MODELOS ISO27001 - SEARS CAMILO LOZANO JAIME ANDRES PUERTA Auditoria en Sistemas EAFIT 2009.
34
MODELOS MODELOS ISO27001 - SEARS ISO27001 - SEARS CAMILO LOZANO CAMILO LOZANO JAIME ANDRES PUERTA JAIME ANDRES PUERTA Auditoria en Sistemas Auditoria en Sistemas EAFIT 2009 EAFIT 2009
-
Upload
ria-ovando -
Category
Documents
-
view
10 -
download
2
Transcript of MODELOS ISO27001 - SEARS CAMILO LOZANO JAIME ANDRES PUERTA Auditoria en Sistemas EAFIT 2009.
MODELOS MODELOS ISO27001 - SEARSISO27001 - SEARS
CAMILO LOZANOCAMILO LOZANOJAIME ANDRES PUERTAJAIME ANDRES PUERTA
Auditoria en SistemasAuditoria en SistemasEAFIT 2009EAFIT 2009
TEMASTEMAS
• NORMASNORMAS• ISO 2700ISO 2700• BS 7799BS 7799• SEARSSEARS
• ANTECENDENTESANTECENDENTES• APLICACIONESAPLICACIONES• MODELOSMODELOS• CONCLUSIONESCONCLUSIONES• BIBLIOGRAFIABIBLIOGRAFIA
INTRODUCCIÓNINTRODUCCIÓN
¿Por qué se necesita seguridad en la información?Por qué se necesita seguridad en la información?
¿Cómo establecer los requerimientos de seguridad?¿Cómo establecer los requerimientos de seguridad?
Evaluando los riesgos de seguridadEvaluando los riesgos de seguridad
Selección de controlesSelección de controles
Factores críticos de éxitoFactores críticos de éxito
X
0.7 Factores de éxito críticosLa experiencia ha demostrado que los siguientes factores con frecuencia son críticos para unaexitosa implementación de la seguridad de la información dentro de una organización:a) política, objetivos y actividades de seguridad de información que reflejan losobjetivos comerciales;b) un enfoque y marco referencial para implementar, mantener, monitorear y mejorarla seguridad de la información que sea consistente con la cultura organizacional;c) soporte visible y compromiso de todos los niveles de gestión;d) un buen entendimiento de los requerimientos de seguridad de la información,evaluación del riesgo y gestión del riesgo;e) marketing efectivo de la seguridad de la información con todo los gerentes,empleados y otras partes para lograr conciencia sobre el tema;f) distribución de lineamientos sobre la política y los estándares de seguridad de lainformación para todos los gerentes, empleados y otras partes involucradas;g) provisión para el financiamiento de las actividades de gestión de la seguridad de lainformación;h) proveer el conocimiento, capacitación y educación apropiados;i) establecer un proceso de gestión de incidentes de seguridad de la información;j) implementación de un sistema de medición1 que se utiliza para evaluar eldesempeño en la gestión de la seguridad de la información y retroalimentación desugerencias para el mejoramiento.
X
0.5 Selección de controlesUna vez que se han identificado los requerimientos y los riesgos de seguridad y se hantomado las decisiones para el tratamiento de los riesgos, se debieran seleccionar los controlesapropiados y se debieran implementar para asegurar que los riesgos se reduzcan a un nivelaceptable. Los controles se pueden seleccionar a partir de este estándar o de otros conjuntosde controles, o se pueden diseñar controles nuevos para cumplir con necesidades específicasconforme sea apropiado. La selección de los controles de seguridad depende de lasdecisiones organizacionales basadas en el criterio de aceptación del riesgo, opciones detratamiento del riesgo y el enfoque general para la gestión del riesgo aplicado a laorganización, y también debieran estar sujetas a todas las regulaciones y legislaciónnacionales e internacionales relevantes.
X
0.4 Evaluando los riesgos de la seguridadLos requerimientos de seguridad se identifican mediante una evaluación metódica de losriesgos de seguridad. El gasto en controles debiera ser equilibrado con el daño comercialprobable resultado de fallas en la seguridad.Los resultados de la evaluación del riesgo ayudarán a guiar y determinar la acción de gestiónapropiada y las prioridades para manejar los riesgos de seguridad de la información, eimplementar los controles seleccionados para protegerse contra esos riesgos.La evaluación del riesgo se debiera repetir periódicamente para tratar cualquier cambio quepodría influir en los resultados de la evaluación del riesgo.
