Академический Документы
Профессиональный Документы
Культура Документы
Autocontrol y
Administración de Riesgos
Oficina Informática
Administración de riesgos.
Decreto 1537/2001.
• ÁREA RESPONSABLE
• OFICINA CONTROL INTERNO
• REVALUAR ASPECTOS
INTERNOS – EXTERNOS
• REPRESENTEN AMENAZAS
• CONSECUCIÓN OBJETIVOS
• IDENTIFICAR ANALIZAR
EVALUAR MONITOREAR,
COMUNICAR RIESGOS
ASOCIADOS AL PROCESO.
FACTORES EXTERNOS
RECORTES NORMATIVIDAD
PRESUPUESTALES FACTORES INTERNOS
POLÍTICAS
ENTIDAD
JURISPRU-
DENCIA
TECNOLÓGICOS
TALENTO MANEJO
HUMANO RECURSOS
ORGANIZACIÓN
REFORMAS
ORDEN PÚBLICO ADMINISTRACIÓN
PROCESOS Y
PROCEDIMIENTOS
ACCIDENTES DESASTRES
LABORALES NATURALES
Proceso Administración
Proactiva de riesgos MDN
IDENTIFICACIÓN Y SEGUIMIENTO
ADMINISTRACIÓN DURANTE MONITOREAR
TODAS ETAPAS PROYECTO
PROCESO
Proceso Administración
MDN
Proactiva de riesgos
Razones o causas
. CARACTERÍSTICAS POSIBLES
EFECTOS
Administración de Riesgos
Seguridad Informática - Activos MDN
Hardware
Software Datos
Medios de almacenamiento
Redes
Acceso
Gente clave
Seguridad en Redes – Activos MDN
MDN
(Componentes)
Hardware
Servidores, estaciones cliente, dispositivos de
comunicación (router, bridge, hub, gateway,
modem), dispositivos periférico, cables, fibras
Software (o Servicios)
Sistemas operativos de red, sistemas operativos en
estaciones cliente, aplicaciones, herramientas
(administrativas, mantenimiento, backup), software
bajo desarrollo.
Seguridad en Redes – Activos MDN
Datos
De la organización: bases de datos, hojas electrónicas,
Naturales
Accidentales
Deliberadas
Seguridad Informática –
Vulnerabilidades MDN
Vulnerabilidades
Interrupción (Negación del
Servicio) Intercepción (Robo)
Hardware
Destrucción
Agua, Fuego, Problemas de potencia, Alimentos, Ratones,
Cenizas, Ataques físicos, Bombas
Robo
Seguridad Informática –
Continuación………. Vulnerabilidades MDN
Robo Datos
Confidencialidad – líneas
derivadas, recipientes de
basura, soborno a empleados Interrupción (Perdida)
claves, inferencia, Intercepción
preguntando, compra
Modificación
Programas maliciosos – Fabricación
Técnica de salami, utilidades
del sistema de archivos,
facilidades de comunicación
defectuosas
Reprocesamiento de datos
utilizados, adicionar registros
en una base de datos
Análisis de Riesgo MDN
O
B Establecer:
J Valoración priorización
E
Clasificar – proveer información nivel de riesgo
T
Y acciones a implementar
O
Probabilidad:
Posibilidad de ocurrencia.
Para realizar
Análisis: Impacto:
Consecuencias de la
materialización del Riesgo
Seguridad en redes – Impactos
Significativos MDN
Violación de la privacidad
Demandas legales
Perdida de tecnología propietaria
Multas
Perdida de confianza
Decisiones erróneas
CUALITATIVO:
UTILIZACIÓN DE FORMAS DESCRIPTIVAS MDN
CUANTITATIVO:
UTILIZACIÓN DE VALORES NUMÉRICOS
DEPENDE DE LA EXACTITUD Y CALIDAD
DE LAS CIFRAS UTILIZADAS.
CUALITATIVO:
P
R 3 Alto 3 C D 9
O R E
B I L
A 2 Medio 2 T 6
B I R
C I
I
L 1 Bajo 1 I
D
E
S
3
I A G
D 1 2 3 D O
1 2 3
A IMPACTO EN LA SITUACION ACTUAL-
D ORGANIZACION CONTROL INTERNO
1 Es poco probable que 1 Sería de bajo impacto 1 Cubre en gran parte el riesgo
ocurra 2 Sería de mediano 2 Cubre medianamente el riesgo
2 Es medianamente probable impacto 3 No existe ningún tipo de
que ocurra 3 Sería de alto impacto medida
3 Es altamente probable que
ocurra
Determinación del Nivel del
MDN
Riesgo
CONTROLES
EXISTENTES PARA
IMPACTO LOS PROCESOS Y
PROBABILIDAD PROCEDIMIENTOS,
DENTRO DE LA
ORGANIZACIÓN.
