CIGRAS 2015 - Caso de Exito COBIT 5 Una experiencia práctica - Pablo Caneo
Summary
TLDREl guion habla sobre una Cooperativa de ahorro y crédito fundada en 1963, que busca mejorar las condiciones de vida de sus socios a través de servicios financieros. Se discute la importancia de la gestión de riesgos, la implementación de medidas para enfrentar desafíos como la pandemia y la regulación por parte del Ministerio de Economía. Se destaca la creación de un flujograma de procesos, la identificación de escenarios de riesgo y la realización de auditorías para mejorar la seguridad y cumplimiento normativo, con recomendaciones para fortalecer la continuidad operativa y la protección de la información.
Takeaways
- 😀 La presentación trata sobre una cooperativa de ahorro y crédito fundada en 1963, con el objetivo de mejorar las condiciones de vida de sus socios mediante servicios financieros.
- 🏦 La cooperativa está regulada por el Ministerio de Economía, Fomento y Reconstrucción de Chile y también por la Superintendencia de Bancos e Instituciones Financieras, lo que indica un alto nivel de control y regulación.
- 👥 La cooperativa cuenta con 7000 socios y 52 colaboradores, y su capital es de 28 millones de dólares, destacando su relevancia en el ámbito financiero chileno.
- 📈 Se enfatiza en la gestión de riesgos como parte fundamental de la operación de la cooperativa, siguiendo principios y normativas establecidas desde su fundación.
- 📊 Se describe un método estructurado para identificar y gestionar riesgos, que incluye la creación de diagramas de procesos, análisis de roles y responsabilidades, y la definición de escenarios de riesgo.
- 📋 Se menciona la importancia de la documentación y el control de versiones para garantizar la conformidad con las normativas y el manejo adecuado de los riesgos.
- 🔒 Se aborda la importancia de la seguridad de la información y la necesidad de contar con políticas y procedimientos claros para proteger los datos de la cooperativa.
- 📉 Se destacan los escenarios de riesgo específicos como la fuga de información y el cumplimiento legal, y cómo la cooperativa ha establecido controles para mitigar estos riesgos.
- 📝 Se sugiere la implementación de medidas como planes de contingencia, comités de revisión anual y la formalización de políticas para mejorar la gestión de riesgos.
- 🏗️ La presentación fue preparada como resultado de un diplomado en Gestión de Riesgos, evidenciando el compromiso de la cooperativa con la educación y el desarrollo de sus directivos.
Q & A
¿Qué es una cooperativa de ahorro y crédito y cuál es su función principal?
-Una cooperativa de ahorro y crédito es una entidad que brinda servicios de intermediación financiera con el objetivo de mejorar las condiciones de vida de sus socios. Su función principal es administrar el ahorro de los socios y proporcionar créditos a tasas beneficiosas, especialmente a personas que no tienen fácil acceso al mercado financiero debido a sus niveles de renta o compromisos.
¿Cuál es el origen de la cooperativa mencionada en el guion y en qué año fue fundada?
-La cooperativa mencionada en el guion tiene sus raíces en la encíclica 'León 13' y fue fundada en el año 1963.
¿Cómo se rige la normativa de las cooperativas en Chile y cuál es el papel del Ministerio de Economía, Fomento y Reconstrucción?
-En Chile, las cooperativas dependen del Ministerio de Economía, Fomento y Reconstrucción, que establece la normativa para su funcionamiento. Además, hay siete cooperativas que también están reguladas por la Superintendencia de Bancos e Instituciones Financieras, lo que implica un control más estricto y similar al de las entidades financieras formales.
¿Cuál es el capital de la cooperativa descrita en el guion y cuántos socios y colaboradores tiene?
-La cooperativa tiene un capital de 28 millones de dólares, cuenta con 7000 socios y 52 colaboradores.
¿Qué cambios se realizaron en la cooperativa para adaptarse a los desafíos planteados por la COVID-19?
