Video Curso N0º 01
jueves, 24 de julio de 2014
VIDEO CURSO WIRESHARK - MONITOREO DE RED
martes, 22 de julio de 2014
SGSI - Sistema de Gestión de Seguridad de la Información
01 - Conceptos Básicos sobre Seguridad de la Información
02 - La Seguridad y su justificación desde el punto de vista del Negocio
03 - Marco Legal y Jurídico de la seguridad - Normativas de seguridad
04 - Estándares de Gestión De La Seguridad de la Información
05 - Implantación de un SGSI
06 - Definición de las Políticas - Organización - Alcance del Sistema de Gestión y concienciación
07 - Activos de la Seguridad de La Información
08 - Análisis y Valoración De Los Riesgos - Metodologías
09 - Gestión Y Tratamientos De los riesgos - Selección de Controles
10 - Seguimiento Monitorización y Registro de las Operaciones del Sistema
11 - Gestión De Continuidad Del Negocio
12 - Proceso De Certificación
13 - Caso Practico
lunes, 14 de julio de 2014
COSO - Respuesta a los Riesgos
Evaluar posibles respuestas
Las respuestas deben ser evaluadas en función de alcanzar el riesgo residual alineado con los niveles de tolerancia al riesgo y pueden estar enmarcadas en las siguientes categorías:
Evitar el Riesgo
- Reducir la expansión de una línea de productos a nuevos mercados
- Vender una división, unidad de negocio o segmento geográfico altamente riesgoso
- Dejar de producir un producto o servicio altamente riesgoso
Compartir el Riesgo
- Compra de seguros contra pérdidas inesperadas significativas
- Contratación de outsourcing para procesos del negocio
- Compartir el riesgo con acuerdos sindicales o contractuales con clientes, proveedores u otros socios de negocio
Aceptar el Riesgo
- Auto-asegurarse (Self-insuring) contra pérdidas
- Aceptar los riesgos de acuerdo a los niveles de tolerancia de riesgo
Mitigar el Riesgo
- Fortalecimiento del control interno en los procesos del negocio
- Diversificación de productos
- Establecimiento de límites a las operaciones y monitoreo
- Reasignación de capital entre unidades operativas
Evaluar los costos versus beneficios de las respuestas
- Los costos de diseñar e implantar una respuesta deben ser considerados, así como los costos de mantenerla
- Los costos y los beneficios de la implantación de las respuestas al riesgo pueden ser medidos cualitativa o cuantitativamente, típicamente la unidad de medición es consistente con la utilizada en el establecimiento de los objetivos y tolerancia al riesgo
- La gerencia debe considerar los riesgos adicionales que pueden resultar de una respuesta, así como también las posibles oportunidades
COSO - Evaluación de Riesgos
Permite que una entidad entienda el grado en el cual los eventos potenciales pudieran afectar los objetivos del negocio
- Determina riesgos a partir de dos perspectivas: Probabilidad e Impacto
- Entre las técnicas se utiliza determinar riesgos y normalmente también se utiliza medir los objetivos relacionados
- En la evaluación de riesgos, la gerencia considera eventos previstos e inesperados
- Los riesgos inherentes y residuales son evaluados
Riesgo Inherente
Es el riesgo en una organización en ausencia de acciones que podrían alterar el impacto o la frecuencia de ocurrencia de ese riesgo
Riesgo Residual
Es el riesgo que resulta después que la gerencia ha implantado efectivamente acciones para mitigar el riesgo inherente
Estimar probabilidad e impacto
- Los acontecimientos potenciales se evalúan a partir de dos perspectivas: probabilidad e impacto
- En la determinación de impacto, la gerencia utiliza normalmente una medida igual, o congruente según lo utilizado para el establecimiento del objetivo
- El horizonte del tiempo usado para determinar riesgos debe ser constante con el horizonte del tiempo de la estrategia y de los objetivos
Técnicas de evaluación: Cualitativas
Autoevaluación: Es el proceso en el cual las unidades funcionales de la organización, de forma subjetiva, identifican los riesgos inherentes a sus actividades, evalúan el nivel de control existente y determinan los puntos de mejora que se deben realizar
- Talleres Grupales (Workshops)
- Cuestionarios
Como resultado de la aplicación de cualquiera de esta técnicas se obtiene el catálogo de riesgos, ponderando la probabilidad de ocurrencia e impacto en los objetivos del negocio
COSO - Identificación de Eventos
Se identifican eventos potenciales que si ocurren pueden afectar a la entidad. Base para los componentes: evaluación de riesgos y respuesta al riesgo
La gerencia reconoce que la incertidumbre existe, lo cual se traduce en no poder conocer con exactitud cuándo y dónde un evento pudiera ocurrir, así como tampoco sus consecuencias financieras
En este componente se identifican los eventos con impacto negativo (riesgos) y con impacto positivo (oportunidades)
TÉCNICAS DE IDENTIFICACIÓN DE EVENTOS
Inventario de Eventos
- Listado de eventos comunes a un sector o área funcional específica
- Pueden ser elaboradas por la misma entidad o usar listas externas genéricas
Talleres de Trabajo
- Aprovechar el conocimiento colectivo del grupo
- Desarrollar una lista de acontecimientos relacionados con objetivos y estrategias.
Entrevistas
- Averiguar los puntos de vista y conocimientos del entrevistado en relación con los acontecimientos pasados y los posibles acontecimientos futuros
Cuestionarios y Encuestas
- Conjunto de preguntas abiertas o cerradas.
- Dirigida a una o varias personas
- Centrar su reflexión en factores internos o externos (relacionado a los eventos)
Análisis de Flujos de procesos
- Representación esquemática de un proceso
- Busca comprender la relación entre las entradas, tareas, salidas y responsabilidades de sus componentes
- Representa mayor visibilidad para identificar eventos en cada proceso
Principales indicadores de eventos de ALMAR
- Mediciones cualitativas o cuantitativas
- Proporcionan mayor conocimiento de lo riesgos potenciales
- Se centra en operaciones diarias y se emite cuando se sobrepasa el umbral establecido.
Seguimiento de datos de eventos con pérdida
- Usado mayormente para la evaluación de riesgos
- Se utiliza una base de datos para la gestión de eventos
- Facilita la predicción de futuros sucesos
Eventos
- La gerencia identifica los eventos potenciales que afectan la puesta en práctica de la estrategia o el logro de los objetivos, pudiendo tener impactos positivos o negativos.
- Incluso los eventos con baja posibilidad de ocurrencia se consideran si el impacto en un objetivo es alto.
- Los eventos se identifican en todos los niveles de la organización
Factores Influyentes
La gerencia reconoce la importancia de entender los factores internos y externos y el tipo de eventos que pueden generar
COSO - Establecimiento de Objetivos
Dentro
del marco de la definición de la misión y visión, la gerencia establece las
estrategias y objetivos
La
gestión integral de riesgo se asegura que la gerencia cuente con un proceso
para definir objetivos que estén alineados con la misión y visión, con el
apetito de riesgo y niveles de tolerancia
Los
objetivos se clasifican en cuatro categorías:
- Estratégicos
- Operacionales
- Reporte o presentación de resultados
- Cumplimiento
- Es el máximo nivel de riesgo que los accionistas están dispuestos a aceptar
- Es una guía en el establecimiento de la estrategia
- La gerencia lo expresa como un balance entre: crecimiento, riesgo y retorno.
- Dirige la asignación de recursos
- Alinea la organización, personal, procesos e infraestructura
Tolerancia al Riesgo
Son los niveles aceptables de variación de las metas fijadas
La tolerancia al riesgo se puede medir preferiblemente en las mismas unidades que los objetivos relacionados
Objetivos Estratégicos
Al considerar las posibles formas alternativas de alcanzar los objetivos estratégicos, la dirección identifica los riesgos asociados a una gama amplia de elecciones estratégicas y considera sus implicaciones.
Objetivos relacionados
Objetivos relacionados
Los objetivos al nivel de empresa están vinculados y se integran con otros objetivos más específicos, que repercuten en la organización hasta llegar a sus objetivos establecidos.
