SlideShare una empresa de Scribd logo

Riesgo Tecnológico.pdf

T
TANIATAMARAMIRANDALO

Documento que salio del sitio oficial de Super Intendencia de Bancos Guatemala relacionados con los riesgos tecnologicos en Guatemala

Tecnología
1 de 26
Descargar para leer sin conexión
Riesgo Tecnológico Programa de Capacitación sobre Gestión de Riesgos con enfoque en seguros Julio de 2017
Presentación elaborada con fines informativos, en el marco del Programa de Educación Financiera. La Superintendencia de Bancos no es responsable por los usos que se dé o las decisiones que se tomen, basadas en la información contenida, ya que ésta no podrá considerarse como asesoría u opinión técnica vinculante. El uso, reproducción, edición, copia, publicación o distribución parcial o total, por cualquier medio, por parte de terceros, deberá contar con autorización de la Superintendencia de Bancos.
Agenda  La Tecnología de la Información  Riesgo Tecnológico  Riesgo Tecnológico Inherente  Gestión del Riesgo Tecnológico  Caso de estudio
La Tecnología de la Información Tecnología de la Información: Es el uso de la tecnología para obtener, procesar, almacenar, transmitir, comunicar y disponer de la información, para dar viabilidad a los procesos de negocio. Sistemas de Información Seguri dad TI
La Tecnología de la Información Aplicaciones • Gestión de Pólizas • Gestión de Reaseguro • Gestión de Clientes • Gestión de Cobros y Pagos Procesos de TI • Gestión de sistemas • Gestión de Continuidad • Gestión de la Infraestructura Procesos de Negocio: • Dirección y Control • Procesos Sustantivos
Agenda  La Tecnología de la Información  Riesgo Tecnológico  Riesgo Tecnológico Inherente  Gestión del Riesgo Tecnológico  Caso de estudio
Riesgo Tecnológico Definición: La contingencia de que la interrupción, alteración, o falla de la infraestructura de TI, sistemas de información, bases de datos y procesos de TI, provoque pérdidas financieras a la institución. Es uno de los componentes de riesgo operacional.
Riesgo Tecnológico: Incidentes de seguridad
Agenda  La Tecnología de la Información  Riesgo Tecnológico  Riesgo Tecnológico Inherente  Gestión del Riesgo Tecnológico  Caso de estudio
Riesgo Tecnológico Inherente • Las decisiones organizacionales conllevan un riesgo inherente o asociado. • El riesgo de dichas decisiones debe identificarse (conocerse), valorarlo y aprender a controlarlo. • El riesgo no es únicamente una potencial amenaza…es una oportunidad de negocio.
Riesgo Tecnológico Inherente Gobierno de TI: • Nivel de alineación estratégica • Brechas de conocimiento del personal de TI • Nivel del ambiente de gestión y control • Estrategias de seguimiento a metas • Nivel de rotación de personal • Etc. Infraestructura de TI: • Nivel antigüedad de la infraestructura • Nivel de integración del hardware • Trafico de información • Dependencia con terceros • Uso de tecnologías (IoT, Cloud, etc.) • Etc. Sistemas de Información • Metodología de ciclo de vida • Integración de los sistemas • Nivel transaccional • Dependencia/Interfaces con terceros • Etc. Continuidad de Operaciones de TI • Alineamiento con el negocio • Capacidad de la estrategia de continuidad • Dependencia con terceros • Etc. Seguridad de TI • Alineamiento con el negocio • Nivel de ataques cibernéticos • Diversidad de ataques internos/externos • Vulnerabilidad de marco de seguridad • Etc.
Riesgo Tecnológico Inherente
Agenda  La Tecnología de la Información  Riesgo Tecnológico  Riesgo Tecnológico Inherente  Gestión del Riesgo Tecnológico  Caso de estudio
Gestión del Riesgo Tecnológico ¿Por qué gestionar el Riesgo Tecnológico? • La tecnología de la información juega un rol importante en el desarrollo de las actividades de las organizaciones. • ¿Pueden hacerse negocios sin el apoyo de la tecnología de la información? • Artículo 55 de la Ley de Bancos y Grupos Financieros • Artículo 29 de la Ley de la Actividad Aseguradora • Normativa prudencial • Normas ISO • Aseguramiento del valor que las tecnologías de la información aportan al negocio. • Marco normativo y de control. • Parte del proceso de gestión de uno de los activos mas importantes de las organizaciones.
