Maestria - Richard Villca 25032018 Fin Imprimir PDF

ESCUELA MILITAR DE INGENIERÍA
“MCAL. ANTONIO JOSÉ DE SUCRE”

BOLIVIA
TESIS DE MAESTRÍA
GESTIÓN DE RIESGO TECNOLÓGICO BASADO EN

ISO 31000 E ISO 27005
RICHARD SERAPIO VILLCA LAURA
LA PAZ, 2018
GESTIÓN DE RIESGO TECNOLÓGICO BASADO EN ISO
31000 E ISO 27005
Modalidad: Tesis de grado presentado

como requisito para optar al título de
Magister en Seguridad de Tecnologías de
la Información.
TUTOR: M.Sc. Lic. CLAUDIA YAÑIQUEZ
LA PAZ, 2018
AUTORIZO LA PRODUCCIÓN Y DIVULGACIÓN TOTAL O PARCIAL

DE ESTE TRABAJO DE INVESTIGACIÓN, POR CUALQUIER MEDIO
CONVENCIONAL O ELECTRÓNICO PARA FINES DE ESTUDIO E
INVESTIGACIÓN, DESDE QUE SE ENCUENTRA CITADA LA FUENTE.
Villca Laura Richard Serapio
Diseñar una metodología para realizar la gestión de riesgo tecnológico y proponer una
forma de valoración aplicable a entidades de intermediación financiera, que coadyuve a
la obtención de resultados objetivos y optimice los costos de inversión, recursos
humanos altamente calificados y tiempo de la programación del plan anual de
operaciones proporcionado.
Tutor MSc. Lic. Claudia Yañiquez

La Paz, 2018
Tesis de Maestría – Programa de Postgraduación en Seguridad en

Tecnologías de la Información. Escuela Militar de Ingeniería
Palabras Clave: 1. Gestión - Riesgos – Tecnológico.
CÓDIGO................
HOJA DE APROBACIÓN
Richard Serapio Villca Laura

Gestión de riesgo tecnológico basado en ISO 31000 e ISO 27005
Tesis presentada a la Dirección de
Postgrado de la Escuela Militar de
Ingeniería para la obtención del Título
de Magíster Scientiarum.
Área de Concentración: Seguridad en

Tecnologías de la Información
Aprobado con:
Tribunal Examinador de Tesis
Vocal 1: ________________________________________________________________
Institución: _____________________________ Firma: ___________________________
Vocal 2: ________________________________________________________________
Tutor: __________________________________________________________________
Relator: _________________________________________________________________
Presidente: ______________________________________________________________
Institución: ____________________________ Firma: ____________________________

DEDICATORIA
A mi esposa por el apoyo, el amor, la paciencia que me permitió concluir con la

elaboración del presente trabajo de investigación.
A mis hijas Diana y Mikaela, a las que les quite muchas horas de pasar juntos y que
son mi inspiración para superarme, mi fuerza, mi aliento para crecer
permanentemente.
A mis padres Migdonio y Austrebertha.
A mis abuelos Rufino y Petronila que han sido mi guía desde el cielo.

AGRADECIMIENTOS
A la Escuela Militar de Ingeniería por albergarme en sus aulas en mi formación de

postgrado.
A la señora M.Sc. Lic. Claudia Silvia Yañiquez Magne, tutor del presente trabajo de
investigación por su tiempo y su constante guía para la conclusión con éxito del
mismo.
Muchas Gracias!

RESUMEN
Los activos de información son parte fundamental de las actividades y procesos de la
cadena de valor las entidades de intermediación financiera.
La identificación de activos tecnológicos críticos es primordial para la gestión de los

procesos y una adecuada validación y valoración.
Por lo cual la definición de la criticidad del activo tecnológico se realiza en base a los
pilares de la seguridad de la información (confidencialidad, integridad y
disponibilidad).
La identificación de amenazas y vulnerabilidades que generan la probabilidad e

impacto sobre un activo tecnológico permite la identificación del riesgo inherente y
con los controles adecuados el riesgo residual administrando el riesgo para (mitigar,
asumir, transferir o evitar) el riesgo.
La metodología propuesta se basa en tres métodos que son : método de

identificación del contexto, método de evaluación del activo tecnológico y finalmente
el método de valoración del riesgo tecnológico.
En el primero método, se realiza la identificación de las líneas de negocio y la cadena

de valor, obteniendo como resultado la priorización de los procesos críticos que los
soportan.
En el segundo método, en base a la identificación de los procesos del anterior

método se realiza la evaluación de los activos tecnológicos obteniendo como
resultado la valoración del activo en función de su criticidad.
En el tercer método, se realiza la valoración del riesgo tecnológico en base a las

amenazas y vulnerabilidades que afectan a los activos tecnológicos obteniendo como
resultado la cuantificación con el apoyo de las herramientas diseñadas para este
trabajo.
Descriptores: Riesgo inherente, Riesgo residual, confidencialidad, integridad y

disponibilidad, probabilidad e impacto.
ÍNDICE DE CONTENIDO
CAPITULO I : GENERALIDADES
1.1. INTRODUCCIÓN .............................................................................................................. 1

1.2. ANTECEDENTES DEL PROBLEMA ................................................................................ 3
1.3. PLANTEAMIENTO DEL PROBLEMA .............................................................................. 4
1.3.1. Identificación del Problema ...........................................................................................................5
1.3.2. Formulación del Problema ............................................................................................................5
1.4. OBJETIVOS DE LA INVESTIGACIÓN ............................................................................. 5
1.4.1. Objetivo General ...........................................................................................................................5
1.4.2. Objetivos Específicos ....................................................................................................................5
1.5. JUSTIFICACIÓN ............................................................................................................... 6
1.5.1. Justificación Teórica......................................................................................................................6
1.5.2. Justificación Técnica .....................................................................................................................6
1.5.3. Justificación Metodológica ............................................................................................................6
1.5.4. Justificación Social ........................................................................................................................6
1.6. ALCANCES ....................................................................................................................... 6
1.6.1. Alcance Temático..........................................................................................................................6
1.6.2. Alcance Espacial ...........................................................................................................................7
1.6.3. Alcance Temporal .........................................................................................................................7
CAPÍTULO II : ESTADO DEL ARTE
2.1. SEGURIDAD DE LA INFORMACIÓN .............................................................................. 8

2.1.1. Definición de Seguridad de la Información: ...................................................................................8
2.1.2. Elemento de Seguridad de la Información ....................................................................................8
2.2. REGLAMENTO PARA LA GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN .... 10
2.2.1. Criterios Establecidos en la Reglamentación ..............................................................................11
2.2.2. Secciones de la Reglamentación a ser Alcanzadas ....................................................................12
2.3. GESTIÓN DE RIESGO TECNOLÓGICO ....................................................................... 15
2.3.1. Gestión de Riesgos .....................................................................................................................15
2.3.2. Componentes de la Gestión de Riesgos .....................................................................................16
2.3.3. Orígenes de los Riesgos de Carácter Tecnológico. ....................................................................17
2.3.4. Decisiones ..................................................................................................................................18
2.3.5. Matrices de Efectos.....................................................................................................................19
2.3.6. Caracterización de Riesgos Tecnológicos. .................................................................................20
2.4. NORMAS Y ESTÁNDARES DE GESTIÓN DE RIESGOS ............................................ 22
2.4.1. Norma ISO 31000 Gestión de Riesgos Principios y Lineamientos..............................................22
2.4.2. Principios Básicos para la Gestión de Riesgos ...........................................................................23
2.4.3. Norma ISO 27005 Gestión de Riesgos de la Seguridad de la Información .................................25
2.5. ENTIDADES DE INTERMEDIACIÓN FINANCIERA ...................................................... 27
2.5.1. Entidad Supervisada por ASFI ....................................................................................................27
CAPÍTULO III: ESTRATEGIA METODOLÓGICA
3.1. ESTRATEGIA METODOLÓGICA ................................................................................... 33

3.1.1. FORMULACIÓN DE LA HIPÓTESIS .............................................................................. 33
3.1.2. IDENTIFICACIÓN Y ANÁLISIS DE VARIABLES ........................................................... 33
3.1.3. CONCEPTUALIZACIÓN DE VARIABLES...................................................................... 33
3.1.4. OPERACIONALIZACIÓN DE VARIABLES .................................................................... 34
3.2. MATRIZ DE CONSISTENCIA ......................................................................................... 35
3.3. DISEÑO Y TIPO DE INVESTIGACIÓN .......................................................................... 36
3.3.1. Diseño de Investigación ..............................................................................................................36
3.3.2. Tipo de Investigación ..................................................................................................................36
3.4. UNIVERSO Y MUESTRA ............................................................................................... 36
3.5. TÉCNICAS DE RECOPILACIÓN.................................................................................... 36
3.5.1. La Observación ...........................................................................................................................36
3.5.2. La Entrevista ...............................................................................................................................37
3.5.3. El Cuestionario ............................................................................................................................37
3.6. ESTRATEGIAS DE INVESTIGACIÓN ........................................................................... 38
3.6.1. Análisis........................................................................................................................................38
3.6.2. Diseño .........................................................................................................................................38
3.6.3. Comprobación de Resultados .....................................................................................................38
CAPÍTULO IV : MARCO PRÁCTICO
4.1. ANÁLISIS DE METODOLOGÍAS Y ESTÁNDARES ...................................................... 39

4.2. ANÁLISIS COMPARATIVO ............................................................................................ 39
4.3. DISEÑO DE LA METODOLOGÍA ................................................................................... 40
4.3.1. Características de la Metodología ...............................................................................................41
4.4. METODOLOGÍA PROPUESTA ...................................................................................... 42
4.5. MÉTODO IDENTIFICACIÓN DEL CONTEXTO ............................................................. 43
4.5.1. Cadena de Valor en una Entidad de Intermediación Financiera .................................................45
4.5.2. Línea de Negocio en una Entidad de Intermediación Financiera ................................................45
4.5.3. Identificación de Líneas de Negocio ...........................................................................................45
4.5.4. Materialización de Líneas de Negocio ........................................................................................46
4.5.5. Materialización Mediante Balance General .................................................................................47
4.5.6. Materialización Mediante Estados de Resultados .......................................................................48
4.5.7. Materialización Mediante Balance General y Estados de Resultados ........................................49
4.5.8. Revisión de Procesos que Sostienen las Líneas de Negocio. ....................................................50
4.5.9. Identificación de Activos Tecnológicos Participantes en los Procesos........................................52
4.5.10. Aprobación del Comité ................................................................................................................54
4.6. MÉTODO DE EVALUACIÓN DEL ACTIVO TECNOLÓGICO ...................................... 56
4.6.1. Evaluación del Activo Tecnológico en Función de la Seguridad ................................................57
4.6.2. Valoración de la Criticidad del Activo Tecnológico ......................................................................62
4.6.3. Clasificación del Activo Tecnológico en Función de la Información que las Gestiona ................64
4.6.4. Aprobación del Comité ................................................................................................................65
4.7. MÉTODO DE VALORACIÓN DEL RIESGO ................................................................. 66
4.7.1. Determinar el Recurso Afectado .................................................................................................67
4.7.2. Identificación de Amenazas y Vulnerabilidades ..........................................................................69
4.7.3. Valoración del Riesgo Inherente y Riesgo Residual ...................................................................70
4.7.4. Valoración del Riesgo .................................................................................................................71
4.7.5. Plan de Acción ............................................................................................................................73
4.7.6. Interpretación de Resultados ......................................................................................................74
CAPÍTULO V : MARCO PROPOSITIVO
5.1. PRUEBA DE LA METODOLOGÍA .................................................................................. 76

5.1.1. Líneas de Negocio Caso de Prueba ...........................................................................................76
5.1.2. Materialización de la líneas de negocio del caso de prueba .......................................................77
5.1.3. Revisión de procesos caso de prueba ......................................................................................78
5.1.4. Identificación de Activos Participantes en Procesos ...................................................................79
5.1.5. Primera Aprobación de Comité ...................................................................................................81
5.1.6. Evaluación del Activo Tecnológico en Función los Pilares de Seguridad de Información. ..........82
5.1.7. Valoración de la Criticidad ..........................................................................................................83
5.1.8. Clasificación del Activo ...............................................................................................................84
5.1.9. Segunda Aprobación de Comité .................................................................................................85
5.1.10. Determinación Recurso Afectado................................................................................................86
5.1.11. Identificación de Amenazas y Vulnerabilidades ..........................................................................87
5.1.12. Valoración del Riesgo Inherente y Residual ...............................................................................88
5.1.13. Plan de Acción ............................................................................................................................89
5.2. RESULTADOS ................................................................................................................ 91
5.3. DEMOSTRACIÓN Y/O ARGUMENTACIÓN DE LA HIPÓTESIS .................................. 92
5.3.1. Docimasia de Hipótesis ...............................................................................................................92
5.3.2. Nivel de Cumplimiento ................................................................................................................92
5.3.3. Medición del Nivel de Cumplimiento de la Metodología ..............................................................93
CAPÍTULO VI : CONCLUSIONES Y RECOMENDACIONES
6.1. CONCLUSIONES ............................................................................................................ 95

6.2. RECOMENDACIONES ................................................................................................... 96
ÍNDICE DE TABLAS
TABLA 1.1: ALCANCE TEMÁTICO ................................................................................................ 7
TABLA 3.1 IDENTIFICACIÓN DE VARIABLES ........................................................................... 33
TABLA 3.2: CONCEPTUALIZACIÓN DE VARIABLE INDEPENDIENTE .................................... 33
TABLA 3.3 CONCEPTUALIZACIÓN DE VARIABLE DEPENDIENTE ........................................ 34
TABLA 3.4 OPERACIONALIZACIÓN DE VARIABLE INDEPENDIENTE ................................... 34
TABLA 3.5 OPERACIONALIZACIÓN DE LA VARIABLE DEPENDIENTE ................................. 34
TABLA 3.6 MATRIZ DE CONSISTENCIA .................................................................................... 35
TABLA 3.7 UNIVERSO Y MUESTRA ........................................................................................... 36
TABLA 4.1 ESTÁNDARES IDENTIFICADOS .............................................................................. 39
TABLA 4.2 COMPARACIÓN DE LAS ISO 27005 VS ISO 31000 ................................................ 39
TABLA 4.3 MÉTODOS IDENTIFICADOS PARA LA METODOLOGÍA PROPUESTA ................ 40
TABLA 4.4 DESCRIPCIÓN DE LA HERRAMIENTA .................................................................... 46
TABLA 4.10 DESCRIPCIÓN DE LA HERRAMIENTA .................................................................. 65
TABLA 5.1 NIVEL DE CUMPLIMIENTO GESTIÓN 2014 ............................................................ 93
ÍNDICE DE FIGURAS
FIGURA 2.1 FUENTES DE RIESGOS ......................................................................................... 18
FIGURA 2.2 MATRIZ DE EFECTOS ............................................................................................ 20
FIGURA 2.3 RELACIÓN ENTRE PROBABILIDADES E IMPACTOS ......................................... 21
FIGURA 2.4 PROCESO DE GESTIÓN DEL RIESGO ................................................................. 23
FIGURA 2.5 RELACIÓN PRINCIPIOS, MARCO DE TRABAJO Y PROCESO ........................... 24
FIGURA 2.6 PROCESO DE GESTIÓN DEL RIESGO ................................................................. 27
FIGURA 4.1 PROCESO PERIÓDICO E ITERATIVO .................................................................. 41
FIGURA 4.2 METODOLOGÍA PARA LA GESTIÓN DE RIESGO TECNOLÓGICO ................... 42
FIGURA 4.3 FASES DE LA METODOLOGÍA .............................................................................. 43
FIGURA 4.4 MÉTODO IDENTIFICACIÓN DEL CONTEXTO ...................................................... 44
FIGURA 4.5 CUADRO DE IDENTIFICACIÓN DE LÍNEAS DE NEGOCIO ................................. 46
FIGURA 4.6 CASOS PARA LA MATERIALIZACIÓN................................................................... 47
FIGURA 4.7 MATERIALIZACIÓN MEDIANTE BALANCE GENERAL ........................................ 47
FIGURA 4.8 MATERIALIZACIÓN MEDIANTE ESTADOS DE RESULTADOS........................... 48
FIGURA 4.9 MATERIALIZACIÓN DE LAS LÍNEAS DE NEGOCIO ............................................ 50
FIGURA 4.10 REVISIÓN DE PROCESOS ................................................................................... 51
FIGURA 4.11 ACTIVOS PARTICIPANTES DEL PROCESO ...................................................... 53
FIGURA 4.12 MÉTODO DE EVALUACIÓN DEL ACTIVO .......................................................... 56
FIGURA 4.13 CATÁLOGO DE ACTIVOS TECNOLÓGICOS ...................................................... 58
FIGURA 4.15 VALORACIÓN RESPECTO A LA CONFIDENCIALIDAD ..................................... 60
FIGURA 4.16 VALORACIÓN RESPECTO A LA INTEGRIDAD .................................................. 61
FIGURA 4.17 VALORACIÓN RESPECTO A LA DISPONIBILIDAD............................................ 62
FIGURA 4.18 EVALUACIÓN DE CRITICIDAD ............................................................................ 63
FIGURA 4.19 VALORACIÓN DE LA CRITICIDAD....................................................................... 64
FIGURA 4.20 EVALUACIÓN DE CRITICIDAD ............................................................................ 65
FIGURA 4.21 MÉTODO DE VALORACIÓN DEL RIESGO ......................................................... 66
FIGURA 4.22 RECURSO AFECTADO ......................................................................................... 67
FIGURA 4.23 CATÁLOGO DE AMENAZAS Y VULNERABILIDADES........................................ 68
FIGURA 4.24 AMENAZAS Y VULNERABILIDADES ................................................................... 69
FIGURA 4.25 VALORACIÓN DEL IMPACTO .............................................................................. 70
FIGURA 4.26: PROBABILIDAD DE LA AMENAZA ..................................................................... 70
FIGURA 4.27 VALORACIÓN DEL RIESGO ................................................................................. 71
FIGURA 4.28 VALORACIÓN DEL RIESGO ................................................................................. 72
FIGURA 4.29 PLAN DE ACCIÓN ................................................................................................. 73
FIGURA 4.30 MATRIZ DE RIESGOS........................................................................................... 74
FIGURA 5.1 IDENTIFICACIÓN DE LAS LÍNEAS DE NEGOCIOS .............................................. 76
FIGURA 5.2 MATERIALIZACIÓN ................................................................................................. 77
FIGURA 5.3 PROCESOS QUE SOSTIENEN A LA LÍNEA DE NEGOCIO ................................. 78
FIGURA 5.4 ACTIVOS PARTICIPANTES EN PROCESOS ........................................................ 80
FIGURA 5.5 EJEMPLO DE INFORME ......................................................................................... 81
FIGURA 5.6 EVALUACIÓN DEL ACTIVO TECNOLÓGICO........................................................ 82
FIGURA 5.7 EJEMPLO DE IDENTIFICACIÓN DE ACTIVOS TECNOLÓGICOS ....................... 83
FIGURA 5.8 EJEMPLO DE MATRIZ DE CLASIFICACIÓN ......................................................... 84
FIGURA 5.9 EJEMPLO DE INFORME ......................................................................................... 85
FIGURA 5.10 EJEMPLO DE RECURSOS AFECTADOS ............................................................ 86
FIGURA 5.11 EJEMPLO DE CATÁLOGO DE AMENAZAS Y VULNERABILIDADES ............... 87
FIGURA 5.12 EJEMPLO DE IDENTIFICACIÓN DE AMENAZAS Y VULNERABILIDADES ...... 88
FIGURA 5.13 ANÁLISIS DE RIESGO TECNOLÓGICO .............................................................. 89
FIGURA 5.14 EJEMPLO DE LA MATRIZ DE RIESGO INHERENTE Y RIESGO RESIDUAL ... 90
FIGURA 5.15 MATRIZ DE RIESGOS........................................................................................... 91
ÍNDICE DE ECUACIONES
ECUACIÓN 4.1: FACTOR DE DECISIÓN EN BASE A BALANCE GENERAL .......................... 48
ECUACIÓN 4.2: FACTOR DE DECISIÓN EN BASE A ESTADOS DE RESULTADOS ............ 49
ECUACIÓN 4.3: FACTOR DE DECISIÓN EN BASE A ESTADOS DE RESULTADOS ............ 49
CAPÍTULO I
GENERALIDADES
CAPÍTULO I
GENERALIDADES
1.1. INTRODUCCIÓN
Las metodologías vigentes para realizar el análisis de riesgo tecnológico proponen

una forma de valoración subjetiva aplicable a cualquier negocio, lo que provoca
resultados sean subjetivos para una entidad de intermediación financiera, esto
implica inversión costo, contratación de recurso humano calificado y un mayor tiempo
del estimado en la programación del plan anual de operaciones.
Las entidades de intermediación financiera reguladas y las que están en proceso de

ser reguladas por la Autoridad de Supervisión del Sistema Financiero (ASFI),
requieren implementar un Sistema de Gestión de Seguridad de la información
(SGSI), este en un marco regulatorio que permite que las entidades de
intermediación financiera garanticen la integridad, disponibilidad y confidencialidad
de la información.
Sin importar cuál es la línea de negocio a la que se dedica la entidad de

intermediación financiera se debe precautelar que no se interrumpan sus
operaciones ya que esto implica daño a la imagen institucional, asimismo multas por
incumplimiento normativo y/o legal.
En el Estado Plurinacional de Bolivia se cuenta con una regulación sobre la gestión

de seguridad de la información establecida por el Ente Regulador (ASFI). Las
entidades apuntan al cumplimiento de esta regulación ya que el tiempo de
implementación de un SGSI toma un estimado de tres años por lo que se debe
establecer una gestión controlada y netamente de cumplimiento.
La Alta Dirección de las entidades de intermediación financiera se encuentra

conscientes del riesgo que implica el no tener una gestión de la seguridad de
1
información, con normas, políticas, reglamentos, procedimientos, planes, etc., que
coadyuven con los objetivos de la entidad de intermediación financiera.
En el mercado financiero Boliviano el Ente Regulador (ASFI), dispone que se debe

realizar un análisis de riesgo tecnológico para la gestión de la seguridad de la
información ya que está enmarcado al cumplimiento y no así a integrado a los
procesos y líneas de los negocio asimismo la cadena de valor. El SGSI debe
alinearse a los objetivos del negocio lo cual como todo cambio genera una gran
movimiento de recursos como ser económico, tiempo en horas de trabajo y la
capacitación de los recursos humanos que se vaya a requerir.
Las expectativas en función del cumplimiento obliga a estas entidades de

intermediación financiera a tercializar o que transfieran este trabajo a empresas
externas, lo cual implica un riesgo de control en la gestión de la seguridad de la
información ya que las empresas que realizan este trabajo, son empresas que no
entienden o identifican la sensibilidad sobre la criticidad e integridad de la
información, se observa que este trabajo es realizado para muchas empresas lo que
provoca una generalización esto obliga a las entidades de intermediación financiera a
alinearse a la reglamentación que no esté de acuerdo a su realidad.
Siendo el análisis y evaluación de riesgos tecnológicos el inicio de la gestión de la

seguridad de información es la etapa o hito más complejo ya que su evaluación se
torna de manera subjetiva basada en el conocimiento del experto.
Esto genera una gran brecha ya que los métodos y/o estándares están orientados a
procesos lo cual es óptimo para la elaboración de los planes de contingencia
tecnológica, y de continuidad del negocio, asimismo de recuperación de desastres,
pero no así sobre los objetivos del negocio, lo que no permite un correcto crecimiento
en sus líneas de negocio a la par con el riesgo tecnológico que se va generando en
función del alcance de del objetivo trazado para esta línea.
2
1.2. ANTECEDENTES DEL PROBLEMA
El riesgo tecnológico tiene su origen en la constante evolución de las herramientas y
aplicaciones tecnológicas.
Su incursión en las entidades de intermediación financiera se debe a que la

tecnología está siendo fin y medio de ataques debido a vulnerabilidades existentes
por medidas de protección inadecuadas y por su constante cambio, factores que
hacen cada vez más difícil mantener actualizadas esas medidas de seguridad de la
información.
Adicional a los ataques intencionados, se encuentra el uso no adecuado de la

infraestructura tecnológica (hardware, software, datos), que en muchas ocasiones es
la mayor causa de las vulnerabilidades y los riesgos a los que se exponen las
entidades de intermediación financiera.
Las amenazas a la infraestructura tecnológica (hardware o nivel físico), nivel lógico

(software, sistemas de información, base de datos) y por último el mal uso de los
anteriores factores, que corresponde al error humano como un tercer nivel.
Si se revisan las definiciones de las metas, objetivos, visión o misión de las de la

entidades de intermediación financiera, estás no se fundamentan en términos
técnicos o con relación a la tecnología. Sin embargo, al analizar de forma profunda y
minuciosa este tipo de planteamientos gerenciales, se encuentra que su aplicación
trae como base el desempeño de una infraestructura tecnológica que permita darle
consecución a dichas cualidades. Por ello, el cumplimiento correspondiente con la
prestación de los servicios y desarrollo de los productos ofrecidos por las entidades
de intermediación financiera, el mantenimiento de la actividad operativa e incluso la
continuidad del negocio y el plan de contingencia tecnológico, dependen del cuidado
y conservación que se tenga de la base tecnológica y por supuesto, del personal que
la opera
El ente regulador ASFI emite la circular ASFI/193/2013 referente al reglamento de

requisitos mínimos de seguridad informática para la administración de sistemas de
información y tecnologías relacionadas, asimismo en la gestión 2016 emite la
3
circular ASFI/395/2016 que refiere a modificaciones al reglamento para la gestión de
seguridad de la información, los cuales son de estricto cumplimiento para las
entidades de intermediación financiera del estado Plurinacional de Bolivia.
El reglamento de requisitos mínimos de seguridad informática para la administración

de sistemas de información y tecnologías relacionadas y la circular de actualización
definen que la entidad de intermediación financiera es responsable de efectuar el
análisis de riesgo tecnológico, acorde a su naturaleza, tamaño y complejidad de
operaciones, debiendo desarrollar e implementar procedimientos para este fin, que
deben ser formalmente establecidos, por lo que la presente investigación propone
una metodología para la gestión de riesgo tecnológico como base de la seguridad de
la información.
1.3. PLANTEAMIENTO DEL PROBLEMA
En la actualidad la seguridad de información ha cobrado gran importancia, debido a

que la información utilizada con apoyo de las tecnologías de la información es
considerada el activo más importante para las empresas e instituciones; por estas
razones los criterios de seguridad de información como ser la confidencialidad,
integridad y disponibilidad deben definir cómo proteger la información.
Por otra parte el tratar de encerrar la información no es una buena opción para
protegerla, debido a que esta debe circular y generar beneficios para el dueño de la
información; a esta información que se envía de un emisor a un receptor se le
denomina mensaje el cual se desea que llegue integro evitando sea modificado o
eliminado.
En otros casos se puede enviar mensajes falsificados, creados por agentes no

autorizados y en muchas ocasiones el emisor puede negar el haber enviado un
documento, rechazarlo de tal manera que evite su responsabilidad, por esta razón
es necesario certificar dicho documento con una firma que plasmado en un
documento pueda brindar más confianza, y gracia al avance de la tecnología se
transforman las firmas tradicionales en firmas digitales que como principal
característica tienen la autenticidad, el no repudio y la integridad del documento.
4
1.3.1. Identificación del Problema
Actualmente existen varias metodologías y estándares para la identificación, análisis,

evaluación y tratamiento del riesgo tecnológico que no cumplen con las regulaciones
vigentes establecidas por el ente regulador ASFI.
1.3.2. Formulación del Problema
¿Cómo realizar la gestión del riesgo tecnológico en relación a la seguridad de

información en una entidad de intermediación financiera de tal manera que cumpla la
reglamentación establecida por la entidad y el ente regulador ASFI.?.
1.4. OBJETIVOS DE LA INVESTIGACIÓN
De acuerdo al problema identificado anteriormente se pueden plantear los siguientes

objetivos.
1.4.1. Objetivo General
Diseñar una metodología de gestión de riesgo tecnológico basado ISO 31000 e ISO
27005 planteando una forma de análisis y evaluación de riesgos en seguridad de la
información para entidades de intermediación financiera, para el cumplimiento de la
reglamentación establecida por la entidad y el ente regulador ASFI .
1.4.2. Objetivos Específicos
 Revisión de los estándares ISO 31000:2009 e ISO 27005:2012 orientadas a la

gestión de riesgo tecnológico, realizando un análisis comparativo identificando los
métodos para la construcción de la metodología propuesta, que sean aplicables a
las entidades de intermediación financiera.
 Diseñar los métodos guiados por las líneas de negocio y la cadena de valor de la
entidad de intermediación financiera siguiendo un ciclo de vida iterativo para la
estimación del riesgo tecnológico de manera cualitativa y cuantitativa.
 Realizar la prueba de la metodología propuesta en una entidad de intermediación
financiera, para la comprobación de los resultados a obtenerse.
5
1.5. JUSTIFICACIÓN
1.5.1. Justificación Teórica

Esta nueva alternativa permite generar nuevos conocimientos en el área de
seguridad de la información, permitiendo realizar estudios posteriores sobre el tema,
dejando abierta la posibilidad a ser aplicada en otras áreas de la seguridad en
tecnologías de la información y comunicación.
1.5.2. Justificación Técnica

Para la metodología propuesta se utiliza el marco de estándares relacionados al
riesgo tecnológico como ser: ISO 27005 gestión de seguridad de la información y la
tecnología de las comunicaciones, ISO 31000 gestión de riesgos – principios y
directrices, para la adecuación de a entidades de financiera orientados a la seguridad
de la información.
1.5.3. Justificación Metodológica

El desarrollo de esta metodología innovará en la estimación del riesgo tecnológico
permitiendo obtener resultados cualitativos y cuantitativos, que permitirán una
adecuada toma de decisiones.
1.5.4. Justificación Social
Se justifica socialmente porque la metodología podrá ser aplicada en cualquier

entidad de intermediación financiera, permitiendo la reacción temprana ante
contingencia y manteniendo la continuidad del negocio.
1.6. ALCANCES
1.6.1. Alcance Temático
6
Tabla 1.1: Alcance Temático
(Fuente: Elaboración Propia)
General Seguridad de la Información
Gestión de riesgo tecnológico

Especifica
Nivel de investigación Aplicada
1.6.2. Alcance Espacial

La Tesis de Postgrado, va dirigida a entidades de intermediación financiera de la
ciudad de La Paz, del Estado Plurinacional de Bolivia.
1.6.3. Alcance Temporal

La información utilizada corresponde a las gestiones 2014, 2015, 2016.
7
CAPÍTULO II
ESTADO DEL ARTE

CAPÍTULO II
ESTADO DEL ARTE
2.1. SEGURIDAD DE LA INFORMACIÓN
2.1.1. Definición de Seguridad de la Información:

Se puede definir como seguridad de información como la preservación de la
confidencialidad, integridad y disponibilidad de la información; además de otras
propiedades también pueden ser involucradas tales como autenticidad,
responsabilidad no divulgación y fiabilidad (NB-ISO-IEC 27001, 2013).
Según la reglamentación 395/2016 se define como seguridad de información al

conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas
tecnológicos que permiten resguardar y proteger la información buscando mantener
la confidencialidad, la disponibilidad e integridad de la misma, además otras
propiedades también pueden ser involucradas tales como autenticidad,
responsabilidad no divulgación y fiabilidad. (Asfi/395/16, 2016).
2.1.2. Elemento de Seguridad de la Información

La información que administra la entidad de intermediación financiera debe contener
un alto grado de seguridad considerando mínimamente lo siguiente:
a) Autenticación: Permite identificar al generador de la información y al usuario de

la misma. (Perez Julio, 2015),
b) Confiabilidad: Busca proveer información apropiada, precisa y veraz, para el
uso de las entidades de intermediación financiera, tanto internamente como
externamente, que apoye el proceso de toma de decisiones.(Gomez A, 2011)
c) Confidencialidad: Garantiza que la información se encuentra accesible
únicamente para el personal autorizado. (NB-ISO-IEC 27001, 2013)
d) Cumplimiento: Busca promover el acatamiento de las leyes, regulaciones y
acuerdos contractuales a las que se encuentran sujetos los procesos que realiza
la entidad de intermediación financiera. (Gomez A, 2011)
e) Disponibilidad: Permite la accesibilidad a la información en el tiempo y la forma
que esta sea requerida. (NB-ISO-IEC 27001, 2013)
8
f) Efectividad: Adecuada información para desarrollar las actividades de la
entidad de intermediación financiera. (Velthuis, 2008)
g) Eficiencia: Proveer información suficiente a través del uso de los recursos de la
mejor manera posible. (Velthuis, 2008).
h) Información; Se refiere a toda comunicación o presentación de conocimiento
como datos, en cualquier forma, con inclusión de formas textuales, numéricas,
graficas, cartográficas, narrativas o audiovisuales, y en cualquier medio ya sea
magnético, en papel, en pantallas de computadoras, audiovisual u otro. (NB-ISO-
IEC 27001, 2013)
i) Incidente de seguridad de la información: Suceso o serie de sucesos
inesperados, que tiene una probabilidad significativa de comprometer las
operaciones, amenazar la seguridad de la información y/o los recursos
tecnológicos. (NB-ISO-IEC 27005, 2011)
j) Integridad: Busca mantener con exactitud la información completa tal cual fue
generada, sin ser manipulada o alterada por personas o procesos no
autorizados. (NB-ISO-IEC 27001, 2013)
k) Medios de acceso a la información: Son servidores de aplicación,
computadores personales o de datos, las redes de comunicación, internet,
acceso telefónico o equipos inalámbricos. (NB-ISO-IEC 27002, 2005)
l) Plan de contingencias tecnológicas: Es un conjunto de procedimientos
alternativos, que deben entrar en funcionamiento al presentarse un problema
imprevisto que no permita a los servidores, procesos críticos y enlaces de
comunicaciones, dar los servicios en forma normal y continúa. (NB-ISO-IEC 27002,
2005)
m) Protección a la duplicación: Consiste en asegurar que una transacción solo se
realiza una vez, a menos que se especifique lo contrario. Impedir que se grave
una transacción para luego reproducirla, con el objeto de simular múltiples
peticiones de mismo remitente original. (NB-ISO-IEC 27002, 2005)
n) Propietario de la información: Es el responsable designado formalmente para
controlar la producción, desarrollo, mantenimiento, uso y seguridad de los activos
de información. (NB-ISO-IEC 27002, 2005)
9
o) Respaldo para contingencias: Es un archivo magnético (Cinta, Disco o CD o
Blu Ray) que contiene los archivos necesarios y suficientes, para recuperar un
servidor. Normalmente contiene el sistema operativo, motor administrador de
base de datos, compiladores programas fuentes y objetos, cuentas de usuarios y
archivos con datos críticos. (NB-ISO-IEC 27002, 2005)
p) No repudio: Servicio que asegura que el emisor de una información no puede
rechazar su transmisión o su contenido, y/o que el receptor pueda negar su
recepción o su contenido. (NB-ISO-IEC 27002, 2005)
q) Registro de pistas de auditoria: Bitácora de datos lógicos de acciones o
sucesos ocurridos en los sistemas operativos u aplicativos u servicios, para
mantener información histórica para fines de control, supervisión y auditoria.
(Libro I Magerit, 2012)
r) Sistema de información: Conjunto de procedimientos de recopilación,
procesamiento, transmisión y difusión de información, organizada y relacionada
que interactúan entre sí para lograr un objetivo. (Libro I Magerit, 2012)
s) Tecnología de la información: Se refiere al hardware y software operado por el
Organismo o por un tercero, que procese información en su nombre, para llevar a
cabo una función propia del organismo, sin tener en cuenta la tecnología
utilizada, ya se trate de computación de datos, telecomunicaciones u otro tipo.
(Libro II Magerit, 2012)
t) Usuario: La persona que utiliza uno o más sistemas informáticos, para lo cual
debe estar identificada y autorizada previa validación como usuario, ya sea
funcionario de la entidad (interno) o cliente (externo). (Libro III Magerit, 2012)
2.2. REGLAMENTO PARA LA GESTIÓN DE LA SEGURIDAD DE LA

INFORMACIÓN
El reglamento para la gestión de la seguridad de la información, tiene por objeto
establecer los requisitos mínimos que las entidades supervisadas sujetas al ámbito
de aplicaciones, deben cumplir para la gestión de la seguridad de la información, de
acuerdo a su naturaleza, tamaño y complejidad de operaciones.
10
El ámbito de aplicación de esta reglamentación está comprendido a todas las
entidades de intermediación financiera que cuenten con licencia de funcionamiento
emitida por la autoridad de supervisión del sistema financiero. (Asfi/395/16, 2016).
2.2.1. Criterios Establecidos en la Reglamentación

En los siguientes incisos se presenta los criterios establecidos en reglamentación de
seguridad de información para entidades de intermediación financiera (Asfi/395/16,
2016).
a) Análisis de riesgo tecnológico: Proceso por el cual se identifican los activos

de información, sus amenazas y vulnerabilidades a los que se encuentran
expuestos, con el fin de generar controles que minimicen los efecto de los
posibles incidentes de seguridad de la información.
b) Estimación del riesgo: Proceso para asignar valores a la probabilidad y
consecuencias de un riesgo.
c) Identificación del riesgo: Proceso para encontrar, enumerar y caracterizar los
elementos de riesgo.
d) Incidente de seguridad de la información: Suceso o serie de sucesos
inesperados, que tienen una probabilidad significativa de comprometer las
operaciones de la entidad supervisada, amenazar la seguridad de la información
y/o los recursos tecnológicos.
e) infraestructura de tecnología de información: Es el conjunto de hardware,
software, redes de comunicación, multimedia y otros, así como el sitio y
ambiente que los soporta, que son establecidos para el procesamiento de las
aplicaciones.
f) Impacto: Cambio adverso en el nivel de los objetivos del negocio logrado.
g) Plan de contingencias tecnologías: Documento que contempla un conjunto
de procedimientos y acciones que deben entrar en funcionamiento al ocurrir un
evento que dañe parte o la totalidad de los recursos tecnológicos de la entidad
de intermediación financiera.
h) Plan de continuidad del negocio: Documento que contempla la logística que
debe seguir la entidad de intermediación financiera a objeto de restaurar los
11
servicios y aplicaciones críticas parcial o totalmente interrumpidas dentro de un
tiempo predeterminado, después de una interrupción o desastre.
i) Proceso crítico: Proceso o sistema de información que al dejar de funcionar,
afecta la continuidad operativa de la entidad de intermediación financiera.
j) Propietario de información: Es el responsable designado formalmente para
controlar la producción, desarrollo, mantenimiento, uso y seguridad de los
activos de información.
k) Reducción del riesgo: Acciones que se toman para disminuir la probabilidad
las consecuencias negativas o ambas, asociadas con un riesgo.
l) Sistema de información: Conjunto de elementos orientados al tratamiento y
administración de datos e información, organizados y listos para su uso
posterior, generados para cubrir una necesidad o un objetivo.
m) Transferencia del riesgo: Compartir con otra de las partes la pérdida o la
ganancia de un riesgo.
2.2.2. Secciones de la Reglamentación a ser Alcanzadas

La evolución tecnológica de los sistemas de seguridad de información, a dado lugar a
la implementación de políticas de Estado para la prevención y protección de los
procesos de manejo y transferencia de datos informáticos. (Asfi/395/16, 2016).
Sección 1: Disposiciones generales, se establecen los requisitos mínimos, el

ámbito de aplicación de la reglamentación sobre la gestión de la seguridad de la
información.
Sección 2: Planificación estratégica, estructura y organización de los recursos de

tecnología de la información (TI).
La entidad de intermediación financiera debe tener alineada la planificación

estratégica de TI a los objetivos del negocio, donde está incluida la infraestructura
tecnológica, estructura organizativa tanto los comités y responsabilidades de la
seguridad de la información.
Sección 3: Administración de la seguridad de la información, la entidad de

intermediación financiera es el responsable de efectuar el análisis de riesgo
12
tecnológico, acorde a la naturaleza, tamaño y complejidad de operaciones, debiendo
desarrollar e implementar procedimientos específicos para este fin, que deben estar
formalmente establecidos.
El resultado obtenido del análisis de riesgo tecnológico efectuado debe estar

contenido en un informe que se dirige a la alta dirección, para su evaluación y
presentación en el directorio.
El análisis de riesgo tecnológico, debe constituirse en un proceso continuo por lo cual

debe revisado y actualizado continuamente.
Se debe establecer las políticas de seguridad. en lo cuales se debe considerar los

acuerdos de confidencialidad, inventarios de activos de información, clasificación de
la información, propietarios de la información, análisis de vulnerabilidades técnicas,
clasificación de áreas de tecnología de la información, características del centro de
procesamiento de datos, manuales de procedimientos y la protección de equipos
informáticos, equipos de suministros eléctricos, seguridad en el cableado de red.
Pruebas a dispositivos de seguridad, destrucción controlada de medios de respaldo,

responsabilidad en la gestión de seguridad de la información.
Sección 4: Administración del control de acceso, la gestión de las cuentas de

usuarios altas, bajas y/o modificaciones, administración de privilegios y criterios de
seguridad de contraseñas y usuarios.
Monitoreo de actividades de los usuarios, con el objeto de minimizar los riesgos

internos con los registros de seguridad y pistas de auditoria.
Sección 5: Desarrollo, mantenimiento e implementación de sistemas de

información, en las etapas de análisis, diseño, desarrollo e implementación de
sistemas de información donde se debe incorporar controles en cada etapa.
Las entidades de intermediación financiera deben establecer ambientes de

desarrollo, prueba y producción para el tratamiento adecuado de los datos.
Todo requerimiento de desarrollo y mantenimiento de sistemas de información debe

contemplar requisitos de control de cambios.
13
La documentación mínima para el desarrollo, mantenimiento e implementación de
sistemas de información; versiona miento de sistemas de información, copias de
seguridad, controles de acceso al código fuente y acceso a la base de datos.
Verificación y/o validación de los controles al momento de la implantación e

implementación de los sistemas de información antes de su puesta o pase a
producción.
Esto debe tomarse en cuenta para sistemas desarrollados propiamente en la entidad

de intermediación financiera y así mismo adquiridos o tercializados.
Sección 6: Gestión de operaciones de tecnología de información, gestión de

base de datos precautelando la instalación, administración, migración y
mantenimiento.
La documentación mínima que debe tener es la arquitectura de la base de datos, el

modelo entidad relación, documentación que respalde la administración de la base
de datos.
Respaldo de la información en la base de datos en copias de seguridad.
Todos los activos tecnológicos deben de tener un mantenimiento preventivo y
correctivo y así lo requiere.
Sección 7: Gestión de seguridad en redes y comunicaciones, las entidades de
intermediación financiera deben contar con políticas y procedimientos para la
instalación y mantenimiento del hardware y su configuración base, a fin de que
proporcionen la plataforma tecnológica que permita soportar las aplicaciones
relacionadas con el Core Bancario.
Estudio de capacidad y desempeño del hardware y las líneas de comunicación, para
actualizar todo el hardware.
Zonificación de áreas de acceso físico y áreas predispuestas para recursos
tecnológicos.
Configuraciones de hardware y software base de activos tecnológicos.
Documentación técnica de las redes Lan, Wan de comunicaciones, y redes de los
ambientes donde se encuentra los accesos.
14
Sección 8: Gestión de seguridad en transferencias y transacciones
electrónicas, la seguridad de los sistemas de transferencia electrónica de
información o transacciones electrónicas de fondos mediante la banca.
Controles de seguridad en la conexión con certificados digítales y conexiones

seguras, túneles de seguridad con cifrado de mensajes y archivos.
Contratos de confidencialidad sobre acceso a la información entre entidades de

convenio.
Sección 9: Gestión de incidentes de seguridad de la información, se debe

clasificar, los incidentes que deben ser registrados para ingresar en la matriz de
incidentes.
2.3. GESTIÓN DE RIESGO TECNOLÓGICO
El riesgo constituye una falta de conocimiento sobre futuros acontecimientos se

puede definir como el efecto acumulativo que estos acontecimientos adversos
podrían tener sobre los objetivos de la actividad planificada. También puede hablarse
de riesgo cuando la consecuencia sea positiva para la marcha de la organización.
2.3.1. Gestión de Riesgos
Entre las principales definiciones de riesgo se pueden resaltar las del Project
Management Institute las cuales son: (ISO 31000, 2009)
 La gestión de riesgos es el proceso por el que los factores de riesgo se identifican

sistemáticamente y se evalúan sus propiedades.
 La gestión de riesgos es una metodología sistemática y formal que se concentra
en identificar y controlar áreas de eventos que tienen la capacidad de provocar un
cambio no deseado.
 La gestión de riesgos, en el contexto de un proyecto, es el arte y ciencia de
identificar, analizar y responder a los factores de riesgo a lo largo de la vida del
proyecto y en el mejor cumplimiento de sus objetivos.
15
De acuerdo con estas definiciones, un riesgo tecnológico se conceptualiza como la
posibilidad de que existan consecuencias indeseables o inconvenientes de un
acontecimiento relacionado con el acceso o uso de la tecnología y cuya aparición no
se puede determinar a priori.
2.3.2. Componentes de la Gestión de Riesgos

Para que un riesgo pueda considerarse gestionable y, por tanto, susceptible de
considerarse dentro de los procesos de gestión de la tecnología en una organización,
es necesaria la existencia simultánea de los siguientes tres componentes: (NB-ISO-
IEC 27005, 2011)
 Pérdidas asociadas con el riesgo identificado. Se refiere a la existencia de efectos

negativos resultantes de que el riesgo se concrete durante el desarrollo de la
actuación contemplada. Generalmente estas pérdidas se pueden hacer
corresponder con una valoración económica, aunque hay casos en los que eso
no se produce así, como es el caso de pérdidas de vidas humanas o de desastres
medioambientales (en nuestro caso derivado del uso incorrecto o
desproporcionado de la tecnología).
 Incertidumbre asociada. Es la probabilidad, pero no certidumbre, de que el riesgo
identificado ocurra efectivamente y el momento temporal en el que eso pueda
suceder. Hay que tener en cuenta que esta condición implica que al riesgo debe
poder asociársele una probabilidad de ocurrencia a lo largo del tiempo.
 Elección entre alternativas. Posibles actuaciones que mitiguen los efectos del
acontecimiento indeseable. Si no existe elección por parte del gestor no existe
riesgo, aunque sí puedan existir pérdidas. Estas alternativas permiten al gestor
actuar para reducir su aparición, las pérdidas ocasionadas o ambas.
No todos los riesgos que ocasionan fuertes pérdidas son gestionables en el sentido
indicado. Es precisamente, la conjunción simultánea de los tres componentes
mencionados lo que permite su gestión.
16
2.3.3. Orígenes de los Riesgos de Carácter Tecnológico.
Los riesgos asociados a la tecnología desde su concepción, desarrollo y utilización
no sólo afectan a las organizaciones que la conciben durante el tiempo de su
desarrollo. Los riesgos en un proyecto pueden tener orígenes diversos y entre las
fuentes más típicas se encuentran las siguientes (Libro I Magerit, 2012):
 Derivadas del propio proceso de adquisición o transferencia de tecnología. Son

causas internas derivadas de una planificación defectuosa o de la inadaptación
de los recursos humanos implicados.
 Derivadas de dificultades en la organización receptora. Son causas derivadas de
la organización en la que la tecnología se va a utilizar y que afectan a su
desarrollo o implantación.
 Derivadas de la tecnología empleada en su desarrollo. Como ejemplo, la
inestabilidad de la tecnología empleada o la aparición de otras tecnologías
alternativas que la hagan inútil o prematuramente obsoleta.
 Derivadas del contexto externo a la organización. Como ejemplo, causas
socioeconómicas o políticas que impidan el acceso a la tecnología o su
mantenimiento posterior.
 Derivadas del mercado y de la evolución de éste durante el desarrollo de las
actuaciones tecnológicas consideradas. Como ejemplo, causas económicas y de
penetración tecnológica muy diferentes de las previstas por acontecimientos no
ligados a la tecnología en sí misma: una crisis económica global.
Muchas veces estas fuentes de riesgos están relacionadas entre sí, como también lo
están los riesgos concretos de un proyecto, por lo que su separación y análisis
diferenciado será uno de los problemas y limitaciones a resolver por los gestores. La
figura 2.1 representa esquemáticamente la interacción entre todas las fuentes de
riesgos indicadas. Con ello se ha querido representar que la existencia de fuentes de
riesgos múltiples no va a permitir un enfoque analítico de separación de causas.
(Manual CRISC, 2015)
17
Figura 2.1 Fuentes de Riesgos
Fuente: (Manual CRISC, 2015)
El mundo El mundo
La
del de la
Actualización
mercado Tecnología
tecnológica
La Organización
El contexto externo
2.3.4. Decisiones
Durante la actividad de una organización (por ejemplo, en la puesta en marcha de un
Plan Tecnológico) se toman decisiones tecnológicas continuamente, tanto por el
responsable como por el resto del equipo en función de sus responsabilidades
respectivas. (NB-ISO-IEC 27005, 2011)
La toma de decisiones está, sin embargo, condicionada por la existencia de riesgos

cuyos efectos y probabilidades pueden incrementarse por estas mismas decisiones.
Cualquier decisión puede realizarse en tres condiciones diferentes:
 Con certidumbre. Se dispone de toda la información necesaria para predecir el

resultado de la decisión.
 Con incertidumbre. No se dispone de la información necesaria para tomar una
decisión. Únicamente se puede emplear la experiencia previa y la intuición.
 En presencia de riesgos. Sólo se dispone de información parcial, aunque los
efectos de los acontecimientos pueden predecirse y su impacto está acotado.
En el proceso de toma de decisiones relativo a la tecnología y ante un problema

identificado relativo a la aparición de un riesgo previamente identificado, el gestor
considera la situación actual de la organización y, teniendo en cuenta su experiencia
18
en el tratamiento de situaciones parecidas, selecciona una posible alternativa entre
las previamente analizadas y predefinidas. La selección de la alternativa más
adecuada no siempre es sencilla de determinar puesto que ello depende de múltiples
factores contradictorios que será necesario priorizar en función de la maximización
de algunos parámetros. (Shen, John Paul, 2006)
2.3.5. Matrices de Efectos

El efecto de determinadas opciones puede representarse mediante las denominadas
matrices de efectos. La figura 2.2 describe una estructura genérica de matriz de
efectos. Se han representado en filas las posibles opciones en manos del gestor, sus
estrategias (S1, S2, S3), y en columnas un conjunto de acontecimientos sobre los
que el gestor no tiene control directo pero que influyen decisivamente en los
resultados de sus decisiones (N1, N2,..., Nm). La selección de una alternativa en el
caso de que se produzca uno de esos acontecimientos tiene consecuencias muy
diferentes sobre la organización. (Manual CRISC, 2015)
Para construir una matriz de efectos se deben identificar las situaciones sobre las
que no se tiene control. Luego, se selecciona el conjunto de estrategias que se
desea adoptar. Cada una de las estrategias implica adoptar determinados riesgos
que serán diferentes en función de las situaciones externas que finalmente se
presenten. Las celdas, por tanto, suponen el análisis concreto de las consecuencias
sobre la estrategia correspondiente de la situación del contexto externo.
En el caso de una decisión con certidumbre, independientemente de la situación que

finalmente ocurra, existirá una estrategia dominante que producirá mayores
ganancias (o menores pérdidas) que cualquier otra. En este caso, todas las
situaciones tienen la misma probabilidad de ocurrencia. No obstante, en la práctica
no hay una estrategia dominante para todas las situaciones puesto que la decisión se
producirá con información parcial. Generalmente, los mayores beneficios se
producen cuando los riesgos son más altos y las pérdidas más probables.
19
Normalmente, cada situación podrá producirse con una determinada probabilidad
cuya estimación deberá conocerse de la manera más clara posible, si bien estas
estimaciones son difíciles de obtener.
Figura 2.2 Matriz de efectos
--- Estados del contexto externo sobre los que no tenemos controles directos----
Situación Situación Situación
previsible 1 previsible 2 previsible n
Posibles estrategias
Solución
Tecnológica 1
Efectos sobre
la Análisis
organización comparativo
Solución
Tecnológica m
2.3.6. Caracterización de Riesgos Tecnológicos.

No todos los riesgos tienen la misma importancia. De entre todos los factores que
permitirían caracterizar un riesgo, dos de ellos, el impacto y la probabilidad de
ocurrencia, son los que tienen mayor importancia para el gestor. Debido a ello, la
gestión de riesgos debe comenzar con la situación relativa de todos los riesgos
identificados en un mapa bidimensional de impactos y probabilidades. Sobre este
mapa se pueden tomar decisiones relativas a los riesgos en los que se debe prestar
mayor atención. (ISO 31000, 2009)
Obsérvese que la existencia de un riesgo con una probabilidad muy baja puede
despreciarse a pesar de que su impacto sea muy alto. En otros casos, la probabilidad
muy alta puede verse compensada porque el efecto sea muy pequeño. La
importancia relativa depende de la consideración simultánea de ambos factores.
La figura 2.3 representa una situación en la que existen cuatro riesgos claramente
diferenciados (Ri, Rj, Rk, Rl). Cada uno de los riesgos tiene una determinada
probabilidad de ocurrencia y un impacto previsible. Estos valores pueden ser en la
20
práctica muy diferentes y, en función de ello, el gestor puede concentrarse en todos
ellos o en un número limitado de los mismos. (Manual CRISC, 2015)
Figura 2.3 Relación entre Probabilidades e Impactos

Severo
Rj
Alto Ri
Impacto Margen en función de la

exactitud de la previsión
Bajo
R1 Rk
Trivial
Riesgo muy acotado
0 Probabilidad de ocurrencia 100
En la realidad, conocer exactamente la probabilidad y el impacto de todos los riesgos

posibles es muy difícil. Generalmente, sólo se dispone de estimaciones para ambas
variables cuya precisión es también muy diferente en función del riesgo considerado.
En la figura 2.3 se puede observar cómo el margen (la nube de incertidumbre)
asociada a cada riesgo puede ser mayor o menor. (Manual CRISC, 2015)
Las opciones posibles del gestor se han representado mediante el establecimiento

de dos límites distintos. Con el límite 1, el riesgo Rl no sería considerado. Si se
decide incrementar el límite, únicamente el riesgo Rj debería gestionarse. Si se
aplica este caso a la matriz de efectos descrita anteriormente y se considera que
tanto los efectos como las probabilidades están en un rango amplio, la decisión que
tiene que tomar el gestor se complica y ya no es tan evidente cual sería la estrategia
más adecuada. En gran medida, dependerá del gestor y de su actitud o tolerancia
frente al riesgo. (Manual CRISC, 2015)
Si se aplica este caso a la matriz de efectos descrita anteriormente y se considera

que tanto los efectos como las probabilidades están en un rango amplio, la decisión
21
que tiene que tomar el gestor se complica y ya no es tan evidente cual sería la
estrategia más adecuada. En gran medida, dependerá del gestor y de su actitud o
tolerancia frente al riesgo. (Manual CRISC, 2015)
Siguiendo con el ejemplo de la matriz de efectos, supóngase que las previsiones del
mercado no son tan claras. Dicho de otro modo, los estados no controlados no
permiten calcular adecuadamente probabilidades. Si se recalculan los valores con
máximos y mínimos, posiblemente los valores esperados se situarían en márgenes
que se solaparían. La consecuencia es una dificultad mucho mayor para la toma de
decisiones. (Manual CRISC, 2015)
2.4. NORMAS Y ESTÁNDARES DE GESTIÓN DE RIESGOS

En esta sección se presentará las normas y estándares que servirán de base para la
presente propuesta.
2.4.1. Norma ISO 31000 Gestión de Riesgos Principios y Lineamientos

Si bien todas las organizaciones gestionan el riesgo en cierta medida , la norma ISO
31000:2009 establece una serie de principios que deben ser satisfechos para hacer
una gestión eficaz del riesgo. Esta Norma Internacional recomienda que las
organizaciones desarrollen, implementen y mejoren continuamente un marco de
trabajo o estructura de soporte (framework) cuyo objetivo es integrar el proceso de
gestión de riesgo en el gobierno corporativo de la organización, panificación y
estrategia , gestión, procesos de información , políticas , valores y cultura. (ISO 31000,
2009)
La norma ISO 31000:2009 puede ser utilizada por cualquier entidad pública o
privada, organización sin fines de lucro, asociación, grupo o individuo. Además, la
ISO 31000:2009 no especifica a alguna industria o sector.
Otra característica de la norma es que puede ser aplicada a lo largo de la vida de

una organización, así como una variada gama de actividades, incluidas las
estrategias y de decisiones, operaciones , proceso, funciones, proyectos , productos,
servicios y activos.
22
Por otro lado, la norma ISO 31000:2009 se puede aplicar a cualquier tipo de riesgo
cualquiera sea la naturaleza, causa u origen, tanto que sus consecuencias sean
positivas como negativas para la organización.
El estándar ISO provee de principios, el marco de trabajo (framework) y un proceso

destinado a gestionar cualquier tipo de riesgo como se puede observar en la figura
2.4 en una manera transparente sistemático y creíble dentro de cualquier alcance o
contexto.
Figura 2.4 Proceso de Gestión del Riesgo
Fuente: (ISO 31000, 2009)
2.4.2. Principios Básicos para la Gestión de Riesgos

La norma ISO 31000:2009 establece las principales directrices de carácter genérico
para la gestión de riesgos. (ISO 31000, 2009)
La gestión del riesgo en una organización debe contar:
 Creación de Valor
 Está integrada en los procesos de la organización
23
 Forma parte de la toma de decisiones
 Trata explícitamente la incertidumbre
 Es sistemática, estructurada y adecuada
 Está basada en la mejor información disponible
 Está hecha a medida
 Tiene en cuenta factores humanos y culturales
 Es transparente e inclusiva
 Es dinámica , iterativa y sensible al cambio
 Facilita la mejora continua de la organización
El enfoque está estructurado en tres elementos claves para una efectiva gestión de
riesgos:
 Los principios de gestión del riesgo

 La marco de trabajo(framework) para la gestión de riesgo
 El proceso de gestión del riesgo
La relación entre los principios de gestión, marco de referencia, así como el proceso
de gestión del riesgo desarrollado en la norma se resume en la figura 2.5.
Figura 2.5 Relación Principios, Marco de Trabajo y Proceso

Fuente: (ISO 31000, 2009)
24
2.4.3. Norma ISO 27005 Gestión de Riesgos de la Seguridad de la Información
Es una guía para la gestión de riesgos de seguridad de la información, de acuerdo
con los principios ya definidos en otras normas de la serie 27000.
Sustituye y actualiza las partes 3 y 4 de la norma ISO TR 13335 (Técnicas para la

gestión de la seguridad TI y selección de salvaguardas, respectivamente) y se
convierte en la guía principal para el desarrollo de las actividades de análisis y
tratamiento de riesgos en el contexto de un SGSI. Constituye, por tanto una
ampliación del apartado 4.2.1 de la norma ISO 27001, en el que se presenta la
gestión de riesgos como la piedra angular de un SGSI, pero sin prever una
metodología específica para ello. (NB-ISO-IEC 27005, 2011)
Desarrolla criterios para la evaluación del riesgo con el fin de determinar el riesgo en
la seguridad de la información de la organización teniendo en cuenta:
 El valor estratégico del proceso de información del negocio

 La importancia de la disponibilidad y confidencialidad
 Las expectativas y percepciones de las partes interesadas
El análisis del riesgo es crucial para el desarrollo y operación de un SGSI. Aunque

se habla mucho del tema, en esta fase la organización debe construir lo que será su
"modelo de seguridad", una representación de todos sus activos y las dependencias
que estos presentan frente a otros elementos que son necesarios para su
funcionamiento (edificios, suministros, sistemas informáticos, etc.) y su mapa de
amenazas (una hipótesis de todo aquello que pudiera ocurrir y que tuviera un
impacto para la organización).
Es habitual, dada todavía la poca experiencia que existe en empresas sobre la

seguridad que el análisis de riesgos realice una consultora externa que apoya en el
proceso de implantación. Sin embargo, es muy importante que la empresa se
involucre en esta actividad y entienda cómo se ha realizado este análisis. Sobre todo
porque en el segundo ciclo del SGSI, se debe revisar éste análisis por si existieron
cambios. Por realizar uno similar al de otra entienda, el análisis de riesgos es como
la visita al doctor para que nos identifique una enfermedad.
25
Se realizan una serie de actividades como son: identificación de activos,
identificación de amenazas, estimación de impactos de las amenazas y
vulnerabilidades y con todo ello ya se puede valorar el riesgo. Pero éste diagnóstico
es válido sólo para ese momento puntual en el tiempo. No es algo estático sino que
va cambiando a lo largo del tiempo: nuevos activos, nuevas amenazas, modificación
en la ocurrencia de las amenazas (pensar por ejemplo en el caso del phishing como
esta amenaza ha pasado a ser extremadamente frecuente en este último año). Por
tanto, cada año la organización debe replantearse su diagnóstico y cuestionarse si
tiene nuevos síntomas o si los síntomas detectados han sido ya mitigados y se
pueden tratar otras carencias de menor importancia.
La mejora continua afecta también al riesgo en la seguridad de la información ya que

si los niveles más altos se han solucionado, lo lógico es plantearse para la siguiente
etapa atacar a los siguientes. (NB-ISO-IEC 27005, 2011)
La norma consta de las siguientes secciones:
 Preámbulo
 Introducción
 Referencias normativas
 Términos y definiciones
 Breve descripción de los términos más usados en la norma
 Estructura del estándar
 Descripción de la estructura de la norma
 Fundamentos del proceso de gestión de riesgos (ISRM)
 Indicaciones sobre cómo evaluar y tratar los riesgos de seguridad de la
información
 Establecimiento del contexto
 Evaluación de riesgos (ISRA)
 Tratamiento de riesgos
 Aceptación del riesgo
 Comunicación del riesgo
 Monitorización y revisión del riesgo
26
Figura 2.6 Proceso de Gestión del Riesgo
Fuente (ISO 31000, 2009)

-
2.5. ENTIDADES DE INTERMEDIACIÓN FINANCIERA

Es la denominación que se reciben las instituciones financieras autorizadas por la
Autoridad de Supervisión del Sistema Financiero (ASFI), para realizar operaciones
de capacitación de ahorros y colocación de créditos. Estas entidades pueden ser
(Asfi/395/16, 2016).:
 Bancos
 Fondos Financieros Privados (FFP)
 Mutuales de Ahorro y Préstamo (MAP)
 Cooperativas de Ahorro y Crédito Abiertas o Societarias
 Instituciones Financieras de Desarrollo IFD
2.5.1. Entidad Supervisada por ASFI

Una entidad financiera supervisada por ASFI, es aquella que después de haber
cumplido con todos los requisitos exigidos por la Ley de Bancos y Entidades
27
Financieras obtiene la licencia de funcionamiento otorgada por ASFI, de acuerdo a la
normativa legal y contractual vigente.
Las entidades supervisadas por ASFI, son objeto de control y fiscalización

permanente por parte del ente regulador ASFI con los siguientes propósitos:
Tipos de operaciones
 Operaciones pasivas
 Recibir depósitos de dinero de personas y empresas
 Contraer obligaciones con el Banco Central de Bolivia y otras entidades
financieras
 Emitir y colocar bonos
 Operaciones activas
 Otorgar créditos a personas y empresas
 Invertir en títulos valores
 Realizar giros
 Comprar y vender dólares, euros y otras monedas extranjeras
 Operaciones contingentes
 Operar con tarjetas de crédito y debito
 Emitir boletas de garantía, otros avales y fianzas bancarias
 Operaciones de administración
 Alquilar cajas de seguridad
 Ejercer comisiones de confianza y operaciones de fideicomiso.
28
CAPÍTULO III
ESTRATEGIA METODOLÓGICA
CAPÍTULO III
ESTRATEGIA METODOLÓGICA
3.1. ESTRATEGIA METODOLÓGICA
3.1.1. Formulación de la Hipótesis
La metodología de gestión de riesgo tecnológico basado ISO 31000 e ISO 27005

dirigida a entidades de intermediación financiera incrementará el nivel de
cumplimiento de la reglamentación establecida por la entidad y el ente regulador
ASFI.
3.1.2. Identificación y Análisis de Variables
Tabla 3.1 Identificación de Variables

Fuente: (Elaboración Propia)
Variable Descripción
La metodología de gestión de riesgo tecnológico

Independiente:
Dependiente: nivel de cumplimiento de la reglamentación
3.1.3. Conceptualización de Variables
Tabla 3.2: Conceptualización de Variable Independiente

Independiente: Metodología de gestión del riesgo tecnológico.
La metodología es un proceso compuesto por tres métodos, los cuales emitirán resultados en función de
las amenazas y vulnerabilidades en un activo tecnológico.
33
Tabla 3.3 Conceptualización de Variable Dependiente
Dependiente: nivel de cumplimiento de la reglamentación
El nivel de cumplimiento de la reglamentación está dada por la ponderación definida en cuatro estados.
3.1.4. Operacionalización de Variables
Tabla 3.4 Operacionalización de Variable Independiente

Variable independiente:
Variable Dimensiones Indicadores Índice
- Muy Alto
- Riesgos. Alto
Metodologia de gestión del riesgo - Métodos
- Medio
tecnológico.
- Bajo
Muy Bajo
Tabla 3.5 Operacionalización de la Variable Dependiente

Variable dependiente:
Variable Dimensiones Indicadores Índice

- Reglamentación
de seguridad de
información, - Aceptable
nivel de cumplimiento libro 3, sección - Factores de - Suficiente
de la reglamentación 3. ponderación. - Deficiente
. - Obtenido
34
3.2. MATRIZ DE CONSISTENCIA
Tabla 3.6 Matriz de Consistencia

PROBLEMA OBJETIVO GENERAL HIPÓTESIS

Actualmente existen Diseñar una metodología La metodología de gestión de
varias metodologías y de gestión de riesgo riesgo tecnológico basado ISO
estándares para la tecnológico basado ISO 31000 e ISO 27005 dirigida a
identificación, análisis, 31000 e ISO 27005 entidades de intermediación
evaluación y tratamiento planteando una forma de financiera
del riesgo tecnológico que análisis y evaluación de
no cumplen con las riesgos en seguridad de la
regulaciones vigentes información para entidades
establecidas por el ente de intermediación
regulador ASFI. financiera, para el
cumplimiento de la
reglamentación establecida
por la entidad y el ente
regulador ASFI .
PROVOCA PERMITE INCREMENTARÁ

Un impacto negativo en el La gestión optima de los en el nivel de cumplimiento de la
activo ya que las función de la seguridad de reglamentación establecida por
amenazas pueden la información. la entidad y el ente regulador
materializarse por las ASFI.
vulnerabilidades que no
son tratadas de manera
adecuada.
PREGUNTA DE INVESTIGACIÓN
¿Cómo realizar la gestión del riesgo tecnológico en relación a la seguridad de información en
una entidad de intermediación financiera de tal manera que cumpla la reglamentación
establecida por la entidad y el ente regulador ASFI.?
35
3.3. DISEÑO Y TIPO DE INVESTIGACIÓN
Para el desarrollo del presente proyecto se considerar el siguiente diseño y tipo de

investigación.
3.3.1. Diseño de Investigación
Esta investigación es de tipo experimental se presenta mediante la manipulación de

una variable no comprobada, en condiciones rigurosamente controladas.
3.3.2. Tipo de Investigación
La investigación es de tipo descriptivo, a partir de la formulación del problema en

cuestión y los resultados a obtener según a los objetivos establecidos. Estos, una
vez analizados e interpretados, incorporarán nuevos conocimientos a los ya
existentes persiguiendo la hipótesis planteada.
3.4. UNIVERSO Y MUESTRA
Tabla 3.7 Universo y Muestra

Está conformado, por la información obtenida de una entidad

Universo:
de intermediación financiera.
Población: Entidades de intermediación financiera.
Tipo de muestra: No probabilístico.
Muestra: A ser determinado por criterio del investigador.
3.5. TÉCNICAS DE RECOPILACIÓN
3.5.1. La Observación
Es una técnica que consiste en observar atentamente el fenómeno, hecho o caso,

obteniendo información y registrándola para su posterior análisis (Haynes, 1988).
36
La observación es un elemento fundamental de todo el proceso de esta
investigación, con la misma se identificaran las falencias de los procedimientos para
la gestión de riesgo tecnológico en entidades de intermediación financiera.
3.5.2. La Entrevista
Es una técnica que sirve para obtener datos mediante un diálogo entre dos personas:
El entrevistador (investigador) y el entrevistado; se realiza con el fin de obtener
información de parte de éste, que es, por lo general, una persona entendida en la
materia de la investigación
Se empleará esta técnica para obtener datos de los profesionales intervinientes en

los procesos de la gestión de riesgo tecnológico de la entidad de intermediación
financiera.
3.5.3. El Cuestionario
Es un instrumento derivado de la entrevista y la encuesta, tiene como objeto lograr

información sobre rasgos definidos de la personalidad, la conducta o determinados
comportamientos y características individuales o colectivas
Se utilizara el cuestionario con el fin de acceder a los datos que tienen las entidades
de intermediación financiera a la gestión de riesgo tecnológico, para que de esta
manera se pueda coadyuvar con la toma de decisiones de alta Gerencia.
37
3.6. ESTRATEGIAS DE INVESTIGACIÓN
La estrategia de investigación que se llevó a cabo en la presente tesis se divide en 3

fase que se presenta a continuación.
3.6.1. Análisis
En este primer paso se realizó en tres etapas, que son los siguientes:
 Se va realizar la recopilación de información en función de riesgos

 Análisis y revisión de las metodologías y estándares ISO 31000 e ISO 27005.
 Identificación de los métodos que forman parte de la metodología
3.6.2. Diseño
Con los resultados obtenidos de la fase de análisis realizados en el paso anterior, se

desarrolla la metodología para la gestión del riesgo tecnológico.
3.6.3. Comprobación de Resultados
En la fase final de la estrategia de investigación, se evaluó el nivel de cumplimiento

de la gestión de riesgo tecnológico, en relación a la reglamentación de la entidad y el
ente regulador ASFI.
38
CAPÍTULO IV
MARCO PRÁCTICO
CAPÍTULO IV
MARCO PRÁCTICO
4.1. ANÁLISIS DE METODOLOGÍAS Y ESTÁNDARES
En este punto se realiza la identificación y el análisis comparativo de los estándares

que servirán de base para la metodología propuesta y estas son:
Tabla 4.1 Estándares Identificados

ESTÁNDAR DESCRIPCIÓN
ISO/IEC 27005:2011 GESTIÓN DE RIESGOS DE LA SEGURIDAD LA INFORMACIÓN
ISO/IEC 31000:2009 GESTIÓN DE RIESGOS PRINCIPIOS Y LINEAMIENTOS
4.2. ANÁLISIS COMPARATIVO
La tabla presenta la comparación de la estructura de las normas ISO 27005 e ISO

31000, las cuales su objetivo principal es la gestión de riesgos.
Tabla 4.2 Comparación de las ISO 27005 vs ISO 31000

ISO 27005 ISO 31000

GESTIÓN DE RIESGOS DE LA GESTIÓN DE RIESGOS PRINCIPIOS Y
SEGURIDAD LA INFORMACIÓN LINEAMIENTOS
¿Qué es? Guía para la gestión del riesgo Un marco de trabajo general para la
enfocado en la seguridad de la gestión del riesgo aplicable a cualquier
Información ámbito.
Establecimiento del contexto Establecer el contexto
Identificación de riesgos Identificación de los riesgos
Estimación de riesgos Análisis de los Riesgos
FASES
Evaluación de riesgos Evaluación de los riesgos
Tratamiento de riesgos Tratamiento de los riesgos
Aceptación de riesgos
Comunicación de riesgos Comunicación y consulta

Monitoreo y revisión de Monitoreo y revisión
riesgos
39
Del anterior análisis se puede concluir que la norma ISO 31000 por sus
características generales y su aplicación en cualquier ámbito puede colaborar de
gran manera a nuestro objeto de estudio que son las entidades de intermediación
financiera. Por otra parte la 27005 se concentra en el análisis de riesgos de la
seguridad de la información, que es el principal activo que se desea proteger.
Con el enfoque de ambos estándares se propone una metodología para la Gestión

del riesgo tecnológico dirigido a entidades de intermediación financiera en Bolivia la
cual constará de los siguientes métodos:
Tabla 4.3 Métodos Identificados para la Metodología Propuesta

METODOLOGÍA PARA LA GESTIÓN DE RIESGO TECNOLÓGICO DIRIGIDO A ENTIDADES DE INTERMEDIACIÓN

FINANCIERA
PRIMER MÉTODO SEGUNDO MÉTODO TERCER MÉTODO

IDENTIFICACIÓN DEL EVALUACIÓN DEL ACTIVO VALORACIÓN DEL RIESGO
CONTEXTO TECNOLÓGICO
4.3. DISEÑO DE LA METODOLOGÍA
Según la observación realizada en dos entidades de intermediación financiera se

pudo evidenciar que el proceso de identificación de riesgo tecnológico se basaba en
el juicio de expertos, lo que en muchos casos generaba resultados inconsistentes.
Mediante la revisión de la normativa se pudo evidenciar que la gestión de riesgo

tecnológico debe ser un proceso continuo, para tal efecto se propone de la siguiente
metodología.
La metodología se apoya en tres métodos que son:
 Identificación del contexto

 Evaluación del activo
 Valoración del riesgo tecnológico
40
Por otra parte el diseño de la metodología se basa en dos características
importantes que son las líneas de negocio generadas por la cadena de valor y
también presentara un modelo iterativo para que el trabajo se periódico y continuo.
4.3.1. Características de la Metodología
a) Líneas de Negocio y Cadena de Valor

Es común al revisar un método, metodología o estándar que está dirigido a las
gestión de riesgo se concentre principalmente en los activos, sin embargo la
metodología propuesta se basa además en la identificación de las Líneas de
Negocio y la Cadena de Valor de la organización en este caso una entidad de
intermediación financiera esto permite alinear a los objetivos de tecnología con los
objetivos de la organización para que puedan ser alcanzables ya que tecnología se
define como el soporte de los proceso de entidad y esta cuenta con activos de
tecnología que están asociados a riesgos.
b) Ciclo de Vida Iterativo

La metodología seguirá un proceso iterativo y periódico debido a que es realmente
importante ver los avances, progresos y posiblemente la presencia de nuevas
vulnerabilidades que pueden presentarse en el normal desenvolvimiento de los
producto o servicios que normalmente innova la banca por su actualización continua.
Figura 4.1 Proceso Periódico e Iterativo
IDENTIFICACI
EVALUACIÓN
ÓN DEL
DEL ACTIVO
CONTEXTO
VALORACIÓN DEL
RIESGO
TECNOLÓGICO
41
4.4. METODOLOGÍA PROPUESTA
Como anteriormente se mencionó la metodología propuesta consta de tres métodos

que se plasmó como las fases de la metodología de gestión riesgo tecnológico en el
esquema de la figura 4.2.
Figura 4.2 METODOLOGÍA PARA LA GESTIÓN DE RIESGO TECNOLÓGICO
METODOLOGÍA DE GESTIÓN DE RIESGO TECNOLÓGICO

IDENTIFICACIÓN DEL EVALUACIÓN DEL VALORACIÓN DEL
CONTEXTO ACTIVO RIESGO TECNOLÓGICO
Inicio
Evaluación del activo

tecnológico en función de Determinar el recurso
Identificacion de Líneas de
la seguridad de la afectado
Negocio
información
Identificación de
Materializacion de lineas de amenazas y
negocio vulnerabilidades
Valoración de la criticidad
del activo tecnológico
Revisión de procesos que Valoración de riesgo

sostienen a las líneas de inherente y riesgo residual
negocio
Clasificación del activo Aprobación del

Identificación de activos tecnológico en función de comité
tecnológicos participantes en la información que
procesos gestiona
Plan de acción
Aprobación del Aprobación del
comité comité
Fin
Fase
42
La metodología propuesta presenta 3 métodos los cuales se desarrollan a
continuación
Figura 4.3 Fases de la Metodología

VALORACION
IDENTIFICACIÓN DEL EVALUACION
DEL RIESGO
COTEXTO DEL ACTIVO
TECNOLOGICO
4.5. MÉTODO IDENTIFICACIÓN DEL CONTEXTO
En el método Identificación del Contexto se refiere a la recolección de información, el

método se alimenta de los canales que generan la información como ser las líneas
de negocio, cadena de valor, procesos, sub-procesos y actividades para el inicio del
análisis de riesgos tecnológico, estos factores son los que proporcionan la
identificación de activos tecnológicos.
Para aplicar este método se debe realizar las siguientes tareas
 Identificación de líneas de negocio.

 Materialización de las líneas de negocio
 Revisión de los procesos
 Identificación de activos participantes del proceso
 Identificación de activos críticos
Tareas que se ejecutaran según el flujo presentado en la figura 4.4 donde se puede
observar el orden y la condición para pasar a la siguiente fase.
43
Figura 4.4 Método Identificación del Contexto
A continuación se procede a detallar cada una de las tareas a realizar y la

presentación de las herramientas propuestas.
44
4.5.1. Cadena de Valor en una Entidad de Intermediación Financiera
Es una estructura donde se apoya todas las actividades de la entidad de

intermediación financiera.
Es una estructura que clasifica y organiza los procesos de una empresa con el
propósito de enfocar los programas de mejoramiento. Asimismo permite identificar y
analizar actividades estratégicamente relevantes para obtener alguna “ventaja
competitiva”.
Para la presente investigación se apoya en la cadena de valor compras y ventas o

servicios.
4.5.2. Línea de Negocio en una Entidad de Intermediación Financiera
Las líneas de negocio se definen como el conjunto de procesos, que apoyan a la

operativa de la entidad de intermediación financiera.
4.5.3. Identificación de Líneas de Negocio
Todas las operaciones de la entidad están ligadas a una o varias líneas de negocio.
Las líneas de negocio están compuestas por procesos asimismo cada proceso
contiene sub-procesos y estos están compuestos por actividades primarias y/o
auxiliares.
La entidad de intermediación financiera delimitará las líneas de negocio tanto

rentables o de servicio, estas deben de ser expuestas a la alta dirección para que se
defina sobre cuales se va a trabajar en función de la gestión de seguridad de
información.
Ya identificadas las líneas del negocio se procede a materializar y/o capitalizar las
mismas.
En la figura 4.5 se identifican las líneas de negocio en una entidad de intermediación

financiera
45
Para la identificación de las líneas de negocio importantes o críticas se debe llenar
toda la información proporcionada por la entidad de intermediación financiera.
Figura 4.5 Cuadro de Identificación de Líneas de Negocio

1 2 3
Dónde:
Tabla 4.4 Descripción de la Herramienta
1 Se escribe el nombre de la cadena de valor a la que pertenece la línea de

negocio.
2 Se escribe el nombre de la línea de negocio que está relacionada con la cadena
de valor de manera directa.
3 En el área se escribe el código
4.5.4. Materialización de Líneas de Negocio
El objetivo de la materialización es identificar cual línea de negocio representa mayor

utilidad para la entidad o podría representar una mayor pérdida en caso de falta de
operatividad de la misma.
Se deberá revisar los estados financieros actuales e históricos para que de esa
manera materializar cada una de las líneas de negocio en función a la ganancia
generada por línea de negocio o la pérdida representada por la falta de operatividad.
46
Para alcanzar el objetivo, se sugiere utilizar los balances generales y/o estados de
resultados, por tanto se puede presentar tres casos para realizar la materialización y
estos son:
a. materialización mediante balance general

b. materialización mediante estados de resultados
c. materialización mediante balance general y estados de resultados
Figura 4.6 Casos para la Materialización

Fuente: (Elaboración propia)
4.5.5. Materialización Mediante Balance General
Para obtener la materialización de las líneas de negocio se basa en el balance

general, esta información generada se establece a partir de activos, pasivos y
capital.
Figura 4.7 Materialización Mediante Balance General
47
En este caso se consideraran los tres últimos balances donde se calculara el factor
Kme en función a los totales de los activos de la siguiente manera:
Ecuación 4.1: Factor de Decisión en Base a Balance General
∑3𝑡=1(Total Activos)
𝐾𝑚𝑒 =
3
Dónde:
Kme: factor de decisión en base a sumatoria de los últimos tres años, de los
balances y/o estados de resultados, lo que permite establecer de forma general las
líneas de negocio más rentables y además que considera alta dirección como las
líneas que deben encontrarse disponibles.
t: es el año tomado en cuenta para calcular el Kme
4.5.6. Materialización Mediante Estados de Resultados
Otro factor en caso de no poder identificarse las líneas de negocio de manera

discriminada en el balance general son los estados de resultados que se generan a
partir de ingresos, costos y gastos, además de la utilidad bruta.
Figura 4.8 Materialización Mediante Estados de Resultados
48
Para ambos casos se deben considerar al menos 3 años como históricos, se toma
los balances generales de las gestiones 2014, 2015, 2016 de las líneas de negocio.
Ecuación 4.2: Factor de Decisión en Base a Estados de Resultados
∑3𝑡=1(Total Utilidades)
𝐾𝑚𝑒 =
3
Dónde:
Kme : factor de decisión en base a sumatoria de los últimos tres años, de los
t: es el año tomado en cuenta para calcular el Km
4.5.7. Materialización Mediante Balance General y Estados de Resultados
En este caso se se procederá como en los casos anteriores siendo los factores
utilizados el total de utilidad y los totales activos de la siguiente manera:
Ecuación 4.3: Factor de Decisión en Base a Estados de Resultados
∑3𝑡=1( 𝑇𝑜𝑡𝑎𝑙 𝑑𝑒 𝑎𝑐𝑡𝑖𝑣𝑜𝑠 +𝑇𝑜𝑡𝑎𝑙 𝑈𝑡𝑖𝑙𝑖𝑑𝑎𝑑𝑒𝑠)

𝐾𝑚𝑒 = 3
Dónde:
Kme: factor de decisión en base a sumatoria de los últimos tres años, de los
t: es el año tomado en cuenta para calcular el Kme
Esto permitirá establecer que líneas de negocio en base a su utilidad. Así se

identificaran las líneas que serán parte del análisis de riesgo tecnológico.
En figura 4.9 se puede observar la obtención de la materialización mediante la

utilización del factor Kme utilizado en la columna denominada total.
49
Figura 4.9 Materialización de las Líneas de Negocio
4 5
Dónde:
4 Después de pedir los balances estos se transcriben las últimas tres gestiones.
5 Calcula la materialización en base a los valores transcritos de las 3 gestiones
anteriores sacando el promedio, lo que nos permite realizar una comparación las
líneas de negocio más rentables son las que se llegan a priorizar.
4.5.8. Revisión de Procesos que Sostienen las Líneas de Negocio.
El objetivo del siguiente paso es identificar los procesos que forman parte de las
líneas de negocio.
Se procede a la verificación de los procesos manuales o automatizados en relación

de la línea de negocio.
En la figura 4.10 se pude observar la herramienta en la que se debe identificar a

partir del proceso, los subprocesos o actividades, si son manuales o automatizadas.
50
Figura 4.10 Revisión de Procesos
6 7 8 9
Dónde:
6 El código del proceso es encuentra definido en esta columna se mantiene la

codificación.
7 Se escribe el nombre del proceso.
8 El código SUB-PROCESO, es generado en base al nombre del proceso y elnivel
en el que se encuentra.
9 La descripción del SUB-PROCESO nos permite identificar la tarea que se realiza.
51
4.5.9. Identificación de Activos Tecnológicos Participantes en los Procesos
Se va revisando las actividades dentro del proceso y los activos tecnológicos que
forman parte del proceso en base al inventario de activos tecnológicos que
generalmente se encuentra clasificado:
 Hardware, que contempla servidores, equipos de redes y comunicaciones y

equipos personales.
 Software, que contempla sistemas operativos, sistemas desarrollados en la
entidad, aplicativos, bases de datos, sistemas adquiridos por la entidad que son
utilizados para las operaciones.
 Información, que contempla datos en formato digital o impreso.
 Personas, que contempla los administradores, custodios, propietarios, operadores
que tienen relación directa con los activos de información.
Para realizar este paso se debe utilizar la herramienta propuesta en la figura 4.11 en
donde se involucra las actividades definidas como automatizadas en los procesos y
la respuesta que generan están relacionadas a los activos tecnológicos: las
respuestas están relacionadas a hardware y software. En resumen se debe
identificar la respuesta del activo tecnológico
52
Figura 4.11 Activos Participantes del Proceso
10 11 12 13 14
Dónde:
10 Se ingresa los datos de la familia a la que pertenece el activo tecnológico en

función del catálogo de activos, determinado por la entidad de intermediación
financiera.
11 Se ingresa la generación del activo tecnológico.
12 Se ingresa la descripción de la actividad que soporta el proceso.
13 Se ingresa el nombre correcto del activo tecnológico.
14 Se ingresa a detalle la respuesta que tiene el activo tecnológico ante la solicitud
de la actividad en el proceso.
53
La Alta Dirección (comité de accionistas o directores o vicepresidentes), debe
aprobar las líneas de negocio y los procesos identificados como críticos, los
mismos son materializados en relación de la disponibilidad.
Finalmente los activos tecnológicos identificados como críticos en base a la
evaluación de su criticidad son presentados a la Alta Dirección quienes aprobaran
sobre cuales se realizara el análisis de riesgo tecnológico.
4.5.10. Aprobación del Comité
Una vez concluido la identificación de los procesos críticos asimismo los activos
tecnológicos que los soportan estos son expuestos en un informe al comité.
Esperando la aprobación del comité para realizar la valuación del activo

tecnológico.
54
4.6. MÉTODO DE EVALUACIÓN DEL ACTIVO TECNOLÓGICO
La evaluación del activo tecnológico se realiza en función a la seguridad de la

información tomando como base la triada, para posteriormente realizar la
valoración de la criticidad y la clasificación del activo.
Figura 4.12 Método de Evaluación del Activo
56
4.6.1. Evaluación del Activo Tecnológico en Función de la Seguridad
Se realiza la evaluación del activo tecnológico en función a la seguridad de la

información evaluando los activos tecnológicos relacionados a los factores de
confidencialidad, integridad y disponibilidad.
Los activos tecnológicos se clasifican en base al valor que representan para
entidad. Estos típicamente son:
 Software
 Hardware
 Información digital
 Información impresa
 Servicios
 Infraestructura tecnológica
 Redes de comunicación
 Personal (técnico)
57
Figura 4.13 Catálogo de Activos Tecnológicos
15

15 La valoración se apoya en la cuantificación de la integridad, confidencialidad e

disponibilidad.
58
La valoración de la criticidad se realiza en función de los pilares de seguridad de
información tomando en cuenta la afectación que tiene según el pilar que es
evaluado.
Figura 4.15 Valoración Respecto a la Confidencialidad
Dependiendo de la respuesta a la pregunta se puede valorizar y posicionar al pilar

de la confidencialidad con relación al activo tecnológico,
60
Figura 4.16 Valoración Respecto a la Integridad

de la integridad con relación al activo tecnológico.
61
Figura 4.17 Valoración Respecto a la Disponibilidad

de la confidencialidad con relación al activo tecnológico,
4.6.2. Valoración de la Criticidad del Activo Tecnológico
La valoración de la criticidad considera la siguiente formula:
Criticidad = Integridad + Confidencialidad + Disponibilidad
62
Figura 4.18 Evaluación de Criticidad
15

16 La criticidad del activo se obtiene en función de la suma de la valoración de los

pilares de seguridad.
En base a los criterios de seguridad de información se identifica cuales

representan dentro de los factores de (confidencialidad, disponibilidad e
integridad) se procede con la valoración del activo en base a la criticidad.
63
Figura 4.19 Valoración de la Criticidad
4.6.3. Clasificación del Activo Tecnológico en Función de la Información que

las Gestiona
Para la clasificación de los activos tecnológicos identificados los procesos en

función de la información que gestionan. Se toma la definiciones del pilar de
confidencialidad por el cual se identifica si la información si es pública, privada o
confidencial.
64
Figura 4.20 Evaluación de Criticidad
17

17 Se ingresa el dato identificado en el pilar de confidencialidad (público, privado o

confidencial).
4.6.4. Aprobación del Comité
Esta es la segunda método expone los activos tecnológicos críticos identificados al

Comité para su aprobación en donde de igual forma que la aprobación de la
primer etapa se presenta un informe escrito el cual contiene los activos
tecnológicos identificados como críticos, además de la clasificación de los activos
que gestionan o almacenan información con clasificación privada o confidencial.
65
4.7. MÉTODO DE VALORACIÓN DEL RIESGO
El método de valoración del riesgo permite la medición del riesgo inherente

(definición de riesgo sin controles) y riesgo residual (definición de riesgo con
controles) y su respectivo tratamiento mediante planes de acción.
Figura 4.21 Método de Valoración del Riesgo

El tratamiento y monitoreo se apoya en los siguientes procesos del método.
66
4.7.1. Determinar el Recurso Afectado
Para la determinación del recurso afectado, en función del activo tecnológico se

recurre al catálogo de amenazas y vulnerabilidades que nos permite valorar la
amenaza y vulnerabilidad que afecta al activo tecnológico.
Figura 4.22 Recurso Afectado

18
19
20

18 Mantiene la codificación del activo tecnológico de la anterior etapa.

19 Mantiene el nombre del activo tecnológico de la anterior etapa.
20 Aquí se ingresa a detalle la definición del recurso afectado.
67
En el siguiente catalogo están determinadas las amenazas y vulnerabilidades que
afectan a los activos tecnológicos, se define como recurso afectado.
Se identifica la amenaza que probablemente afecta un activo tecnológico

asimismo las vulnerabilidades que permitirían la materialización de esta amenaza.
Las dimensiones del catálogo permiten determinar las acciones a seguir para la
mitigación de las amenazas y vulnerabilidades, en el plan de acción como ser:
 Dimensión de disponibilidad, debe mitigarse en función de la continuidad

del negocio o establecer una estrategia de contingencias.
 Dimensión de integridad, debe mitigarse en función del grado de afectación
en la operativa del proceso.
 Dimensión de confidencialidad, debe mitigarse en función del impacto de la
falla o error que presenta la vulnerabilidad.
Figura 4.23 Catálogo de Amenazas y Vulnerabilidades
68
4.7.2. Identificación de Amenazas y Vulnerabilidades
Para la identificación de las amenazas y vulnerabilidades se toma el activo tecnológico

asociándolo al nombre, buscando en los recursos afectados la relación.
El recurso afectado describe las amenazas que afectan al activo tecnológico, detalla la
vulnerabilidad que expone la falla.
Para la determinación de las amenazas y vulnerabilidades se utilizará la herramienta

definida en la figura 4.24.
Figura 4.24 Amenazas y Vulnerabilidades

21
22
23
24
25

21 Mantiene el código de la anterior etapa.

22 Mantiene el nombre del activo tecnológico de la anterior etapa.
23 Mantiene el recurso afectado de la anterior etapa.
24 La descripción de la amenaza se extrae del catálogo de amenazas y
vulnerabilidades
25 La descripción de la vulnerabilidad se extrae del catálogo de amenazas y
vulnerabilidades
69
4.7.3. Valoración del Riesgo Inherente y Riesgo Residual
La valoración de riesgos sobre lo activos tecnológicos permite identificar el

impacto y la probabilidad de que una amenaza se llegue a materializar en función
de las vulnerabilidades. La estimación del riesgo tecnológico está definida en base
a la probabilidad y frecuencia de que una amenaza se materialice y por el impacto
que podría generar sobre el activo tecnológico.
Para la valoración del impacto se utilizara la herramienta definida en la figura 4.25.
Figura 4.25 Valoración del Impacto
Para la valoración de la probabilidad se utiliza la herramienta definida en la figura

4.26.
Figura 4.26: Probabilidad de la Amenaza
70
4.7.4. Valoración del Riesgo
Se identifican rangos para la valoración del riesgo esto se realiza en función a

históricos (incidentes registrados internos o externos relacionados a otras
entidades) asimismo también se desarrolla en función incidentes notificados. Es
importante vincular la frecuencia con se presentan y el impacto que generan al
materializarse
Para la valoración del riesgo se utilizará la herramienta definida en la figura 4.27
Figura 4.27 Valoración del Riesgo
71
Para la valoración del riesgo se utilizará la herramienta definida en la figura 4.28.
Figura 4.28 Valoración del Riesgo
26
27
28
29 30
72
27 La descripción del riesgo se genera en base a los criterios que fueron

determinados como ser el impacto y la probabilidad.
28 La descripción de los criterios del riesgo inherente se genera en base a la
probabilidad e impacto actual sin controles.
29 La descripción de los criterios del riesgo residual se genera en base a la
probabilidad e impacto con los controles existentes.
30 La descripción de los controles recomendados. para la mitigación de los riesgos
4.7.5. Plan de Acción
El plan de acción almacena el nombre del responsable, la fecha hasta cuando se

van a mitigar los riesgos identificados, asimismo las acciones que se van a realizar
para mitigar la amenaza.
Figura 4.29 Plan de Acción
31

31 En el plan de acción se ingresa el nombre del responsable, la fecha que debe

ser mitigado el riesgo, asimismo las acciones a realizar.
73
4.7.6. Interpretación de Resultados
Finalmente se obtiene una matriz de riesgos donde está posicionado todos los
riesgos identificados los mismos serán presentados a la alta dirección para su
aprobación.
Figura 4.30 Matriz de Riesgos
32
33

32 Mapa de calor área identificada como crítica.

33 Mapa de calor área identificada como baja criticidad.
74
CAPÍTULO V
MARCO PROPOSITIVO – PROPUESTA
CAPÍTULO V
MARCO PROPOSITIVO – PROPUESTA
5.1. PRUEBA DE LA METODOLOGÍA
Para iniciar la prueba de la metodología se realizaron algunos cuestionarios que

son necesarios para identificar los conocimientos previos de los participantes de la
prueba. (ver anexo A)
Para la gestión de riesgos sobre los activos tecnológicos se inicia con la

identificación de los procesos que forman parte de las líneas de negocio. Se tomó
en cuenta los procesos priorizados por alta dirección.
5.1.1. Líneas de Negocio Caso de Prueba
Para la identificación de las líneas de negocio se posicionan sobre la cadena de

valor de la entidad de intermediación financiera
Figura 5.1 Identificación de las Líneas de Negocios
76
5.1.2. Materialización de la líneas de negocio del caso de prueba
Para la materialización se toma en cuenta los valores de los últimos 3 años.

Figura 5.2 Materialización
77
5.1.3. Revisión de procesos caso de prueba
Para la revisión de los procesos se identifica cuáles son los más críticos.
Figura 5.3 Procesos que sostienen a la línea de negocio
78
 Para cada una de los procesos priorizados, se identificaron las actividades
donde participa un activo tecnológico.
 Posteriormente se realizó la valoración de la criticidad de los activos en
función a los pilares de seguridad de la información: confidencialidad,
disponibilidad e integridad.
 A partir de esta evaluación se identificaron los aplicativos críticos que
soportan los procesos críticos establecidos en alta dirección, los cuales se
describen a continuación:
 Para la identificación de los procesos que sostiene a las líneas de negocio
se muestran en la figura 5.3
5.1.4. Identificación de Activos Participantes en Procesos
Una vez identificados los aplicativos críticos se procedió a la identificación de

amenazas en base al catálogo de amenazas.
79
Figura 5.4 Activos Participantes en Procesos
80
5.1.5. Primera Aprobación de Comité
Al momento de enviar el informe al comité este contiene todo lo identificado.

Figura 5.5 Ejemplo de Informe
BANCO GR 028/2015
A : Gerente General
Cc : Jefe de Sistemas
DE : Gerente de Riesgos Integrales
Administrador de Seguridad de la Información
REF. : INFORME GESTIÓN DE RIESGOS TECNOLÓGICOS.
FECHA: La Paz, abril de 2016.
I. OBJETIVO
El presente informe tiene la finalidad de exponer el desarrollo del sistema.
Los resultados del presente informe corresponden a
II. CONSIDERACIONES TÉCNICAS

Las siguientes módulos:
III. CONCLUSIONES
i. De acuerdo a la evaluación realizada al Sistema Argos Net permite registrar y gestionar las colocaciones de
crédito desde el punto de vista de la funcionalidad.
ii. La contabilidad del ArgosNet no se encuentra integrada de manera automática al módulo contable con relación a
la cartera de créditos de primer piso (riesgo que se encuentra identificado, controlado y previsto por el Banco
Con relación a la seguridad de la información
iii. se cuenta con acceso seguro (autenticación con claves según protocolo establecido por el Banco), las
comunicaciones con los puntos de atención financiero son seguros por contarse con línea dedicada (VPN y
MPLS), se cuenta con procesos de desarrollo, pruebas y pase a producción así como la documentación técnica
para todo aplicativo informático que se encuentra en producción.
iv. El Banco cuenta con versionamiento y copias de seguridad del aplicativo informático y código fuente.
81
5.1.6. Evaluación del Activo Tecnológico en Función los Pilares de
Seguridad de Información.
La evaluación de los activos tecnológicos nos permite dar una valoración en

función de la integridad, confidencialidad y disponibilidad.
Figura 5.6 Evaluación del Activo Tecnológico
82
5.1.7. Valoración de la Criticidad
En la etapa de valoración de la criticidad de los activos tecnológicos la manera de

realizar esta valoración se apoya.
Figura 5.7 Ejemplo de Identificación de Activos Tecnológicos
83
5.1.8. Clasificación del Activo
Para la clasificación de información se apoya en el pilar de confidencialidad el que

permite identificar información, publica, privada y confidencial.
Figura 5.8 Ejemplo de Matriz de Clasificación
84
5.1.9. Segunda Aprobación de Comité
Se envía un informe al comité con la identificación de los activos críticos. para el

Vo.Bo.y continuar con la valoración es de riesgo.
Figura 5.9 Ejemplo de Informe

BANCO GR 028/2015
A : Gerente General
Cc : Jefe de Sistemas
DE : Gerente de Riesgos Integrales
Administrador de Seguridad de la Información
REF. : INFORME GESTIÓN DE RIESGOS TECNOLÓGICOS.
FECHA: La Paz, abril de 2016.
I. OBJETIVO
El presente informe tiene la finalidad de exponer el desarrollo del sistema.
Los resultados del presente informe corresponden a
II. CONSIDERACIONES TÉCNICAS

Las siguientes módulos:
III. CONCLUSIONES
i. De acuerdo a la evaluación realizada al Sistema Argos Net permite registrar y gestionar las colocaciones de
crédito desde el punto de vista de la funcionalidad.
ii. La contabilidad del ArgosNet no se encuentra integrada de manera automática al módulo contable con relación a
la cartera de créditos de primer piso (riesgo que se encuentra identificado, controlado y previsto por el Banco
Con relación a la seguridad de la información
iii. se cuenta con acceso seguro (autenticación con claves según protocolo establecido por el Banco), las
comunicaciones con los puntos de atención financiero son seguros por contarse con línea dedicada (VPN y
MPLS), se cuenta con procesos de desarrollo, pruebas y pase a producción así como la documentación técnica
para todo aplicativo informático que se encuentra en producción.
iv. El Banco cuenta con versionamiento y copias de seguridad del aplicativo informático y código fuente.
85
5.1.10.Determinación Recurso Afectado
En la determinación de los recursos afectados sobre el activo tecnológico, se

evalúan las amenazas y las vulnerabilidades que puedan materializarse en caso
de suceda.
Figura 5.10 Ejemplo de Recursos Afectados
Se identificó la frecuencia de ocurrencia de materialización de la amenaza sobre el

activo tecnológico de acuerdo a la presente metodología.
86
Para la identificación de las amenazas y vulnerabilidades estos son extraídos del
catálogo de amenazas y vulnerabilidades
Figura 5.11 Ejemplo de Catálogo de Amenazas y Vulnerabilidades
5.1.11.Identificación de Amenazas y Vulnerabilidades
La identificación de las amenazas y vulnerabilidades está ligada a la afectación

sobre el activo tecnológico que tiene las mismas si llegaran a materializarse.
Como se muestra en el piso.
87
Figura 5.12 Ejemplo de Identificación de Amenazas y Vulnerabilidades
5.1.12.Valoración del Riesgo Inherente y Residual
Se calcula el nivel de riesgo inherente en base a la siguiente formula:
Riesgo Inherente = Probabilidad x Impacto

Una vez valorados los controles existentes, se determina el riesgo residual bajo la
siguiente formula:
Riesgo Residual = Probabilidad(C) x Impacto(C)
88
Figura 5.13 Análisis de Riesgo Tecnológico
5.1.13. Plan de Acción
Sobre cada activo tecnológico se realizó una valoración de eficiencia y efectividad

de los controles existentes, validando si es que el control aplicado permite
disminuir el impacto o la probabilidad de ocurrencia.
En la figura 5.14 se expone la matriz de riesgo tecnológico.
89
Figura 5.14 Ejemplo de la Matriz de Riesgo Inherente y Riesgo Residual
90
5.2. RESULTADOS
A continuación se presenta la matriz con el mapa de calor correspondiente para la

ubicación de los riesgos tecnológicos identificados.
Los riesgos altos y muy altos no son aceptables por el Banco, por lo que deben
ser tratados inmediatamente a través de medidas de acción mitigantes.
La tolerancia al riesgo son los que se identifiquen como medios, para los cuales
también deben establecerse medidas mitigantes o controles compensatorios.
Figura 5.15 Matriz de Riesgos
91
5.3. DEMOSTRACIÓN Y/O ARGUMENTACIÓN DE LA HIPÓTESIS
Para la demostración de la hipótesis se realizaron entrevistas que ayudaron a

guiar los resultados . (ver anexo B)
La hipótesis formulada en el presente trabajo señala:
La metodología de gestión de riesgo tecnológico basado ISO 31000 e ISO 27005

dirigida a entidades de intermediación financiera incrementará el nivel de
cumplimiento de la reglamentación establecida por la entidad y el ente regulador
ASFI.
5.3.1. Docimasia de Hipótesis
Para realizar la docimasia de hipótesis, la metodología que se propone fue

sometida a una comparación entre los resultados obtenidos en las gestiones 2014,
2015 y 2016 del nivel de cumplimiento en relación de la reglamentación de
establecida por el entidad y el ente regulador, denominado “ASFI/395/16
reglamento para la gestión de seguridad de la información”.
5.3.2. Nivel de Cumplimiento
El nivel de cumplimiento indica la ponderación y evaluación de los criterios

establecidos y definidos para la gestión de riesgo tecnológico en función de los
factores definidos en la reglamentación de la seguridad de la información
establecida por ASFi.
92
5.3.3. Medición del Nivel de Cumplimiento de la Metodología
Tabla 5.1 Nivel de Cumplimiento Gestión 2014

Fuente: 8(Elaboración propia)
Ponderación de factores Valor
1. No se cumple 1
2. Se cumple parcialmente 5
3. Se cumple. 10
Factores de nivel de cumplimiento Ponderación y valoración de resultado de revisión Valor
a) Analisis de riesgos de seguridad de información. 3. Se cumple. 10

b) Evaluación de riesgos de seguridad de información. 2. Se cumple parcialmente 10
c) Acorde a su naturaleza tamaño y complejidad de operacioes 3. Se cumple. 1
d) Desarrollo: de procedimientos de gestion de riesgos 3. Se cumple. 10
e) Implementación: procedimientos de gestion de riesgos 2. Se cumple parcialmente 5
f) Presenación: de informes 1. No se cumple 1
g) Proceso: continuo. 1. No se cumple 1
Promedio
5,43
Deficiente
1. No se cumple 1
3. Se cumple. 10
a) Analisis de riesgos de seguridad de información. 2. Se cumple parcialmente 5

b) Evaluación de riesgos de seguridad de información. 2. Se cumple parcialmente 5
c) Acorde a su naturaleza tamaño y complejidad de operacioes 3. Se cumple. 1
d) Desarrollo: de procedimientos de gestion de riesgos 2. Se cumple parcialmente 5
f) Presenación: de informes 1. No se cumple 1
g) Proceso: continuo. 1. No se cumple 1
Promedio
3,29
Deficiente
93
1. No se cumple 1
3. Se cumple. 10
a) Analisis de riesgos de seguridad de información. 3. Se cumple. 10

b) Evaluación de riesgos de seguridad de información. 3. Se cumple. 10
c) Acorde a su naturaleza tamaño y complejidad de operaciones 2. Se cumple parcialmente 5
d) Desarrollo: de procedimientos de gestion de riesgos 3. Se cumple. 10

f) Presenación: de informes 3. Se cumple. 10
g) Proceso: continuo. 3. Se cumple. 10
Promedio
8,57
Aceptable
Como se pudo evidenciar el nivel de cumplimiento en la gestión 2016 se elevó de

un nivel deficiente desde la gestión 2014 y 2015 a un nivel aceptable, en relación a
la reglamentación de establecida por el entidad y el ente regulador, denominado
“ASFI/395/16 reglamento para la gestión de seguridad de la información”. Por lo
cual hipótesis se acepta.
94
CAPÍTULO VI
CONCLUSIONES Y
RECOMENDACIONES
CAPÍTULO VI
CONCLUSIONES Y RECOMENDACIONES
6.1. CONCLUSIONES
 Mediante la presente investigación se logró el diseño de la metodología de gestión

de riesgo tecnológico, basado en ISO 31000 e ISO 27005, en relación de la
seguridad de la información en una entidad de intermediación financiera
demostrando una forma de valoración del impacto de las amenazas y
vulnerabilidades sobre el activo tecnológico, para el cumplimiento de la
reglamentación establecida por la entidad y el ente regulador.
 Se realizó la revisión comparativa de los estándares ISO 31000 e ISO 27005

orientado a la gestión de riesgo tecnológico nos permite proponer la presente
metodología de gestión de riesgo tecnológico aplicable a las entidades de
intermediación financiera.
 Se realizó el diseño de tres métodos, los cuales están guiados por las líneas de
negocio y la cadena de valor de la entidad de intermediación financiera que son
parte del siclo de vida iterativo de la metodología, de gestión de riesgo tecnológico
que establece resultados cualitativos y cuantitativos.
 Se ejecutó la prueba de la metodología de gestión de riesgo tecnológico

propuesta en una entidad de intermediación financiera, la misma generó
resultados que fueron presentados a la alta dirección.
95
6.2. RECOMENDACIONES
Para la presente propuesta se recomienda:
 Que para un adecuado análisis de riesgo tecnológico se debe seguir los procesos
que conforman cada uno de los métodos ya que los mismos tienen controles que
permiten generar entregables que son los sustentos necesarios y suficientes para
la presentación a alta dirección.
 Se debe actualizar los catálogos de amenazas y vulnerabilidades de manera

frecuente ya que permanentemente se van presentado nuevas amenazas
conforme va creciendo los servicios que expone la entidad de intermediación
financiera a los clientes y no clientes.
 El resultado del análisis de riesgo tecnológico al ser cuantitativo permite una

adecuada toma de decisión a la alta dirección sobre la continuidad o
discontinuidad de un servicio prestado al cliente que no contenga controles
apropiados.
 Los resultados del análisis de riesgo tecnológico afectan a operatividad por cual
debe de ser integral, lo que permite que las entidades de intermediación
financiera alcancen los objetivos en un determinado plazo.
 A tiempo de crear un nuevo servicio o producto para los clientes de Banca se

debe realizar un análisis de riesgo tecnológico, el mismo expone las amenazas a
la que está expuesta la información y permite identificar las vulnerabilidades por
las cuales se podría concretar un riesgo.
96
ANEXOS
ANEXO A
ANEXO B
GLOSARIO
Estandar.- Requisito obligatorio, codigo de practica o especificación aprobada por

una organización externa reconocida como Oranizacion Internaaconal de
Normalizacion (ISO).
Amenazas.- Una vez que la programación y el funcionamiento de un dispositivo
de almacenamiento (o transmisión) de la información se consideran seguras,
todavía deben ser tenidos en cuenta las circunstancias "no informáticas" que
pueden afectar a los datos, las cuales son a menudo imprevisibles o inevitables,
de modo que la única protección posible es la redundancia (en el caso de los
datos) y la descentralización -por ejemplo mediante estructura de redes- (en el
caso de las comunicaciones).
Usuario.- causa del mayor problema ligado a la seguridad de un sistema

informático (porque no le importa, no se da cuenta o a propósito).
Programas maliciosos.- programas destinados a perjudicar o a hacer un uso
ilícito de los recursos del sistema. Es instalado (por inatención o maldad) en el
ordenador abriendo una puerta a intrusos o bien modificando los datos. Estos
programas pueden ser un virus informático, un gusano informático, un troyano,
una bomba lógica o un programa espía o Spyware.
Intruso.- Persona que consigue acceder a los datos o programas de los cuales no
tiene acceso permitido (cracker, defacer, script kiddie o Script boy, viruxer, etc.).
El personal interno de Sistemas.- Las pujas de poder que llevan a disociaciones
entre los sectores y soluciones incompatibles para la seguridad informática.
REFERENCIAS BIBLIOGRÁFICAS
BIBLIOGRAFÍA
(Asfi/395/16, 2016), Reglamento para la Gestión de Seguridad de la Información,
Modificación 2, Autoridad de Supervisión del Sistema Financiero ASFI.
(Carvajal Lizardo, 2006), Metodología de la Investigación, 28 ed. Santiago de Cali

Cooprusaca, Poemia.
(Cocho Julian, 2003), Riesgo y Seguridad de los Sistemas Informáticos 1ª ed.,

Universidad Politécnica de Valencia. Servicio de Publicación, ESPAÑA.
(Fernández Carlos, 2014). Metodología de la Investigación, 5ª ed. Mexico,

MCGRAW
(Gomez A, 2011) Enciclopedia de la Seguridad Informática, 2ª ed. actualizada,

RA-MA.
(Hernandez Sampieri, 2000). Metodología de la Investigación, 6ª ed. México,

MCGRAW
(ISO 31000, 2009) Gestión de Riesgo - Principios y Directrices ed. única

Organización de Estándares Internacionales.
(Libro I Magerit, 2012) Metodología de Gestión de Riesgos de Seguridad de

Información, Versión 3, ESPAÑA
(Libro II Magerit, 2012) Metodología de Gestión de Riesgos de Seguridad de

Información – Catalogo de Elementos, Versión 3, ESPAÑA
(Libro III Magerit, 2012) Metodología de Gestión de Riesgos de Seguridad de

Información – Guía de Técnicas, Versión 3, ESPAÑA
(Manual CRISC, 2015) Manual de preparación para el examen CRISC, 4ª ed.

Estados Unidos
(NB-ISO-IEC 27001, 2013) Tecnología de la Información -Técnicas de Seguridad
– Sistemas de Gestión de Seguridad de Información – Requisitos. 2ª ed. Instituto
Boliviano de Normalización y Calidad IBNORCA.
(NB-ISO-IEC 27002, 2005) Tecnología de la Información -Técnicas de Seguridad –

Código de Practica para la Gestión de Seguridad de Información. 2ª ed. Instituto
Boliviano de Normalización y Calidad IBNORCA.
(NB-ISO-IEC 27005, 2011) Tecnología de la Información -Técnicas de Seguridad –

Gestion de Riesgo de Seguridad de la Información – Requisitos. ed. única.
Instituto Boliviano de Normalización y Calidad IBNORCA.
(Perez Julio, 2015), Protección de Datos y Seguridad de la Información, 2ª ed.,

RA-MA.
(Shen, John Paul, 2006), Arquitectura de Computadores, 2ª ed., S.A. MCGRAW-

HILL / INTERAMERICANA DE ESPAÑA
(Velthuis Mario Piattini, 2008) Auditoria de Tecnologías y Sistemas de Información

1ª ed., RA-MA.

Maestria - Richard Villca 25032018 Fin Imprimir PDF

Transféré par

Informations du document

Titre original

Copyright

Formats disponibles

Partager ce document

Partager ou intégrer le document

Options de partage

Avez-vous trouvé ce document utile ?

Ce contenu est-il inapproprié ?

Droits d'auteur :

Formats disponibles

Maestria - Richard Villca 25032018 Fin Imprimir PDF

Transféré par

Droits d'auteur :

Formats disponibles

ESCUELA MILITAR DE INGENIERÍA

“MCAL. ANTONIO JOSÉ DE SUCRE”

GESTIÓN DE RIESGO TECNOLÓGICO BASADO EN

RICHARD SERAPIO VILLCA LAURA

Modalidad: Tesis de grado presentado

TUTOR: M.Sc. Lic. CLAUDIA YAÑIQUEZ

AUTORIZO LA PRODUCCIÓN Y DIVULGACIÓN TOTAL O PARCIAL

Tutor MSc. Lic. Claudia Yañiquez

Tesis de Maestría – Programa de Postgraduación en Seguridad en

Richard Serapio Villca Laura

Área de Concentración: Seguridad en

Institución: _____________________________ Firma: ___________________________

Institución: _____________________________ Firma: ___________________________

Institución: _____________________________ Firma: ___________________________

Institución: _____________________________ Firma: ___________________________

Institución: ____________________________ Firma: ____________________________

A mi esposa por el apoyo, el amor, la paciencia que me permitió concluir con la

A mis padres Migdonio y Austrebertha.

Richard Serapio Villca Laura

A la Escuela Militar de Ingeniería por albergarme en sus aulas en mi formación de

Richard Serapio Villca Laura

La identificación de activos tecnológicos críticos es primordial para la gestión de los

La identificación de amenazas y vulnerabilidades que generan la probabilidad e

La metodología propuesta se basa en tres métodos que son : método de

En el primero método, se realiza la identificación de las líneas de negocio y la cadena

En el segundo método, en base a la identificación de los procesos del anterior

En el tercer método, se realiza la valoración del riesgo tecnológico en base a las

Descriptores: Riesgo inherente, Riesgo residual, confidencialidad, integridad y

1.1. INTRODUCCIÓN .............................................................................................................. 1

CAPÍTULO II : ESTADO DEL ARTE

2.1. SEGURIDAD DE LA INFORMACIÓN .............................................................................. 8

3.1. ESTRATEGIA METODOLÓGICA ................................................................................... 33

CAPÍTULO IV : MARCO PRÁCTICO

4.1. ANÁLISIS DE METODOLOGÍAS Y ESTÁNDARES ...................................................... 39

5.1. PRUEBA DE LA METODOLOGÍA .................................................................................. 76

CAPÍTULO VI : CONCLUSIONES Y RECOMENDACIONES

6.1. CONCLUSIONES ............................................................................................................ 95

Las metodologías vigentes para realizar el análisis de riesgo tecnológico proponen

Las entidades de intermediación financiera reguladas y las que están en proceso de

Sin importar cuál es la línea de negocio a la que se dedica la entidad de

En el Estado Plurinacional de Bolivia se cuenta con una regulación sobre la gestión

La Alta Dirección de las entidades de intermediación financiera se encuentra

En el mercado financiero Boliviano el Ente Regulador (ASFI), dispone que se debe

Las expectativas en función del cumplimiento obliga a estas entidades de

Siendo el análisis y evaluación de riesgos tecnológicos el inicio de la gestión de la

Su incursión en las entidades de intermediación financiera se debe a que la

Adicional a los ataques intencionados, se encuentra el uso no adecuado de la

Las amenazas a la infraestructura tecnológica (hardware o nivel físico), nivel lógico

Si se revisan las definiciones de las metas, objetivos, visión o misión de las de la

El ente regulador ASFI emite la circular ASFI/193/2013 referente al reglamento de

El reglamento de requisitos mínimos de seguridad informática para la administración

1.3. PLANTEAMIENTO DEL PROBLEMA

En la actualidad la seguridad de información ha cobrado gran importancia, debido a

En otros casos se puede enviar mensajes falsificados, creados por agentes no

Actualmente existen varias metodologías y estándares para la identificación, análisis,

1.3.2. Formulación del Problema

¿Cómo realizar la gestión del riesgo tecnológico en relación a la seguridad de

1.4. OBJETIVOS DE LA INVESTIGACIÓN

De acuerdo al problema identificado anteriormente se pueden plantear los siguientes

1.4.1. Objetivo General

1.4.2. Objetivos Específicos

 Revisión de los estándares ISO 31000:2009 e ISO 27005:2012 orientadas a la

1.5.1. Justificación Teórica

Institución: ___ Firma: _

Institución: ___ Firma: _

Institución: ___ Firma: _

Institución: ___ Firma: _

Institución: Firma: