III Boletin

ISACA Captulo Costa Rica

2011

Nota Editorial

Junta Directiva y Personal Administrativo ISACA Costa Rica

De pie: Jos Mauricio Mata Soto - Vocal 2, Carlos Andrs Casas Fiscal, Jorge Esquivel Arce Presidente, Pablo Fernndez Fallas - Vocal 1, Johnny Muz Paniagua Secretario Sentadas: Lesly Serrano Bravo - Vicepresidente Administrativo (Membresa y Oficina Adm), Marcela Pereira Molina Videpresidente Tcnico (Educacin - Certificaciones), Alba Campos Monge Tesorera Foto Anexa: Karen Benavides Azofeifa Asistente Administrativa

Residuos electrnicos: El nuevo reto mundial

Boletn N 8 2011 Terra Nostra

En el mundo se generan entre 20 y 50 millones de toneladas de residuos electrnicos al ao. Entre el 50% y el 80% de esta chatarra tecnolgica acaba en ciudades vertedero de China, Pakistn, India y Nigeria. Costa Rica, Colombia, Mxico y Brasil son los nicos pases latinoamericanos que tienen legislacin especfica en esta materia.

El problema ya afecta a toda Latinoamrica, segn datos de la Agencia Europea del Medio Ambiente, donde el volumen de los residuos tecnolgicos est aumentando tres veces ms rpido que los residuos urbanos. Esta situacin representa un gran reto para el mundo, porque no hay una relacin proporcional entre la produccin de estos equipos y las soluciones para su disposicin segura. Gran cantidad de residuos electrnicos contienen metales pesados, altamente contaminantes como el cromo, plomo, mercurio, cadmio y selenio, los cuales no representan un riesgo mientras se encuentran dentro de los equipos y en sitios apropiados como casas, oficinas e industrias. Pero si no se les da el tratamiento adecuado cuando entra en desuso, contaminan la atmsfera, el suelo y el agua, convirtindose en una amenaza para la salud pblica y el ambiente. Slo por citar tres ejemplos: el cromo, usado para las cubiertas de metal, es cancergeno; el cadmio, presente en la composicin de bateras recargables, daa los huesos y los riones; y el mercurio, utilizado para producir iluminacin en monitores, es nocivo para el sistema nervioso y el cerebro. En Costa Rica existe un reglamento para la gestin de los residuos electrnicos que es parte de la Ley de Gestin Integral de Residuos aprobada en julio del 2010, sin embargo estas medidas an no se aplican, por lo que debemos implementar otras disposiciones que aseguren nuestra salud y el bienestar del ambiente. En algunos pases las empresas productoras de equipos electrnicos y los consumidores se responsabilizan de todo el ciclo de vida de un producto o sea desde su produccin hasta su disposicin final. Una solucin que han aplicado

Los artculos electrnicos son parte de la vida diaria de prcticamente todo el planeta, nos permiten comunicarnos, son insustituibles en los procesos productivos y cada vez se hacen ms indispensables para la vida cotidiana, pero al mismo tiempo, como la tecnologa cambia tan rpidamente, los residuos electrnicos han venido creciendo exponencialmente. Adems, debido a lastendencias del mercado, se estn descartando gran cantidad de equipos electrnicos que an tienen vida til, con la excusa de que no permiten las nuevas aplicaciones, necesitamos ms capacidad, no estn de moda o por la suma de todas estas. El asunto es que se ha creado una necesidad de cambiar los equipos mucho tiempo antes de que haya llegado al final de su vida til. Esta crisis ambiental la protagonizarn pases emergentes como China, India, Brasil y Mxico, de acuerdo a un informe del Programa de las Naciones Unidas para el Medio Ambiente (UNEP). Los expertos estiman que para 2020 el volumen de los residuos de computadores crecer un 500% en India respecto a 2007; y en China y Sudfrica, el 400%.

algunas empresas, el incluir en el precio del producto un monto para cubrir el costo de disposicin del equipo y reciben los equipos obsoletos en sus puntos de venta. En otros casos cuando el cliente entrega el equipo a la empresa para su reciclaje, recibe un descuento en la compra de un equipo nuevo. En Costa Rica an no contamos con estas opciones, sin embargo debemos tomar acciones para reducir este tipo de contaminacin, entre las que se sugerimos las siguientes: Reciclar los equipos electrnicos.

Promover la reduccin de sustancias peligrosas que se usan en ciertos productos electrnicos.

APERTURA DE REGISTRO A EXAMENES DE CERTIFICACION JUNIO 2012

Ya se encuentra abierto el proceso de registro para los examenes de certificacin a realizarse en el mes de junio 2012. Registrese antes del 8 de febrero y obtenga un descuento de $50USD

Reducir la generacin de residuos electrnicos a travs de la compra de equipos altamente eficientes y que respondan a todas sus necesidades. Dar un apropiado mantenimiento a los equipos. Donar o vender los equipos electrnicos que todava funcionen.

Delitos Informticos (I parte)

Ing. Magaly Fernandez Marn
Ingeniera en Sistemas de la U.I.A. Estudiante del Programa de Posgrado en Administracin y Direccin de Empresas Maestra Profesional en Auditora de Tecnologas de la Informacin. Universidad de Costa Rica

Definicin
Llegar a un consenso sobre la definicin del concepto de delito informtico ha sido una tarea difcil en los ltimos aos, incluso ha sido considerado como una problemtica, en vista de que los profesionales de las diferentes reas involucradas lo han definido en funcin de sus conocimientos y propsitos, por ejemplo: La organizacin para la Cooperacin Econmica y el Desarrollo ha definido al delito informtico como cualquier conducta ilegal, no tica o no autorizada que involucra el procesamiento automtico de datos y / o transmisin de datos Por otra parte el Dr. Julio Tellez Valds lo define de la siguiente manera: De manera tpica Las conductas tpicas, antijurdicas y culpables en que se tienen a las computadoras como instrumento o fin. De manera atpica Actitudes ilcitas en que se tienen a las computadoras como instrumento o fin En el libro Sistemas de Informacin gerencial, de la Editorial Prentice Hall, los autores Kenneth C. Laudon y Jane P. Laudon lo define de esta manera: El delito informtico es la ejecucin de actos ilegales mediante el uso de una computadora o contra un sistema de cmputo. Las computadoras o los sistemas de cmputo pueden ser el objeto del delito (al destruir el centro de cmputo o los archivos de cmputo de una compaa), as como el instrumento de un delito (el robo de listas de una computadora mediante un acceso ilegal al sistema de cmputo utilizando una computadora casera). El simple acceso a un sistema de cmputo sin autorizacin o con la intencin de causar dao, incluso por accidente, es un delito federal Roberto Lemaitre Picado, Abogado e Informtico, Autor del libro Manual sobre delitos informticos. Para la Ciber-Sociedad costarricense define inicialmente el concepto de delito, e indica lo