LA SELECCIÓN DE ACCIONES
DEPENDE DE:
Politícas, Estándares,
Procedimientos,
Guías, Controles Técnicos
Entrenamiento
Acceso lógico,
controles,
encripción,
dispositivos Controles físicos
de seguridad,
Identificación y Protección
autenticación de instalaciones,
Guardias, candados,
Monitoreo,
Controles ambientales
Manejo de Riesgo MDN
Evitar
Reducir
Dispersar y atomizar
Transferir
Asumir
Monitoreo y Evaluación MDN
Factores
Nuevas Normas
Rediseño Procesos Evaluar Riesgos
Tecnología
Sistemas De Información Efectividad Controles
Ocurrencia Fraudes
Nuevos Proyectos Autoevaluación
Incremento Quejas
Reestructuraciones
Responsabilidades Relacionadas
con la Administración del Riesgo MDN
RESPONSABLE ACTIVIDAD
COMANDANTE GENERAL FUERZAS DETERMINAR POLÍTICAS ESPECÍFICAS
MILITARES. ADMINISTRACIÓN RIESGOS DE
CONFORMIDAD NATURALEZA Y MISIÓN.
COMANDANTE EJÉRCITO, ARMADA Y
FUERZA AÉREA.
DIRECTOR POLICÍA NACIONAL.
SECRETARIO GENERAL.
JEFES DEPENDENCIAS MDN.
REPRESENTANTE LEGAL ENTIDADES
ADSCRITAS Y VINCULADAS.
OFICINAS CONTROL INTERNO BRINDAR ASESORÍA EQUIPOS TRABAJO Y
DEPENDENCIAS MINISTERIO DE A RESPONSABLES ÁREAS Y PROCESOS EN
DEFENSA NACIONAL Y ENTIDADES ADMINISTRACIÓN DE RIESGOS.
ENTIDADES ADSCRITAS Y VINCULADAS.
Responsabilidades Relacionadas
con la Administración del Riesgo
Continuación……….
MDN
RESPONSABLE ACTIVIDAD
EQUIPO TRABAJO CADA ENTIDAD. PLANEAR EN FORMA COORDINADA Y
ARMÓNICA DESARROLLO PROCESO
ADMINISTRACIÓN RIESGOS EN
DEPENDENCIAS Y ENTIDADES.
D
EP
EN
DE
NCI
A O
ENT
I
D A
DDE
SC
EN
TR
AL
IZA
DA
: P
ROC
ES
O:
M
I
N I
S T
ERI
O D
EDE
FE
NS
ANA
CI
O N
AL P
ROC
ED
IMI
E N
TO
:
O
FI
C I
N A
,D
I
R E
CCI
Ó N
,G
RU
POO
SUE
QUI
V A
LE
NT
E: A
MB I
E N
TE T
ECN
O L
ÓG I
C O(M an
ua
l,S is
t
ema
t
iza
do
p
ar
cialm
en
t
e oS
is
t
emat
izado
Tot
a lm
en
te)
:
M
AP
ADE
RI
E S
GOS N
I
V E
LES
TR
UC
TU
RA
CI
Ó N
MAP
ADE
RI
E S
GOS
D
OC U
MENTAD
O EN MAN
UA
L DE
G
LO
BA
LDE
LAD
EP
EN
DE
NCI
A O
ENT
I
D A
D__
__
_ P
RO C
ED
IMI
E N
TO
SDEL
A E
NT
IDA
D (
Par
cia
l o
I
D E
NT
IFI
C A
CI
Ó N Y
VAL
ORA
CI
Ó ND
ERI
E S
GOS T
ot
alm
en
t
e):
A C
TI
V I
D A
DE
SDEC
ON T
ROL PR
OC
ES
OS _
__
__
_
P
ROY
EC
TO
S _
__
__
_
NIVEL DE
No. DESCRIPCIÓN DEL RIESGO POSIBLES CONSECUENCIAS RIESGO ACCIÓN DE CONTROL RESPONSABLE INDICADOR
Informáticos
Identificación Necesidades
Viabilidad Técnica - Económica
Planeación Definición Alternativas
Criterios De Selección
Hardware
Especificaciones Dimensionamiento
Técnicas Tecnología
Compatibilidad
Adecuaciones Locativas
Requisitos Ambientales Y
Técnicos
Autocontrol - Adquisición y
Recepción de Recursos Informáticos MDN
Software
Especificaciones
Funciones Básicas
Requerimientos De Software
Técnicas Versión
Licencias De Uso
Soporte Vendedor
Procedimientos de operación
Control de fallas
Seguros
Autocontrol - Aplicaciones
MDN
en Funcionamiento
Origen y Preparación de Datos
Recursos Criticos
Procedimientos de Emergencia
Procedimientos de Respaldo
Autocontrol - Controles
MDN
Ambientales y Seguridades Físicas
Planes politicas
Responsables seguridad
Ubicación física
Acceso físico
Medidas protección incendios - inundaciones
Autocontrol, Control y Seguridad
Datos y Software MDN
Documentación
Suficiencia,
Manual técnico
disponibilidad,
calidad y
Manual de usuario
actualidad
Autocontrol - Aplicaciones
MDN
en Funcionamiento
Archivos de Datos
Perfil de autorización
Copias de archivos
Ubicación y organización física de los
archivos
Autocontrol - Aplicaciones
MDN
en Funcionamiento
Acceso y Seguridades de los
Programas
Pruebas
Autorización
Proceso de catalogación de cambios
Rastro pistas de los cambios
Actualización de documentación
Autocontrol - Aplicaciones
MDN
en Funcionamiento
Backup y Recuperación
cancelación de procesos
Autocontrol - Aplicaciones
MDN
en Funcionamiento
Satisfacción del Usuario
Se evaluará la aplicación o sistema de
información en relación con:
Sus expectativas
Exactitud y confiabilidad del procesamiento de
información
Relación costo-beneficio (Dllo. y Operación)
Eficiencia técnica
Cumplimiento normas convenciones
codificación
MDN
AUDITORÍA
PRUEBAS DE PENETRACIÓN
República de Colombia
Ministerio de Defensa Nacional
MDN
ASPECTOS A RESALTAR
SEMINARIO EVALUACION
DE LA SEGURIDAD EN TI,
COBIT E ISO 17799
EXACTITUD Y COMPLETITUD
INTEGRIDAD
VALIDEZ
AHORA Y EN FUTURO
DISPONIBILIDAD
SALVAGUARDA DE RECURSOS Y
CAPACIDAD
DE LOS RECURSOS DE TI.
AMENAZAS A LA SEGURIDAD MDN
INTERRUPCIÓN
INTERCEPTACIÓN
MODIFICACIÓN
FABRICACIÓN
MDN
COBIT
INFORMACION
•EFECTIVIDAD
•EFICIENCIA
•CONFIDENCIALIDAD
•INTEGRIDAD
MONITOREO •DISPONIBILIDAD
•CUMPLIMIENTO PLANEACION Y
•CONFIABILIDAD ORGANIZACION
RECURSOS DE TI
• DATOS
• APLICACIONES
ENTREGA Y
• TECNOLOGIA
SOPORTE • INSTALACIONES
• PERSONAS ADQUISICION E
IMPLEMENTACION
MDN
ALTO
NIVEL
D
AI DS
E
PO M T
A
4 DOMINIOS L
DE TI L
(MACROPROCESOS) E
34 SUBDOMINIOS S
(PROCESOS)
318 OBJETIVOS
DE CONTROL
34 GUÍAS DE AUDITORÍA
EN 376 PASOS
MDN
DOMINIO 1: PLANEACIÓN Y
ORGANIZACIÓN
ADMINISTRACIÓN CAMBIOS.
MDN
OBTENER ASEGURAMIENTO
INDEPENDIENTE.
PROVEER AUDITORÍA
INDEPENDIENTE.
ESTANDARES INTERNACIONALES
ISO 17799 MDN
ISO 17799
ES UN CONJUNTO DE CONTROLES QUE
PROVEE UNA BASE GENERAL PARA
DESARROLLAR ESTÁNDARES Y MEJORES
PRÁCTICAS DE SEGURIDAD RECONOCIDO A
NIVEL MUNDIAL.
SEGURIDAD DE LA INFORMACIÓN ES
CARACTERIZADA POR LA PRESERVACIÓN
DE CIA.
BENEFICIOS
ISO 17799 MDN
IMPLEMENTAR
MANTENER
ADMINISTRAR A SI.
POLÍTICAS DE SEGURIDAD
ORGANIZACIÓN DE LA SEGURIDAD
CONTROL Y CLASIFICACIÓN ACTIVOS
SEGURIDAD DEL PERSONAL
SEGURIDAD FÍSICA Y DEL ENTORNO
ADMINISTRACIÓN DE REDES Y OPERACIONES
CONTROL DE ACCESO
DESARROLLO Y MÉTODOS
PLANES DE CONTINUIDAD DEL NEGOCIO
CUMPLIMIENTO
MDN
MDN
GRACIAS POR
SU ATENCION