de la norma...3 2.1.1
Más detallesABC SCORING SOLUTION EXPRESS
ABC SCORING SOLUTION EXPRESS DOCUMENTO ACUERDOS NIVELES DE SERVICIO Bogota Colombia TABLA DE CONTENIDO 1. Objetivo... 3 2. Alcance... 3 3. Ejecutores Del Proceso Y Escalamiento... 3 4. Descripción del
Más detallesSUPERINTENDENCIA FINANCIERA DE COLOMBIA
Página 1 CAPITULO XXIII REGLAS RELATIVAS A LA ADMINISTRACIÓN DEL RIESGO OPERATIVO Consideraciones generales En desarrollo de sus operaciones, las entidades sometidas a la inspección y vigilancia de la
Más detallesLa auditoría operativa cae dentro de la definición general de auditoría y se define:
AUDITORIA DE SISTEMAS DE INFORMACIÓN Definición de auditoría: Se define como un proceso sistemático que consiste en obtener y evaluar objetivamente evidencias sobre las afirmaciones relativas los actos
Más detallesDirección de Planificación y Desarrollo Descripción de Programas y Proyectos - Octubre - 2014
Dirección de Planificación y Desarrollo Descripción de Programas y Proyectos - Octubre - 2014 Proveer el Data Center de equipo para la prevención y sofocación de incendios La Superintendencia de Valores
Más detallesWashington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL
Washington Deza - Lima, Setiembre 2011 GESTION DEL RIESGO OPERACIONAL RIESGO OPERATIVO Riesgo de Mercado Riesgo de Crédito Reputacion al Riesgo Operacion al Riesgo de Liquidez Riesgo Legal Lavado de Activos
Más detalles1.1. Sistema de Gestión de la Calidad
1.1. Sistema de Gestión de la Calidad ÁREA: GESTIÓN DE LA CALIDAD SISTEMA: GESTIÓN DE LA CALIDAD ETAPA I - OBJETIVOS REQUISITOS TÉCNICOS 2012 1. La institución realiza un diagnóstico del estado actual
Más detallesPROPUESTA DE CERTIFICACION
PROPUESTA DE CERTIFICACION Ofrecemos asesorías para cualquier tipo de empresa en cuanto al diseño, implementación, certificación, mantenimiento y mejoramiento del Sistema de Gestión de Calidad (ISO 9001:2008),
Más detallesCapítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL
Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL 4.1 Situación actual La administración de seguridad de información se encuentra distribuida principalmente entre las áreas de sistemas
Más detallesBasado en la ISO 27001:2013. Seguridad de la Información
Basado en la ISO 27001:2013 Agenda Gobierno de Organización del Proyecto Alineando el negocio con la Gestión de Riesgos Indicadores de gestión Mejora Continua Gobierno de Gobierno de Seguridad de la Información
Más detallesEstándar de Supervisión Actual-Futura
Estándar de Supervisión Actual-Futura Acciones Inmediatas El primer paso para iniciar el proceso hacia Basilea II es el desarrollo de los mecanismos más esenciales para la implementación de verdaderos
Más detallesPolítica de Seguridad y Salud Ocupacional. Recursos. Humanos. Abril 2006
Endesa Chile Políticas de Índice 1. PRINCIPIOS 2. LINEAMIENTOS GENERALES 2.1 Organización 2.2 Identificación de Peligros y Evaluación de Riesgos 2.3 Planificación Preventiva 2.4 Control de la acción preventiva
Más detallesREGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1
A. Toda la información de carácter geográfico que sea utilizada, producida y en general custodiada por las entidades miembros de IDECA, debe ser clasificada y priorizada conforme a los niveles de relevancia
Más detallesSistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención
Sistema de Gestión de Prevención de Riesgos Laborales. Auditorías de Prevención Autor: autoindustria.com Índice 0. Introducción 1. Auditorías del Sistema de Prevención de Riesgos Laborales 1.1. Planificación
Más detallesPolíticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A
Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A 1 VERSIÓN 01 PREFIN S.A. 11 Mayo 2014 INDICE 1. INTRODUCCION.3 2. OBJETIVOS.3 3. PLANES DE CONTINGENCIA 3 4. SEGURIDAD DE DATOS PLATAFORMA
Más detallesTERCERIZACIÓN DE SERVICIOS DE TI. ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad
TERCERIZACIÓN DE SERVICIOS DE TI ANEXO 4 - Actividades y niveles de servicio definidos para Primer Nivel de Soporte en Seguridad 1. ALCANCE: El Primer Nivel de Soporte en Seguridad atenderá todas las solicitudes
Más detallesINFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO
INFORME DE GESTIÓN SOBRE EL SISTEMA DE CONTROL INTERNO TEXTO DEL INFORME QUE LA PRESIDENCIA DE DECEVAL PONE A CONSIDERACIÓN DE LA JUNTA DIRECTIVA Y QUE DEBE INCLUIRSE EN EL INFORME ANUAL DE GESTIÓN El
Más detallesPolítica para la Gestión Integral de Riesgos
Política para la Gestión Integral de Riesgos MOTIVACIÓN Como empresa responsable, ISAGEN incorpora en su gestión las prácticas que permitan asegurar su sostenibilidad, preservando los recursos empresariales
