Académique Documents
Professionnel Documents
Culture Documents
TESIS DE MAESTRÍA
LA PAZ, 2018
GESTIÓN DE RIESGO TECNOLÓGICO BASADO EN ISO
31000 E ISO 27005
LA PAZ, 2018
Diseñar una metodología para realizar la gestión de riesgo tecnológico y proponer una
forma de valoración aplicable a entidades de intermediación financiera, que coadyuve a
la obtención de resultados objetivos y optimice los costos de inversión, recursos
humanos altamente calificados y tiempo de la programación del plan anual de
operaciones proporcionado.
CÓDIGO................
HOJA DE APROBACIÓN
Aprobado con:
Tribunal Examinador de Tesis
Vocal 1: ________________________________________________________________
Vocal 2: ________________________________________________________________
Tutor: __________________________________________________________________
Relator: _________________________________________________________________
Presidente: ______________________________________________________________
A mis hijas Diana y Mikaela, a las que les quite muchas horas de pasar juntos y que
son mi inspiración para superarme, mi fuerza, mi aliento para crecer
permanentemente.
A mis abuelos Rufino y Petronila que han sido mi guía desde el cielo.
A la señora M.Sc. Lic. Claudia Silvia Yañiquez Magne, tutor del presente trabajo de
investigación por su tiempo y su constante guía para la conclusión con éxito del
mismo.
Muchas Gracias!
Por lo cual la definición de la criticidad del activo tecnológico se realiza en base a los
pilares de la seguridad de la información (confidencialidad, integridad y
disponibilidad).
CAPITULO I : GENERALIDADES
1.1. INTRODUCCIÓN
1
información, con normas, políticas, reglamentos, procedimientos, planes, etc., que
coadyuven con los objetivos de la entidad de intermediación financiera.
Esto genera una gran brecha ya que los métodos y/o estándares están orientados a
procesos lo cual es óptimo para la elaboración de los planes de contingencia
tecnológica, y de continuidad del negocio, asimismo de recuperación de desastres,
pero no así sobre los objetivos del negocio, lo que no permite un correcto crecimiento
en sus líneas de negocio a la par con el riesgo tecnológico que se va generando en
función del alcance de del objetivo trazado para esta línea.
2
1.2. ANTECEDENTES DEL PROBLEMA
El riesgo tecnológico tiene su origen en la constante evolución de las herramientas y
aplicaciones tecnológicas.
3
circular ASFI/395/2016 que refiere a modificaciones al reglamento para la gestión de
seguridad de la información, los cuales son de estricto cumplimiento para las
entidades de intermediación financiera del estado Plurinacional de Bolivia.
Por otra parte el tratar de encerrar la información no es una buena opción para
protegerla, debido a que esta debe circular y generar beneficios para el dueño de la
información; a esta información que se envía de un emisor a un receptor se le
denomina mensaje el cual se desea que llegue integro evitando sea modificado o
eliminado.
Diseñar una metodología de gestión de riesgo tecnológico basado ISO 31000 e ISO
27005 planteando una forma de análisis y evaluación de riesgos en seguridad de la
información para entidades de intermediación financiera, para el cumplimiento de la
reglamentación establecida por la entidad y el ente regulador ASFI .
5
1.5. JUSTIFICACIÓN
1.6. ALCANCES
6
Tabla 1.1: Alcance Temático
(Fuente: Elaboración Propia)
7
CAPÍTULO II
8
f) Efectividad: Adecuada información para desarrollar las actividades de la
entidad de intermediación financiera. (Velthuis, 2008)
g) Eficiencia: Proveer información suficiente a través del uso de los recursos de la
mejor manera posible. (Velthuis, 2008).
h) Información; Se refiere a toda comunicación o presentación de conocimiento
como datos, en cualquier forma, con inclusión de formas textuales, numéricas,
graficas, cartográficas, narrativas o audiovisuales, y en cualquier medio ya sea
magnético, en papel, en pantallas de computadoras, audiovisual u otro. (NB-ISO-
IEC 27001, 2013)
i) Incidente de seguridad de la información: Suceso o serie de sucesos
inesperados, que tiene una probabilidad significativa de comprometer las
operaciones, amenazar la seguridad de la información y/o los recursos
tecnológicos. (NB-ISO-IEC 27005, 2011)
j) Integridad: Busca mantener con exactitud la información completa tal cual fue
generada, sin ser manipulada o alterada por personas o procesos no
autorizados. (NB-ISO-IEC 27001, 2013)
k) Medios de acceso a la información: Son servidores de aplicación,
computadores personales o de datos, las redes de comunicación, internet,
acceso telefónico o equipos inalámbricos. (NB-ISO-IEC 27002, 2005)
l) Plan de contingencias tecnológicas: Es un conjunto de procedimientos
alternativos, que deben entrar en funcionamiento al presentarse un problema
imprevisto que no permita a los servidores, procesos críticos y enlaces de
comunicaciones, dar los servicios en forma normal y continúa. (NB-ISO-IEC 27002,
2005)
m) Protección a la duplicación: Consiste en asegurar que una transacción solo se
realiza una vez, a menos que se especifique lo contrario. Impedir que se grave
una transacción para luego reproducirla, con el objeto de simular múltiples
peticiones de mismo remitente original. (NB-ISO-IEC 27002, 2005)
n) Propietario de la información: Es el responsable designado formalmente para
controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos
de información. (NB-ISO-IEC 27002, 2005)
9
o) Respaldo para contingencias: Es un archivo magnético (Cinta, Disco o CD o
Blu Ray) que contiene los archivos necesarios y suficientes, para recuperar un
servidor. Normalmente contiene el sistema operativo, motor administrador de
base de datos, compiladores programas fuentes y objetos, cuentas de usuarios y
archivos con datos críticos. (NB-ISO-IEC 27002, 2005)
p) No repudio: Servicio que asegura que el emisor de una información no puede
rechazar su transmisión o su contenido, y/o que el receptor pueda negar su
recepción o su contenido. (NB-ISO-IEC 27002, 2005)
q) Registro de pistas de auditoria: Bitácora de datos lógicos de acciones o
sucesos ocurridos en los sistemas operativos u aplicativos u servicios, para
mantener información histórica para fines de control, supervisión y auditoria.
(Libro I Magerit, 2012)
r) Sistema de información: Conjunto de procedimientos de recopilación,
procesamiento, transmisión y difusión de información, organizada y relacionada
que interactúan entre sí para lograr un objetivo. (Libro I Magerit, 2012)
s) Tecnología de la información: Se refiere al hardware y software operado por el
Organismo o por un tercero, que procese información en su nombre, para llevar a
cabo una función propia del organismo, sin tener en cuenta la tecnología
utilizada, ya se trate de computación de datos, telecomunicaciones u otro tipo.
(Libro II Magerit, 2012)
t) Usuario: La persona que utiliza uno o más sistemas informáticos, para lo cual
debe estar identificada y autorizada previa validación como usuario, ya sea
funcionario de la entidad (interno) o cliente (externo). (Libro III Magerit, 2012)
10
El ámbito de aplicación de esta reglamentación está comprendido a todas las
entidades de intermediación financiera que cuenten con licencia de funcionamiento
emitida por la autoridad de supervisión del sistema financiero. (Asfi/395/16, 2016).
11
servicios y aplicaciones críticas parcial o totalmente interrumpidas dentro de un
tiempo predeterminado, después de una interrupción o desastre.
i) Proceso crítico: Proceso o sistema de información que al dejar de funcionar,
afecta la continuidad operativa de la entidad de intermediación financiera.
j) Propietario de información: Es el responsable designado formalmente para
controlar la producción, desarrollo, mantenimiento, uso y seguridad de los
activos de información.
k) Reducción del riesgo: Acciones que se toman para disminuir la probabilidad
las consecuencias negativas o ambas, asociadas con un riesgo.
l) Sistema de información: Conjunto de elementos orientados al tratamiento y
administración de datos e información, organizados y listos para su uso
posterior, generados para cubrir una necesidad o un objetivo.
m) Transferencia del riesgo: Compartir con otra de las partes la pérdida o la
ganancia de un riesgo.
12
tecnológico, acorde a la naturaleza, tamaño y complejidad de operaciones, debiendo
desarrollar e implementar procedimientos específicos para este fin, que deben estar
formalmente establecidos.
13
La documentación mínima para el desarrollo, mantenimiento e implementación de
sistemas de información; versiona miento de sistemas de información, copias de
seguridad, controles de acceso al código fuente y acceso a la base de datos.
14
Sección 8: Gestión de seguridad en transferencias y transacciones
electrónicas, la seguridad de los sistemas de transferencia electrónica de
información o transacciones electrónicas de fondos mediante la banca.
Entre las principales definiciones de riesgo se pueden resaltar las del Project
Management Institute las cuales son: (ISO 31000, 2009)
15
De acuerdo con estas definiciones, un riesgo tecnológico se conceptualiza como la
posibilidad de que existan consecuencias indeseables o inconvenientes de un
acontecimiento relacionado con el acceso o uso de la tecnología y cuya aparición no
se puede determinar a priori.
No todos los riesgos que ocasionan fuertes pérdidas son gestionables en el sentido
indicado. Es precisamente, la conjunción simultánea de los tres componentes
mencionados lo que permite su gestión.
16
2.3.3. Orígenes de los Riesgos de Carácter Tecnológico.
Los riesgos asociados a la tecnología desde su concepción, desarrollo y utilización
no sólo afectan a las organizaciones que la conciben durante el tiempo de su
desarrollo. Los riesgos en un proyecto pueden tener orígenes diversos y entre las
fuentes más típicas se encuentran las siguientes (Libro I Magerit, 2012):
Muchas veces estas fuentes de riesgos están relacionadas entre sí, como también lo
están los riesgos concretos de un proyecto, por lo que su separación y análisis
diferenciado será uno de los problemas y limitaciones a resolver por los gestores. La
figura 2.1 representa esquemáticamente la interacción entre todas las fuentes de
riesgos indicadas. Con ello se ha querido representar que la existencia de fuentes de
riesgos múltiples no va a permitir un enfoque analítico de separación de causas.
(Manual CRISC, 2015)
17
Figura 2.1 Fuentes de Riesgos
El mundo El mundo
La
del de la
Actualización
mercado Tecnología
tecnológica
La Organización
El contexto externo
2.3.4. Decisiones
Durante la actividad de una organización (por ejemplo, en la puesta en marcha de un
Plan Tecnológico) se toman decisiones tecnológicas continuamente, tanto por el
responsable como por el resto del equipo en función de sus responsabilidades
respectivas. (NB-ISO-IEC 27005, 2011)
18
en el tratamiento de situaciones parecidas, selecciona una posible alternativa entre
las previamente analizadas y predefinidas. La selección de la alternativa más
adecuada no siempre es sencilla de determinar puesto que ello depende de múltiples
factores contradictorios que será necesario priorizar en función de la maximización
de algunos parámetros. (Shen, John Paul, 2006)
Para construir una matriz de efectos se deben identificar las situaciones sobre las
que no se tiene control. Luego, se selecciona el conjunto de estrategias que se
desea adoptar. Cada una de las estrategias implica adoptar determinados riesgos
que serán diferentes en función de las situaciones externas que finalmente se
presenten. Las celdas, por tanto, suponen el análisis concreto de las consecuencias
sobre la estrategia correspondiente de la situación del contexto externo.
19
Normalmente, cada situación podrá producirse con una determinada probabilidad
cuya estimación deberá conocerse de la manera más clara posible, si bien estas
estimaciones son difíciles de obtener.
--- Estados del contexto externo sobre los que no tenemos controles directos----
Situación Situación Situación
previsible 1 previsible 2 previsible n
Posibles estrategias
Solución
Tecnológica 1
Efectos sobre
la Análisis
organización comparativo
Solución
Tecnológica m
Obsérvese que la existencia de un riesgo con una probabilidad muy baja puede
despreciarse a pesar de que su impacto sea muy alto. En otros casos, la probabilidad
muy alta puede verse compensada porque el efecto sea muy pequeño. La
importancia relativa depende de la consideración simultánea de ambos factores.
La figura 2.3 representa una situación en la que existen cuatro riesgos claramente
diferenciados (Ri, Rj, Rk, Rl). Cada uno de los riesgos tiene una determinada
probabilidad de ocurrencia y un impacto previsible. Estos valores pueden ser en la
20
práctica muy diferentes y, en función de ello, el gestor puede concentrarse en todos
ellos o en un número limitado de los mismos. (Manual CRISC, 2015)
Rj
Alto Ri
Bajo
R1 Rk
Trivial
Riesgo muy acotado
21
que tiene que tomar el gestor se complica y ya no es tan evidente cual sería la
estrategia más adecuada. En gran medida, dependerá del gestor y de su actitud o
tolerancia frente al riesgo. (Manual CRISC, 2015)
Siguiendo con el ejemplo de la matriz de efectos, supóngase que las previsiones del
mercado no son tan claras. Dicho de otro modo, los estados no controlados no
permiten calcular adecuadamente probabilidades. Si se recalculan los valores con
máximos y mínimos, posiblemente los valores esperados se situarían en márgenes
que se solaparían. La consecuencia es una dificultad mucho mayor para la toma de
decisiones. (Manual CRISC, 2015)
La norma ISO 31000:2009 puede ser utilizada por cualquier entidad pública o
privada, organización sin fines de lucro, asociación, grupo o individuo. Además, la
ISO 31000:2009 no especifica a alguna industria o sector.
22
Por otro lado, la norma ISO 31000:2009 se puede aplicar a cualquier tipo de riesgo
cualquiera sea la naturaleza, causa u origen, tanto que sus consecuencias sean
positivas como negativas para la organización.
Creación de Valor
Está integrada en los procesos de la organización
23
Forma parte de la toma de decisiones
Trata explícitamente la incertidumbre
Es sistemática, estructurada y adecuada
Está basada en la mejor información disponible
Está hecha a medida
Tiene en cuenta factores humanos y culturales
Es transparente e inclusiva
Es dinámica , iterativa y sensible al cambio
Facilita la mejora continua de la organización
El enfoque está estructurado en tres elementos claves para una efectiva gestión de
riesgos:
La relación entre los principios de gestión, marco de referencia, así como el proceso
de gestión del riesgo desarrollado en la norma se resume en la figura 2.5.
24
2.4.3. Norma ISO 27005 Gestión de Riesgos de la Seguridad de la Información
Es una guía para la gestión de riesgos de seguridad de la información, de acuerdo
con los principios ya definidos en otras normas de la serie 27000.
Desarrolla criterios para la evaluación del riesgo con el fin de determinar el riesgo en
la seguridad de la información de la organización teniendo en cuenta:
25
Se realizan una serie de actividades como son: identificación de activos,
identificación de amenazas, estimación de impactos de las amenazas y
vulnerabilidades y con todo ello ya se puede valorar el riesgo. Pero éste diagnóstico
es válido sólo para ese momento puntual en el tiempo. No es algo estático sino que
va cambiando a lo largo del tiempo: nuevos activos, nuevas amenazas, modificación
en la ocurrencia de las amenazas (pensar por ejemplo en el caso del phishing como
esta amenaza ha pasado a ser extremadamente frecuente en este último año). Por
tanto, cada año la organización debe replantearse su diagnóstico y cuestionarse si
tiene nuevos síntomas o si los síntomas detectados han sido ya mitigados y se
pueden tratar otras carencias de menor importancia.
Preámbulo
Introducción
Referencias normativas
Términos y definiciones
Breve descripción de los términos más usados en la norma
Estructura del estándar
Descripción de la estructura de la norma
Fundamentos del proceso de gestión de riesgos (ISRM)
Indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la
información
Establecimiento del contexto
Evaluación de riesgos (ISRA)
Tratamiento de riesgos
Aceptación del riesgo
Comunicación del riesgo
Monitorización y revisión del riesgo
26
Figura 2.6 Proceso de Gestión del Riesgo
Bancos
Fondos Financieros Privados (FFP)
Mutuales de Ahorro y Préstamo (MAP)
Cooperativas de Ahorro y Crédito Abiertas o Societarias
Instituciones Financieras de Desarrollo IFD
27
Financieras obtiene la licencia de funcionamiento otorgada por ASFI, de acuerdo a la
normativa legal y contractual vigente.
Tipos de operaciones
Operaciones pasivas
Recibir depósitos de dinero de personas y empresas
Contraer obligaciones con el Banco Central de Bolivia y otras entidades
financieras
Emitir y colocar bonos
Operaciones activas
Otorgar créditos a personas y empresas
Invertir en títulos valores
Realizar giros
Comprar y vender dólares, euros y otras monedas extranjeras
Operaciones contingentes
Operar con tarjetas de crédito y debito
Emitir boletas de garantía, otros avales y fianzas bancarias
Operaciones de administración
Alquilar cajas de seguridad
Ejercer comisiones de confianza y operaciones de fideicomiso.
28
CAPÍTULO III
ESTRATEGIA METODOLÓGICA
CAPÍTULO III
ESTRATEGIA METODOLÓGICA
3.1. ESTRATEGIA METODOLÓGICA
Variable Descripción
Variable Descripción
La metodología es un proceso compuesto por tres métodos, los cuales emitirán resultados en función de
las amenazas y vulnerabilidades en un activo tecnológico.
33
Tabla 3.3 Conceptualización de Variable Dependiente
Fuente: (Elaboración Propia)
Variable Descripción
El nivel de cumplimiento de la reglamentación está dada por la ponderación definida en cuatro estados.
Variable independiente:
- Muy Alto
- Riesgos. Alto
Metodologia de gestión del riesgo - Métodos
- Medio
tecnológico.
- Bajo
Muy Bajo
Variable dependiente:
34
3.2. MATRIZ DE CONSISTENCIA
PREGUNTA DE INVESTIGACIÓN
¿Cómo realizar la gestión del riesgo tecnológico en relación a la seguridad de información en
una entidad de intermediación financiera de tal manera que cumpla la reglamentación
establecida por la entidad y el ente regulador ASFI.?
35
3.3. DISEÑO Y TIPO DE INVESTIGACIÓN
3.5.1. La Observación
36
La observación es un elemento fundamental de todo el proceso de esta
investigación, con la misma se identificaran las falencias de los procedimientos para
la gestión de riesgo tecnológico en entidades de intermediación financiera.
3.5.2. La Entrevista
Es una técnica que sirve para obtener datos mediante un diálogo entre dos personas:
El entrevistador (investigador) y el entrevistado; se realiza con el fin de obtener
información de parte de éste, que es, por lo general, una persona entendida en la
materia de la investigación
3.5.3. El Cuestionario
Se utilizara el cuestionario con el fin de acceder a los datos que tienen las entidades
de intermediación financiera a la gestión de riesgo tecnológico, para que de esta
manera se pueda coadyuvar con la toma de decisiones de alta Gerencia.
37
3.6. ESTRATEGIAS DE INVESTIGACIÓN
3.6.1. Análisis
En este primer paso se realizó en tres etapas, que son los siguientes:
3.6.2. Diseño
38
CAPÍTULO IV
MARCO PRÁCTICO
CAPÍTULO IV
MARCO PRÁCTICO
4.1. ANÁLISIS DE METODOLOGÍAS Y ESTÁNDARES
ESTÁNDAR DESCRIPCIÓN
ISO/IEC 27005:2011 GESTIÓN DE RIESGOS DE LA SEGURIDAD LA INFORMACIÓN
ISO/IEC 31000:2009 GESTIÓN DE RIESGOS PRINCIPIOS Y LINEAMIENTOS
¿Qué es? Guía para la gestión del riesgo Un marco de trabajo general para la
enfocado en la seguridad de la gestión del riesgo aplicable a cualquier
Información ámbito.
Establecimiento del contexto Establecer el contexto
Identificación de riesgos Identificación de los riesgos
Estimación de riesgos Análisis de los Riesgos
FASES
Evaluación de riesgos Evaluación de los riesgos
Tratamiento de riesgos Tratamiento de los riesgos
Aceptación de riesgos
39
Del anterior análisis se puede concluir que la norma ISO 31000 por sus
características generales y su aplicación en cualquier ámbito puede colaborar de
gran manera a nuestro objeto de estudio que son las entidades de intermediación
financiera. Por otra parte la 27005 se concentra en el análisis de riesgos de la
seguridad de la información, que es el principal activo que se desea proteger.
40
Por otra parte el diseño de la metodología se basa en dos características
importantes que son las líneas de negocio generadas por la cadena de valor y
también presentara un modelo iterativo para que el trabajo se periódico y continuo.
IDENTIFICACI
EVALUACIÓN
ÓN DEL
DEL ACTIVO
CONTEXTO
VALORACIÓN DEL
RIESGO
TECNOLÓGICO
41
4.4. METODOLOGÍA PROPUESTA
Inicio
Identificación de
Materializacion de lineas de amenazas y
negocio vulnerabilidades
Valoración de la criticidad
del activo tecnológico
Plan de acción
Aprobación del Aprobación del
comité comité
Fin
Fase
42
La metodología propuesta presenta 3 métodos los cuales se desarrollan a
continuación
VALORACION
IDENTIFICACIÓN DEL EVALUACION
DEL RIESGO
COTEXTO DEL ACTIVO
TECNOLOGICO
Tareas que se ejecutaran según el flujo presentado en la figura 4.4 donde se puede
observar el orden y la condición para pasar a la siguiente fase.
43
Figura 4.4 Método Identificación del Contexto
Fuente: (Elaboración Propia)
44
4.5.1. Cadena de Valor en una Entidad de Intermediación Financiera
Es una estructura que clasifica y organiza los procesos de una empresa con el
propósito de enfocar los programas de mejoramiento. Asimismo permite identificar y
analizar actividades estratégicamente relevantes para obtener alguna “ventaja
competitiva”.
Todas las operaciones de la entidad están ligadas a una o varias líneas de negocio.
Las líneas de negocio están compuestas por procesos asimismo cada proceso
contiene sub-procesos y estos están compuestos por actividades primarias y/o
auxiliares.
Ya identificadas las líneas del negocio se procede a materializar y/o capitalizar las
mismas.
45
Para la identificación de las líneas de negocio importantes o críticas se debe llenar
toda la información proporcionada por la entidad de intermediación financiera.
1 2 3
Dónde:
Tabla 4.4 Descripción de la Herramienta
Fuente: (Elaboración Propia)
Se deberá revisar los estados financieros actuales e históricos para que de esa
manera materializar cada una de las líneas de negocio en función a la ganancia
generada por línea de negocio o la pérdida representada por la falta de operatividad.
46
Para alcanzar el objetivo, se sugiere utilizar los balances generales y/o estados de
resultados, por tanto se puede presentar tres casos para realizar la materialización y
estos son:
47
En este caso se consideraran los tres últimos balances donde se calculara el factor
Kme en función a los totales de los activos de la siguiente manera:
∑3𝑡=1(Total Activos)
𝐾𝑚𝑒 =
3
Dónde:
Kme: factor de decisión en base a sumatoria de los últimos tres años, de los
balances y/o estados de resultados, lo que permite establecer de forma general las
líneas de negocio más rentables y además que considera alta dirección como las
líneas que deben encontrarse disponibles.
48
Para ambos casos se deben considerar al menos 3 años como históricos, se toma
los balances generales de las gestiones 2014, 2015, 2016 de las líneas de negocio.
∑3𝑡=1(Total Utilidades)
𝐾𝑚𝑒 =
3
Dónde:
Kme : factor de decisión en base a sumatoria de los últimos tres años, de los
balances y/o estados de resultados, lo que permite establecer de forma general las
líneas de negocio más rentables y además que considera alta dirección como las
líneas que deben encontrarse disponibles.
En este caso se se procederá como en los casos anteriores siendo los factores
utilizados el total de utilidad y los totales activos de la siguiente manera:
Dónde:
Kme: factor de decisión en base a sumatoria de los últimos tres años, de los
balances y/o estados de resultados, lo que permite establecer de forma general las
líneas de negocio más rentables y además que considera alta dirección como las
líneas que deben encontrarse disponibles.
49
Figura 4.9 Materialización de las Líneas de Negocio
4 5
Dónde:
Tabla 4.5 Descripción de la Herramienta
Fuente: (Elaboración Propia)
4 Después de pedir los balances estos se transcriben las últimas tres gestiones.
5 Calcula la materialización en base a los valores transcritos de las 3 gestiones
anteriores sacando el promedio, lo que nos permite realizar una comparación las
líneas de negocio más rentables son las que se llegan a priorizar.
El objetivo del siguiente paso es identificar los procesos que forman parte de las
líneas de negocio.
50
Figura 4.10 Revisión de Procesos
6 7 8 9
Dónde:
Tabla 4.6 Descripción de la Herramienta
Fuente: (Elaboración propia)
51
4.5.9. Identificación de Activos Tecnológicos Participantes en los Procesos
Se va revisando las actividades dentro del proceso y los activos tecnológicos que
forman parte del proceso en base al inventario de activos tecnológicos que
generalmente se encuentra clasificado:
Para realizar este paso se debe utilizar la herramienta propuesta en la figura 4.11 en
donde se involucra las actividades definidas como automatizadas en los procesos y
la respuesta que generan están relacionadas a los activos tecnológicos: las
respuestas están relacionadas a hardware y software. En resumen se debe
identificar la respuesta del activo tecnológico
52
Figura 4.11 Activos Participantes del Proceso
10 11 12 13 14
Dónde:
Tabla 4.7 Descripción de la Herramienta
Fuente: (Elaboración Propia)
53
La Alta Dirección (comité de accionistas o directores o vicepresidentes), debe
aprobar las líneas de negocio y los procesos identificados como críticos, los
mismos son materializados en relación de la disponibilidad.
Finalmente los activos tecnológicos identificados como críticos en base a la
evaluación de su criticidad son presentados a la Alta Dirección quienes aprobaran
sobre cuales se realizara el análisis de riesgo tecnológico.
Una vez concluido la identificación de los procesos críticos asimismo los activos
tecnológicos que los soportan estos son expuestos en un informe al comité.
54
4.6. MÉTODO DE EVALUACIÓN DEL ACTIVO TECNOLÓGICO
56
4.6.1. Evaluación del Activo Tecnológico en Función de la Seguridad
Software
Hardware
Información digital
Información impresa
Servicios
Infraestructura tecnológica
Redes de comunicación
Personal (técnico)
57
Figura 4.13 Catálogo de Activos Tecnológicos
15
58
La valoración de la criticidad se realiza en función de los pilares de seguridad de
información tomando en cuenta la afectación que tiene según el pilar que es
evaluado.
Figura 4.15 Valoración Respecto a la Confidencialidad
60
Figura 4.16 Valoración Respecto a la Integridad
61
Figura 4.17 Valoración Respecto a la Disponibilidad
62
Figura 4.18 Evaluación de Criticidad
15
63
Figura 4.19 Valoración de la Criticidad
64
Figura 4.20 Evaluación de Criticidad
17
65
4.7. MÉTODO DE VALORACIÓN DEL RIESGO
66
4.7.1. Determinar el Recurso Afectado
18
19
20
67
En el siguiente catalogo están determinadas las amenazas y vulnerabilidades que
afectan a los activos tecnológicos, se define como recurso afectado.
Las dimensiones del catálogo permiten determinar las acciones a seguir para la
mitigación de las amenazas y vulnerabilidades, en el plan de acción como ser:
68
4.7.2. Identificación de Amenazas y Vulnerabilidades
El recurso afectado describe las amenazas que afectan al activo tecnológico, detalla la
vulnerabilidad que expone la falla.
21
22
23
24
25
69
4.7.3. Valoración del Riesgo Inherente y Riesgo Residual
70
4.7.4. Valoración del Riesgo
71
Para la valoración del riesgo se utilizará la herramienta definida en la figura 4.28.
Figura 4.28 Valoración del Riesgo
26
27
28
29 30
72
Tabla 4.13 Descripción de la Herramienta
Fuente: (Elaboración propia)
31
73
4.7.6. Interpretación de Resultados
Finalmente se obtiene una matriz de riesgos donde está posicionado todos los
riesgos identificados los mismos serán presentados a la alta dirección para su
aprobación.
32
33
74
CAPÍTULO V
MARCO PROPOSITIVO – PROPUESTA
CAPÍTULO V
MARCO PROPOSITIVO – PROPUESTA
5.1. PRUEBA DE LA METODOLOGÍA
76
5.1.2. Materialización de la líneas de negocio del caso de prueba
77
5.1.3. Revisión de procesos caso de prueba
Para la revisión de los procesos se identifica cuáles son los más críticos.
Figura 5.3 Procesos que sostienen a la línea de negocio
78
Para cada una de los procesos priorizados, se identificaron las actividades
donde participa un activo tecnológico.
Posteriormente se realizó la valoración de la criticidad de los activos en
función a los pilares de seguridad de la información: confidencialidad,
disponibilidad e integridad.
A partir de esta evaluación se identificaron los aplicativos críticos que
soportan los procesos críticos establecidos en alta dirección, los cuales se
describen a continuación:
Para la identificación de los procesos que sostiene a las líneas de negocio
se muestran en la figura 5.3
79
Figura 5.4 Activos Participantes en Procesos
80
5.1.5. Primera Aprobación de Comité
BANCO GR 028/2015
A : Gerente General
Cc : Jefe de Sistemas
DE : Gerente de Riesgos Integrales
Administrador de Seguridad de la Información
REF. : INFORME GESTIÓN DE RIESGOS TECNOLÓGICOS.
FECHA: La Paz, abril de 2016.
I. OBJETIVO
El presente informe tiene la finalidad de exponer el desarrollo del sistema.
III. CONCLUSIONES
i. De acuerdo a la evaluación realizada al Sistema Argos Net permite registrar y gestionar las colocaciones de
crédito desde el punto de vista de la funcionalidad.
ii. La contabilidad del ArgosNet no se encuentra integrada de manera automática al módulo contable con relación a
la cartera de créditos de primer piso (riesgo que se encuentra identificado, controlado y previsto por el Banco
Con relación a la seguridad de la información
iii. se cuenta con acceso seguro (autenticación con claves según protocolo establecido por el Banco), las
comunicaciones con los puntos de atención financiero son seguros por contarse con línea dedicada (VPN y
MPLS), se cuenta con procesos de desarrollo, pruebas y pase a producción así como la documentación técnica
para todo aplicativo informático que se encuentra en producción.
iv. El Banco cuenta con versionamiento y copias de seguridad del aplicativo informático y código fuente.
81
5.1.6. Evaluación del Activo Tecnológico en Función los Pilares de
Seguridad de Información.
82
5.1.7. Valoración de la Criticidad
83
5.1.8. Clasificación del Activo
84
5.1.9. Segunda Aprobación de Comité
A : Gerente General
Cc : Jefe de Sistemas
DE : Gerente de Riesgos Integrales
Administrador de Seguridad de la Información
REF. : INFORME GESTIÓN DE RIESGOS TECNOLÓGICOS.
FECHA: La Paz, abril de 2016.
I. OBJETIVO
El presente informe tiene la finalidad de exponer el desarrollo del sistema.
III. CONCLUSIONES
i. De acuerdo a la evaluación realizada al Sistema Argos Net permite registrar y gestionar las colocaciones de
crédito desde el punto de vista de la funcionalidad.
ii. La contabilidad del ArgosNet no se encuentra integrada de manera automática al módulo contable con relación a
la cartera de créditos de primer piso (riesgo que se encuentra identificado, controlado y previsto por el Banco
Con relación a la seguridad de la información
iii. se cuenta con acceso seguro (autenticación con claves según protocolo establecido por el Banco), las
comunicaciones con los puntos de atención financiero son seguros por contarse con línea dedicada (VPN y
MPLS), se cuenta con procesos de desarrollo, pruebas y pase a producción así como la documentación técnica
para todo aplicativo informático que se encuentra en producción.
iv. El Banco cuenta con versionamiento y copias de seguridad del aplicativo informático y código fuente.
85
5.1.10.Determinación Recurso Afectado
86
Para la identificación de las amenazas y vulnerabilidades estos son extraídos del
catálogo de amenazas y vulnerabilidades
87
Figura 5.12 Ejemplo de Identificación de Amenazas y Vulnerabilidades
88
Figura 5.13 Análisis de Riesgo Tecnológico
89
Figura 5.14 Ejemplo de la Matriz de Riesgo Inherente y Riesgo Residual
90
5.2. RESULTADOS
Los riesgos altos y muy altos no son aceptables por el Banco, por lo que deben
ser tratados inmediatamente a través de medidas de acción mitigantes.
La tolerancia al riesgo son los que se identifiquen como medios, para los cuales
también deben establecerse medidas mitigantes o controles compensatorios.
91
5.3. DEMOSTRACIÓN Y/O ARGUMENTACIÓN DE LA HIPÓTESIS
92
5.3.3. Medición del Nivel de Cumplimiento de la Metodología
1. No se cumple 1
2. Se cumple parcialmente 5
3. Se cumple. 10
Promedio
5,43
Deficiente
Tabla 5.2 Nivel de Cumplimiento Gestión 2015
Fuente: (Elaboración propia)
Ponderación de factores Valor
1. No se cumple 1
2. Se cumple parcialmente 5
3. Se cumple. 10
Promedio
3,29
Deficiente
93
Tabla 5.3 Nivel de Cumplimiento Gestión 2016
Fuente: (Elaboración propia)
1. No se cumple 1
2. Se cumple parcialmente 5
3. Se cumple. 10
Promedio
8,57
Aceptable
94
CAPÍTULO VI
CONCLUSIONES Y
RECOMENDACIONES
CAPÍTULO VI
CONCLUSIONES Y RECOMENDACIONES
6.1. CONCLUSIONES
Se realizó el diseño de tres métodos, los cuales están guiados por las líneas de
negocio y la cadena de valor de la entidad de intermediación financiera que son
parte del siclo de vida iterativo de la metodología, de gestión de riesgo tecnológico
que establece resultados cualitativos y cuantitativos.
95
6.2. RECOMENDACIONES
Que para un adecuado análisis de riesgo tecnológico se debe seguir los procesos
que conforman cada uno de los métodos ya que los mismos tienen controles que
permiten generar entregables que son los sustentos necesarios y suficientes para
la presentación a alta dirección.
Los resultados del análisis de riesgo tecnológico afectan a operatividad por cual
debe de ser integral, lo que permite que las entidades de intermediación
financiera alcancen los objetivos en un determinado plazo.
96
ANEXOS
ANEXO A
ANEXO B
GLOSARIO