Categora

Monitoreo y mejora a la seguridad

Marco de control
Marco de control
Marco de control
Marco de control
Marco de control
Marco de control
Marco de control
Marco de control
Marco de control
Marco de control
Marco de control
Marco de control
Marco de control
Marco de control
Requerimientos de seguridad
Marco de control
Marco de control
Marco de control
Marco de control
Marco de control
Monitoreo y mejora a la seguridad
Requerimientos de seguridad
Marco de control
Marco de control
Marco de control
Gobierno de seguridad
Gobierno de seguridad
Marco de control
Marco de control
Marco de control
Marco de control

rea
Desempeo de la seguridad
Infraestructura tcnica de seguridad / Gestion de
Accesos
Gestin de sistemas
Gestin de sistemas
Gestin de activos
Gestin de incidentes
Gestin de desarrollo de sistemas
Infraestructura tcnica de seguridad
Seguridad de los recursos humanos
Comunicaciones electrnicas
Continuidad del negocio
Infraestructura tcnica de seguridad
Infraestructura tcnica de seguridad
Gestin de la red
Gestin de sistemas
Evaluacin de riesgos de informacin
Gestin de vulnerabilidades y amenazas
Computacin mvil
Aplicaciones del negocio
Entornos locales
Gestin de proveedores externos
Auditorias de seguridad
Cumplimiento
Computacin mvil
Gestin de proveedores externos
Poltica de seguridad y organizacin
Enfoque del gobierno de seguridad
Componentes del gobierno de seguridad
Accesos de clientes
Aplicaciones de estaciones de trabajo
Ciclo de vida del desarrollo de sistemas
Seguridad fsica y del entorno

No. Principios
116-118
46, 31-37
43
38-41
21-24
67-70
90-92
45
17, 62
83-84
104-110
51
49
53-60
42
6-11
61
79-80
27
71
85
111-115
12
81
86-89
14

Procesos Asociados
Proceso de gestin de monitoreo de la seguridad de la informacin
Proceso de gestin de identidades y Accesos
Proceso de gestin de cambios
Proceso de instalaciones tecnolgicas
Proceso de gestin de activos Tecnologicos
Proceso de gestin incidentes
Proceso de gestin de desarrollo de sistemas
Proceso de gestin de la seguridad lgica
Proceso de concientizacin de la seguridad de la informacin
Proceso de gestin de comunicaciones electrnicas
Proceso de gestin de la continuidad del negocio
Proceso de gestin para la prevencin de fuga de informacin
Proceso de gestin de llaves criptogrficas
Proceso de gestin a la infraestructura de la red
Proceso de gestin de sistemas de resguardo
Proceso de gestin de riesgos tecnolgicos
Proceso de gestin de actualizaciones de seguridad
Proceso de gestin de dispositivos mviles
Proceso de gestin de la integridad de la informacin
Proceso de gestin de perfiles de seguridad en los entornos locales
Proceso de gestin de proveedores externos de tecnologa
Proceso de gestin de auditoras de seguridad
Proceso de gestin de cumplimiento
Proceso de gestin de dispositivos porttiles de almacenamiento
Proceso de gestin de la arquitectura tecnolgica
Poltica general de seguridad de informacin

rea Responsable
Prevencin de fraudes
Seguridad de Informacin / Fabrica de
Operaciones
Tecnologa
Infraestructura
Infraestructura
Tecnologa
Sistemas de Informacin
Infraestructura
Seguridad de Informacin
Infraestructura
Seguridad de Informacin
Prevencin de fraudes
Seguridad de Informacin
Infraestructura
Infraestructura
Seguridad de Informacin
Infraestructura
Infraestructura
Sistemas de Informacin
Seguridad Fsica
Arquitectura Empresarial
Auditoria
Seguridad de Informacin
Infraestructura
Arquitectura Empresarial
Seguridad de Informacin

Prioridad

Criticidad

Dependencia de
proveedores externos

Severidad de Perdida
(Histrica o Potencial)

7.27

Alto

Diciembre 2015

6.92

Alto

Diciembre 2015
Diciembre 2015
Diciembre 2015
Diciembre 2015
Diciembre 2015
Diciembre 2015

5.71
5.24
4.55
4.55
4.29
4.23
3.91
3.91
3.91
3.91
3.91
3.48
3.48
3.48
3.04
3.04
3.04
3.04
3.04
2.61
1.74
1.74
1.30

