Nombre de la Conferencia - clai2017.com³n-de... · marco de Gobierno de las TI Q3: Usted domina el...
Transcript of Nombre de la Conferencia - clai2017.com³n-de... · marco de Gobierno de las TI Q3: Usted domina el...
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
José Esposito
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
José Esposito Li-Carrillo
MA en Economía, CIA, CRMA, CRISC, AMLCA
Auditor Corporativo
Credicorp Ltd
2
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Licenciado en Economía por la Universidad del Pacífico, Peru; Master of Arts
in Economics in the field of Econometrics, University os Wisconsin-Milwaukee,
EE.UU.; CIA y CRMA por el Institute of Internal Auditors (IIA Global), CRISC
por ISACA, AMLCA por Florida International Bankers Assoc. (FIBA) y Florida
International University (FIU), EE.UU. Level 3 Certificate in Insurance por el
Chartered Insurance Institute, Reino Unido. Auditor Corporativo del Banco de
Crédito del Perú y Credicorp Ltd desde el 2010. Actualmente es Miembro del
Financial Services Advisory Group (FSAG) del IIA Global. Past Presidente del
Comité de Auditores Internos CLAIN de FELABAN, Past Presidente del
Comité de Auditores Internos de la Asociación de Bancos del Perú, Past
Presidente del Comité de Auditoría de Visanet Perú. Anteriormente ha sido
Chief Financial Officer y Chief Risk Officer de Pacífico Seguros; Chairman y
CEO de Credibolsa SAB del Grupo Credicorp, Vicepresidente del Directorio
de la Bolsa de Valores de Lima, Vicepresidente del Directorio de Pacífico
Salud EPS y miembro del Directorio de Caja de Valores y Liquidaciones
CAVALI ICLV y de la Bolsa de Productos de Lima. Actualmente es profesor de
la Maestría en Finanzas de la Escuela de Post Grado de la Universidad del
Pacífico en Lima.
3
José Esposito
MA, CIA, CRMA, CRISC,
AMLCA
Auditor Corporativo
Credicorp y subsidiarias
<Su foto>
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 4
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 5
Q1: Su organización ha definido formalmente un marco de Gobierno de las TI
Q3: Usted domina el marco COBIT 5.0 de ISACA?
Q4: Su unidad de Auditoría Interna utiliza las herramientas del COBIT 5.0 para realizar su trabajo?
Q7: Su organización ha definido un marco de gobierno para el riesgo de ciberseguridad
Fuente: Encuesta a participantes del CLAI 2017, n=46
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
¿Qué es valor?
Generando Valor a través
del COBIT 5.0, una mirada
no especialista
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 7
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
¿Vemos lo mismo?
¿Queremos ver lo mismo?
¿Debemos ver los mismo?
8
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Mejorar y proteger el valor de la organización proporcionando aseguramiento, asesoría y análisis en base a riesgos
To enhance and protect organizational value by providing risk-based and objective assurance, advice, and insight
Principio 9 › Hace análisis profundos, es proactiva y está
orientada al futuro
› Is insightful, proactive, and future-focused
9
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Visión y misión
Generando Valor a través
del COBIT 5.0, una mirada
no especialista
10
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Modelo de maximización del valor al accionista › (Max) la suma de ganancias de capital y dividendos
dado un nivel de riesgo
› Capitalismo “trimestral”
› Mercados eficientes: (Max) precio de la acción
Modelo del capitalismo de los grupos de interés
› Mayor poder de sindicatos y de los estados
› Riesgo total: financiero y operativo
› Capitalismo de largo plazo
› Cumplir varios objetivos simultáneos complica la
gestión 11
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Fuente: Multinational Business Finance, Eitman, Stonehill y Moffet, pag. 35, Pearson , 2013.
