2 presentación iso 27001_comite de seguridad (2)

Capacitación del Sistema deCapacitación del Sistema de Gestión IntegralGestión IntegralPresentación para el Comité de SeguridadNorma ISO 27001:2005Norma ISO 27001:2005

Febrero 2010

¿Qué es el activo de Información?¿Qué es el activo de Información?

Activo de Información es todo lo queActivo de Información, es todo lo que manipula directa o indirectamente una información, que tiene como valor el lograr el cumplimiento de losvalor, el lograr el cumplimiento de los objetivos estratégicos de la Organización, incluso la propia i f ió d dinformación dentro de una organización, por lo que debe protegerse contra amenazas para que el negocio funcione correctamente.

Preparado por: Consultores QEC – Información de uso interno de AhorroCoop

La SEGURIDAD se planifica, controla y mejoraLa SEGURIDAD se planifica, controla y mejora

“Esta norma internacional especifica los requisitos paraestablecer, implantar, poner en funcionamiento, controlar, revisar, mantener y mejorar un SGSI documentado dentro

del contexto global de los riesgos de negocio de la organización. Especifica los requisitos para la implantación g p f q p p

de los controles de seguridad hechos a medida de las necesidades de organizaciones individuales o partes de las

mismas”mismas


Certificación del SGSI• La certificación no implica que la organización a

b id d i d i l d id d d l

Ce t cac ó de SGS

obtenido determinado niveles de seguridad de lainformación para sus productos y/o servicios.

• Las organizaciones certificadas pueden tener mayorLas organizaciones certificadas pueden tener mayorconfianza es su capacidad para gestionar la seguridadde la información, y por ende ayudara a asegurar a sus

i li t i i t i hsocios, clientes, y accionistas con quien hacennegocios.


Tópicos a Tratar

II. Riesgos y Controles

I. SGSI III. Actividades para la certificación

2.1 Introducción

2.2 Administración de riesgos

Controles

1.1 Metodología del SGSI

1 2 Modelo de SGSI

3.1 Introducción

3.2 Proceso de Certificación

3 3 Pasos a Seguir

certificación

de riesgos

2.3 Revisión de Controles

1.4 Conclusiones

1.2 Modelo de SGSI

1.3 Documentación del SGI

1.4 Funciones y

3.3 Pasos a Seguir

3.4 Actividades de la empresa certificadora

3.5 Actividades posteriores

3 6 Mantención y mejoraresponsabilidades en el SGI

3.6 Mantención y mejora

3.7 Tópicos de evaluación


1.1 Metodología 1.1 Metodología

del SGSI ¿Cómo establecer los requisitos?del SGSI

1.2 Modelo del

del SGSI

• Es esencial que la Organización identifique sus requisitosde seguridad

q

SGSI

1.3 D t ió

de seguridad.

• Existen tres fuentes principales.Documentación del SGI

1 4 Funciones y

p p

• La primer fuente procede de la valoración de los riesgosd l O i ió C ll1.4 Funciones y

responsabilidades del SGI

de la Organización. Con ella:‐ Se identifican las amenazas a los activos,‐ Se evalúa la vulnerabilidad y la probabilidad de suSe evalúa la vulnerabilidad y la probabilidad de su

ocurrencia.‐ Se estima su posible impacto.


¿Cómo establecer los requisitos?1.1 Metodología 1.1 Metodología

del SGSI q• La segunda fuente es el conjunto de requisitos legales,

estatutarios, regulatorios y contractuales que debe

del SGSI

1.2 Modelo del

del SGSI

estatutarios, regulatorios y contractuales que debesatisfacer:

‐ la Organización,

SGSI

1.3 D t ió

‐ sus socios comerciales,

‐ los contratistas

Documentación del SGI

1 4 Funciones y‐ los proveedores de servicios.

L f á f d l i i i

1.4 Funciones y responsabilidades del SGI

• La tercera fuente está formada por los principios,objetivos y requisitos que la Organización ha desarrolladopara apoyar sus operaciones.


p p y p

SGSI1.1 Metodología 1.1 Metodología

del SGSI

• El sistema de gestión de la seguridad de la información(SGSI) es la parte del sistema de gestión de la empresa

SGSIdel SGSI

1.2 Modelo del

del SGSI

(SGSI) es la parte del sistema de gestión de la empresa,basado en un enfoque de riesgos del negocio, para:– Establecer,

SGSI

1.3 D t ió

– Implementar,– Operar,

M i


1 4 Funciones y – Monitorear,– Mantener y mejorar la seguridad de la información.


• Incluye.– Estructura, políticas, actividades, responsabilidades,


prácticas, procedimientos, procesos y recueros.

(Planificar /Hacer /Verificar /Actuar)1.1 Metodología 1.1 Metodología

del SGSIdel SGSI

1.2 Modelo del

del SGSI

SGSI

1.3 D t ióDocumentación del SGI

1 4 Funciones y1.4 Funciones y responsabilidades del SGI


Establecer el SGSI (Plan)1.1 Metodología 1.1 Metodología

del SGSI

• Establecer la política de seguridad, objetivos, metas, procesos y

Establecer el SGSI (Plan)del SGSI

1.2 Modelo del

del SGSI

p g , j , , p yprocedimientos relevantes para manejar riesgos y mejorar laseguridad de la información para generar resultados de acuerdocon una política y objetivos marco de la organización.