Alto
Alto
Alto
Alto
Alto
Alto
Medio
Medio
Medio
Medio
Medio
Medio
Medio
Medio
Medio
Medio
Medio
Medio
Medio
Bajo
Bajo
Bajo
Bajo

1
1
1
1
1
1

Ultima Evaluacin

Diciembre 2015

Diciembre 2015

0
1

0
1
1
1
1

0
1
1

0
0
1

0
0
0
1

0
0
0
1

0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0

Exposicin a Perdida

Exposicin de
Imagen & Reputacin

Inters de la Alta
Gerencia

Exposicin a reguladores
externos| SIB

Exposicin a reguladores
internos | Auditoria

1
1
1

1
1
1
1

0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0
0

1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1

1
1

0
0
1

0
1

0
1
1
1
1

0
0
1
1
1
1

0
0
0
0

0
1
1
1
1
1
1
1
1

0
0
0
1

0
0
0
0
0
0

0
1
1

0
1

0
1

0
0
0
0
1

0
0
0
0
0
0
0
0
0

Controles relacionados a Controles relacionados Controles relacionados

la Confidencialidad
a la Integridad
a la Disponibilidad

Impacto directo al
cliente

Soportan a un proceso critico del

negocio

1
1
1
1
1
1
1
1
1
1
1

1
1
1
1
1
1
1
1
1
1
1

1
1
1
1
1
1
1
1
1

1
1
1
1
1
1

1
1
1
1

1
1
1
1
1
1
1

1
1
1
1
1
1
1
1

0
1
1
1
1
1
1

0
0
0
0

0
0
0
0
0
0

0
0
0

1
1

1
1
1
1
1

0
0

0
0
1
1

0
0
0
0
1

0
1

0
0

Evaluacin > 2
aos

Riesgo residual no mitigado - Naturaleza del proceso: Proceso

evaluacin previa
de Control

Total

8.00

0
0
0
0
0
0
0

9.00

1
1
1
1
1
1

0
0
0
0
0

1
1
1
1

0
0
0
0

12.00
11.00
10.00
10.00
9.00
11.00
9.00
9.00
9.00
9.00
9.00
8.00
8.00
8.00
7.00
7.00
7.00
7.00
7.00
6.00
4.00
4.00
3.00

1
1

0
0

1
1
1
1
1
1
1
1
1

0
0
0
0
0
0
0
0
0

1
1

0
0
1

0
0
0
1
1

0
1
1

0
1
1

0
0

Experiencia en la Administracin del

Proceso
Relacin 0.00 - 1

Facilidad en la
documentacin y
evaluacin

Grado del modelo de

madurez COBIT
Relacin 0-5

Grado de la madurez de recuperacin

Relacin 0-2

0.00

0.00

0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00

0.00

1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1

0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00

1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1
1

Proceso automatizado Relacin 0.00

-1

Nivel de eficiencia de los

procedimientos
Relacin 0.00 - 1

Total

0.00

0.10

1.10

0.00
0.00
0.00
0.00
0.00
0.00

0.30

1.30

0.10
0.10
0.20
0.20
0.10
0.30
0.30
0.30
0.30
0.30
0.30
0.30
0.30
0.30
0.30
0.30
0.30
0.30
0.30
0.30
0.30
0.30
0.30

2.10
2.10
2.20
2.20
2.10
2.60
2.30
2.30
2.30
2.30
2.30
2.30
2.30
2.30
2.30
2.30
2.30
2.30
2.30
2.30
2.30
2.30
2.30

0.30

0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00
0.00

CRITERIO
Facilidad en la documentacin y evaluacin
Controles relacionados a la Disponibilidad

Controles relacionados a la Confidencialidad

Controles relacionados a la Integridad

Dependencia de proveedores externos
Evaluacin > 2 aos

Experiencia en la Administracin del Proceso

Exposicin a Perdida

Exposicin a reguladores externos| SIB

Exposicin a reguladores internos | Auditoria

Exposicin de Imagen & Reputacin

Grado de la madurez de recuperacin

Relacin 0-2

Grado del modelo de madurez COBIT

Relacin 1-6
Impacto directo al cliente
Inters de la Alta Gerencia
Naturaleza del proceso: Control Interno
Nivel de eficiencia de los procedimientos
Relacin 0.00 - 1

Proceso automatizado Relacin 0.00 - 1

Riesgo residual no mitigado - evaluacin previa

Severidad de Perdida
(Histrica o Potencial)

Soportan a un proceso critico del negocio

0
La documentacin y/o evaluacin del proceso involucra NO mas de 10
procedimientos y/o NO mas de 2 reas
El proceso NO contiene actividades de control relacionados a preservar la
disponibilidad de un servicio y/o proceso
El proceso NO contiene actividades de control relacionados a preservar la
confidencialidad de un servicio y/o proceso
El proceso NO contiene actividades de control relacionados a preservar la
integridad de un servicio y/o proceso
Menos de un 30% del proceso depende de proveedores externos.
El proceso ha sido evaluado en un periodo menor a 2 aos
Salvo algunos nuevos productos, la mayora de las actividades del proceso
se vienen realizando desde hace ms de dos aos (con variantes menores,
por ejemplo nuevos productos de crditos similares a los anteriores) y el
personal es experimentado y de planta permanente.
Los activos o pasivos del proceso representan menos del 20% de los activos
del Banco; y/o los resultados del proceso representan menos del 20% del
resultado presupuestado del Banco.
Las multas o sanciones relacionadas con el proceso son informativas o su
impacto econmico es bajo (menos de RD$ 3.5MM en un ao).
El proceso NO ha sido auditado y NO tiene recomendaciones pendientes de
auditoria
Errores en las actividades diarias del proceso implican la posibilidad de
recibir reclamos de clientes sin probabilidad cierta de elevacin de los
mismos a los medios masivos de comunicacin.

Implicaciones con el proceso NO incide de manera directa la experiencia del

cliente
La alta gerencia NO muestra un inters particular por la revisin del proceso
El objetivo general del proceso NO esta relacionado directamente a
actividades de control

El proceso NO tiene pendiente riesgos residuales no mitigados que deben

ser tratados
El proceso no es altamente sensible a prdidas dados los bajos volmenes
de dinero que administra , a que no se encuentra en un proceso de cambio
significativo, etc.; y/o segn su experiencia, las prdidas operacionales
pasadas se relacionan en menos de un 30% a este proceso.
El proceso NO esta relacionado directamente a un proceso critico del
negocio segn el BIA

1
La documentacin y/o evaluacin del proceso involucra mas de 10
procedimientos y/o mas de 2 reas
El proceso contiene actividades de control relacionados a preservar la
disponibilidad de un servicio y/o proceso
El proceso contiene actividades de control relacionados a preservar la
confidencialidad de un servicio y/o proceso
El proceso contiene actividades de control relacionados a preservar la
integridad de un servicio y/o proceso
Mas de un 30% del proceso depende de proveedores externos.
El proceso NO ha sido evaluado en un periodo menor a 2 aos
La mayora de las actividades del proceso son nuevas o corresponden a
nuevos productos y el personal representa una combinacin de agentes
externos y/o de recursos con baja experiencia en el manejo de la operatoria
diaria.
Los activos o pasivos del proceso representan ms del 20% de los activos
del Banco; y/o los resultados del proceso representan ms del 20% del
resultado presupuestado del Banco.
El proceso est relacionado directamente con la posibilidad de recibir multas
o sanciones significativas (ms de RD$ 3.5MM en un ao).
El proceso ha sido auditado y tiene recomendaciones pendientes de
auditoria
Errores en las actividades diarias del proceso implican la probabilidad cierta
de apariciones negativas del Banco en los medios masivos de comunicacin.

Implicaciones con el proceso incide de manera directa la experiencia del

cliente
La alta gerencia muestra un inters particular por la revisin del proceso
El objetivo general del proceso esta relacionado directamente a actividades
de control

El proceso tiene pendiente riesgos residuales no mitigados que deben ser

tratados
El proceso es altamente sensible a prdidas dados los volmenes de dinero
que administra , a que se encuentra en un proceso de cambio significativo,
etc.; y/o segn su experiencia, las prdidas operacionales pasadas se
relacionan en ms de un 30% a este proceso.
El proceso esta relacionado directamente a un proceso critico del negocio
segn el BIA

Relaciones

0: El grado de madurez de recuperacin del proceso ante incidentes y/o

problemas es nula o poco significativa
1: El grado de madurez de recuperacin del proceso ante incidentes y/o
problemas es parcial
2: El grado de madurez de recuperacin del proceso ante incidentes y/o
problemas es muy significativa y/o total
El grado de madurez del proceso esta relacionado a la evaluacin de
acuerdo a la norma de COBIT

Medicin en base a 100% sobre la eficiencia del flujo de los procedimientos

Medicin en base a 100% sobre la automatizacin de los procedimientos