caso practico de cobit.pdf

August 31, 2017 | Author: Hugo Condori Gutierrez | Category: Cooperative, Information Security, Accounting, Business, Science
Share Embed Donate


Short Description

Download caso practico de cobit.pdf...

Description

Caso de éxito Cobit 5. Una experiencia práctica. Pablo Caneo G. ISACA - CHILE

Datos del Relator • • • • • • • • •

Pablo Caneo Gutiérrez Oficial de Seguridad (CISO) de Grupo Ultramar MBA en Gestión de Negocios Postítulo Docencia Universitaria Diplomado en RSE (Responsabilidad Social Empresarial) Diplomado en Seguridad de la Información Posee las certificaciones CISA, CGEIT, CRISC, COBIT 5, ITIL Presidente Isaca Capítulo Santiago de Chile Docente en Postgrados Universidad de Chile y Universidad Adolfo Ibañez

Antecedentes • Empresa es una Cooperativa de Ahorro y Crédito, fundada en 1963 • La Cooperativa tiene como objetivo único y exclusivo brindar servicios de Intermediación financiera en beneficio de sus socios, para mejorar sus condiciones de vida. • La Cooperativa hoy no solo depende directamente del Ministerio de Economía, Fomento y Reconstrucción, a través del Departamento de Cooperativas de dicho Ministerio sino que también producto de su posición y estructura de financiamiento y su capacidad de manejar activos que no son propios, está siendo regulada y controlada también por la Superintendencia de Bancos e Instituciones Financieras (SBIF). • Posee una cantidad de 7.000 socios y 52 colaboradores • Su capital es de USD 28 millones • Es una de las 7 principales cooperativas del país ISACA - CHILE

Objetivos •



Uno de los compromisos y necesidad de la Cooperativa, además de manejar sus principios de liquidez, operación, atención a clientes, entre otros, se encuentra la necesidad de poder realizar una adecuada Gestión de Riesgos, sobre sus operaciones, cumplimiento, control interno, tecnología y mejora continua en sus servicios y atención a clientes. La Gestión de Riesgos se basa en un proceso estructurado que comprende un conjunto de políticas, lineamientos, procesos y procedimientos, a través de las cuales se pueden identificar, medir, controlar/mitigar y monitorear los diversos riesgos a la que una Empresa puede estar expuesta.

ISACA - CHILE

Metodología de Trabajo 1. 2. 3. 4.

Identificación Proceso Flujograma del Proceso Matriz RACI Selección Escenarios de Riesgos 1. Escenario 6 Información 2. Escenario 12 Cumplimiento Legal

5. 6. 7. 8. 9.

Revisión de Cumplimiento según escenarios Recomendaciones Riesgos / Escenarios Controles críticos asociados para mitigar riesgos Matriz de riesgos y efectos de mitigación

ISACA - CHILE

Identificación Proceso Proceso Clave

Retiro de capital.

Subproceso

Procedimiento de giro de Capital. Este procedimiento forma parte del proceso de operaciones de capital. La responsabilidad por su ejecución y validación corresponde a las áreas Comercial, Finanzas y Gerencia.

Introducción

Este procedimiento será aplicable a todas las operaciones de giro de capital de la Cooperativa. Las indicaciones del procedimiento deben ser aplicadas por el área comercial y controladas por Finanzas (departamento de Tesorería y Contabilidad).

Alcance

Evaluar las solicitudes de giro de capital en base a las condiciones establecidas para tal efecto y realizar las operaciones de manera segura y exenta de errores.

Objetivos

Actividades descritas en el Procedimiento.

1. 2. 3. 4. 5. 6.

Ingreso de requerimiento. Evaluación de Requerimiento. Reconsideración de Requerimiento. Autorización de requerimientos pendientes. Pago de requerimientos. Control de estados de requerimientos.

Evaluar las solicitudes de giro de capital en base a las condiciones establecidas para tal efecto y realizar las operaciones de manera segura y exenta de errores.  Conciliaciones bancarias.

Objetivos

Procesos Relacionados Mediciones del Proceso

 

Cierre diario de operaciones. Revisión de Tesorería y Contable (diaria)

ISACA - CHILE

Flujograma

ISACA - CHILE

Matriz RACI

ISACA - CHILE

Escenarios de Riesgos • Se procede a selección de Escenarios de Riesgos más adecuados (de los 20 que propone COBIT), como recomendación se sugiere elegir dos o tres escenarios que sean los más representativos de acuerdo al proceso escogido • Los escenarios escogidos fueron los siguientes: – Escenario 6: Información (daños, fugas y acceso) – Escenario 12: Cumplimiento Legal (cumplimiento normativo)

• Basado en los escenarios seleccionados se procederá a revisar grado de cumplimiento de acuerdo a lo que este escenario señala para cada uno de los habilitadores (catalizadores)

