pablo a. malagón t.52.0.140.184/typo43/fileadmin/base_de_conocimiento/... · desventajas se puede...

of 50 /50
Pablo A. Malagón T. Pablo A. Malagón T. [email protected]

Author: others

Post on 16-Mar-2020

0 views

Category:

Documents


0 download

Embed Size (px)

TRANSCRIPT

  • Pablo A. Malagón T.

    Pablo A. Malagón [email protected]

  • Pablo A. Malagón T.

    AAGENDAGENDA

    ETAPA 1ETAPA 1

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    �Diseño: Fases I, II

    �Implementación: Fases III, IV

    ETAPA 2ETAPA 2

    El Riesgo Operativo como herramienta El Riesgo Operativo como herramienta estratégicaestratégica

    �Administración del Riesgo

    �RO a Nivel Internacional

    �RO en Colombia

  • Pablo A. Malagón T.

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    Plan estratégico con proyección de 4 años Plan estratégico con proyección de 4 años

    Definición y AlcanceDefinición y AlcanceETAPA 1ETAPA 1

    �Obliga hacer el ejercicio a largo plazo

    �En los cambios administrativos se disminuye el impacto y permite la continuidad de los proyectos

    Ventajas

    Desventajas

    �Se puede quedar corto el presupuesto y alcance por la evolución de la TI

    �Cotizar herramientas que no se requieran en un futuro o varié la funcionalidad

    �Cambios del personal gerencial y administrativo

  • Pablo A. Malagón T.

    RED DE DATOSRED DE DATOS

    CONVENCIONES

    F.O OC12F.O OC3UTP FE

    Antecedente (1)Antecedente (1)

    12x1x

    S witch3000

    green= enabled, l ink O KFlashing green= disabled, l ink O K

    off = link OK fail

    Packet

    Status

    1 2 3 4 5 6

    7

    1 2 3 4 5 6

    7

    8 9 10 11 12

    8 9 10 11 12

    STAT US MO DULE

    Status

    Packet Packet

    Status

    Power

    MGMT

    SuperStack II Switch 3000

    R

    12x1x

    S witch3000

    green= enabled, link OKFlashing green= disabled, link OK

    off = link OK fail

    Packet

    Status

    1 2 3 4 5 6

    7

    1 2 3 4 5 6

    7

    8 9 10 11 12

    8 9 10 11 12

    STAT US MO DULE

    Status

    Packet Packet

    Status

    Power

    MGMT

    SuperStack II Switch 3000

    R

    12x1x

    S witch3000

    green= enabled, l ink OKFlashing green= disabled, l ink OK

    off = link OK fail

    Packet

    Status

    1 2 3 4 5 6

    7

    1 2 3 4 5 6

    7

    8 9 10 11 12

    8 9 10 11 12

    STATUS MO DULE

    Status

    Packet Packet

    Status

    Power

    MGMT

    SuperStack II Switch 3000

    R

    12x1x

    S witch3000

    green= enabled, l ink OKFlashing green= disabled, l ink OK

    off = link OK fail

    Packet

    Status

    1 2 3 4 5 6

    7

    1 2 3 4 5 6

    7

    8 9 10 11 12

    8 9 10 11 12

    STATUS MO DULE

    Status

    Packet Packet

    Status

    Power

    MGMT

    SuperStack II Switch 3000

    R

    12x1x

    S witch3000

    green= enabled, l ink OKFlashing green= disabled, l ink OK

    off = link OK fail

    Packet

    Status

    1 2 3 4 5 6

    7

    1 2 3 4 5 6

    7

    8 9 10 11 12

    8 9 10 11 12

    S TA T U S MO D U LE

    Status

    Packet Packet

    Status

    Power

    MGMT

    SuperStack II Switch 3000

    R

    Switch 3300

    DOWNLINK

    Switch 3300

    DOWNLINK

    Switch 3300

    DOWNLINK

    Switch 3300

    DOWNLINK

    Switch 3300

    DOWNLINK

    HUB 24P.

    HUB 24P.HUB 24P.HUB 24P.

    HUB 12P.HUB 24P.HUB 24P.HUB 24P.

    HUB 24P.HUB 24P.HUB 24P.

    HUB 8P.HUB 24P.HUB 24P.HUB 12P

    P1

    P2

    P3

    P4

    P5

    SWITCH 12P.SWITCH 24P.

    SWITCH 24P.

    SWITCH 24P.

    SWITCH 12P.SWITCH 24P.

    SWITCH 12P.SWITCH 24P.

    SWITCH 12P.

    Switch core ATM 6P. FIBRA OPTICA

    Consola

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

  • Pablo A. Malagón T.