12
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
“Nuestra evidencia empírica muestra que las empresas familiares generalmente superan a las empresas no familiares
y, como resultado, la propiedad familiar puede ser beneficiosa para los accionistas minoritarios. Este efecto positivo de
la propiedad familiar se debe principalmente a aquellas empresas familiares en las que los miembros de la familia
forman parte del consejo de administración y de los negocios familiares controlados por la primera generación ". ¿El
tipo de control familiar afecta la relación entre la estructura de propiedad y el valor de la empresa?, Martinez y
Requejo,; International Review of Finance, 17:1; 2017
13
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
+ 47%
$22.6
$15.4
R. Eccles, I. Oannis y G. Serafeim (Harvard y London Business School) SSRN, 2011
http://ssrn.com/abstract=1964011; página 44
14
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
La sostenibilidad corporativa es un enfoque de
negocios que crea un valor para el accionista a largo
plazo mediante el aprovechamiento de oportunidades y
la gestión de los riesgos derivados de los desarrollos
económicos, ambientales y sociales.
Nuestro enfoque en la sostenibilidad corporativa se
basa en dos principios rectores:
› Las prácticas empresariales sostenibles son fundamentales
para la creación de valor a largo plazo para los accionistas en
un mundo cada vez más limitado de recursos
› Los factores de sostenibilidad representan oportunidades y
riesgos que las empresas competitivas deben abordar
http://www.sustainability-indices.com/sustainability-assessment/corporate-sustainability.jsp
15
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Cantidad de basura desechada de las áreas de su empresa donde está data sea verificable y auditable
Los reportes sobre temas ambientales son públicos y altamente visibles en sus informes?
Proveer información detallada según tablas del consumo de energía
Indique cómo es auditado, verificado, su sistema de gestión ambiental
Su empresa hace pública la remuneración de su Directorio así como la de sus principales ejecutivos?
Su empresa establece y monitorea objetivos cuantitativos para mejorar la satisfacción de sus clientes y estos objetivos son públicos?
Qué políticas pone en práctica para asegurar una cultura anti lavado de activos y anti financiamiento del terrorismo?
16
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Fuente: http://www.robecosam.com/en/sustainability-insights/about-
sustainability/corporate-sustainability-assessment/industry-group-leaders.jsp
27 bancos y 17
empresas de
seguros
Banco do Brasil
Banco Itaú
Bancolombia
17
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 18
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 19
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 20
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Las empresas listadas en bolsa tienen una
referencia: precio de la acción
› 20%-30% por dividendos (normalmente la gerencia)
70%-80% (otros factores)
¿Pero las empresas no listadas?
› En SUS empresas, ¿quién general valor y cómo
se mide?
› ¿Cómo auditoría genera valor?
21
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Visión y Misión
¿Qué es valor?
22
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 23
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
COBIT: creación de valor significa conseguir beneficios a un costo
óptimo de los recursos mientras se optimiza el riesgo
24
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 25
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 26
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 27
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 28
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 29
Obje
tivo 3
: Gestio
nar rie
sgos d
el n
egocio
Objetivo TI 04:
Gestionar riesgos
relacionados TI
Objetivo TI 10:
Seguridad de informa-
ción, infraestr y apps
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 30
Obje
tivo T
I04: G
estio
nar rie
sgo re
lacio
nados c
on T
I
Obje
tivo T
I 10: S
egurid
ad in
form
ació
n, in
fraest. a
pps
EDM 03:
Asegurar optimización
del riesgo
APO 12:
Gestionar el Riesgo
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 31
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 32
• Determinar nivel de riesgo TI aceptable en función del apetito de riesgos
• Evaluar y aprobar propuestas de umbrales de tolerancia al riesgo
EDM03.01 Evaluar la Gestón de Riesgos
• Promover una cultura consciente de riesgos de TI e impulsar a la empresa a identificarlos proactivamente
• Orientar la elaboración de planes de comunicación de riesgos y planes de acción
EDM03.02 Orientar la Gestión de riesgos
• Supervisar las métricas clave de la gestión de riesgos, analizar desviaciones y recomendar
• Informar cualquier problema de gestión de riesgos al Consejo
EDM03.03 Supervisar la Gestión de riesgos
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 33
Asegura- miento
Riesgos
EDM03.1 - Determinar el
nivel del riesgo TI que la
empresa está dispuesta a
aceptar en función al
apetito de riesgos
EDM03.01 – Evaluar la
Gestión del Riesgo
3.1.1 Realizar una evaluación integral
de riesgos IT nivel empresa
3.1.2 Patrocinar talleres de trabajo
con la Gerencia para discutir de
manera general la cantidad de riesgo
que la empresa desea asumir para
cumplir sus objetivos
3.1.4 Ejecutar una revisión top-down
y end-to-end de los servicios y
procesos de negocio, e identificar
los puntos más importantes de
soporte de TI.