SGSI

1.3 D t ió

• Definir el alcance del SGSI a la luz de la organización.


1 4 Funciones y

• Definir la Política de Seguridad.


• Aplicar un enfoque sistémico para evaluar el riesgo.


– No se establece una metodología a seguir.

Establecer el SGSI (Plan)1.1 Metodología 1.1 Metodología

del SGSI Establecer el SGSI (Plan)del SGSI

1.2 Modelo del

del SGSI

• Identificar y evaluar opciones para tratar el riesgo

– Mitigar, eliminar, transferir, aceptar

SGSI

1.3 D t ió

• Seleccionar objetivos de Control y controles a implementar (Mitigar).


1 4 Funciones y (Mitigar).

– A partir de los controles definidos por la ISO/IEC 270021.4 Funciones y responsabilidades del SGI

• Establecer enunciado de aplicabilidad


Implementar y operar (Do)1.1 Metodología 1.1 Metodología

del SGSI

• Implementar y operar la política de seguridad, controles,procesos y procedimientos

p y p ( )del SGSI

1.2 Modelo del

del SGSI

procesos y procedimientos.

• Implementar plan de tratamiento de riesgos.

SGSI

1.3 D t ió

– Transferir, eliminar, aceptar

l l l l d


1 4 Funciones y • Implementar los controles seleccionados.

– Mitigar


• Aceptar riesgo residual.

– Firma de la alta dirección para riesgos que superan el


nivel definido.

Implementar y operar (Do)1.1 Metodología 1.1 Metodología

del SGSI

I l t did l l fi i d l t l

Implementar y operar (Do)del SGSI

1.2 Modelo del

del SGSI

• Implementar medidas para evaluar la eficacia de los controles

• Gestionar operaciones y recursos.

SGSI

1.3 D t ió Gestionar operaciones y recursos.

• Implementar programas de Capacitación y concientización.


1 4 Funciones y

• Implementar procedimientos y controles de detección yrespuesta a incidentes


respuesta a incidentes.


Monitoreo y Revisión (Check)1.1 Metodología 1.1 Metodología

del SGSI

• Evaluar y medir la performance de los procesos contra la políticade seguridad, los objetivos y experiencia practica y reportar los

y ( )del SGSI

1.2 Modelo del

del SGSI

resultados a la dirección para su revisión.

– Revisar el nivel de riesgo residual aceptable, considerando:

SGSI

1.3 D t ió Revisar el nivel de riesgo residual aceptable, considerando:

• Cambios en la organización.• Cambios en la tecnologías.C bi l bj i d l i


1 4 Funciones y • Cambios en los objetivos del negocio.• Cambios en las amenazas.• Cambios en las condiciones externas (ej. Regulaciones,


( j g ,leyes).

– Realizar auditorias internas


Realizar auditorias internas.– Realizar revisiones por parte de la dirección del SGSI.

Monitoreo y Revisión (Check)1.1 Metodología 1.1 Metodología

del SGSI

• Se debe establecer y ejecutar procedimientos de monitoreo para:

Monitoreo y Revisión (Check)del SGSI

1.2 Modelo del

del SGSI

• Detectar errores.• Identificar ataques a la seguridad fallidos y exitosos.• Brindar a la gerencia indicadores para determinar la

SGSI

1.3 D t ió • Brindar a la gerencia indicadores para determinar la

adecuación de los controles y el logro de los objetivos de seguridad.

• Determinar las acciones realizadas para resolver


1 4 Funciones y • Determinar las acciones realizadas para resolver brechas a la seguridad.


• Mantener registros de las acciones y eventos que pueden impactar al SGSI.


• Realizar revisiones regulares a la eficiencia del SGSI.

Mantenimiento y mejora del SGSI1.1 Metodología 1.1 Metodología

del SGSI

• Tomar acciones correctivas y preventivas, basadas en losresultados de la revisión de la dirección para lograr la mejora

y jdel SGSI

1.2 Modelo del

del SGSI

resultados de la revisión de la dirección, para lograr la mejoracontinua del SGSI.

SGSI

1.3 D t ió – Medir el desempeño del SGSI.

– Identificar mejoras en el SGSI a fin de implementarlas.

Tomar las apropiadas acciones a implementar en el ciclo en


1 4 Funciones y – Tomar las apropiadas acciones a implementar en el ciclo en cuestión (preventivas y correctivas).


– Comunicar los resultados y las acciones a emprender, yconsultar con todas las partes involucradas.

Revisar el SGSI donde sea necesario implementando las


– Revisar el SGSI donde sea necesario implementando lasacciones seleccionadas.

Requisitos de Certificación del SGSI1.1 Metodología 1.1 Metodología

del SGSI

La norma establece requisitos para Establecer, Implementar yDocumentar un SGSI.

del SGSI

1.2 Modelo del

del SGSI

– Definir el alcance del SGSI (fronteras)

SGSI

1.3 D t ió – Definir una política de seguridad

– Identificar activos

Realizar el análisis de riesgos de activos


1 4 Funciones y – Realizar el análisis de riesgos de activos.

– Identificar las áreas débiles de los activo

– Tomar decisiones para manejar el riesgo


p j g

– Seleccionar los controles apropiados

– Implementar y manejar los controles seleccionados


– Elaborar la declaración de aplicabilidad

Objetivos de auditoría1.1 Metodología 1.1 Metodología

del SGSI

• Para obtener la certificación.

Objetivos de auditoríadel SGSI

1.2 Modelo del

del SGSI

• Revisar conformidad con la norma (ISO/IEC 27001)

• Revisar grado de puesta en práctica del sistema

SGSI

1.3 D t ió • Revisar la eficacia y adecuación en el cumplimiento de:

– Política de seguridad

– Objetivos de seguridad


1 4 Funciones y – Objetivos de seguridad

• Identificar las fallas y debilidades en la seguridad


• Proporcionar una oportunidad para mejorar el SGSI

• Cumplir requisitos contractuales.


• Cumplir requisitos regulatorios.

1.1 Metodología 1.1 Metodología

del SGSICompañía a decidido

la implementaciónAsignación de

responsabilidadesDefinición de la política

de seguridadDocumento de

Política de SeguridadIniciodel SGSI

1.2 Modelo del

del SGSI la implementación ISO 27001

responsabilidades del proyecto

de seguridad de la Información

Política de Seguridad

Definición del alcance del Sistema de Gestión

d S id d d l

identificar las principales

amenazas, riesgos,Identificar el alcance

del SGSI para losDocumento de

análisis de riesgosSGSI

1.3 D t ió

de Seguridad de la Información (SGSI)

amenazas, riesgos, impactos

y vulnerabilidades

del SGSI para los riesgos y amenazas

análisis de riesgos

Definir la forma de gestionar los riesgos

Documento de responsabilidades

Enfoque de la Empresa para la

Ad i i t ióENDocumentación del SGI

1 4 Funciones y

gestionar los riesgosidentificados

responsabilidadesAdministración del Riesgo

Seleccionar los objetivos y controles

Controles de la guía ISO 17799

t t l

Documento dedeclaración SU

ME


objet os y co t o esa ser implementadosy otros controles no

considerados en estade aplicabilidad (SOA)

Implementación d t l

Listo para la Aprobación

SI

RES

de controles certificación Aprobación Certificación concedida

Tomar medidas NO


Tomar medidas correctivas

1.1 Metodología

OB

S

del SGSI

1.2 Modelo del 1.2 Modelo del

SERVA

C

SGSI

1.3 D t ió

1.2 Modelo del SGSI

CIÓ

N (A

U


1 4 Funciones y

UD

ITOR

IA


A, M

ON

ITOR

EO)


)


1.2 Modelo del SGSI

1.3 D t ió1.3 Documentación

d l SGIDocumentación del SGI

1 4 Funciones y

del SGI



1.1 Metodología Manual de seguridad: Sería la documentación que inspira y dirige todo el del SGSI

1.2 Modelo del

sistema, el que expone y determina las intenciones, alcance, objetivos,

responsabilidades, políticas y directrices principales del SGI.

SGSI


d l SGI

Procedimientos: Documentos en el nivel operativo, que asegura que se

realicen de forma eficaz la planificación, operación y control de los

procesos de seguridad de la informaciónDocumentación del SGI

1 4 Funciones y

del SGI procesos de seguridad de la información.

Instrucciones, checklists y formularios: Documentos que describen

cómo se realizan las tareas y las actividades específicas relacionadas con 1.4 Funciones y responsabilidades del SGI

y p

la seguridad de la información.

Registros: Documentos que proporcionan una evidencia objetiva del

cumplimiento de los requisitos del SGI; están asociados a documentos de

los otros tres niveles como output que demuestra que se ha cumplido lo

indicado en los mismos


indicado en los mismos.

1.1 Metodología Política de seguridad Objetivos de Control

del SGSI

1.2 Modelo del Procedimientos Descripciones de cargoSGSI


d l SGI M l d l SGSI Q tDocumentación del SGI

1 4 Funciones y

del SGI Manual del SGSI

¿Para qué sirven los documentos?

documentos?Que otros documentos?


Para proveer formas correctas y completas de cómo ejecutar el trabajo y mantener altos nivelesde calidad. A su vez, para asegurar que las tareas claves se ejecuten en forma consistente, aúncuando el personal que normalmente las ejecuta está ausente.

Mejorar la comunicación dentro y entre las distintas áreas.j y

Ayudar en la capacitación y entrenamiento de las personas.

¿Qué tengo que hacer si observo un problema?.Ante cualquier problema que detecte en la implementación del Sistema las personas deben


Ante cualquier problema que detecte en la implementación del Sistema, las personas debencomunicar de la situación a su Jefe Directo.

1.1 Metodología Políticas, Normas, Procedimientos de S id ddel SGSI

1.2 Modelo del

Seguridad.Todo intento por formalizar cualquier tarea o aspecto relacionado con la

id d d l i f ió d b t t í i d d tSGSI


d l SGI

seguridad de la información, debe tratar como mínimo de responder a tres preguntas:

• Qué: Objetivo, requisito o regulación que se quiere satisfacer o cumplir (L h l )Documentación

del SGI

1 4 Funciones y

del SGI (Lo que hay que lograr).

• Quién: Responsable de la tarea o encargado de que se cumpla (El encargado de hacerlo posible).


• Cómo: Descripción de las actividades que darán con la consecución del objetivo o requisito (Lo que haya que hacer para conseguirlo).

L d t l b f li l id d t tLos documentos que se elaboran para formalizar la seguridad tratan, a diferentes niveles, de responder a esas preguntas, relacionándose de manera jerárquica unos con otros:


1.1 Metodología Políticas de Seguridaddel SGSI

1.2 Modelo del

g• Deben establecer las necesidades y requisitos de protección en el

ámbito de la organización.SGSI


d l SGI

• Formalmente describe qué tipo de gestión de la seguridad se pretende lograr y cuáles son los objetivos perseguidos.

• Definen qué quiere la organización a muy alto nivel, de forma muy Documentación del SGI

1 4 Funciones y

del SGIq q g y , y

genérica, quedando como una declaración de intenciones sobre la seguridad de la Organización.

• Una política de seguridad puede apoyarse en documentos de menor 1.4 Funciones y responsabilidades del SGI

p g p p yrango que sirven para materializar en hechos tangibles y concretos los principios y objetivos de seguridad establecidos.

• Ellos son: Procedimientos de Seguridad, instrucciones técnicas de gtrabajo, normas, estándares.


1.1 Metodología Procedimientos de Seguridaddel SGSI

1.2 Modelo del

Procedimientos de Seguridad

• Determina las acciones o tareas a realizar en el desempeño de unSGSI


d l SGI

Determina las acciones o tareas a realizar en el desempeño de un proceso relacionado con la seguridad y las personas o grupos responsables de su ejecución.


1 4 Funciones y

del SGI

• La especificación de una serie de pasos en relación a la ejecución de una actividad que trata de cumplir con una norma establecida.


• Un procedimiento alineado a las buenas prácticas, garantiza que en la ejecución de actividades se considerarán determinados aspectos d id dde seguridad.


1.1 Metodología Instrucciones técnicas de Seguridaddel SGSI

1.2 Modelo del

g

• Determina las acciones o tareas necesarias para completar una actividad o proceso de un procedimiento concreto (HardwareSGSI


d l SGI

actividad o proceso de un procedimiento concreto. (Hardware, Sistema Operativo, Aplicación, Datos, Usuarios).


1 4 Funciones y

del SGI • Son la especificación pormenorizada de los pasos a ejecutar.

• Deben documentarse los aspectos técnicos necesarios para que1.4 Funciones y responsabilidades del SGI

• Deben documentarse los aspectos técnicos necesarios para que la persona que ejecute la instrucción técnica no tenga que tomar decisiones respecto a la ejecución de la misma.


1.1 Metodología

Procedimiento Control de Registrosdel SGSI

1.2 Modelo del Todas las personas de la empresa, que sean asignadas para administrar ymantener registros. Cuando se pone en marcha el procedimiento, El

Quienes Participan

SGSI


d l SGI

g p p ,Representante de Gerencia definen a los responsables.

De que se trataDocumentación del SGI

1 4 Funciones y

del SGI El Encargado de Documentación mantiene un Listado de Registros, que indicatodos los controles que estos reciben y además, el responsable de los controlesindicados.


La Norma ISO 27001:2005 lo establece como procedimiento obligatorio y su usopermite poder recuperar un registro e ir eliminando registros muy antiguos

Porqué es necesario

permite poder recuperar un registro e ir eliminando registros muy antiguos.

Que registros se generan


El Encargado de Documentación genera el Listado de Registros, que contienetodos los registros de los diferentes documentos y procesos del Sistema.

1.1 Metodología

Procedimiento Acciones Correctivas y Preventivas

del SGSI

1.2 Modelo del

Todas las personas de la empresa en la detección de no conformidades. Losauditores en detección de no conformidades en auditorias. Responsables de lasáreas en la definición de acciones correctivas. Jefe de Auditoria Interna en la

Quienes Participan

SGSI


d l SGI

yáreas en la definición de acciones correctivas. Jefe de Auditoria Interna en laverificación y cierre.

Hay que definir acciones para todas las no conformidades detectadas en la

De que se trata


1 4 Funciones y

del SGI Hay que definir acciones para todas las no conformidades detectadas en laoperación de la empresa. Las acciones deben atacar el problema de fondo. Sicualquier persona la detecta, debe notificar a su Jefe directo .

Porqué es necesario1.4 Funciones y responsabilidades del SGI


La Norma ISO 27001:2005 lo establece como procedimiento obligatorio para quese tomen acciones a los problemas detectados, y acciones preventivas a losproblemas potenciales, que ataquen la causa de los problemas, eliminándolos de

í


S li it d d A ió C ti /P ti ti l f id d l

raíz.


Solicitudes de Acción Correctiva/Preventiva, que contiene la no conformidad, elanálisis de causa y la acción definida.

1.1 Metodología

Procedimiento de Gestión de Reclamos de Clientes

Quienes Participandel SGSI

1.2 Modelo del

- Gerencia General- Jefe de Informática- Jefe de Auditoria Interna

Quienes Participan

SGSI


d l SGI

La persona que recibe un reclamo debe responder al cliente y registra el reclamoy la acción tomada. También, define si el reclamo fue a partir de una falla interna

De que se trata


1 4 Funciones y

del SGIy , py si es así, informa de una No Conformidad.El Gerente General es informado de los reclamos por fallas graves en losservicios.

Porqué es necesario1.4 Funciones y responsabilidades del SGI


Se establece para que la empresa tenga la retroalimentación del cliente y puedantomar acciones (correctivas/preventivas). Con lo cual se va mejorando. La normapide que se registren las acciones tomadas a partir de los reclamos.


Reclamos de Clientes Informe No Conformidades Acciones


Reclamos de Clientes, Informe No Conformidades, AccionesCorrectivas/Preventivas.

1.1 Metodología Responsables de los procedimientos del Procesodel SGSI

1.2 Modelo del

p p

Todos los responsables asociados al proceso de negocio sujeto al cambio

Quienes Participan

SGSI


d l SGI

Todos los responsables asociados al proceso de negocio sujeto al cambio.

De que se trataDocumentación del SGI

1 4 Funciones y

del SGI- Estar en conocimiento de los cambios que impulse la administración.- Conocer y aplicar los procedimientos del SGI establecidos.- Informar situaciones que deben ser corregidas como parte del sistema decalidad.- Resguardar adecuadamente los documentos y registros asociados a las1.4 Funciones y

responsabilidades del SGI

- Resguardar adecuadamente los documentos y registros asociados a lasactividades desarrolladas cotidianamente.


La Norma ISO 27001:2005 lo establece como parte de la práctica de losresponsabilidades de los integrantes del proceso de negocios.


1.1 Metodología

Procedimiento Revisión Gerencial


1.2 Modelo del

Representante del Directorio, Gerente General, Jefe de Informática, Jefe deAuditoria Interna, Encargado documental, Jefes de áreas invitados y las personasque ellos determinen que deben asistir.

Quienes Participan

SGSI


d l SGI

Realizar revisiones al SGI una vez anual como mínimo, o las veces que seannecesarias en función a la definición de la Gerencia General. El Jefe de Auditoria

De que se trata


1 4 Funciones y

del SGI Interna prepara la información a utilizar en la reunión. Cada invitado debe llevar lainformación que le sea solicitada. Los acuerdos se registran en un acta. En cadareunión se revisa el cumplimiento de los acuerdos.



Porque de esta forma la Gerencia se involucra en la revisión de que lo que estápasando y además puede asignar recursos o solicitar acciones, con lo cual sei i i l d j Si t d l h bl d j ti


inicia el proceso de mejora. Si todo se cumple, hablamos de mejora continua.


Acta de Revisión Gerencial, con acuerdos tomados.

1.1 Metodología

Procedimiento Auditorias Internas


1.2 Modelo del

Un equipo de auditores internos o externos. Todas las personas comoauditados .

Quienes Participan

SGSI

1.3 D t ió

El equipo de auditores ejecuta revisiones de cumplimiento de los requisitosnormativos y de los procedimientos, chequeando que se usen los registros.

De que se trata

1.3 Documentación d l SGIDocumentación

del SGI

1 4 Funciones y


del SGI


La Norma ISO 27001:2005 lo establece como procedimiento obligatorio paraque se realicen estas revisiones en forma sistemática (planificada) y se tomenacciones que ataquen la causa de los problemas, eliminándolos de raíz.


Lista de verificación que ocupan los auditores, registros de no conformidades,que además sirve para registrar el análisis de causa y las acciones definidas y


que además sirve para registrar el análisis de causa y las acciones definidas yel informe de la auditoria.


1.2 Modelo del SGSI

1.3 D t ióDocumentación del SGI

1 4 Funciones y1.4 Funciones y responsabilidades del SGI

1.4 Funciones y responsabilidades

del SGI


1.1 Metodología Comité de Comité de Auditoríadel SGSI

1.2 Modelo del

SeguridadComité de Auditoría

SGSI

1.3 D t ió

Auditoria Interna


1 4 Funciones y

Oficial de Seguridad de la Información


1.4 Funciones y responsabilidades

del SGIJefe de Informática

Jefe de Normas


Tópicos a Tratar

I. SGSI II.Riesgos y Controles III. Actividades para la certificación

1.1 Presentación de las actividades de la metodología

2.1 Introducción

2.2 Administración de

3.1 Introducción


3 3 Pasos a Seguir

certificación

metodología

1.2 Presentar Modelo de SGSI


riesgos

2.3 Revisión de controles

2 4 C l i

3.3 Pasos a Seguir



3 6 Mantención y mejora1.4 Funciones y

responsabilidades en el SGI

2.4 Conclusiones 3.6 Mantención y mejora



2.1 Introducción2.1 IntroducciónBENEFICIOS DE LA ADMIMINISTRACIÓN DE RIESGOS


2.1 Introducción

• Proteger la reputación corporativa

• Tomar mejores decisiones basadas en la evaluación de riesgos

Consideraciones de Costo / Beneficio


Mejorar la asignación de recursos

• Reducir la volatilidad y validar las iniciativas en la Reingeniería de Procesos

Incluir los procesos críticos en el control corporativo y estabilizarlos

2.4 Conclusiones

Reducir la posibilidad de impactos en desempeño financiero, aumento de costos y crecimiento por análisis estratégicos y de procesos ineficientes

• Operar dentro de un marco aceptable de apetito al riesgo

Estabilizar la operaciónEstabilizar la operación

Maximizar las ventajas sobre las oportunidades de riesgos

Enfocarse en la administración de riesgos para generar mejores resultados

• Anticipar nuevos riesgos y oportunidades que resultan a raíz de cambios en la industria el • Anticipar nuevos riesgos y oportunidades que resultan a raíz de cambios en la industria, el mercado, globalización etc...

La existencia de éstos puede encubrirse por un deficiente análisis estratégico y de procesos

U l i ti i d t l d d t i d t


Un solo riesgo, no anticipado y controlado, puede tener consecuencias desastrosas

• Cultura de riesgos

2.1 Introducción2.1 IntroducciónVISIÓN DE LA ADMINISTRACIÓN DE RIESGOS


2.1 Introducción

Estratégica

3


Proactiva Dirección y comité de riesgos Los riesgos son manejados y evaluados para toda la organizaciónUtilización de un lenguaje común y acercamiento al manejo de los riesgos

2

2.4 ConclusionesTáctico

Soporte de la Dirección y la gerencia

j gAnálisis del portafolio de riesgos en un tiempo realOptimización y reporteo de los riesgos

1

ReactivoLa gerencia no hacen énfasis en la

Soporte de la Dirección y la gerencia Periódico perfil de riesgoReconocimiento de las amplias necesidades de la empresa en la administración de riesgos

La gerencia no hacen énfasis en la administración de riesgosAdministración de riesgos manejada únicamente en silosCobertura incompleta


No hay un acercamiento en el manejo de riesgos así como su lenguaje

2.1 Introducción

2.2 Administración de riesgos2.2 Administración

de Riesgos


2.4 Conclusiones


2.1 Introducción


de Riesgos

Entendimiento del proceso de la compañía y su dependencia de los sistemas.Identificación de observaciones y recomendaciones para mejora del desempeñoValidar las mejoras al desempeño


j p

Identificación y evaluación de riesgos de procesosIdentificación y evaluación de controles por los riesgos identificadosCategorización de riesgos y controles

2.4 Conclusiones


2.1 Introducción


de Riesgos


2.4 Conclusiones


¿Ri ?2.1 Introducción ¿Riesgos? 2.2 Administración de riesgos2.2 Administración

de Riesgos

• Pero si nunca pasa nada!!.– Esto no real.2.3 Revisión de

Controles

– Lo que sucede es que hoy sabemos muypoco

2.4 Conclusiones

poco.

• La empresa necesita contar con informaciónLa empresa necesita contar con informaciónsobre la cual tomar decisiones a los efectos deestablecer controles necesarios y eficaces.


Amenazas2.1 Introducción


de Riesgos


2.4 Conclusiones


Más Amenazas !!2.1 Introducción


de Riesgos


2.4 Conclusiones


Vulnerabilidades Comunes2.1 Introducción

• Inadecuado compromiso de la dirección.

Vulnerabilidades Comunes2.2 Administración de riesgos2.2 Administración

de Riesgos adecuado co p o so de a d ecc ó• Personal inadecuadamente capacitado y concientizado.• Inadecuada asignación de responsabilidades.2.3 Revisión de

Controles

• Ausencia de políticas/ procedimientos.• Ausencia de controles2.4 Conclusiones

– (físicos/lógicos)– (preventivos/detectivos/correctivos)

• Ausencia de reportes de incidentes y vulnerabilidades.• Inadecuado seguimiento y monitoreo de los controles


Inadecuado seguimiento y monitoreo de los controles.

2.1 Introducción


de Riesgos++ -


Plan de

Mejora y Ejecución del

Plan

Plan de Mejora / Plan de

Auditoría

Evaluación de

Riesgos

Análisis Estratégico

Análisis de Procesos

de Negocio

Evaluación de

Controles

Riesgo Residual

2.4 Conclusiones

StatusRiesgos E t té iFuerzas Procesos

DiApetito de

Riesgo Status, Reportes, Planes de

Mejora

Actualizacion

Planes detallados

PriorizaciónReportes

Estratégicos y de Procesos

Perfil de RiesgoProbabilidad e

Importancia

ExternasObjetivos del

Cliente Administrativ

a

ocesosEstratégicos

Procesos Básicos

Procesos de Apoyo

Diseño

Efectividad

Balance

Riesgo

Evaluación con la

gerencia

Clasificación Final


2.1 Introducción REVISIÓN DE LAS DUDAS DEL SOA


REVISIÓN DE LAS DUDAS DEL SOA



2.4 Conclusiones


C l2.1 Introducción

R t l i I id t t d bilid d t

Comencemos el proceso2.2 Administración de riesgos

• Reporte cualquier Incidente, evento, debilidad, etc. que a su entender afecte a la seguridad (disponibilidad, integridad, confidencialidad)

2.3 Revisión de Controles g , )

• No divulgue información sensible.2.4 Conclusiones2.4 Conclusiones

• Destruya adecuadamente la información sensible.

• Siga los lineamientos, políticas y procedimientos que se le distribuirán.

H t


• Haga preguntas.

• Mantenga su contraseña confidencial.2.1 Introducción

• Sea consiente de los riesgos que están asociados a una 2.2 Administración de riesgos

acción o recurso.

L did i l t d ti ti2.3 Revisión de Controles

• Las medidas implementadas tienen un motivo.

– Lo no prohibido NO esta expresamente itid

2.4 Conclusiones2.4 Conclusiones

permitido.

•• Nuestra seguridad depende de usted.Nuestra seguridad depende de usted.

•• La obtención de la certificación La obtención de la certificación tambiéntambién


también.también.

III. CertificaciónII. Riesgos y ControlesI. SGSI


2.1 Introducción


2.3 Revisión de

1.1 Presentación de las actividades de la metodología

1 2 P t3.2 Pasos a Seguir

3.3 Actividades de la Empresa certificadora

Controles

1.4 Conclusiones

1.2 Presentar Modelo de SGSI


1.4 Funciones y p



yresponsabilidades en el SGI



Proceso para obtener una certificación

3.1 Proceso de certificación

3.2 Pasos a


SOLICITUD DE INFORMACIÓN

Organismo de CertificaciónSeguir


Organismo de CertificaciónESTUDIO DE LA DOCUMENTACIÓN

Entidad de Inspeccióncertificadora


VISITA A LAS INSTALACIONES Y TOMA DE MUESTRAS

Revisión de las evidencias /controles / RiesgosVALIDACIÓN DE LA EVIDENCIA


3.6 Tópicos de

Organismo de CertificaciónEVALUACIÓN DE LOS RESULTADOS

RESPECTO A LA NORMA DE pevaluación

RESPECTO A LA NORMA DE ESPECIFICACIÓN TÉCNICA No Conforme

Conforme

CONCESIÓN DEL CERTIFICADO


CONCESIÓN DEL CERTIFICADO

Pasos a seguir hasta la certificación


3.2 Pasos a 3.2 Pasos a Seguir

1. Documentar y validar los procesos (operativos, transversales, Estratégicos, Apoyo).

Seguir


3.2 Pasos a Seguir

2. Validar la operatividad del SGI en AHORROCOOP a través de métricas.

3. Realizar auditorías internas del SGI e implementar un plan de mejoramiento.certificadora


4. Entender los riesgos que administran los usuarios en función de los activos de

información (Ej : Rotulación protectores de pantalla políticas etc )3.5 Mantención y mejora

3.6 Tópicos de

información (Ej.: Rotulación, protectores de pantalla, políticas, etc.)

5. El proyecto requerirá del compromiso y el esfuerzo de todos para lograr la meta dep

evaluación certificación.


Actividades que desarrolla la empresa certificadora


3.2 Pasos a Seguir



Proceso de Certificación Duración certificadora


certificadora

Solicitud

Estudio de la Documentación2

1

10 días

1 día


3.6 Tópicos de

Estudio de la Documentación

Auditoría de Certificación in Situ

2

3

0 d as

2 díasp

evaluación

Certificación4 30 días


TOTAL43 días app.

Actividades posteriores a la certificación de3.1 Proceso de certificación

3.2 Pasos a

Actividades posteriores a la certificación de AHORROCOOP para el área de Informática.

Seguir


- Visitas de vigilancia de la certificación – semestrales / anuales.

- Programa de visitas durante un período de 3 años.certificadora



g p

- Re certificación por un nuevo período.


3.6 Tópicos de

- Actualización del sistema en la medida que se actualice las

normativas (ISO 9001/ ISO 27001).pevaluación

( )


Mantención y mejora en el tiempo del SGI3.1 Proceso de certificación

3.2 Pasos a - Asegurar que el sistema de gestión integral (SGI) se mantenga y mejore

Las áreas (PERSONAL DE AHORROCOOP) deben ser responsables de:

Seguir


Asegurar que el sistema de gestión integral (SGI) se mantenga y mejore

en el tiempo (Como ?).

- Mantener operativos todos los procesos/ Procedimientos/ Evidencias delcertificadora


Mantener operativos todos los procesos/ Procedimientos/ Evidencias del

sistema de gestión de Integral (SGI).

- Mejorar a partir de los resultados obtenidos3.5 Mantención y mejora

3.6 Tópicos de


Mejorar a partir de los resultados obtenidos.

- Entender y comunicar los cambios de negocios y sus respectivos riesgos

asociadospevaluación

asociados.

- Determinar la necesidad de cambios a nivel de las políticas

(calidad/seguridad), Objetivos (calidad/seguridad) y la planificación del


(calidad/seguridad), Objetivos (calidad/seguridad) y la planificación del

sistema en general.

¿ Cómo es la AUDITORIA DE CERTIFICACION ?


3.2 Pasos a

• Entrevista a usuarios finales por un tiempo de 1 hora de duración

aproximadamente

CERTIFICACION ?

Seguir


• En la entrevista el AUDITOR busca:

Entender para que sirve el SGI /Cual es su propósito?certificadora


– Entender para que sirve el SGI /Cual es su propósito?

– Que le indiquemos de cuales son nuestras responsabilidades frente a

los objetivos de seguridad3.5 Mantención y mejora

3.6 Tópicos de 3.6 Tópicos de

los objetivos de seguridad.