Gestión del Riesgo Tecnológico GESTIÓN • Monitorear • Ceder la gestión • Control • Políticas y procedimientos • Regulación • Estándares internacionales • Buenas prácticas ACEPTARLO TRANSFERIRLO MITIGARLO
Gestión del Riesgo Tecnológico La regulación vigente y los estándares internacionales JM-102-2011 JM-120-2011
Gestión del Riesgo Tecnológico: Organización CONSEJO Vela por que se implemente e instruye para que se mantenga una adecuada gestión de riesgos. • Aprobar políticas, procedimientos, PETI, PCO • Conocer reportes de exposición al RT, cambio, evolución y medidas. • Conocer nivel de cumplimiento de las políticas y procedimientos aprobados. • Adoptar medidas correspondientes.
Gestión del Riesgo Tecnológico: Organización COMITÉ • Analizar los reportes que le remita la Unidad, sobre el nivel de exposición al riesgo, cumplimiento y actualización de políticas y PETI, PCO TI. • Definir la estrategia de implementación de políticas. • Reportar al Consejo, al menos semestralmente sobre la exposición al riesgo tecnológico, cumplimiento de políticas y procedimientos aprobados. Evalúa, analiza, propone y dirige la implementación de las directrices del Consejo de Administración.
Gestión del Riesgo Tecnológico: Organización UNIDAD • Monitorea la exposición al riesgo tecnológico. • Analiza el riesgo tecnológico inherente de las innovaciones de TI. • Reporta al comité al menos trimestralmente sobre el nivel de exposición al riesgo, cumplimiento de políticas y procedimientos. • Proponer al comité: PETI, PCO TI y el Manual de RT. Implementa, propone, monitorea.
Gestión del Riesgo Tecnológico: Organización • Plan estratégico de TI: Objetivos alineados a la estrategia del negocio Planes tácticos –proyectos y actividades específicas Presupuesto financiero • Organización de TI Alineada al plan estratégico programas de entrenamiento y capacitación Segregación de funciones Marco de trabajo orientado a procesos • Manual de Administración de Riesgo Tecnológico Políticas y procedimientos para la administración del RT Aprobado por el CA
Gestión del Riesgo Tecnológico • Esquema de la información del negocio. Inventarios de infraestructura de TI, sistemas de información y Bases de Datos. • Administración de las Bases de Datos. • Monitoreo de TI. • Adquisición, mantenimiento e implementación de TI. • Gestión de servicios de TI. • Ciclo de vida de los sistemas de información. Infraestructura de TI, Sistemas de Información, Bases de Datos y Servicios de TI
Gestión del Riesgo Tecnológico • Confidencialidad, integridad y disponibilidad de los datos. • Clasificación de la información • Roles y responsabilidades • Monitoreo de la seguridad • Seguridad física • Seguridad lógica • Copias de respaldo Seguridad de la Tecnología de la Información
Gestión del Riesgo Tecnológico • Operaciones y servicios a través de canales electrónicos. • Seguridad en el intercambio de información. • Registro y bitácora de transacciones-. • Control de la infraestructura. • Protección de datos. Seguridad de la Tecnología de la Información
Gestión del Riesgo Tecnológico • Análisis de Impacto al Negocio (BIA). • Plan de Continuidad del Negocio (BCP). • Plan de Continuidad de Operaciones de TI (DRP). • Revisión, pruebas y actualización de los planes. • Personal clave para la continuidad. • Centro de cómputo alterno. Continuidad de operaciones de TI
Gestión del Riesgo Tecnológico Procesamiento de información y tercerización • Procesamiento de información Dentro o fuera del territorio nacional Contar con un centro de cómputo alterno Personal técnico capacitado Replicación en tiempo real Libre acceso a la SIB • Tercerización Cumplimiento de este reglamento Acuerdos de niveles de servicio Confidencialidad
Gracias

Recomendados

Gestion del riesgo
Gestion del riesgoGestion del riesgo
Gestion del riesgoSafety Control Peru
 
ISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosPrimala Sistema de Gestion
 