-Para adaptarse a los desafíos de la COVID-19, la cooperativa identificó y priorizó los escenarios de riesgo más relevantes, realizó una revisión de cumplimiento según estos escenarios, y estableció una matriz de riesgo y efectos de mitigación. También se enfatizó la importancia de la gestión de riesgo y se implementaron controles críticos para mitigar los riesgos.
¿Qué es el proceso de retiro de capital dentro de la cooperativa y cuál es su objetivo?
-El proceso de retiro de capital es cuando un socio desea retirar parte de su participación en la cooperativa. Su objetivo es evaluar las solicitudes de retiro de capital en base a las condiciones establecidas y realizar las operaciones de manera segura y exenta de errores.
¿Cómo se identifican y evalúan los roles y responsabilidades dentro de la cooperativa según el guion?
-Se utiliza una matriz RACI (Responsable, Aprobador, Consultado, Informado) para definir los roles y responsabilidades de cada miembro del equipo en relación con las actividades de la cooperativa.
¿Qué se hizo para evaluar y mejorar la seguridad de la información y el cumplimiento normativo dentro de la cooperativa?
-Se realizó un análisis detallado de los procesos y se identificaron las políticas y controles críticos necesarios para mitigar los riesgos. Se evaluó la existencia de políticas de seguridad, copia de seguridad, continuidad de negocio y seguridad de la información. También se establecieron recomendaciones para mejorar la gestión de riesgos y se formalizaron políticas y procedimientos para cumplir con los estándares de seguridad y normatividad.
¿Qué acciones se tomaron para mejorar la continuidad operacional y la seguridad de la información en la cooperativa?
-Se recomendó la implementación de planes de contingencia y continuidad operacional documentados y formales, la realización de ejercicios periódicos de planes de continuidad negocio, y la conformación de un comité de revisión al menos una vez al año. Además, se sugirió la implementación de controles de acceso a áreas sensibles, la formalización de políticas de seguridad de la información y la incorporación de un oficial de cumplimiento normativo.
¿Cómo se estructuró el análisis de riesgos y se determinaron las recomendaciones para la cooperativa?
-Se estructuró el análisis de riesgos identificando los factores de riesgo y evaluando su probabilidad y impacto en la organización. Luego, se determinaron los controles críticos necesarios para reducir esos riesgos y se estableció una matriz de riesgo y efectos de mitigación. Se evaluó la efectividad de los controles y se ajustó el nivel de riesgo residual para determinar las acciones correctivas y preventivas necesarias.
Outlines
🏢 Introducción a la Cooperativa de Ahorro y Crédito
El primer párrafo introduce un caso de éxito de una Cooperativa de Ahorro y Crédito, fundada en 1963, que tiene como objetivo principal brindar servicios de intermediación financiera para mejorar las condiciones de vida de sus socios. Se menciona que las cooperativas, en Chile, están reguladas por el Ministerio de Economía, Fomento y Reconstrucción y que algunas, como la mencionada, están también supervisadas por la Superintendencia de Bancos e Instituciones Financieras. La cooperativa en cuestión tiene 7000 socios, 52 colaboradores y un capital de 28 millones de dólares.
📈 Proceso de Gestión de Riesgo en la Cooperativa
El segundo párrafo se centra en el proceso de gestión de riesgo dentro de la cooperativa. Se describe cómo se identificó y se estructuró por etapas, comenzando con la creación de un flujograma y una matriz RCII para definir roles y responsabilidades. Se analizaron 20 escenarios de riesgo relacionados con la COVID-19 y se seleccionaron dos escenarios clave: información y cumplimiento legal. Se realizó una revisión de cumplimiento y se establecieron recomendaciones para implementar medidas de mitigación de riesgos.
📑 Análisis de Procesos y Controles Internos
El tercer párrafo explora el análisis de procesos y controles internos dentro de la cooperativa, enfocándose en el retiro de capital como un subproceso de ejemplo. Se detalla el flujograma del proceso, las actividades involucradas y cómo se evalúan y autorizan las solicitudes de retiro. Se discute la importancia de los controles críticos para mitigar riesgos y se menciona la necesidad de una cultura ética y de prácticas de seguridad en las operaciones diarias.
