Upload
others
View
9
Download
0
Embed Size (px)
Citation preview
Pablo A. Malagón T.
Pablo A. Malagón [email protected]
Pablo A. Malagón T.
AAGENDAGENDA
ETAPA 1ETAPA 1
Proyecto Seguridad InformáticaProyecto Seguridad Informática
�Diseño: Fases I, II
�Implementación: Fases III, IV
ETAPA 2ETAPA 2
El Riesgo Operativo como herramienta El Riesgo Operativo como herramienta estratégicaestratégica
�Administración del Riesgo
�RO a Nivel Internacional
�RO en Colombia
Pablo A. Malagón T.
Proyecto Seguridad InformáticaProyecto Seguridad Informática
Plan estratégico con proyección de 4 años Plan estratégico con proyección de 4 años
Definición y AlcanceDefinición y AlcanceETAPA 1ETAPA 1
�Obliga hacer el ejercicio a largo plazo
�En los cambios administrativos se disminuye el impacto y permite la continuidad de los proyectos
Ventajas
Desventajas
�Se puede quedar corto el presupuesto y alcance por la evolución de la TI
�Cotizar herramientas que no se requieran en un futuro o varié la funcionalidad
�Cambios del personal gerencial y administrativo
Pablo A. Malagón T.
RED DE DATOSRED DE DATOS
CONVENCIONES
F.O OC12F.O OC3UTP FE
Antecedente (1)Antecedente (1)
12x1x
S witch3000
green= enabled, l ink O KFlashing green= disabled, l ink O K
off = link OK fail
Packet
Status
1 2 3 4 5 6
7
1 2 3 4 5 6
7
8 9 10 11 12
8 9 10 11 12
STAT US MO DULE
Status
Packet Packet
Status
Power
MGMT
™
SuperStack II Switch 3000
R
12x1x
S witch3000
green= enabled, link OKFlashing green= disabled, link OK
off = link OK fail
Packet
Status
1 2 3 4 5 6
7
1 2 3 4 5 6
7
8 9 10 11 12
8 9 10 11 12
STAT US MO DULE
Status
Packet Packet
Status
Power
MGMT
™
SuperStack II Switch 3000
R
12x1x
S witch3000
green= enabled, l ink OKFlashing green= disabled, l ink OK
off = link OK fail
Packet
Status
1 2 3 4 5 6
7
1 2 3 4 5 6
7
8 9 10 11 12
8 9 10 11 12
STATUS MO DULE
Status
Packet Packet
Status
Power
MGMT
™
SuperStack II Switch 3000
R
12x1x
S witch3000
green= enabled, l ink OKFlashing green= disabled, l ink OK
off = link OK fail
Packet
Status
1 2 3 4 5 6
7
1 2 3 4 5 6
7
8 9 10 11 12
8 9 10 11 12
STATUS MO DULE
Status
Packet Packet
Status
Power
MGMT
™
SuperStack II Switch 3000
R
12x1x
S witch3000
green= enabled, l ink OKFlashing green= disabled, l ink OK
off = link OK fail
Packet
Status
1 2 3 4 5 6
7
1 2 3 4 5 6
7
8 9 10 11 12
8 9 10 11 12
S TA T U S MO D U LE
Status
Packet Packet
Status
Power
MGMT
™
SuperStack II Switch 3000
R
Switch 3300
DOWNLINK
Switch 3300
DOWNLINK
Switch 3300
DOWNLINK
Switch 3300
DOWNLINK
Switch 3300
DOWNLINK
HUB 24P.
HUB 24P.HUB 24P.HUB 24P.
HUB 12P.HUB 24P.HUB 24P.HUB 24P.
HUB 24P.HUB 24P.HUB 24P.
HUB 8P.HUB 24P.HUB 24P.HUB 12P
P1
P2
P3
P4
P5
SWITCH 12P.SWITCH 24P.
SWITCH 24P.
SWITCH 24P.
SWITCH 12P.SWITCH 24P.
SWITCH 12P.SWITCH 24P.
SWITCH 12P.
Switch core ATM 6P. FIBRA OPTICA
Consola
Proyecto Seguridad InformáticaProyecto Seguridad Informática
Pablo A. Malagón T.
