Вы находитесь на странице: 1из 48
BANCO NACIONAL DE DESARROLLO AGRÍCOLA “La Esperanza del Campo” MMaannuuaall ddee AAddmmiinniissttrraacciióónn
BANCO NACIONAL DE DESARROLLO AGRÍCOLA
“La Esperanza del Campo”
MMaannuuaall ddee AAddmmiinniissttrraacciióónn ddeell
RRiieessggoo TTeeccnnoollóóggiiccoo
GERENCIA DE RIESGOS
Mayo, 2012
Versión 1.0
  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

Contenido

1. Introducción………………………………………………………………………4

a. Objetivo General

b. Objetivos Particulares

2. Objetivos……….……………………………………………………… ……

5

3. Alcance……

5

4. Definiciones………………………………………………………… ………….5

a. Terminología

7

6. Marco Jurídico……………….………………………………… ….……………7

5. Organización de la Gerencia de Riesgos…………………… ……………

7. Funciones y Responsabilidades…………………………… ……………

9

8. Políticas…………………………………………………………………………

13

9. Marco Metodológico…………………….…………………… ………………14

a. Introducción………… …………………………………………………

14

b. Modelo de Administración del Riesgo Tecnológico………………

15

i. Definición del alcance………….…………………………………… …

20

ii. Criterios de evaluación, impacto y aceptación de riesgos… …….20

iii. Identificación de riesgos…………………….…………….……………

21

1. Identificación de Activos……………….…………….………………22

2. Identificación de Amenazas………….………………………………22

3. Identificación de vulnerabilidades….……………………… … …23

23

iv. Evaluación de riesgos……………….………………… ………………

4. Determinación de frecuencia…………………………….……… …24

5. Determinación de Impacto……………… ……………….…………24

6. Mapa de riesgos tecnológicos……………………………………….25

7. Análisis de controles……………………….……………… ….……

8. Determinación del riesgo residual y niveles de tolerancia….….27

28

26

v. Priorización y tratamiento del riesgo…………………………………

vi. Plan de Tratamiento de Riesgos…………………………………………29

vii. Monitoreo………………………… ………………………………………

10.Procedimiento de Gestión de Riesgo Tecnológico………………………29

11.Marco Tecnológico……….………………………………….…………

12.Anexos……………………………………………………………………………35

a. Anexo A. ………………………………………………………………… …35

b. Anexo B. ………………………………………………………………… …42

c. Anexo C. “Identificación de Riesgos”.………………………….………42

29

32

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

d. Anexo D. ”Inventario de activos”………………………………………

44

e. Anexo E. ”Catálogo de amenazas”……………………………………

44

f. Anexo F. ”Catálogo de vulnerabilidades”……………………… ….…47

g. Anexo G. ”Análisis de riesgos”………………………………….………47

…………47

h. Anexo H. ”Aplicabilidad de Controles………………….….

i. Anexo I.

j. Anexo J. ”Layout de Incidencias”……………………………………….47

k. Anexo K.”Indicadores”…………………………………………………….47

”Riesgo Residual y Niveles de Tolerancia”….……………47

13.Aprobación y Vigencia………………………………………….……………

48

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

11

IInnttrroodduucccciióónn

El avance acelerado al que se han enfrentado diversas organizaciones está estrechamente vinculado con el incremento en el uso de la tecnología de la Información así como la evolución en la forma de su utilización.

Este progreso ha permitido que la tecnología de Información se convierta en una herramienta trascendental para diseñar e implementar mejores y más efectivos procesos, generando oportunidades de crecimiento así como la posibilidad de contar con Información veraz y oportuna para una eficaz toma de decisiones. Sin embargo, esto conlleva a tener una dependencia en la Información y en los sistemas que la proporcionan.

Este tipo de dependencia trae consigo una serie de riesgos inherentes que las organizaciones deben de enfrentar, a estas exposiciones se les conoce como riesgo tecnológico. Dicho riesgo es parte complementaria al riesgo operativo (definido dentro del Manual de Administración de Riesgo Operativo), el cual mientras exista este entorno, su gestión desempeñará un papel crítico y esencial dentro de las operaciones como factor de control estratégico.

El BANADESA no es la excepción y la mayor parte de sus operaciones se encuentran sobre una estructura tecnológica, con lo cual se hace más eficiente y oportuna la atención

a los clientes y público en general, sin embargo se está expuesto a problemas inherentes

a dichas operaciones los cuales pueden materializarse al no contar con una adecuada administración del riesgo tecnológico.

Por tal razón, es de interés del Banco desarrollar actividades para la administración del Riesgo Tecnológico como una práctica adicional a la administración integral de riesgos en el BANADESA que conlleve a minimizar los posibles impactos negativos por su uso y desarrollar una estrategia basada en riesgo tecnológicos que permita fortalecer el proceso de toma de decisiones.

Para llevar al banco a un estándar internacional en materia de Riesgo Tecnológico, se recomienda observar las mejores prácticas establecidas por el Comité de Basilea así como COBIT (Control Objetives for Information and Related Technology) e ISO (Organización Internacional por la Normalización)/IEC 27001(International Electrotechnical Commission) para su mejor administración y gobierno. Asimismo es interés del BANADESA considerar el marco regulatorio definidos por la Comisión Nacional de Bancos y Seguros (CNBS).

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

22 OObbjjeettiivvooss

a. Objetivo General

El objetivo del Manual de Administración de Riesgo Tecnológico es la de concientizar a los dueños de los procesos y a los responsables de los sistemas de Información de la existencia de riesgos y de la necesidad de mitigarlos a tiempo, ofreciendo un método sistemático de trabajo definido y repetible para el análisis y evaluación de tales riesgos, para ayudar a descubrir y planificar las medidas oportunas para mantener los riegos de TI bajo control de acuerdo a las mejores prácticas.

b. Objetivos Particulares

Preparar al banco para el proceso de administración de Riesgo Tecnológico en base a un marco de referencia constituido de las mejores prácticas como COBIT e ISO/IEC 27001 buscando la uniformidad en el marco de trabajo para le gestión del Riesgo Tecnológico para una mejor Gobernabilidad de las Tecnologías de la Información.

Contar con un método para poder identificar, evaluar, administrar, controlar y reportar los riesgos tecnológicos que enfrenta la institución, con el fin de mitigar o eliminar el posible impacto negativo de dichos riesgos en el banco.

33 AAllccaannccee

De aplicación general para todas las áreas del banco y los procesos que tengan implícito un riesgo tecnológico.

Advertencia: El contenido del presente manual es responsabilidad de la Unidad de Seguridad Informática y Riesgo Tecnológico, perteneciente a la Gerencia de Riesgos.

Cualquier acción de cambio o alteración, sin la aprobación correspondiente de la Gerencia de Riesgos, constituye una FALTA GRAVE y será sancionada acorde al Código de Ética del BANADESA.

44 DDeeffiinniicciioonneess

Para efectos de este manual, se entenderá por:

Riesgo Tecnológico. El Riesgo Tecnológico es la pérdida potencial por daños, interrupción, alteración o fallas derivadas del uso o dependencia en el hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de distribución de Información que el Banco dispone para prestar sus servicios.

Activo. Recursos del sistema de Información o relacionados con éste, necesarios para que el banco funcione correctamente.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

Administración Integral de Riesgos. Conjunto de objetivos, políticas, procedimientos y acciones que se llevan a cabo para identificar, medir, vigilar, limitar, controlar, informar y revelar los distintos riesgos a que se encuentra expuesto el banco.

Amenaza. Agente o circunstancia capaz de explotar una o más vulnerabilidades.

COBIT. (Control Objetives for Information and Related Technology) mejor práctica aplicada en materia de control y seguridad de TI emitido por ISACA (Information Systems Audit and Control Foundation)

Confidencialidad. Protección de datos personales o Información clasificada como confidencial en términos de las Políticas de Seguridad de la Información de BANADESA, por lo cual su divulgación no está autorizada.

Control. Políticas, procedimientos, prácticas y estructuras organizacionales diseñadas para procurar que los objetivos del negocio sean alcanzados y que los riesgos detectados sean prevenidos, detectados o corregidos.

Disponibilidad. Acceso y utilización de la Información y los sistemas cuando se requieran.

Dueño de Proceso. Gerente responsable del diseño, aprobación e implementación de un proceso y subproceso específico.

Evento. Es algo que sucede en un lugar y tiempo particular.

Hardware. Componentes físicos de un sistema computacional.

Indicador. Definición de datos que ayudan a medir objetivamente la evolución de una actividad o una tarea, así como la efectividad de un control para mitigar un riesgo.

Información. Cualquier forma de registro electrónico, óptico, magnético o en otros medios similares, susceptible de ser procesada, distribuida y almacenada.

Banco. Banco Nacional de Desarrollo Agrícola (BANADESA)

Integridad. Mantenimiento de la exactitud y completitud de la Información y sus métodos de proceso.

ISO /IEC 27001. Estándar para la seguridad de la Información publicado como por International Organization for Standardization (ISO) y por la International Electrotechnical Commission (IEC).

Nivel de tolerancia al riesgo. Es la magnitud permisible de exposición a un riesgo no discrecional para el banco en su totalidad.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

Proceso. Conjunto ordenado de etapas y pasos con características de acción interrelacionada, dinámica y progresiva que concluye con la obtención de un resultado.

Riesgo. Es la exposición a la posibilidad de ocurrencia de eventos tales como pérdida o ganancia económica, daño físico, retrasos, etc., que surgen como consecuencia de seguir un curso particular de acción. El concepto de riesgo tiene dos elementos: la probabilidad de que algo ocurra y las consecuencias de si esto ocurre (impacto o severidad).

Riesgo Operativo. Es aquel que puede provocar pérdidas directas o indirectas como resultado de errores humanos, procesos internos inadecuados o defectuosos, controles internos inadecuados, fallas en los sistemas y a consecuencia de acontecimientos externos originados dentro de la propia operación del banco.

Riesgo residual. El riesgo asociado con un evento después de que un control se está llevando a cabo.

Seguridad. Actividades encaminadas a preservar la confidencialidad, integridad y disponibilidad de la Información, así como los sistemas implicados en su tratamiento.

Software. Es un conjunto de programas, documentos, procedimientos y rutinas asociadas con la operación de un sistema computacional.

Vulnerabilidad. Debilidades o defectos en la infraestructura de seguridad de una

organización.

55 OOrrggaanniizzaacciióónn ddee llaa GGeerreenncciiaa ddee RRiieessggooss

Para consultar la descripción de cada uno de los puestos que integran la Gerencia de Riesgos (Ver Anexo A.)

66 AAssppeeccttooss NNoorrmmaattiivvooss

Interno

a. Ley del BANADESA

b. Estatuto Orgánico

c. Manual de Administración Integral de Riesgos

d. Lineamientos en Materia de Control Interno, en los puntos:

· 10.- Plan de Continuidad

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

· 12.- La autorización y procesamiento de las operaciones por personal facultado

· 15.- Asegurar que en materia de Tecnologías de Información (T.I.):

i. Que existan mecanismos de seguridad e integridad de la Información.

ii. Que existan mecanismos para prevenir el acceso y uso indebido.

iii. Que se encuentren documentados y actualizados los procesos, aplicaciones y

metodologías.

iv. Que tengan procesos de prueba previos a la operación.

v. Que exista un Programa de Contingencias actualizado y difundido, que asegure el respaldo y recuperación de la Información y de los sistemas.

vi. Que existan convenios de niveles de servicio.

vii. Que se cuente con licencias y autorizaciones para T. I.

viii. Que se incorporen mecanismos, medidas y controles previstos por la Normativa Interna para propiciar su cumplimiento.

e. Lineamientos de Seguridad de la Información.

Externa

a. Ante la ausencia de un marco legal aplicable al BANADESA en materia de Administración de Riesgos Tecnológicos, éste ha procurado adoptar e implementar las mejores prácticas en dicha materia, apegándose, en todo momento, a su naturaleza y marco jurídico particular, tomando en consideración las disposiciones contenidas en la Ley de Instituciones del Sistema Financiero, Título tercero, Capítulo Único, Artículo 73, numerales 6: Administración de Riesgos; que el Banco desarrollará en el marco de sus facultades para administrar el Riesgo tecnológico.7: Adecuados Mecanismos; para la identificación, medición, seguimiento, control y prevención de riesgos (Ver Anexo B)

b. Según la Circular 119-2005 la institución deberá cumplir con los siguientes artículos:

Resolución 1301/22-11-2005 “NORMAS PARA REGULAR LA ADMINISTRACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES EN LAS INSTITUCIONES DEL SISTEMA FINANCIERO”, en el cumplimiento a lo establecido en los artículos 15, 16, 19, 21, 26, 27, 28, 31, 33, 34, 44, 46 al 64, 66, 67, 72 y 74, relativos a la administración de riesgos e implementación de un ambiente de control adecuado para las tecnologías de la información.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

77 FFuunncciioonneess yy RReessppoonnssaabbiilliiddaaddeess

La Unidad de Riesgo Operativo deberá:

i. Proponer el marco de gestión del Riesgo Tecnológico, así como, las políticas y

procedimientos para la identificación, evaluación y control, así como, la implantación de

métodos cualitativos y cuantitativos que permitan permear una cultura de riesgos en el

banco.

ii. Definir el alcance de la identificación y evaluación de riesgos.

iii. Coordinar con los responsables de los procesos y/o subprocesos el cumplimiento del

presente Manual, de forma que se complementen los Lineamientos en Materia de Control

Interno.

iv. Informar al menos de manera bimestral a través del reporte de riesgos, acerca de las

exposiciones, incidencias y comportamiento de Indicadores relativos al riesgo tecnológico a la Gerencia de Riesgos, Dependencias Operativas, al Comité de Riesgos y al Comité de

Auditoría.

v. Revisar y actualizar el Manual de Administración de Riesgo Tecnológico, cuando

menos, una vez al año y/o cuando por cambios en el banco lo demande.

El Jefe de Unidad de Riesgo Tecnológico deberá:

i. Capacitar al Dueño de Proceso, cuando lo requiera, para identificar y evaluar los riesgos tecnológicos inherentes de acuerdo al presente manual.

ii. Apoyar a los responsables facultados, del tratamiento de los riesgos a desarrollar

(remediar, monitorear u optimizar el control).

iii. Seguimiento y retroalimentación de las respuestas de riesgo.

iv. Análisis de desviaciones en Riesgo Tecnológico.

v. Definir y monitorear los Indicadores por Riesgo Tecnológico.

vi. Diseñar, desarrollar e implementar una base de datos histórica de exposición de

riesgos, identificada en cada activo y subproceso, así como, de las incidencias por Riesgo

Tecnológico.

i. Actualizar al menos una vez al mes la base de datos por riesgo tecnológico, a través del registro de incidencias que se tengan por conocimiento de las diferentes fuentes de Información y en su caso verificar que el monto de pérdida esté reflejado dentro de la contabilidad del banco.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

Los Dueños de Proceso deberán:

i. Identificar y evaluar los riesgos tecnológicos inherentes a su proceso.

ii. Determinar las causas y efectos derivados de los riesgos identificados.

iii. Reportar la incidencia de eventos derivados de un riesgo tecnológico en cada área del

banco.

iv. Participar en las sesiones de medición y cuantificación del riesgo tecnológico.

v. Implementar, aplicar, mantener y actualizar el Sistema de Control Interno, cuyas

acciones preventivas y correctivas, permitirán la mitigación y control del riesgo

tecnológico.

vi. Elaborar, establecer y dar mantenimiento a las políticas y procedimientos que afecten a

su área.

vii. Proporcionar Información relacionada con el seguimiento en las acciones referentes a las respuestas de Riesgos Tecnológicos.

viii. Proporcionar la Información relacionada a cada uno de los Indicadores de los Riesgos

Tecnológicos detectados.

ix. Mantener una estrecha comunicación con su área así como con la Unidad ROp de

cualquier índole en relación al riesgo tecnológico que contribuya a una mejora continua

así como de Control Interno.

x. Informar, difundir e implementar a sus reportes las estrategias de cultura de riesgo

tecnológico.

Unidad de Control Interno deberá:

xi. Apoyar en la definición de controles para los riesgos tecnológicos identificados.

xii. Dar consultoría en materia de Control Interno (procesos, proyectos y productos).

xiii. Vigilar que las políticas y procedimientos de operación cumplan con los aspectos de

Control Interno emitidos.

xiv. Analizar y detectar en conjunto con el área de Riesgo Tecnológico los procesos con

mayor exposición al riesgo.

xv. Apoyar

Tecnológico.

en

la

priorización de los

riesgos en

conjunto con el área de Riesgo

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

xvi.

procedimientos.

Documentar

los

hallazgos

detectados

en

las

verificaciones

de

procesos

y

xvii. Dar seguimiento a la atención de hallazgos de la Auditorías tanto Internas como Externas, así como de la CNBS o por solicitud de los Órganos de Gobierno Corporativo.

Unidad de Organización y Métodos deberá:

i. Establecer y administrar la metodología para la documentación de procesos y subprocesos de acuerdo a las mejores prácticas, asegurando la consistencia operativa.

ii. Asesorar y proporcionar las herramientas necesarias a todas las áreas del banco para la documentación de los procesos y subprocesos que describen el quehacer de cada área del banco, cuando se trate de una actualización, modificación o desarrollo de un nuevo proceso de acuerdo a la Metodología para la definición y documentación de los Modelos de Operación.

iii. Comunicar la necesidad de hacer un análisis de riesgos cuando se actualice, modifique o desarrolle un proceso.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

GERENCIA DE RIESGOS

ESTRUCTURA ORGANIZATIVA INTERNA

ACTUALIZADA A JUNIO 2011

ELABORADO VERSIÓN FEBR/2012 1.0 GERENCIA DE RIESGOS ESTRUCTURA ORGANIZATIVA INTERNA ACTUALIZADA A JUNIO 2011 12
  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

88 PPoollííttiiccaass AAddooppttaaddaass eenn RRiieessggoo TTeeccnnoollóóggiiccoo

Unidad de Riesgo Operativo

i. La Unidad ROp deberá implantar a través del manual de administración del Riesgo

Tecnológico, las políticas y procedimientos para la identificación, evaluación y control así

como la implantación de métodos cualitativos y cuantitativos necesarios para evaluar el

riesgo.

ii. La Unidad ROp deberá informar al menos de manera bimestral, a través de la emisión

del reporte de riesgos, a la Gerencia de Riesgos, a las diferentes dependencias y al Comité de Riesgos acerca de las exposiciones, incidencias y el comportamiento de

Indicadores relativos al riesgo tecnológico.

iii. La Unidad ROp revisará y actualizará el Manual de Administración de Riesgo Tecnológico cuando menos una vez al año y/o cuando por cambios en el banco se

demande.

Unidad de Riesgo Tecnológico

i. La Unidad RT deberá asesorar en materia de Riesgo Tecnológico a la Unidad ROp y a

los Dueños de Procesos para lograr una adecuada implementación del presente Manual.

Dueños de Procesos

i. El Dueño del Proceso deberá evaluar constantemente sus procedimientos, riesgos,

controles e indicadores, así como llevar a cabo las acciones correctivas que deriven de

dichas revisiones como mecanismo de autocontrol.

ii. El Dueño del Proceso deberá identificar y evaluar los riesgos tecnológicos inherentes a

los procesos y activos bajo su responsabilidad de acuerdo al presente manual.

iii. El Dueño del Proceso podrán trabajar bajo un enfoque cualitativo siempre y cuando no

se tenga incidencia del riesgo y únicamente se cuente con la experiencia del responsable del subproceso.

iv. El Dueño de Proceso deberá establecer las respuestas al riesgo apropiados para la

mitigación y control cada vez que se identifique un riesgo además de monitorear su

funcionamiento.

v. El Dueño de Proceso deberá trabajar en la definición de los controles, bajo un enfoque

preventivo y proactivo, desplazando una perspectiva reactiva cada vez que se identifique una posible exposición.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

vi. El Dueño de Proceso deberá reportar la incidencia de eventos de pérdida así como la

exposición de posibles riesgos a la Unidad RT inmediatamente después de que se hayan

identificado.

vii. El Dueño de Proceso deberá difundir a sus reportes de manera constante, las

estrategias de cultura de Riesgo Tecnológico que permita el éxito de la implementación

correspondiente.

Unidad de Control Interno

i. La Unidad de Control Interno deberá asegurar que los controles definidos por los Dueños de Proceso se documenten como actividades en procedimientos, mitiguen al riesgo identificado a través de la supervisión y monitoreo de éstos.

ii. La Unidad de Control Interno deberá validar que los controles sugeridos sean

implementados para mitigar los riesgos en tiempo y forma.

Gerencia de Calidad y Arquitectura de Procesos Institucional

i. La Unidad de Organización y Métodos deberá apoyar a todas las áreas del banco en la documentación de los procesos y subprocesos que describen el quehacer de cada área del banco, cuando se trate de una actualización, modificación o desarrollo de un nuevo subproceso de acuerdo con la Metodología para la definición y documentación de los Modelos de Operación, incluyendo la comunicación de la necesidad de que éstos cuenten con un análisis de riesgos.

99 MMaarrccoo MMeettooddoollóóggiiccoo

a.

Introducción

La administración de riesgos es el proceso en el que se identifican sistemáticamente, se evalúan y controlan los eventos no deseados que pueden ocasionar un cambio tecnológico considerando lo siguiente:

Tiene que haber un cambio en el entendimiento de los procesos y sistematización del análisis de dependencias y riesgos de tecnología de Información.

Continuamente se está en una nueva era de peligros, regulaciones y oportunidades.

Se requiere detectar los riesgos actuales, permitiendo conocer las amenazas y debilidades y convertirlas en oportunidades y fortalezas

El no detectar el riesgo no implica que no exista.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

b. Modelo de Administración del Riesgo Tecnológico

El Banco requiere de una metodología de identificación y evaluación del riesgo tecnológico para determinar el grado en las materializarse tomando en cuenta en su conjunto a los activos, las amenazas vulnerabilidades y los controles para así poder determinar el riesgo y ser capaces de administrarlo adecuadamente.

La metodología de Riesgo del BANADESA está basada en el estándar AS/NZS 4360:1999 Estándar Australiano (hoy ISO 31000), estándar que apoya la gestión de riesgo en general incluido el Operativo/Tecnológico.

de riesgo en general incluido el Operativo/Tecnológico. La metodología de administración de Riesgo Tecnológico

La metodología de administración de Riesgo Tecnológico del BANADESA está basada principalmente en dos marcos de referencia generalmente aplicable y aceptado: el primero de ellos es COBIT (Control Objetives for Information and Related Technology) mejor práctica aplicada en materia de control y gobernabilidad de TI emitido por ISACA (Information Systems Audit. and Control Foundation) y el segundo es ISO/IEC 27001que es el estándar para establecer, implantar, mantener y mejorar un Sistema de Gestión de Seguridad de la Información y es emitido conjuntamente por ISO(Organización Internacional por la Normalización y la IEC (International Electrotechnical Commission).

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

1º. COBIT

El uso del marco de trabajo COBIT para la administración de riesgos, se basa en el principio de proporcionar la Información que el banco requiere para lograr sus objetivos, su necesidad, su necesidad de administrar y controlar los recursos los recursos de TI y sus riesgos relacionados, usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de Información.

El modelo de referencia COBIT se encuentra estructurado en:

Requerimientos de Información

Efectividad. Se refiere a que la Información relevante sea pertinente para el proceso del negocio, así como a que su entrega sea oportuna, correcta, consistente y de manera utilizable

Eficiencia. Se refiere a la provisión de Información a través de la utilización óptima (más productiva y económica) de recursos

Confidencialidad. Se refiere a la protección de Información sensible contra divulgación no autorizada.

Integridad. Se refiere a la precisión y suficiencia de la Información, así como a su validez de acuerdo con los valores y expectativas de la organización.

Disponibilidad. Se refiere a la disponibilidad de la Información cuando ésta es requerida. También se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas.

Cumplimiento. Se refiere al ejercicio de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocio está sujeto.

Confiabilidad. Se refiere a la provisión de Información apropiada para la administración con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y cumplimiento.

Recursos de TI

Aplicaciones. Incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan Información.

Información. Son los datos en todas sus formas de entrada, procesados y generados por los sistemas de Información, en cualquier forma en que son utilizados por el negocio.

Infraestructura. Es la tecnología y las instalaciones (hardware, sistemas operativos, sistemas de administración de base de datos, redes, multimedia, etc., así como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones.

Gente. Es el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de Información. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

Procesos de TI

Dominios

Procesos

Actividades

COBIT está formado por objetivos de control, los cuales se encuentran asociados a riesgos por el hecho de apoyarse de tecnología de Información para la operación del banco.

Las actividades que buscan mitigar los riesgos se encuentran divididas en 4 grandes dominios:

Planeación y Organización (PO)

Adquisición e Implementación (AI)

Entrega y Soporte (DS)

Monitoreo (ME)

RIESGO TECNOLÓGICO

y Soporte (DS) ∑ Monitoreo (ME) RIESGO TECNOLÓGICO EVALUAR Y ADMINISTRAR EL RIESGO Tratamiento de los

EVALUAR Y ADMINISTRAR EL RIESGO

Tratamiento de los riesgos en COBIT En el proceso PO 9. -Planificar y Organizar-. Evaluar y Administrar los riesgos de TI:

Se establecen los principios que deben tenerse en cuenta para la gestión de los riesgos.

Se establece que debe crearse y mantenerse un marco adecuado de trabajo para la gestión de riesgos.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

Dicho marco de trabajo debe documentar un nivel común y acordado de riesgos TI, estrategias para mitigarlos y riesgos que se acuerden aceptar como residuales. Cualquier riesgo potencial sobre las metas u objetivos de la organización, causado por algún evento no planificado, se tiene que identificar, analizar y evaluar.

Objetivos de control detallados correspondientes al proceso PO 9 PO 9.1.- Alineación de la administración o gestión de riesgos de TI con el negocio. Se debe integrar el gobierno, la administración del riesgo y el marco del control de TI, al marco de trabajo de la administración de riesgos de la organización.

PO 9.2.- Establecimiento del contexto del riesgo. Se debe establecer el contexto en el cual el marco de trabajo de la evaluación de riesgo se aplica para garantizar los resultados apropiados.

PO 9.3.- Evaluación de eventos. Identificar aquellos eventos (amenazas y vulnerabilidades) con un impacto potencial sobre objetivos, retos u operaciones de la empresa, aspectos de negocio, regulatorios, legales, tecnológicos, de sociedad comercial, de recursos humanos y operaciones.

PO 9.4.- Evaluación de riesgos TI. Se debe evaluar de forma recurrente la posibilidad de impacto de todos los riesgos identificados, usando métodos cualitativos y cuantitativos.

PO 9.5.- Respuesta a los riesgos. Debemos identificar a los propietarios de los riesgos y

a los dueños de los procesos afectados y elaborar y mantener respuestas a los riesgos

que garanticen que los controles rentables y las medidas de seguridad mitigan y reducen

la exposición a los riesgos de forma continua.

PO 9.6.- Mantenimiento y monitoreo de un plan de acción de riesgos. Debemos asignar prioridades y planear las actividades de control a todos los niveles para implantar las respuestas a los riesgos que sean necesarias, incluyendo costos y beneficios así como la responsabilidad de la ejecución.

Es un principio generalmente aceptado que hoy en día ninguna organización puede sobrevivir (mucho menos triunfar) sin las TIC. Los sistemas de información deben:

Mantener la alineación con la estrategia de la organización.

Entregar valor.

Administrar o gestionar los riesgos.

Administrar los recursos.

Medir el rendimiento/desempeño.

Todos estos conceptos se encuentran en el gobierno de TI, según COBIT. COBIT es el acrónimo de Control Objectives for Information and related Technology.

Es un conjunto de “mejores prácticas” que persiguen optimizar la alineación estratégica y operativa de las TI con el negocio de cada organización o empresa. Las TI deben maximizar el valor que los procesos de negocio aportan a la organización.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

Otros procesos COBIT sobre gestión de los riesgos TI

En el DS5 - Asegurar la Seguridad de los Sistemas (dentro del área de procesos Entrega y Soporte (DS)), se incluyen:

1.- Gestión de la Seguridad TI. 2.- Plan de Seguridad TI. 3.- Gestión de la identidad. 4.- Gestión de la cuenta del usuario. 5.- Pruebas de seguridad, vigilancia y monitorización. 6.- Definición de Incidente de Seguridad. 7.- Protección de la Tecnología de Seguridad. 8.- Gestión de la clave criptográfica.

En el área de procesos de Mantener y Evaluar (ME) en el proceso ME4. - Suministrar Gobierno de IT existe el proceso Gestión del Riesgo.

Como vemos COBIT nos ofrece una enorme ayuda al implantar la gestión en general de las TI al servicio del negocio y en particular una excepcional ayuda al planificar y desplegar una adecuada gestión de los riesgos de TI.

2º. ISO/IEC 27001 El uso del estándar ISO (Organización Internacional por la Normalización)/IEC27001 (International Electrotechnical Commission) para la administración de los Riesgos de Seguridad de la Información reforzando la protección de los sistemas y redes de Información en base a políticas, procedimientos y acciones necesarias para afrontar tales riesgos y así afrontar tales riesgos y así garantizar la disponibilidad, confidencialidad e integridad de la Información.

La norma ISO/IEC 27001 se encuentra basado en el ciclo PDCA (Plan, Do, Check, Act):

e integridad de la Información. La norma ISO/IEC 27001 se encuentra basado en el ciclo PDCA
  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

1.- Plan (Planear) - Establecer que hacer y cómo para satisfacer la política y objetivos de seguridad de la Información 2.- Do (Hacer) – Poner en práctica lo planeado 3.- Check (Checar) - Verificar si se ha hecho lo planificado y si lo que se ha hecho es eficiente. 4.- Act (Actuar) – Establecer las acciones de cómo y que mejorar.

Así mismo la norma indica que objetivos de control se deben tener como mejor práctica en cuestión de seguridad de la Información, divididos de la siguiente forma:

Política de Seguridad

Organización de la Seguridad de la Información

Administración de Activos.

Seguridad de Recursos Humanos

Seguridad física y ambiental.

Administración de comunicaciones y operaciones.

Control de acceso.

Adquisición, mantenimiento y desarrollo de sistemas de Información.

Administración de los incidentes de seguridad de la Información.

Administración de la continuidad de negocio.

Cumplimiento.

i. Definición del alcance

El primer paso es definir el alcance para determinar los límites de la evaluación, los recursos y la Información existente.

La definición del alcance del análisis de riesgos se realiza considerando:

Los objetivos estratégicos del banco y sus políticas.

Los procesos de negocio Institucionales.

Las funciones y estructura organizacional.

Requerimientos legales, contractuales y normativos.

La política de seguridad institucional.

El enfoque general institucional para la valoración del riesgo.

Los activos de Información críticos.

Recursos disponibles (financieros, humanos).

ii. Criterios de evaluación, impacto y aceptación de riesgos

Previo a la Identificación es necesario establecer los criterios de evaluación, criterios de impacto y de aceptación del riesgo. Dichos criterios serán establecidos considerando lo siguiente:

a. Criterios de evaluación:

i. La criticidad del activo de Información involucrado.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

ii. Requerimientos legales, regulatorios y contractuales.

iii. Importancia en la operación y en el negocio de la disponibilidad, confidencialidad y disponibilidad. iv. Expectativas y percepciones de las partes interesadas y consecuencias negativas sobre la imagen y reputación.

b. Criterios de impacto:

i. Niveles de clasificación de los activos de Información impactados.(magnitud del impacto)

ii. Brechas en la seguridad de la Información (impacto a la confidencialidad,

integridad y disponibilidad).

iii. Problemas en la operación.

iv. Pérdida del valor del negocio o financieras.

v. Alteración de planes o fechas de entrega.

vi. Brechas legales, regulatorias o requerimientos contractuales.

c. Criterio de aceptación del riesgo:

i. Criterios del negocio.

ii. Aspectos legales, regulatorios y legales.

iii. Operaciones.

iv. Tecnología.

v. Finanzas.

vi. Factores Sociales.

iii. Identificación de riesgos

El levantamiento de riesgos se basa en la aplicación de cuestionarios y entrevistas, revisión de documentos del banco, reportes de auditoría o análisis previos.

Así mismo es importante remarcar que al utilizar como marcos de referencia COBIT e ISO/IEC 27001 también se cubrirán los riesgos tecnológicos relacionados en sus objetivos de control que sean aplicables al banco.

Identificar dentro de la gestión de Riesgo Tecnológico, consiste en ubicar los activos a evaluar y determinar sus amenazas y vulnerabilidades.

Así al tener identificados los activos, amenazas y vulnerabilidades llegamos a lo que es un riesgo tecnológico el cual se define como el potencial de que dada una amenaza, explote una vulnerabilidad en un activo o grupo de activos para causar pérdidas o daños a esos activos.

Riesgo = Activo * Amenaza * Vulnerabilidad

La identificación de riesgos se apoya del formato “RT Identificación de Riesgos” (Ver Anexo C) bajo el cual se utilizará para documentar las exposiciones a las cuales se está expuesto.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

1. Identificación de Activos

Se denominan activos, a los recursos de Tecnología de Información necesarios para que el banco funcione correctamente. El activo esencial es la Información que maneja el sistema, y alrededor de estos datos se pueden identificar otros activos relevantes como:

Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos.

Las aplicaciones informáticas (Software) que permiten manejar los datos.

Los equipos informáticos (Hardware) y que permiten hospedar datos, aplicaciones y servicios.

Interfases entre los sistemas.

Dispositivos de almacenamiento de datos.

Las redes de comunicaciones que permiten intercambiar datos.

Las instalaciones donde residen los equipos informáticos y de comunicaciones.

Las

elementos

personas

que

explotan

u

operan

todos

los

anteriormente citados.

Los activos identificados deben ser documentados en un inventario, para lo cual el registro es apoyado por el “Inventario de activos” (Ver Anexo D).

2. Identificación de Amenazas

El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo y obtener un extracto de las amenazas potenciales, las cuales son aplicables para la tecnología que estamos evaluando.

Una amenaza, es un agente o circunstancia capaz de explotar accidentalmente o intencionalmente una vulnerabilidad. No todas las amenazas afectan a todos los activos, sin embargo existe cierta relación entre el tipo de activo y lo que le podría ocurrir.

Es importante considerar todas aquellas fuentes de amenaza que pueden causar daño tecnológico, como pueden ser:

Naturales: Inundación, terremotos, tornados, huracanes, derrumbes, tormentas eléctricas, etc.

Humanas: Acontecimientos causados por seres humanos sin intención (entrada incorrecta de datos) o acciones deliberadas (ataques contra la seguridad, infección de virus, acceso no autorizado a Información confidencial)

Ambientales: Contaminación, apagones, entre otros.

La motivación y los recursos para realizar un ataque hacen a los seres humanos potencialmente peligrosos y existen diferentes tipos como son:

Criminales computacionales

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

Espionaje industrial

Personas que pertenecen a la organización

Las amenazas identificadas deben ser documentadas en un catálogo Institucional de amenazas tecnológicas, para lo cual el registro es apoyado por el “catálogo de amenazas” (Ver Anexo E).

3. Identificación de vulnerabilidades

Consiste en determinar las vulnerabilidades que pueden ser explotadas por las amenazas

y recopilar la Información necesaria que permita la identificación de las vulnerabilidades que son aplicables para la tecnología que estamos evaluando.

Una vulnerabilidad es un defecto o una debilidad en procedimientos de seguridad, deficiencia en diseño o implementación de controles internos que podrían ser explotados

y que resulte en una apertura de la seguridad.

La identificación de vulnerabilidades puede ser principalmente:

Desarrollar una lista de requerimientos de seguridad

Realizar pruebas de seguridad de los sistemas

Preguntarse qué puede pasar si el evento ocurre

Las vulnerabilidades identificadas deben ser documentados en un catálogo Institucional de vulnerabilidades tecnológicas, para lo cual el registro es apoyado por el “RT catálogo de vulnerabilidades” (Ver Anexo F).

iv. Evaluación de riesgos

La evaluación de riesgos se basa en la medición del impacto y la frecuencia que se determinan en función de escenarios o criterios de categorización; es decir, clasificar el riesgo según su grado de afectación y estimación de la periodicidad de ocurrencia dentro de un proceso para un área. Es una medición subjetiva dado a que se especifica con base

a la experiencia y sensibilidad que tenga el responsable del proceso en su área por lo que no es un método totalmente acertado.

Para trabajar bajo este enfoque cualitativo, se toma como herramienta la autoevaluación que consiste en identificar los riesgos a través del mapeo de procesos, evaluación de control existente, determinación de puntos de mejora que se debe realizar y definición de Indicadores.

La finalidad del enfoque cualitativo, permite detectar fortalezas y debilidades del ambiente tecnológico y sus potenciales riesgos a los que el banco está expuesto

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

La evaluación de riesgos se apoya del formato “RT Análisis de Riesgos” (Ver Anexo G) bajo el cual se utilizará para documentar los valores obtenidos en la medición de los riesgos a los cuales se está expuesto.

4. Determinación de frecuencia

Para determinar la probabilidad de que una vulnerabilidad potencial que puede ser ejercida, se tienen que tomar en cuenta los factores como la motivación o la capacidad de la fuente de la amenaza, así como, la naturaleza de la vulnerabilidad.

La probabilidad de ocurrencia o frecuencia en que las fuentes de amenaza se presenten y exploten una vulnerabilidad potencial puede ser clasificada como:

Clasificación

Frecuencia

Descripción

   

Indica que los eventos derivados de un riesgo tecnológico se han presentado o se pueden presentar

5

Esperado

con un comportamiento muy a menudo durante un tiempo determinado, es decir, que la incidencia de los riesgos es muy común y constante.

   

Indica que los riesgos identificados se han presentado

4

Muy Probable

o se puede presentar de manera común dentro de un proceso tecnológico.

   

Indica que la incidencia del riesgo se ha

3

Probable

presentado o se puede presentar con una repetición frecuente durante un tiempo determinado.

   

Indica que los riesgos identificados se han

2

Poco

Probable

presentado o se pueden presentar de forma ocasional durante un tiempo determinado.

1

Remoto

La incidencia de riesgos es inusual que se presente o incluso nunca se había presentado una situación similar.

5. Determinación de Impacto

Se denomina impacto a la medida del daño sobre el activo derivado de la materialización de una amenaza.

Para determinar el impacto se toman en cuenta diferentes factores, en los cuales la tecnología de Información puede ser afectada como:

Pérdida de confidencialidad: se refiere a la falta de aseguramiento de que la Información es accesible sólo para aquellos autorizados a tener acceso.

Pérdida de integridad: se refiere a la falta mantenimiento de la exactitud y completitud de la Información y sus métodos de proceso.

Pérdida de disponibilidad: se refiere a la falta de acceso y utilización de la Información y los sistemas cuando se requieran.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

El impacto causado por una acción acertada de una amenaza puede ser clasificada de la siguiente manera:

Clasificación

Impacto

Descripción

   

Riesgos extremadamente severos que conlleva a una pérdida altamente costosa que puede

5

Critico

llevar a la pérdida de ingresos o afectar totalmente el patrimonio del banco por eventos que se presentaron o se pueden presentar en algún momento dado.

   

Fuerte pérdida por eventos derivados de un

4

Alto

riesgo severo que puede llegar a provocar interrupción de una parte de las operaciones del banco.

   

Pérdida derivada de una posible contingencia

3

Moderado

produciendo inconvenientes significativos en el banco.

   

Pérdida menor derivada de riesgos que pueden

2

Bajo

llegar a provocar algún inconveniente en el banco.

   

Pérdida mínima derivada de riesgos que no afectan

1

Remoto

la productividad del banco o pueden producir o generaron inconvenientes menores.

6. Mapa de riesgos tecnológicos

De acuerdo a la categorización del riesgo por su impacto y frecuencia, se pueden graficar los riesgos para identificar aquellos que son inherentes del banco al usar tecnología.

El mapa de riesgos es uno de los medios que permiten identificar factores de riesgos y cuantificación de frecuencias e impactos (cualitativamente) a través de un consenso de grupos de trabajo, entrevistas, cuestionarios y evaluaciones independientes, aprovechando la estadística disponible por incidencias o de lo contrario la experiencia de los responsables de cada área sustantiva o de apoyo y soporte, se jerarquizan los riesgos del banco, determinando un punto de partida para desarrollar un marco completo para la administración del riesgo tecnológico. Cada cuadrante localizado en la gráfica permite visualizar el nivel de exposición que se tiene por cada una de los riesgos.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 El riesgo de acuerdo a su frecuencia e impacto se clasifica

El riesgo de acuerdo a su frecuencia e impacto se clasifica en el mapa de riegos como:

Clasificación

Frecuencia

Descripción

   

Indica que el riesgo tiene una gran probabilidad de

5

Extremo

ocurrencia y un impacto crítico para el banco en caso de materializarse.

   

Indica que el riesgo tiene una alta probabilidad de

4

Alto

ocurrencia y un fuerte impacto para la institución en caso de materializarse.

   

Indica que el riesgo tiene una probabilidad de

3

Medio

ocurrencia media e impacto significativo para la institución en caso de materializarse.

   

Indica que el riesgo tiene cierta probabilidad de

2

Moderado

ocurrencia e impacto considerable para la institución en caso de materializarse.

   

Indica que el riesgo tiene una mínima probabilidad de

1

Bajo

ocurrencia e impacto menor para la institución en caso de materializarse.

Al clasificar los riesgos a los que está expuesto el banco por frecuencia e impacto se tiene como resultado el mapa de riesgos con un listado de riesgos absolutos bajo un enfoque cualitativo.

7. Análisis de controles

Los controles son las medidas utilizadas para prevenir o reducir el impacto de eventos no deseados, los métodos de control pueden ser técnicos (hardware, software) o no técnicos (políticas de seguridad, procedimientos administrativos y operacionales, seguridad física).

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

Los controles por su naturaleza pueden ser clasificados en:

Preventivo: son los que actúan sobre la causa de los riesgos con el fin de disminuir su probabilidad de ocurrencia, y constituyen la primera línea de defensa. También actúan para reducir la acción de los agentes generadores de riesgos

Defectivo: son los que se diseñan para descubrir un evento, irregularidad o resultado no previsto, alertan sobre la presencia de riesgos y permiten tomar medidas inmediatas.

Correctivo: son los que permiten el restablecimiento de la actividad después de ser detectado el evento no deseable y la modificación de las acciones que propiciaron su ocurrencia.

Manual: son los ejecutados por personas.

Automatizado: son los ejecutados por sistemas de Información.

Los controles deben ser suficientes, comprensibles, eficaces y oportunos, para esto, es preciso conocer la naturaleza de los riesgos y su frecuencia, así como las consecuencias que implican para que las actividades y los procesos mantengan el rumbo del banco.

Los controles serán establecidos y alineados en base a los objetivos de control aplicables para cada riesgo justificando en cada uno de los casos su selección o exclusión de acuerdo a los 4 dominios de COBIT y los controles correspondientes a los 11 dominios señalados en el estándar ISO/IEC 27001. El análisis de la Aplicabilidad de los controles

se encuentra apoyado por el documento “RT Aplicabilidad de Controles” (Ver Anexo H).

Posteriormente para los controles aplicables se hace una ponderación con el fin de determinar cuán eficaces y maduros son los controles establecidos para mitigar los riesgos identificados, de la siguiente manera:

Ponderación

Descripción

 

Los procedimientos y medidas de control están formalizados y

5

siempre son utilizados, aplicados, medidos y monitoreados. Además de ser optimizados periódicamente.

4

Los procedimientos y medidas de control están formalizados y siempre son utilizados, aplicados, medidos y monitoreados.

3

Los procedimientos y medidas de control están formalizados y siempre son utilizados y aplicados

2

Los procedimientos o medidas de control no están formalizados y no siempre son utilizados o aplicados.

1

Se tiene conciencia sobre la necesidad de contar con procedimientos o medidas de control.

0

No se cuenta con políticas o procedimientos.

8. Determinación del riesgo residual y niveles de tolerancia.

Para determinar el riesgo residual se hace la ponderación de riesgos y controles en base

a los criterios establecidos anteriormente. El riesgo residual es el resultado de la operación:

Riesgo residual = Riesgo Absoluto – Controles.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

En base al resultado del riesgo residual se establecen los niveles de tolerancia de los riesgos, clasificándolos como:

“Aceptable” cuando el riesgo residual es menor o igual a 1.

“Tolerable” cuando el riesgo residual es mayor a 1 y menor a 3.

“Por arriba de la tolerancia” cuando el resultado es mayor o igual a 3.

De acuerdo a los niveles de tolerancia derivados del riesgo residual se clasifican los riesgos para los cuales se necesitan medidas correctivas, fortalecimiento o monitoreo de controles de la siguiente forma:

Nivel de Tolerancia

Descripción

Por arriba de la tolerancia

Hay una fuerte necesidad de medidas correctivas. Un plan de acción correctivo se debe establecer cuanto antes.

Tolerable

Las acciones correctivas son necesarias y un plan debe ser establecido para incorporar estas acciones dentro de un período del tiempo razonable.

Aceptable

Pueden existir oportunidades de mejora en la implementación de los controles y requieren monitoreo.

El registro del cálculo del riesgo residual y los niveles de tolerancia es apoyado por el documento “RT Riesgo Residual y Niveles de Tolerancia” (Ver Anexo I)

v. Priorización y tratamiento del riesgo

El objetivo de esta etapa es seleccionar aquellas exposiciones relevantes a los que se enfrenta el banco determinando cuales deben ser abordados, basados en la premisa de que el tiempo y los recursos no son suficientes para poder hacer frente a todos los riesgos, para lo cual el enfoque debe de perseguir la mitigación de los riesgos más grandes a un costo óptimo.

Para una adecuada jerarquización se debe de tomar como base el resultado del riesgo residual del banco y su nivel de tolerancia (Aceptable, Tolerable y Por arriba de la tolerancia).

En base a eso el área de Riesgos valora los riesgos e informa a la Unidad de Control Interno para que se determine el tratamiento que se le debe dar a cada uno en particular como son:

a) Reducir el riesgo

b) Retener el riesgo

c) Evadir el riesgo

d) Transferir el riesgo

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

vi. Plan de Tratamiento de Riesgos

La mitigación del riesgo consiste en establecer las medidas correctivas inmediatas para

proteger los intereses de BANADESA en materia tecnológica.

A través de la sinergia definida, el área de Riesgo Operativo informa a la Unidad de Control Interno de la exposición de riesgo, para que de manera conjunta se haga un análisis costo-beneficio y recomiende al área usuaria responsable la implementación los controles necesarios para su mitigación basándose en los criterios de aceptación de riesgo previamente definidos.

vii. Monitoreo

La última etapa dentro de la administración de riesgos, es el diseño, implementación y

monitoreo de Indicadores como un medio de predicción y seguimiento para definir niveles

de ocurrencia de un riesgo.

Con los Indicadores se busca medir la efectividad de las actividades de los controles establecidos bajo las características de fácil medición, rápido acceso y alta correlación con el riesgo, reflejando la propia incidencia del riesgo.

Los Indicadores estarán alineados a los marcos de referencia de COBIT e ISO/IEC 27001, existiendo diferentes tipos de Indicadores como son:

Indicadores de desempeño

Indicadores de procesos

Indicadores de metas de TI

Así mismo los Indicadores establecidos deben contar con niveles de tolerancia definidos para detectar cualquier variación en la efectividad de los controles establecidos. Los

niveles de tolerancia serán establecidos particularmente para cada Indicador o conjunto

de

Indicadores relacionados, clasificándolos como aceptable, tolerable e intolerable.

1100

PPrroocceeddiimmiieennttoo ddee GGeessttiióónn ddeell RRiieessggoo TTeeccnnoollóóggiiccoo

La

administración de riesgos es un proceso definido y repetible bajo el cual se desarrollan

actividades en diferentes etapas permitiendo establecer un análisis de riesgos para activos y procesos determinados bajo el enfoque tecnológico para que se concreten las respuestas a éstos para su mitigación. Asimismo se busca establecer o mejorar los controles, así como, la definición de Indicadores para su monitoreo de acuerdo a las

mejores prácticas de los marcos de referencia COBIT 4.1 e ISO/IEC 27001.

A Continuación

Tecnológico:

se

muestra

el

procedimiento

cíclico

de

Administración

de Riesgo

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

1. La Unidad ROp/Administrador de Seguridad Informática y Riesgo Tecnológico

determina los procesos y activos a evaluar de acuerdo el manual normativo de riesgo tecnológico.

2. Una vez determinados los activos relacionados a los procesos a evaluar, la Unidad

ROp / Administrador de Seguridad Informática y Riesgo Tecnológico en conjunto con los dueños de los procesos a nivel medio (principalmente gerentes), realizan el levantamiento de los riesgos mediante cuestionarios o entrevistas identificando amenazas y vulnerabilidades tecnológicas estableciendo las causas, efectos y clasificación del riesgo.

3. Una vez detallada la matriz de riesgos, los dueños de los procesos evalúan los riesgos

que afectan la operación de Tecnología de Información bajo un enfoque cualitativo de acuerdo a los parámetros establecidos de frecuencia e impacto.

4. La Unidad ROp/ Administrador de Seguridad Informática y Riesgo Tecnológico realiza

la alineación de cada uno de los riesgos identificados con los controles relacionados según COBIT e ISO/IEC 27001 y se evalúa el grado de implementación.

5. La Unidad ROp/ Administrador de Seguridad Informática y Riesgo Tecnológico, con

base a los resultados de la evaluación del riesgo inherente y el grado de implementación de los controles relacionados, obtiene los resultados del riesgo residual que sirve como base para poder priorizar los riesgos y de esta forma el Dueño de Proceso podrá desarrollar los planes de tratamiento del riesgo.

6. Los dueños del proceso implementan los planes de tratamiento del riesgo para

establecer los controles necesarios para mitigar el riesgo, considerando las implicaciones en recursos y tiempo para poderlos efectuar.

7. La Unidad ROp/ Administrador de Seguridad Informática y Riesgo Tecnológico, define

los Indicadores relacionados con algunos riesgos que permitan monitorear la exposición que tiene el banco en dicha materia.

8. La Unidad ROp/ Administrador de Seguridad Informática y Riesgo Tecnológico registra

en la base de datos las exposiciones e incidencias relacionadas con riesgo tecnológico.

9. La Unidad ROp/ Administrador de Seguridad Informática y Riesgo Tecnológico

documenta los resultados obtenidos de la evaluación del riesgo tecnológico incorporando las incidencias ocurridas así como el comportamiento de los Indicadores establecidos

para comunicarlo a la Gerencia de Riesgos y las diferentes dependencias.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
de Administración del Riesgo Tecnológico MARZO/2012 MP-RT-2012 ELABORADO VERSIÓN FEBR/2012 1.0 31
  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

Uno de los principales retos que enfrenta el banco para la correcta ejecución del procedimiento del modelo de gestión de riesgo tecnológico, está en lograr implantar una verdadera cultura de riesgo operacional y tecnológico, enfocada a la concientización en la importancia del riesgo, así como incentivar a cada una de las áreas del BANDESA a comunicar sus propios errores.

El principal factor de éxito para tener una correcta administración del riesgo tecnológico, es trabajar bajo una cultura de administración, estableciendo conjuntamente valores, actitudes y comportamientos tanto individuales como corporativos creando un estilo y compromiso firme ante un enfoque de creación de valor a través del riesgo tecnológico.

Se debe buscar la vinculación de los objetivos particulares de cada área, asignando responsabilidades de gestión del riesgo y juntar esfuerzos para el control y mitigación con el fin de incentivar hacia una mejor interiorización y difusión de conceptos de administración de riesgos y de Control Interno.

Cabe señalar que en caso de contratar a un despacho externo para la ejecución de alguna de las actividades del modelo de Administración de Riesgo Tecnológico, se deberá cumplir como mínimo con esta metodología.

1111 MMaarrccoo TTeeccnnoollóóggiiccoo

Un requisito esencial y clave para el funcionamiento de un método aceptable para la administración del riesgo tecnológico, es el desarrollo y consolidación de fuentes de Información consistentes, precisas, integras y oportunas, a través de un seguimiento de datos pertinente, puntal y veraz.

Este se propone llevar a cabo mediante el registro de la Información de las exposiciones e incidencias, así como el seguimiento de los controles establecidos para el tratamiento y evolución de los riesgos de la siguiente manera:

Registro de Exposiciones

La principal fuente de Información sobre las exposiciones de riesgo tecnológico se obtendrá durante la ejecución cíclica de la presente metodología, que deriva en el Mapa de Riesgos Tecnológicos del Banco. Así mismo durante la revisión de los subprocesos del Banco, todas aquellas exposiciones derivadas por este tipo de riesgo.

La Información de las exposiciones de riesgo deberá de ser:

Proceso

Subproceso

Aplicación o activo

Identificación de amenazas, vulnerabilidades y riesgos de la Información

Clasificación

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

o

Seguridad Informática Integridad/Disponibilidad / Confidencialidad

o

Telecomunicaciones

o

Infraestructura Tecnológica

o Procesos Operativos · Evaluación

o

Probabilidad

o

Impacto

Indicador

Nivel de Tolerancia

Control relacionado: COBIT o ISO /IEC 27001

Registro de Incidencias.

La principal fuente de Información para el registro de Incidencias por riesgo tecnológico, es la generada por los dueños de los procesos sobre incidentes derivados de la materialización de un riesgo tecnológico.

La Información de las Incidencias de riesgo deberá de ser:

Número de Incidencia

Prioridad

o

Menor

o

Bajo

o

Moderado

o

Alto

o

Crítico

Impacto

o

Menor

o

Bajo

o

Moderado

o

Alto

o

Crítico

Frecuencia

o

Remoto

o

Poco Probable

o

Probable

o

Muy Probable

o

Esperado

Descripción

Proceso

Responsable

Activo afectado

Riesgo Relacionado

Vulnerabilidad

Amenaza

Nivel de Aceptación

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

Fecha de registro

Fecha de atención

Fecha de resolución

Fecha de cierre

Control relacionado: COBIT o ISO/IEC 27001

Actividades derivadas

Para el registro de las Incidencias se tendrá el apoyo del documento “RT Layout de Incidencias” (Ver Anexo J).

Seguimiento de Controles.

La fuente principal para el seguimiento a los controles se obtiene en la ejecución cíclica de la presente metodología al obteniendo la madurez y eficacia de los controles, el riesgo residual y comparándolo con los niveles de tolerancia establecidos.

El seguimiento adecuado de los controles se apoyará de la comparación del documento “RT Riesgo Residual y Niveles de Tolerancia” (Ver Anexo I)

Seguimiento de Indicadores.

La fuente principal para el seguimiento de los Indicadores de los controles relacionados a los riesgos es la generada periódicamente por los dueños de los procesos en donde dependiendo del Indicador o conjunto de Indicadores se requiere de Información precisa, oportuna y medible.

El seguimiento adecuado de los Indicadores de riesgo se apoyará del documento “RT Indicadores” (Ver Anexo K)

Los reportes periódicos de Riesgo Tecnológico serán incluidos dentro del Reporte de Riesgo Operacional, dónde se revelará el seguimiento de las exposiciones, incidencias, e Indicadores de riesgo.

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

1122 AAnneexxooss

a. Anexo A.

Nombre del Puesto

Gerencia de Riesgo

Objetivo

Dirigir, establecer, planear, administrar, coordinar, establecer, asegurar y evaluar la gestión de los riesgos no discrecionales (operativo, legal y tecnológico) inherentes a las operaciones del banco a través del diseño e implementación de estrategias de gestión, metodologías, técnicas, modelos estadísticos de medición, sistemas de Información y bases de datos necesarios para dar cumplimiento al marco regulatorio de la CNBS a fin de proteger la viabilidad financiera del Banco.

Responsabilidades

1.- Establecer, coordinar y dirigir las acciones, políticas, lineamientos o procedimientos que permitan permear una cultura y filosofía de riesgos no discrecionales (operacionales, legales, tecnológicos y estratégicos) en el banco a través de diversas estrategias de comunicación, capacitación o sinergias con otras área para crear conciencia en cada uno de los integrantes de la estructura organizacional proporcionando disciplina y organización con la finalidad de fomentar un análisis estratégico donde la gestión de riesgos se convierta en una ventaja competitiva para el banco. 2.- Establecer y dirigir las estrategias apegadas a la administración integral del riesgo no discrecional (operacionales, legales, tecnológicos y estratégicos) tanto cualitativas como cuantitativas, a través de la definición de metodologías de identificación, evaluación, determinación del apetito de riesgo así como los niveles de tolerancia autorizados por el H. Consejo de

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

Administración, control y monitoreo con la finalidad de apoyar en la toma de decisiones oportuna en el Banco de acuerdo a las mejores prácticas internacionales. 3.- Determinar y evaluar los eventos de riesgo potenciales que, puedan afectar al BANADESA en la operación así como en la implantación de la estrategia impidiendo el logro de los objetivos estratégicos del banco a través de la definición de técnicas cuantitativas y metodologías eficientes y automatizadas para que se puedan tomar las medidas necesarias para poder revertir el posible impacto y asegurar la viabilidad financiera del banco. 4.- Determinar, dirigir, coordinar y establecer las estrategias de evaluación tanto cualitativo como cuantitativo bajo estándares de mejores prácticas para la gestión integral del Riesgo no discrecionales (operacionales, legales, tecnológicos y estratégicos) con cada una de las áreas del banco relacionadas

a

través del seguimiento del Mapa de

Riesgos, con la finalidad de que apoyen

a

la toma de decisiones oportuna en el

BANADESA y comunicar los resultados correspondientes al Comité de Riesgos y al Comité de Auditoría y proponer respuestas al riesgo 5.- Determinar, establecer y propiciar que los riesgos expuestos en los procesos identificados por las diferentes áreas del banco, se implementen las acciones correspondientes para responder al riesgo con la finalidad de evaluar su efecto sobre la probabilidad e impacto, así como los costos beneficios para poder situar el riesgo residual dentro de las tolerancias al riesgo establecidas por el H. Consejo de Administración y asegurar la viabilidad financiera del banco. 6.- Coordinar, determinar, delegar y establecer la distribución de Información

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

a

través de los Estados Financieros,

reportes a la Asamblea, a diversos Comités y requerimientos especiales que divulgue la situación del riesgo no discrecional (operacional, legal, tecnológico y estratégicos) en el BANADESA con la finalidad de facilitar la gestión de los riesgos y la toma de decisiones. 7.- Determinar, dirigir, coordinar y conducir el desarrollo e implementación de la estrategia dirigida a la ejecución de la administración de riesgos no discrecionales (operacionales, legales, tecnológicos y estratégicos) enfocados hacia un marco estándar internacional como COBIT, COSO y BASILEA con la finalidad de dar cumplimiento a las disposiciones regulatorias de la CNBS y mantener a la vanguardia al banco en la

gestión de este tipo de riesgos permitiendo protegerlo de cualquier exposición y evitar poner en riesgo el patrimonio del banco.

Nombre del Puesto

Unidad de Administración del Riesgo Operativo

Objetivo

Coordinar, desarrollar, asegurar, propiciar las actividades necesarias para identificar, evaluar, controlar e informar los diferentes riesgos a los que se encuentra expuesto el banco en materia

de

administración de riesgos no

discrecionales y riesgos estratégicos, mediante el desarrollo e

instrumentación de los sistemas de gestión y modelos cuantitativos y

cualitativos necesarios para el seguimiento y control de estos riesgos y conforme a los procesos institucionales y las regulaciones externas a fin de contar con los elementos necesarios que permita a las áreas, a la Presidencia Ejecutiva, al Comité de Riesgos, Consejo

de

Administración tomar las decisiones

que correspondan así como proteger la

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

 

viabilidad financiera del banco.

Responsabilidades

1.

Administrar, comunicar, establecer,

evaluar los riesgos no discrecionales a los que están expuestos los diferentes

procesos de las áreas del Banco con la finalidad de controlar, comunicar y asegurar que se implementen las acciones necesarias de respuesta al riesgo para evitar pérdidas económicas

al banco y pongan en riesgo su viabilidad financiera.

2.

Asesorar, propiciar, recomendar y

aprobar que las políticas, procedimientos, lineamientos y manuales

publicados internamente en BANADESA no tengan inherentes riesgos no

discrecionales con la finalidad de que se establezcan las acciones necesarias para mitigar y evitar pérdidas económicas.

3.

Coordinar, verificar, controlar, dictar y

asegurar mediante políticas la Información registrada por eventos de riesgos no discrecionales sea oportuna, veraz y consistente para la adecuada creación, explotación y aplicación de las

bases de datos que se emplean para el cálculo de pérdida esperada e inesperada necesaria para proteger cualquier desviación y ponga en riesgo la viabilidad financiera del banco.

4.

Diseñar, determinar y establecer las

estrategias de evaluación tanto cualitativa como cuantitativa bajo estándares de mejores prácticas para la gestión integral del Riesgo no

discrecionales (operacionales y legal) con cada una de las áreas del Banco relacionadas a través del seguimiento del Mapa de Riesgos que apoyen a la toma de decisiones oportuna en el BANADESA. Así mismo, comunicar los resultados correspondientes al Comité de Riesgos y al Comité de Auditoría y proponer respuestas al riesgo.

5.

Establecer, coordinar, proporcionar y

comunicar Información de los riesgos no

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

discrecionales (operacional, legal, tecnológico y

estratégicos) y sus niveles de tolerancia

a

través de la extracción y

procesamiento de Información de diversas bases de datos a fin de presentar a la Presidencia Ejecutiva, Comité de Auditoría y Comité de Riesgos informes con los resultados que muestren el estado que guarda el banco en este tipo de riesgos que orienten la toma de decisiones. 6. Planear, coordinar, desarrollar, asesorar y evaluar cada una de las actividades necesarias para llevar a cabo la actualización del Mapa de Riesgo Institucional necesario para detectar aquellos riesgos que pongan en riesgo la estrategia y objetivos del banco y de esta forma se establezcan las respuestas al

riesgo necesarias para controlarlas.

Nombre del Puesto

Administrador de Seguridad Informática y Riesgo Tecnológico

Objetivo

Coordinar y asegurar adecuadamente la

administración del riesgo tecnológico en el BANADESA a través de coadyuvar

con

la SG Innovación y Calidad, Control

Interno y Auditoría Interna en el proceso de identificación, evaluación, control y mitigación en los diversos riesgos inherentes a los sistemas informáticos institucionales. Así mismo participar con las áreas involucradas en determinar los lineamientos, políticas y procedimientos necesarios para administrar el Riesgo Tecnológico de acuerdo a las disposiciones de la CNBS y las mejores

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

 

prácticas con la finalidad de prever posibles fallas o problemas que traigan consigo pérdidas económicas y reputacionales desvirtuando la viabilidad financiera del banco.

Responsabilidades

1.

Diseñar, desarrollar e implementar el

manual normativo que contribuya en la administración integral del riesgo tecnológico que a través de la definición

de políticas, lineamientos, procedimientos y óptimos métodos de evaluación del riesgo permitan una efectiva organización entre las diversas áreas involucradas para cumplir con las disposiciones que enmarca la CNBS y proteger el patrimonio institucional.

2.

Mantener actualizada las bases de

datos por eventos de riesgos tecnológicos para la medición de reservas necesarias y capital económico

requerido para hacer frente a las

contingencias presentadas dentro del banco y salvaguardar la viabilidad financiera del banco.

3.

Evaluar y determinar la vulnerabilidad

expuesta que puedan generar riesgos que perjudiquen la disponibilidad de la Información en el normal desarrollo de las operaciones del banco a través del establecimiento de medios o sistemas de Información que alerten al administrador sobre nuevas exposiciones de pérdida con base a la Información generada por la Organización y Métodos y otros órganos revisores con el fin de proteger los recursos informáticos en el hardware,

software, aplicaciones, seguridad, redes, medios de almacenamiento y recuperación de Información por fallas en procedimientos, capacidades inadecuadas, insuficiencias de los controles instalados, entre otros.

4.

Recomendar mecanismos correctivos

y preventivos para la mitigación de los riesgos tecnológicos identificados con el fin de establecer bases adecuadas para

una correcta implementación y

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

funcionamiento de los controles internos en el ambiente tecnológico. 5. Asegurar la documentación de políticas y procedimientos donde certifiquen el nivel de calidad de servicio, seguridad e integridad de la Información, los mecanismos que midan los niveles de disponibilidad y tiempos de respuesta que garanticen la adecuada ejecución de las operaciones y servicios así como las medidas de control que aseguren la confiabilidad en la generación, almacenamiento , transmisión y recepción de las claves de identificación y acceso, garantía en la protección, seguridad y confidencialidad de la Información, respaldo y recuperación de la Información que se genere respecto a cada una de las operaciones del banco emitidos por las áreas responsables para sustentar el patrimonio del banco y dar cumplimiento

las disposiciones en materia de riesgo tecnológico emitidas por la CNBS.

a

6.

Establecer y monitorear los niveles de

tolerancia de exposición al riesgo tecnológico con el fin de administrar el

riesgo residual o aceptable que no afecte

ponga en riesgo la viabilidad financiera del banco.

o

7.

Comunicar al Comité de Riesgos el

estado que guarda el banco en materia de riesgo tecnológico de acuerdo a cada uno de los sistemas de Información administrados en cada una de las dependencias así como de los diversos procesos inherentes de acuerdo a los niveles de tolerancia autorizados con el fin de una toma de decisión apropiada para la protección del patrimonio del banco.

8.

Contribuir en el análisis de impacto de

procesos y funciones críticas del negocio

a

través de la aplicación de métodos de

valuación de impactos cualitativos y cuantitativos con la finalidad de priorizar

los requerimientos de disponibilidad y

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

recuperación de procesos para la definición del Plan de Continuidad de Negocio y del Plan

recuperación de procesos para la definición del Plan de Continuidad de Negocio y del Plan de Recuperación de Desastres en el BANADESA de acuerdo a las mejores prácticas internacionales y las disposiciones regulatorias.

b. Anexo B.

A través de la Resolución 1301/22-11-2005 “NORMAS PARA REGULAR LA

ADMINISTRACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN Y COMUNICACIONES EN LAS INSTITUCIONES DEL SISTEMA FINANCIERO”, en el cumplimiento a lo establecido en los artículos 15, 16, 19, 21, 26, 27, 28, 31, 33, 34, 44, 46 al 64, 66, 67, 72 y

74, relativos a la administración de riesgos e implementación de un ambiente de control adecuado para las tecnologías de la información de la Comisión Nacional de Bancos y Seguros, las instituciones deberán como mínimo desarrollar las siguientes funciones de la administración del riesgo tecnológico:

1. Evaluar la vulnerabilidad en el Hardware, Software, sistemas, aplicaciones, seguridad,

recuperación de Información y redes, por errores en el procesamiento u operativos, fallas

en procesamientos, capacidades inadecuadas e insuficientes de los controles instalados,

entre otros.

2. Considerar en la implementación de controles internos, cuando menos en los siguientes

aspectos:

i. Mantener políticas y procedimientos que aseguren en todo momento el nivel de calidad

de servicio y la seguridad e integridad de la Información; lo anterior con especial énfasis

cuando el Banco contrate la prestación de servicios por parte de proveedores externos para el procesamiento y almacenamiento de dicha Información.

ii. Asegurar que cada operación o actividad realizada por los usuarios deje constancia electrónica que conforme registros de auditoría.

iii. Implementar mecanismos que midan y aseguren niveles de disponibilidad y tiempos de respuesta, que garanticen la adecuada ejecución de las operaciones y servicios realizados por el Banco.

3. En caso de mantener canales de distribución para operaciones bancarias con clientes

realizadas a través de la red electrónica mundial denominada Internet, cajeros automáticos, banca electrónica, sucursales, entre otros, deberán en lo conducente:

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

i. Establecer medidas y controles necesarios que permitan asegurar confidencialidad en la generación, almacenamiento, transmisión y recepción de las claves de identificación y acceso para los usuarios.

ii. Implementar medidas de control que garanticen la protección, seguridad y

confidencialidad de la Información generada por la realización de operaciones bancarias a través de cualquier medio tecnológico.

iii. Contar con esquemas de control y políticas de operación, automatización y acceso a

los sistemas, bases de datos y aplicaciones implementadas para la realización de

operaciones bancarias a través de cualquier medio tecnológico.

iv. Incorporar los medios adecuados para respaldar y, en su caso, recuperar la

Información que se genere respecto de las operaciones bancarias que se realicen a

través de cualquier medio tecnológico.

v. Diseñar planes de contingencia, a fin de asegurar la capacidad y continuidad de los

sistemas implementados para la celebración de operaciones bancarias, a través de cualquier medio tecnológico.

vi. Establecer mecanismos para la identificación y resolución de aquellos actos o eventos

que pueden generarle a la Institución, riesgos derivados de:

vi.1.

tecnológicos.

Comisión

de

hechos,

actos

u

operaciones

fraudulentas

a

través

de

medios

vi.2. Contingencias generadas en los sistemas relacionados con los servicios bancarios prestados y operaciones celebradas a través de cualquier medio tecnológico.

vi.3. El uso inadecuado por parte de los usuarios de los canales de distribución antes mencionados, para operar con la Institución, a través de los medios citados en el presente

artículo.

c. Anexo C. “Identificación de Riesgos”

RT Identificacion de riesgos.xlsx

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

d. Anexo D. “Inventario de activos”

RT Inventario.xlsx TASACIÓN Tipo CONFIDENCIALIDAD INTEGRIDAD DISPONIBILIDAD TOTAL ACTIVOS DE de No.
RT Inventario.xlsx
TASACIÓN
Tipo
CONFIDENCIALIDAD
INTEGRIDAD
DISPONIBILIDAD
TOTAL
ACTIVOS DE
de
No.
INFORMACIÓN
Activo
PROPIETARIOS
**
*
*
Para cada tipo de activo:

• [D] datos / información

• [S] Servicios

• [SW] aplicaciones (software)

• [HW] equipamiento informático (hardware)

• [COM] redes de comunicaciones

• [SI] soportes de información

• [AUX] equipamiento auxiliar

• [L] Instalaciones

• [P] personal

**Escala Likert

1= “muy poco”

, 5=”muy alto”

NOTA: La pregunta que debe efectuarse para utilizar la escala es: ¿Cómo “una pérdida o una falla en un determinado activo afecta la confidencialidad, la integridad y la disponibilidad?

TOTAL = (C

+ I + D )/3

e. Anexo E. “Catálogo de amenazas”

CATALOGO DE AMENAZAS

No.

1

2

AMENAZA

Acceso no autorizado al sistema o red

Accidente Aereo

44

  REVISADO CÓDIGO
 

REVISADO

CÓDIGO

Manual de Administración del Riesgo Tecnológico

MARZO/2012

MP-RT-2012

ELABORADO

VERSIÓN

FEBR/2012

1.0

3

Accidente Automovilistico

4

Actividad sísmica

5

Amenaza de Bomba

6

Ataque de Bomba

7

Ataque por agente biológico

8

Ataque Terrorista

9

Ataques DDoS or DoS

10

Bombas de tiempo de Red/Aplicación

11

Calor

12

Código Malicioso

13

Contaminación por Radiación

14

Crimen Computacional

15

DDoS no intencionales

16

Defectos de Software

17

Dejar abierta las puertas

18

Dejar documentos sensitivos expuestos

19

Dejar pantallas de computadoras expuestas o sin bloqueo

20

Derrame Químico

21

Desordenes civiles

22

Discución de Cosas Importantes en áreas abiertas

23

Dumpster diving

24

Epidemia

25

Erupción Volcánica

26

Escape de Gas

27

Exlporaciones no autorizadas

28

Exposición a los residuos peligrosos

29

Extorsión

30

Fallo en DNS

31

Fallo en Software de Aplicación

32

Fallo en Telecomunicaciones

33

Fallo HVAC

34

Fallos de Energía

35

Fallos de Hardware

36

Fallos de sistema de software

37

Fluctuación de Energía

38

Fraude

39

Fuertes vientos

40

Guerra

41

Gusanos

  REVISADO CÓDIGO
 

REVISADO