🛡 Evaluación de Políticas y Recomendaciones de Seguridad
El cuarto párrafo aborda la evaluación de políticas de seguridad y continuidad de negocio, así como la identificación de deficiencias y áreas de mejora. Se mencionan políticas existentes y las que requieren formalización, como la de seguridad de la información. Se analizan los escenarios positivos y negativos asociados con la implementación de estas políticas y se sugieren recomendaciones para fortalecer la seguridad y la resiliencia de la cooperativa ante eventos adversos.
🔍 Identificación y Mitigación de Riesgos Residuales
El quinto y último párrafo describe el proceso de identificación y mitigación de riesgos residuales en la cooperativa. Se utiliza una matriz de riesgo para evaluar la probabilidad y el impacto de los riesgos, así como la efectividad de los controles implementados. Se discuten los factores críticos de riesgo y se sugieren medidas para reducir el riesgo residual a niveles aceptables. Finalmente, se presentan anexos y herramientas para documentar y comunicar los resultados del análisis de riesgos.
Mindmap
Keywords
💡Cooperativa de ahorro y crédito
💡Socios
💡Riesgo
💡Covid 5 para riesgo
💡Ministerio de economía fomento y reconstrucción
💡Superintendencia de bancos e instituciones financieras
💡Gestión de riesgo
💡Plan de contingencia
💡Seguridad de la información
💡Cumplimiento normativo
💡Matriz de riesgo
Highlights
La presentación trata sobre un caso de éxito de una Cooperativa de ahorro y crédito fundada en 1963.
La cooperativa tiene como objetivo brindar servicios de intermediación financiera para mejorar las condiciones de vida de sus socios.
Se describe el proceso de ahorro mensual y descuento de planilla como una práctica común en la cooperativa.
La cooperativa ofrece créditos a tasas beneficiosas para personas con dificultades de acceso al mercado financiero.
Las cooperativas en Chile están reguladas por el Ministerio de Economía, Fomento y Reconstrucción.
Se destaca que siete cooperativas, incluida la presente, están también reguladas por la Superintendencia de Bancos e Instituciones Financieras.
La cooperativa cuenta con 7000 socios y 52 colaboradores, y su capital es de 28 millones de dólares.
Se menciona la importancia de la gestión de riesgos dentro de la organización, con énfasis en la liquidez, operación y atención al cliente.
La cooperativa implementa medidas para enfrentar el riesgo asociado a la COVID-19, como parte de su estrategia de gestión de riesgos.
Se describe el proceso de identificación y análisis de riesgos, incluyendo la creación de diagramas de procesos y flujogramas.
Se analiza la matriz RCII para definir roles y responsabilidades dentro de la cooperativa.
Se seleccionan dos escenarios de riesgo de COVID-19 para análisis: información y cumplimiento legal.
Se realiza una revisión de cumplimiento según escenarios, identificando qué se cumple y qué no dentro de la cooperativa.
Se establecen recomendaciones para mejorar la preparación ante riesgos, basadas en el análisis de escenarios y controles críticos.
Se discute la importancia de la continuidad del negocio y la necesidad de planes de contingencia documentados y probados regularmente.
Se sugiere la implementación de controles de acceso físico y tecnológico para mejorar la seguridad de la información.
Se recomienda formalizar la política de seguridad de la información y evaluar la conformación de un comité de seguridad.
Se presenta una matriz de riesgo y efectos de mitigación para medir y comunicar el impacto de los controles de riesgo.
Se describe el proceso de capacitación y formación en políticas normativas para los responsables de seguridad de la información.
Se enfatiza la importancia de la cultura ética y la práctica de la seguridad en las operaciones diarias de la cooperativa.
Se sugiere la implementación de una base de datos jurídica y la formalización de políticas para mejorar la gestión de riesgos.
