Caso de éxito Cobit 5. Una experiencia práctica. Pablo Caneo G.

Transcripción

1 Caso de éxito Cobit 5. Una experiencia práctica. Pablo Caneo G.

2 Datos del Relator Pablo Caneo Gutiérrez Oficial de Seguridad (CISO) de Grupo Ultramar MBA en Gestión de Negocios Postítulo Docencia Universitaria Diplomado en RSE (Responsabilidad Social Empresarial) Diplomado en Seguridad de la Información Posee las certificaciones CISA, CGEIT, CRISC, COBIT 5, ITIL Presidente Isaca Capítulo Santiago de Chile Docente en Postgrados Universidad de Chile y Universidad Adolfo Ibañez

3 Antecedentes Empresa es una Cooperativa de Ahorro y Crédito, fundada en 1963 La Cooperativa tiene como objetivo único y exclusivo brindar servicios de Intermediación financiera en beneficio de sus socios, para mejorar sus condiciones de vida. La Cooperativa hoy no solo depende directamente del Ministerio de Economía, Fomento y Reconstrucción, a través del Departamento de Cooperativas de dicho Ministerio sino que también producto de su posición y estructura de financiamiento y su capacidad de manejar activos que no son propios, está siendo regulada y controlada también por la Superintendencia de Bancos e Instituciones Financieras (SBIF). Posee una cantidad de socios y 52 colaboradores Su capital es de USD 28 millones Es una de las 7 principales cooperativas del país

4 Objetivos Uno de los compromisos y necesidad de la Cooperativa, además de manejar sus principios de liquidez, operación, atención a clientes, entre otros, se encuentra la necesidad de poder realizar una adecuada Gestión de Riesgos, sobre sus operaciones, cumplimiento, control interno, tecnología y mejora continua en sus servicios y atención a clientes. La Gestión de Riesgos se basa en un proceso estructurado que comprende un conjunto de políticas, lineamientos, procesos y procedimientos, a través de las cuales se pueden identificar, medir, controlar/mitigar y monitorear los diversos riesgos a la que una Empresa puede estar expuesta.

5 Metodología de Trabajo 1. Identificación Proceso 2. Flujograma del Proceso 3. Matriz RACI 4. Selección Escenarios de Riesgos 1. Escenario 6 Información 2. Escenario 12 Cumplimiento Legal 5. Revisión de Cumplimiento según escenarios 6. Recomendaciones 7. Riesgos / Escenarios 8. Controles críticos asociados para mitigar riesgos 9. Matriz de riesgos y efectos de mitigación

6 Identificación Proceso Proceso Clave Subproceso Retiro de capital. Procedimiento de giro de Capital. Introducción Este procedimiento forma parte del proceso de operaciones de capital. La responsabilidad por su ejecución y validación corresponde a las áreas Comercial, Finanzas y Gerencia. Alcance Objetivos Este procedimiento será aplicable a todas las operaciones de giro de capital de la Cooperativa. Las indicaciones del procedimiento deben ser aplicadas por el área comercial y controladas por Finanzas (departamento de Tesorería y Contabilidad). Evaluar las solicitudes de giro de capital en base a las condiciones establecidas para tal efecto y realizar las operaciones de manera segura y exenta de errores. Actividades descritas en el Procedimiento. 1. Ingreso de requerimiento. 2. Evaluación de Requerimiento. 3. Reconsideración de Requerimiento. 4. Autorización de requerimientos pendientes. 5. Pago de requerimientos. 6. Control de estados de requerimientos. Objetivos Procesos Relacionados Mediciones del Proceso Evaluar las solicitudes de giro de capital en base a las condiciones establecidas para tal efecto y realizar las operaciones de manera segura y exenta de errores. Conciliaciones bancarias. Cierre diario de operaciones. Revisión de Tesorería y Contable (diaria)

7 Flujograma

8 Matriz RACI

9 Escenarios de Riesgos Se procede a selección de Escenarios de Riesgos más adecuados (de los 20 que propone COBIT), como recomendación se sugiere elegir dos o tres escenarios que sean los más representativos de acuerdo al proceso escogido Los escenarios escogidos fueron los siguientes: Escenario 6: Información (daños, fugas y acceso) Escenario 12: Cumplimiento Legal (cumplimiento normativo) Basado en los escenarios seleccionados se procederá a revisar grado de cumplimiento de acuerdo a lo que este escenario señala para cada uno de los habilitadores (catalizadores)

