Caso de éxito Cobit 5. Una experiencia práctica. Pablo Caneo G. ISACA - CHILE Datos del Relator • • • • • • • • • Pablo Caneo Gutiérrez Oficial de Seguridad (CISO) de Grupo Ultramar MBA en Gestión de Negocios Postítulo Docencia Universitaria Diplomado en RSE (Responsabilidad Social Empresarial) Diplomado en Seguridad de la Información Posee las certificaciones CISA, CGEIT, CRISC, COBIT 5, ITIL Presidente Isaca Capítulo Santiago de Chile Docente en Postgrados Universidad de Chile y Universidad Adolfo Ibañez Antecedentes • Empresa es una Cooperativa de Ahorro y Crédito, fundada en 1963 • La Cooperativa tiene como objetivo único y exclusivo brindar servicios de Intermediación financiera en beneficio de sus socios, para mejorar sus condiciones de vida. • La Cooperativa hoy no solo depende directamente del Ministerio de Economía, Fomento y Reconstrucción, a través del Departamento de Cooperativas de dicho Ministerio sino que también producto de su posición y estructura de financiamiento y su capacidad de manejar activos que no son propios, está siendo regulada y controlada también por la Superintendencia de Bancos e Instituciones Financieras (SBIF). • Posee una cantidad de 7.000 socios y 52 colaboradores • Su capital es de USD 28 millones • Es una de las 7 principales cooperativas del país ISACA - CHILE Objetivos • • Uno de los compromisos y necesidad de la Cooperativa, además de manejar sus principios de liquidez, operación, atención a clientes, entre otros, se encuentra la necesidad de poder realizar una adecuada Gestión de Riesgos, sobre sus operaciones, cumplimiento, control interno, tecnología y mejora continua en sus servicios y atención a clientes. La Gestión de Riesgos se basa en un proceso estructurado que comprende un conjunto de políticas, lineamientos, procesos y procedimientos, a través de las cuales se pueden identificar, medir, controlar/mitigar y monitorear los diversos riesgos a la que una Empresa puede estar expuesta. ISACA - CHILE Metodología de Trabajo 1. 2. 3. 4. Identificación Proceso Flujograma del Proceso Matriz RACI Selección Escenarios de Riesgos 1. Escenario 6 Información 2. Escenario 12 Cumplimiento Legal 5. 6. 7. 8. 9. Revisión de Cumplimiento según escenarios Recomendaciones Riesgos / Escenarios Controles críticos asociados para mitigar riesgos Matriz de riesgos y efectos de mitigación ISACA - CHILE Identificación Proceso Proceso Clave Retiro de capital. Subproceso Procedimiento de giro de Capital. Este procedimiento forma parte del proceso de operaciones de capital. La responsabilidad por su ejecución y validación corresponde a las áreas Comercial, Finanzas y Gerencia. Introducción Este procedimiento será aplicable a todas las operaciones de giro de capital de la Cooperativa. Las indicaciones del procedimiento deben ser aplicadas por el área comercial y controladas por Finanzas (departamento de Tesorería y Contabilidad). Alcance Evaluar las solicitudes de giro de capital en base a las condiciones establecidas para tal efecto y realizar las operaciones de manera segura y exenta de errores. Objetivos Actividades descritas en el Procedimiento. 1. 2. 3. 4. 5. 6. Ingreso de requerimiento. Evaluación de Requerimiento. Reconsideración de Requerimiento. Autorización de requerimientos pendientes. Pago de requerimientos. Control de estados de requerimientos. Evaluar las solicitudes de giro de capital en base a las condiciones establecidas para tal efecto y realizar las operaciones de manera segura y exenta de errores. Conciliaciones bancarias. Objetivos Procesos Relacionados Mediciones del Proceso Cierre diario de operaciones. Revisión de Tesorería y Contable (diaria) ISACA - CHILE Flujograma ISACA - CHILE Matriz RACI ISACA - CHILE Escenarios de Riesgos • Se procede a selección de Escenarios de Riesgos más adecuados (de los 20 que propone COBIT), como recomendación se sugiere elegir dos o tres escenarios que sean los más representativos de acuerdo al proceso escogido • Los escenarios escogidos fueron los siguientes: – Escenario 6: Información (daños, fugas y acceso) – Escenario 12: Cumplimiento Legal (cumplimiento normativo) • Basado en los escenarios seleccionados se procederá a revisar grado de cumplimiento de acuerdo a lo que este escenario señala para cada uno de los habilitadores (catalizadores) ISACA - CHILE Escenario de Riesgo 6 ISACA - CHILE Escenario de Riesgo 6 ISACA - CHILE Escenario de Riesgo 6 ISACA - CHILE Escenario de Riesgo 6 ISACA - CHILE Escenario de Riesgo 6 ISACA - CHILE Escenario de Riesgo 6 ISACA - CHILE Escenario de Riesgo 12 ISACA - CHILE Escenario de Riesgo 12 ISACA - CHILE Escenario de Riesgo 12 ISACA - CHILE Recomendaciones Escenario 6 • • • • (1) Desde el punto de la continuidad operacional es necesario que los planes de contingencia y continuidad de negocio, tengan un procedimiento documentado y formal, para efectuar pruebas de forma regular (2) En el mismo sentido del punto anterior, se recomienda realizar ejercicios periódicos para comprobar que los planes de continuidad de negocio, son adecuados para la recuperación frente a los resultados predeterminados, permitiendo dar soluciones innovadoras para desarrollar posteriormente y cronometrar que el plan de continuidad operacional va a funcionar como se esperaba. Adicionalmente se requiere evaluar el contar con un lugar alternativo de operación. (3) Se recomienda evaluar la conformación de un comité que sesione al menos una vez al año para revisar el plan de continuidad. Asimismo, se recomienda establecer un plan de trabajo para realizar escenarios de prueba de dicho sistema. (4) En relación a la seguridad de la información es prudencialmente razonable la implementación de accesos controlados a la sala de servidores, sector de cajas, documentos valorados como pagares, en donde quede registrado fecha, hora y del ingreso, todo debidamente respaldado en una política. ISACA - CHILE Recomendaciones Escenario 6 • • • • (5) También es necesaria la implementación de procedimientos y tecnología en los procesos de impresión de documentos importante, ajustar los perfiles para que se imprima sólo lo necesario, claves para rescatar escáner o impresiones. (6) En relación al monitoreo de las actividades es recomendable la incorporación al staff de la Cooperativa, de un Oficial de Cumplimiento Normativo y de seguridad de la Información, con perfil TI separado de la función operacional que actualmente existe y que pueda analizar la lógica de los procesos, identificar errores de manera proactiva de los sistemas, además que vele por la implementación y el cumplimiento de la normativa interna y externa, además de la seguridad de la información. (7) Para apoyar el punto anterior es necesario que la organización cuente con una planificación de capacitación constante de la normativa vigente interna y externa, además de una pasantía para las nuevas incorporaciones que toque los temas referentes a normativas. (8) Se recomienda evaluar el costo-beneficio de implementar controles de acceso físico a las instalaciones de la Cooperativa: implementar mejoras en los puntos de acceso, incorporando tecnología: cámaras de seguridad, puertas con clave de acceso. ISACA - CHILE Recomendaciones Escenario 6 • • (9) Desde el punto de vista de contingencia también es importante señalar que la institución cuenta con un Site de Contingencia, que podría fallar porque se encuentra en un radio inferior a 10 kilómetros y en un evento de envergadura podría verse afectado, adicionalmente sería adecuado que la Cooperativa cuente en la Sucursal 2 con un generador de corriente que permita aumentar los plazos para reponerse y restablecer el servicio, como por ejemplo un corte de luz que afecte la región. (10) Finalmente para el Escenario de Información, se recomienda formalizar las políticas de seguridad de la información, respecto a limitaciones en el intercambio y uso de la información de los Socios de la Cooperativa. ISACA - CHILE Recomendaciones Escenario 12 • • • • • • (1) Se recomienda establecer charlas de capacitación de normativa y cumplimiento aplicables a la Cooperativa que incluya un registro de asistencia y evaluaciones periódicas de conocimiento y aplicación de la normativa aplicable externa e interna. (2) Definir mediante políticas a los responsables de la seguridad de los datos personales de los socios, en cada área de trabajo (3) Informar a todos los cargos estratégicos, cual es el apetito de riesgo de la alta dirección para establecer una cultura de administración de riesgos (4) Modificar los alcances de la función de auditoría interna, para que ésta se enfoque en los objetivos de la alta dirección y base sus revisiones en los riesgos de la compañía. (5) Implementar una base de datos jurídica y regulatoria que sea un repositorio único y de consulta generalizada, estableciendo un mantenedor. (6) Describir de manera formal, las prácticas de cumplimiento aplicables (7) Crear una función de control interno que monitoree el cumplimiento de los controles definidos, que base su acción en los riesgos de la compañía. ISACA - CHILE Riesgos / Escenarios ISACA - CHILE Controles Críticos ISACA - CHILE Controles Críticos ISACA - CHILE Matriz de Riesgos ISACA - CHILE Anexos • Identificaci%25C3%25B3n y Evaluaci%25C3%25B3n de Riesgos y Controles.xlsx ISACA - CHILE Anexos ISACA - CHILE Anexos ISACA - CHILE Anexos ISACA - CHILE Preguntas Pablo Caneo Gutiérrez [email protected] [email protected]