aplicación de la norma ntc 27005
TRANSCRIPT
-
1
APLICACIN NORMA ISO-27005 PROCESO GESTION FINANCIERA
JONATHAN ALEXANDER SANDOVAL ORTEGA CODIGO: 1150125
CONSTANTINO CELIS PEARANDA CODIGO: 1150307
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER
INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
II SEMESTRE 2013
-
2
APLICACIN NORMA ISO-27005 PROCESO GESTION FINANCIERA
JONATHAN ALEXANDER SANDOVAL ORTEGA CODIGO: 1150125
CONSTANTINO CELIS PEARANDA CODIGO: 1150307
PROFESOR:
JEAN POLO CEQUEDA OLAGO
ASIGNATURA:
SEGURIDAD INFORMATICA
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER
INGENIERIA DE SISTEMAS
SAN JOSE DE CUCUTA
II SEMESTRE 2013
-
3
INTRODUCCIN
ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para
la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos
generales especificados en la norma ISO/IEC 27001 y est diseada para
ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada
en un enfoque de gestin de riesgos. El conocimiento de los conceptos,
modelos, procesos y trminos descritos en la norma ISO/IEC 27001 e
ISO/IEC 27002 es importante para un completo entendimiento de la norma
ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por
ejemplo, empresas comerciales, agencias gubernamentales, organizaciones
sin fines de lucro) que tienen la intencin de gestionar los riesgos que
puedan comprometer la organizacin de la seguridad de la informacin. Su
publicacin revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC
TR 13335-4:2000.
La gestin del riesgo en la seguridad de la informacin debe ser un proceso
continuo. Tal proceso debera establecer el contexto, evaluar los riesgos,
tratar los riesgos utilizando un plan de tratamiento para implementar las
recomendaciones y decisiones. La gestin del riesgo analiza lo que puede
suceder y cules pueden ser las posibles consecuencias, antes de decidir lo
que se debera hacer y cuando hacerlo, con el fin de reducir el riesgo hasta
un nivel aceptable.
La gestin del riesgo en la seguridad de la informacin debera contribuir a:
- la identificacin de los riesgos;
- La evaluacin de los riesgos en trminos de sus consecuencias para
el negocio y la probabilidad de su ocurrencia;
- La comunicacin y entendimiento de la probabilidad y las
consecuencias de estos riesgos ;
- El establecimiento del orden de prioridad para el tratamiento de los
riesgos;
- La priorizacin de las acciones para reducir la ocurrencia de los
riesgos;
- La participacin de los interesados cuando se toman las decisiones
sobre gestin del riesgo y mantenerlos informados sobre el estado de
la gestin del riesgo;
-
4
- La eficacia del monitoreo del tratamiento del riesgo;
- El monitoreo y revisin con regularidad del riesgo y los procesos de
gestin de riesgos Definicin de riesgos
Riesgo se puede definir como aquella eventualidad que imposibilita el
cumplimiento de un objetivo. De manera cuantitativa el riesgo es una medida de
las posibilidades de incumplimiento o exceso el objetivo planteado. As definido,
un riesgo conlleva dos tipos de consecuencias: ganancias o prdidas.
En lo relacionado con tecnologa, generalmente el riesgo se plantea
solamente como amenaza, determinando el grado de exposicin a la
ocurrencia de una prdida (por ejemplo el riesgo de perder datos debido a
rotura de disco, virus informticos, etc.).
La Organizacin Internacional por la Normalizacin (ISO) define riesgo
tecnolgico (Guas para la gestin de la seguridad de TI /TEC TR 13335-1, 1996)
como: La probabilidad de que una amenaza se materialice, utilizando
vulnerabilidad existentes de un activo o un grupo de activos, generndole perdidas
o daos.
En la definicin anterior se pueden identificar varios elementos que se
deben comprender adecuadamente para, por ende, comprender
integralmente el concepto de riesgo manejado. Estos elementos son:
probabilidad, amenazas, vulnerabilidades, activos e impactos.
En materializacin de normas ISO-27005 se contempla el anlisis de
riesgos de la siguiente manera
-
5
ESTABLECIMIENTO DEL CONTEXTO
En la que el establecimiento del contexto representa un concepto que define
un proceso estratgico en la Universidad Francisco de Paula Santander
este tipo de enfoque iterativo suministra un buen equilibrio entre la
reduccin del tiempo y el esfuerzo requerido para identificar los controles,
incluso garantizando que los riesgos altos se valoren de manera correcta.
-
6
Como se puede establecer el proceso estratgico enmarcado en la
Universidad Francisco de Paula Santander es la GESTIN FINANCIERA
siendo un proceso de apoyo y como principal objetivo tiene la de
Administrar los recursos financieros de la Universidad Francisco de Paula
Santander bajo las normas legales vigentes, con polticas y lineamientos
estratgicos de la Institucin con criterios de eficiencia, eficacia y
efectividad.
En un SGSI, el establecimiento del contexto, la valoracin del riesgo, el
desarrollo del plan de tratamiento del riesgo y la aceptacin del riesgo son
parte de la fase de "planificar".
En la fase de "hacer" del SGSI, se implementan las acciones y los controles
que son necesarios para reducir el riesgo hasta un nivel aceptable, de
acuerdo con el plan de tratamiento del riesgo. En la fase de "verificar" del
SGSI, los directores determinarn la necesidad de revisiones de las
valoraciones y del tratamiento del riesgo a la luz de los incidentes y los
cambios en las circunstancias.
En la fase de "actuar", se llevan a cabo todas las acciones que son
necesarias, incluyendo la aplicacin adicional del proceso de gestin del
riesgo en la seguridad de la informacin.
A continuacin se presentan cada una de las actividades de planear, hacer,
verificar y actuar
-
7
C. ACTIVIDADES DEL PROCESO ( Planear, Hacer, Verificar, Actuar )
7. Emisor 8. Entradas
9.
Actividades (
P_H_V_A )
10. Salidas
(Productos
o
Resultados)
11. Receptor
Presupuesto
Direccionamiento
Estratgico
Criterios para
elaboracin
de presupuesto
P: Elaborar el
Presupuesto
Presupuesto
elaborado
Direccionamie nto
Estratgico y
CSU
Direccionamiento
Estratgico
Presupuesto
elaborado
P: Aprobar el
Presupuesto por el
Consejo Superior
Presupuesto
aprobado
Gestin
Financiera
Gestin Financiera Presupuesto
aprobado
H: Configurar los mdulos de
informacin
financiera para las
vigencias
Ejecucin del
Presupuesto
Gestin
Financiera
(Unidad de
Presupuesto)
Direccionamiento
Estratgico y
Gestin Financiera
Necesidades de
Ejecucin del
Presupuesto
H: Modificar el
Presupuesto
aprobado
Resoluciones
de
Adiccin o
Traslados
Gestin
Financiera
-
8
Todos los
procesos
Solicitudes de
necesidades
de inversin,
funcionamiento
y gastos
generales
H: Recepcionar y Registrar
transacciones
Financieras que afecten el
presupuesto y caja.
Notas y
Certificados
Presupuestal
es
Gestin
Financiera
Gestin Financiera
Notas,
Certificados
Presupuestales y
Requisitos
H: Trmite y pago del
compromiso
Pago del
compromiso
Comunidad
Acadmica
y
Usuarios
Externos
Gestin Financiera
Estados
Financieros y
Ejecuciones
Presupuestales
H: Preparar
Informes,
Financieros y
Presupuestales
Informes
Financieros y
Presupuestal
es
Direccionamie nto
Estratgico,
CSU y Entes
Externos
Gestin Financiera Informe de
Cartera
H: Realizar Gestin
Recaudo de
Cartera
Comprobant es de Ingresos o
Documento
de Cobro
Gestin
Jurdica ,
Control
Disciplinario y Gestin
Financiera
-
9
Gestin Financiera Formato
de Encuesta
V: Encuesta
Satisfaccin del
Cliente
(Comunidad
Acadmica y
Externos)
Encuesta
analizada y
diligenciada
Gestin
Financiera
Gestin Financiera Calendario
Administrativo
P: Plan elaboracin
de informes
Cronograma de
Actividades
Gestin
Financiera
Direccionamiento
Estratgico Presupuesto
P: Plan anual de
caja
Ejecucin del
PAC
Gestin
Financiera
Gestin Financiera Convenios
en general
P: Plan de relaciones con
Entidades
Financieras y
Cooperativas.