3.1.5 Identificar eventos relacionados
TI y condiciones que puedan poner
en peligro el valor, afectar el
desempeño y la ejecución de
actividades críticas
1 La función de aseguramiento está
gestionando el riesgo empresarial
mediante metodologías efectivas y
la supervisión de las actividades de
aseguramiento
2. Integrar la función de
aseguramiento de la gestión de
riesgos con el modelo general de
Gestión Integral de Riesgos
3.1.9 Identificar áreas de enfoque de
riesgo, escenarios, factores y
medidas de riesgo que requieran la
atención de la Gerencia
EDM03.03 – Monitorear la
Gestión del Riesgo
3. Monitorear el perfil de riesgos de
la empresa para asegurar que los
procesos de evaluación de riesgos
reflejen el perfil actual y real de
riesgos
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 34
Asegura- miento
Riesgos
EDM03.1 - Determinar el
nivel del riesgo TI que la
empresa está dispuesta a
aceptar en función al
apetito de riesgos
EDM03.01 – Evaluar la
Gestión del Riesgo
3.1.1 Realizar una evaluación integral
de riesgos IT nivel empresa
3.1.2 Patrocinar talleres de trabajo
con la Gerencia para discutir de
manera general la cantidad de riesgo
que la empresa desea asumir para
cumplir sus objetivos
3.1.4 Ejecutar una revisión top-down
y end-to-end de los servicios y
procesos de negocio, e identificar
los puntos más importantes de
soporte de TI.
3.1.5 Identificar eventos relacionados
TI y condiciones que puedan poner
en peligro el valor, afectar el
desempeño y la ejecución de
actividades críticas
1 La función de aseguramiento está
gestionando el riesgo empresarial
mediante metodologías efectivas y
la supervisión de las actividades de
aseguramiento
2. Integrar la función de
aseguramiento de la gestión de
riesgos con el modelo general de
Gestión Integral de Riesgos
3.1.9 Identificar áreas de enfoque de
riesgo, escenarios, factores y
medidas de riesgo que requieran la
atención de la Gerencia
EDM03.03 – Monitorear la
Gestión del Riesgo
3. Monitorear el perfil de riesgos de
la empresa para asegurar que los
procesos de evaluación de riesgos
reflejen el perfil actual y real de
riesgos
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 35
Asegura- miento
Riesgos
EDM03.1 - Determinar el
nivel del riesgo TI que la
empresa está dispuesta a
aceptar en función al
apetito de riesgos
EDM03.01 – Evaluar la
Gestión del Riesgo
3.1.1 Realizar una evaluación integral
de riesgos IT nivel empresa
3.1.2 Patrocinar talleres de trabajo
con la Gerencia para discutir de
manera general la cantidad de riesgo
que la empresa desea asumir para
cumplir sus objetivos
3.1.4 Ejecutar una revisión top-down
y end-to-end de los servicios y
procesos de negocio, e identificar
los puntos más importantes de
soporte de TI.
