APLICACIN NORMA ISO-27005 PROCESO GESTION FINANCIERA
JONATHAN ALEXANDER SANDOVAL ORTEGA CODIGO: 1150125 CONSTANTINO CELIS PEARANDA CODIGO: 1150307
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SAN JOSE DE CUCUTA II SEMESTRE 2013
2
APLICACIN NORMA ISO-27005 PROCESO GESTION FINANCIERA
JONATHAN ALEXANDER SANDOVAL ORTEGA CODIGO: 1150125 CONSTANTINO CELIS PEARANDA CODIGO: 1150307
PROFESOR: JEAN POLO CEQUEDA OLAGO
ASIGNATURA: SEGURIDAD INFORMATICA
UNIVERSIDAD FRANCISCO DE PAULA SANTANDER INGENIERIA DE SISTEMAS SAN JOSE DE CUCUTA II SEMESTRE 2013
3
INTRODUCCIN
ISO 27005: Publicada el 4 de Junio de 2008. Establece las directrices para la gestin del riesgo en la seguridad de la informacin. Apoya los conceptos generales especificados en la norma ISO/IEC 27001 y est diseada para ayudar a la aplicacin satisfactoria de la seguridad de la informacin basada en un enfoque de gestin de riesgos. El conocimiento de los conceptos, modelos, procesos y trminos descritos en la norma ISO/IEC 27001 e ISO/IEC 27002 es importante para un completo entendimiento de la norma ISO/IEC 27005:2008, que es aplicable a todo tipo de organizaciones (por ejemplo, empresas comerciales, agencias gubernamentales, organizaciones sin fines de lucro) que tienen la intencin de gestionar los riesgos que puedan comprometer la organizacin de la seguridad de la informacin. Su publicacin revisa y retira las normas ISO/IEC TR 13335-3:1998 y ISO/IEC TR 13335-4:2000. La gestin del riesgo en la seguridad de la informacin debe ser un proceso continuo. Tal proceso debera establecer el contexto, evaluar los riesgos, tratar los riesgos utilizando un plan de tratamiento para implementar las recomendaciones y decisiones. La gestin del riesgo analiza lo que puede suceder y cules pueden ser las posibles consecuencias, antes de decidir lo que se debera hacer y cuando hacerlo, con el fin de reducir el riesgo hasta un nivel aceptable. La gestin del riesgo en la seguridad de la informacin debera contribuir a: - la identificacin de los riesgos; - La evaluacin de los riesgos en trminos de sus consecuencias para el negocio y la probabilidad de su ocurrencia; - La comunicacin y entendimiento de la probabilidad y las consecuencias de estos riesgos ; - El establecimiento del orden de prioridad para el tratamiento de los riesgos; - La priorizacin de las acciones para reducir la ocurrencia de los riesgos; - La participacin de los interesados cuando se toman las decisiones sobre gestin del riesgo y mantenerlos informados sobre el estado de la gestin del riesgo;
4
- La eficacia del monitoreo del tratamiento del riesgo; - El monitoreo y revisin con regularidad del riesgo y los procesos de gestin de riesgos Definicin de riesgos Riesgo se puede definir como aquella eventualidad que imposibilita el cumplimiento de un objetivo. De manera cuantitativa el riesgo es una medida de las posibilidades de incumplimiento o exceso el objetivo planteado. As definido, un riesgo conlleva dos tipos de consecuencias: ganancias o prdidas. En lo relacionado con tecnologa, generalmente el riesgo se plantea solamente como amenaza, determinando el grado de exposicin a la ocurrencia de una prdida (por ejemplo el riesgo de perder datos debido a rotura de disco, virus informticos, etc.). La Organizacin Internacional por la Normalizacin (ISO) define riesgo tecnolgico (Guas para la gestin de la seguridad de TI /TEC TR 13335-1, 1996) como: La probabilidad de que una amenaza se materialice, utilizando vulnerabilidad existentes de un activo o un grupo de activos, generndole perdidas o daos. En la definicin anterior se pueden identificar varios elementos que se deben comprender adecuadamente para, por ende, comprender integralmente el concepto de riesgo manejado. Estos elementos son: probabilidad, amenazas, vulnerabilidades, activos e impactos. En materializacin de normas ISO-27005 se contempla el anlisis de riesgos de la siguiente manera
5
ESTABLECIMIENTO DEL CONTEXTO
En la que el establecimiento del contexto representa un concepto que define un proceso estratgico en la Universidad Francisco de Paula Santander este tipo de enfoque iterativo suministra un buen equilibrio entre la reduccin del tiempo y el esfuerzo requerido para identificar los controles, incluso garantizando que los riesgos altos se valoren de manera correcta.