Más detallesUNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES
UNIVERSIDAD TECNOLÓGICA DE PANAMÁ SECRETARÍA GENERAL FACULTAD DE INGENIERÍA DE SISTEMAS COMPUTACIONALES DESCRIPCIÓN DE CURSO DE LA CARRERA DE MAESTRÍA Y POSTGRADO EN AUDITORÍA DE SISTEMAS Y EVALUACIÓN
Más detallesCapitulo 1-14. Prevención de Lavado de Activos y del Financiamiento del Terrorismo
RECOPILACIÓN N ACTUALIZADA DE NORMAS Capitulo 1-14 Prevención de Lavado de Activos y del Financiamiento del Terrorismo Gustavo Rivera Intendente de Bancos Abril 2006 INTRODUCCIÓN (1-3) La Superintendencia
Más detallesÁREA: CALIDAD DE ATENCIÓN DE USUARIOS SISTEMA: SEGURIDAD DE LA INFORMACIÓN
ETAPA I OBJETIVOS REQUISITOS TÉCNICOS 2012 1. La institución, en conjunto con las áreas que la componen, realiza un Diagnóstico de la situación de seguridad de la información institucional, e identifica
Más detallesPolítica General de control y Gestión de riesgos 18/02/14
Política General de control y Gestión de riesgos 18/02/14 índice Política General de control y Gestión de riesgos 3 1. objeto 3 2. alcance 3 3. Factores de riesgo - definiciones 3 4. Principios básicos
Más detallesPROGRAMA DE GESTIÓN DOCUMENTAL DE LA CÁMARA DE COMERCIO DE BOGOTÁ
Tabla de contenido 1 INTRODUCCIÓN... 3 2 ALCANCE... 3 3 OBJETIVO GENERAL... 4 3.1 OBJETIVOS ESPECÍFICOS... 4 4 REQUISITOS PARA LA IMPLEMENTACIÓN DEL PROGRAMA DE GESTIÓN DOCUMENTAL... 5 4.1 REQUISITOS NORMATIVOS...
Más detallesRequisitos de control de proveedores externos
Requisitos de control de proveedores externos Ciberseguridad Para proveedores clasificados como de bajo riesgo de ciberdelito 1. Protección de activos y configuración de sistemas Los Datos de Barclays,
Más detallesRP-CSG-027.00. Fecha de aprobación 2012-03-08
Reglamento Particular para la Auditoría Reglamentaria de Prevención de Riesgos Laborales según el Reglamento de los Servicios de Prevención (R.D. 39/1997) RP-CSG-027.00 Fecha de aprobación 2012-03-08 ÍNDICE
Más detallesNORMA TÉCNICA DE AUDITORÍA SOBRE LA AUDITORÍA DE CUENTAS EN ENTORNOS INFORMATIZADOS INTRODUCCIÓN
Resolución de 23 de junio de 2003, del Instituto de Contabilidad y Auditoría de Cuentas, por la que se publica la Norma Técnica de Auditoría sobre la auditoría de cuentas en entornos informatizados (BOICAC
Más detallesResumen General del Manual de Organización y Funciones
Gerencia de Tecnologías de Información Resumen General del Manual de Organización y Funciones (El original del Manual de Organización y Funciones fue aprobado por Resolución Administrativa SBS Nº 574-2009,
Más detallesEstándares de Información Primaria, Secundaria, Sistemas de Información. Estándares de Macroprocesos, Procesos y Procedimientos Diseñados.
GUÍA 43 Diagnóstico Comunicación Institucional Descripción La comunicación Institucional se da al interior de la entidad y se orienta al cumplimiento de los principios de economía, eficiencia y eficacia,
Más detallesRequerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral
Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral Trabajo a realizar Cotización de mantenimiento anual de certificación de seguridad informática para el área perimetral
Más detallesSeguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática
Seguridad De la Información Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática Nuevos Escenarios: Seguridad de la Información Qué se debe asegurar? La información debe considerarse
Más detallesNorma ISO 14001: 2015
Norma ISO 14001: 2015 Sistema de Gestión Medioambiental El presente documento es la versión impresa de la página www.grupoacms.com Si desea más información sobre la Norma ISO 14001 u otras normas relacionadas
Más detallesInformación de Uso Interno elaborada por Credibanco. Divulgación limitada. PCI / DSS. (Payment Card Industry - Data Security Standard)
PCI / DSS (Payment Card Industry - Data Security Standard) Bogotá, Julio 9 de 2013 Aviso legal Estos materiales procuran efectuar una aproximación general hacia los productos y/o servicios ofrecidos por
Más detallesELEMENTOS GENERALES DE GESTIÓN.
RECOPILACION ACTUALIZADA DE NORMAS Capítulo 20-9 Hoja 1 CAPÍTULO 20-9 GESTION DE LA CONTINUIDAD DEL NEGOCIO. El presente Capítulo contiene disposiciones sobre los lineamientos mínimos para la gestión de
Más detallesUNIVERSIDAD AUTÓNOMA DEL CARIBE PROCEDIMIENTO DE ATENCIÓN DE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O PERIFÉRICOS GESTIÓN INFORMÁTICA
Página: 1/5 UNIVERSIDAD AUTÓNOMA DEL CARIBE INCIDENTES Y REQUERIMIENTOS PARA EQUIPOS DE CÓMUPUTO Y/O GESTIÓN INFORMÁTICA Página: 2/5 1. OBJETO Satisfacer los requerimientos que hagan los usuarios para
Más detalles