3.1.5 Identificar eventos relacionados
TI y condiciones que puedan poner
en peligro el valor, afectar el
desempeño y la ejecución de
actividades críticas
1 La función de aseguramiento está
gestionando el riesgo empresarial
mediante metodologías efectivas y
la supervisión de las actividades de
aseguramiento
2. Integrar la función de
aseguramiento de la gestión de
riesgos con el modelo general de
Gestión Integral de Riesgos
3.1.9 Identificar áreas de enfoque de
riesgo, escenarios, factores y
medidas de riesgo que requieran la
atención de la Gerencia
EDM03.03 – Monitorear la
Gestión del Riesgo
3. Monitorear el perfil de riesgos de
la empresa para asegurar que los
procesos de evaluación de riesgos
reflejen el perfil actual y real de
riesgos
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 36
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 37
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 38
• Medir y analizar datos históricos de riesgos de TI y de pérdidas tomadas internamente y de fuentes externas
APO12.01 Recopilar Datos
• Construir y actualizar regularmente escenarios de riesgo
• Validar los resultados de los análisis de riesgos antes que sean utilizados en toma decisiones
APO 12.02 Analizar el Riesgo
• Determinar los recursos Ti e infraestructura TI necesarios par mantener la operación
APO12.03 Mantener un perfil de riesgos
• Informar los resultados del análisis de riesgos a todas las partes interesadas
• Revisar los resultados de evaluaciones de terceros, auditoría interna y QA, y mapearlos contra el perfil de riesgos
APO12.04 Expresar el riesgo
• Mantener un inventario de actividades de control APO12.05 Definir un
portafolio de acciones
• Preparar, mantener y probar planes
• Categorizar los incidentes y comparar las exposiciones reales con los umbrales de tolerancia al riesgo
APO12.06 Responder al Riesgo
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 39
Riesgos
Riesgos
APO12.01 Identificar y
recolectar data relevante
para permitir una
identificación de riesgos TI,
análisis,reporte
APO12.03 Mantener un
inventarios de riesgos
conocidos y de atributos de
riesgo
1.1 Establecer y mantener un método
para la colección, clasificación y
análisis de la data relacionada a TI,
1.3 Inspeccionar y analizar la data
histórica de riesgos TI y la
experiencia de pérdidas de data
externa disponible y tendencias,
pares de la industria, a través de
bases de datos, acuerdos inter
empresariales y otros.
3.2 Determinar y acordar en qué
servicios de TI y recursos de
infraestructura TI son esenciales
para mantenerlas operaciones
3.6 Capturar información de eventos
de riesgo TI que se hayan
materializado, para su inclusión en
el registro de riesgos de la empresa
2.2 Construir y regularmente
actualizar escenarios de riesgos TI, y
desarrollar expectativas para
actividades de control específicas
4.1 Reportar los resultados del
análisis de riesgos a todas las
partes afectadas en terminología y
formatos útiles para la toma de
decisiones
4.3 Reportar el perfil de riesgo
actual a todos los grupos de interés,
incluyendo la efectividad del
proceso de gestión de riesgos
APO12.02 Desarrollar
información útil para
soportar que las decisiones
de riesgo tomen en cuenta
a relevancia de los factores
de riesgos
APO12.04 Articular
Riesgos: Proveer
información del estado de
las exposiciones
relacionadas a TI
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 40
Riesgos
Riesgos
APO12.01 Identificar y
recolectar data relevante
para permitir una
identificación de riesgos TI,
análisis,reporte
APO12.03 Mantener un
inventarios de riesgos
conocidos y de atributos de
riesgo
1.1 Establecer y mantener un método
para la colección, clasificación y
análisis de la data relacionada a TI,
1.3 Inspeccionar y analizar la data
histórica de riesgos TI y la
experiencia de pérdidas de data
externa disponible y tendencias,
parees de la industria, a través de
bases de datos, acuerdos inter
empresariales y otros.