Tratamiento de riesgo
Tratamiento de riesgoTratamiento de riesgo
Tratamiento de riesgoAlexander Velasque Rimac
 
iso 27005
iso 27005iso 27005
iso 27005Pamelita TA
 
Iso 31000
Iso 31000Iso 31000
Iso 31000Uro Cacho
 
METODOLOGIA PMI
METODOLOGIA PMIMETODOLOGIA PMI
METODOLOGIA PMIChristian Rochina
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticakyaalena
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 

Recomendados

Gestion del riesgo
Gestion del riesgoGestion del riesgo
Gestion del riesgoSafety Control Peru
 
ISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosISO 31000 2018 Gestion de Riesgos
ISO 31000 2018 Gestion de RiesgosPrimala Sistema de Gestion
 
Tratamiento de riesgo
Tratamiento de riesgoTratamiento de riesgo
Tratamiento de riesgoAlexander Velasque Rimac
 
iso 27005
iso 27005iso 27005
iso 27005Pamelita TA
 
Iso 31000
Iso 31000Iso 31000
Iso 31000Uro Cacho
 
METODOLOGIA PMI
METODOLOGIA PMIMETODOLOGIA PMI
METODOLOGIA PMIChristian Rochina
 
Politicas de seguridad informatica
Politicas de seguridad informaticaPoliticas de seguridad informatica
Politicas de seguridad informaticakyaalena
 
Gestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónGestión del riesgos de seguridad de la información
Gestión del riesgos de seguridad de la informaciónROBERTH CHAVEZ
 
Gestión de riesgos (diapositivas)
Gestión de riesgos (diapositivas)Gestión de riesgos (diapositivas)
Gestión de riesgos (diapositivas)Daniela Noreña Alzate
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Arquitectura empresarial
Arquitectura empresarialArquitectura empresarial
Arquitectura empresarialSistemas Integrados de Gestión
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Administración del riesgo
Administración del riesgoAdministración del riesgo
Administración del riesgoSebastian García Mejía
 
Gobierno de TI
Gobierno de TIGobierno de TI
Gobierno de TIDoris Suquilanda
 
Gestión de los riesgos del proyecto
Gestión de los riesgos del proyectoGestión de los riesgos del proyecto
Gestión de los riesgos del proyectovanejv31
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Manual continuidad negocio
Manual continuidad negocioManual continuidad negocio
Manual continuidad negocioLeonardo Lenin Banegas Barahona
 
Marco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgoMarco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgoMaría D Pérez H
 
Adquirir Implementar Cobit4
Adquirir Implementar Cobit4Adquirir Implementar Cobit4
Adquirir Implementar Cobit4Luis Enrique Castillo Leon
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...PECB
 
Auditorias ambientales
Auditorias ambientalesAuditorias ambientales
Auditorias ambientalesANTERO VASQUEZ GARCIA
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Guía del PMBOK® > Gestión de la Calidad
Guía del PMBOK® > Gestión de la CalidadGuía del PMBOK® > Gestión de la Calidad
Guía del PMBOK® > Gestión de la CalidadDharma Consulting
 
Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018 Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018 PECB
 
Análisis de riesgo o gestión de pérdidas
Análisis de riesgo o gestión de pérdidasAnálisis de riesgo o gestión de pérdidas
Análisis de riesgo o gestión de pérdidasUniversidade Federal Fluminense
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 
CRISC Course Preview
CRISC Course PreviewCRISC Course Preview
CRISC Course PreviewInvensis Learning
 
Gobierno TI
Gobierno TIGobierno TI
Gobierno TIPilar Pardo Hidalgo
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De CobitCarmen Rios Zapata
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Saeta de Dios
 

Más contenido relacionado

La actualidad más candente

La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informáticaRaúl Díaz
 
Gestión de los riesgos del proyecto
Gestión de los riesgos del proyectoGestión de los riesgos del proyecto
Gestión de los riesgos del proyectovanejv31
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad InformáticaJose Manuel Acosta
 
Marco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgoMarco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgoMaría D Pérez H
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...PECB
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de RiesgosRamiro Cid
 
Guía del PMBOK® > Gestión de la Calidad
Guía del PMBOK® > Gestión de la CalidadGuía del PMBOK® > Gestión de la Calidad
Guía del PMBOK® > Gestión de la CalidadDharma Consulting
 
Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018 Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018 PECB
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de tiLeo Gomez
 

La actualidad más candente (20)

Gestión de riesgos (diapositivas)
Gestión de riesgos (diapositivas)Gestión de riesgos (diapositivas)
Gestión de riesgos (diapositivas)
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la Información
 
Arquitectura empresarial
Arquitectura empresarialArquitectura empresarial
Arquitectura empresarial
 
Proyectos de seguridad informática
Proyectos de seguridad informáticaProyectos de seguridad informática
Proyectos de seguridad informática
 
Administración del riesgo
Administración del riesgoAdministración del riesgo
Administración del riesgo
 
Gobierno de TI
Gobierno de TIGobierno de TI
Gobierno de TI
 
Gestión de los riesgos del proyecto
Gestión de los riesgos del proyectoGestión de los riesgos del proyecto
Gestión de los riesgos del proyecto
 
Politicas de Seguridad Informática
Politicas de Seguridad InformáticaPoliticas de Seguridad Informática
Politicas de Seguridad Informática
 
Manual continuidad negocio
Manual continuidad negocioManual continuidad negocio
Manual continuidad negocio
 
Marco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgoMarco de referencia para la gestión del riesgo
Marco de referencia para la gestión del riesgo
 
Adquirir Implementar Cobit4
Adquirir Implementar Cobit4Adquirir Implementar Cobit4
Adquirir Implementar Cobit4
 
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
How Can ISO/IEC 27001 Help Organizations Align With the EU Cybersecurity Regu...
 
Auditorias ambientales
Auditorias ambientalesAuditorias ambientales
Auditorias ambientales
 
Análisis de Riesgos
Análisis de RiesgosAnálisis de Riesgos
Análisis de Riesgos
 
Guía del PMBOK® > Gestión de la Calidad
Guía del PMBOK® > Gestión de la CalidadGuía del PMBOK® > Gestión de la Calidad
Guía del PMBOK® > Gestión de la Calidad
 
Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018 Principales cambios de la norma ISO31000:2018
Principales cambios de la norma ISO31000:2018
 
Análisis de riesgo o gestión de pérdidas
Análisis de riesgo o gestión de pérdidasAnálisis de riesgo o gestión de pérdidas
Análisis de riesgo o gestión de pérdidas
 
Riesgo de ti
Riesgo de tiRiesgo de ti
Riesgo de ti
 
CRISC Course Preview
CRISC Course PreviewCRISC Course Preview
CRISC Course Preview
 
Gobierno TI
Gobierno TIGobierno TI
Gobierno TI
 

Similar a Riesgo Tecnológico.pdf

Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Saeta de Dios
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Iestp Instituto Superior
 
seguridad_informática.pptx
seguridad_informática.pptxseguridad_informática.pptx
seguridad_informática.pptxInesA33
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacionhvillas
 
perfil del auditor informatico
perfil del auditor informaticoperfil del auditor informatico
perfil del auditor informaticoYovani Morales
 
El perfil del auditor informático
El perfil del auditor informáticoEl perfil del auditor informático
El perfil del auditor informáticoYovani Morales
 
1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacioncmardones
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMiguel Cabrera
 
Gobierno de la Información - E-GISART, ISACA Buenos Aires Chapter
Gobierno de la Información - E-GISART, ISACA Buenos Aires ChapterGobierno de la Información - E-GISART, ISACA Buenos Aires Chapter
Gobierno de la Información - E-GISART, ISACA Buenos Aires ChapterFabián Descalzo
 
FORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFabián Descalzo
 
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...Luis Fernando Aguas Bucheli
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIOptimizaTI
 

Similar a Riesgo Tecnológico.pdf (20)

Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De Cobit
 
Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]Rt impacto panama [modo de compatibilidad]
Rt impacto panama [modo de compatibilidad]
 
Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799Seguridad y auditoria informatica, iso 17799
Seguridad y auditoria informatica, iso 17799
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Tarea SIA 17.05.2012
Tarea SIA 17.05.2012Tarea SIA 17.05.2012
Tarea SIA 17.05.2012
 
