Repblica de Colombia Ministerio de Defensa Nacional MDN
República de Colombia Ministerio de Defensa Nacional MDN Autocontrol y Administración de Riesgos Oficina Informática Taller Administración de Riesgos Bogotá, D. C. Octubre 8 de 2003 Gloria Esperanza Calderón Fuentes Coordinadora Grupo Proyección y Gestión Oficina Contrtol Interno
Objetivos MDN n Suministrar orientaciones técnicas fortalecimiento sistema control interno fase administración riesgo. n Fomentar cultura autocontrol y autoevaluación procesos, procedimientos, puntos de control y riesgos inherentes
Objetivos MDN n Desarrollar habilidades y competencias funcionarios oficina informática, permitan identificar, valorar y controlar riesgos asociados procesos misionales y apoyo en que participan. n Estructurar seleccionados. mapas de riesgos procesos
Agenda n Administración de riesgos. n Autocontrol en procesos informáticos. MDN
Objetivos Administración del Riesgo MDN Garantizar cumplimiento misión - objetivos institucionales a través prevención y administración riesgos n Fortalecer sistema de control interno n Proteger recursos estado
Objetivos Administración del Riesgo Continuación…. . MDN n Integrar riesgos a procesos y procedimientos n Asegurar cumplimiento regulaciones. n Hacer partícipes a los funcionarios prevención riesgos. n Evaluar y entender el riesgo, reducirlo a través controles efectivos para mantener calidad productos, servicios y personas. normas, leyes y
Guías y Normas MDN n Guía Administración Riesgos (DAFP) n Guía Mapa Riesgos Corrupción (PPLCC). n Decreto 1537/2001. n Resolución 196/2001 CGN n Circular Ministerial 10169/2001 n Guía Evaluación SCI (DAFP)
Administración Riesgo MDN • ÁREA RESPONSABLE • OFICINA CONTROL INTERNO • REVALUAR ASPECTOS INTERNOS – EXTERNOS • REPRESENTEN AMENAZAS • CONSECUCIÓN OBJETIVOS • IDENTIFICAR ANALIZAR EVALUAR MONITOREAR, COMUNICAR RIESGOS ASOCIADOS AL PROCESO. • OBJETIVO MINIMIZAR PÉRDIDAS MAXIMIZAR VENTAJAS
Administración Riesgo MDN
Proceso Administración Proactiva de riesgos MDN
Proceso Administración Proactiva de riesgos MDN Razones o causas R I E S G O Posibilidad de ocurrencia de aquella situación que puede entorpecer el normal desarrollo funciones de la entidad y le impidan el logro de sus objetivos. Personales Administrativas Operativas Normativas Estructurales
Identificación RIESGO c. DESCRIPCION CARACTERÍSTICAS MDN POSIBLES CONSECUENCIAS POSIBLES EFECTOS
Administración de Riesgos Seguridad Informática - Activos MDN Hardware Software Datos Medios de almacenamiento Redes Acceso Gente clave
Seguridad en Redes – Activos (Componentes) n MDN Hardware n n MDN Servidores, estaciones cliente, dispositivos de comunicación (router, bridge, hub, gateway, modem), dispositivos periférico, cables, fibras Software (o Servicios) n Sistemas operativos de red, sistemas operativos en estaciones cliente, aplicaciones, herramientas (administrativas, mantenimiento, backup), software bajo desarrollo.
Seguridad en Redes – Activos (Componentes) Continuación………. n MDN Datos n De la organización: bases de datos, hojas electrónicas, procesamiento de palabra, e-mail. n De la red: Privilegios de acceso a usuarios, password de usuarios, pistas de auditoria, configuración y parámetros de la red. n De los usuarios: datos procesados personal, archivos de propiedad del usuario
Administración de Riesgos Seguridad Informática - Amenazas n n n Naturales Accidentales Deliberadas MDN
Seguridad Informática – Vulnerabilidades MDN Características o debilidades en el sistema de seguridad que pueden ser explotadas para causar daños o perdidas (facilitan la ocurrencia de una amenaza) n Interrupción: un activo se pierde, no está disponible, o no se puede utilizar.
