Issuu on Google+

Manual de Riesgo Operacional


M an u al de B uenas Prรกct icas Riesgo Operacional


índice

> Manual de Riesgo Operacional I. Manual de Riesgo Operacional

4

Bienvenidos al mundo del Riesgo Operacional

5

¿Qué es el Riesgo Operacional?

6

¿Qué NO es Riesgo Operacional?

6

Diferencias estructurales entre los riesgos

6

¿Por qué administrar el Riesgo Operacional?

7

Levantamiento de Riesgos y Controles

9

Nuestro marco legal: Políticas y Normas vigentes

10

Breve Diccionario de Factores de Riesgo y sus ejemplos

10

Indicadores Claves de Riesgo Operacional - KRI

14

Periodicidad de Elaboración Informes

15

Buenas prácticas de Riesgo Operacional

16

II. Manual Gestión Integral de Seguridad de la Información

18

Bienvenidos al mundo de la seguridad de la información

19

¿Por qué es importante la seguridad de la información?

20

Pilares de la Seguridad de la Información:

20

Ambitos de Acción de la Seguridad de la Información

22

¿Cómo estamos organizados para asegurar la información?

22

Las áreas responsables de la Administración de Seguridad son: 23 ¿Qué pasa con el personal externo?

25

¿Cómo controlamos el acceso?

26

Control de Red

28

Clasificación y Control de Activos de Información

29

Intercambio de Información

30

Seguridad en el Uso del Correo Electrónico

32

Adquisición, Desarrollo y Mantención de Sistemas

35

Gestión de Incidentes

35

Continuidad del Negocio

36

III. Manual Continuidad del Negocio

38

Bienvenidos al mundo de la Continuidad del Negocio

39

Breve historia

40

¿Estamos preparados?

41

¿Qué es?

41


Manual de Riesgo Operacional

M anual de Buenas P rรกcticas Ries go Operacional


> Manual de Riesgo Operacional

Bienvenidos al mundo del Riesgo Operacional La administración de riesgo operacional no es un tema nuevo para los bancos. Pero sin duda que en los últimos años ha tenido fuertes cambios a nivel mundial, acelerados por nuevas regulaciones como Basilea II, mayor sofisticación de las operaciones, así como por fracasos corporativos que han llevado a pérdidas millonarias y hasta la quiebra de entidades financieras. Nuestro Banco cuenta con una serie de procedimientos, políticas y prácticas de gestión enfocadas a minimizar tanto la probabilidad de que un incidente ocurra en nuestros sistemas, procesos o personas, como también su impacto interno y externo. Las decisiones que giran en torno al Riesgo Operacional se toman al más alto nivel, partiendo por el Comité Ejecutivo y el Comité de Riesgo Operacional encabezado por nuestro Vicepresidente; hasta llegar a la Dirección de Cumplimiento y Seguridad Operacional quienes velan por la implantación y monitoreo de las políticas y procedimientos.

I

Así, en BancoEstado, cuando hablamos de Riesgo Operacional, nos referimos a una extensa red de gestión que contempla temáticas como Seguridad de la Información (que veremos en la segunda parte de este Manual) y Continuidad del Negocio (que integra la 3ª parte de este documento), además de Lavado de Dinero, Calidad, entre otros aspectos. De la unión de estos componentes podemos hablar de Administración del Riesgo Operacional, en un sentido preventivo, continuo y transversal.


¿Qué es el Riesgo Operacional? Es el riesgo de pérdida debido a la inadecuación o a las fallas de los procesos, el personal y los sistemas internos o bien, por causas externas.

¿Qué NO es Riesgo Operacional? No incluye ni Riesgo de Crédito ni Riesgo de Mercado.

Diferencias estructurales entre los riesgos Administrar el riesgo operacional difiere del manejo del riesgo de mercado o de crédito porque el riesgo operacional afecta cada actividad y proceso en una institución financiera. Por lo tanto, la responsabilidad de su administración no se puede centralizar completamente, pero debe tomar su lugar en un nivel de grupo corporativo y dentro de las líneas de negocio, según lo descrito enseguida.

Mercado

Crédito

Operacional

Niveles de inspección

Mesa de dinero/ portafolio

Portafolio de Créditos

Línea de negocios

Categoría de riesgos

Intereses

Segmento

Categoría de eventos de pérdida

Elementos del Portafolio

Inversiones

Créditos

Procesos

Pérdida Máxima Total

Valor del mercado

Volumen de crédito

Valor de liquidación de los bancos.

Número de créditos

Ilimitado

Número máximo Número de de visitas inversiones

M anual de Buenas P rácticas Ries go Operacional


> Manual de Riesgo Operacional Por ejemplo

Pérdidas asociadas tradicionalmente a un negocio de crédito, no resultan de un riesgo real de crédito sino de un riesgo operacional.

Un ejemplo es un crédito moroso o vencido que desde el proceso de otorgamiento fue mal administrado y da como resultado la asignación de una calificación incorrecta o el cambio en una calificación automáticamente asignada.

¿Por qué administrar el Riesgo Operacional? Para disminuir las pérdidas esperadas, minimizar las pérdidas catastróficas (no esperadas), reducir la ocurrencia de errores, optimizar los requerimientos de Capital en el cumplimiento de la normativa relativa a Basilea II y mejorar positivamente la imagen del Banco, frente al regulador y los clientes.

¿Es cuantificable? Ciertamente que sí. Aunque la Gestión de Riesgo analiza tanto variables cualitativas como cuantitativas, basta conocer algunas malas historias financieras, para darnos cuenta de que pequeñas fallas, en reiteradas ocasiones, pueden acarrear pérdidas millonarias que afectan el normal funcionamiento de una organización. Así es el caso del Banco Barings, con pérdidas operativas cercanas a los 850 millones de USD, que lo obligaron a cerrar el 28 de febrero de 1995, tras más de 230 años de existencia. Lo peor es que el nivel exacto de las pérdidas no pudo ser conocido hasta el día de finalización de cada uno de los contratos.