X
0.3 ¿Cómo establecer los requerimientos de seguridad?Es esencial que una organización identifique sus requerimientos de seguridad. Existen tresfuentes principales de requerimientos de seguridad,Una fuente se deriva de evaluar los riesgos para la organización, tomando en cuenta laestrategia general y los objetivos de la organización. A través de la evaluación del riesgo, seidentifican las amenazas para los activos, se evalúa la vulnerabilidad y la probabilidad deocurrencia y se calcula el impacto potencial.9Otra fuente son los requerimientos legales, reguladores, estatutarios y contractuales quetienen que satisfacer una organización, sus socios comerciales, contratistas y proveedores deservicio; y su ambiente socio-cultural.Otra fuente es el conjunto particular de principios, objetivos y requerimientos comerciales parael procesamiento de la información que una organización ha desarrollado para sostener susoperaciones.
ISO27001ISO27001
ISO27001ISO27001
• ISO es una organización internacional no ISO es una organización internacional no gubernamental que produce normas gubernamental que produce normas internacionales industriales y comerciales.internacionales industriales y comerciales.
• El propósito es facilitar el comercio, intercambio El propósito es facilitar el comercio, intercambio de información y contribuir con estándares de información y contribuir con estándares comunes para el desarrollo y transferencia de comunes para el desarrollo y transferencia de tecnologías. tecnologías.
ISO27001 ISO27001
• Desde 1946 la normatividad ISO fue una de las primeras con Desde 1946 la normatividad ISO fue una de las primeras con pretensiones pretensiones de estandarizar normas, reglamentos y formas de de estandarizar normas, reglamentos y formas de trabajo en las organizaciones a nivel internacional. trabajo en las organizaciones a nivel internacional.
• En 1987 aparece, por primera vez, un estándar que en vez de En 1987 aparece, por primera vez, un estándar que en vez de certificar productos asegura procesos. certificar productos asegura procesos.
• ISO/IEC 27000 es un conjunto de estándares desarrollados -o ISO/IEC 27000 es un conjunto de estándares desarrollados -o en fase de desarrollo- por ISO (International Organization for en fase de desarrollo- por ISO (International Organization for Standardization) e IEC (International Electrotechnical Standardization) e IEC (International Electrotechnical Commission), que proporcionan un marco de gestión de la Commission), que proporcionan un marco de gestión de la seguridad de la información utilizable por cualquier tipo de seguridad de la información utilizable por cualquier tipo de organización, pública o privada, grande o pequeña. organización, pública o privada, grande o pequeña.
ISO27001ISO27001ANTECEDENTES:ANTECEDENTES:
• La serie 27000 de estándares ISO es un conjunto de La serie 27000 de estándares ISO es un conjunto de documentos globalmente aceptado para administrar la documentos globalmente aceptado para administrar la seguridad de la información seguridad de la información
• La serie incluye documentos específicos para definir un La serie incluye documentos específicos para definir un sistema de gestión de seguridad de la información, buenas sistema de gestión de seguridad de la información, buenas prácticas de control, métricas de seguridad y gestión de prácticas de control, métricas de seguridad y gestión de riesgo.riesgo.
• Es consistente con las mejores prácticas descritas en Es consistente con las mejores prácticas descritas en ISO/IEC 17799 (actualmente ISO/IEC 27002) y tiene su ISO/IEC 17799 (actualmente ISO/IEC 27002) y tiene su origen en la revisión de la norma británica British Standard origen en la revisión de la norma británica British Standard BS 7799-2.BS 7799-2.
ISO27001ISO27001HISTORIA:HISTORIA:
Desde 1901 BSI es responsable de la publicación de Desde 1901 BSI es responsable de la publicación de importantes normas como la BS7799 (1995), con objeto importantes normas como la BS7799 (1995), con objeto de preparar las empresas en la certificación de la de preparar las empresas en la certificación de la Gestión de la Seguridad de su Información por medio de Gestión de la Seguridad de su Información por medio de una auditoría realizada por un auditor acreditado y una auditoría realizada por un auditor acreditado y externo. externo.
La norma BS7799 se divide en dos partes:La norma BS7799 se divide en dos partes:
BS7799-1. BS7799-1. BS7799-2. BS7799-2.
ISO27001ISO27001• Tras la revisión de las dos partes de la norma BS7799 en Tras la revisión de las dos partes de la norma BS7799 en
1999, la primera parte se adopta por la Organización 1999, la primera parte se adopta por la Organización Internacional para la Estandarización ISO, sin cambios Internacional para la Estandarización ISO, sin cambios sustanciales, como ISO17799 en el año 2000. sustanciales, como ISO17799 en el año 2000.
• En 2005, y con más de 1700 empresas certificadas en En 2005, y con más de 1700 empresas certificadas en BS7799-2, el esquema SGSI de la norma se publica por BS7799-2, el esquema SGSI de la norma se publica por ISO bajo la norma 27001, junto a la primera revisión ISO bajo la norma 27001, junto a la primera revisión formal realizada en ese mismo año de ISO17799.formal realizada en ese mismo año de ISO17799.
• En Marzo de 2006, posteriormente a la publicación de la En Marzo de 2006, posteriormente a la publicación de la ISO27001:2005, BSI publicó la BS7799-3:2006, centrada ISO27001:2005, BSI publicó la BS7799-3:2006, centrada en la gestión del riesgo de los sistemas de información.en la gestión del riesgo de los sistemas de información.
ISO27001ISO27001
MODELO:MODELO:
PLAN (Planificar)PLAN (Planificar)
•Identificar el proceso que se quiere Identificar el proceso que se quiere mejorar mejorar •Recopilar datos para profundizar en Recopilar datos para profundizar en el conocimiento del proceso el conocimiento del proceso •Análisis e interpretación de los Análisis e interpretación de los datos datos •Establecer los objetivos de mejora Establecer los objetivos de mejora •Detallar las especificaciones de los Detallar las especificaciones de los resultados esperados resultados esperados •Definir los procesos necesarios Definir los procesos necesarios para conseguir estos objetivos, para conseguir estos objetivos, verificando las especificacionesverificando las especificaciones
DO (Hacer)
Ejecutar los procesos definidos en el paso anterior Documentar las acciones realizadas
CHECK (Revisar)
Pasado un periodo de tiempo previsto de antemano, volver a recopilar datos de control y analizarlos, comparándolos con los objetivos y especificaciones iniciales, para evaluar si se ha producido la mejora esperada Documentar las conclusiones
ACT (Actuar)
•Modificar los procesos según las conclusiones del paso anterior para alcanzar los objetivos con las especificaciones iniciales, si fuese necesario •Aplicar nuevas mejoras, si se han detectado errores en el paso anterior •Documentar el proceso
ISO27001ISO27001OBJETIVO:OBJETIVO:
• Brindar recomendaciones a los responsables de Brindar recomendaciones a los responsables de planear, implantar o mantener controles para garantizar planear, implantar o mantener controles para garantizar la Seguridad de la Información. Provee una base común la Seguridad de la Información. Provee una base común para el desarrollo de estándares de seguridad aplicables para el desarrollo de estándares de seguridad aplicables a una empresa en particular tomando como referencia a una empresa en particular tomando como referencia un conjunto de prácticas que han probado su un conjunto de prácticas que han probado su efectividad. efectividad.
ISO27001ISO27001
BENEFICIOS:BENEFICIOS:
• Establecimiento de una metodología de gestión de la Establecimiento de una metodología de gestión de la seguridad clara y estructurada. seguridad clara y estructurada.
• Reducción del riesgo de pérdida, robo o corrupción de Reducción del riesgo de pérdida, robo o corrupción de información. información.
• Los clientes tienen acceso a la información a través Los clientes tienen acceso a la información a través medidas de seguridad. medidas de seguridad.
ISO27001ISO27001• Las auditorías externas ayudan cíclicamente a identificar Las auditorías externas ayudan cíclicamente a identificar
las debilidades del sistema y las áreas a mejorar. las debilidades del sistema y las áreas a mejorar.
• Posibilidad de integrarse con otros sistemas de gestión Posibilidad de integrarse con otros sistemas de gestión (ISO 9001, ISO 14001, OHSAS 18001L). (ISO 9001, ISO 14001, OHSAS 18001L).
• Garantiza la confidencialidad, integridad y disponibilidad Garantiza la confidencialidad, integridad y disponibilidad de la información con base en la mejora de los procesos de la información con base en la mejora de los procesos de TI. de TI.
• Reducción de costes y mejora de los procesos y servicio. Reducción de costes y mejora de los procesos y servicio.
ISO27001ISO27001IMPLEMENTACIÓNIMPLEMENTACIÓN
5 - Documento sobre política de seguridad de la información el cual debe ser aprobado por la administración y publicado y comunicado a todos los empleados y las organizaciones externas relevantes.6 – Coordinación de la seguridad de la información: Las actividades de seguridad de la información deben ser coordinadas por representantes de diferentes partes de la organización con roles y funciones relevantes.7 – Inventario de activos: Todos los activos deben ser plenamente identificados y se deben ubicar todos los activos importantes en un inventario el cual debe ser mantenido.
8 – Proceso disciplinario: Habrá proceso formal disciplinario para los empleados que generen brechas de seguridad.9 – Controles físicos de entrada: Las áreas seguras deben ser protegidas con controles de ingreso apropiados para asegurar que solo el personal autorizado pueda ingresar.
10 – Respaldo de información: Las copias de respaldo de información y software serán realizadas y probadas regularmente de acuerdo con la política de respaldo aprobada.11 – Autenticación de usuario para conexiones externas: Se
deben usar métodos de autenticación apropiados para controlar el acceso de usuarios remotos.
12 – Control de acceso a código fuente de aplicaciones: El acceso a código fuente de aplicaciones debe estar restringido.
13 – Reporte de debilidades de seguridad: Todos los empleados, contratistas, y usuarios de outsourcing que utilicen los sistemas o servicios de información deben notificar y reportar cualquier debilidad observada o que se sospeche de dichos sistemas.
14 – Pruebas y mantenimiento de planes de continuidad de negocio: Los planes de continuidad de negocio deben ser probados y actualizados regularmente para asegurar que están listos para ser ejecutados cuando se necesiten.15 – Verificación de cumplimiento técnico: Los sistemas de información se deben verificar regularmente para chequear su cumplimiento con los estándares de implementación de seguridad.
ISO27001ISO27001
IMPACTO EN LA INDUSTRIA:IMPACTO EN LA INDUSTRIA:
• La información es un activo vital para la continuidad y La información es un activo vital para la continuidad y desarrollo de cualquier organización pero la implantación desarrollo de cualquier organización pero la implantación de controles y procedimientos de seguridad se realiza de controles y procedimientos de seguridad se realiza frecuentemente sin un criterio común establecido, en torno frecuentemente sin un criterio común establecido, en torno a la compra de productos técnicos y sin considerar toda la a la compra de productos técnicos y sin considerar toda la información esencial que se debe proteger. información esencial que se debe proteger.
• La Organización Internacional de Estandarización (ISO), a La Organización Internacional de Estandarización (ISO), a través de las normas recogidas en ISO/IEC 27000, través de las normas recogidas en ISO/IEC 27000, establece una implementación efectiva de la seguridad de establece una implementación efectiva de la seguridad de la información empresarial.la información empresarial.
IMPACTO EN LA INDUSTRIAIMPACTO EN LA INDUSTRIA
Organización PaísNúmero de Certificado
Entidad Certificadora
EstándarBS 7799-2:2002 o ISO/IEC
27001:2005
ComBanc S.A. Colombia IS 531192 BSIISO/IEC
27001:2005
Etek International Holding Corp. Colombia IS 84320 BSIISO/IEC
27001:2005
Ricoh Colombia, S.A. Colombia IS 85241 BSIISO/IEC
27001:2005
UNISYS Global Outsourcing & Infrastructure Services
(GOIS)/Maintenance Support Services (MSS)
Colombia IS 97104 BSIISO/IEC
27001:2005
FluidSignal Group Colombia - ICONTECISO/IEC
27001:2005
SEARSSEARS
SEARSSEARSANTECEDENTES:
• La SuperIntendencia Bancaria de Colombia a través de la Circular Externa 007 de 1996 exige a las entidades aseguradoras el cumplimiento de un Margen de Solvencia y un Patrimonio Técnico para poder operar.
• La SuperIntendencia Bancaria de Colombia (hoy en día SuperFinanciera) a través de la circular externa 011 de 2002, define los parámetros generales que debe tener todo establecimiento de crédito para gestionar el riesgo crediticio.
• La Circular 31 de 2002 exige la definición de un Sistema de Administración de Riesgos (SAR).
• En la Circular Externa 052 de 2002 se le exige a las empresas de seguros la implementación de un Sistema Especial de Administración de Riesgos de Seguros (SEARS), por medio del cual pueda identificar, medir, evaluar y controlar los riesgos inherentes a su actividad.
SEARSSEARS
Las entidades aseguradoras se encuentran expuestas, Las entidades aseguradoras se encuentran expuestas, además de los riesgos generales a que se expone toda además de los riesgos generales a que se expone toda entidad financiera, a riesgos particulares de la actividad entidad financiera, a riesgos particulares de la actividad aseguradora como serían los riesgos de suscripción y de aseguradora como serían los riesgos de suscripción y de insuficiencia de reservas técnicas. Por lo tanto es vital que insuficiencia de reservas técnicas. Por lo tanto es vital que las entidades aseguradoras adopten, como parte integral de las entidades aseguradoras adopten, como parte integral de su Sistema general de Administración de Riesgos (SAR), su Sistema general de Administración de Riesgos (SAR), sistemas especiales de identificación, medición, evaluación sistemas especiales de identificación, medición, evaluación y control de aquellos riesgos particulares a su actividad que y control de aquellos riesgos particulares a su actividad que operen coordinadamente con los presupuestos generales operen coordinadamente con los presupuestos generales de administración de riesgos. de administración de riesgos.
SEARSSEARS
El SEARS está concebido como las políticas, El SEARS está concebido como las políticas, metodologías y procesos de control que la respectiva metodologías y procesos de control que la respectiva entidad adopta con el propósito de identificar, administrar entidad adopta con el propósito de identificar, administrar y gestionar los riesgos propios de su actividad.y gestionar los riesgos propios de su actividad.
Toda entidad aseguradora debe diseñar y adoptar su Toda entidad aseguradora debe diseñar y adoptar su propio Sistema Especial de Administración de Riesgos de propio Sistema Especial de Administración de Riesgos de Seguros (SEARS) que le permita realizar una adecuada Seguros (SEARS) que le permita realizar una adecuada gestión de los riesgos propios de su actividad.gestión de los riesgos propios de su actividad.
SEARSSEARS
El SEARS debe contar con los siguientes elementos El SEARS debe contar con los siguientes elementos que que en función de las características, tamaño y en función de las características, tamaño y complejidad de las operaciones realizadas por cada complejidad de las operaciones realizadas por cada entidad, pueden adoptarse independientemente o entidad, pueden adoptarse independientemente o formar parte del sistema general:formar parte del sistema general:
• Políticas sobre asunción de riesgos Políticas sobre asunción de riesgos
• Procesos de Control de Riesgos Procesos de Control de Riesgos
SEARSSEARS
• Infraestructura adecuada para la gestión de los Infraestructura adecuada para la gestión de los riesgos de segurosriesgos de seguros
• Metodologías especiales para la medición de los Metodologías especiales para la medición de los riesgos de segurosriesgos de seguros
• Mecanismos de control de los procesos.Mecanismos de control de los procesos.
SEARSSEARS
Este modelo no se aplica solamente a entidades Este modelo no se aplica solamente a entidades aseguradoras. Las empresas de diferentes aseguradoras. Las empresas de diferentes sectores que han optado por adoptar este modelo sectores que han optado por adoptar este modelo de control de riesgo. Se aplica en todo tipo de de control de riesgo. Se aplica en todo tipo de empresa. Desde la pyme hasta la gran empresa.empresa. Desde la pyme hasta la gran empresa.
SEARSSEARS
CARACTERISTICAS DEL SEARS:CARACTERISTICAS DEL SEARS:
• Cuantificación del riesgoCuantificación del riesgo • Cubrimiento del riesgo Cubrimiento del riesgo • Control de riesgos Control de riesgos
Diseño y adopción de la estructura general del SEARS
Políticas de administración de riesgos
Estructura de mecanismosde identificación de riesgo
Infraestructura técnica yhumana para la gestión de riesgos
Procesos de control de riesgos
Mecanismos para evaluar los procesos
Instrumentos para capacitar a los encargados de la gestión de riesgo
1ª F
ase
2ª F
ase
Diseño, adopción y aplicación de la metodología de
cuantificación de riesgos
Metodología, base teórica y parámetros empleados
Pruebas de desempeño paraverificar la calidad de resultados
Valores en riesgo estimadosy observados
Información detallada de los encargados del control de riesgos
Estratégico
Reputacional
Operacional
Insuficiencia de reservas técnicas
Legal
Diferencias en condiciones
Concentración
Descuento sobre primas
Tarifación
Suscripción
Liquidez
MercadoCrédito
RIESGO
X
X21/01/20091.3.1. Riesgo de crédito en seguros Se entiende por riesgo de crédito de las entidades aseguradoras a la posibilidad de incurrir en pérdidas por el no pago o pago inoportuno de las obligaciones a cargo de sus reaseguradores, asegurados, intermediarios de seguros y otras compañías de seguros con las cuales realiza operaciones de coaseguro. Incluye la exposición al riesgo de crédito indirecto, el cual se genera, por ejemplo, en la expedición de pólizas de cumplimiento.1.3.2. Riesgo de mercado en segurosSe entiende por riesgo de mercado la posibilidad de incurrir en pérdidas derivadas del incremento no esperado en el monto de sus obligaciones con asegurados, reaseguradores, intermediarios y otros agentes externos a causa de variaciones en las tasas de interés, en la tasa de devaluación o cualquier otro parámetro de referencia.1.3.3. Riesgo de liquidez en segurosSe entiende por riesgo de liquidez la imposibilidad de adquirir u obtener los fondos necesarios para atender el pago de obligaciones de corto plazo bien sea para el pago de siniestros o para el ajuste de reservas inadecuadamente calculadas.1.3.4. Riesgos de suscripción Se entiende por riesgo de suscripción la posibilidad de incurrir en pérdidas como consecuencia de políticas y prácticas inadecuadas en el diseño de productos o en la colocación de los mismos. Dicha categoría de riesgo se puede clasificar en los siguientes tipos: 1.3.4.1. Riesgo de tarifación Corresponde a la probabilidad de pérdida como consecuencia de errores en el cálculo de primas al punto que resulten insuficientes para cubrir los siniestros actuales y futuros, los gastos administrativos y la rentabilidad esperada. 1.3.4.2. Riesgo de descuentos sobre primas Corresponde a la probabilidad de pérdida en que puede incurrir una entidad como consecuencia del otorgamiento inadecuado de descuentos sobre primas. 1.3.4.3. Riesgo de concentraciónCorresponde a la probabilidad de pérdida en que puede incurrir una entidad como consecuencia de una inadecuada diversificación de los riesgos asumidos.1.3.4.4. Riesgos de diferencias en condicionesCorresponde a la probabilidad de pérdida que se genera como consecuencia de diferencias entre las condiciones originalmente aceptadas de los tomadores de pólizas y las aceptadas a su vez por los reaseguradotes de la entidad 1.3.5. Riesgo de insuficiencia de reservas técnicas Corresponde a la probabilidad de pérdida como consecuencia de una subestimación en el cálculo de las reservas técnicas y otras obligaciones contractuales. (Participación de utilidades, pago de beneficios garantizados, etc.) 1.3.6. Riesgo legal en seguros Se entiende por riesgo legal en seguros a la posibilidad de incurrir en pérdidas derivadas del incumplimiento de normas legales, de la inobservancia de disposiciones reglamentarias, de códigos de conducta o normas éticas en cualquier jurisdicción en la cual opere la entidad aseguradora. Así mismo, el riesgo legal puede derivar de situaciones de orden legal que puedan afectar la titularidad de los activos o la efectiva recuperación de su valor.1.3.7. Riesgo operacional en segurosSe entiende por riesgo operacional a la posibilidad de incurrir en pérdidas derivadas de problemas en el desarrollo de las funciones del negocio o sus procesos. La exposición a este riesgo puede resultar de una deficiencia o ruptura en los controles internos o procesos de control, fallas tecnológicas, errores humanos, deshonestidad, fraude o catástrofes naturales.1.3.8. Riesgo estratégico en segurosCorresponde a la probabilidad de pérdida como consecuencia de la imposibilidad de implementar apropiadamente los planes de negocio, las estrategias, las decisiones de mercado, la asignación de recursos y su incapacidad para adaptarse a los cambios en el entorno de los negocios.1.3.9. Riesgo reputacional en segurosCorresponde a la probabilidad de perdida como consecuencia de incurrir en perdidas derivadas de la celebración de contratos de seguros y reaseguros con personas y entidades que generen un bajo nivel de confianza para sus asegurados por su nivel de solvencia o la conducta de sus funcionarios o por la celebración de acuerdos sobre los cuales recaiga una publicidad negativa, así como la realización de prácticas que puedan derivar en demandas legales y perdida de credibilidad del publico.
SEARSSEARS
REGLAS ESPECIALES DE LA ESTRUCTURA Y REGLAS ESPECIALES DE LA ESTRUCTURA Y
OPERACIÓN DEL SEARS: OPERACIÓN DEL SEARS:
• InfraestructuraInfraestructura• Características de las metodologías de cuantificación Características de las metodologías de cuantificación
de los riesgos de seguros de los riesgos de seguros • Procesos de control y de monitoreo de riesgosProcesos de control y de monitoreo de riesgos • Periodicidad de la evaluación y reporte a la SBC Periodicidad de la evaluación y reporte a la SBC • Facultad de objeción del SEARS por parte de la SBCFacultad de objeción del SEARS por parte de la SBC
CONCLUSIONESCONCLUSIONES• Ni la adopción ni la certificación de cualquiera de la Ni la adopción ni la certificación de cualquiera de la
normas en especial la ISO 27001:2005 garantizan la normas en especial la ISO 27001:2005 garantizan la inmunidad de la organización frente a problemas de inmunidad de la organización frente a problemas de seguridad.seguridad.
• Constantemente se deben de realizar análisis periódico Constantemente se deben de realizar análisis periódico de los riesgos.de los riesgos.
• La responsabilidad en el manejo de la información no La responsabilidad en el manejo de la información no solo depende del departamento encargado de TI.solo depende del departamento encargado de TI.
• La certificación implica realizar un cambio cultural al La certificación implica realizar un cambio cultural al interior de la empresa respecto al cuidado del activo interior de la empresa respecto al cuidado del activo más importante de una organización: LA más importante de una organización: LA INFORMACIÓNINFORMACIÓN
BIBLIOGRAFIABIBLIOGRAFIA• Información detallada de la norma ISO/IEC 27001. Información detallada de la norma ISO/IEC 27001. http://
www.xunlay.com/iso/ (18 Enero. 2009) (18 Enero. 2009)
• El portal de ISO 27000 en El portal de ISO 27000 en EspañolEspañol. . http://www.iso27000.es/ (18 Enero. 2009) (18 Enero. 2009)
• Enjuto, Joseba. Diferencia entre ISO 27001 e ISO 27002. Enjuto, Joseba. Diferencia entre ISO 27001 e ISO 27002. http://secugest.blogspot.com/2007/09/diferencias-entre-http://secugest.blogspot.com/2007/09/diferencias-entre-iso-27001-e-iso-27002.htmliso-27001-e-iso-27002.html (18 (18 Enero. 2009) Enero. 2009)
• ICONTEC Internacional, Certificación ISO 27001. ICONTEC Internacional, Certificación ISO 27001. http://www.icontec.org/BancoConocimiento/C/certificacionhttp://www.icontec.org/BancoConocimiento/C/certificacion_iso_27001/certificacion_iso_27001.asp?CodIdioma=ESP _iso_27001/certificacion_iso_27001.asp?CodIdioma=ESP (20 Enero. 2009) (20 Enero. 2009)
BIBLIOGRAFIABIBLIOGRAFIA• INTECO S.A, Normativa – ISO 27002. INTECO S.A, Normativa – ISO 27002.
https://sgsi.inteco.es/index.php/es/conceptos-de-un-sgsi/nhttps://sgsi.inteco.es/index.php/es/conceptos-de-un-sgsi/normativa?start=2 (19 Enero. 2009)ormativa?start=2 (19 Enero. 2009)
• La Flecha, tu diario de ciencia y tecnología. La Flecha, tu diario de ciencia y tecnología. http://www.laflecha.net/canales/seguridad/articulos/metodhttp://www.laflecha.net/canales/seguridad/articulos/metodologia-de-implantacion-y-certificacion-de-iso27001/ (18 ologia-de-implantacion-y-certificacion-de-iso27001/ (18 Enero. 2009)Enero. 2009)
• Superintendencia Bancaria, Doctrinas y conceptos Superintendencia Bancaria, Doctrinas y conceptos financieros. financieros. http://www.superfinanciera.gov.co/Normativa/doctrinas200http://www.superfinanciera.gov.co/Normativa/doctrinas2003/adminriesgos004.htm (20 Enero de 2009) 3/adminriesgos004.htm (20 Enero de 2009)
PREGUNTAS…PREGUNTAS…
GRACIAS…GRACIAS…