    Antecedente (2)Antecedente (2)

    RouterRouterFirewallFirewall

    Red local 1Red local 1

    Red local 2Red local 2

    Servidor Servidor

    Usuario Remoto Usuario Remoto Usuarios RemotosUsuarios Remotos

    RDSI y RTPCRDSI y RTPCSwitchSwitch ATMATM

    RASRAS

    HUB HUB

    12x1x

    Switch3000

    green= enabled, link OKFlashing green= disabled, link OK

    off = link OK fail

    Packet

    Status

    1 2 3 4 5 6

    7

    1 2 3 4 5 6

    7

    8 9 10 11 12

    8 9 10 11 12

    STATUS MODULE

    Status

    Packet Packet

    Status

    Power

    MGMT

    SuperStack II Switch 3000

    R

    SWITCHSWITCH

    RDSI: Red Digital de Servicios IntegradaRDSI: Red Digital de Servicios IntegradaRTPC: Red Telefónica Publica ConmutadaRTPC: Red Telefónica Publica ConmutadaATM: Modo de Transferencia Asíncrono ATM: Modo de Transferencia Asíncrono

    Servidor WEBServidor WEB

    InternetInternet

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

  • Pablo A. Malagón T.

    Fase I Fase I

    •Diagnostico y diseño del modelo de seguridad de la infraestructura garantizando la funcionalidad de los servicios que tiene la organización.

    •Definición de las políticas organizacionales entorno a la seguridad

    •Adquirir herramientas básicas de seguridad informática y capacitación en las mismas.

    •Identificar y corregir vulnerabilidades (Hardening) de sistemas operaciones de red

    •Diagnostico y definición de los respaldos y la recuperación de la información .

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    ETAPA 1ETAPA 1

  • Pablo A. Malagón T.

    •Contratos de servicios y conexiones con terceros.

    •Diagnostico de las practicas en el desarrollo y mantenimiento de sistemas de información.

    •Conservar el personal especializado

    •Las herramientas adquiridas queden en total funcionamiento, garantizando la disponibilidad del Hardware, software y recurso humano requerido.

    •Que este alineado con el estándar de seguridad Internacional – ISO 17799

    Fase I Fase I

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    ETAPA 1ETAPA 1

  • Pablo A. Malagón T.

    RouterDel ISP

    Firewall

    ApplianceAntivirus

    Red local 1

    Red local 2

    Servidor Usuarios RDSIRDSI y RTPCSwitch ATM

    RAS FIREWALL

    HUB

    SWITCH

    FirewallCorreoExterno

    DMZ

    Usuarios Remotos

    ReplicaUsuarios RDSI

    Servidor WEB

    IDSSin enrutamientoS.O. Hardening

    Usuario InternoRemoto

    Fase I Fase I

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    ETAPA 1ETAPA 1

    12x1x

    Switch3000

    green= enabled, link OKFlashing green= disabled, link OK

    off = link OK fail

    Packet

    Status

    1 2 3 4 5 6

    7

    1 2 3 4 5 6

    7

    8 9 10 11 12

    8 9 10 11 12

    STATUS MODULE

    Status

    Packet Packet

    Status

    Power

    MGMT

    SuperStack II Switch 3000

    R

  • Pablo A. Malagón T.

    Servidor WEBRouter

    del ISP

    Firewall

    Antivirus

    Usuarios

    Remotos

    RDSI y RTPC

    RAS FIREWALL

    Firewall

    CorreoExterno

    DMZ

    Usuarios

    Remotos

    VLAN 2

    Switch Giga

    VLAN 1

    IDS

    RDSI y RTPC

    Usuarios InternosRemotos

    Antecedente Antecedente Fase II Fase II

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    ETAPA 1ETAPA 1

  • Pablo A. Malagón T.

    Certificados digitalesCertificados digitales

    • Modulo de verificación de firmas para la comunicación entre la organización y los usuarios remotos

    • Certificado de Servidor Seguro

    • Capacitación

    Fase II (A)Fase II (A)

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    ETAPA 1ETAPA 1

  • Pablo A. Malagón T.

    UtilizaciUtilizacióón del Certificado n del Certificado Digital: Firma DigitalDigital: Firma Digital

    CertificadoCertificado

    Mensaje de Mensaje de DatosDatos

    Firma DigitalFirma Digital Parte Parte ConfianteConfiante

    OkOk!!

    Fase II (A)Fase II (A)

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    ETAPA 1ETAPA 1

  • Pablo A. Malagón T.