Seguridad
SeguridadSeguridad
Seguridad
 
información Segura
información Segurainformación Segura
información Segura
 
seguridad_informática.pptx
seguridad_informática.pptxseguridad_informática.pptx
seguridad_informática.pptx
 
Seguridaddela informacion
Seguridaddela informacionSeguridaddela informacion
Seguridaddela informacion
 
perfil del auditor informatico
perfil del auditor informaticoperfil del auditor informatico
perfil del auditor informatico
 
El perfil del auditor informático
El perfil del auditor informáticoEl perfil del auditor informático
El perfil del auditor informático
 
Conferencia
ConferenciaConferencia
Conferencia
 
1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion1 tecnologias de la informacion y la comunicacion
1 tecnologias de la informacion y la comunicacion
 
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓNMARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
MARCO DE REFERENCIA SEGURIDAD DE INFORMACIÓN
 
Gobierno de la Información - E-GISART, ISACA Buenos Aires Chapter
Gobierno de la Información - E-GISART, ISACA Buenos Aires ChapterGobierno de la Información - E-GISART, ISACA Buenos Aires Chapter
Gobierno de la Información - E-GISART, ISACA Buenos Aires Chapter
 
Conferencia
ConferenciaConferencia
Conferencia
 
FORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de segurosFORUM - Proteccion de datos en la industria de seguros
FORUM - Proteccion de datos en la industria de seguros
 
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
10 - Unidad 3: Marcos de Referencia para Seguridad de la Información - 3.2 IS...
 
Cobit
CobitCobit
Cobit
 
Portafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TIPortafolios Servicios - Optimiza TI
Portafolios Servicios - Optimiza TI
 

Último

Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxaylincamaho
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxpabonheidy28
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELmaryfer27m
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxJOSEMANUELHERNANDEZH11
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfSergioMendoza354770
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofJuancarlosHuertasNio1
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafiosFundación YOD YOD
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxNombre Apellidos
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA241531640
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaarkananubis
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxazmysanros90
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...JaquelineJuarez15
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...FacuMeza2
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptMiguelAtencio10
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesFundación YOD YOD
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativaAdrianaMartnez618894
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdfIsabellaMontaomurill
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersIván López Martín
 

Último (20)

Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptxMedidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
Medidas de formas, coeficiente de asimetría y coeficiente de curtosis.pptx
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Plan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docxPlan de aula informatica segundo periodo.docx
Plan de aula informatica segundo periodo.docx
 
El uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFELEl uso delas tic en la vida cotidiana MFEL
El uso delas tic en la vida cotidiana MFEL
 
Hernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptxHernandez_Hernandez_Practica web de la sesion 12.pptx
Hernandez_Hernandez_Practica web de la sesion 12.pptx
 
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdfPARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
PARTES DE UN OSCILOSCOPIO ANALOGICO .pdf
 
ejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sofejercicios pseint para aprogramacion sof
ejercicios pseint para aprogramacion sof
 
La era de la educación digital y sus desafios
La era de la educación digital y sus desafiosLa era de la educación digital y sus desafios
La era de la educación digital y sus desafios
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptxCrear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
Crear un recurso multimedia. Maricela_Ponce_DomingoM1S3AI6-1.pptx
 
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIAActividad integradora 6 CREAR UN RECURSO MULTIMEDIA
Actividad integradora 6 CREAR UN RECURSO MULTIMEDIA
 
R1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en minaR1600G CAT Variables de cargadores en mina
R1600G CAT Variables de cargadores en mina
 
tics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptxtics en la vida cotidiana prepa en linea modulo 1.pptx
tics en la vida cotidiana prepa en linea modulo 1.pptx
 
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
El gusano informático Morris (1988) - Julio Ardita (1995) - Citizenfour (2014...
 
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
ATAJOS DE WINDOWS. Los diferentes atajos para utilizar en windows y ser más e...
 
dokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.pptdokumen.tips_36274588-sistema-heui-eui.ppt
dokumen.tips_36274588-sistema-heui-eui.ppt
 
KELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento ProtégelesKELA Presentacion Costa Rica 2024 - evento Protégeles
KELA Presentacion Costa Rica 2024 - evento Protégeles
 
definicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativadefinicion segun autores de matemáticas educativa
definicion segun autores de matemáticas educativa
 
trabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdftrabajotecologiaisabella-240424003133-8f126965.pdf
trabajotecologiaisabella-240424003133-8f126965.pdf
 
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 TestcontainersSalmorejoTech 2024 - Spring Boot <3 Testcontainers
SalmorejoTech 2024 - Spring Boot <3 Testcontainers
 

Riesgo Tecnológico.pdf

  • 1. Riesgo Tecnológico Programa de Capacitación sobre Gestión de Riesgos con enfoque en seguros Julio de 2017
  • 2. Presentación elaborada con fines informativos, en el marco del Programa de Educación Financiera. La Superintendencia de Bancos no es responsable por los usos que se dé o las decisiones que se tomen, basadas en la información contenida, ya que ésta no podrá considerarse como asesoría u opinión técnica vinculante. El uso, reproducción, edición, copia, publicación o distribución parcial o total, por cualquier medio, por parte de terceros, deberá contar con autorización de la Superintendencia de Bancos.
  • 3. Agenda  La Tecnología de la Información  Riesgo Tecnológico  Riesgo Tecnológico Inherente  Gestión del Riesgo Tecnológico  Caso de estudio
  • 4. La Tecnología de la Información Tecnología de la Información: Es el uso de la tecnología para obtener, procesar, almacenar, transmitir, comunicar y disponer de la información, para dar viabilidad a los procesos de negocio. Sistemas de Información Seguri dad TI
  • 5. La Tecnología de la Información Aplicaciones • Gestión de Pólizas • Gestión de Reaseguro • Gestión de Clientes • Gestión de Cobros y Pagos Procesos de TI • Gestión de sistemas • Gestión de Continuidad • Gestión de la Infraestructura Procesos de Negocio: • Dirección y Control • Procesos Sustantivos
  • 6. Agenda  La Tecnología de la Información  Riesgo Tecnológico  Riesgo Tecnológico Inherente  Gestión del Riesgo Tecnológico  Caso de estudio
  • 7. Riesgo Tecnológico Definición: La contingencia de que la interrupción, alteración, o falla de la infraestructura de TI, sistemas de información, bases de datos y procesos de TI, provoque pérdidas financieras a la institución. Es uno de los componentes de riesgo operacional.
  • 9. Agenda  La Tecnología de la Información  Riesgo Tecnológico  Riesgo Tecnológico Inherente  Gestión del Riesgo Tecnológico  Caso de estudio
  • 10. Riesgo Tecnológico Inherente • Las decisiones organizacionales conllevan un riesgo inherente o asociado. • El riesgo de dichas decisiones debe identificarse (conocerse), valorarlo y aprender a controlarlo. • El riesgo no es únicamente una potencial amenaza…es una oportunidad de negocio.
  • 11. Riesgo Tecnológico Inherente Gobierno de TI: • Nivel de alineación estratégica • Brechas de conocimiento del personal de TI • Nivel del ambiente de gestión y control • Estrategias de seguimiento a metas • Nivel de rotación de personal • Etc. Infraestructura de TI: • Nivel antigüedad de la infraestructura • Nivel de integración del hardware • Trafico de información • Dependencia con terceros • Uso de tecnologías (IoT, Cloud, etc.) • Etc. Sistemas de Información • Metodología de ciclo de vida • Integración de los sistemas • Nivel transaccional • Dependencia/Interfaces con terceros • Etc. Continuidad de Operaciones de TI • Alineamiento con el negocio • Capacidad de la estrategia de continuidad • Dependencia con terceros • Etc. Seguridad de TI • Alineamiento con el negocio • Nivel de ataques cibernéticos • Diversidad de ataques internos/externos • Vulnerabilidad de marco de seguridad • Etc.
  • 13. Agenda  La Tecnología de la Información  Riesgo Tecnológico  Riesgo Tecnológico Inherente  Gestión del Riesgo Tecnológico  Caso de estudio
  • 14. Gestión del Riesgo Tecnológico ¿Por qué gestionar el Riesgo Tecnológico? • La tecnología de la información juega un rol importante en el desarrollo de las actividades de las organizaciones. • ¿Pueden hacerse negocios sin el apoyo de la tecnología de la información? • Artículo 55 de la Ley de Bancos y Grupos Financieros • Artículo 29 de la Ley de la Actividad Aseguradora • Normativa prudencial • Normas ISO • Aseguramiento del valor que las tecnologías de la información aportan al negocio. • Marco normativo y de control. • Parte del proceso de gestión de uno de los activos mas importantes de las organizaciones.
  • 15. Gestión del Riesgo Tecnológico GESTIÓN • Monitorear • Ceder la gestión • Control • Políticas y procedimientos • Regulación • Estándares internacionales • Buenas prácticas ACEPTARLO TRANSFERIRLO MITIGARLO
  • 16. Gestión del Riesgo Tecnológico La regulación vigente y los estándares internacionales JM-102-2011 JM-120-2011
  • 17. Gestión del Riesgo Tecnológico: Organización CONSEJO Vela por que se implemente e instruye para que se mantenga una adecuada gestión de riesgos. • Aprobar políticas, procedimientos, PETI, PCO • Conocer reportes de exposición al RT, cambio, evolución y medidas. • Conocer nivel de cumplimiento de las políticas y procedimientos aprobados. • Adoptar medidas correspondientes.
  • 18. Gestión del Riesgo Tecnológico: Organización COMITÉ • Analizar los reportes que le remita la Unidad, sobre el nivel de exposición al riesgo, cumplimiento y actualización de políticas y PETI, PCO TI. • Definir la estrategia de implementación de políticas. • Reportar al Consejo, al menos semestralmente sobre la exposición al riesgo tecnológico, cumplimiento de políticas y procedimientos aprobados. Evalúa, analiza, propone y dirige la implementación de las directrices del Consejo de Administración.
  • 19. Gestión del Riesgo Tecnológico: Organización UNIDAD • Monitorea la exposición al riesgo tecnológico. • Analiza el riesgo tecnológico inherente de las innovaciones de TI. • Reporta al comité al menos trimestralmente sobre el nivel de exposición al riesgo, cumplimiento de políticas y procedimientos. • Proponer al comité: PETI, PCO TI y el Manual de RT. Implementa, propone, monitorea.
  • 20. Gestión del Riesgo Tecnológico: Organización • Plan estratégico de TI: Objetivos alineados a la estrategia del negocio Planes tácticos –proyectos y actividades específicas Presupuesto financiero • Organización de TI Alineada al plan estratégico programas de entrenamiento y capacitación Segregación de funciones Marco de trabajo orientado a procesos • Manual de Administración de Riesgo Tecnológico Políticas y procedimientos para la administración del RT Aprobado por el CA
  • 21. Gestión del Riesgo Tecnológico • Esquema de la información del negocio. Inventarios de infraestructura de TI, sistemas de información y Bases de Datos. • Administración de las Bases de Datos. • Monitoreo de TI. • Adquisición, mantenimiento e implementación de TI. • Gestión de servicios de TI. • Ciclo de vida de los sistemas de información. Infraestructura de TI, Sistemas de Información, Bases de Datos y Servicios de TI
  • 22. Gestión del Riesgo Tecnológico • Confidencialidad, integridad y disponibilidad de los datos. • Clasificación de la información • Roles y responsabilidades • Monitoreo de la seguridad • Seguridad física • Seguridad lógica • Copias de respaldo Seguridad de la Tecnología de la Información
  • 23. Gestión del Riesgo Tecnológico • Operaciones y servicios a través de canales electrónicos. • Seguridad en el intercambio de información. • Registro y bitácora de transacciones-. • Control de la infraestructura. • Protección de datos. Seguridad de la Tecnología de la Información
  • 24. Gestión del Riesgo Tecnológico • Análisis de Impacto al Negocio (BIA). • Plan de Continuidad del Negocio (BCP). • Plan de Continuidad de Operaciones de TI (DRP). • Revisión, pruebas y actualización de los planes. • Personal clave para la continuidad. • Centro de cómputo alterno. Continuidad de operaciones de TI
  • 25. Gestión del Riesgo Tecnológico Procesamiento de información y tercerización • Procesamiento de información Dentro o fuera del territorio nacional Contar con un centro de cómputo alterno Personal técnico capacitado Replicación en tiempo real Libre acceso a la SIB • Tercerización Cumplimiento de este reglamento Acuerdos de niveles de servicio Confidencialidad