Riesgo aceptado
El riesgo aceptado puede expresarse en términos cualitativos o cuantitativos. Algunas organizaciones expresan el riesgo aceptado en términos de un “mapa de riesgo”.
Determinación de la tolerancia al riesgo
Las tolerancias al riesgo son los niveles aceptables de desviación relativa a la consecución de objetivos... Operar dentro de las tolerancias al riesgo proporciona a la dirección una mayor confianza en que la entidad permanece dentro de su riesgo aceptado.
COSO - Ambiente de Control
Enmarca el tono de la organización, influenciando la conciencia del riesgo en su personal, es la base del resto de los componentes y provee disciplina y estructura.
Este componente establece:- Una filosofía de gestión integral de riesgo
- Nivel de riesgo que la alta gerencia asume (Apetito de riesgo)
- Rol supervisorio de la junta directiva en la gestión integral de riesgo
- La integridad y los valores éticos
- Una estructura de gestión integral de riesgos: Sistemas de delegación de autoridad, roles y responsabilidades y líneas de reporte
- Estándares de recursos humanos: habilidad y competencia de los empleados
Cultura de Riesgo y Control
Una gestión integral de riesgo es exitosa y eficiente, cuando la organización mantiene una cultura de riesgo positiva; esto es que toda la entidad tenga conciencia de los riesgos y cumpla con los ocho (8) componentes COSO - ERM.
Integridad y Valores Éticos
Establecimiento de canales de comunicación y denuncia.
Compromiso de los empleados en comunicar aquellas situaciones que se consideren incumplimiento del código de ética y conducta.
Deben ser mostrados con acciones.
La efectividad de la gestión integral de riesgo, nunca superará la integridad y los valores éticos de las personas que crean, administran y monitorean las actividades de la entidad
EJEMPLO
Secciones del Código
- Visión, misión y objetivos
- Manifiesto de la Presidencia Ejecutiva exhortando al cumplimiento del Código
- Declaración de los valores éticos de la organización
- Las responsabilidades individuales y organizacionales
- Lineamientos éticos y medidas disciplinarias
- Guía o canales para resolver las cuestiones éticas
- Glosario de términos
- Visión, misión y objetivos
- Manifiesto de la Presidencia Ejecutiva exhortando al cumplimiento del Código
- Declaración de los valores éticos de la organización
- Las responsabilidades individuales y organizacionales
- Lineamientos éticos y medidas disciplinarias
- Guía o canales para resolver las cuestiones éticas
- Glosario de términos
Estructura Organizacional
Está diseñada de acuerdo al tamaño y naturaleza de las actividades de la entidad
Normas de recursos humanos, habilidades y competencias
- Facilita la efectividad de gestión integral de riesgo
- Define áreas clave de responsabilidad
- Establece líneas de reporte
Normas de recursos humanos, habilidades y competencias
Establecen las normas de orientación, adiestramiento, evaluación, promoción, compensación, y acciones de remediación, manejo esperado de niveles de integridad, comportamiento ético y competencia.
Envían mensajes de acciones disciplinarias ante violaciones de comportamiento esperado que no pueden ser toleradas.
La capacidad del personal de la organización refleja el conocimiento y las habilidades necesitados para realizar las tareas asignadas.
Permite a la gerencia alinear los costos-beneficios
Impacto
El ambiente interno de una organización tiene un impacto significativo en el modo como se implanta la gestión de riesgos corporativos y en su funcionamiento continuado, con un importante efecto positivo o negativo sobre los demás componentes.
Filosofía de la gestión de riesgos
La filosofía de la gestión de riesgos de una organización es el conjunto de creencias y actitudes compartidas que caracterizan el modo en que la entidad contempla el riesgo en todas sus actuaciones, desde el desarrollo e implantación de la estrategia hasta sus actividades cotidianas.
Integridad y Valores éticos
La integridad y el compromiso con los valores éticos son propios del individuo. No hay ningún puesto más importante para influir sobre la integridad y valores éticos que el de consejero delegado y la alta dirección, ya que establecen el talante al nivel superior y afectan a la conducta del resto del personal de la organización
Suscribirse a:
Entradas (Atom)