Introduccin
En la actualidad, la tecnologa y el acceso a ella se ha vuelto cada vez ms importante e indispensable para todos nosotros en nuestro da a da, as mismo y con ms razn sucede en las empresas, para las cuales se ha convertido en una herramienta imprescindible para la entrega de productos o servicios; este fenmeno ha provocado que en los ltimos aos personas inescrupulosas, se estn especializando en la ejecucin de delitos informticos con el fin de obtener beneficios ilcitos, los cuales atentan contra el funcionamiento y la seguridad de los sistemas informticos as como de la integridad y confidencialidad y disponibilidad de la informacin. El ingreso no autorizado a los sistemas, los ataques activos a las redes, el acceso y utilizacin indebida de la informacin (eliminacin, modificacin), chantajes, fraude electrnico, ataques a sistemas, son algunas de las formas en que estas personas materializan los delitos informticos. A modo de ampliar este tema, a continuacin se detallar la definicin de delitos informticos, su evolucin en los ltimos aos, el perfil de los delincuentes informticos, los tipos de delitos, legislacin vigente en nuestro pas, mtricas y controles que pueden aplicar las empresas con el fin de resguardar los intereses de los clientes contra este tipo de delitos.

siguiente: se tiene un delito cuando un sujeto realiza una accin tpica, antijurdica y culpable Ahora bien, para tener un entendimiento sobre los elementos que delimitan estas acciones, se muestra el siguiente esquema (creado a partir de la definicin incluida en dicho libro):

Antecedentes.
El aumento en la dependencia de las tecnologas de informacin ha provocado que en los ltimos aos personas inescrupulosas, perfeccionen cada vez ms sus mtodos para cometer delitos informticos, sin embargo este tema no es algo nuevo, desde la dcada de los 80s con la aparicin

Posteriormente Lemaitre, hace referencia a los dispositivos electrnicos as como a las tareas bsicas de entrada, procesamiento y salida y define el delito informtico de la siguiente manera: Delito informtico es aquella accin tpica, antijurdica y culpable realizada por medios informticos o cuya accin busque modificar los datos a un dispositivo informtico

de los virus se empezaron a materializar este tipo de delitos. Otros de los factores que han impulsado la evolucin de estos delitos son los siguientes: Falta de concientizacin: A pesar de que algunas empresas estn realizando esfuerzos para educar a sus clientes en aspectos relacionados con los cuidados que deben seguir para proteger sus datos (ms que todo en el mbito de las entidades financieras), an no se ha logrado

crear una cultura generalizada de concientizacin y muchas personas desconocen de los riesgos a los cuales podran estar expuestos; por otro lado hay personas que s son consientes de que los delitos informticos cada vez son ms comunes y conocen los riesgos a los cuales estn expuestos sin embargo en la mayora de las ocasiones no toman las medidas necesarias porque creen que eso no me va a pasar a mi dando pie a la materializacin de los delitos informticos. Vacos en la legislacin vigente: La legislacin que existe actualmente en Costa Rica para la sancin de este tipo de delitos presenta algunos vacos tal y como lo ha expuesto en algunas charlas el Abogado e informtico Roberto Lemaitre, Autor del libro: Delitos Informticos y por el Mster Francisco Salas Ruiz, actual Director Sistema Nacional de Legislacin Vigente, SINALEGI de la Procuradura General de la Repblica. Dificultades para tipificar los delitos informticos debido a la gran variedad de los mismos: La gran variedad de delitos informticos as como la velocidad con la que evoluciona la tecnologa y con ella las nuevas formas de cometer delitos, han dificultado la tipificacin de los mismos en la legislacin actual, situacin que, al igual que el punto anterior, representa vacos en la legislacin vigente. Aumento en el uso generalizado de tecnologa: El aumento en el uso de tecnologa as como el surgimiento de nuevos modelos de negocios que ofrecen servicios y aplicaciones mediante el comercio electrnico o comercio mvil, as como la evolucin en los servicios bancarios y financieros basados en Internet han facilitado el aumento en los delitos informticos. Debilidades en la seguridad fsica y lgica: No existen mecanismos de control que puedan eliminar el riesgo de que se materialice un delito informtico, sin embargo hay medidas a nivel de seguridad fsica y lgica que pueden aplicar las

empresas para resguardar la informacin y la infraestructura de TI. No divulgacin de este tipo de delitos: Es muy comn que las empresas que son victimas de delitos informticos deseen mantener la confidencialidad del caso con el fin de no sufrir perdida de imagen o credibilidad y por consiguiente prdidas econmicas. Tcnicas dirigidas: Actualmente los atacantes estn perfeccionando sus mtodos para engaar a las personas mediante tcnicas dirigidas en donde se encargan de analizar los gustos e intereses de su mercado meta para elaborar estrategias ms llamativas (para el usuario) y as poder realizar sus intromisiones.

Perfil del Delincuente informtico

Se han realizado varios estudios que tratan de identificar el perfil del delincuente informtico. Ricardo Jimnez Dan, en su artculo Crimen silencioso publicado en una revista de Derecho Informtico indica lo siguiente: Una aproximacin al perfil criminolgico del delincuente informtico apunta hacia un individuo normalmente del sexo masculino, en edades comprendidas entre los catorce y treinta aos, experto en el manejo de nuevas tecnologas, con un altsimo potencial intelectual y en muchos casos empleado de confianza habituado a trabajar sobretiempo. El delincuente tecnolgico comnmente asume una actitud de reto con los sistemas a que se enfrenta, de modo tal que considera suficientemente justificado el lucro que obtiene, como recompensa a su pericia e inteligencia Salvador Tapia, Norton Symantec, sostiene que el perfil del ciberdelincuente es un varn que no

suele salir mucho de casa, que no tiene muchos estudios, pero tiene una gran imaginacin y una gran creatividad. Adems, tiene un objetivo nico que es hacerse rico en muy corto plazo. Como se puede observar una definicin difiere de la otra en cuanto al nivel de conocimientos necesario para realizar este tipo de delitos, hay otros autores que incluso definen ciertos rasgos fsicos comunes de los ciberdelincuentes que podran no ser muy acertados. El perfil del delincuente podra variar en funcin del tipo de delito, por ejemplo: Un hacker es una persona que realiza sus actos por un tema meramente de satisfaccin personal, sin ninguna intencin de modificar ningn sistema, son poco ofensivos. Caso contrario es el de crackers quienes normalmente cometen sus delitos con el fin de obtener una retribucin econmica y son altamente ofensivos. Pese a lo anterior se pueden listar algunas caractersticas generales de los delincuentes informticos: No tienen antecedentes delictivos previos en otros rubros. En su gran mayora son del gnero masculino El rango de edad est entre los 18 y 30 aos. Poseen altos conocimientos tcnicos Suelen iniciar dar sus primeros pasos como hackers Poseen habilidades para realizar ingeniera social por medio del establecimiento de relaciones estratgicas, con el fin de obtener algn beneficio a cambio por medio del engao Algunas veces se trata de personas con problemas econmicos o de adiccin a las apuestas (jugadores compulsivos en casinos)

Retribuciones econmicas Acceso no autorizado a sitios Acceso a informacin no autorizada Revelacin de informacin crtica de la empresa Revelacin de vulnerabilidades para poder realizar ataques.