Transcripts
bien Espero que que
hayan aprovechado el break
bien como yo siempre digo después de uno
se despierta Un
poco bien Vamos a tratar
de de explicarles este caso de éxito y
de ahí yo espero que si tienen algunas
dudas preguntas lo pueden hacer
y bueno algunos antecedente como para
poder situarnos digamos dónde esto se
hizo esto es una Cooperativa de ahorro y
Crédito no sé si acá también tienen
cooperativas concepto
de León 23 o León 13 era de que en su
encíclica cuando partió con el mundo
corporativo y parte de la historia
digamos y muy asociada al mundo partido
por Italia y después latinoamérica fue
bastante fuerte bu esto es una
Cooperativa de fue fundada en el año 63
eh hoy día no es cierto su objetivo
único es brindar servicio de inter
mediación financiera En beneficio de sus
socios para efectos de mejorar las
condiciones de vida o sea eso ellos lo
tienen ahí en su página web puesto como
su objetivo entonces básicamente a las
cooperativas lo que uno hace No es
cierto es depositar dinero hay gente que
ahorra dinero mensualmente y descuento
llamamos nosotros por planilla no sé si
acá es cuando te lo cuentan ya la
empresa lo descuenta automáticamente y
te
lo
eh y lógicamente también los socios
tienen la opción de pedir créditos a
unas ciertas tasas que supone que son
más beneficiosas que en el Mercado o
tienen apertura de crédito
eh personas que en el mercado financiero
no tienen acceso fácilmente dado sus
niveles de renta o o sus compromisos
eh hoy día o sea en Chile todo lo que
son las cooperativas depende del
Ministerio de economía fomento y
reconstrucción siempre me llama la
atención el nombre reconstrucción bu en
Chile cada cierto tiempo pasan ciertos
eventos que que nos hacen reconstruir el
país cada vez digamos
que echamos tallas nosotros Porque a
nuestra presidente ha sido la única que
se le ha llovido el desierto más áo del
mundo
pero pero es Son bromas eso bromas
internas ya y todas las cooperativas se
manejan bajo este ministerio Pero hay
siete cooperativas que son manejadas
además por la superintendencia de bancos
e instituciones financieras que la misma
que rige la normativa hacia los bancos o
se significa que esta cooperativa es de
las siete grandes que tienen un cierto
nivel que ya no solamente el Ministerio
las controla sino que también la super y
esos son muchos más fregado en sus
auditorías revisiones que tiene O sea ya
se le trata más como una entidad más
financiera formal también
eh tiene una cantidad hoy día 7000
socios tiene 52 colaboradores no sé si
usted Usan el término colaborador
trabajador
oqu nosotros
antiguamente
como anécdota o sea cuando yo entré al
al holding al grupo y acuerdo que
llevaba dos días de trabajo me tocó una
reunión con el gerente corporativo
recursos humanos más el gerente de
administración y finanzas y yo usé el
término
funcionarios para nosotros el término
entonces ahí me pararon los dos me
dijeron acá somos colaboradores no
cierto y no
funcionarios funcionarios en la
administración pública entonces hay una
separación muy fuerte ahí digamos dentro
de
eso acá
también
hoy día Ya Igual también su capital hoy
día es de 28 millones de dólares eso es
lo que están manejando es una cantidad
bastante interesante y es una de siete
principales cooperativas del país O sea
eso es su el ámbito donde fue situado
esto qué es lo que los objetivos dice
manejar los principios de liquidez
operación atención de clientes y poder
realizar una adecuada gestión de riesgo
o sea esto es un objetivo de la
organización por eso lo amos No es
cierto se logró implementar aquí covid 5
para riesgo porque ya está definido como
objetivo dentro de eso te ayuda mucho
tenemos una empresa en chile que es un
modelo en términos de que tiene
implementado prácticamente todas las
normativas Pero porque en su ADN de la
empresa cuando fue creada No es cierto
que dijo que estar sujeta a todas las
normas principios normativas que
existieran No es cierto y tenía que
cumplirlo Entonces eso te ayuda mucho
para poder decir o impulsar las cosas
que tú lo necesitas Así que eso como una
primera parte que dentro de sus empresas
preocúpense No es cierto que uno los
objetivo de la organización sea la
gestión de riesgo y ahí ustedes pueden
pensar en implementar esto qué es lo que
se hizo para hacer primero identificar
el proceso en la cual esto se iba a
hacer no se tomó toda la empresa en su
totalidad sino que se fue haciendo por
etapas entonces dijimos tomemos un
primer proceso que lo conozcamos lo
podamos manejar y de acuerdo a eso su
resultado podemos ir posteriormente
ampliándolo eh Para eso fue necesario
hacer todo un diagrama del proceso un
flujograma eh Hay toda una explicación
también del proceso que no se las puse
porque si no eh es mucha documentación
pero el flujograma ya nos explica
bastante eso también la matriz rcii
también que definición de cuáles son los
roles y responsabilidad de cada uno y de
acuerdo a Eso dijimos Okay veamos de los
20 escenarios de riesgo que que nos
plantea covid Cuál es el que más nos
afecta o cuál es que más nos importa
dentro de esto h y lo que hicimos fue
tomar dos escenarios lo que es el tema
de información y cumplimiento legal o
sea esto ustedes lo pueden buscar en la
documentación de cov for ris y después
hicimos una revisión de cumplimiento
según escenarios o sea lo que hicimos
fue Dentro de este material que te
proporciona yaca es eh ver qué es lo que
te decía que tenía que tener en cada una
de las cosas y de acuerdo a eso tú
podías indicar si lo tengo o no lo tengo
para poder estar bien de acuerdo a eso a
ese análisis se determinó qué
recomendaciones se deben hacer O sea qué
es lo que debemos implementar para poder
Estar cubierto con este tipo de riesgo
H posteriormente también nos fuimos a
mirar un poco los controles críticos
asociados para mitigar los riesgos y
establecimos una matriz de riesgo y
efectos de mitigación o sea de eso es lo
que vamos a hablar ahora HM
primero la identificación del proceso es
un retiro de capital cto retiro de
capital significa que una persona que
está aportando cuotas No es cierto va a
decir señores quiero sacar parte de mi
participación dentro de la cooperativa
y forma parte de un subproceso que es
procedimiento de giro capital forma
parte de la operaciónes el alcance que
está ahí sus objetivos es evaluar las
solicitudes de giro capital en base a
las condiciones establecidas para tal
efectos y realizar las operaciones de
manera segura y exenta de errores las
actividades o sea Tiene un total de seis
actividades que la vamos a ver en el
flujograma esto también está debidamente
documentado su objetivo con qué procesos
se relaciona y cuáles son las mediciones
que tenemos asociadas al
proceso teniendo esa documentación Este
es el flujograma que tenemos el socio No
es cierto que hace un ingreso de
requerimiento se evalúa el cumplimiento
y se estas condiciones que tiene que
cumplirse para efectos de retiro se
evalúa contra esto se pregunta si cumple
si es así No es cierto
esto se autoriza el requerimiento y de
acuerdo a eso no es cierto Si pregunta
si cumple el límite Si está así entonces
se genera el eeso y se hace el pago Ese
es el camino más simple Si no cumple
puede pedir una
reconsideración Entonces si se dice que
no se le da una respuesta al socio
diciéndole sabe señor no procede Ahora
sí se hace No es cierto una reevaluación
de requerimiento si se aprueba No es
cierto se autoriza requerimiento cumple
los límites hace el pago ya son un
proceso bastante simple Si queremos
mirarlo pero sí tiene detrás una serie
de cumplimientos o de pasos o de
normativas que se tiene que estar
cumpliendo la matriz rac dijo bueno acá
tenemos diferentes actividades está la
ejecutiva telefonista hay un agente
gerente subgerente tesorero y acá se
definió No es cierto Cuál eran los r los
I si se fijan en algunos No es cierto no
hay una a cierto porque no está eh
definido no cierto eh todavía dentro de
esta etapa de evaluación o de
documentación del proceso Quién es el
cont asociado a esa actividad en
particular pero es parte de lo que ya
posteriormente hay que estar definiendo
para poder cumplir
adecuadamente de los escenarios de
riesgo de los 20 ya lo planteaba que se
cogieron dos ahora base a eso la El Seis
