15734364
Description
Flashcards by Jorge Luis Guzmán Alfaro, updated more than 1 year ago
|
Created by Jorge Luis Guzmán Alfaro
over 5 years ago
|
|
| Question | Answer |
|
Image:
Leypd (binary/octet-stream)
|
Decreto Supremo 533 Crea CICS Comité Interministerial sobre Ciberseguridad: Tendrá una composición interministerial, cuya misión es proponer una política nacional de ciberseguridad, y asesorar en la coordinación de acciones, planes y programas de los distintos actores institucionales en la materia. Objetivos de la PNCS: 1.-Resguardar la seguridad de las personas en el ciberespacio 2.-Proteger la seguridad del país 3.-Promover la colaboración y coordinación entre instituciones 4.-Gestionar los riesgos del ciberespacio |
|
Image:
Cybers (binary/octet-stream)
|
• Principios de los años 80 a 2000—”Edad de la Inocencia” • Desde el año 2000 a 2004—”Edad de la Complacencia” • Desde 2005 a 2010—”Poniéndose al Día” • Desde 2010 ahora—”Aquí y Ahora” |
| I.- Las funciones que son propietarias de los riesgos y los gestionan: La gerencia operativa sirve naturalmente como primera línea de defensa porque los controles están diseñados dentro de los sistemas y procesos bajo su dirección como administración operacional. Deberían estar implementados adecuados controles de gestión y supervisión para asegurar su cumplimiento y para destacar excepciones de control, procesos inadecuados y eventos inesperados. II.- Las funciones que supervisan los riesgos: 1.-Una función de gestión de riesgos 2.-Una función de cumplimiento para monitorear diversos riesgos específicos. 3.-Una función de contraloría que monitorea riesgos financieros y la emisión de la información financiera III.- Las funciones que proporcionan aseguramiento independiente. Los AI proporcionan a los organismos de gobierno corporativo y a la alta dirección un aseguramiento comprensivo basado en el más alto nivel de independencia y objetividad dentro de la organización. | |
| Normativa Basilea 1° BCBS-1988 Capitalización =Salud Financiera | Comité de Basilea de Supervisión Bancaria estableció la primera definición y medida internacionalmente aceptada de capital bancario. Se reconoció en mas de 100 países como medida de referencia para determinar mediante el nivel de capitalización, la salud financiera de un banco |
| Basilea I-->1988 [Capital Regulatorio] Basilea II-->2004 [Medición de Riesgo] Basilea III-->2010[Mayor Capital] | Basilea I Norma mundial para evaluar solidez financiera de los bancos es "Acuerdos sobre capital del Comité de basilea" cuyo objetivo inicial fue frenar la disminución de capital y ofrecer reglas del juego claras para la banca internacional. Se estableció un marco simple de medición en que se asignaban categorías de ponderación de riesgos a todos loactivos de los bancos. Se fijo un 8% la capitalizacion de los bancvos sobre los activos ponderados por riesgo, permite medir la solidez de los bancos Basilea II Uno de los objetivos era redefinir el riesgo sin alterar el monto global de los recursos propios requeridos Incluye modelos de portafolio de riesgo en los requerimientos de capital Basilea III Cálculo de la suficiencia de capital Determinación de los procesos de análisis con fines de supervisión Fortalecimiento de la disciplina del mercado |
| Normativa COSO Formada en 1985 AICPA-AAA -FEI -IIA-IMA | Committee of Sponsoring Organizations of Treadway Commission Iniciativa del sector privado estadounidense. objetivo principal es identificar los factores que causan informes financieros fraudulentos y hacer recomendaciones para reducir su incidencia. Patrocinado y Financiado por American Institute of Certified Public Accountants (AICPA), American Accounting Association (AAA), Financial Executives Institute (FEI), The Institute of Internal Auditors (IIA) y The Institute of Management Accountants (IMA). |
| COSO I-1992 orientado a establecer una definición común de control interno y proveer una guía para la creación y el mejoramiento de la estructura de control interno de las entidades. COSO II (COSO-ERM) 2004 Se amplía el concepto de control interno, y se proporciona un enfoque más completo y extenso sobre la identificación, evaluación y gestión integral del riesgo. COSO III-2013 Este nuevo Marco Integrado permite una mayor cobertura de los riesgos a los que se enfrentan actualmente las organizaciones. | COSO I-1992 Marco fue publicado para las empresas de los EEUU. Sin embargo,ha sido utilizado y aceptado a nivel mundial. Fue creado para facilitar a las empresas los procesos de evaluación y mejoramiento continuo de sus sistemas de CI. Además, ha sido incluido en las políticas, reglas y regulaciones, para que las empresas mejoren sus actividades de control hacia el logro de sus objetivos. COSO II (COSO-ERM) 2004 Este nuevo enfoque no sustituye COSO I sino que lo incorpora como parte de él, y permite a las compañías mejorar sus prácticas de CI decidir encaminarse hacia un proceso más completo de gestión de riesgo. Adicionalmente, dado que COSO-ERM se encuentra completamente alineado con el COSO I, las mejoras en en la gestión de riesgo permiten optimizar un trabajo eficaz en CI bajo las disposiciones de la Ley Sarbanes-Oxley COSO III-2013 Aclarar los requerimientos del control interno; Actualizar el contexto de la aplicación del control interno a muchos cambios en las empresas y ambientes operativos; Ampliar su aplicación al expandir los objetivos operativos y de emisión de informe |
| Normativa ISO Federación Internacional no gubernamental 157 Países Sede Suiza | (International Organization for Standardization) Desarrolla estándares requeridos por el mercado que representen un consenso de sus miembros (previo consenso nacional entre industrias, expertos, gobierno, usuarios, consumidores…) acerca de productos, tecnologías, métodos de gestión, etc. Estos estándares, por naturaleza, son de aplicación voluntaria, ya que el carácter no gubernamental de ISO no le da autoridad legal para forzar su implantación. Sólo en aquellos casos en los que un país ha decidido adoptar un determinado estándar como parte de su legislación, puede convertirse en obligatorio. |
| Norma Chilena Oficial - NCh-ISO 27001- ISO 31000:2009 | NCh-ISO 27001-Of2009 Fue elaborada para brindar un modelo para el establecimiento, implementación, operación, monitoreo, revisión, mantenimiento y mejora de un SGSI. Se basa en un ciclo de vida PDCA (Plan-Do-Check-Act; o ciclo de Deming) de mejora continua, al igual que otras normas de sistemas de gestión . Es un estándar certificable, es decir, cualquier organización que tenga implantado un SGSI según este modelo puede solicitar una auditoría externa por parte de una entidad acreditada y, tras superar con éxito la misma, recibir la certificación en ISO 27001. ISO 31000:2009. El estándar ISO 31000:2009 no es susceptible de ser certificable y ha supuesto el estándar que ha sustituido otros estándares relevantes y de referencia en la gestión de los riesgos como AS/NZS 4360:2004 y redenominada actualmente como AS/NZS ISO 31000:2009 ya que la norma ISO 31000:2009 contempla adicionalmente un sistema de gestión completo con el diseño, implementación, mantenimiento y mejora de los procesos de gestión del riesgo. |
| Normativa TOGAF 1° Versión en 1995 Creada por Foro de Arquitectura de "The Open Group" | Marco de referencia de arquitectura, herramienta para asistir en la aceptación, creación, uso y mantenimiento de arquitecturas.Basado en modelo iterativo de proceso apoyado por las mejores practicas y un conjunto reutilizable de activos arquitectónicos existentes |
| Normativa PCI DSS | Payment Card Industry Data Security Standard) es un estándar de seguridad obligatorio para organizaciones que manipulan información acerca de tarjetas de crédito/débito. consiste de una serie de normas de seguridad que exigen 12 requerimientos de seguridad agrupados en 6 categorías. |
|
Supervisión y revisión de riesgos: El riesgo y sus factores de influencia deben monitorearse y revisarse para identificar todo cambio que se produzco en el contexto de las organización en una fase temprana
Image:
Riesgo (binary/octet-stream)
|
I.-Establecer Contexto: 1.-Fijar Criterios básicos necesarios para establecer la gestión de riesgos de la información 2.-Definir alcance y limites 3.- Establecer una organización adecuada que maneje el ISRM |
|
Tratamiento de riesgos:
1.-Modificación del riesgo
2.- Retención del riesgo
3.-Evitar el riesgo
4.-Distribución del riesgo
Image:
Riesgo (binary/octet-stream)
|
II.- Identificación de los riesgos: Incluye el reconocimiento de los siguientes elementos: 1.-Activos 2.-Amenazas 3.-Vulnerabilidades 4.-Controles existentes 5.-Consecuencias El resultado de este proceso es una lista de escenarios de incidentes con las consecuencias derivadas de estos, relacionadas con los activos y procesos de negocio |
| Métodos para identificar el riesgo: es un proceso para descubrir reconocer y documentar el riesgo al que se enfrenta la organización | 1.- Método histórico: basados en evidencias, como la revisión de eventos históricos 2.-Enfoques sistemáticos: opiniones expertas donde un equipo de riesgo examina y cuestiona un proceso de negocio de manera sistemática para determinar los puntos de falla potenciales 3.-Método inductivo: análisis teóricos, en los que un equipo examina un proceso para determinar el posible punto de ataque o compromiso |
| Estandartes para Identificación de riesgo 1.-ISO 31000-2009 Gestión de Riesgo-Principios y directrices COBIT 5 for RISK 2.-IEC 31010:2009 2009 Gestión de riesgo Técnicas de Evaluación del riesgo 3.-ISO/IEC 27001:2013 Tecnología de la información Técnicas de seguridad Sistemas de gestión de seguridad de la información 4.-ISO/IEC 27005:2011 Tecnología de la información Tecnicas de seguridad Sistemas de gestión de seguridad de la información 5.-NIST Special publicación 800-30 Revisión 1: guía para realizar evaluaciones de riesgo 6.-NIST Publicación especial 800-39 Gestión de riesgo de seguridad de la información | |
|
Aceptación de los riesgos: El input es el plan de tratamiento del riesgo y la evaluación del riesgo residual, sujetos a los criterios de aceptación del riesgo.
Image:
Riesgo (binary/octet-stream)
|
III.- Análisis de Riesgos 1.-Evaluación de las consecuencias 2.-Evaluación de las probabilidades de que no se produzcan incidentes 3.-Determinación del nivel de riesgo |
| La evaluación de riesgos: Se define como un proceso utilizado para identificar y evaluar el riesgo y sus posibles efectos. Incluye evaluar las funciones esenciales que se necesitan para que la organización continúe las operaciones del negocio, definir los controles implementados para reducir la exposición y valuar el coste de esos controles. El análisis de riesgo suele incluir una evaluación de las probabilidades de un evento particular | Técnicas de evaluación del riesgo 1.-Estadística bayesiana 2.-Análisis bow tie 3.-Brainstorming 4.-Análisis de impacto en el negocio (BIA) 5.-Análisis de causa y consecuencia 6.-Análisis de causa y efecto 7.-Lista de control 8.-Método Delphi 9.-Evaluación de riesgo medioambiental 11-.Análisis de árbol de eventos 12.-Análisis de árbol de fallas 13.-Análisis de riesgo y de puntos críticos de control (HACCP) 14.-Estudio de riesgos y operabilidad (HAZOP) 15.-Análisis de fiabilidad humana(HRA) 16.-Análisis de capas de protección(LOPA) 17.-Análisis Markov 18.-Simulación de Montecarlo 19.-Análisis preliminar de riesgos 20.-Mantenimiento centrado en confiabilidad 21-.Análisis de causa raíz 22.-Análisis de escenarios 23.-Análisis de circuitos de fugas 24.-Técnica estructurada "que pasa si" |
|
Comunicación y consulta de los riesgos: Proceso cruzado en el que la información sobre el riesgo debe ser intercambiado y comunicado entre el responsable de las toma de decisiones y otras partes interesadas
Image:
Riesgo (binary/octet-stream)
|
IV.- Valoración de los Riesgos En este paso, los niveles de riesgo se comparan de acuerdo con los criterios de estimación del riesgo y de aceptación del riesgo. El resultado es una lista de elementos de riesgo por orden de prioridad y los escenarios que conducen a los elementos de riesgo identificados |
| El propósito de definir una respuesta al riesgo es alinear estos con el apetito al riesgo definido por la organización. Esta evaluación de respuesta al riesgo no es un esfuerzo de una sola vez, mas bien, es una parte del ciclo del proceso de gestión de riesgos. Se necesitara implementar una respuesta en caso de que un análisis de riesgo de todos los escenarios identificados muestre después de ponderar el riesgo comparándolo con el retorno potencial que dicho riesgo no esta alineado con los niveles de apetito al riesgo y niveles de tolerancia definidos | Opciones de respuesta al riesgo 1.-Aceptación del riesgo 2.-Mitigación del riesgo 3.-Evitar el riesgo 4.-Transferir el riesgo Técnicas de análisis para dar respuesta al riesgo 1.-La prioridad del riesgo, según se indique en el informe de evaluación de riesgo 2.-Los controles recomendados en el informe de evaluación de riesgo 3.-Cualquier otra alternativa sugerida a través de análisis adicionales 4.-El coste de las diversas opciones de respuesta 5.-Requisitos de cumplimiento de regulaciones o leyes 6.-Alineamiento de la opción de respuesta con la estrategia de la organización 7.-Posibilidad de integrar la respuesta con otras iniciativas de la organización 8.-Compatibilidad con otros controles existentes 9.-Tiempo, recursos y presupuesto disponibles |
| Monitoreo y Reporte de Riesgos y Controles |
Want to create your own Flashcards for free with GoConqr? Learn more.