6
Como se puede establecer el proceso estratgico enmarcado en la Universidad Francisco de Paula Santander es la GESTIN FINANCIERA siendo un proceso de apoyo y como principal objetivo tiene la de Administrar los recursos financieros de la Universidad Francisco de Paula Santander bajo las normas legales vigentes, con polticas y lineamientos estratgicos de la Institucin con criterios de eficiencia, eficacia y efectividad.
En un SGSI, el establecimiento del contexto, la valoracin del riesgo, el desarrollo del plan de tratamiento del riesgo y la aceptacin del riesgo son parte de la fase de "planificar". En la fase de "hacer" del SGSI, se implementan las acciones y los controles que son necesarios para reducir el riesgo hasta un nivel aceptable, de acuerdo con el plan de tratamiento del riesgo. En la fase de "verificar" del SGSI, los directores determinarn la necesidad de revisiones de las valoraciones y del tratamiento del riesgo a la luz de los incidentes y los cambios en las circunstancias. En la fase de "actuar", se llevan a cabo todas las acciones que son necesarias, incluyendo la aplicacin adicional del proceso de gestin del riesgo en la seguridad de la informacin.
A continuacin se presentan cada una de las actividades de planear, hacer, verificar y actuar
7
C. ACTIVIDADES DEL PROCESO ( Planear, Hacer, Verificar, Actuar ) 7. Emisor 8. Entradas 9. Actividades ( P_H_V_A ) 10. Salidas (Productos o Resultados) 11. Receptor Presupuesto Direccionamiento Estratgico Criterios para elaboracin de presupuesto
P: Elaborar el Presupuesto Presupuesto elaborado Direccionamie nto Estratgico y CSU Direccionamiento Estratgico Presupuesto elaborado P: Aprobar el Presupuesto por el Consejo Superior Presupuesto aprobado Gestin Financiera Gestin Financiera Presupuesto aprobado H: Configurar los mdulos de informacin financiera para las vigencias Ejecucin del Presupuesto Gestin Financiera (Unidad de Presupuesto) Direccionamiento Estratgico y Gestin Financiera Necesidades de Ejecucin del Presupuesto H: Modificar el Presupuesto aprobado Resoluciones
de Adiccin o Traslados Gestin Financiera
8
Todos los procesos Solicitudes de necesidades de inversin, funcionamiento y gastos generales
H: Recepcionar y Registrar transacciones Financieras que afecten el presupuesto y caja. Notas y Certificados Presupuestal es Gestin Financiera Gestin Financiera Notas, Certificados Presupuestales y Requisitos H: Trmite y pago del compromiso Pago del compromiso Comunidad Acadmica y Usuarios Externos Gestin Financiera Estados Financieros y Ejecuciones Presupuestales H: Preparar Informes, Financieros y Presupuestales Informes Financieros y Presupuestal es Direccionamie nto Estratgico, CSU y Entes Externos
Gestin Financiera Informe de Cartera H: Realizar Gestin Recaudo de Cartera Comprobant es de Ingresos o Documento de Cobro Gestin Jurdica , Control Disciplinario y Gestin Financiera
9
Gestin Financiera Formato de Encuesta V: Encuesta Satisfaccin del
Cliente (Comunidad Acadmica y Externos) Encuesta analizada y diligenciada Gestin Financiera
Gestin Financiera Calendario Administrativo P: Plan elaboracin de informes Cronograma de Actividades Gestin Financiera Direccionamiento Estratgico Presupuesto P: Plan anual de caja Ejecucin del PAC Gestin Financiera Gestin Financiera Convenios en general P: Plan de relaciones con Entidades Financieras y Cooperativas. Acuerdos con Entidades Financieras
Entidades Financieras Entidades Financieras y Personal Docente y Administrativo Solicitud y Oferta de Libranzas H: Trmite de Libranzas Aprobacin y Convenio de Pago de la Libranza Entidades Financieras y Personal Docente y Administrativo
10
Gestin Financiera Extractos Bancarios H: Elaborar Conciliaciones Bancarias Comprobant es de
Ingresos y Egresos, Notas Dbito y Crdito Gestin Financiera Comunidad Acadmica y Usuarios Externos Quejas y/o Reclamos V: Recepcin de quejas y chequeo de ejecucin de trmite Respuesta Comunidad Acadmica y Usuarios Externos
Gestin Financiera, Entes de Control y Direccionamiento Estratgico Normatividad vigente P: Planear calendario de rendicin de informes peridicos Cronograma de Actividades Gestin Financiera Gestin Financiera Documentos Financieros H: Recepcionar, analizar y consolidar la informacin de los diferentes procesos para producir estados financieros e informes Informes Todos los Procesos Entes de Control, Entidades Gubernament
11
contables y tributarios ales y Comunidad Acadmica Entes Externos e Internos Normatividad vigente. H: Actualizacin de informacin o normas que se identifican en el desarrollo de las actividades. Actualizacin de Calendarios y Procedimient os
Gestin Financiera Entes de Control y Gestin de las TICS Pgina Web y Sistema de Informacin Financiera V: Chequeo de la informacin registrada en los diferentes sistemas de informacin internos y externos.
Inconsistenci as o listado de verificacin de errores Gestin Financiera
12
Identificacin de activos Un activo es todo aquello que tiene valor para la organizacin y que, por lo tanto, requiere de proteccin. Para la identificacin de los activos se recomienda tener en cuenta que el sistema de informacin consta de ms elementos que slo hardware y software. La identificacin de los activos se debera llevar a cabo con un nivel adecuado de detalle, que proporcione informacin suficiente para la valoracin del riesgo. El nivel de detalle utilizado en la identificacin de los activos tendr influencia en la cantidad total de informacin recolectada durante la valoracin del riesgo. Este nivel se puede mejorar en iteraciones posteriores de la valoracin del riesgo. Se debera identificar al propietario de cada activo, para asignarle la responsabilidad y rendicin de cuentas sobre ste. El propietario del activo puede no tener derechos de propiedad sobre el activo, pero tiene la responsabilidad de su produccin, desarrollo, mantenimiento, uso y seguridad, segn corresponda. El propietario del activo con frecuencia es la persona ms idnea para determinar el valor que el activo tiene para la organizacin
E. RECURSOS 13. Tecnolgicos 14. Fsicos 15. Humanos Recurso Condicin Recurso Condicin Cargo Equipo de cmputo Veinte (20) computadores Tipo oficina. Elementos y Equipos de Oficina Excelente estado Vicerrector Administrativo Sofware: Sistema Integral de Informacin Procesadores de palabra, hojas electrnicas, presentaciones. Papelera Con los requerimiento s tcnicos de ley Jefe de Contabilidad
13
Planta Telefnica Doce (12) extensiones Aires Acondiciona dos Individuales por dependencias Jefe de Presupuesto Scanner Cinco (5) oficio y carta Tesorero Impresoras Cinco (5) impresoras lser carta y oficio. Cinco (5) impresoras de tabloide Auxiliares Capacitados
Valoracin de riesgos en la seguridad de la Informacin Un riesgo es una combinacin de las consecuencias que se presentaran despus de la ocurrencia de un evento indeseado y de su probabilidad de ocurrencia. La valoracin del riesgo cuantifica o describe cualitativamente el riesgo y permite priorizar los riesgos de acuerdo con su gravedad percibida u otros criterios establecidos. Anlisis del riesgo Identificacin del riesgo La identificacin de los siguientes riesgos basados en el proceso de seguimiento a gestin financiera se basan en los riesgos de la gestin de la calidad pues su desarrollo y plan de ejecucin del mismo tienen respaldo en la parte financiera hacindoles ser un trabajo conjunto en el anlisis de riesgos y la toma de decisiones para la implementacin de medidas respectivas en aseguramiento de la informacin.
14
Mapa de riesgos
Riesgos y causas Controles
N CAUSAS (Factores Internos y Externos, Agente Generador) RIESGO Descripcin Preven tivo Correctivo 1 No existen respaldos de la documentacin actualizada Prdida o sustraccin de la informacin (documentacin) Realizar y custodiar los respaldos en el servidor institucional y disear una plataforma para el montaje de la documentacin del Sistema de Gestin de Calidad y el acceso de toda la comunidad universitaria X Cadas del sistema que dificulten el acceso a la informacin No hay un plataforma tecnolgica de implementacin y documentacin del sistema 2 Cultura de Calidad debil en la Institucin Falta de tica y Cultura de la Calidad dentro de la institucin Realizar auditorias de revisin y anlisis de los indicadores propios del Sistema de Gestin de Calidad y ejecucin de los X Baja apropiacin del proceso
15
Bajo sentido de pertenencia frente a los procesos del Sistema de Gestin de Calidad de la Universidad planes de mejoramiento
3 Asignacin de Recursos para el proyecto de implementacin del sistema insuficientes Planeacin inadecuada de los recursos de la Universidad Seguimiento a las necesidades planteadas desde la oficina de Planeacin para la ejecucin de Proyectos relacionados al Sistema de Gestin de Calidad X Priorizacin en la asignacin de recursos a otros proyectos de menor importancia o impacto Poco personal asignado trabajando en el rea de Gestin de Calidad 4 Cambio de legislacin o normatividad regulatoria del Sistema de Gestin de Calidad en la Institucin Incumplimiento de planes y proyectos de obligatorio cumplimiento y vigilancia por entes del estado Seguimiento a los planes y proyectos operativos de la Oficina de Planeacin X
16
Cierres de la Institucin no planeados debido a problemas de tipo social (huelgas, paros, etc.) o ambiental (terremotos, inundaciones, etc.) Diseo del sistema de Gestin de Calidad desactualizado
5 No existen respaldos de la documentacin actualizada Prdida o sustraccin de la informacin (documentacin) Realizar y custodiar los respaldos en el servidor institucional y disear una plataforma para el montaje de la documentacin del Sistema de Gestin de Calidad y el acceso de toda la comunidad universitaria X
Cadas del sistema que dificulten el acceso a la informacin No hay un plataforma tecnolgica de implementacin y documentacin del sistema 6 Cultura de Calidad debil en la Institucin Falta de tica y Cultura de la Realizar auditorias de revisin y anlisis de los X
17
Baja apropiacin del proceso Calidad dentro de la institucin indicadores propios del Sistema de Gestin de Calidad y ejecucin de los planes de mejoramiento
Bajo sentido de pertenencia frente a los procesos del Sistema de Gestin de Calidad de la Universidad 7 Asignacin de Recursos para el proyecto de implementacin del sistema insuficientes Planeacin inadecuada de los recursos de la Universidad Seguimiento a las necesidades planteadas desde la oficina de Planeacin para la ejecucin de Proyectos relacionados al Sistema de Gestin de Calidad X
Priorizacin en la asignacin de recursos a otros proyectos de menor importancia o impacto Poco personal asignado trabajando en el rea de Gestin de Calidad 8 Cambio de legislacin o normatividad regulatoria del Sistema de Gestin de Calidad en la Institucin Incumplimiento de planes y proyectos de obligatorio cumplimiento y vigilancia por entes del estado Seguimiento a los planes y proyectos operativos de la Oficina de Planeacin X
18
Cierres de la Institucin no planeados debido a problemas de tipo social (huelgas, paros, etc.) o ambiental (terremotos, inundaciones, etc.) Diseo del sistema de Gestin de Calidad desactualizado
Identificacin de las amenazas Una amenaza tiene el potencial de causar daos a activos tales como informacin, procesos y sistemas y, por lo tanto, a las organizaciones. Las amenazas pueden ser de origen natural o humano y podran ser accidentales o deliberadas. Es recomendable identificar tanto los orgenes de las amenazas accidentales como de las deliberadas. Una amenaza puede tener su origen dentro o fuera de la organizacin. Las amenazas se deberan identificar genricamente y por tipo (por ejemplo, acciones no autorizadas, dao fsico, fallas tcnicas) y, cuando sea adecuado, las amenazas individuales dentro de la clase genrica identificada. Esto significa que ninguna amenaza se pasa por alto, incluidas las inesperadas, pero teniendo en cuenta que el volumen de trabajo requerido es limitado.
19
AMENAZAS (FACTOR EXTERNO) DEBILIDADES (FACTOR INTERNO) Cambio de legislacin o normatividad regulatoria del Sistema de Gestin de Calidad en la Institucin No existen backups de la documentacin actualizada Priorizacin en la asignacin de recursos a otros proyectos de menor importancia o impacto Poco personal asignado trabajando en el rea de Gestin de Calidad Asignacin de Recursos para el proyecto de implementacin del sistema insuficientes No hay un plataforma tecnolgica de implementacin y documentacin del sistema Cultura de Calidad dbil en la Institucin Diseo del sistema de Gestin de Calidad desactualizado Cierres de la Institucin no planeados debido a problemas de tipo social (huelgas, paros, etc.) o ambiental (terremotos, inundaciones, etc.) Baja apropiacin del proceso Cadas del sistema que dificulten el acceso a la informacin Bajo sentido de pertenencia frente a los procesos del Sistema de Gestin de Calidad de la Universidad
CONTROL DE RIESGOS (POLITICAS) - Realizar jornadas de capacitacin al personal administrativo de la universidad sobre el SGSI y medidas a tomar para proteger la informacin. - Administrar el acceso al sistema de informacin financiero. - Las claves de accesos son personales e intransferibles, cualquier manipulacin extra oficial u anormal ser sancionada a la persona que tenga a nombre dicha cuenta.
20
- Asegurar los documentos que se relacionen con el proceso financiero ya que son bastante delicados y no todo el personal debe tener acceso a ellos. - Restringir los sitios de navegacin a los que pueden acceder los funcionarios, es decir, que estos solo ingresen a sitios que no sean de distraccin o filtrado de informacin (Facebook, Messenger, Video Chatetc.).
- Generar la cultura a los funcionarios adscritos a la Oficina, para que se mantenga la reserva confidencial del Sistema de Informacin financiero.