Antecedente (2)Antecedente (2)
RouterRouterFirewallFirewall
Red local 1Red local 1
Red local 2Red local 2
Servidor Servidor
Usuario Remoto Usuario Remoto Usuarios RemotosUsuarios Remotos
RDSI y RTPCRDSI y RTPCSwitchSwitch ATMATM
RASRAS
HUB HUB
12x1x
Switch3000
green= enabled, link OKFlashing green= disabled, link OK
off = link OK fail
Packet
Status
1 2 3 4 5 6
7
1 2 3 4 5 6
7
8 9 10 11 12
8 9 10 11 12
STATUS MODULE
Status
Packet Packet
Status
Power
MGMT
™
SuperStack II Switch 3000
R
SWITCHSWITCH
RDSI: Red Digital de Servicios IntegradaRDSI: Red Digital de Servicios IntegradaRTPC: Red Telefónica Publica ConmutadaRTPC: Red Telefónica Publica ConmutadaATM: Modo de Transferencia Asíncrono ATM: Modo de Transferencia Asíncrono
Servidor WEBServidor WEB
InternetInternet
Proyecto Seguridad InformáticaProyecto Seguridad Informática
Pablo A. Malagón T.
Fase I Fase I
•Diagnostico y diseño del modelo de seguridad de la infraestructura garantizando la funcionalidad de los servicios que tiene la organización.
•Definición de las políticas organizacionales entorno a la seguridad
•Adquirir herramientas básicas de seguridad informática y capacitación en las mismas.
•Identificar y corregir vulnerabilidades (Hardening) de sistemas operaciones de red
•Diagnostico y definición de los respaldos y la recuperación de la información .
Proyecto Seguridad InformáticaProyecto Seguridad Informática
ETAPA 1ETAPA 1
Pablo A. Malagón T.
•Contratos de servicios y conexiones con terceros.
•Diagnostico de las practicas en el desarrollo y mantenimiento de sistemas de información.
•Conservar el personal especializado
•Las herramientas adquiridas queden en total funcionamiento, garantizando la disponibilidad del Hardware, software y recurso humano requerido.
•Que este alineado con el estándar de seguridad Internacional – ISO 17799
Fase I Fase I
Proyecto Seguridad InformáticaProyecto Seguridad Informática
ETAPA 1ETAPA 1
Pablo A. Malagón T.
RouterDel ISP
Firewall
ApplianceAntivirus
Red local 1
Red local 2
Servidor Usuarios RDSIRDSI y RTPCSwitch ATM
RAS FIREWALL
HUB
SWITCH
FirewallCorreoExterno
DMZ
Usuarios Remotos
ReplicaUsuarios RDSI
Servidor WEB
IDSSin enrutamientoS.O. Hardening
Usuario InternoRemoto
Fase I Fase I
Proyecto Seguridad InformáticaProyecto Seguridad Informática
ETAPA 1ETAPA 1
12x1x
Switch3000
green= enabled, link OKFlashing green= disabled, link OK
off = link OK fail
Packet
Status
1 2 3 4 5 6
7
1 2 3 4 5 6
7
8 9 10 11 12
8 9 10 11 12
STATUS MODULE
Status
Packet Packet
Status
Power
MGMT
™
SuperStack II Switch 3000
R
Pablo A. Malagón T.
Servidor WEBRouter
del ISP
Firewall
Antivirus
Usuarios
Remotos
RDSI y RTPC
RAS FIREWALL
Firewall
CorreoExterno
DMZ
Usuarios
Remotos
VLAN 2
Switch Giga
VLAN 1
IDS
RDSI y RTPC
Usuarios InternosRemotos
Antecedente Antecedente Fase II Fase II
Proyecto Seguridad InformáticaProyecto Seguridad Informática
ETAPA 1ETAPA 1
Pablo A. Malagón T.
Certificados digitalesCertificados digitales
• Modulo de verificación de firmas para la comunicación entre la organización y los usuarios remotos
• Certificado de Servidor Seguro
• Capacitación
Fase II (A)Fase II (A)
Proyecto Seguridad InformáticaProyecto Seguridad Informática
ETAPA 1ETAPA 1
Pablo A. Malagón T.
UtilizaciUtilizacióón del Certificado n del Certificado Digital: Firma DigitalDigital: Firma Digital
CertificadoCertificado
Mensaje de Mensaje de DatosDatos
Firma DigitalFirma Digital Parte Parte ConfianteConfiante
OkOk!!
Fase II (A)Fase II (A)
Proyecto Seguridad InformáticaProyecto Seguridad Informática
ETAPA 1ETAPA 1
Pablo A. Malagón T.