3.2 Determinar y acordar en qué
servicios de TI y recursos de
infraestructura TI son esenciales
para mantenerlas operaciones
3.6 Capturar información de eventos
de riesgo TI que se hayan
materializado, para su inclusión en
el registro de riesgos de la empresa
2.2 Construir y regularmente
actualizar escenarios de riesgos TI, y
desarrollar expectativas para
actividades de control específicas
4.1 Reportar los resultados del
análisis de riesgos a todas las
partes afectadas en terminología y
formatos útiles para la toma de
decisiones
4.3 Reportar el perfil de riesgo
actual a todos los grupos de interés,
incluyendo la efectividad del
proceso de gestión de riesgos
APO12.02 Desarrollar
información útil para
soportar que las decisiones
de riesgo tomen en cuenta
la relevancia de los factores
de riesgos
APO12.04 Articular
Riesgos: Proveer
información del estado de
las exposiciones
relacionadas a TI
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 41
Riesgos
Riesgos
APO12.01 Identificar y
recolectar data relevante
para permitir una
identificación de riesgos TI,
análisis,reporte
APO12.03 Mantener un
inventarios de riesgos
conocidos y de atributos de
riesgo
1.1 Establecer y mantener un método
para la colección, clasificación y
análisis de la data relacionada a TI,
1.3 Inspeccionar y analizar la data
histórica de riesgos TI y la
experiencia de pérdidas de data
externa disponible y tendencias,
parees de la industria, a través de
bases de datos, acuerdos inter
empresariales y otros.
3.2 Determinar y acordar en qué
servicios de TI y recursos de
infraestructura TI son esenciales
para mantenerlas operaciones
3.6 Capturar información de eventos
de riesgo TI que se hayan
materializado, para su inclusión en
el registro de riesgos de la empresa
2.2 Construir y regularmente
actualizar escenarios de riesgos TI, y
desarrollar expectativas para
actividades de control específicas
4.1 Reportar los resultados del
análisis de riesgos a todas las
partes afectadas en terminología y
formatos útiles para la toma de
decisiones
4.3 Reportar el perfil de riesgo
actual a todos los grupos de interés,
incluyendo la efectividad del
proceso de gestión de riesgos
APO12.02 Desarrollar
información útil para
soportar que las decisiones
de riesgo tomen en cuenta
a relevancia de los factores
de riesgos
APO12.04 Articular
Riesgos: Proveer
información del estado de
las exposiciones
relacionadas a TI
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 42
Riesgos
Riesgos
APO12.01 Identificar y
recolectar data relevante
para permitir una
identificación de riesgos TI,
análisis,reporte
APO12.03 Mantener un
inventarios de riesgos
conocidos y de atributos de
riesgo
1.1 Establecer y mantener un método
para la colección, clasificación y
análisis de la data relacionada a TI,
1.3 Inspeccionar y analizar la data
histórica de riesgos TI y la
experiencia de pérdidas de data
externa disponible y tendencias,
parees de la industria, a través de
bases de datos, acuerdos inter
empresariales y otros.
3.2 Determinar y acordar en qué
servicios de TI y recursos de
infraestructura TI son esenciales
para mantenerlas operaciones
3.6 Capturar información de eventos
de riesgo TI que se hayan
materializado, para su inclusión en
el registro de riesgos de la empresa
2.2 Construir y regularmente
actualizar escenarios de riesgos TI, y
desarrollar expectativas para
actividades de control específicas
4.1 Reportar los resultados del
análisis de riesgos a todas las
partes afectadas en terminología y
formatos útiles para la toma de
decisiones
4.3 Reportar el perfil de riesgo
actual a todos los grupos de interés,
incluyendo la efectividad del
proceso de gestión de riesgos
APO12.02 Desarrollar
información útil para
soportar que las decisiones
de riesgo tomen en cuenta
a relevancia de los factores
de riesgos
APO12.04 Articular
Riesgos: Proveer
información del estado de
las exposiciones
relacionadas a TI
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 43
Asegura- miento
Riesgos
APO12.05
Definir un portafolio de
actividades de gestión de
riesgos
APO12.01- Recopilar data
APO12-02 – Analizar riesgos
APO12.03 – Mantener un
perfil de riesgos
APO12.04-ArticularRiesgos
APO12.05 – Definir un
portafolio de actividades de
gestión de riesgo
APO12.06- Responder
5.1 mantener un inventario de
actividades de control existentes
para gestionar riesgos y que permita
que los riesgos aceptados estén en
línea con el apetito y la tolerancia
5.2 Determinar si cada entidad
organizativa monitorea los riesgos y
acepta su responsabilidad por
operarlos dentro de sus niveles
individuales de tolerancia
1 Identificar y recolectar
información relevante para permitir
un identificación efectiva de riesgos,
su análisis y reporte
2. La función de aseguramiento
identifica, analiza y evalúa riesgo en
la empresa
3. Crear un perfil empresarial de
riesgos que incluya aspecto de
aseguramiento
4. Definir e implementar la
evaluación de riesgos y estrategias
e aseguramiento
5. La función de aseguramiento
continuamente monitorea los
niveles de riesgo
6. Incluir los niveles de riesgo como
insumo para el plan de
aseguramiento
6.2 Categorizar incidentes, y
comparar sus exposiciones contra
límites de tolerancia al riesgo.
Comunicarlo a las partes interesadas
APO12.06
Respuesta al Riesgo
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 44
Asegura- miento
Riesgos
APO12.05
Definir un portafolio de
actividades de gestión de
riesgos
APO12.01- Recopilar data
APO12-02 – Analizar riesgos
APO12.03 – Mantener un
perfil de riesgos
APO12.04-ArticularRiesgos
APO12.05 – Definir un
portafolio de actividades de
gestión de riesgo
APO12.06- Responder
5.1 mantener un inventario de
actividades de control existentes
para gestionar riesgos y que permita
que los riesgos aceptados estén en
línea con el apetito y la tolerancia
5.2 Determinar si cada entidad
organizativa monitorea los riesgos y
acepta su responsabilidad por
operarlos dentro de sus niveles
individuales de tolerancia
1 Identificar y recolectar
información relevante para permitir
un identificación efectiva de riesgos,
su análisis y reporte
2. La función de aseguramiento
identifica, analiza y evalúa riesgo en
la empresa
3. Crear un perfil empresarial de
riesgos que incluya aspecto de
aseguramiento
4. Definir e implementar la
evaluación de riesgos y estrategias
e aseguramiento
5. La función de aseguramiento
continuamente monitorea los
niveles de riesgo
6. Incluir los niveles de riesgo como
insumo para el plan de
aseguramiento
6.2 Categorizar incidentes, y
comparar sus exposiciones contra
límites de tolerancia al riesgo.
Comunicarlo a las partes interesadas
APO12.06
Respuesta al Riesgo
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 45
Asegura- miento
Riesgos
APO12.05
Definir un portafolio de
actividades de gestión de
riesgos
APO12.01- Recopilar data
APO12-02 – Analizar riesgos
APO12.03 – Mantener un
perfil de riesgos
APO12.04-ArticularRiesgos
APO12.05 – Definir un
portafolio de actividades de
gestión de riesgo
APO12.06- Responder
5.1 mantener un inventario de
actividades de control existentes
para gestionar riesgos y que permita
que los riesgos aceptados estén en
línea con el apetito y la tolerancia
5.2 Determinar si cada entidad
organizativa monitorea los riesgos y
acepta su responsabilidad por
operarlos dentro de sus niveles
individuales de tolerancia
1 Identificar y recolectar
información relevante para permitir
un identificación efectiva de riesgos,
su análisis y reporte
2. La función de aseguramiento
identifica, analiza y evalúa riesgo en
la empresa
3. Crear un perfil empresarial de
riesgos que incluya aspecto de
aseguramiento
4. Definir e implementar la
evaluación de riesgos y estrategias
e aseguramiento
5. La función de aseguramiento
continuamente monitorea los
niveles de riesgo
6. Incluir los niveles de riesgo como
insumo para el plan de
aseguramiento
6.2 Categorizar incidentes, y
comparar sus exposiciones contra
límites de tolerancia al riesgo.
Comunicarlo a las partes interesadas
APO12.06
Respuesta al Riesgo
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
7 principios para la gestión del riesgo
(CfR30)
Listado General de políticas de riesgo (CfR31)
Estándares y Códigos de ética (CfA35)
46
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Procesos (12) que soportan la función de
riesgos (CfR35)
Procesos (11) que soportan la función de aseguramiento (CfA41)
EDM01, EDM02, EDM05, APO02, APO06, APO07, APO08, APO11, BAI08, MEA01, MEA02, MEA03
47
EDM01, EDM02, EDM03, EDM05, APO02, APO08, APO11. APO12, APO06, APO07, BAI08
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Estructuras Organizativas Clave
(3LD) y otras relevantes a Riesgos (CfR38)
Roles clave del Directorio, Auditoría, Cumplimiento y Auditores Externos (CfA46)
Roles adicionales del CEO, Comité de estrategias TI, CRO, CIO, CISO, CFO (CfA 49)
48
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Objetivos clave, criterios de medición y producto esperado del
comportamiento general, profesionales
de riesgo y Gerencia (CfR42)
8 Competencias Especiales de equipos de Aseguramiento (CfA53)
Competencia generales y de la Gerencia para un nivel deseado de Aseguramiento (CfA 53)
49
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
El Modelo Completo para el soporte del
Gobierno y la Gestión de la Información
(CfR48)
18 objetos – objetivos de información necesarios para un buen gobierno de aseguramiento (CfA59) y Anexo B5
50
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Listado de servicios y aplicaciones de soporte
para apoyar una adecuada gestión de
riesgos (CfR 52)
16 servicios y aplicaciones de soporte para la función de aseguramiento (CfA63) y Anexo B6
51
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Listado del conjunto de habilidades y
competencias para la Gestión de Riesgos –
11 perfiles (CfR56) Listado del conjunto de habilidades y competencias para el Aseguramiento – 16 perfiles (CfA210)
52
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 53
Cod
ProcesoProceso Descripción del Proceso Ejemplos de controles establecidos Subcategory NIST Cybersecurity Framework
EDM03Direccionar la Gestión
de Riesgos
El establecimiento de prácticas para la gestión de
riesgos que permita brindar aseguramiento
razonable que el Riesgo de TI no exceda el
apetito de riesgos del Directorio
Se han definido Comités e instancias que definen el apetito de riesgo
de la organización, como: El Comité de Riesgo, el Comité de Riesgo
Operativo y el Comité de Nuevos Productos o Cambios Significativos.
RC.CO-1: Public relations are managed
ID.AM-6: Cybersecurity roles and responsibilities for the entire workforce
and third-party stakeholders (e.g., suppliers, customers, partners) are
established
ID.GV-1: Organizational information security policy is established
PR.DS-1: Data-at-rest is protected
PR.DS-2: Data-in-transit is protected
PR.DS-5: Protections against data leaks are implemented
ID.BE-5: Resilience requirements to support delivery of critical services are
established
ID.GV-4: Governance and risk management processes address
cybersecurity risks
ID.RA-4: Potential business impacts and likelihoods are identified
PR.IP-9: Response plans (Incident Response and Business Continuity)
and recovery plans (Incident Recovery and Disaster Recovery) are in place
and managed
DE.CM-1: The network is monitored to detect potential cybersecurity events
DE.CM-4: Malicious code is detected
DE.DP-1: Roles and responsibilities for detection are well defined to
ensure accountability
ID.AM-3: Organizational communication and data flows are mapped
PR.AC-1: Identities and credentials are managed for authorized devices
and users
PR.MA-2: Remote maintenance of organizational assets is approved,
logged, and performed in a manner that prevents unauthorized access
PR.PT-2: Removable media is protected and its use restricted according to
policy
ID.GV-3: Legal and regulatory requirements regarding cybersecurity,
including privacy and civil liberties obligations, are understood and
managed
RC.CO-2: Reputation after an event is repaired
APO01Gestionar el Marco de
Gestión de TI
Establecer, acordar y comunicar roles y
responsabilidades del personal de TI y personal
con responsabilidades corporativas de Gestión de
TI
Se ha nombrado a un Asesor de alto nivel encargada de brindar
apoyo en los temas vinculados a Ciberseguridad a las Gerencia
General y al Directorio. Asimismo, se han articulado Unidades, a
nivel de Áreas de Arquitectura, Seguridad Informática, Seguridad
para Gestión que apoyan en la mitigación de riesgos de
Ciberseguridad.