ISACA - CHILE

Escenario de Riesgo 6

ISACA - CHILE

Escenario de Riesgo 6

ISACA - CHILE

Escenario de Riesgo 6

ISACA - CHILE

Escenario de Riesgo 6

ISACA - CHILE

Escenario de Riesgo 6

ISACA - CHILE

Escenario de Riesgo 6

ISACA - CHILE

Escenario de Riesgo 12

ISACA - CHILE

Escenario de Riesgo 12

ISACA - CHILE

Escenario de Riesgo 12

ISACA - CHILE

Recomendaciones Escenario 6 •







(1) Desde el punto de la continuidad operacional es necesario que los planes de contingencia y continuidad de negocio, tengan un procedimiento documentado y formal, para efectuar pruebas de forma regular (2) En el mismo sentido del punto anterior, se recomienda realizar ejercicios periódicos para comprobar que los planes de continuidad de negocio, son adecuados para la recuperación frente a los resultados predeterminados, permitiendo dar soluciones innovadoras para desarrollar posteriormente y cronometrar que el plan de continuidad operacional va a funcionar como se esperaba. Adicionalmente se requiere evaluar el contar con un lugar alternativo de operación. (3) Se recomienda evaluar la conformación de un comité que sesione al menos una vez al año para revisar el plan de continuidad. Asimismo, se recomienda establecer un plan de trabajo para realizar escenarios de prueba de dicho sistema. (4) En relación a la seguridad de la información es prudencialmente razonable la implementación de accesos controlados a la sala de servidores, sector de cajas, documentos valorados como pagares, en donde quede registrado fecha, hora y del ingreso, todo debidamente respaldado en una política.

ISACA - CHILE

Recomendaciones Escenario 6 •







(5) También es necesaria la implementación de procedimientos y tecnología en los procesos de impresión de documentos importante, ajustar los perfiles para que se imprima sólo lo necesario, claves para rescatar escáner o impresiones. (6) En relación al monitoreo de las actividades es recomendable la incorporación al staff de la Cooperativa, de un Oficial de Cumplimiento Normativo y de seguridad de la Información, con perfil TI separado de la función operacional que actualmente existe y que pueda analizar la lógica de los procesos, identificar errores de manera proactiva de los sistemas, además que vele por la implementación y el cumplimiento de la normativa interna y externa, además de la seguridad de la información. (7) Para apoyar el punto anterior es necesario que la organización cuente con una planificación de capacitación constante de la normativa vigente interna y externa, además de una pasantía para las nuevas incorporaciones que toque los temas referentes a normativas. (8) Se recomienda evaluar el costo-beneficio de implementar controles de acceso físico a las instalaciones de la Cooperativa: implementar mejoras en los puntos de acceso, incorporando tecnología: cámaras de seguridad, puertas con clave de acceso.

ISACA - CHILE

Recomendaciones Escenario 6 •



(9) Desde el punto de vista de contingencia también es importante señalar que la institución cuenta con un Site de Contingencia, que podría fallar porque se encuentra en un radio inferior a 10 kilómetros y en un evento de envergadura podría verse afectado, adicionalmente sería adecuado que la Cooperativa cuente en la Sucursal 2 con un generador de corriente que permita aumentar los plazos para reponerse y restablecer el servicio, como por ejemplo un corte de luz que afecte la región. (10) Finalmente para el Escenario de Información, se recomienda formalizar las políticas de seguridad de la información, respecto a limitaciones en el intercambio y uso de la información de los Socios de la Cooperativa.

ISACA - CHILE

Recomendaciones Escenario 12 •

• •

• • •

(1) Se recomienda establecer charlas de capacitación de normativa y cumplimiento aplicables a la Cooperativa que incluya un registro de asistencia y evaluaciones periódicas de conocimiento y aplicación de la normativa aplicable externa e interna. (2) Definir mediante políticas a los responsables de la seguridad de los datos personales de los socios, en cada área de trabajo (3) Informar a todos los cargos estratégicos, cual es el apetito de riesgo de la alta dirección para establecer una cultura de administración de riesgos (4) Modificar los alcances de la función de auditoría interna, para que ésta se enfoque en los objetivos de la alta dirección y base sus revisiones en los riesgos de la compañía. (5) Implementar una base de datos jurídica y regulatoria que sea un repositorio único y de consulta generalizada, estableciendo un mantenedor. (6) Describir de manera formal, las prácticas de cumplimiento aplicables (7) Crear una función de control interno que monitoree el cumplimiento de los controles definidos, que base su acción en los riesgos de la compañía.

ISACA - CHILE

Riesgos / Escenarios

ISACA - CHILE

Controles Críticos

ISACA - CHILE

Controles Críticos

ISACA - CHILE

Matriz de Riesgos

ISACA - CHILE

Anexos •

Identificaci%25C3%25B3n y Evaluaci%25C3%25B3n de Riesgos y Controles.xlsx

ISACA - CHILE

Anexos

ISACA - CHILE

Anexos

ISACA - CHILE

Anexos

ISACA - CHILE

Preguntas

Pablo Caneo Gutiérrez [email protected] [email protected]

View more...

Comments

Copyright ©2017 KUPDF Inc.
SUPPORT KUPDF