10 Escenario de Riesgo 6

11 Escenario de Riesgo 6

12 Escenario de Riesgo 6

13 Escenario de Riesgo 6

14 Escenario de Riesgo 6

15 Escenario de Riesgo 6

16 Escenario de Riesgo 12

17 Escenario de Riesgo 12

18 Escenario de Riesgo 12

19 Recomendaciones Escenario 6 (1) Desde el punto de la continuidad operacional es necesario que los planes de contingencia y continuidad de negocio, tengan un procedimiento documentado y formal, para efectuar pruebas de forma regular (2) En el mismo sentido del punto anterior, se recomienda realizar ejercicios periódicos para comprobar que los planes de continuidad de negocio, son adecuados para la recuperación frente a los resultados predeterminados, permitiendo dar soluciones innovadoras para desarrollar posteriormente y cronometrar que el plan de continuidad operacional va a funcionar como se esperaba. Adicionalmente se requiere evaluar el contar con un lugar alternativo de operación. (3) Se recomienda evaluar la conformación de un comité que sesione al menos una vez al año para revisar el plan de continuidad. Asimismo, se recomienda establecer un plan de trabajo para realizar escenarios de prueba de dicho sistema. (4) En relación a la seguridad de la información es prudencialmente razonable la implementación de accesos controlados a la sala de servidores, sector de cajas, documentos valorados como pagares, en donde quede registrado fecha, hora y del ingreso, todo debidamente respaldado en una política.

20 Recomendaciones Escenario 6 (5) También es necesaria la implementación de procedimientos y tecnología en los procesos de impresión de documentos importante, ajustar los perfiles para que se imprima sólo lo necesario, claves para rescatar escáner o impresiones. (6) En relación al monitoreo de las actividades es recomendable la incorporación al staff de la Cooperativa, de un Oficial de Cumplimiento Normativo y de seguridad de la Información, con perfil TI separado de la función operacional que actualmente existe y que pueda analizar la lógica de los procesos, identificar errores de manera proactiva de los sistemas, además que vele por la implementación y el cumplimiento de la normativa interna y externa, además de la seguridad de la información. (7) Para apoyar el punto anterior es necesario que la organización cuente con una planificación de capacitación constante de la normativa vigente interna y externa, además de una pasantía para las nuevas incorporaciones que toque los temas referentes a normativas. (8) Se recomienda evaluar el costo-beneficio de implementar controles de acceso físico a las instalaciones de la Cooperativa: implementar mejoras en los puntos de acceso, incorporando tecnología: cámaras de seguridad, puertas con clave de acceso.

21 Recomendaciones Escenario 6 (9) Desde el punto de vista de contingencia también es importante señalar que la institución cuenta con un Site de Contingencia, que podría fallar porque se encuentra en un radio inferior a 10 kilómetros y en un evento de envergadura podría verse afectado, adicionalmente sería adecuado que la Cooperativa cuente en la Sucursal 2 con un generador de corriente que permita aumentar los plazos para reponerse y restablecer el servicio, como por ejemplo un corte de luz que afecte la región. (10) Finalmente para el Escenario de Información, se recomienda formalizar las políticas de seguridad de la información, respecto a limitaciones en el intercambio y uso de la información de los Socios de la Cooperativa.

22 Recomendaciones Escenario 12 (1) Se recomienda establecer charlas de capacitación de normativa y cumplimiento aplicables a la Cooperativa que incluya un registro de asistencia y evaluaciones periódicas de conocimiento y aplicación de la normativa aplicable externa e interna. (2) Definir mediante políticas a los responsables de la seguridad de los datos personales de los socios, en cada área de trabajo (3) Informar a todos los cargos estratégicos, cual es el apetito de riesgo de la alta dirección para establecer una cultura de administración de riesgos (4) Modificar los alcances de la función de auditoría interna, para que ésta se enfoque en los objetivos de la alta dirección y base sus revisiones en los riesgos de la compañía. (5) Implementar una base de datos jurídica y regulatoria que sea un repositorio único y de consulta generalizada, estableciendo un mantenedor. (6) Describir de manera formal, las prácticas de cumplimiento aplicables (7) Crear una función de control interno que monitoree el cumplimiento de los controles definidos, que base su acción en los riesgos de la compañía.

23 Riesgos / Escenarios

24 Controles Críticos

25 Controles Críticos

26 Matriz de Riesgos

27 Anexos Identificaci%25C3%25B3n y Evaluaci%25C3%25B3n de Riesgos y Controles.xlsx

28 Anexos

29 Anexos

30 Anexos

31 Preguntas Pablo Caneo Gutiérrez