Acuerdos con
Entidades
Financieras
Entidades
Financieras
Entidades
Financieras y
Personal Docente
y Administrativo
Solicitud y Oferta de
Libranzas
H: Trmite de
Libranzas
Aprobacin y
Convenio
de Pago de
la Libranza
Entidades
Financieras y
Personal
Docente y
Administrativo
-
10
Gestin Financiera Extractos
Bancarios
H: Elaborar
Conciliaciones
Bancarias
Comprobant es de
Ingresos y
Egresos,
Notas Dbito
y Crdito
Gestin
Financiera
Comunidad
Acadmica y
Usuarios Externos
Quejas y/o
Reclamos
V: Recepcin de quejas y chequeo de
ejecucin de
trmite
Respuesta
Comunidad
Acadmica
y
Usuarios
Externos
Gestin
Financiera, Entes de Control y
Direccionamiento
Estratgico
Normatividad
vigente
P: Planear calendario de
rendicin de
informes peridicos
Cronograma de
Actividades
Gestin
Financiera
Gestin Financiera Documentos
Financieros
H: Recepcionar, analizar y
consolidar la
informacin de los
diferentes procesos para producir
estados financieros e informes
Informes
Todos los
Procesos
Entes de
Control,
Entidades
Gubernament
-
11
contables y
tributarios
ales y
Comunidad
Acadmica
Entes Externos e
Internos
Normatividad
vigente.
H: Actualizacin de informacin o
normas que se
identifican en el
desarrollo de las
actividades.
Actualizacin de
Calendarios y
Procedimient
os
Gestin
Financiera
Entes de Control y
Gestin de las
TICS
Pgina Web y
Sistema de Informacin
Financiera
V: Chequeo de la informacin
registrada en los
diferentes sistemas
de informacin
internos y externos.
Inconsistenci as o
listado de
verificacin
de errores
Gestin
Financiera
-
12
Identificacin de activos
Un activo es todo aquello que tiene valor para la organizacin y que, por lo tanto, requiere de proteccin. Para la identificacin de los activos se recomienda tener en cuenta que el sistema de informacin consta de ms elementos que slo hardware y software. La identificacin de los activos se debera llevar a cabo con un nivel adecuado de detalle, que proporcione informacin suficiente para la valoracin del riesgo. El nivel de detalle utilizado en la identificacin de los activos tendr influencia en la cantidad total de informacin recolectada durante la valoracin del riesgo. Este nivel se puede mejorar en iteraciones posteriores de la valoracin del riesgo.
Se debera identificar al propietario de cada activo, para asignarle la responsabilidad y rendicin de cuentas sobre ste. El propietario del activo puede no tener derechos de propiedad sobre el activo, pero tiene la responsabilidad de su produccin, desarrollo, mantenimiento, uso y seguridad, segn corresponda.
El propietario del activo con frecuencia es la persona ms idnea para determinar el valor que el activo tiene para la organizacin
E. RECURSOS
13. Tecnolgicos 14. Fsicos 15. Humanos
Recurso Condicin Recurso Condicin Cargo
Equipo de
cmputo
Veinte (20)
computadores
Tipo oficina.
Elementos y
Equipos de
Oficina
Excelente
estado
Vicerrector
Administrativo
Sofware:
Sistema
Integral de
Informacin
Procesadores de
palabra, hojas
electrnicas,
presentaciones.
Papelera Con
los
requerimiento
s tcnicos de
ley
Jefe de Contabilidad
-
13
Planta
Telefnica
Doce (12)
extensiones
Aires
Acondiciona
dos
Individuales
por
dependencias
Jefe de Presupuesto
Scanner Cinco (5)
oficio y carta
Tesorero
Impresoras Cinco (5)
impresoras lser
carta y oficio.
Cinco (5)
impresoras de
tabloide
Auxiliares
Capacitados
Valoracin de riesgos en la seguridad de la Informacin
Un riesgo es una combinacin de las consecuencias que se presentaran
despus de la ocurrencia de un evento indeseado y de su probabilidad de
ocurrencia. La valoracin del riesgo cuantifica o describe cualitativamente el
riesgo y permite priorizar los riesgos de acuerdo con su gravedad percibida
u otros criterios establecidos.
Anlisis del riesgo
Identificacin del riesgo
La identificacin de los siguientes riesgos basados en el proceso de
seguimiento a gestin financiera se basan en los riesgos de la gestin de la
calidad pues su desarrollo y plan de ejecucin del mismo tienen respaldo en
la parte financiera hacindoles ser un trabajo conjunto en el anlisis de
riesgos y la toma de decisiones para la implementacin de medidas
respectivas en aseguramiento de la informacin.
-
14
Mapa de riesgos
Riesgos y causas Controles
N
CAUSAS (Factores Internos y
Externos, Agente
Generador)
RIESGO Descripcin Preven
tivo Correctivo
1
No existen respaldos
de la documentacin
actualizada
Prdida o sustraccin de la
informacin
(documentacin)
Realizar y custodiar los
respaldos en el servidor
institucional y
disear una
plataforma para el
montaje
de la
documentacin
del
Sistema de
Gestin de
Calidad y el
acceso de toda la
comunidad
universitaria
X
Cadas del sistema
que dificulten el
acceso a la
informacin
No hay un plataforma
tecnolgica de implementacin y
documentacin del
sistema
2
Cultura de Calidad
debil en la Institucin
Falta de tica y Cultura de la
Calidad dentro
de la institucin
Realizar auditorias de revisin y
anlisis de los indicadores propios del Sistema de Gestin de
Calidad y
ejecucin de los
X
Baja apropiacin del
proceso
-
15
Bajo sentido de pertenencia frente a los procesos del Sistema de Gestin de Calidad de la
Universidad
planes de
mejoramiento
3
Asignacin de Recursos para el
proyecto de
implementacin
del sistema
insuficientes Planeacin
inadecuada de
los recursos de
la
Universidad
Seguimiento a las necesidades
planteadas desde la oficina de
Planeacin para la ejecucin de
Proyectos relacionados al
Sistema de
Gestin de
Calidad
X
Priorizacin en la asignacin de
recursos a otros proyectos de
menor importancia o
impacto
Poco personal asignado trabajando
en el rea de
Gestin de Calidad
4
Cambio de legislacin o normatividad regulatoria
del Sistema de
Gestin de
Calidad en la
Institucin
Incumplimiento de planes y
proyectos de obligatorio
cumplimiento y
vigilancia por
entes del estado
Seguimiento a los planes y proyectos
operativos de la
Oficina de
Planeacin
X
-
16
Cierres de la Institucin no
planeados debido a
problemas de tipo
social
(huelgas, paros,
etc.) o ambiental
(terremotos,
inundaciones, etc.)
Diseo del sistema
de
Gestin de Calidad
desactualizado
5
No existen respaldos
de la documentacin
actualizada
Prdida o sustraccin de la
informacin (documentacin)
Realizar y custodiar los respaldos en el
servidor
institucional y
disear una
plataforma para el
montaje
de la
documentacin del
Sistema de Gestin
de Calidad y el
acceso de toda la
comunidad
universitaria
X
Cadas del sistema
que dificulten el
acceso a la
informacin
No hay un plataforma tecnolgica de
implementacin y
documentacin del
sistema
6
Cultura de Calidad
debil en la Institucin
Falta de tica y
Cultura de la
Realizar auditorias
de revisin y
anlisis de los
X
-
17
Baja apropiacin del
proceso
Calidad dentro
de la institucin
indicadores propios del Sistema de
Gestin de
Calidad y ejecucin
de los planes de
mejoramiento
Bajo sentido de pertenencia frente a
los
procesos del Sistema
de
Gestin de Calidad de
la Universidad
7
Asignacin de Recursos para el
proyecto de implementacin del
sistema
insuficientes
Planeacin inadecuada de
los recursos de
la
Universidad
Seguimiento a las necesidades
planteadas desde la oficina de
Planeacin para la ejecucin de
Proyectos relacionados al
Sistema de Gestin
de Calidad
X
Priorizacin en la asignacin de
recursos a
otros proyectos de
menor importancia o
impacto
Poco personal asignado trabajando
en el rea de Gestin de Calidad
8
Cambio de legislacin o normatividad
regulatoria
del Sistema de
Gestin de
Calidad en la
Institucin
Incumplimiento de planes y
proyectos de obligatorio
cumplimiento y
vigilancia por
entes del estado
Seguimiento a los planes y proyectos
operativos de la
Oficina de
Planeacin
X
-
18
Cierres de la Institucin no
planeados debido a
problemas de tipo
social
(huelgas, paros, etc.)
o ambiental
(terremotos,
inundaciones, etc.)
Diseo del sistema de
Gestin de Calidad
desactualizado
Identificacin de las amenazas
Una amenaza tiene el potencial de causar daos a activos tales como
informacin, procesos y sistemas y, por lo tanto, a las organizaciones. Las
amenazas pueden ser de origen natural o humano y podran ser
accidentales o deliberadas. Es recomendable identificar tanto los orgenes
de las amenazas accidentales como de las deliberadas. Una amenaza
puede tener su origen dentro o fuera de la organizacin. Las amenazas se
deberan identificar genricamente y por tipo (por ejemplo, acciones no
autorizadas, dao fsico, fallas tcnicas) y, cuando sea adecuado, las
amenazas individuales dentro de la clase genrica identificada. Esto
significa que ninguna amenaza se pasa por alto, incluidas las inesperadas,
pero teniendo en cuenta que el volumen de trabajo requerido es limitado.
-
19
AMENAZAS (FACTOR EXTERNO) DEBILIDADES (FACTOR INTERNO)
Cambio de legislacin o normatividad
regulatoria del Sistema de Gestin de Calidad
en la Institucin
No existen backups de la documentacin
actualizada
Priorizacin en la asignacin de recursos a
otros proyectos de menor importancia o impacto
Poco personal asignado trabajando en el
rea de Gestin de Calidad
Asignacin de Recursos para el proyecto de
implementacin del sistema insuficientes
No hay un plataforma tecnolgica de
implementacin y documentacin del
sistema
Cultura de Calidad dbil en la Institucin Diseo del sistema de Gestin de Calidad
desactualizado
Cierres de la Institucin no planeados debido a
problemas de tipo social (huelgas, paros, etc.) o
ambiental (terremotos, inundaciones, etc.)
Baja apropiacin del proceso
Cadas del sistema que dificulten el acceso a la
informacin
Bajo sentido de pertenencia frente a los
procesos del Sistema de Gestin de Calidad de
la Universidad
CONTROL DE RIESGOS (POLITICAS)
- Realizar jornadas de capacitacin al personal administrativo de la universidad
sobre el SGSI y medidas a tomar para proteger la informacin.
- Administrar el acceso al sistema de informacin financiero.
- Las claves de accesos son personales e intransferibles, cualquier manipulacin
extra oficial u anormal ser sancionada a la persona que tenga a nombre dicha
cuenta.
-
20
- Asegurar los documentos que se relacionen con el proceso financiero ya que son
bastante delicados y no todo el personal debe tener acceso a ellos.
- Restringir los sitios de navegacin a los que pueden acceder los funcionarios, es
decir, que estos solo ingresen a sitios que no sean de distraccin o filtrado de
informacin (Facebook, Messenger, Video Chatetc.).
- Generar la cultura a los funcionarios adscritos a la Oficina, para que se mantenga
la reserva confidencial del Sistema de Informacin financiero.