– Que ocurre en el caso de la existencia de una incidencia de seguridad,

como se administra como se comunica y como se cierrapevaluación


como se administra, como se comunica y como se cierra.

– Conocer la existencia de incidentes de seguridad que hayan ocurridos,

ya que posteriormente efectúa controles cruzados


ya que posteriormente efectúa controles cruzados

¿ Cómo es la AUDITORIA DE CERTIFICACION ? (Cont.)


3.2 Pasos a

• En la entrevista el AUDITOR evalúa: (… continuación)

Que tengamos evidencia que demuestre que hacemos lo queSeguir


– Que tengamos evidencia que demuestre que hacemos lo que

decimos en los procedimientos.

La evidencia debe corresponder a lo indicado en los flujos y encertificadora


– La evidencia debe corresponder a lo indicado en los flujos y en

los procedimientos, si corresponde.

En todos los casos la evidencia corresponde a un registro y por3.5 Mantención y mejora


– En todos los casos, la evidencia corresponde a un registro y por

lo tanto debe estar controlado.

– El CONTROL DE REGISTROS queda en evidencia desde elpevaluación


– El CONTROL DE REGISTROS queda en evidencia desde el

momento en que nos piden un registro y podemos: ubicarlo,

acceder rápidamente, verificar que está completo.




3.2 Pasos a

• En la entrevista el AUDITOR verifica: (… continuación)

– Que podamos acceder a los documentos que correspondan a laSeguir


última versión.

– Que los documentos que tengamos disponibles en los escritorioscertificadora


se encuentren clasificados y rotulados.

– Que se entiende por política de escritorio limpio.



– Que el usuario haya tenido una inducción (capacitación) al tema

de seguridad, con el fin de verificar posteriormente fechas de losp

evaluación3.6 Tópicos de

evaluación cursos y su correspondiente evidencia.

– Que en general, tengamos noción de los términos de seguridad,


auditoria interna, comités de seguridad, etc.



3.2 Pasos a

• En la misma entrevista el AUDITOR (para Informática) verifica:

– Que podamos mostrar evidencia que demuestreSeguir


seguimiento o mediciones del proceso.

• Cómo va el proceso?certificadora


• Se alcanzan los resultados?

• Qué estamos haciendo para que se alcancen los3.5 Mantención y mejora


Q p q

resultados?.

– Que podamos responder cómo nos ha ido en las auditoriaspevaluación


Q p p

internas. Se han encontrado problemas en el proceso?.

– Que mejoras se están desarrollando al SGI?. (Cantidad,


j ( ,

responsables, tiempos, resultados)



3.2 Pasos a

• Nunca se debe dejar solo al auditor, siempre y en

todo momento debe estar acompañado por el JefeSeguir


p p

de Auditoria Interna, o por quien este defina..

certificadora


• En algunos casos, el auditor recoge información en

esta entrevista para realizar chequeos cruzados de



información en el siguiente proceso.

pevaluación



¿ Cómo es la AUDITORIA DE CERTIFICACION ? (Cont.)3.1 Proceso de certificación

3.2 Pasos a • Adicionalmente, el auditor puede evaluar nuestro conocimiento de

t d l Si t d G tió I t l l lSeguir


otros procesos del Sistema de Gestión Integral en los cuales

podemos participar:

CAPACITACION Y ENTRENAMIENTOcertificadora


– CAPACITACION Y ENTRENAMIENTO

– EVALUACION DE COMPETENCIAS



– AUDITORIAS INTERNAS

– ACCIONES CORRECTIVAS Y PREVENTIVASp


evaluación– CONTROL DE DOCUMENTOS

– REVISION GERENCIAL


POLITICA DE CALIDAD /SEGURIDAD

Las preguntas COMODIN


3.2 Pasos a

• POLITICA DE CALIDAD /SEGURIDAD

– ¿Conoce la Política de calidad y Seguridad de AHORROCOOP? (Donde esta

involucrado usted)Seguir


– Indique dos aspectos importantes

• CUMPLIMIENTO DE LOS REQUISITOS

certificadora


• MEJORA CONTINUA

• OBJETIVOS DE CALIDAD / SEGURIDAD

– Su trabajo como aporta al logro de los objetivos (CALIDAD, SEGURIDAD)3.5 Mantención y mejora


j p g j ( , )

– Cual de los objetivos de seguridad es más importante

• DESCRIPCION DE CARGOp


evaluación – La conoce? (Es real esta descripción o usted hace otras tareas?)

– Podemos revisarla?

D d t d ti d fi id l t d li i t d l SGI?


– Donde usted tiene definido los aspectos de cumplimiento del SGI?

RECOMENDACIONES3.1 Proceso de certificación

3.2 Pasos a

• Responder con seguridad a las preguntas.

Seguir


• Responder lo que el auditor pregunta, no extenderse

más de lo necesario.certificadora


• Mostrar los registros Solicitados.

Si l dit t l di i t d3.5 Mantención y mejora


• Si el auditor pregunta por los procedimientos, acceder a

la Intranet (y no a otro lugar).p


evaluación

• No hay preguntas que requieran de nuestra memoria,

siempre que sea necesario acceder a la intranet.


p q

GRACIASGRACIAS


2 presentación iso 27001_comite de seguridad (2)

Documents