Seguridad Informática – Vulnerabilidades Continuación………. MDN n Intercepción: alguna parte (persona, programa o sistema de computo) no autorizada accede un activo. n Modificación: una parte no autorizada accede y manipula indebidamente un activo. n Fabricación: Fabricar e insertar objetos falsos en un sistema computacional.
Administración de Riesgos Seguridad Informática – Continuación………. Vulnerabilidades Interrupción (Negación del Servicio) MDN Intercepción (Robo) Hardware Actos Involuntarios/Accidentales – Intencionales/Voluntarios que limitan la disponibilidad Destrucción Agua, Fuego, Problemas de potencia, Alimentos, Ratones, Cenizas, Ataques físicos, Bombas Robo
Seguridad Informática – Continuación………. Vulnerabilidades Software Interrupción (Borrado) Intercepción Modificación MDN Borrado accidental o destrucción de programas Robo - Copia ilícita de programas Causar fallas o errores Salvar una copia mala de un programa destruyendo una buena, Programas modificados (cambio de bits, de instrucciones – bombas lógicas, efectos colaterales) Caballos de Troya, Virus, Puerta falsa, Fuga de Información
Seguridad Informática – Vulnerabilidades Continuación………. Robo Confidencialidad – líneas derivadas, recipientes de basura, soborno a empleados claves, inferencia, preguntando, compra Programas maliciosos – Técnica de salami, utilidades del sistema de archivos, facilidades de comunicación defectuosas Reprocesamiento de datos utilizados, adicionar registros en una base de datos MDN Datos Interrupción (Perdida) Intercepción Modificación Fabricación
Análisis de Riesgo O B J E T O MDN Establecer: Valoración priorización Clasificar – proveer información nivel de riesgo Y acciones a implementar Para realizar Análisis: Probabilidad: Posibilidad de ocurrencia. Impacto: Consecuencias de la materialización del Riesgo
Seguridad en redes – Impactos Significativos n Violación de la privacidad n Demandas legales n Perdida de tecnología propietaria n Multas n Perdida de confianza n Decisiones erróneas MDN
CUALITATIVO: UTILIZACIÓN DE FORMAS DESCRIPTIVAS CUANTITATIVO: UTILIZACIÓN DE VALORES NUMÉRICOS DEPENDE DE LA EXACTITUD Y CALIDAD DE LAS CIFRAS UTILIZADAS. MDN CUALITATIVO: ALTA : ES MUY FACTIBLE QUE EL HECHO SE PRESENTE MEDIA : ES FACTIBLE QUE EL HECHO SE PRESENTE BAJA : ES MUY POCO FACTIBLE QUE EL HECHO SE PRESENTE ALTA : SI… TENDRÍA ALTO IMPACTO SOBRE LA ENT. MEDIA : SI. . TENDRÍA MEDIO IMPACTO SOBRE LA ENT. BAJO : SI. . TENDRÍA BAJO IMPACTO SOBRE LA ENT.
Matriz de Evaluación de Riesgos MDN Riesgo Remanente (R) Probabilidad e Impacto del Riesgo (C) CALIFICACION DEL RIESGO P R O B A B I L I D A D 3 Alto 3 2 Medio 2 1 Bajo 1 1 2 3 IMPACTO EN LA ORGANIZACION PROBABILIDAD DE OCURRENCIA (P. O) C R I T I C I D A D D E L R I E S G O 9 6 3 1 2 3 SITUACION ACTUALCONTROL INTERNO IMPACTO EN LA ORGANIZACIÓN (I) SITUACION ACTUAL (SA) DEL CONTROL INTERNO 1 Es poco probable que ocurra 1 Sería de bajo impacto 1 Cubre en gran parte el riesgo 2 Es medianamente probable que ocurra 2 Sería de mediano impacto 2 Cubre medianamente el riesgo 3 Es altamente probable que ocurra 3 Sería de alto impacto 3 No existe ningún tipo de medida
Determinación del Nivel del Riesgo IMPACTO PROBABILIDAD CONTROLES EXISTENTES PARA LOS PROCESOS Y PROCEDIMIENTOS, DENTRO DE LA ORGANIZACIÓN. * ESTA ETAPA REQUIERE DEL CONOCIMIENTO DE LOS * * PUNTOS DE CONTROL ESTABLECIDOS PARA CADA PROCESO O PROCEDIMIENTO. ALTO MEDIO BAJO FRENTE A UN NIVEL DE VULNERABILIDAD MDN
Plan de Riesgos TENER EN CUENTA: n LAS ACCIONES PROPUESTAS REDUCEN SU MATERIALIZACIÓN? n CONSIDERAR LA VIABILIDAD DE SU ADOPCIÓN. LA SELECCIÓN DE ACCIONES DEPENDE DE: 1. 2. RELACIÓN COSTO BENEFICIO EL NIVEL DE RIESGO MDN
Administración del Riesgo Controles en Seguridad MDN Controles Administrativos Politícas, Estándares, Procedimientos, Guías, Entrenamiento Controles Técnicos Acceso lógico, controles, encripción, dispositivos de seguridad, Identificación y autenticación Controles físicos Protección de instalaciones, Guardias, candados, Monitoreo, Controles ambientales
Manejo de Riesgo n Evitar n Reducir n Dispersar y atomizar n Transferir n Asumir MDN
Monitoreo y Evaluación MDN Factores n Nuevas Normas n Rediseño Procesos n Tecnología n Sistemas De Información n Ocurrencia Fraudes n Nuevos Proyectos n Incremento Quejas n Reestructuraciones n Evaluar Riesgos n Efectividad Controles n Autoevaluación
Responsabilidades Relacionadas con la Administración del Riesgo RESPONSABLE n COMANDANTE MILITARES. GENERAL FUERZAS n COMANDANTE EJÉRCITO, ARMADA Y FUERZA AÉREA. n DIRECTOR POLICÍA NACIONAL. n SECRETARIO GENERAL. n JEFES DEPENDENCIAS MDN. n REPRESENTANTE LEGAL ENTIDADES ADSCRITAS Y VINCULADAS. n OFICINAS CONTROL INTERNO DEPENDENCIAS MINISTERIO DE DEFENSA NACIONAL Y ENTIDADES ADSCRITAS Y VINCULADAS. MDN ACTIVIDAD n DETERMINAR POLÍTICAS ESPECÍFICAS ADMINISTRACIÓN RIESGOS DE CONFORMIDAD NATURALEZA Y MISIÓN. n BRINDAR ASESORÍA EQUIPOS TRABAJO Y A RESPONSABLES ÁREAS Y PROCESOS EN ADMINISTRACIÓN DE RIESGOS.
Responsabilidades Relacionadas con la Administración del Riesgo Continuación………. RESPONSABLE n EQUIPO TRABAJO CADA ENTIDAD. MDN ACTIVIDAD n PLANEAR EN FORMA COORDINADA Y ARMÓNICA DESARROLLO PROCESO ADMINISTRACIÓN RIESGOS EN DEPENDENCIAS Y ENTIDADES. n INFORMES CONSOLIDADOS AVANCE Y LOGROS. SOBRE n RESPONSABLES ÁREAS - PROCESOS. n ACTUALIZAR RIESGOS. n SERVIDORES PÚBLICOS. n EVALUAR EFECTIVIDAD ACCIONES DE CONTROL.
Documentación de Riesgos MDN
Autocontrol Gestión Administrativa Recursos Informáticos Plan Necesidades de Servicios Informáticos (Hardware, Software, Sistemas de Información) Políticas Sobre Utilización Recursos Informáticos, Internet, Equipos, Niveles De Acceso, Seguridades Físicas. MDN Talento Humano: Capacitación, Funciones definidas en Manual Continuidad, Segregación Funciones e Idoneidad
Autocontrol - Adquisición y Recepción de Recursos Informáticos n Planeación n MDN Identificación Necesidades Viabilidad Técnica - Económica Definición Alternativas Criterios De Selección Hardware Especificaciones Técnicas n n n Dimensionamiento Tecnología Compatibilidad Adecuaciones Locativas Requisitos Ambientales Técnicos Y
Autocontrol - Adquisición y Recepción MDN de Recursos Informáticos Software Especificaciones Técnicas n n n Acuerdos Contractuales Recepción Bienes Y Servicios (Inventario) Funciones Básicas Requerimientos De Software Versión Licencias De Uso Soporte Vendedor Software Contratado n n Especificaciones Funcionales Cronogramas De Desarrollo Evaluaciones Periódicas Responsabilidad Partes
Autocontrol Equipo Sistematización n Inventario equipos, programas, responsable n Procedimientos de operación n Administración medios magneticos n Plan mantenimiento preventivo correctivo n Control de fallas n Seguros MDN
Autocontrol - Aplicaciones en Funcionamiento Origen y Preparación de Datos n Elaboración de documentación fuente n Autorización de transacciones n Clasificación de documentos n Consolidación de cifras y documentos n Cuadres previos a la captura MDN
Autocontrol - Aplicaciones en Funcionamiento Continuación………. MDN Origen y Preparación de Datos n Envío de documentos fuentes n Capacitación e instructivos documentos fuentes. n Diseño de funciones n Segregación de funciones para diligenciar
Autocontrol - Aplicaciones en Funcionamiento n Captura o Grabación de Datos n Validación de Campos en la Captura n Generación de Reportes para Revisión Previa. n Proceso de Corrección de Errores n Niveles de Seguridad en la Entrada n Control de Documentos Negociables MDN
Autocontrol - Aplicaciones en Procesamiento MDN n Claves de Seguridad en Archivos de Datos n Generación de Archivos para Interfaces n Validación Edición de Transacciones Monetarias y no Monetarias n Generación de Transacciones Automáticas n Rutinas de Liquidación
Autocontrol Planes de Contingencia n Propiedad del Plan n Recursos Criticos n Entrenamiento y Seguridad del Personal en Procedimientos de Emergencia n Procedimientos de Respaldo MDN
Autocontrol - Controles Ambientales y Seguridades Físicas n Planes politicas n Responsables seguridad n Ubicación física n Acceso físico n Medidas protección incendios - inundaciones MDN
Autocontrol, Control y Seguridad Datos y Software n Politicas seguridad lógica n Administracción claves acceso n Clasificación información para seguridad MDN
Autocontrol aplicaciones en Funcionamiento Documentación n n Manual técnico Manual de usuario Suficiencia, disponibilidad, calidad y actualidad MDN
Autocontrol - Aplicaciones en Funcionamiento Archivos de Datos Comprende los procedimientos de acceso a la información de los archivos de computador especialmente: n Perfil de autorización n Copias de archivos n Ubicación y organización física de los archivos MDN
Autocontrol - Aplicaciones en Funcionamiento Acceso y Seguridades de los Programas I. Procedimientos de acceso a los programas fuente - objeto n Solicitud del cambio n Priorización de los cambios n Solicitud del programa a modificar n Desarrollo del cambio MDN
Autocontrol - Aplicaciones en Funcionamiento Continuación………. Acceso y Seguridades de los Programas n Pruebas n Autorización n Proceso de catalogación de cambios n Rastro pistas de los cambios n Actualización de documentación MDN
Autocontrol - Aplicaciones en Funcionamiento Backup y Recuperación MDN n Identificación de archivos importantes n Tiempo de retención definido para cada archivo n Ubicación de backups del sistema a evaluar n Procedimientos de reinicio en caso de cancelación de procesos
Autocontrol - Aplicaciones en Funcionamiento Satisfacción del Usuario MDN Se evaluará la aplicación o sistema de información en relación con: n Sus expectativas n Exactitud y confiabilidad del procesamiento de información n Relación costo-beneficio (Dllo. y Operación) n Eficiencia técnica n Cumplimiento normas convenciones codificación
MDN n POLÍTICA DE SEGURIDAD DE LA ORGANIZACIÓN n AUDITORÍA n SISTEMAS DE FIREWALL. n SISTEMAS DE DETECCIÓN DE INTRUSOS n PLAN DE RESPUESTA A INCIDENTES (EQUIPO) n PRUEBAS DE PENETRACIÓN SEGURIDAD A NIVEL ROUTER -
República de Colombia Ministerio de Defensa Nacional MDN ASPECTOS A RESALTAR SEMINARIO EVALUACION DE LA SEGURIDAD EN TI, COBIT E ISO 17799 Taller Riesgos Oficina de Informática Bogotá, D. C. Octubre de 2003 PU. Liliana A. Moreno Duque Grupo Evaluación Oficina Control Interno
EVALUACION DE LA SEGURIDAD EN TI COBIT E ISO 17799 MDN SON EL CONJUNTO DE MEDIDAS A FIN DE PREVENIR, DETECTAR Y CORREGIR (RECUPERAR) LOS EFECTOS DE LOS RIESGOS QUE PUEDEN AMENAZAR EL CUMPLIMIENTO DE LOS OBJETIVOS Y METAS DE LA ORGANIZACIÓN AL COMPROMETER LA CIA. INFORMACIÓN SENSITIVA CONFIABILIDAD DIVULGACIÓN NO AUTORIZADA EXACTITUD Y COMPLETITUD INTEGRIDAD VALIDEZ AHORA Y EN FUTURO DISPONIBILIDAD SALVAGUARDA DE RECURSOS Y CAPACIDAD DE LOS RECURSOS DE TI.
AMENAZAS A LA SEGURIDAD AFECTAN PRINCIPALMENTE AL HARDWARE, SOFTWARE Y DATOS CLASES: INTERRUPCIÓN INTERCEPTACIÓN MODIFICACIÓN FABRICACIÓN MDN
MDN (CONTROL OBJETIVES FOR INFORMATION SYSTEMS AND RELATED TECHNOLOGYS) OBJETIVOS DEL NEGOCIO COBIT INFORMACION • EFECTIVIDAD • EFICIENCIA • CONFIDENCIALIDAD • INTEGRIDAD • DISPONIBILIDAD • CUMPLIMIENTO • CONFIABILIDAD MONITOREO PLANEACION Y ORGANIZACION RECURSOS DE TI ENTREGA Y SOPORTE • • • DATOS APLICACIONES TECNOLOGIA INSTALACIONES PERSONAS ADQUISICION E IMPLEMENTACION
MDN ALTO NIVEL AI PO DS M 4 DOMINIOS DE TI (MACROPROCESOS) 34 SUBDOMINIOS (PROCESOS) 318 OBJETIVOS DE CONTROL 34 GUÍAS DE AUDITORÍA EN 376 PASOS D E T A L L E S
MDN DOMINIO 1: PLANEACIÓN Y ORGANIZACIÓN n n n DEFINIR PLAN ESTRATÉGICO TECNOLOGÍA INFORMACIÓN. DEFINIR ARQUITECTURA INFORMACIÓN DETERMINAR DIRECCIÓN TECNOLOGÍA DEFINIR ORGANIZACIÓN FUNCIÓN TECNOLOGÍA INFORMACIÓN ADMINISTRAR INVERSION EN TECNOLOGÍA INFORMACIÓN COMUNICAR DIRECCIÓN Y OBJETIVOS DE LA GERENCIA ADMINISTRACIÓN RECURSOS HUMANOS ASEGURAR CUMPLIMIENTO REQUERIMIENTOS EXTERNOS ESTIMAR RIESGOS ADMINISTRACIÓN PROYECTOS ADMINISTRACIÓN CALIDAD
MDN _ IDENTIFICAR SOLUCIONES AUTOMATIZADAS _ ADQUISICIÓN APLICACIÓN Y _ ADQUISICIÓN TECNOLÓGICA Y MANTENIMIENTO SOFTWARE DE ARQUITECTURA _ DESARROLLO Y MANTENIMIENTO PROCEDIMIENTOS DE TECNOLOGÍA DE INFORMACIÓN _ INSTALAR Y ACREDITAR SISTEMAS _ ADMINISTRACIÓN CAMBIOS.
MDN _ _ _ _ DEFINIR NIVELES DE SERVICIO ADMINISTRACIÓN SERVICIOS TERCERAS PARTES ADMINISTRACIÓN DE CAPACIDAD Y DESEMPEÑO ASEGURAR EL SERVICIO CONTINUO GARANTIZAR LA SEGURIDAD DE LOS SISTEMAS IDENTIFICAR Y ASIGNAR COSTOS EDUCAR Y ENTRENAR A LOS USUARIOS ASISTIR Y ACONSEJAR A LOS CLIENTES DE TECNOLOGÍA DE INFORMACIÓN ADMINISTRAR LA CONFIGURACIÓN ADMINISTRACIÓN DE PROBLEMAS E INCIDENTES ADMINISTRACIÓN DE DATOS ADMINISTRACIÓN DE LAS INSTALACIONES ADMINISTRACIÓN DE LAS OPERACIONES
MDN _ MONITOREAR LOS PROCESOS. _ EVALUAR QUE TAN ADECUADO ES EL CONTROL INTERNO. _ OBTENER ASEGURAMIENTO INDEPENDIENTE. _ PROVEER INDEPENDIENTE. AUDITORÍA
ESTANDARES INTERNACIONALES ISO 17799 (THE INTERNATIONAL ORGANIZATION FOR STANDARDIZATION) ISO 17799 n ES UN CONJUNTO DE CONTROLES QUE PROVEE UNA BASE GENERAL PARA DESARROLLAR ESTÁNDARES Y MEJORES PRÁCTICAS DE SEGURIDAD RECONOCIDO A NIVEL MUNDIAL. n SEGURIDAD DE LA INFORMACIÓN ES CARACTERIZADA POR LA PRESERVACIÓN DE CIA. MDN
BENEFICIOS ISO 17799 * METODOLOGÍA ESTRUCTURADA RECONOCIDA MUNDIALMENTE PROCESO DEFINIDO PARA: 4 IMPLEMENTAR 4 MANTENER 4 ADMINISTRAR A SI. * CONJUTNO COMÚN DE POLÍTICAS , ESTÁNDARRES, PROCEDIMIENTOS Y GUIAS. * LA CERTIFICACIÓN PERMITE A LA ORGANIZACIÓN DEMOSTRAR SU NIVEL DE SEGURIDAD DE LA INFORMACIÓN. MDN
SELECCIONES O CONTROLES ISO 17799 6 6 6 6 6 POLÍTICAS DE SEGURIDAD ORGANIZACIÓN DE LA SEGURIDAD CONTROL Y CLASIFICACIÓN ACTIVOS SEGURIDAD DEL PERSONAL SEGURIDAD FÍSICA Y DEL ENTORNO ADMINISTRACIÓN DE REDES Y OPERACIONES CONTROL DE ACCESO DESARROLLO Y MÉTODOS PLANES DE CONTINUIDAD DEL NEGOCIO CUMPLIMIENTO MDN
MDN GRACIAS POR SU ATENCION MINISTERIO DE DEFENSA NACIONAL OFICINA DE CONTROL INTERNO
- Slides: 64