habla de daños fuga y acceso de
información y el escenario número 12
habla del cumplimiento legal o
cumplimiento normativo que en temas de
la cooperativa es muy importante que es
una entidad financiera en la cual está
sujeto No es cierto a esta serie de
revisiones y y normativas H bueno va ad
en eso
se parece que está muy pequeño digamos
para después ustedes van a tener acceso
a
esta acá vemos primero habla del
catalizador de principios política los
libros de acuerdo a convenios se dice
política de seguridad física o sea esto
es algo que te está pidiendo bajo este
escenario que deberíamos tener dice el
acceso solo se puede proporcionar al
personal autorizado la contribución para
dar respuesta y aquí está el resultado
se dice sí existe la política o sea esta
empresa dijo Okay después vemos
políticas de copia de seguridad si las
copias de seguridad están disponibles
Dice que están reguladas por política o
sea estas copias el lugar de
almacenamiento está regulado está dentro
de la intranet No es cierto que las
personas pueden tener acceso política de
continuidad de negocio dice validar la
recuperación de los datos existe una
política de recuperación de datos pero
no de continuidad de negocio HM O sea ya
hay una primera falla ahí y eso está
definiéndose No es cierto un número uno
Eso vamos a ver después cuando eh
planteemos Cuáles son las
recomendaciones va a estar asociada a
ese número posteriormente dice política
seguridad de la información que si
define las limitaciones técnicas en el
intercambio en el uso de la información
existe pero no está
formalizado lo típico que nos sucede no
es cierto que la tenemos que la
aplicamos que sí lo usamos pero en
realidad no la hemos escrito o no
está firmada cierto por las personas
responsables o sea el directorio todavía
no es cierto no pone su firma dentro de
esto Esto es muy latino as que o sea en
todos los países no después hablamos de
los procesos ya pasamos a la segunda
parte dice el Apo 0106 definir el
propietario de los datos y el sistema de
información Cuál es la práctica los
escenarios negativo y positivo dice que
el escenario negativo cambia operadores
sistema sin el debido ajuste de perfiles
de responsabilidad o sea de lo que te
plantea el modelo cierto de lo que te
explica aquí lo ajustamos directamente a
la empresa cuál sería el escenario
negativo para ello en este tema y el
positivo dice que la operación
administración y control de
transacciones de proceso de capital se
realizan a través de una aplicación ti
donde están definidos los perfiles y las
responsabilidades o sea esto ya es la
primera traducción que tú tienes no es
cierto lo que te plantea el modelo FR a
una situación muy propia de la empresa
después toma el by 0201 que dice definir
mantener los requisitos funcionales y
técnicos del negocio dice que los
distintos sistemas de información no
estén en línea generando distorsión en
la información final eso sería negativo
y positivo por normativa interna y
externa la aplicación contempla
regulaciones que permiten realizar las
operaciones cumpliendo los requisitos
funcionales y técnicos del
negocio después seguimos analizando más
procesos del paí 04 el ds01 No es cierto
que habla de los procedimientos
operacionales cierto y aquí dice por
ejemplo positivo que la cooperativa en
la actualidad tiene documentados todos
los procedimientos para la operatividad
del capital Entonces el trabajo que lo
que hay que ir haciendo dentro de esto
ustedes toman cada uno de los procesos
ya covid les plantea qué es lo que debe
contener ese proceso hay un objetivo
definido para para esa práctica en ular
dentro de la documentación de procesos
catalizadores y ahí ustedes ven No es
cierto qué es lo que ustedes hacen o no
hacen en término de estos escenarios
positivo o negativo eso también pueden
basarse en los escenarios de riesgo que
es el otro documento también que es
necesario para
esto tomamos cada uno de de los procesos
esto es vamos a tratar de de ir un
poquito más rápido producto de de
acortar tiempo ya porque es únicamente
mirar proceso y ver digamos qué se fue
haciendo dentro de la estructura
organizativas dice que debe haber un
gestor de seguridad de la información
Dice Sí pero no es una función de
operaciones ya o sea existe este gestor
pero no es una función de operación esto
mismo y jefe de operaciones tic dice sí
en función duplicada entre operación y
ti o sea Ellos tienen un jefe de
operaciones cierto tti dentro de
operación mismo que es del negocio y ot
No es cierto dentro de lo que es ya
propiamente tal los procesos te H
después habla de cultura ética y
conducta dice que la seguridad se
practica en las operaciones diarias
disponibles según reglamento interno de
Secreto
bancario la ley te obliga No es cierto
en términos de eso Y eso está disponible
en necesidad de acceso único dice si es
limitado y todos son responsable de la
protección sí existe una cultura de
protección de la información de socios
sea cultura
financiera después para alcanzar los
objetivos de información Dice por
ejemplo uno que campaña de prevención en
la pérdida de información no se han
hecho campañas de información se ha
hecho es una falencia dice registro de
acceso y evento dice Sí existen
registros de acceso o Existen los loog
para que eso se revisen o no es el otro
tema después vemos para términos de
infraestructura servicio y aplicaciones
por ejemplo control de acceso dice no
existen controles de acceso físico HM ya
todo el mundo se conoce todos son pocos
por lo tanto no existe un control
propiamente tal No es cierto acceso
físico a esto y sistema de copia de
seguridad Sí pero disponible en un solo
lugar o sea en la práctica está
disponible a 10 km No es cierto del
lugar por lo tanto en realidad no se
considera que está en un lugar distante
suficientemente distante No es cierto
para que En caso que ocurra algo eh
poder tener las las copias de seguridad
respectiva H después que en tema de las
personas dice política de seguridad de
la información defin elaciones técnicas
intercambio uso de información no se
encuentran
formalizados después vamos al escenario
12 hacemos el mismo ejercicio cierto de
que políticas de cumplimiento sí existe
un área encargada plantea o eh los
procesos facilitadores del mea que son
todos los procesos de auditoría que son
los procesos de revisión como tal Cuáles
son los positivos Cuáles son los
negativos aplicados a
ellos también lo vemos en términos de
estructura organizativa o en tema de
cultura de
ética vemos también en tema de las
personas sus habilidades No es cierto si
con qué cuenta si cuenta con el equipo
legal adecuado No es cierto acá por
ejemplo control interno evaluar el
cumplimiento con la reglamentación
pertinente dicen proceso de definción
bueno producto de eso cierto que que se
fue haciendo el análisis se dijo
recomendaciones dice que desde el punto
de vista de la continuidad operacional
es necesario que los planes de
contingencia y continuidad tengan un
procedimiento documentado y formal para
efectuar pruebas cierto de forma Regular
o sea ellos dijeron Mira si yo quiero
cumplir con todas estas cosas esto es lo
que tengo que ir
haciendo después se recomienda realcer
ejercicios periódicos de planes de
continuidad negocio se recomienda
evaluar la conformación de un comité que
sesiona al menos una vez al año para
revisar el plan de continuidad o sea en
Chile ya la la sú es bastante estricta
en tema de conten continuidad de negocio
es un tema para nosotros fuerte eh
Porque como sabemos No es cierto en
Chile siempre ocurren cosas entonces hay
que estar preparado para ello también en
seguridad de la información Dice que es
prudencial razonable implementación de
acceso controlado a la sala de
servidores sector de cajas documentos
valorados cto ahí tienen un tema de
seguridad después la implementación de
procedimiento de tecnología en proceso
de impresión de documentos monitoreo de
actividades recomendar incorporación al
staff de un oficial de cumplimiento
normativo también
eh se recomienda evaluar el costo
beneficio de implementar controles de
acceso físico a la instalación de la
cooperativa eso también es tiene que
evaluarse si para la pena o no desde el
punto de vista de contingencia No es
cierto Está en un lugar no es cierto en
un radio inferior no cierto o sea en
Chile siempre definimos que los eventos
telúricos tienen un Rango de 250 km que
es la zona que que cubre Generalmente
claro que el 27f No es cierto fue de
650 kilmetros de amplitud entonces ahí
fue bastante grande eh También se
recomienda formalizar la política de
seguridad de la información entonces lo
que hace esta empresa no es cierto es
decir Okay yo tomo los dos escenarios
que más me apuntan en base a eso reviso
cierto qué cumplo qué no cumplo y
posteriormente No es cierto vemos las
recomendaciones para poder
implementar lo mismo nos pasa no es
cierto en el escenario 12 en la cual se
habla de establecer charla de
capacitación de normativa políticas los
responsables de seguridad de los datos
personales Los Socios informar a todos
los cargos estratégicos Cuál es el
apetito de riesgo modificarlo alcance la
función de auditoría interna implementar
una base de datos jurídica es un
conjunto de pasos cierto que se deben
hacer entonces después lo que se siguió
haciendo Fue Mirar los escenarios
tenemos escenario de
eh de riesgos aquí estamos viendo tres
escenarios de riesgo Cuáles los factores
de riesgos que se vieran para la
organización y en base a eso cierto se
dijo si era mayor o menor o catastrófico
Cuál eran las zonas de impacto de la
organización posterior a eso se dijo
Cuáles son los controles críticos que
nosotros deberíamos tener los factores
de riesgo controles los críticos Qué
tipo de control estamos hablando y cuál
es el riesgo residual o se estamos
diciendo parte de un cierto nivel de
riesgo para esto poder
bajarlo Y eso se hizo No es cierto para
cada una de las partes y lo que hicimos
fue No es cierto en esta matriz de
riesgo de que estamos sin los controles
Cómo llegamos a bajar No es cierto en la
matriz correspondiente ya a un nivel de
riesgo bastante
aceptable buo voy a algunos anexos
dentro de esto no es cierto es para
poder indicar ustedes puedan asociar No
es cierto qué es lo que definimos en
términos de probabilidad qué definimos
en términos de impacto y que Cuáles las
métricas de controles eso para que les
quee como documentación para poder
entender No es cierto la la
clasificación anterior
y lo otro que que también tenemos es
esta esta planilla cel cierto en la cual
eh se fue
desarrollando y cosa que no se podía
Mostrar mucho pero si ustedes se fijan
acá No es cierto nosotros tenemos un
tipo de control y responsable del
control o sea una de las cosas que no
deben olvidar nunca No es cierto que
todo control se ha sino Un responsable
para que después podamos medir No es
cierto la responsabilidad de ellos se
clasificó el porcentaje de efectividad
también aplicamos
eso para poder decir No es cierto este
control cuánto te está mitigando el
riesgo como tal y de acuerdo a eso no es
cierto medimos nuevamente nuestro
impacto y
probabilidad para poder llegar No es
cierto finalmente a la escala Y a quién
tenemos que
informar se
entiende Entonces con eso ya tienen No
es cierto todos los pasos que se
siguieron Cuál es la metodología cierto
el análisis tamb ti Los parámetros No es
cierto que se usaron para efectos de
poder indicar por qué estaban En qué
nivel cada uno de ellos para efectos de
que si quieren tomarlo como ejemplo
paraun aplicación de ustedes no es
cierto lo pueden
hacer preguntas
dudas empezaron a convencer a la gente
la necesidad de
esto que
cerrar Esto fue bastante rápido fue como
un par de
meses o sea esto fue desarrollado eh
producto de un diplomado nosotros
tenemos un diplomado en gestión de
riesgos eh en la cual justamente
asistieron a ese diplomado el gerente
subgerente el jefe de riesgo o sea
fueron como cinco personas de los cargos
directivos entonces fue se entusiasmaron
mucho con el tema y lógicamente pudimos
sacarlo bastante rápido ahora la tarea
de es continuar con con el tema pero
están
entusiasmados bien alguna otra
pregunta bien espero haberles hecho
algún pequeño aporte frente a esto que
que lo usen lo disfruten covid no es tan
difícil pero sí les va a ayudar a
ordenar si un modelo bastante
interesante
gracias than
Weitere ähnliche Videos ansehen
5.0 / 5 (0 votes)