Fase II (A)Fase II (A)
Servidor Servidor WEBWEB
RouterRouterDel ISPDel ISP
FirewallFirewall
AntivirusAntivirus
Directorio Directorio Usuarios RemotosUsuarios Remotos
RDSI y RTPCRDSI y RTPC
RAS FIREWALLRAS FIREWALL
FirewallFirewallCorreoCorreo ExternoExterno
DMZDMZ
UsuarioUsuarioRemotoRemoto
VLAN 2VLAN 2
VLAN 1VLAN 1
IDSIDS
RDSI y RTPCRDSI y RTPC
ComunicacionesComunicaciones
EntidadEntidadCertificadora Certificadora
Proyecto Seguridad InformáticaProyecto Seguridad Informática
ETAPA 1ETAPA 1
Certificados DigitalesCertificados Digitales
Pablo A. Malagón T.
Fase II (B)Fase II (B)
•Mapas de Procesos ••Matriz de RiesgosMatriz de Riesgos
•BIA (Análisis de impacto del negocio)
•Plan de acciones
Proyecto Seguridad InformáticaProyecto Seguridad Informática
ETAPA 1ETAPA 1
�� DiagnDiagnóóstico de la Situacistico de la Situacióón Actualn Actual
�� DefiniciDefinicióón de requerimientos para el retorno a n de requerimientos para el retorno a la normalidad de las operacionesla normalidad de las operaciones
�� Estrategias de RecuperaciEstrategias de Recuperacióón de Contingencias n de Contingencias de TIde TI. P. Probar, capacitar y ejercitar el plan.robar, capacitar y ejercitar el plan.
Plan de Contingencia Plan de Contingencia
Pablo A. Malagón T.
Esquema de Contingencia Esquema de Contingencia
Servidor WEBRouterDel ISP
Firewall
Antivirus /Anti spam
RAS FIREWALL
Firewall
Correo externoVLAN DMZ
Usuario Remoto
RDSI y RTPC
Comunicaciones
VLAN INTERNET
Carrier
PSTN
1
2
30
Usuarios RemotosSwitch
Router Sitio Alterno
RAS
1 2
1
2
5
Puestos de trabajo
Sistema critico 1
Sistema critico 2
Sistema critico 3
IPS
1
2
3
3
1
3
2
EntidadCertificadora
Proyecto Seguridad InformáticaProyecto Seguridad Informática
ETAPA 1ETAPA 1
Usuarios RDSI
VLAN 2
VLAN 1
Pablo A. Malagón T.
Adquisición de Herramientas Adquisición de Herramientas
Fase III Fase III
Proyecto Seguridad InformáticaProyecto Seguridad Informática
ETAPA 1ETAPA 1
•Control de contenido y direcciones de Internet
•Proxy
•Autenticación fuerte de usuarios Internos
�Certificados Digitales�Token
•Firewalls personales
Pablo A. Malagón T.
Servidor WEB
Routerdel ISP
Firewall
Antivirus /Antispam
Usuarios RemotosI
RAS FIREWALL
Firewall
CorreoExterno
VLAN DMZ
UsuariosRemotos
VLAN 2
VLAN 1
RDSI y RTPC
Comunicaciones
ServidorControl de URL /
Proxy
Servidor de Certificados
DigitalesUsuario Interno Remoto•Desktop Firewall,•Certificado Digital •Token
Certificado ente externo
Certificado Interno
Documento con Firma Electrónica
IPSFirewall
VLAN INTERNET
Fase III Fase III
Proyecto Seguridad InformáticaProyecto Seguridad Informática
ETAPA 1ETAPA 1
Pablo A. Malagón T.
Proyecto Seguridad InformáticaProyecto Seguridad Informática
2
1
3
4
5
1 2 3 4 5Vulnerabilidad Explotar Arreglo
(Patch / Hardening)Aplicar Retorno
Normalidad
Riesgo
Tiempo
Fase IV Fase IV ETAPA 1ETAPA 1
Sistema dePrevención
Administrador de Vulnerabilidades
Pablo A. Malagón T.
Fase IV Fase IV
Sistema de Administración del Riesgo asociado a las Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticasvulnerabilidades e intrusiones informáticas
Proyecto Seguridad InformáticaProyecto Seguridad Informática
• Descubrir en línea dispositivos y realizar el mapa de manera automática de la infraestructura tecnológica
•Priorizar activos de acuerdo con el nivel de seguridad requerido.
• Verificar las vulnerabilidades de las plataformas y determinar el nivel de exposición al riesgo
•Facilitar la protección de los activos críticos, de acuerdo con los requerimientos y políticas del negocio.
ETAPA 1ETAPA 1
Pablo A. Malagón T.
Sistema de Administración del Riesgo asociado a las Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticasvulnerabilidades e intrusiones informáticas
•Asignar, controlar y validar la remediación de forma autónoma.
•Capacitar en la configuración, administración y mantenimiento de la solución
•Acompañar la remediación con personal experto
ETAPA 1ETAPA 1 Fase IV Fase IV
Proyecto Seguridad InformáticaProyecto Seguridad Informática
Pablo A. Malagón T.
•Fase de aprendizaje, se analiza por aplicación •Identificación de los servicios a cerrar, entre más bloqueos más latencia •Modo oculto, no muestra una dirección IP y tampoco una MAC.
Proyecto Seguridad InformáticaProyecto Seguridad Informática
ETAPA 1ETAPA 1 Fase IV Fase IV
SoluciónSolución
Pablo A. Malagón T.
Fase IVFase IV
ResultadosResultados: :
•Califica por nivel de riesgo (Vulnerabilidad alta, media, baja e informativa)
•Criticidad por importancia del activo
•Gestión mediante tikes
Proyecto Seguridad InformáticaProyecto Seguridad Informática
Solución para mitigar el RiesgoSolución para mitigar el Riesgo
ETAPA 1ETAPA 1
Remediación
Pablo A. Malagón T.
•Reducir y mitigar efectivamente el riesgo, balanceando el valor del activo, la severidad de la vulnerabilidad y la criticidad de las amenazas
•Focalizándose en los activos más importante
•Tomando medidas para dar continuidad a la organización
•Definiendo responsables de los sistemas de información
•Midiendo el progreso o evolución del riesgo de la infraestructura tecnológica
Proyecto Seguridad InformáticaProyecto Seguridad Informática
Sistema de Administración del Riesgo asociado a las Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticasvulnerabilidades e intrusiones informáticas
ETAPA 1ETAPA 1 Fase IV Fase IV
Pablo A. Malagón T.
•Identificación proactiva de las nuevas amenazas sobre los activos críticos
•Técnicamente mediante:
• Patch y/o actualización de S.O. y aplicaciones comerciales.
� Antivirus� Software de automatización de oficina � Bases de datos � Correo electrónico
• Identificando software no autorizado o necesario
Proyecto Seguridad InformáticaProyecto Seguridad Informática
Sistema de Administración del Riesgo asociado a las Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticasvulnerabilidades e intrusiones informáticas
ETAPA 1ETAPA 1 Fase IV Fase IV
Pablo A. Malagón T.
Preparación del recurso humanoPreparación del recurso humano
•• Herramientas de seguridadHerramientas de seguridad
•• Sensibilización Sensibilización –– ConcientizaciónConcientización
1. Definición de Políticas de seguridad
2. Difusión – Audiencia acorde a su interés
3. Segmentación de audiencias: Preparar para el cambio en el comportamiento del uso de la tecnología.
a. Administradores de TI b. Gerencia y “Gobierno
Corporativo”c. Funcionarios generales
•• Metodologías y Normas:Metodologías y Normas:
1. ISO 9001:20002. ISO 17799 3. Cobit4.4. NTC 5254NTC 52545. ISO 27001
Fase I a IVFase I a IVETAPA 1ETAPA 1
Proyecto Seguridad InformáticaProyecto Seguridad Informática
Pablo A. Malagón T.
ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
El Riesgo Operativo se define como:
“El riesgo de pérdida debido a la inadecuación o fallos de: procesos, el personal, sistemas internos o por causa de acontecimientos externos. Esta definición incluye el riesgo legal, pero excluye el estratégico y el de reputación.”
Administración del Riesgo
• Identificar el riesgo operacional implícito, en todos los productos, actividades, procesos y sistemas
• Política, procesos y procedimientos para la mitigación de RO • Planes de contingencia y continuidad del negocio
BASILEA IIBASILEA II
Se puede administrar?Se puede administrar?
Pablo A. Malagón T.
Administración corporativa Administración corporativa del riesgo (ERM)del riesgo (ERM)
Conceptos fundamentales :
Estándar AS/NZ 4360:1999 / NTC 5354 Gestión del Rie sgo
ETAPA 2ETAPA 2
• Es un proceso
• Efectuado por personas
• Aplicado en la definición de la estrategia
• A través de toda la organización
• Identifica los eventos que potencialmente
pueden afectar a la entidad
• Proveer seguridad razonable a la
administración y a la junta directiva
• Orientado al logro de los objetivos
Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Pablo A. Malagón T.
Establecer el contexto
Identificar riesgos
Analizar riesgos
Evaluar riesgos
Tratar los riesgos
Mon
itore
o y
revi
sión
Com
unic
ar y
con
sulta
r
Aceptar riesgos
No
Si
ETAPA 2ETAPA 2
Estándar AS/NZ 4360:1999 / NTC 5354 Gestión del Riesgo
Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
ADMINISTRAR EL RIESGOSADMINISTRAR EL RIESGOS
Pablo A. Malagón T.
Probabilidad Impacto
Nivel de riesgo
ETAPA 2ETAPA 2
ANÁLISIS DE RIESGOSANÁLISIS DE RIESGOS
Improbable2
Posible3
Casi Seguro5
Probable4
Raro1
RangoNivel
Menor2
Moderado3
Catastrofico5
Mayor4
Insignificante1
RangoNivel
MEDIO
BAJO
ALTO
EXTREMO
Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Pablo A. Malagón T.
Probabilidad Impacto
Nivel de riesgo
Representa la posibilidad de ocurrencia de un evento
Consecuencia que puede ocasionar en la organización la materialización de un riesgo
ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
ANÁLISIS DE RIESGOSANÁLISIS DE RIESGOS
Pablo A. Malagón T.
• Elimina
• Reduce o Mitiga
• Acepta
• Traslada
ETAPA 2ETAPA 2
TRATAMIENTO DEL RIESGOSTRATAMIENTO DEL RIESGOS
Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Pablo A. Malagón T.
•Herramienta metodológica para
realizar un inventario de los riesgos de
una manera sistemática y ordenada.
•Representación o descripción de los aspectos considerados en la valoración y
tratamiento de los riesgos.
•Medio para reportar los riesgos a
múltiples niveles (organizacional,
proceso o función)
ETAPA 2ETAPA 2
MAPA DE RIESGOSMAPA DE RIESGOS
Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Pablo A. Malagón T.
• Soportar la metodología de
administración de riesgos.
• Documentar las fases del proceso
de administración de riesgos.
• Comunicar los resultados del
proceso.
ETAPA 2ETAPA 2
MAPA DE RIESGOSMAPA DE RIESGOS
Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Pablo A. Malagón T.
RIESGO DESCRIPCION POSIBLES CONSECUENCIAS
1. Identificación de riesgos
2. Identificación, valoración y tratamiento de ries gos
RIESGO IMPACTO PROBABILIDAD CONTROL EXISTENTE
NIVEL DE RIESGO
ACCIONES RESPONSABLES CRONOGRAMA INDICADOR
Guía Administración del Riesgo - DAFP
ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
MAPA DE RIESGOSMAPA DE RIESGOS
Pablo A. Malagón T.
3. Identificación, valoración y tratamiento de ries gos
Manual del Usuario – Software Methodware
ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
MAPA DE RIESGOSMAPA DE RIESGOS
Pablo A. Malagón T.
RO a Nivel InternacionalRO a Nivel Internacional
ECUADORMEXICO PERU
Según la Superintendencia de Banca, Seguros y AFP:
“Las empresas deben administrar adecuadamente los riesgos de operación que enfrentan. Entiéndase por riesgos de operación a la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación.
Según la Superintendencia de Bancos y Seguros (ECUADOR):
La posibilidad de que se ocasionen pérdidas financieras por eventos derivados de fallas o insuficiencias en los procesos, personas, tecnología de información y por eventos externos. Incluye el riesgo legal.
Según la Comisión Nacional Bancaria y de Valores:
“(…) como la pérdida potencial por fallas o deficiencias en los controles internos, por errores en el procesamiento y almacenamiento de las operaciones o en la transmisión de información , así como por resoluciones administrativas y judiciales adversas, fraudes o robos y comprende entre otros, al riesgo tecnológico y al riesgo legal, en el entendido que:
El riesgo tecnológico, se define como la pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o dependencia en el hardware, software ,sistemas, aplicaciones, redesy cualquier otro canal de distribución de información en la prestación de servicios bancarios con los clientes de la institución.
ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Pablo A. Malagón T.
ECUADORMEXICO PERU
Según la Superintendencia de Banca, Seguros y AFP:
Riesgo legal: Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución de contratos o acuerdos, al incumplimiento no intencional de las normas, así como a factores externos, tales como cambios regulatorios, procesos judiciales entre otros.”
Según la Superintendencia de Bancos y Seguros (ECUADOR):
Riesgo legal: Es la posibilidad de que se presenten pérdidas o contingencias negativas como consecuencia de fallas en contratos y transacciones que pueden afectar el funcionamiento o la condición de una institución del sistema financiero, derivadas de error, dolo, negligencia o imprudencia en la concertación, instrumentación, formalización o ejecución de contratos y transacciones. El riesgo legal surge también de incumplimientos de las leyes o normas aplicables.
Según la Comisión Nacional Bancaria y de Valores:
El riesgo legal, se define como la pérdida potencial por el incumplimiento de las disposiciones legales y administrativas aplicables, la emisión de resoluciones administrativas y judiciales desfavorables y la aplicación de sanciones, en relación con las operaciones que las instituciones llevan a cabo.”
ETAPA 2ETAPA 2
RO a Nivel InternacionalRO a Nivel Internacional
Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Pablo A. Malagón T.
ECUADOR
1.Objetivo : Impulsar la cultura de la administración de riesgos
2. Parte de una serie de Definiciones
3. Responsabilidad del Consejo y del Director General
4. Comité de Riesgo y Unidad parala administración integral de riesgos
5. Manuales para la administraciónIntegral de Riesgos
6. Requerimientos de información, Supervisión
7. La auditoría interna
MEXICO PERU1.Objetivo : Propender a que las empresas supervisadas cuenten con un sistema de control
2. Parte de una serie de definiciones
3. Responsabilidad del Directorio y la Gerencia
4. Unidad de Riesgos:
5. Creación de Manuales: de Organización y Funciones, de Políticas y Procedimientos, de Control de Riesgos.
6. Requerimientos de información
7. Auditoría interna y externa
1.Objetivo : Propender a que las instituciones del sistema financiero cuenten con un sistema de administración del riesgo operativo
2. Parte de unas definiciones
3. Responsabilidades en la Administración del R.O.Directorio u Organismo que haga sus veces
4. Comité de Administración Integral de Riesgos y Unidad de Riesgos
5. Procesos y Códigos de Conducta
6. Reportes
7. Sistema de control interno
ETAPA 2ETAPA 2
RO a Nivel InternacionalRO a Nivel Internacional
Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Pablo A. Malagón T.
ECUADORPERUAspectos que Originan R.O:
Procesos Internos: Riesgos asociados a:-Fallas modelos utilizados-Errores en transacciones-Evaluación inadecuada de contratos-Errores información contable-Inadecuada compensación, liquidación o pago-Insuficiencia recursos para el volumen de operaciones-Inadecuada documentación de transacciones-Incumplimiento de plazos y costos planeados.
Tecnología de Información:Minimizar posibilidad de pérdidas financieras por uso inadecuado de sistemas informáticos y tecnologías que afectan operaciones y servicios de la empresa:
•Fallas en la seguridad y continuidad operativa de los sistemas informáticos•Errores en el desarrollo e implementación de los mismos.•Problemas calidad de información•Inadecuada inversión de tecnología•Fallas adecuación objetivo del negocio.
Personas: Eventos Externos:
•Inadecuada capacitación -Contingencias legales•Negligencia -Fallas en los servicios públicos•Error Humano -Ocurrencia en los desastres•Sabotaje naturales•Fraude, robo -Atentados y actos delictivos•Apropiación información sensible -Fallas en servicios críticos •Similares provistos por terceros.
Identificación Eventos que Originan RO:
Las entidades deberán identificar por línea de negocio, los eventos de RO, agrupados por tipo de evento, así:-Fraude interno-Fraude externo-Prácticas laborales y seguridad del ambiente de trabajo.-Prácticas relacionadas con los clientes, los productos y el negocio.-Daños a los activos físicos.-interrupción del negocio por fallas en la tecnología de información.-Deficiencias en la ejecución de procesos, en el procesamiento de operaciones y en las relaciones con proveedores y terceros.
Los eventos de RO y las fallas e insuficiencias serán identificados con los factores de riesgo a través de una metodología formal, debidamente documentada y aprobada, la cual puede incorporar utilización de herramientas como :
Auto evaluación, mapas de riesgos, indicadores, tablas de control (scorecards), bases de datos, etc.
Una vez identificados los eventos de RO, LOS NIVELES DIRECTIVOS deben decidir si:
El riesgo se asume, se comparte, se evita, o se transfiere. Con el propósito de reducir sus consecuencias y efectos, y alertar al directorio y a la Alta Gerencia en la toma de decisiones y acciones como: Implantar planes de contingencia, revisa estrategias, actualizar o modificar procesos, implantar o modificar límites de riesgo, etc.
ETAPA 2ETAPA 2
RO a Nivel InternacionalRO a Nivel Internacional
Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Pablo A. Malagón T.
Decreto 1400 de 2005Ministerio de Hacienda y Crédito Público
Riesgo Operativo en ColombiaRiesgo Operativo en Colombia
ETAPA 2ETAPA 2
Que de acuerdo con el artículo 325, numeral 2, parágrafo 1º del Estatuto Orgánico del Sistema Financiero, podrán ser sometidas a la vigilancia de la Superintendencia Bancaria de Colombia, las entidades que administren los sistemas de tarjetas de crédito o de débito, así como las que administren sistemas de pago y compensación
El riesgo operativo es: “El riesgo de errores humanos o de falla en los equipos, los programas de computación o los sistemas y canales de comunicación que se requieran para el adecuado y continuo funcionamiento de un sistema de pago”.
La misma disposición definió el riesgo legal así: “ Riesgo de que un participante incumpla definitivamente con la obligación resultante de la compensación y/o liquidación a su cargo por causas imputables a debilidades o vacíos del marco legal vigente, los reglamentos o los contratos y, por lo tanto, afectan la exigibilidad de las obligaciones contempladas en estos últimos”.
Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Pablo A. Malagón T.
Articulo 4º:
a) Criterios de acceso. Tales criterios deberán ser objetivos y basarse en adecuadas consideraciones de prevención y mitigación de los riesgos a que se refiere el literal c) del presente artículo;
c) Reglas y procedimientos con que contará la entidad con el fin de prevenir y mitigar los riesgos a que se expone en el desarrollo de su actividad, en especial, los de crédito, legal, liquidez, operativo, sistémico, y de lavado de activos; Decreto 1400 de 2005
Ministerio de Hacienda y Crédito Público
ETAPA 2ETAPA 2
Riesgo Operativo en ColombiaRiesgo Operativo en Colombia
Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Pablo A. Malagón T.
Artículo 5°.
h) El deber de los participantes de contar con planes de contingencia y de seguridad informática, para garantizar la continuidad de su operación en el Sistema de Pago de Bajo Valor;
o) El manejo de la confidencialidad y la provisión de información a los participantes. Igualmente, los compromisos que adquiere la entidad administradora del Sistema de Pago de Bajo Valor para proteger la información y prevenir su modificación, daño o pérdida;
Publíquese y cúmplase, dado en Bogotá, D. C., 4 de mayo de 2005. ÁLVARO URIBE VÉLEZ
Decreto 1400 de 2005Ministerio de Hacienda y Crédito Público
ETAPA 2ETAPA 2
Riesgo Operativo en ColombiaRiesgo Operativo en Colombia
Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Pablo A. Malagón T.
Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno
2. Medición, Evaluación y limitación de Riesgos
En la evaluación de los riesgos las entidades deben definir objetivos (De cumplimiento, de Operación, De información financiera y contable y De manejo del cambio) y limites, igualmente ante los cambioseconómicas, financieras, regulatorias y operativas, estos deben ser cambiantes. La administración también debe establecer parámetros para medir esos riesgos especiales y prevenir su posible ocurrencia a través de mecanismos de control e información. UN RIESGO NO TIPIFICADO NI MEDIDO ES UN PROBLEMA DE CONTROL INTERNO.
Las entidades deben implementar sistemas ágiles de información que capturen e identifiquen claramente las condiciones cambiantes que afecten sus objetivos así como el análisis de las oportunidades asociadas a los riesgos.
ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Riesgo Operativo en ColombiaRiesgo Operativo en Colombia
Pablo A. Malagón T.
2. Medición, Evaluación y limitación de Riesgos
Las entidades deben implementar sistemas ágiles de información que capturen e identifiquen claramente las condiciones cambiantes que afecten sus objetivos así como el análisis de las oportunidades asociadas a los riesgos.
Cambio en el ambiente de operación Personal NuevoSistemas nuevos o reconstruidos Tecnología nuevaLínea, productos y actividades nuevasReestructuración corporativa y Operaciones en el exterior
Las entidades deben identificar los cambios que se deban realizar o que ocurrirán, de tal forma que le permitan a la administración anticipar y planear los cambio significativos, a los riesgos nuevos y a sus efectos.
ETAPA 2ETAPA 2
Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno
Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Riesgo Operativo en ColombiaRiesgo Operativo en Colombia
Pablo A. Malagón T.
3. Control de Actividades
El control Interno de las entidades vigiladas debe ser efectivo y eficiente Es indispensable que las entidades implementen la ejecución de las políticas a través de toda la organización en todos los niveles y en todas las funciones e incluye el establecimiento de procedimientos obligatorios para todas las actividades.