DSS04Gestionar la
Continuidad
Enfocada en el mantenimiento de una estrategia
de continuidad y del desarrollo e implementación
de un plan de respuesta a la continuidad de
información
El banco ha definido procedimientos de contingencia de los servicios
críticos de TI, el cual se prueba, bajo diversos escenarios de riesgo y
que se realiza anualmente. A nivel de tecnología, se ha establecido
planes de respuesta y recuperación. Asimismo, la organización ha
establecido procedimientos de contingencia operativa producto de
una evaluación de riesgos y enfocandose a los procesos críticos de la
organización.
DSS05Gestionar los servicios
de seguridad
Enfatizando en los controles para la protección
contra software malicioso (Malware), seguridad de
la red y las conexiones, identificación de usuarios
y acceso lógico, monitoreo de la infraestructra
para la detección de eventos relacionados con la
seguridad.
El banco mantiene el proceso de gestión de credenciales basado en
un esquema de roles con los accesos requeridos de acuerdo a las
funciones que realiza cada usuario. Mecanismos de protección para
el uso de la lectora USB para evitar la infección por virus y malware.
Se han instalado antivirus a nivel de toda la red, con procedimientos
de actualización periodico, así como, estandares de configuración de
linea base de seguridad para las plataformas utilizadas en la
organización y bases de datos
MEA03
Supervisar, Evaluar y
Valorar la conformidad
con los requerimientos
externos
Identificar los requerimientos externos para el
cumplimiento legal y regulatorio del
establecimiento de controles de ciberseguridad.
Así como el establecimiento eficaz para el
cumplimiento de estos requerimientos.
A nivel bancario las regulaciones correspondientes a la G-140-2009, G-
139-2009, G-167-2012, así como regulaciones de US como GLBA
section 501b. El Banco a través de Evaluaciones de Auditoría, la
evaluación del cumplimiento del Programa de Seguridad de
Informació, las evaluaciones de Ethical Hacking cumple con la
normatividad vigente.
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina 54
https://www.ffiec.gov/cyberassessmenttool.htm
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Factores de éxito
› Alineamiento sobre las estrategias y objetivos
organizacionales; pero sobre todo sobre los
KRIs, KPIs, ¿qué es valor?
› Entendimiento de todos de las metas del
negocio y de las TI: precio o sostenibilidad?
› Asegurar comunicación efectiva
› Traducir > Hablar en fácil
55
1, 2, 3 y 4 de octubre de 2017 | Buenos Aires | Argentina
Áreas sensibles
› Manejo de la frustración por iniciativas fallidas,
altos costos de TI o baja percepción de valor
› Incidentes de TI, pérdida de información
› Problemas en la tercerización
› Poco involucramiento de la alta dirección en TI
› No aceptar los inminentes cambios en el entorno
56
#ProgresarCompartiendo #CLAI2017
Los invitamos a compartir sus comentarios en twitter e Instagram: