Caso de éxito Cobit 5. Una experiencia práctica.

Anuncio
Caso de éxito Cobit 5. Una
experiencia práctica.
Pablo Caneo G.
ISACA - CHILE
Datos del Relator
•
•
•
•
•
•
•
•
•
Pablo Caneo Gutiérrez
Oficial de Seguridad (CISO) de Grupo Ultramar
MBA en Gestión de Negocios
Postítulo Docencia Universitaria
Diplomado en RSE (Responsabilidad Social Empresarial)
Diplomado en Seguridad de la Información
Posee las certificaciones CISA, CGEIT, CRISC, COBIT 5, ITIL
Presidente Isaca Capítulo Santiago de Chile
Docente en Postgrados Universidad de Chile y Universidad Adolfo
Ibañez
Antecedentes
• Empresa es una Cooperativa de Ahorro y Crédito, fundada en 1963
• La Cooperativa tiene como objetivo único y exclusivo brindar
servicios de Intermediación financiera en beneficio de sus socios,
para mejorar sus condiciones de vida.
• La Cooperativa hoy no solo depende directamente del Ministerio de
Economía, Fomento y Reconstrucción, a través del Departamento
de Cooperativas de dicho Ministerio sino que también producto de
su posición y estructura de financiamiento y su capacidad de
manejar activos que no son propios, está siendo regulada y
controlada también por la Superintendencia de Bancos e
Instituciones Financieras (SBIF).
• Posee una cantidad de 7.000 socios y 52 colaboradores
• Su capital es de USD 28 millones
• Es una de las 7 principales cooperativas del país
ISACA - CHILE
Objetivos
•
•
Uno de los compromisos y necesidad de la Cooperativa, además de manejar sus
principios de liquidez, operación, atención a clientes, entre otros, se encuentra la
necesidad de poder realizar una adecuada Gestión de Riesgos, sobre sus
operaciones, cumplimiento, control interno, tecnología y mejora continua en sus
servicios y atención a clientes.
La Gestión de Riesgos se basa en un proceso estructurado que comprende un
conjunto de políticas, lineamientos, procesos y procedimientos, a través de las
cuales se pueden identificar, medir, controlar/mitigar y monitorear los diversos
riesgos a la que una Empresa puede estar expuesta.
ISACA - CHILE
Metodología de Trabajo
1.
2.
3.
4.
Identificación Proceso
Flujograma del Proceso
Matriz RACI
Selección Escenarios de Riesgos
1. Escenario 6 Información
2. Escenario 12 Cumplimiento Legal
5.
6.
7.
8.
9.
Revisión de Cumplimiento según escenarios
Recomendaciones
Riesgos / Escenarios
Controles críticos asociados para mitigar riesgos
Matriz de riesgos y efectos de mitigación
ISACA - CHILE
Identificación Proceso
Proceso Clave
Retiro de capital.
Subproceso
Procedimiento de giro de Capital.
Este procedimiento forma parte del proceso de operaciones de capital.
La responsabilidad por su ejecución y validación corresponde a las
áreas Comercial, Finanzas y Gerencia.
Introducción
Este procedimiento será aplicable a todas las operaciones de giro de
capital de la Cooperativa. Las indicaciones del procedimiento deben
ser aplicadas por el área comercial y controladas por Finanzas
(departamento de Tesorería y Contabilidad).
Alcance
Evaluar las solicitudes de giro de capital en base a las condiciones
establecidas para tal efecto y realizar las operaciones de manera
segura y exenta de errores.
Objetivos
Actividades descritas en
el
Procedimiento.
1.
2.
3.
4.
5.
6.
Ingreso de requerimiento.
Evaluación de Requerimiento.
Reconsideración de Requerimiento.
Autorización de requerimientos pendientes.
Pago de requerimientos.
Control de estados de requerimientos.
Evaluar las solicitudes de giro de capital en base a las condiciones
establecidas para tal efecto y realizar las operaciones de manera
segura y exenta de errores.

Conciliaciones bancarias.
Objetivos
Procesos Relacionados
Mediciones del Proceso


Cierre diario de operaciones.
Revisión de Tesorería y Contable (diaria)
ISACA - CHILE
Flujograma
ISACA - CHILE
Matriz RACI
ISACA - CHILE
Escenarios de Riesgos
• Se procede a selección de Escenarios de Riesgos más adecuados
(de los 20 que propone COBIT), como recomendación se sugiere
elegir dos o tres escenarios que sean los más representativos de
acuerdo al proceso escogido
• Los escenarios escogidos fueron los siguientes:
– Escenario 6: Información (daños, fugas y acceso)
– Escenario 12: Cumplimiento Legal (cumplimiento normativo)
• Basado en los escenarios seleccionados se procederá a revisar
grado de cumplimiento de acuerdo a lo que este escenario señala
para cada uno de los habilitadores (catalizadores)
ISACA - CHILE
Escenario de Riesgo 6
ISACA - CHILE
Escenario de Riesgo 6
ISACA - CHILE
Escenario de Riesgo 6
ISACA - CHILE
Escenario de Riesgo 6
ISACA - CHILE
Escenario de Riesgo 6
ISACA - CHILE
Escenario de Riesgo 6
ISACA - CHILE
Escenario de Riesgo 12
ISACA - CHILE
Escenario de Riesgo 12
ISACA - CHILE
Escenario de Riesgo 12
ISACA - CHILE
Recomendaciones Escenario 6
•
•
•
•
(1) Desde el punto de la continuidad operacional es necesario que los planes de
contingencia y continuidad de negocio, tengan un procedimiento documentado y
formal, para efectuar pruebas de forma regular
(2) En el mismo sentido del punto anterior, se recomienda realizar ejercicios
periódicos para comprobar que los planes de continuidad de negocio, son adecuados
para la recuperación frente a los resultados predeterminados, permitiendo dar
soluciones innovadoras para desarrollar posteriormente y cronometrar que el plan de
continuidad operacional va a funcionar como se esperaba. Adicionalmente se
requiere evaluar el contar con un lugar alternativo de operación.
(3) Se recomienda evaluar la conformación de un comité que sesione al menos una
vez al año para revisar el plan de continuidad. Asimismo, se recomienda establecer
un plan de trabajo para realizar escenarios de prueba de dicho sistema.
(4) En relación a la seguridad de la información es prudencialmente razonable la
implementación de accesos controlados a la sala de servidores, sector de cajas,
documentos valorados como pagares, en donde quede registrado fecha, hora y del
ingreso, todo debidamente respaldado en una política.
ISACA - CHILE
Recomendaciones Escenario 6
•
•
•
•
(5) También es necesaria la implementación de procedimientos y tecnología en los
procesos de impresión de documentos importante, ajustar los perfiles para que se
imprima sólo lo necesario, claves para rescatar escáner o impresiones.
(6) En relación al monitoreo de las actividades es recomendable la incorporación al
staff de la Cooperativa, de un Oficial de Cumplimiento Normativo y de seguridad de
la Información, con perfil TI separado de la función operacional que actualmente
existe y que pueda analizar la lógica de los procesos, identificar errores de manera
proactiva de los sistemas, además que vele por la implementación y el cumplimiento
de la normativa interna y externa, además de la seguridad de la información.
(7) Para apoyar el punto anterior es necesario que la organización cuente con una
planificación de capacitación constante de la normativa vigente interna y externa,
además de una pasantía para las nuevas incorporaciones que toque los temas
referentes a normativas.
(8) Se recomienda evaluar el costo-beneficio de implementar controles de acceso
físico a las instalaciones de la Cooperativa: implementar mejoras en los puntos de
acceso, incorporando tecnología: cámaras de seguridad, puertas con clave de
acceso.
ISACA - CHILE
Recomendaciones Escenario 6
•
•
(9) Desde el punto de vista de contingencia también es importante señalar que la
institución cuenta con un Site de Contingencia, que podría fallar porque se encuentra
en un radio inferior a 10 kilómetros y en un evento de envergadura podría verse
afectado, adicionalmente sería adecuado que la Cooperativa cuente en la Sucursal 2
con un generador de corriente que permita aumentar los plazos para reponerse y
restablecer el servicio, como por ejemplo un corte de luz que afecte la región.
(10) Finalmente para el Escenario de Información, se recomienda formalizar las
políticas de seguridad de la información, respecto a limitaciones en el intercambio y
uso de la información de los Socios de la Cooperativa.
ISACA - CHILE
Recomendaciones Escenario 12
•
•
•
•
•
•
(1) Se recomienda establecer charlas de capacitación de normativa y cumplimiento
aplicables a la Cooperativa que incluya un registro de asistencia y evaluaciones
periódicas de conocimiento y aplicación de la normativa aplicable externa e interna.
(2) Definir mediante políticas a los responsables de la seguridad de los datos
personales de los socios, en cada área de trabajo
(3) Informar a todos los cargos estratégicos, cual es el apetito de riesgo de la alta
dirección para establecer una cultura de administración de riesgos
(4) Modificar los alcances de la función de auditoría interna, para que ésta se
enfoque en los objetivos de la alta dirección y base sus revisiones en los riesgos de
la compañía.
(5) Implementar una base de datos jurídica y regulatoria que sea un repositorio único
y de consulta generalizada, estableciendo un mantenedor.
(6) Describir de manera formal, las prácticas de cumplimiento aplicables
(7) Crear una función de control interno que monitoree el cumplimiento de los
controles definidos, que base su acción en los riesgos de la compañía.
ISACA - CHILE
Riesgos / Escenarios
ISACA - CHILE
Controles Críticos
ISACA - CHILE
Controles Críticos
ISACA - CHILE
Matriz de Riesgos
ISACA - CHILE
Anexos
•
Identificaci%25C3%25B3n y Evaluaci%25C3%25B3n de Riesgos y Controles.xlsx
ISACA - CHILE
Anexos
ISACA - CHILE
Anexos
ISACA - CHILE
Anexos
ISACA - CHILE
Preguntas
Pablo Caneo Gutiérrez
[email protected] [email protected]
Descargar