Este control tiene distintas características, pueden ser manuales o computarizadas, administrativas u operacionales, generales o especificas, preventivas o detectivas. Sin embargo todas ellas deben tener como objetivo principal la determinación y prevención de los riesgos (Potenciales o reales) en beneficio de la entidad
ETAPA 2ETAPA 2
Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno
Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Riesgo Operativo en ColombiaRiesgo Operativo en Colombia
Pablo A. Malagón T.
4. Monitoreo
Las entidades vigiladas deben implementar sistemas de monitoreo en toda la organización hasta lograr el control de su marcha integrar. Es importante que se establezcan controles automáticos o alarmas tanto en los sistemas computacionales como en los manuales para que permanentemente se valore la calidad y el desempeño del sistema, pues ello equivale a una actividad de supervisión y administración. Para ello dicho monitoreo se debe realizar en todas las etapas del proceso y en tiempo real en el curso de las operaciones
ETAPA 2ETAPA 2
Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno
Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Riesgo Operativo en ColombiaRiesgo Operativo en Colombia
Pablo A. Malagón T.
Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera
Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería
• RESPONSABILIDAD DE LA JUNTA DIRECTIVA Y DE LA ALTA GERENCIA: Fijación de límites para la toma de riesgos en dichas actividades y el adoptar las medidas
• REQUISITOS Y CARACTERÍSTICAS DE LA GESTIÓN DE RIESGOS: Deben existir estrategias, políticas y mecanismos de medición y control para los riesgos de crédito y/o contraparte, mercado, liquidez, operacionales y legales.
• RESPONSABILIDADES Y REPORTES DE CONTROL DE RIESGOS: Debe ser informada mensualmente sobre los niveles de riesgo y el desempeño del área de tesorería. De manera inmediata si se presentan violaciones importantes o sistemáticas a las políticas y límites internos
• REQUISITOS DEL SISTEMA DE CONTROL Y GESTION DE RIESGOS: Tener un sistema manual o automático de medición y control de los riesgos inherentes al negocio de tesorería
ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Riesgo Operativo en ColombiaRiesgo Operativo en Colombia
Pablo A. Malagón T.
Riesgo Operacional:
c) Los equipos computacionales y las aplicaciones informáticas empleadas, tanto en la negociación como en las actividades de control y la función operacional de las tesorerías, guarden correspondencia con la naturaleza, complejidad y volumen de las actividades de tesorería.
f) Exista un adecuado plan de contingencia en caso de presentarse dificultades en el funcionamiento de los sistemas de negociación o de una falla en los sistemas automáticos utilizados por el Middle Office y el Back Office.
g)Exista un plan de contingencia en la entidad que indique qué hacer en caso de que se aumenten las exposiciones por encima de los límites establecidos a cualquier tipo de riesgo.
ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Riesgo Operativo en ColombiaRiesgo Operativo en Colombia
Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera
Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería
• CARACTERÍSTICAS MÍNIMAS DE LOS ANÁLISIS POR TIPO DE RIESGO
Pablo A. Malagón T.
Riesgo Operacional:
h) Los parámetros utilizados en las aplicaciones informáticas de medición y control de riesgos estén dentro de los rangos de mercado y sean revisados periódicamente, al menos de forma mensual.
Riesgo legal
Las operaciones realizadas deben ser formalizadas por medio de un contrato, el cual debe cumplir tanto con las normas legales pertinentes como con las políticas y estándares de la entidad. Los términos establecidos en los contratos deben encontrarse adecuadamente documentados.
La participación en nuevos mercados o productos debe contar con el visto bueno del área jurídica, en lo que respecta a los contratos empleados y el régimen de inversiones y operaciones aplicable a cada entidad.
ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Riesgo Operativo en ColombiaRiesgo Operativo en Colombia
Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera
Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería
Pablo A. Malagón T.
• POLÍTICAS DE PERSONAL
a. La Alta Gerencia de la entidad debe garantizar que el personal vinculado en las labores de trading, control y gerencia de riesgos, back office, contabilidad y auditoría de las operaciones de tesorería tenga un conocimiento profundo de los productos transados y de los procedimientos administrativos y operativos asociados.
b. En particular, el personal del área de monitoreo y control de riesgos debe poseer un conocimiento profundo de la operatividad de los mercados y de las técnicas de valoración y de medición de riesgos, asícomo un buen manejo tecnológico.
c. Las políticas de remuneración del personal encargado de las negociaciones deben definirse de manera que no incentiven un apetito excesivo por riesgo. En este sentido, las escalas salariales no deben depender exclusivamente del resultado de las labores de trading.
ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica
Riesgo Operativo en ColombiaRiesgo Operativo en Colombia
Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera
Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería
Pablo A. Malagón T.