Recuerda ¡Todos aportamos a la Gestión del Riesgo Operacional!

En resumen, se trata de trabajar con calidad e impecabilidad en cada puesto que el trabajador ocupe dentro del Banco. Por ejemplo, en Marketing velarán porque la salida de un producto respete la normativa legal vigente, tenga el precio adecuado y sea de utilidad para los clientes; en sucursales supervisarán que los circuitos de aprobación sean claros, expeditos y conocidos por todos; en Recursos Humanos verán porque las vacantes sean llenadas en el menor tiempo posible y con el personal idóneo, mientras que en Seguridad chequearán dos veces una llamada a Carabineros, para evitar las falsas alarmas y las consecuentes multas al Banco.

¡Tú puedes!

Como trabajadores de un Banco sabemos la importancia del Riesgo de Mercado y del Riesgo de Crédito. Así mismo debemos preocuparnos del Riesgo Operacional.

¿Quiénes son los responsables de su administración? 1. Responsables y ejecutores de los procesos: son los gestores primarios del riesgo. 2. Dirección de Cumplimiento y Seguridad Operacional (DCSO): esta área se encarga de asegurar la implantación el Modelo de Gestión de ROP, entregar Metodología y Apoyo Técnico, reportar el avance al Comité de Riesgo Operacional. Está compuesta por 3 Unidades: 33 Unidad de Control de Lavado de Dinero 33 Unidad de Cumplimiento Normativo 33 Unidad de Seguridad Operacional

M anual de Buenas P rácticas Ries go Operacional


> Manual de Riesgo Operacional 3. Contraloría: responsable de evaluar la efectividad de la implementación de las políticas de Riesgo Operacional. 4. Comité de Riesgo Operacional: responsable de asegurar la implantación del modelo de gestión de Riesgo Operacional en el Banco, asegurando la alineación con Basilea II y con lo establecido por la SBIF.

¿Quiénes componen este Comité? 33 Vicepresidente del Banco (lo preside) 33 Gerente General de Créditos. 33 Gerente de Planificación y Estudios. 33 Gerente de Riesgo Corporativo. 33 Gerente de la División Operaciones y Sistemas. 33 Contralor. 33 Gerente Legal.

Levantamiento de Riesgos y Controles Es probable que en la etapa de levantamiento de riesgos y controles, recibas una invitación a alguna reunión llamada de Autoevaluación o Votación, liderada por el Subgerente de Riesgo Operacional. Si eres citado, aprovecha esta instancia para hacer todas las observaciones que estimes conveniente. De tus observaciones, puede depender el nivel de criticidad que le demos a un proceso, producto o sistema.

¡Tú puedes!

Es nuestra obligación como Empleados de BancoEstado y de sus filiales, conocer y aplicar las políticas y normas de Riesgo Operacional.


Nuestro marco legal: Políticas y Normas vigentes ++ Política de Gestión Integral del Riesgo Operacional: encuéntrala en el SUM, alojado en la Intranet del Banco.

++ Procedimiento de reporte de pérdidas, incidentes e indicadores claves de riesgo. Encuéntralo en…

•• A este marco normativo, deben agregarse requerimientos normativos de la SBIF, SVS, BC, las leyes en general y toda la normativa interna. (ver SUM).

Breve Diccionario de Factores de Riesgo y sus ejemplos

A

Accidentes o Enfermedades Laborales

Asignación de perfiles de acceso inadecuados

D

Ejemplo: Accidentes o enfermedades del personal ya sea de planta, a honorarios o subcontratados del banco, en dependencias del Banco o en el trayecto hogar – trabajo, trabajo – hogar, afectando al Banco por alzas de prima en seguros, contratación de personal de reemplazo o indemnizaciones.

Ejemplo: Error en la asignación o definición de perfiles debido al cual la se otorgan más privilegios de lo necesario, permitiendo la ejecución de transacciones por personal sin las debidas atribuciones.

Defectos en el diseño o implantación de productos y / o servicios

Ejemplo: Existencia de insuficiencias o errores en el diseño de los productos y servicios, que producen deficiencias operativas, falta de controles adecuados o mucho procesamiento manual, que eventualmente hace al proceso propenso a errores afectando el resultado del proceso o en la entrega del servicio.

M anual de Buenas P rácticas Ries go Operacional


> Manual de Riesgo Operacional

Destrucción dolosa de activos

Discriminación

E

Ejemplo: Defectos en los sistemas de información debido a la falta de controles de integridad en la entrada y custodia de la información, lo que puede generar aceptar información errónea o modificación de ella por personal no autorizado.

Error en abonos / cargos de dineros en cuentas de clientes Ejemplo: Deficiencias en el procesamiento de operaciones financieras y/o contables, con contrapartes comerciales, que significan cargos o abonos a clientes que no corresponden.

Error en cálculo de compensaciones

Ejemplo: Diferenciación en el trato a personas (empleados o clientes) por su condición religiosa, raza, edad, sexo, política, que pueden involucrar al Banco en juicios que signifiquen indemnizaciones por daños y perjuicios.

Errores de Integridad y veracidad de la información que entregan los sistemas.

Ejemplo: Pérdidas de activos generadas por eventos intencionales.

Ejemplo: Pérdidas derivadas de errores en cálculos de compensaciones que deben entregarse a terceros (déficit o superávit).

Error en el cálculo de precio Ejemplo: Pérdidas debido a errores en el cálculo de tasas y precios.

F

Falta de infraestructura y elementos de apoyo

Ejemplo: Pérdidas derivadas de la falta de infraestructura física y tecnológica o recursos insuficientes necesarios para ejecutar el proceso / actividad.


Falta de personal clave para la empresa

Falta de personal capacitado

h

Ejemplo: Pérdidas debido a la ausencia o inexistencia de personal clave o que cuenta con atribuciones superiores para completar un proceso.

Ejemplo: Pérdidas debido a la asignación de atribuciones a personal sin conocimiento en el uso de las distintas funcionalidades de los sistemas que soportan el subproceso, normativa mal comprendida o mal aplicada, que resultan en errores en los procesos y/o en la destrucción de activos de información.

Huelgas:

Ejemplo: Paralización voluntaria de funciones de trabajadores del Banco y/o de sus proveedores que afectan la Institución por pago de indemnizaciones, encarecimiento de los procesos en que interviene el personal o pérdida de negocios y/o clientes.

i

Incumplimiento de contrato:

Incumplimiento de plazos o de responsabilidades

Ejemplo: Infracción o violación unilateral al acuerdo tomado entre las partes (Banco- Cliente), aplicándose modificaciones a los términos iniciales del contrato, lo que puede generar perjuicios al Banco por demandas efectuadas por los clientes. Ejemplo: cobros indebidos a clientes.

Ejemplo: Que el Banco o funcionarios del Banco dentro de sus funciones no cumplan con plazos o responsabilidades establecidas por normativa interna y/o externa al Banco, ya sean estos plazos o responsabilidades con un cliente, asesor, proveedor de servicio, cliente interno, o regulador.

Indisponibilidad de plataforma y sistemas tecnológicos

Ejemplo: Interrupciones de servicios de tecnología que impiden la continuidad del proceso tales como: caída de procesos, caída de comunicaciones, incumplimiento de plazos de procesamiento, fallas en servicio de proveedores, caídas de plataformas que soportan el proceso.

M anual de Buenas P rácticas Ries go Operacional


> Manual de Riesgo Operacional

l

Lavado de dinero

p

Pérdida de documentos

Ejemplo: Desarrollar un conjunto de operaciones tendientes a ocultar o disfrazar bienes o recursos que provienen de actividades delictivas, las que el Banco está obligado a detectar e informar.

Ejemplo: Pérdida de documentos valorados o no valorados, y otros elementos físicos tales como: tarjetas ATM, sobres con claves, comprobantes de transacciones, contratos de clientes u otros, que pueden afectar el cumplimiento de metas, logro de un negocio, multas y litigios con un tercero (clientes, proveedores u organismos contralores).

Prácticas comerciales o de mercado improcedentes

Ejemplo: Que el Banco incurra en prácticas que restrinjan la competencia, o que manipule el mercado o realice especulaciones de las que salga beneficiado.

q

Quiebra de proveedores

r

Registros incorrectos de Clientes

Ejemplo: Pérdidas derivadas de la interrupción de servicios producto de la quiebra de proveedores, debido a la falta de planificación o desconocimiento del tercero que presta el servicio por parte de la empresa contratante.

Ejemplo: Pérdidas debido a errores en el procesamiento, ingreso o modificación de información del cliente, involuntariamente.


Indicadores Claves de Riesgo Operacional - KRI Los indicadores claves de Riesgo (KRI) son métricas que permiten advertir en forma temprana sobre la materialización de riesgos de pérdida y la eficiencia y efectividad de los controles implementados. Estos indicadores nos dan “alertas” a las que debemos prestar atención, para prevenir situaciones de riesgo operacional.

¿Dónde medimos? 33 Promedio de días de atraso en envío de información al regulador. 33 Porcentaje de transacciones con excepción sobre el total. 33 Horas de retraso promedio en entrega de información. 33 Número de Retrasos en envío de la información. 33 Números de fraudes prevenidos y/o detectados. 33 Número de Interrupciones en un período. 33 Porcentaje de disponibilidad del sistema. 33 Número de Reclamos de clientes. 33 Números de interrupciones de las comunicaciones en un período. 33 Índice de Rotación del personal. 33 Número de intentos de asalto. 33 Número de fallas detectadas. 33 Número de litigios en curso.

>>Quiz de Riesgo Operacional ¿Con qué conceptos relacionarías el Riesgo Operacional? a. Calidad e impecabilidad al hacer nuestro trabajo. b. Seguridad y normas. c. Regulaciones y garantías. *(Busca la respuesta correcta en la página 46)

M anual de Buenas P rácticas Ries go Operacional


> Manual de Riesgo Operacional Intranet

Las fuentes de información, los responsables de reportar y los procedimientos asociados se encuentran publicados en el Sistema Único de Normas. (Circular N° 2.539 - Registro de Eventos de Pérdida, Recuperaciones, Incidentes e Indicadores por Riesgo Operacional)

Periodicidad de Elaboración Informes a. Informe de Gestión de Riesgo Operacional Dueños y Responsables Los informes son reportados en los primeros días de cada mes con la información recabada en la primera quincena del mes anterior. Distribución: La entrega se realiza mediante correo electrónico enviado desde el Director de Cumplimiento a cada uno de los Dueños y responsables de los procesos, quedando una copia de respaldo en la Subgerencia de Riesgo Operacional como evidencia auditable.

b. Informe de Gestión de Riesgo con información Agregada Quince días antes de la realización Comité de Riesgo Operacional o bien cada tres meses para gestión Interna de la Subgerencia de Riesgo Operacional. Distribución: Se prepara un facsímile con el documento para cada miembro del comité de Riesgo Operacional quince días antes de un Comité de Riesgo Operacional o bien se almacena en directorio compartido cada tres meses.


Buenas prácticas de Riesgo Operacional Envío de Reportes Recuerda enviar los reportes de incidentes y reportes de indicadores en el tiempo y plazos establecidos.

Destrucción de Tarjetas Si un cliente pide anular o bloquear su tarjeta de crédito, además de bloquearla, destruirla en el acto. Así se evita la probabilidad de que un tercero se apropie de esta tarjeta.

Seguro con cobertura de Fraude Al ofrecer o dar un nuevo producto, ofrece el Seguro con cobertura de fraude. Esto evita la suplantación de identidad o uso indebido de las tarjetas.

Reporte de incidentes El procedimiento para reportar un incidente de Riesgo Operacional es muy fácil. Puedes enviar un correo a la casilla electrónica “riesgo operacional” indicando si se trata de un reporte de pérdidas, recuperaciones, incidentes o indicadores, periodicidad del reporte y el nombre de la Gerencia, Subgerencia o Area que reporta. Estos registros no son acumulativos, sólo se refieren al período informado. El ciclo se cierra con un mail de conformidad enviado por la Unidad de Seguridad Operacional.

Reportes de Periodicidad Mensual Se define un plazo estipulado de 15 días corridos a partir del último día del mes, para entregar la información de dicho mes.

M anual de Buenas P rácticas Ries go Operacional


> Manual de Riesgo Operacional

Reportes de Periodicidad Trimestral / Semestral / Anual Para estos casos se debe designar cual o cuales serán los meses de reporte en el año, la información debe ser entregada dentro de los primeros 15 días corridos del mes o los meses definidos para el reporte.

Reportes de Periodicidad Semestral Para estos casos se debe definir dos meses de reporte en el año, la información debe ser entregada dentro de los primeros 10 días corridos de cada mes que se haya definido para realizar el reporte.

Líneas de Banco en el exterior Recuerda que hasta las 8:30 am se recibe la información actualizada de líneas de bancos del exterior.

Facturas a terceros Chequea el centro de costos al que se asigna el servicio de un proveedor o tercero. Así evitaremos los reclamos de proveedores por facturas no pagadas y las facturas recibidas en unidades de gestión distintas a la UCP.

Papeles extraviados Si eres el emisor de un papel, asegúrate de que el remitente esté claramente definido. Como personal de servicio, asegúrate de que el documento llegue a quien es debido en el menor tiempo posible. Como receptor, implementa un sistema para dar acuso de recibo.

>>Consultas / Dudas

Cualquier consulta sobre Riesgo Operacional dirigirse a la “Unidad de Seguridad Operacional”, o llamar a los teléfonos: 9705242 ó 25242 / 9706342 ó 26342.


Manual Gesti贸n Integral de Seguridad de la Informaci贸n


Bienvenidos al mundo de la seguridad de la información

II

La seguridad de la información en BancoEstado es un proceso de gestión en constante evolución, mejoramiento y cambio. Si bien existen normativas, procedimientos y áreas dedicadas a su verificación, necesitamos de tu compromiso y energía, para actuar de manera preventiva. Sólo así lograremos crear una cultura de la Seguridad de la Información.


Bienvenidos al mundo de la

seguridad de la información ¿Por qué es importante la seguridad de la información? ++ Nos protege de amenazas. ++ Asegura la continuidad del negocio. ++ Maximiza el retorno de inversiones y ofrece nuevas oportunidades de negocio.

Recuerda La seguridad es trabajo de todos

La Política de Seguridad de la Información está dirigida a todos los trabajadores de BancoEstado, incluyendo filiales y personal externo.

Pilares de la Seguridad de la Información: Confidencialidad: •• ¿Cuántas personas conocen tu clave de acceso o contraseña bancaria? •• ¿A cuántas personas le cuentas que el Banco va a sacar un nuevo producto antes de que salga al mercado?

¡La confidencialidad no te impide compartir información, sino definir y elegir cuándo y con quién la compartes!

Integridad: •• ¿Mantendrías tu cuenta en un banco del cual nunca recibes las cartolas mensuales?

•• ¿Te llega información con tu nombre y tus datos personales mal escritos? •• ¿Verificas que tu trabajo esté sin errores – una minuta, un reporte o un balance antes de enviarlo?

¡La integridad no borra los errores, pero conocer su impacto te permite ponerte en el lugar del otro y mejorar!

M anual de Buenas P rácticas Ries go Operacional


> Manual Gestión Integral de Seguridad de la Información Disponibilidad: •• ¿Cuántas veces te ocurre que vas a hacer un trámite y te contestan que “no hay línea” o no hay acceso a la PU?

•• ¿Cuántas veces haces copias de resguardo de la información que mantienes en tu computador?

•• ¿Cuánto tiempo te tomas para responder mails, llamadas telefónicas o entregar una información solicitada?

¡Disponibilidad significa responder y ‘disponer’ oportunamente de la información, organizar tu día, tus prioridades y actuar en consecuencia!

¡Tú puedes!

Cuestiona permanentemente qué estás haciendo, por qué lo haces y cómo podrías hacerlo mejor en beneficio del negocio.

Formas variadas en que puedes encontrar la información: 33 En papeles 33 En mails 33 En conversaciones informales 33 En reuniones formales 33 En folletos publicitarios 33 En sitios webs 33 En blogs

Sea cual sea la forma que tome la información, recuerda que los tres pilares (confidencialidad, integridad y disponibilidad) se mantienen siempre vigentes.

>>Quiz de Seguridad de la Información ¿Cuál es la información más importante para el Banco? a. La que queda guardada en mails y computadores. b. Toda la información, independiente del medio en que se encuentre. c. La que se conversa en los Directorios.

(busca la respuesta en página 46)


Ambitos de Acción de la Seguridad de la Información Responsabilidades de Usuario ¿Quién es el “dueño” de la información? Cada trabajador de BancoEstado, sus filiales y el personal externo asumen un rol y un grado de responsabilidad de acuerdo a sus funciones, no existen “dueños” de la información. El término “dueño” sólo indica el grado de responsabilidad respecto de la protección que necesita determinada información.

Por ejemplo

Los Gerentes de las diversas bancas son dueños cuando hablamos de procesos de negocio.

Los Gerentes de Área son dueños cuando hablamos de los procesos de apoyo.

Los Gerentes, Subgerentes y Jefaturas, son los “responsables” de subprocesos.

¿Cómo estamos organizados para asegurar la información? 33 Comité de Riesgo Operacional 33 Oficial de Seguridad 33 Administradores de Seguridad de la Información 33 Trabajadores de BancoEstado y Filiales

ERI Equipo de Respuesta a Incidente

Estos equipos están presentes en cada una de las áreas que tienen a su cargo responsabilidades específicas respecto de la administración de seguridad de la información. 33 Se activan frente a contingencias que alteran las operaciones normales del Banco. 33 Deben registrar y comunicar dichas acciones.

M anual de Buenas P rácticas Ries go Operacional


> Manual Gestión Integral de Seguridad de la Información ¡Tú puedes!

Promueve el rol de tu área en pro de los objetivos del Comité de Seguridad, y serás parte de la cadena de valor del Riesgo Operacional.

L as áreas responsables de la Administración de Seguridad son: 33 Dirección de Seguridad. 33 Unidad de Cumplimiento Normativo. 33 Fiscalía. 33 Área de Seguridad de la Información. 33 Subgerencia de Servicios de Tecnología. 33 Subgerencia de Arquitectura de Sistemas. 33 Área de Aseguramiento de Calidad. 33 Subgerencia de Ingeniería de Procesos. 33 Gerencia de Apoyo Logístico. 33 Gerencia de Servicios de Personas.

Busca en la Intranet

Nuestro marco legal es encabezado por las Políticas y Normas de Seguridad de la Información que puedes encontrar publicada en la intranet.


INFOGRAFÍA Políticas, Normas y Procedimientos (EN DISEÑO hacer una rosa de los vientos o una figura en a que se vea al centro la Política de Administración Integral del Riesgo Operacional, y de ahí salen: Normativa de Orden, Higiene y Seguridad, Normativa de Continuidad del Negocio, Código de Etica y Normas Específicas de Seguridad de la Información.)

Recuerda Terceras Partes se refiere a:

clientes, proveedores, alumnos en práctica, instituciones financieras y organismos reguladores.

M anual de Buenas P rácticas Ries go Operacional


> Manual Gestión Integral de Seguridad de la Información

¿Qué pasa con el personal externo? Recomendaciones principales: 33 Evaluar riesgos de Seguridad de la información antes y durante el tiempo que dure el contrato. 33 Verificar que las cláusulas del contrato incluyan aspectos de seguridad de la información.

Por ejemplo ¿Le entregas las llaves de tu casa a cualquier persona?

Actúa bajo el mismo principio en tu trabajo.

Por ejemplo, al entregar equipos, asegúrate que al finalizar el tiempo del contrato, éstos sean devueltos. Y si tienes personal externo a tu cargo, preocúpate de que tengan claves de acceso desde el primer día de trabajo.

3 en 1

Riesgo Operacional + Seguridad de la Información + Continuidad del negocio = Subgerencia de Riesgo Operacional

¡Tú puedes!

Generar instancias para recoger opiniones respecto al riesgo operacional y así promover la implementación de nuevas ideas.

>>Dudas / Consultas Envía un mail a:----- o llama a ----


¿Cómo controlamos el acceso? Este control tiene como objetivo evitar el acceso de personas no autorizadas a las instalaciones y la información de BancoEstado. Debe cubrir todo el ciclo de vida de los usuarios, desde el registro inicial de un nuevo usuario hasta su eliminación.

Recuerda

Cuando hablamos de acceso nos referimos a aquellos no autorizados y consideran tanto nuestras instalaciones como la información que manejamos en el Banco.

>>Quiz de Seguridad de la Información

El control de acceso debe considerarse en las siguientes situaciones: a. Sólo cuando ingresa alguien nuevo. b. Durante todo el ciclo de vida del usuario. c. Sólo si alguien ve algo extraño. (busca respuesta correcta en página 46)

El nombre de usuario y la contraseña (user y password) son tu primera herramienta de seguridad. Aprende a usarlas y cuidarlas.

M anual de Buenas P rácticas Ries go Operacional


> Manual Gestión Integral de Seguridad de la Información

Recomendaciones para tener una clave confiable: 33 Contener 8 caracteres. 33 Combinar números, símbolos y letras en mayúsculas y minúsculas. Si sólo usas dígitos o sólo usas palabras, el acceso de agentes externos puede facilitarse. 33 No compartir contraseña con nadie. 33 No repetir la misma contraseña que utilizas en tus operaciones bancarias, en tus equipos personales o en el hogar. 33 No relacionarla a fechas personales o nombres de familiares y colegas. 33 Cambiarla frecuentemente. Por ejemplo, cada 3 meses. 33 No incluir referencias al Banco tales como bech o estado. 33 Y, claro, que sea fácil de recordar.

¿Por qué una clave?

Por que el permiso de acceso a información es diferenciado de acuerdo a la función que ejerces en el Banco.

Por Ejemplo: Nunca revelar tu clave a colegas ni jefes

Aunque estés con licencia o de vacaciones, no entregues nunca tu clave. Tampoco la envíes por mail o la digas por teléfono. ¡Y si sospechas que alguien la conoce, cámbiala!

Recuerda

El bloqueo automático de tu pantalla te previene del ingreso no autorizado a tu computador.


Control de Red La web nos abre un mundo de posibilidades pero junto a ella también pueden ingresar visitantes indeseados. Para eso en BancoEstado contamos con sistemas de protección y monitoreo.

Recomendaciones antes de abrir mails o sitios webs: 33 Sólo abrir mails o programas de sitios webs que conozca. 33 Fíjate en el “candado” que aparece en el cuadro de navegación. Si está cerrado es seguro, si está abierto, el sitio web no es seguro. 33 No abrir mails que te pidan información bancaria, password. 33 Actualiza periódicamente tu antivirus.

Por ejemplo ¿Cómo saber si un mail es fraudulento?

Por ejemplo, poner el cursor encima de la http. Si revela la misma identidad del mail o sitio web, es segura. Si muestra otra información, no lo abras. No sabes a dónde podría llevarte.

Recuerda

Todo computador o equipo portátil que se conecte a la red del Banco, debe contar con una identificación única asignada que permita su individualización. ¿Revisaste si la tuya la tiene?

M anual de Buenas P rácticas Ries go Operacional


> Manual Gestión Integral de Seguridad de la Información

Clasificación y Control de Activos de Información ¿Dónde están los activos? Se mueven y mutan de muchas formas pero, sea como sea, siguen guardando nuestra información. ¡Conoce las múltiples formas que puede adquirir un “activo”!

Información: 33 La encuentras en: bases de datos, manuales, material de entrenamiento, registros de auditoría, contratos, etc.

Softwares Activos físicos: 33 Nos referimos a: equipos computacionales, de aire acondicionado, extintores, grabadoras, pendrives, cámaras de fotos, etc.

Servicios: 33 Hablamos de servicios de computación, de comunicación y de servicios generales.

Recuadro: Semáforo de Confidencialidad

Confidencialidad nivel 1: sólo debe conocerla quien la genere o su destinatario. Por ejemplo, las claves de acceso.

Confidencialidad nivel 2: Es accesible sólo para las personas o grupos de personas al interior del Banco que la generan, almacenan, distribuyen o manejan.

Por ejemplo: bancos de datos de clientes, planes de negocio, estrategias. Generalmente tiene el sello de “información privilegiada”.

Confidencialidad nivel 3: es información accesible a cualquier trabajador al interior del Banco. Por ejemplo, escalas de renta, clasificación de riesgo de clientes, etc.


¡Tú puedes!

Ante cualquier duda o frente a situaciones que no sepas cómo actuar, te recomendamos consultar a tu jefatura y proceder con la mayor confidencialidad y resguardo posible.

Intercambio de Información Queremos asegurar que el flujo de información desde y hacia el Banco, entre trabajadores o con terceros, se haga en un ambiente seguro.

Recomendaciones para intercambiar información: 33 Para la información sensible del negocio, protege los archivos con clave de lectura o escritura para prevenir accesos y modificaciones no autorizadas. 33 Genera acuerdos de intercambio de información entre áreas del Banco y/o con terceras partes, en que consideres responsabilidades y obligaciones en el caso de que incidentes de Seguridad de la Información ocurran. (Por ejemplo, una divulgación de información sensible). 33 El dueño de la información es quien debe autorizar el intercambio y el medio en que se hará efectivo (pendrive, impreso, CD, correo electrónico, etc.). 33 Para el envío de información, utiliza los courrier del Banco, son proveedores confiables.

Recuerda Un buen acuerdo de información cumple con lo siguiente:

•• Responsabilidades para el control, notificación, despacho y recepción. •• Procedimientos de notificación, de envío, despacho y recepción. •• Estándar para la identificación del courrier o empresa de transporte.

M anual de Buenas P rácticas Ries go Operacional


> Manual Gestión Integral de Seguridad de la Información •• Responsabilidades y obligaciones en el evento de incidentes de seguridad, tales como la pérdida de datos.

•• Estándar de etiquetado de la información. •• Formato de la información. •• Cualquier control especial requerido para la protección de la información sensible.

>>Quiz de Intercambio de Información

¿Todo intercambio de información debe estar expresamente autorizado por el dueño de ésta? a. Sí, siempre. b No cuando es confidencial. c. No, nunca. (busca la respuesta correcta en la página 46)


Seguridad en el Uso del Correo Electrónico Tu cuenta de correo electrónico es un instrumento de trabajo tal como lo es tu uniforme o tu mesa. Cuidalo, límpialo frecuentemente y no lo prestes.

Recomendaciones de uso: 33 Envía mensajes concisos y dirigidos sólo a aquellas personas con un interés o necesidad de conocer su contenido. 33 Elimina los correos periódicamente según la pérdida de vigencia de los mensajes. 33 El correo es personal, no dejes que lo use otra persona. 33 El correo es para uso laboral, no envíes mensajes que atenten contra las leyes, ni contra las normas del Banco o respondan a intereses comerciales personales. 33 No envíes mensajes con copia a todos. 33 Revisa antes de re enviar o contestar un mensaje. Esto recarga la red de información, afectando la velocidad de transferencia de datos en todo el banco y distraes a personas que revisan correos que no deberían. 33 No abras mails de remitentes desconocidos ni bajes los archivos adjuntos que puedan contener. 33 No envíes información considerada reservada o confidencial a través de internet.

Recuerda

El correo es personalizado, es decir, no es aceptable la "utilización del correo de otra persona", por lo tanto se asume responsable del envío de un correo el remitente (DE:) y no quien lo firma. El remitente y quien lo firma, por lo tanto, siempre debe ser la misma persona.

M anual de Buenas P rácticas Ries go Operacional


> Manual Gestión Integral de Seguridad de la Información 3 en 1

Riesgo Operacional + Seguridad de la Información + Continuidad del negocio = Subgerencia de Riesgo Operacional

Seguridad en los Equipos Como usuarios responsables de nuestros equipos de trabajo, podemos ayudar a su perfecto mantenimiento.

¡Tú puedes!

Deja los alimentos lejos de los equipos. Así disfrutarás tanto del café como de tus herramientas de trabajo en perfecto estado.

Por ejemplo

Si usamos un notebook de propiedad del Banco, no debemos conectarlo a la red de un ciber café, ya que este lugar carece de los mecanismos de seguridad que tiene el Banco y podríamos dañar el equipo o perder información sensible.

Recomendaciones de cuidado especial para equipos móviles: 33 Si traes un computador o equipo de tu casa o de terceras partes, debes tener previa autorización del Area de Seguridad de la Información, antes de conectarlo a la red. 33 Mantén actualizado el antivirus. 33 Haz copias de respaldo periódicamente. 33 No conectes los dispositivos en lugares o redes que no cuenten con “firewall” u otras medidas de seguridad. 33 Mantén los equipos en lugares seguros. 33 No los expongas al calor o a condiciones exteriores extremas.

Recuerda:

La utilización de equipos fuera del Banco debe contar con la autorización de la Administración.


Areas Seguras Además de las áreas de proceso de información, nuestro Banco cuenta con otras áreas sensibles como las de recepción y despacho, todas especialmente acondicionadas para asegurar nuestros activos. Todas ellas cuentan con perímetros de seguridad, claves de acceso especiales, registro y supervisión de visitas que son periódicamente revisados. Pero nosotros, desde nuestros puestos de trabajo también podemos crear “áreas seguras”.

Recomendaciones para el resguardo de nuestras instalaciones y equipos: 33 Dejar siempre las puertas cerradas al ausentarnos, así sea poco o mucho tiempo. 33 Asegurarnos que los cajones de los escritorios queden con llave al salir. 33 Llevar siempre contigo tu tarjeta de identificación TIBE.

Areas Comerciales Los mecanismos de seguridad de las áreas comerciales están orientados a impedir el acceso no autorizado a información sensible que manejen, sobretodo en horario de atención de público.

¡Tú puedes!

Protege la información sensible o crítica del negocio, ya sea impresa o almacenada en otros medios, guardándola bajo llave, especialmente cuando la oficina esté vacía.

M anual de Buenas P rácticas Ries go Operacional


> Manual Gestión Integral de Seguridad de la Información Recuerda

¿Quisieras que otros tomaran la hoja que acabas de imprimir con tu estado de cuenta?

Ubica las impresoras, fotocopiadoras y faxes cerca de tu escritorio. Así facilitas el resguardo de la información – tuya y del Banco - que salga de estas máquinas.

Adquisición, Desarrollo y Mantención de Sistemas Todos los softwares utilizados en el Banco deben contar con la autentificación de personal autorizado. Son ellos los autorizados a instalar nuevos softwares y los que velan porque nuestros equipos se mantengan confiables.

¿Te llegan muchos mensajes “spam”? Contáctate con el Area de Seguridad de la Información para verificar la solidez de las restricciones de acceso en tu equipo.

Gestión de Incidentes ¿Qué es un incidente? Cualquier evento que compromete o está diseñado para comprometer, el ambiente de seguridad de la información de nuestro Banco. El reporte oportuno de cada incidente permite al Banco documentar y prevenir futuros incidentes, asegurando la continuidad del negocio.

¡Tú puedes!

Reporta cualquier evento que comprometa la seguridad de la información, tan rápido como sea posible.

Utiliza el mail xxx xx xx para reportarlos. O llama al fono…..


Busca en la Intranet

Lee la Circular N° 2.539: “Registros de Eventos de Pérdida, Recuperaciones e Incidentes por Riesgo Operacional” publicada en el SUN.

Continuidad del Negocio Recuerda:

El objetivo es que los procesos del Banco se desarrollen sin interrupciones de ningún tipo.

La interrupción puede tener causas internas o externas, pero en ambas situaciones afecta la Continuidad del Negocio. La interrupción de un proceso puede impactar en la Confidencialidad, Integridad y Disponibilidad de la información, por lo que debemos estar preparados para enfrentarla a fin de minimizar sus efectos. BancoEstado posee un Plan de Continuidad del Negocio cuyo objetivo es mantener las operaciones a un nivel de sobrevivencia aceptable durante una contingencia (hecho inesperado).

Para saber más Ir al siguiente capítulo de este manual: Gestión Integral de la Continuidad del Negocio.

M anual de Buenas P rácticas Ries go Operacional


> Manual Gestiรณn Integral de Seguridad de la Informaciรณn

Cumplimiento de los Requerimientos Legales Te recomendamos: 33 Cumplir con las disposiciones legales. 33 Respetar los contratos con proveedores o terceros. 33 Respetar el derecho de autor de los software y aplicaciones que utilicemos. 33 Conservar la informaciรณn el tiempo establecido de acuerdo a la ley. 33 Proteger la informaciรณn personal de nuestros clientes.

3 en 1

Riesgo Operacional + Seguridad de la Informaciรณn + Continuidad del negocio = Subgerencia de Riesgo Operacional


Manual Continuidad del Negocio

M anual de Buenas P rรกcticas Ries go Operacional


Bienvenidos al mundo de la Continuidad del Negocio

III

Dentro de la Gestión de Riesgo Operacional, la Continuidad del Negocio es una pieza clave que vela tanto por el correcto funcionamiento de las instalaciones y operaciones como por la seguridad física de los clientes y trabajadores de BancoEstado. Nuestro Banco posee desde diciembre del 2006 una Política de Continuidad del Negocio que consta de 18 directrices principales, aprobadas por el Directorio. Periódicamente éstas son evaluadas y actualizadas, garantizando su eficacia ante eventos imprevistos y emergencias.


Breve historia La importancia del concepto “continuidad de negocio” se ha puesto de relevancia con acontecimientos como el efecto “cambio de milenio” o el cambio al euro. En Chile, ha tomado relevancia a partir del terremoto del 2007 en Tocopilla o la reciente erupción del Volcán Chaitén que obligó a desalojar el pueblo completo. Pero fueron los atentados terroristas del 11 de Septiembre contra el World Trade Center de Nueva York los que supusieron un auténtico punto de inflexión en la idea de que la gestión de la continuidad de negocio ya no era una moda sino una necesidad estratégica que todas las empresas de cualquier tamaño deben tener en cuenta en mayor o menor medida. BancoEstado no es la excepción.

(Diseño: la figura de una persona haciéndose todas estas preguntas con actitud relajada pues está encima de un sofá que dice “Continuidad del negocio”)

M anual de Buenas P rácticas Ries go Operacional


> Manual Continuidad del Negocio

¿Estamos preparados? ++ ¿Qué sucedería si un incendio destruyera la sede central del Banco?

++ ¿Qué pasaría si un ataque masivo de virus informático formateara los equipos de la red local?

++ ¿Cómo afrontaría el Banco la marcha o desaparición accidental de miembros claves de la organización?

Recuerda:

Protección, Planificación y Prevención con las bases que sustentan nuestra Gestión de Continuidad del Negocio.

¿Qué es? Continuidad del Negocio se refiere a todos los dispositivos y políticas que activamos al interior del Banco para asegurar su normal funcionamiento y sobrevivencia ante situaciones extremas.

Objetivos 33 Anticipar una crisis o incidente. 33 Evitar cualquier tipo de amenaza que interrumpa nuestros servicios y sistemas. 33 Superar interrupciones con el menor impacto posible para el negocio.

¿Por qué es importante dar continuidad al negocio? 33 Protege vidas humanas. 33 Facilita la toma de decisiones en tiempos de crisis. 33 Reduce la dependencia de personal específico. 33 Reduce la pérdida de datos, utilidades y clientes. 33 Mantiene un nivel de riesgo controlado. 33 Mantiene la imagen pública y reputación de nuestro Banco.


¡Tú Puedes!

Siempre existirá la posibilidad de que problemas o imprevistos mayores o menores afecten la continuidad de nuestras operaciones. Por eso, te recomendamos estar atento a las recomendaciones de los jefes de piso o de cualquier información emanada de la Dirección de Cumplimiento y Seguridad Operacional.

Recuerda

La continuidad del negocio es un proceso continuo que debe insertarse en nuestra cultura BancoEstado.

Principales Factores que afectan la Continuidad del Negocio 33 Indisponibilidad de plataforma y sistemas tecnológicos 33 Corte de energía eléctrica 33 Interrupción de servicios básicos 33 Desastres naturales, inundaciones e incendios 33 Terrorismo / Vandalismo 33 Fallas en procesos del proveedor 33 Quiebra de proveedores 33 Falta de personal clave para la empresa 33 Ataques informáticos 33 Falta de infraestructura o elementos de apoyo

Por ejemplo ¿Conoces tu oficina?

Dedica unos minutos a revisar las salidas de emergencia y los operativos de seguridad que existen en tu oficina o piso.

M anual de Buenas P rácticas Ries go Operacional


> Manual Continuidad del Negocio

>>Quiz de Continuidad del Negocio

¿Cómo trabajador del Banco, es obligación cumplir con las políticas de Continuidad del Negocio? a. Sí, pues su incumplimiento es considerado una falta grave. b. No, sólo los dueños de procesos tienen esta obligación. c. Depende del tipo de sucursal y oficina en la cual trabajes. (Busca la respuesta correcta en la página 46)

Por ejemplo

Los planes de contingencia se activan, por ejemplo, cuando se cae el sistema de cajas, se cae internet en los canales de atención de público o cuando hay un corte generalizado de luz.

Para cada una de estas situaciones, la Continuidad del Negocio prevee una acción de emergencia. ¿La conoces?

4 Pasos a seguir para preservar la Continuidad del Negocio Ciclo de Vida de la Continuidad del Negocio

Antes de la contingencia Prevenir, mitigar y planificar

Frente a la contingencia

Durante la contingencia

Respuestas y Procedimientos durante la emergencia

Recuperación y reanudación de operaciones

Después de la Contingencia Restauración y regreso a las operaciones normales


Busca en Intranet 1.- SUM

Nuestro Sistema Unico de Normas contiene información respecto a la Continuidad del Negocio.

2.- Dirección de Cumplimiento y Seguridad Operacional

Es la encargada de velar y ejecutar las políticas de Riesgo Operacional. Para mantenerte actualizado de sus avances y novedades busca el ícono de la Dirección de Cumplimiento y Seguridad Operacional en la intranet. O busca “Riesgo Operacional” dentro de la SUM.

Escenarios de Contingencia Recuerda

El Comité de Riesgo Operacional es el responsable de aprobar las políticas y estrategias de contingencia que son luego ejecutados por cada uno de los responsables de procesos.

Cierre o no disponibilidad de acceso a Casa Matriz •• Diagnóstico: Fuga de gas, sismo, incendio, manifestaciones o eventos internacionales de envergadura.

•• Estrategia a utilizar: Plan Sin Edificio Casa Matriz •• Solución: se cierra el edificio principal total o parcialmente, y sus funciones, a nivel de atención clientes, son asumidas por Sucursal San Miguel o Sucursal Valparaíso Prat. todo personal, incluso a nivel Ejecutivo, debe permanecer en su hogar.

No disponibilidad de Sistemas Críticos •• Diagnóstico: el sistema de cajas se cae. •• Estrategia a utilizar: Plan sin sistema crítico •• Acción:

M anual de Buenas P rácticas Ries go Operacional


> Manual Continuidad del Negocio No disponibilidad de proveedores críticos •• Diagnóstico: •• Estrategia a utilizar: Plan sin Proveedor Crítico •• Acción:

Pérdida de integridad de datos •• Diagnóstico: •• Estrategia a utilizar: Plan de Pérdida de integridad de datos •• Acción:

No disponibilidad de personal clave en procesos críticos •• Diagnóstico: •• Acción:

Caída o no disponibilidad de canales de atención clientes •• Diagnóstico: se cae internet •• Estrategia a utilizar: Plan de Contingencia Informático •• Acción:

Recuerda

Las amenazas naturales, humanas o tecnológicas no se pueden evitar pero sí mitigar su impacto.


respuestas

>>Quiz de Riesgo Operacional

¿Con qué conceptos relacionarías el Riesgo Operacional? a. Calidad e impecabilidad al hacer nuestro trabajo.

>>Quiz de Seguridad de la Información

¿Cuál es la información más importante para el Banco? b. Toda la información, independiente del medio en que se encuentre.

El control de acceso debe considerarse en las siguientes situaciones: b. Durante todo el ciclo de vida del usuario

>>Quiz de Intercambio de Información

¿Todo intercambio de información debe estar expresamente autorizado por el dueño de ésta? a. Sí, siempre.

>>Quiz de Continuidad del Negocio

¿Cómo trabajador del Banco, es obligación cumplir con las políticas de Continuidad del Negocio? a. Sí, pues su incumplimiento es considerado una falta grave.

M anual de Buenas P rácticas Ries go Operacional


M an u al de B uenas Prรกct icas Riesgo Operacional


Manual de Riesgo Operacional


Manual Riesgo Operacional BancoEstado