    Fase II (A)Fase II (A)

    Servidor Servidor WEBWEBRouterRouter

    Del ISPDel ISP

    FirewallFirewall

    AntivirusAntivirus

    Directorio Directorio Usuarios RemotosUsuarios Remotos

    RDSI y RTPCRDSI y RTPC

    RAS FIREWALLRAS FIREWALL

    FirewallFirewallCorreoCorreo ExternoExterno

    DMZDMZ

    UsuarioUsuarioRemotoRemoto

    VLAN 2VLAN 2

    VLAN 1VLAN 1

    IDSIDS

    RDSI y RTPCRDSI y RTPC

    ComunicacionesComunicaciones

    EntidadEntidadCertificadora Certificadora

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    ETAPA 1ETAPA 1

    Certificados DigitalesCertificados Digitales

  • Pablo A. Malagón T.

    Fase II (B)Fase II (B)

    •Mapas de Procesos ••Matriz de RiesgosMatriz de Riesgos•BIA (Análisis de impacto del negocio)•Plan de acciones

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    ETAPA 1ETAPA 1

    �� DiagnDiagnóóstico de la Situacistico de la Situacióón Actualn Actual

    �� DefiniciDefinicióón de requerimientos para el retorno a n de requerimientos para el retorno a la normalidad de las operacionesla normalidad de las operaciones

    �� Estrategias de RecuperaciEstrategias de Recuperacióón de Contingencias n de Contingencias de TIde TI. P. Probar, capacitar y ejercitar el plan.robar, capacitar y ejercitar el plan.

    Plan de Contingencia Plan de Contingencia

  • Pablo A. Malagón T.

    Esquema de Contingencia Esquema de Contingencia

    Servidor WEBRouterDel ISP

    Firewall

    Antivirus /Anti spam

    RAS FIREWALL

    Firewall

    Correo externoVLAN DMZ

    Usuario Remoto

    RDSI y RTPC

    Comunicaciones

    VLAN INTERNET

    Carrier

    PSTN

    1

    2

    30

    Usuarios RemotosSwitch

    Router Sitio Alterno

    RAS

    1 2

    1

    2

    5

    Puestos de trabajo

    Sistema critico 1

    Sistema critico 2

    Sistema critico 3

    IPS

    1

    2

    3

    3

    1

    3

    2

    EntidadCertificadora

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    ETAPA 1ETAPA 1

    Usuarios RDSI

    VLAN 2

    VLAN 1

  • Pablo A. Malagón T.

    Adquisición de Herramientas Adquisición de Herramientas

    Fase III Fase III

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    ETAPA 1ETAPA 1

    •Control de contenido y direcciones de Internet

    •Proxy

    •Autenticación fuerte de usuarios Internos

    �Certificados Digitales�Token

    •Firewalls personales

  • Pablo A. Malagón T.

    Servidor WEB

    Routerdel ISP

    Firewall

    Antivirus /Antispam

    Usuarios RemotosI

    RAS FIREWALL

    Firewall

    CorreoExterno

    VLAN DMZ

    UsuariosRemotos

    VLAN 2

    VLAN 1

    RDSI y RTPC

    Comunicaciones

    ServidorControl de URL /

    Proxy

    Servidor de Certificados

    DigitalesUsuario Interno Remoto•Desktop Firewall,•Certificado Digital •Token

    Certificado ente externo

    Certificado Interno

    Documento con Firma Electrónica

    IPSFirewall

    VLAN INTERNET

    Fase III Fase III

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    ETAPA 1ETAPA 1

  • Pablo A. Malagón T.

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    2

    1

    3

    4

    5

    1 2 3 4 5Vulnerabilidad Explotar Arreglo

    (Patch / Hardening)Aplicar Retorno

    Normalidad

    Riesgo

    Tiempo

    Fase IV Fase IV ETAPA 1ETAPA 1

    Sistema dePrevención

    Administrador de Vulnerabilidades

  • Pablo A. Malagón T.

    Fase IV Fase IV

    Sistema de Administración del Riesgo asociado a las Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticasvulnerabilidades e intrusiones informáticas

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    • Descubrir en línea dispositivos y realizar el mapa de manera automática de la infraestructura tecnológica

    •Priorizar activos de acuerdo con el nivel de seguridad requerido.

    • Verificar las vulnerabilidades de las plataformas y determinar el nivel de exposición al riesgo

    •Facilitar la protección de los activos críticos, de acuerdo con los requerimientos y políticas del negocio.

    ETAPA 1ETAPA 1

  • Pablo A. Malagón T.

    Sistema de Administración del Riesgo asociado a las Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticasvulnerabilidades e intrusiones informáticas

    •Asignar, controlar y validar la remediación de forma autónoma.

    •Capacitar en la configuración, administración y mantenimiento de la solución

    •Acompañar la remediación con personal experto

    ETAPA 1ETAPA 1 Fase IV Fase IV

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

  • Pablo A. Malagón T.

    •Fase de aprendizaje, se analiza por aplicación •Identificación de los servicios a cerrar, entre más bloqueos más latencia •Modo oculto, no muestra una dirección IP y tampoco una MAC.

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    ETAPA 1ETAPA 1 Fase IV Fase IV SoluciónSolución

  • Pablo A. Malagón T.

    Fase IVFase IV

    ResultadosResultados: :

    •Califica por nivel de riesgo (Vulnerabilidad alta, media, baja e informativa)

    •Criticidad por importancia del activo

    •Gestión mediante tikes

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    Solución para mitigar el RiesgoSolución para mitigar el Riesgo

    ETAPA 1ETAPA 1

    Remediación

  • Pablo A. Malagón T.

    •Reducir y mitigar efectivamente el riesgo, balanceando el valor del activo, la severidad de la vulnerabilidad y la criticidad de las amenazas

    •Focalizándose en los activos más importante

    •Tomando medidas para dar continuidad a la organización

    •Definiendo responsables de los sistemas de información

    •Midiendo el progreso o evolución del riesgo de la infraestructura tecnológica

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    Sistema de Administración del Riesgo asociado a las Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticasvulnerabilidades e intrusiones informáticas

    ETAPA 1ETAPA 1 Fase IV Fase IV

  • Pablo A. Malagón T.

    •Identificación proactiva de las nuevas amenazas sobre los activos críticos

    •Técnicamente mediante:

    • Patch y/o actualización de S.O. y aplicaciones comerciales.

    � Antivirus� Software de automatización de oficina � Bases de datos � Correo electrónico

    • Identificando software no autorizado o necesario

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

    Sistema de Administración del Riesgo asociado a las Sistema de Administración del Riesgo asociado a las vulnerabilidades e intrusiones informáticasvulnerabilidades e intrusiones informáticas

    ETAPA 1ETAPA 1 Fase IV Fase IV

  • Pablo A. Malagón T.

    Preparación del recurso humanoPreparación del recurso humano

    •• Herramientas de seguridadHerramientas de seguridad•• Sensibilización Sensibilización –– ConcientizaciónConcientización

    1. Definición de Políticas de seguridad

    2. Difusión – Audiencia acorde a su interés

    3. Segmentación de audiencias: Preparar para el cambio en el comportamiento del uso de la tecnología.

    a. Administradores de TI b. Gerencia y “Gobierno

    Corporativo”c. Funcionarios generales

    •• Metodologías y Normas:Metodologías y Normas:1. ISO 9001:20002. ISO 17799 3. Cobit4.4. NTC 5254NTC 52545. ISO 27001

    Fase I a IVFase I a IVETAPA 1ETAPA 1

    Proyecto Seguridad InformáticaProyecto Seguridad Informática

  • Pablo A. Malagón T.

    ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

    El Riesgo Operativo se define como:

    “El riesgo de pérdida debido a la inadecuación o fallos de: procesos, el personal, sistemas internos o por causa de acontecimientos externos. Esta definición incluye el riesgo legal, pero excluye el estratégico y el de reputación.”

    Administración del Riesgo

    • Identificar el riesgo operacional implícito, en todos los productos, actividades, procesos y sistemas

    • Política, procesos y procedimientos para la mitigación de RO • Planes de contingencia y continuidad del negocio

    BASILEA IIBASILEA II

    Se puede administrar?Se puede administrar?

  • Pablo A. Malagón T.

    Administración corporativa Administración corporativa del riesgo (ERM)del riesgo (ERM)

    Conceptos fundamentales :

    Estándar AS/NZ 4360:1999 / NTC 5354 Gestión del Rie sgo

    ETAPA 2ETAPA 2

    • Es un proceso

    • Efectuado por personas

    • Aplicado en la definición de la estrategia

    • A través de toda la organización

    • Identifica los eventos que potencialmente

    pueden afectar a la entidad

    • Proveer seguridad razonable a la

    administración y a la junta directiva

    • Orientado al logro de los objetivos

    Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

  • Pablo A. Malagón T.

    Establecer el contexto

    Identificar riesgos

    Analizar riesgos

    Evaluar riesgos

    Tratar los riesgos

    Mon

    itore

    o y

    revi

    sión

    Com

    unic

    ar y

    con

    sulta

    r

    Aceptar riesgos

    No

    Si

    ETAPA 2ETAPA 2

    Estándar AS/NZ 4360:1999 / NTC 5354 Gestión del Riesgo

    Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

    ADMINISTRAR EL RIESGOSADMINISTRAR EL RIESGOS

  • Pablo A. Malagón T.

    Probabilidad Impacto

    Nivel de riesgo

    ETAPA 2ETAPA 2

    ANÁLISIS DE RIESGOSANÁLISIS DE RIESGOS

    Improbable2

    Posible3

    Casi Seguro5

    Probable4

    Raro1

    RangoNivel

    Menor2

    Moderado3

    Catastrofico5

    Mayor4

    Insignificante1

    RangoNivel

    MEDIO

    BAJO

    ALTO

    EXTREMO

    Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

  • Pablo A. Malagón T.

    Probabilidad Impacto

    Nivel de riesgo

    Representa la posibilidad de ocurrencia de un evento

    Consecuencia que puede ocasionar en la organización la materialización de un riesgo

    ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

    ANÁLISIS DE RIESGOSANÁLISIS DE RIESGOS

  • Pablo A. Malagón T.

    • Elimina

    • Reduce o Mitiga

    • Acepta

    • Traslada

    ETAPA 2ETAPA 2

    TRATAMIENTO DEL RIESGOSTRATAMIENTO DEL RIESGOS

    Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

  • Pablo A. Malagón T.

    •Herramienta metodológica para realizar un inventario de los riesgos de

    una manera sistemática y ordenada.

    •Representación o descripción de los aspectos considerados en la valoración y

    tratamiento de los riesgos.

    •Medio para reportar los riesgos a múltiples niveles (organizacional,

    proceso o función)

    ETAPA 2ETAPA 2

    MAPA DE RIESGOSMAPA DE RIESGOS

    Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

  • Pablo A. Malagón T.

    • Soportar la metodología de administración de riesgos.

    • Documentar las fases del proceso de administración de riesgos.

    • Comunicar los resultados del proceso.

    ETAPA 2ETAPA 2

    MAPA DE RIESGOSMAPA DE RIESGOS

    Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

  • Pablo A. Malagón T.

    RIESGO DESCRIPCION POSIBLES CONSECUENCIAS

    1. Identificación de riesgos

    2. Identificación, valoración y tratamiento de ries gos

    RIESGO IMPACTO PROBABILIDAD CONTROL EXISTENTE

    NIVEL DE RIESGO

    ACCIONES RESPONSABLES CRONOGRAMA INDICADOR

    Guía Administración del Riesgo - DAFP

    ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

    MAPA DE RIESGOSMAPA DE RIESGOS

  • Pablo A. Malagón T.

    3. Identificación, valoración y tratamiento de ries gos

    Manual del Usuario – Software Methodware

    ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

    MAPA DE RIESGOSMAPA DE RIESGOS

  • Pablo A. Malagón T.

    RO a Nivel InternacionalRO a Nivel Internacional

    ECUADORMEXICO PERU

    Según la Superintendencia de Banca, Seguros y AFP:

    “Las empresas deben administrar adecuadamente los riesgos de operación que enfrentan. Entiéndase por riesgos de operación a la posibilidad de ocurrencia de pérdidas financieras por deficiencias o fallas en procesos internos, en la tecnología de información, en las personas o por ocurrencia de eventos externos adversos. Esta definición incluye el riesgo legal, pero excluye el riesgo estratégico y de reputación.

    Según la Superintendencia de Bancos y Seguros (ECUADOR):

    La posibilidad de que se ocasionen pérdidas financieras por eventos derivados de fallas o insuficiencias en los procesos, personas, tecnología de información y por eventos externos. Incluye el riesgo legal.

    Según la Comisión Nacional Bancaria y de Valores:

    “(…) como la pérdida potencial por fallas o deficiencias en los controles internos, por errores en el procesamiento y almacenamiento de las operaciones o en la transmisión de información , así como por resoluciones administrativas y judiciales adversas, fraudes o robos y comprende entre otros, al riesgo tecnológico y al riesgo legal, en el entendido que:

    El riesgo tecnológico, se define como la pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o dependencia en el hardware, software ,sistemas, aplicaciones, redesy cualquier otro canal de distribución de información en la prestación de servicios bancarios con los clientes de la institución.

    ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

  • Pablo A. Malagón T.

    ECUADORMEXICO PERU

    Según la Superintendencia de Banca, Seguros y AFP:

    Riesgo legal: Posibilidad de ocurrencia de pérdidas financieras debido a la falla en la ejecución de contratos o acuerdos, al incumplimiento no intencional de las normas, así como a factores externos, tales como cambios regulatorios, procesos judiciales entre otros.”

    Según la Superintendencia de Bancos y Seguros (ECUADOR):

    Riesgo legal: Es la posibilidad de que se presenten pérdidas o contingencias negativas como consecuencia de fallas en contratos y transacciones que pueden afectar el funcionamiento o la condición de una institución del sistema financiero, derivadas de error, dolo, negligencia o imprudencia en la concertación, instrumentación, formalización o ejecución de contratos y transacciones. El riesgo legal surge también de incumplimientos de las leyes o normas aplicables.

    Según la Comisión Nacional Bancaria y de Valores:

    El riesgo legal, se define como la pérdida potencial por el incumplimiento de las disposiciones legales y administrativas aplicables, la emisión de resoluciones administrativas y judiciales desfavorables y la aplicación de sanciones, en relación con las operaciones que las instituciones llevan a cabo.”

    ETAPA 2ETAPA 2

    RO a Nivel InternacionalRO a Nivel Internacional

    Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

  • Pablo A. Malagón T.

    ECUADOR

    1.Objetivo : Impulsar la cultura de la administración de riesgos

    2. Parte de una serie de Definiciones

    3. Responsabilidad del Consejo y del Director General

    4. Comité de Riesgo y Unidad parala administración integral de riesgos

    5. Manuales para la administraciónIntegral de Riesgos

    6. Requerimientos de información, Supervisión

    7. La auditoría interna

    MEXICO PERU1.Objetivo : Propender a que las empresas supervisadas cuenten con un sistema de control

    2. Parte de una serie de definiciones

    3. Responsabilidad del Directorio y la Gerencia

    4. Unidad de Riesgos:

    5. Creación de Manuales: de Organización y Funciones, de Políticas y Procedimientos, de Control de Riesgos.

    6. Requerimientos de información

    7. Auditoría interna y externa

    1.Objetivo : Propender a que las instituciones del sistema financiero cuenten con un sistema de administración del riesgo operativo

    2. Parte de unas definiciones

    3. Responsabilidades en la Administración del R.O.Directorio u Organismo que haga sus veces

    4. Comité de Administración Integral de Riesgos y Unidad de Riesgos

    5. Procesos y Códigos de Conducta

    6. Reportes

    7. Sistema de control interno

    ETAPA 2ETAPA 2

    RO a Nivel InternacionalRO a Nivel Internacional

    Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

  • Pablo A. Malagón T.

    ECUADORPERUAspectos que Originan R.O:

    Procesos Internos: Riesgos asociados a:-Fallas modelos utilizados-Errores en transacciones-Evaluación inadecuada de contratos-Errores información contable-Inadecuada compensación, liquidación o pago-Insuficiencia recursos para el volumen de operaciones-Inadecuada documentación de transacciones-Incumplimiento de plazos y costos planeados.

    Tecnología de Información:Minimizar posibilidad de pérdidas financieras por uso inadecuado de sistemas informáticos y tecnologías que afectan operaciones y servicios de la empresa:

    •Fallas en la seguridad y continuidad operativa de los sistemas informáticos•Errores en el desarrollo e implementación de los mismos.•Problemas calidad de información•Inadecuada inversión de tecnología•Fallas adecuación objetivo del negocio.

    Personas: Eventos Externos:

    •Inadecuada capacitación -Contingencias legales•Negligencia -Fallas en los servicios públicos•Error Humano -Ocurrencia en los desastres•Sabotaje naturales•Fraude, robo -Atentados y actos delictivos•Apropiación información sensible -Fallas en servicios críticos •Similares provistos por terceros.

    Identificación Eventos que Originan RO:

    Las entidades deberán identificar por línea de negocio, los eventos de RO, agrupados por tipo de evento, así:-Fraude interno-Fraude externo-Prácticas laborales y seguridad del ambiente de trabajo.-Prácticas relacionadas con los clientes, los productos y el negocio.-Daños a los activos físicos.-interrupción del negocio por fallas en la tecnología de información.-Deficiencias en la ejecución de procesos, en el procesamiento de operaciones y en las relaciones con proveedores y terceros.

    Los eventos de RO y las fallas e insuficiencias serán identificados con los factores de riesgo a través de una metodología formal, debidamente documentada y aprobada, la cual puede incorporar utilización de herramientas como :

    Auto evaluación, mapas de riesgos, indicadores, tablas de control (scorecards), bases de datos, etc.

    Una vez identificados los eventos de RO, LOS NIVELES DIRECTIVOS deben decidir si:

    El riesgo se asume, se comparte, se evita, o se transfiere. Con el propósito de reducir sus consecuencias y efectos, y alertar al directorio y a la Alta Gerencia en la toma de decisiones y acciones como: Implantar planes de contingencia, revisa estrategias, actualizar o modificar procesos, implantar o modificar límites de riesgo, etc.

    ETAPA 2ETAPA 2

    RO a Nivel InternacionalRO a Nivel Internacional

    Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

  • Pablo A. Malagón T.

    Decreto 1400 de 2005Ministerio de Hacienda y Crédito Público

    Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

    ETAPA 2ETAPA 2

    Que de acuerdo con el artículo 325, numeral 2, parágrafo 1º del Estatuto Orgánico del Sistema Financiero, podrán ser sometidas a la vigilancia de la Superintendencia Bancaria de Colombia, las entidades que administren los sistemas de tarjetas de crédito o de débito, así como las que administren sistemas de pago y compensación

    El riesgo operativo es: “El riesgo de errores humanos o de falla en los equipos, los programas de computación o los sistemas y canales de comunicación que se requieran para el adecuado y continuo funcionamiento de un sistema de pago”.

    La misma disposición definió el riesgo legal así: “ Riesgo de que un participante incumpla definitivamente con la obligación resultante de la compensación y/o liquidación a su cargo por causas imputables a debilidades o vacíos del marco legal vigente, los reglamentos o los contratos y, por lo tanto, afectan la exigibilidad de las obligaciones contempladas en estos últimos”.

    Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

  • Pablo A. Malagón T.

    Articulo 4º:

    a) Criterios de acceso. Tales criterios deberán ser objetivos y basarse en adecuadas consideraciones de prevención y mitigación de los riesgos a que se refiere el literal c) del presente artículo;

    c) Reglas y procedimientos con que contará la entidad con el fin de prevenir y mitigar los riesgos a que se expone en el desarrollo de su actividad, en especial, los de crédito, legal, liquidez, operativo, sistémico, y de lavado de activos; Decreto 1400 de 2005

    Ministerio de Hacienda y Crédito Público

    ETAPA 2ETAPA 2

    Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

    Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

  • Pablo A. Malagón T.

    Artículo 5°.

    h) El deber de los participantes de contar con planes de contingencia y de seguridad informática, para garantizar la continuidad de su operación en el Sistema de Pago de Bajo Valor;

    o) El manejo de la confidencialidad y la provisión de información a los participantes. Igualmente, los compromisos que adquiere la entidad administradora del Sistema de Pago de Bajo Valor para proteger la información y prevenir su modificación, daño o pérdida;

    Publíquese y cúmplase, dado en Bogotá, D. C., 4 de mayo de 2005. ÁLVARO URIBE VÉLEZ

    Decreto 1400 de 2005Ministerio de Hacienda y Crédito Público

    ETAPA 2ETAPA 2

    Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

    Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

  • Pablo A. Malagón T.

    Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno

    2. Medición, Evaluación y limitación de Riesgos

    En la evaluación de los riesgos las entidades deben definir objetivos (De cumplimiento, de Operación, De información financiera y contable y De manejo del cambio) y limites, igualmente ante los cambioseconómicas, financieras, regulatorias y operativas, estos deben ser cambiantes. La administración también debe establecer parámetros para medir esos riesgos especiales y prevenir su posible ocurrencia a través de mecanismos de control e información. UN RIESGO NO TIPIFICADO NI MEDIDO ES UN PROBLEMA DE CONTROL INTERNO.

    Las entidades deben implementar sistemas ágiles de información que capturen e identifiquen claramente las condiciones cambiantes que afecten sus objetivos así como el análisis de las oportunidades asociadas a los riesgos.

    ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

    Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

  • Pablo A. Malagón T.

    2. Medición, Evaluación y limitación de Riesgos

    Las entidades deben implementar sistemas ágiles de información que capturen e identifiquen claramente las condiciones cambiantes que afecten sus objetivos así como el análisis de las oportunidades asociadas a los riesgos.

    Cambio en el ambiente de operación Personal NuevoSistemas nuevos o reconstruidos Tecnología nuevaLínea, productos y actividades nuevasReestructuración corporativa y Operaciones en el exterior

    Las entidades deben identificar los cambios que se deban realizar o que ocurrirán, de tal forma que le permitan a la administración anticipar y planear los cambio significativos, a los riesgos nuevos y a sus efectos.

    ETAPA 2ETAPA 2

    Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno

    Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

    Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

  • Pablo A. Malagón T.

    3. Control de Actividades

    El control Interno de las entidades vigiladas debe ser efectivo y eficiente Es indispensable que las entidades implementen la ejecución de las políticas a través de toda la organización en todos los niveles y en todas las funciones e incluye el establecimiento de procedimientos obligatorios para todas las actividades.

    Este control tiene distintas características, pueden ser manuales o computarizadas, administrativas u operacionales, generales o especificas, preventivas o detectivas. Sin embargo todas ellas deben tener como objetivo principal la determinación y prevención de los riesgos (Potenciales o reales) en beneficio de la entidad

    ETAPA 2ETAPA 2

    Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno

    Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

    Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

  • Pablo A. Malagón T.

    4. Monitoreo

    Las entidades vigiladas deben implementar sistemas de monitoreo en toda la organización hasta lograr el control de su marcha integrar. Es importante que se establezcan controles automáticos o alarmas tanto en los sistemas computacionales como en los manuales para que permanentemente se valore la calidad y el desempeño del sistema, pues ello equivale a una actividad de supervisión y administración. Para ello dicho monitoreo se debe realizar en todas las etapas del proceso y en tiempo real en el curso de las operaciones

    ETAPA 2ETAPA 2

    Numeral 7 Capitulo IX Titulo I Circular Básica Jurídica. Control Interno

    Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

    Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

  • Pablo A. Malagón T.

    Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera

    Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería

    • RESPONSABILIDAD DE LA JUNTA DIRECTIVA Y DE LA ALTA GERENCIA: Fijación de límites para la toma de riesgos en dichas actividades y el adoptar las medidas

    • REQUISITOS Y CARACTERÍSTICAS DE LA GESTIÓN DE RIESGOS: Deben existir estrategias, políticas y mecanismos de medición y control para los riesgos de crédito y/o contraparte, mercado, liquidez, operacionales y legales.

    • RESPONSABILIDADES Y REPORTES DE CONTROL DE RIESGOS: Debe ser informada mensualmente sobre los niveles de riesgo y el desempeño del área de tesorería. De manera inmediata si se presentan violaciones importantes o sistemáticas a las políticas y límites internos

    • REQUISITOS DEL SISTEMA DE CONTROL Y GESTION DE RIESGOS: Tener un sistema manual o automático de medición y control de los riesgos inherentes al negocio de tesorería

    ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

    Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

  • Pablo A. Malagón T.

    Riesgo Operacional:

    c) Los equipos computacionales y las aplicaciones informáticas empleadas, tanto en la negociación como en las actividades de control y la función operacional de las tesorerías, guarden correspondencia con la naturaleza, complejidad y volumen de las actividades de tesorería.

    f) Exista un adecuado plan de contingencia en caso de presentarse dificultades en el funcionamiento de los sistemas de negociación o de una falla en los sistemas automáticos utilizados por el Middle Office y el Back Office.

    g)Exista un plan de contingencia en la entidad que indique qué hacer en caso de que se aumenten las exposiciones por encima de los límites establecidos a cualquier tipo de riesgo.

    ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

    Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera

    Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería

    • CARACTERÍSTICAS MÍNIMAS DE LOS ANÁLISIS POR TIPO DE RIESGO

  • Pablo A. Malagón T.

    Riesgo Operacional:

    h) Los parámetros utilizados en las aplicaciones informáticas de medición y control de riesgos estén dentro de los rangos de mercado y sean revisados periódicamente, al menos de forma mensual.

    Riesgo legal

    Las operaciones realizadas deben ser formalizadas por medio de un contrato, el cual debe cumplir tanto con las normas legales pertinentes como con las políticas y estándares de la entidad. Los términos establecidos en los contratos deben encontrarse adecuadamente documentados.

    La participación en nuevos mercados o productos debe contar con el visto bueno del área jurídica, en lo que respecta a los contratos empleados y el régimen de inversiones y operaciones aplicable a cada entidad.

    ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

    Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

    Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera

    Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería

  • Pablo A. Malagón T.

    • POLÍTICAS DE PERSONAL

    a. La Alta Gerencia de la entidad debe garantizar que el personal vinculado en las labores de trading, control y gerencia de riesgos, back office, contabilidad y auditoría de las operaciones de tesorería tenga un conocimiento profundo de los productos transados y de los procedimientos administrativos y operativos asociados.

    b. En particular, el personal del área de monitoreo y control de riesgos debe poseer un conocimiento profundo de la operatividad de los mercados y de las técnicas de valoración y de medición de riesgos, asícomo un buen manejo tecnológico.

    c. Las políticas de remuneración del personal encargado de las negociaciones deben definirse de manera que no incentiven un apetito excesivo por riesgo. En este sentido, las escalas salariales no deben depender exclusivamente del resultado de las labores de trading.

    ETAPA 2ETAPA 2Riesgo Operativo Riesgo Operativo Como Herramienta EstratégicaComo Herramienta Estratégica

    Riesgo Operativo en ColombiaRiesgo Operativo en Colombia

    Circular Externa 088 de 2000, Capítulo XX de la Circular Básica Contable y Financiera

    Parámetros Mínimos de Administración de Riesgos en Operaciones de Tesorería

  • Pablo A. Malagón T.