Tcnicas para informticos

cometer

delitos

El estudio presente no pretende definir de manera exhaustiva los tipos y tcnicas para cometer delitos informticos por la complejidad y amplitud del tema, as como por la velocidad con la que avanza la tecnologa y con ella las nuevas tcnicas para cometer delitos. A continuacin se da un leve repaso por algunas de las tcnicas: Phishing: Se realiza por medio de correos electrnicos que simulan proceder de alguien conocido, estos mensajes traen adjunto un archivo para que la persona lo abra con el fin de ver quien los invit pero en realidad es cdigo malicioso con la intencin de obtener informacin crtica de los usuarios (contraseas, PIN, nmeros de tarjetas de crdito, etc.) Amenazas avanzadas persistentes: Se trata de ataques dirigidos de espionaje ciberntico o sabotaje ciberntico que se llevan a cabo bajo el patrocinio o direccin de un pas o ente. Fases: Reconocimiento: Se obtiene informacin personal o profesional de personas claves en la empresa, mediante la monitorizacin pasiva de fuentes pblicas o semipblicas como las redes sociales que son la fuente de datos. Ataque inicial: En esta fase se penetra en la organizacin con el fin de instalar una

Indistintamente del perfil, bsicamente estas personas buscan: Revelacin de contraseas

puerta trasera o keyloggers para obtener informacin y realizar ataques posteriores. Recopilacin de informacin: Obtener informacin confidencial con fines econmicos o polticos. La informacin que se obtiene es enviada al exterior, normalmente al servidor de un tercero controlado por el atacante Ataques posteriores. Estas amenazas no muestran sntomas visibles de infeccin. Suplantacin de identidad: Se trata de una tcnica en la que una persona se hace pasar por otra, en Costa Rica, el auge de las redes sociales aument el nmero de denuncias ante el Organismo de Investigacin Judicial (OIJ) por suplantacin de identidad en Internet. Direcciones cortas: Utilizados para acortar la cantidad de caracteres de un URL cuando se tiene una cantidad limita de caracteres a utilizar. Se corre el riesgo de no conocer el verdadero destino del enlace hasta que se ingresa a la pgina. La pgina destino podra contener algn tipo de cdigo malicioso. Este tipo de tcnica se utiliza principalmente en las redes sociales donde se tiene una cantidad limitada de caracteres para utilizar, por ejemplo en twitter. Botnets: Un botnet en una red de computadoras conectadas a Internet, infectadas de manera intencional con malware controlado de manera remota sin que el usuario lo advierta. Los atacantes introducen el cdigo mediante correos electrnicos, software ilegal o chats. Cdigo QR: Utilizando recientemente por los usuarios de smartphones, se trata de cdigos bidimensionales que incitan al usuario a visitar una direccin electrnica, al igual que con las direcciones cortas la persona desconoce a donde lo est dirigiendo el link corriendo el riesgo de ser atacado por un virus

Vishing: Conjuncin de voice y phishing, tcnica mediante la cual se hace pensar a la persona que est siendo llamada de un banco, un mensaje de grabadora solicita al cliente que digite informacin relacionada con su tarjeta para posteriormente obtener los datos. Smishing: Al igual que vishing se trata de una mutacin fraudulenta que proviene de SMS y phishing. La persona recibe un SMS aparentando ser de una entidad financiera y solicitando que confirme alguna informacin. Como se puede apreciar, los atacantes cada vez perfeccionan ms sus tcnicas y las dirigen a mercados especficos de personas analizando sus gustos y preferencias as como las tcnicas de ingeniera social. Lo anterior refuerza la problemtica mencionada inicialmente sobre las dificultades a las cuales est expuesta nuestra legislacin para tipificar los delitos informticos debido a la gran variedad de los mismos.

En la prxima edicin Derecho informtico y regulaciones vigentes en Costa Rica Seccin de delitos informticos Algunas mtricas Conclusin

10

11

Asociados certificados que autorizaron publicar su informacin Al 28 de noviembre del 2011

Nombre Adrin Alba Mara Alejandra Alvaro G. Ana Virginia Anderson Fernando Arelys Arnoldo Arturo Carlos Andrs Carlos F. Carlos Manuel Cilliam Daniel Daniel Ivn Douglas Jos Edgar Eduin Edwin Edwin Ema Rebeca Ester Alejandra Fabin Francis Francisco Franklin Freddy Gabriela Geovanny Gino Glen Andrs Grettel Guido Guillermo Apellidos Snchez Villalobos Campos Monge Ramrez Salas Jaikel Chacn Escalante Montealegre Arce Mora Monge Montenegro Pereira Ramrez Hegg Casas Dittel Cordero Trujillo Cuadra Chavarra Morales Banegas Chacn Rivas Castillo Soto Bolaos Jara Rojas Snchez Montero Navarro Vega Fras Alfaro Araya Solano Snchez Cordero Navarro Ancha Arroyo Herrera Hernndez Noguera Flores Ramrez Mora Quirs Parajeles Zamora Urea Ramrez Sols Urbina Ramrez Chaves Quirs Fuentes Quesada Artavia Daz CISA X X X X CISM CGEIT CRISC

X X

X X

X X

X X X X X X X X X X X X X X X X X X X X

X X

X X

X X X

X X X X

X X X X X X X X X X

12

Asociados certificados que autorizaron publicar su informacin Al 28 de noviembre del 2011

Nombre Hernn Horacio Hugo Ileana Javier Johanna Jorge Jorge Jorge Jos Alberto Jos Emilio Jos Manuel Jos Mauricio Jos Osvaldo Juan Carlos Juan Carlos Karla Kattya Cecilia Lina Mara Liza Luis Alonso Luis Alonso Luis Antonio Luis Diego Luis Gustavo Manuel Manuel Manuel Antonio Marcela Mara Marco Tulio Marco Vinicio Margarita Mara Eugenia Mara Marcelina Mario Alberto Apellidos Aguilar Gmez Ng Madrigal Kikut Molina Muoz Corea Watkins Cedeo Vega Mesn Mayorga Castillo Cervantes Hidalgo Castro Zeledn Solrzano Rodrguez Barrantes Rojas Solano Bolaos Mata Soto Barboza Soto Gracia Lara Povedano Robles Ayala Morales Rojas Quintero Rodrguez Escalante Rodrguez Ramrez Jimnez Segura Surez Len Barquero Rojas Orozco Montealegre Bejarano Arauz Montero Arias Chavarra Pereira Molina Mora Mora Gmez Acua Morera Hidalgo Daz Artavia Vargas Arias Jimnez Molina CISA X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X X CISM CGEIT CRISC

X X X

X X X

X X X

X X X X X

13

Asociados certificados que autorizaron publicar su informacin Al 28 de noviembre del 2011

Nombre Marisela Mauricio Mauricio Mauricio A. Oscar Oscar Ezzio Osvaldo Jos Pablo J. Ricardo Rita Mara Roberto Rodolfo Rolando Rolando Sandra C. Sandra Mara Silvia Teresa Vinicio Gerardo Viviana Wady Wilberth William Alfredo Xiomar Apellidos Parra Valencia Solano Redondo Solano Con Solano Gutirrez Madrigal Sols Reyes Donato Vsquez Madrigal Fernndez Fallas Arce Sand Mora Bustamante Porras Len Gutirrez Seas Gonzlez Montero Duarte Garca Barrantes Miln Cantillano Chinchilla Senz Chen Achong Chaves Fernndez Serracn Ulate Bermdez Ramrez Vindas Bonilla Madriz Delgado Rojas CISA X X X X X X X X X X X X X X X X X X X X X X X X X CISM CGEIT CRISC X X

X X X X

X X X X X X

Si su informacin est desactualizada desea agregarse ser eliminado de esta lista comuniquese con Marco V. Gmez Acua, MSc., CISA, CRISC Comit de Educacin / Subcomit de Certificaciones Correo: mvgamez@isacacr.org

14

ITIL Foundation v3. IT Infrastructure Library

ISACA Captulo Costa Rica se complace en informar la apertura de la inscripcin al Taller de Fundamentos de ITIL v3.
OBJETIVO:

Brindar conocimiento sobre la Gestin de Servicios en relacin con la estructura de ITIL v3, incluyendo sus cinco disciplinas de alto nivel, a saber: Estrategia de Servicio, (Service Strategy), Diseo del Servicio, (Service Design), Transicin del Servicio, (Service Transition), Operacin del Servicio, (Service Operation), Mejora Continua del Servicio, (Continual Service Improvement), as como de todos sus procesos relacionados y el nuevo enfoque del ciclo de vida del servicio. Background
ITIL se complementa con los requerimientos y procesos de otros estndares y mejores prcticas Tales como COBIT, CMM/CMMI, PMI, ISO/BS/EIC 27002, Six Sigma Utilizado como marco de referencia en complemento con otros marcos de referencia como COBIT para la implementacin de Gobierno de TI y para la sostenibilidad en el cumplimiento con regulaciones y normativas. Por su nivel de adopcin y utilizacin se ha convertido en el estndar de facto a nivel mundial. Es una mejor prctica en Gestin de Servicios de IT, mundialmente aceptada. Asiste a las organizaciones en el desarrollo de marcos de referencia para lo que es Gestin de Servicios de TI y el cumplimiento con regulaciones y normativas de TI para Costa Rica. ITIL Gestin de Servicios es una estructura top-down, enfocada para alinear a TI con el negocio de forma que se promueva la generacin de valor a travs de la Gestin de los Servicios de TI para el Negocio. TEMARIO: Conceptos Clave Qu es ITIL Estrategia de Servicio (Service Strategy) Gestin de Finanzas, Gestin de Demanda, Gestin de Portafolio de Servicios Diseos del Servicio (Service Design) Catalogo de Servicios, Gestin de Nivel de Servicios, Gestin de Continuidad de Servicios, Gestin de Seguridad, Gestin de Disponibilidad, Gestin de Capacidad, Gestin de Gestin de Suplidores Transicin del Servicio (Service Transition) Gestin de Cambios, Gestin de Configuracin y Activos, Gestin de Liberaciones, Gestin de Conocimiento Operacin del Servicio (Service Operation) Gestin de Incidentes, Gestin de Accesos, Gestin de Problemas, Gestin de Solicitudes, Service Desk, Gestin de Eventos Mejora Continua del Servicio (Continual Service Improvement) Reporte de Servicios, Medicin de Servicios, Mejoramiento de Servicios Gobernabilidad de TI e ITIL Esquema de Certificacin Prctica y Tips para el examen

Al finalizar el taller, se realizar el examen de certificacin ITIL Foundation V3

15

INSTRUCTORA

Ing. Sandra Garca Barrantes CRISC, CGEIT, CISA, ITIL Expert Certified Con 22 aos de experiencia en el rea de Tecnologa de Informacin, Seguridad, Auditora de Sistemas, Gobierno de TI y Servicios de TI. Ha trabajado directamente en empresas multinacionales, locales y gubernamentales al nivel de Costa Rica y para la regin de Norteamrica, Centro y Sur Amrica. Posee amplia experiencia en la implementacin de marcos de gobernabilidad de procesos de TI basados en estndares tales como COBIT, ITIL & ISO20K. Instructora del curso de preparacin para el examen CISA desde el ao 2002. Ha impartido diversos cursos y conferencias sobre Auditora de Sistemas, COBIT y Gobierno de Tecnologa de Informacin.
CONSIDERACIONES GENERALES: 1. Lugar: Hotel Radisson

Duracin: 20 horas Fecha: 01,02 y 03 de marzo del 2012 Horario: Jueves y Viernes de 8:00 a.m. a 5:30 p.m. Sbado se realizar el examen a las 8:30 a.m. Cierre de inscripcin: 13 de febrero 2012 Horas CPEs: 16
2. Inversin: ITIL Foundations v3 Asociados Miembros Colegio de Contadores Pblicos y Colegio de Profesionales Informticos Pblico en general $800,00 $850,00 $900,00

El monto de la inversin incluye: alimentacin (5 refrigerios y 2 almuerzos), material oficial de estudio del ITSM, examen y certificado de participacin. La apertura del Taller queda sujeta a la completitud del cupo mnimo de participantes. Para inscripciones y consultas, puede comunicarse con Karen Benavides, a los telfonos 2241-0393 2240-0100, tambin al correo electrnico administracion@isacacr.org

16

Asociados y Certificaciones

CRISC 67

CISM 27

CISA
125
Asociados 304

CGEIT
19

17

20 Consejos para Vivir Mejor

Del Instituto Francs de Ansiedad y Estres (Estrs - Stress), en Paris, Francia.

1. Hacer una pausa de 10 minutos por cada 2 horas de trabajo, a lo mximo. Repita estas pausas en su vida diaria y piense en usted, analizando sus actitudes. 2. Aprenda a decir No, sin sentirse culpable, o creer que lastima a alguien. Querer agradar a todos es un desgaste enorme. 3. Planee su da, pero deje siempre un buen espacio para cualquier imprevisto, consciente de que no todo depende de usted. 4. Concntrese en apenas una tarea a la vez. Por ms gil que sean sus cuadros mentales, usted se cansa. 5. Olvdese de una vez por todas que usted es indispensable en el trabajo, casa, o grupo habitual. Por ms que eso le desagrade, todo camina sin su actuacin, a no ser usted mismo. 6. Deje de sentirse responsable por el placer de los otros. Usted no es la fuente de los deseos, ni el eterno maestro de ceremonia. 7. Pida ayuda siempre que sea necesario, teniendo el buen sentido de pedrsela a las personas correctas. 8. Separe problemas reales de los imaginarios y elimnelos, porque son perdida de tiempo y ocupan un espacio mental precioso para cosas ms importantes. 9. Intente descubrir el placer de cosas cotidianas como dormir, comer y pasear, sin creer que es lo mximo que puede conseguir en la vida. 10. Evite envolverse en ansiedades y tensiones ajenas, en lo que se refiere a ansiedad y tensin. Espere un poco y despus retorne al dialogo y a la accin. 11. Su familia no es usted. Est junto a usted, compone su mundo pero no es su propia identidad. 12. Comprenda que principios y convicciones inflexibles pueden ser un gran peso que evite el movimiento y la bsqueda. 13. Es necesario tener siempre alguien a quien le pueda confiar y hablar abiertamente. 14. Conozca la hora acertada de salir de una cena, levantarse del palco y dejar una reunin. Nunca pierda el sentido de la importancia sutil de salir a la hora correcta. 15. No quiera saber si hablaron mal de usted, ni se atormente con esa basura mental. Escuche lo que hablaron bien de usted, con reserva analtica, sin crerselo todo. 16. Competir en momentos de diversin, trabajo y vida entre pareja, es ideal para quien quiere quedar cansado o perder la mejor parte. 17. La rigidez es buena en las piedras no en los seres humanos. 18. Una hora de inmenso placer sustituye, con tranquilidad, tres horas de sueo perdido. El placer recompensa ms que el sueo. Por eso, no pierda una buena oportunidad de divertirse. 19. No abandone sus tres grandes e invaluables amigas: Intuicin, Inocencia y Fe. 20. Entienda de una vez por todas, definitivamente y en conclusin que usted es lo que usted haga de usted mismo.

18

IV CONGRESO GOBERNABILIDAD

19

Pago de Membresias

Estimado(a) Asociado(a),
Le recordamos que ya est activo el perodo de pago de la membresa 2012 de ISACA Internacional, la cual puede realizarla a travs de la pgina www.isaca.org, siguiendo los pasos a continuacin detallados: 1. 2. 3. 4. 5. Ingresar a www.isaca.org Ingresar cdigo de usuario y clave de acceso Seleccionar "Renewals" En la seccin, confirmar que est afiliado al Captulo Costa Rica En el paso 2 y 3, revisar informacin personal de registro y actualizar los datos necesarios. Recuerde validar lo adecuado de su direccin para recibir documentacin y su correo electrnico 6. Valide la informacin y en caso de estar correcta, presionar la opcin "proceed" 7. Si cuenta con certificaciones profesionales (CISA, CISM y/o CGEIT), ingrese las horas de reconocimiento profesional (Deben de ser 20 horas anuales como mnimo) 8. Aparecern los rubros a pagar, que al menos deben ser $33.00 correspondiente al Captulo de Costa Rica, $130.00 por ISACA Internacional y $40.00 por cada Certificacin. 9. Indicar el monto si desea hacer donacin en caso contrario, dejarla en 0.00 10. Presionar opcin "proceed to checkout" 11. Incluir la informacin requerida para el pago. 12. Una vez efectuada la transaccin, recibir va correo electrnico la factura y la confirmacin de la renovacin de su membresa. En unas semanas recibir va correo postal (o direccin fsica segn haya indicado), el carn de identificacin. Si a usted no le han estado llegando los correos de ISACA - Internacional del Captulo de Costa Rica, recuerde que debe de actualizar su datos en la pgina www.isaca.org escribir al correo membership@isaca.org en el caso que necesiten hacer un reclamo al respecto. Queremos instar a nuestros asociados locales, que se afilien a travs de ISACA Internacional, para que puedan optar de mayores beneficios que le apoyarn a su crecimiento profesional

20

Gua de ISACA: Define las Vulnerabilidades y Estrategias de la Seguridad de las Aplicaciones Web
Rolling Meadows, IL, USA (16 de noviembre 2011) El uso de aplicaciones Web crece rpidamente debido al gran valor que agregan a las empresas al aportar formas innovadoras de interactuar con los clientes. Sin embargo, los beneficios de estas aplicaciones vienen acompaados de vulnerabilidades para la seguridad que crean riesgos y exposiciones peligrosas. ISACA, una asociacin mundial de 95 mil profesionales de la seguridad de TI, dio a conocer un nuevo reporte gratuito titulado Web Application Security: Business and Risk Considerations (Seguridad de las Aplicaciones Web: Consideraciones de Negocio y de Riesgo), que perfila las causas de las vulnerabilidades de las aplicaciones Web, al mismo tiempo que examina el riesgo asociado, su impacto y brinda sugerencias para mitigar el riesgo. La gua aplica a todos los tipos de actividades de desarrollo de software. Las nuevas aplicaciones Web estn basadas en un ambiente cliente-servidor y son independientes de las plataformas, requieren menos poder de cmputo, y pueden integrarse perfectamente con recursos y servicios en lnea. Su utilizacin puede reducir el tiempo y costo de los procesos, mayor nmero de clientes satisfechos e ingresos ms altos. Sin embargo, las vulnerabilidades de las aplicaciones abren la puerta a la explotacin de informacin corporativa sensible, a la interrupcin del servicio y al robo de propiedad intelectual. Algunas vulnerabilidades comunes identificadas en el reporte incluyen:

Fuga de informacin Anti-automatizacin insuficiente

Aunque se estn reportando cada vez ms violaciones en la Web, existe un gran nmero de ellas que nunca se reportan o ni siquiera se detectan, y muchas empresas no han tomado an las acciones para resolver las vulnerabilidades, asegur Salomn Rico, CISA, CISM, CGEIT, de Deloitte Mxico, y presidente del equipo de desarrollo de este reporte en ISACA. Las aplicaciones Web deben contar con seguridad integrada en cada paso e ISACA ofrece una gua especfica y los pasos detallados para hacerlo. El reporte incluye las siguientes estrategias para enfrentar el riesgo de las aplicaciones web:

Las medidas de seguridad deben ser componentes obligatorios que se incluyan al inicio del proceso de desarrollo. Los programadores deben capacitarse en tcnicas de codificacin seguras. Debe existir un proceso robusto de aseguramiento de la calidad para aplicar pruebas de calidad continuas y controladas no slo de la parte funcional sino de cuestiones de seguridad tambin Las aplicaciones implementadas deben ser monitoreadas continuamente para detectar las vulnerabilidades descubiertas Deben tomarse medidas decisivas para resolver las vulnerabilidades encontradas.

Las empresas pueden aprovechar los diversos beneficios de las aplicaciones Web si tienen un enfoque sistemtico, aadi Rico. Estas nuevas tecnologas pueden integrarse exitosamente con cuidado, lo que puede crear un mejor valor y reputacin; as como un mayor apoyo de la empresa y sus integrantes.

Inyeccin de SQL Cross-site scripting Referencias inseguras de objetos directos

21

Seguridad de las Aplicaciones Web: Consideraciones de Negocio y de Riesgo est disponible sin costo a travs de www.isaca.org/web-application-security. Puede encontrar una gua adicional de ISACA sobre temas como el cmputo en la nube, el gobierno de los medios sociales y la seguridad de los dispositivos mviles en www.isaca.org/whitepapers.

22

Membresa ISACA
Con ms de 50.000 afiliado al nivel mundial - se caracteriza por su diversidad. Los miembros viven y trabajan en ms de 140 pases y cubren una variedad de posiciones profesionales relacionadas con la Tecnologa de Informacin. Varios de ellos se encuentran en los rangos de jerarqua de ms alto nivel, otros en mandos de gerencia media, mientras otros se inician en el campo. Trabajan en casi todas las categoras de la industria, incluyendo financiero y bancario, contadura pblica, gobierno y el sector pblico, servicios y manufactura. Pero, aunque la orientacin de los miembros de ISACA es diversa, comparten un propsito en comn posicionarse profesionalmente en forma ventajosa alrededor del mundo. Los lderes de vanguardia en ISACA, han creado estndares de control para la Auditora de Sistemas de Informacin y la Tecnologa de Informacin, por los practicantes en todo el mundo; la investigacin desarrollada, que establece claramente los mbitos de accin del profesional; ha producido el la certificacin en auditora de sistemas de informacin (CISA), que se reconoce globalmente y ha sido obtenida por ms de 44.000 profesionales, as como el Administrador certificado de la seguridad de la informacin (CISM) designacin, ganada por ms de 5.200 profesionales desde su inicio en 2002. ISACA y su afiliado el Instituto del gobierno de TI conduce a la comunidad de gobierno de TI y sirve a sus practicantes en el aseguramiento, control y la seguridad de la informacin, proporcionando los elementos requeridos por los profesionales de TI, en un ambiente mundial siempre cambiante. Como miembro de ISACA, usted cuenta con una red diversa de colegas internacionales de cuales aprender y con quien compartir conocimiento. sta es apenas una entre las muchas ventajas como miembro de ISACA.

Revista Control informacin

www.isaca.org/journal

de

sistemas

de

Con la edicin de un calendario calculado para cubrir lo ltimo en la aplicacin de TI, la Revista cubre la informacin vital para el desarrollo profesional. Esta, publicacin divulga asuntos tales como seguridad del Internet, delito informtico, comercio electrnico, integridad de la informacin, ediciones del secreto de la computadora y ELLA gerencia de riesgo. Los miembros de ISACA reciben una suscripcin a la versin de la impresin del Diario as como el acceso a la versin en lnea.

Librera
www.isaca.org/bookstore En el agitado mundo de hoy de cambios constantes, la informacin confiable es crtica para apoyar la forma en que hacemos nuestros trabajos. Como miembro, usted puede confiar en las publicaciones de la librera de ISACA y disponer de la investigacin avanzada del ITGI para mantenerse informado sobre temas crticos de hoy en el mbito de la Tecnologa de Informacin.

Foros de la discusin (Listservs)

www.isaca.org/listserv Frecuentemente, el mejor aprendizaje se obtiene en discusiones entre los expertos, quienes comparten preguntas, preocupaciones, experiencias, las lecciones aprendidas y las situaciones recomendables de evitar. ISACA, ITGI y los captulos locales han establecido cinco listservs, que ofrecen oportunidades excelentes de compartir consejo, buscar ayuda y exponer preguntas pertinentes. Los foros de discusin disponibles, incluyen: Sarbanes-Oxley Gobierno de TI CobiT

23

Administracin de la seguridad de la informacin Temas generales (patrocinado por el Captulo de ISACA Central Indiana)

K-NET
www.isaca.org/knet K-NET es una base de datos en lnea con ms de 5.200 referencias Internet -basadas en el conocimiento relativos al gobierno, control, la seguridad y aseguramiento de los sistemas de informacin. Los miembros tienen acceso exclusivo a los ms de 200 tpicos organizados en 13 reas de inters.

Centro Profesional
www.isaca.org/careercentre Los miembros reciben el acceso de la prioridad al centro en lnea profesional de ISACA, donde los miembros pueden incluir sus resmenes profesionales en lnea y solicitar la notificacin va correo electrnico de nuevos del trabajo. El centro profesional de ISACA se dedica a promocionar profesionales en las reas de auditora, control, seguridad y aseguramiento de calidad. Se puede buscar trabajos en lnea y especificar criterios para limitar cada bsqueda.

Las publicaciones y los productos recientes del Instituto de Gobierno de TI, incluye: Information Security Governance: Guidance for Boards of Directors and Executive Management 2nd Edition Val IT, marco para el Gobierno de TI investigaciones disponibles COBIT 4.0, la ltima versin del producto insignia del ITGI, ofreciendo un alcance prctico, pragmtico y enfocado al negocio para implementar Gobierno de TI al nivel organizacional IT Governance Global Status Report, studio del 2003 del ITGI, as como su respectivo seguimiento en el 2005, sobre las percepciones y actividades alrededor del mundo para el gobierno de TI, segn las consideraciones de gerentes de TI y ejecutivos empresariales Aligning COBIT, ITIL and ISO 17799 for Business Benefit Board Briefing on IT Governance 2nd Edition IT Control Objectives for Sarbanes-Oxley COBIT Quickstart TM, especficamente diseado para apoyar de una forma fcil la adopcin de los elementos ms importantes del CobiT IT Governance Implementation Guide

Programas de la intervencin cuestionarios internos del control

www.isaca.org/icq

Instituto de gobierno de TI
www.itgi.org El Instituto de gobierno de TI, fue establecido en 1998 para asistir a lderes de las empresas en su responsabilidad de convertir en un xito el uso de TI como soporte de la misin y las metas de la organizacin. Su objetivo principal, es elevar el conocimiento y entendimiento, as como proveer orientacin y herramientas a la Juntas Directiva, Gerencia Ejecutiva y CIOs de modo que puedan asegurarse dentro de sus empresas de que los servicios de TI se ejecuten confiablemente, alcanzando y hasta excediendo las expectativas.

Los programas y los cuestionarios de control interno y auditora (ICQs) son herramientas de gua para ayudar a los miembros a determinar las mejores prcticas al realizar sus funciones de trabajo. Estos materiales fueron desarrollados tanto por ISACA, el ITGI o son contribuciones de otros colegas y se proporcionan gratuitamente.

24

Comunicado oficial global

WWW.isaca.org/gcomm Todos los miembros reciben el boletn de noticias de la calidad de miembro, que proporciona noticias actualizadas en ISACA e ITGI.

de ISACA es avanzar en el establecimiento de estndares globales aplicables para resolver esta necesidad. El desarrollo y la difusin de estndares para la Auditora de TI, son una piedra angular de la contribucin profesional de ISACA a la comunidad de Auditora.

Objetivos de Control para la Informacin y la Tecnologa relacionada - CobiT

www.isaca.org/cobit La principal publicacin de investigacin del ITGI, para la cual ya est disponible su cuarta edicin. CobiT ofrece una estructura global de las prcticas aceptadas para apoyar a la organizacin y a las administraciones de TI en la determinacin del nivel apropiado del control sobre TI instalado que apoya los objetivos de la organizacionales, basado en gobierno de TI.

Descuentos
Los miembros de ISACA gozan de descuentos en acontecimientos educativos y conferencias de ISACA (www.isaca.org/conferences); y exmenes de ISACA, incluyendo exmenes para la certificacin CISA (www.isaca.org/cisa) y CISM (www.isaca.org/cism).

Direccin
www.isaca.org/leadership Participe en oportunidades de direccin y del establecimiento de una red juntas directivas de captulos y comits de ISACA, tanto al nivel local como internacional.

CobiT En lnea
www.isaca.org/cobitonline CobiT en lnea es una versin en lnea de CobiT, disponible para usted por ISACA y el ITGI. Los miembros de ISACA tienen acceso bsico a CobiT En lnea, que incluye la capacidad de revisar toda la documentacin de CobiT (excepto las Prcticas de Control) y las inclusiones de Quickstart, busque, y descargue documentos en formato PDF (CobiT Resumen ejecutivo, marco de control y gestin, objetivos de control, estructura de control, herramienta de implementacin, guas para la administracin, las ltimas nueva Prcticas de Control en TI), acceso seguro a los resultados de encuestas peridicas, as como al forum de discusin.

Ventajas Captulos locales (ACAI-Costa Rica)

www.isacacr.org Una de las fuerzas de la base de ISACA, es su red de captulos locales. ISACA tiene 170 captulos por todo el mundo. En el caso de Costa Rica, la Asociacin Costarricense de Auditores en Informtica ACAI, ISACA Captulo Costa Rica, proporciona a sus miembros: Envo peridico de Boletn Electrnico. Descuentos en los programas de desarrollo profesional, tales como conferencias y seminarios, impartidos por nuestra asociacin, con la participacin de conferencistas nacionales e internacionales. Acceso a literatura actualizada sobre Seguridad, Control y Auditora, en nuestra biblioteca ubicada en la Sede del Capitulo Precios especiales en talleres de preparacin para optar por las certificaciones como Auditor

Estndares
www.isaca.org/estandards La naturaleza especializada de la auditora de TI, y las habilidades necesarias para realizar las intervenciones, requieren de estndares aplicables especficamente a la Auditora de TI. Una de metas

25

de Sistemas (CISA) y Administrador de Seguridad (CISM). Descuentos especiales en eventos organizados por la Asociacin Participacin gratuita en charlas de actualizacin profesional Acceso a documentacin en forma electrnica con diversos temas de inters, a travs de nuestra pgina en Internet Opcin de contar con una cuenta electrnica personal, libre de costo Descuentos en Universidades de prestigio en el pas, para las colegiaturas de Bachillerato, Licenciatura y Maestra Acceso a la revista Percepciones con temas de Auditora de Sistemas de Informacin a nivel de Latinoamrica.

Puede registrarse como miembro activo ingresando a la pgina www.isaca.org (Membership) y realizar la gestin de acreditacin de forma expedita y segura.

26

Medicin y elaboracin de informes de riesgos tecnolgicos

ISACA JOURNAL Vol 6, 2011
Mukul Pareek, CISA, ACA, AICWA, PRM, es especialista en riesgos y trabaja en Nueva York, EE. UU. Cuenta con ms de 20 aos de experiencia en la prestacin de servicios industriales y financieros. Es uno de los editores del Index of Cyber Security, www.CyberSecurityIndex.org, y como tal invita a todos los profesionales del sector a enviar comentarios, informacin y opiniones sobre la medicin cuantitativa del riesgo tecnolgico. Toda persona interesada puede enviarle un mensaje a mp@pareek.org.

de riesgo que muchas veces se le destinan departamentos especiales y presupuestos superiores, incluso, al que se invierte en la funcin central de riesgo operacional. No obstante, si se le compara con los riesgos crediticios y de mercado, se puede afirmar que las operaciones de clculo, medicin y elaboracin de informes de riesgos tecnolgicos siguen integrando una disciplina poco desarrollada. Las herramientas de medicin de riesgo a las que hoy puede acceder un gestor de riesgos tecnolgicos no son ms que un conjunto rudimentario de indicadores direccionales de riesgo. La medicin y comunicacin de riesgos tecnolgicos sigue siendo un arte y an est lejos de convertirse en una disciplina cientfica. Las herramientas disponibles (matrices de riesgos y controles con distintos niveles de granularidad; paneles con indicadores de color rojo, mbar y verde; mapas de riesgos; cuadrantes y dems elementos similares para la realizacin de mediciones no cuantitativas del riesgo) no se aproximan al nivel de sofisticacin que poseen las herramientas empleadas por los especialistas en riesgos crediticios y de mercado. El presente artculo procura identificar opciones ms eficaces para la comunicacin del riesgo, estableciendo paralelismos con las disciplinas vinculadas a la gestin de riesgos crediticios y de mercado, que han alcanzado un nivel de desarrollo superior. Por consiguiente, el riesgo tecnolgico ser considerado en este contexto como un importante subgrupo de la categora general de riesgo operacional. En este artculo, se revisar la eficacia que poseen actualmente los procesos de medicin y cuantificacin de los riesgos crediticios y de mercado, y se realizar un breve anlisis de la aplicacin del marco de Basilea en la creacin de modelos de riesgo operacional.

Hoy resulta difcil pensar en los riesgos operacionales sin relacionarlos con los riesgos tecnolgicos. La actual proliferacin de aplicaciones basadas en flujos de trabajo, notificaciones activadas por el sistema y bases de datos con "front ends" de pginas web hace que sea imposible distinguir un proceso operacional del sistema en que se ejecuta. Toda falla en el proceso de creacin de un evento de prdida conducir, casi sin excepcin, a la identificacin de un control tecnolgico que no fue diseado correctamente o no funcion. Por ejemplo, cuando en Barings1 y SocGen2, entre otras compaas, se produjo una serie de incidentes que tuvieron amplia difusin, se comprob que uno de los principales factores que causaron esos hechos era el acceso inadecuado a los sistemas. Esta expansin de los riesgos atribuibles a la tecnologa ha afectado considerablemente el trabajo del gestor de riesgos tecnolgicos, que ya no solo tiene la responsabilidad de garantizar la seguridad de la informacin y la proteccin de los datos, sino que adems es "invitado" a participar en innumerables discusiones relacionadas con los procesos de negocios, a fin de analizar los controles de acceso, la segregacin de funciones, las jerarquas de aprobacin, las notificaciones y el envo automtico de comunicaciones a clientes, proveedores y personal con derechos de acceso a informacin reservada. En consecuencia, el riesgo tecnolgico ha cobrado tal relevancia como fuente

27

COMPARACIN DE LOS RIESGOS CREDITICIOS Y DE MERCADO CON LOS RIESGOS TECNOLGICOS

Es importante reconocer las diferencias entre el riesgo financiero y el riesgo tecnolgico Esto es fundamental, porque estas diferencias bsicas son las que impiden que la medicin del riesgo tecnolgico se realice con la misma objetividad con que se mide el riesgo financiero. A continuacin se describen las principales diferencias: Primas por riesgo: los inversionistas cobran primas a modo de estmulo por la realizacin de operaciones que conllevan un riesgo crediticio o de mercado. En cambio, la nica compensacin obtenida por quienes asumen un riesgo tecnolgico es el hecho de haber evitado algn inconveniente desconocido (y el costo que supondra el control de ese riesgo). Cuando un gestor de fondos realiza una inversinriesgosa y obtiene un rendimiento superior al ndice de referencia, tanto el personal directivo de las empresas como los medios de comunicacin pueden comprender fcilmente esta operacin. A un gestor de riesgos de TI, en cambi o, le costar mucho explicar de manera convincente qu riesgo se ha controlado y qu beneficio se ha obtenido con una inversin de dos millones de dlares en medidas destinadas a preservar la seguridad de la informacin. Importancia relativa: en el sector de los servicios financieros, los riesgos crediticios y de mercado son un factor predominante. Estas clases de riesgos pueden motivar el cierre de una institucin. Los eventos que suponen un riesgo operacional o un riesgo para los sistemas pueden perjudicar a una empresa, pero es poco probable que se conviertan en causa de cierre, excepto en casos extremos. Disponibilidad de medidas de proteccin: la mayora de los riesgos crediticios y de mercado se pueden compensar mediante la adquisicin de posiciones en otros valores. La nica

medida de proteccin contra los riesgos tecnolgicos, en cambio, es la implementacin de controles internos (aunque ahora se puede disponer de un seguro que ofrece cobertura en casos muy puntuales). Medicin: los riesgos crediticios y de mercado se pueden medir e informar mediante indicaciones de valor en riesgo (VaR, "value at risk"), definicin de lmites y otras herramientas cuantitativas. No obstante, resulta difcil medir el riesgo tecnolgico. A la mayora de los gestores de riesgo les cuesta mucho incorporar nuevas herramientas que vayan ms all que el uso de los indicadores subjetivos de color rojo, mbar y verde, y sus equivalentes. Fungibilidad: en los mercados financieros, los activos son idnticos, conllevan el mismo riesgo y requieren las mismas medidas de proteccin. Por otro lado, a cualquier compaa le resultar difcil proteger un recurso tecnolgico en particular (por ejemplo, los routers de la empresa) contra un riesgo determinado, dado que, en general, ningn riesgo puede afectar simultneamente a todos los activos de esa misma clase, sino solo a una parte. El contraste con los riesgos financieros se puede ilustrar mediante el siguiente ejemplo: cuando se devala una moneda, todos los inversionistas que la utilizan se ven afectados, no solo algunos. En el campo del riesgo tecnolgico, la materializacin de un riesgo se determina de forma binaria, ya que depende de que se produzca o no un evento adverso.

A pesar de las diferencias mencionadas, los riesgos operacionales y tecnolgicos tienen muchos elementos en comn con los riesgos crediticios y de mercado. En la siguiente seccin se analizar la medicin y elaboracin de informes de riesgos en funcin de las distintas clases de riesgo operacional, crediticio y de mercado), con la finalidad de identificar los elementos comunes y las oportunidades de incorporar nuevos conocimientos a la medicin y presentacin de informes de riesgos tecnolgicos.

28

PARALELISMOS ENTRE LOS RIESGOS DE MERCADO, CREDITICIOS Y OPERACIONALES

Los gestores de riesgos financieros clasifican a los riesgos en tres categoras generales: riesgos de mercado, riesgos crediticios y riesgos operacionales. De los clculos de riesgo efectuados en el marco de cada una de estas categoras dependen el capital regulatorio y el capital econmico, y las empresas toman estos clculos como referencia para administrar su capital en funcin de los riesgos que estn dispuestas a asumir y, como corolario, de la calificacin crediticia que deseen obtener a partir de la evaluacin de las entidades calificadoras de riesgo. Riesgo de mercado El riesgo de mercado est vinculado con la posibilidad de que se produzcan prdidas por las fluctuaciones de los precios del mercado. En esta categora se incluyen los riesgos de prdidas por variaciones de precios en instrumentos financieros, tasas de cambio de divisas y materias primas (commodities). Para calcular el riesgo de mercado, es necesario conocer, bsicamente, los datos de posicin y precios. Con esta informacin, es posible calcular las correlaciones, la volatilidad y el nmero del VaR. A primera vista, las diferencias entre el riesgo tecnolgico y el riesgo de mercado parecen ser tan grandes que resultara sumamente difcil establecer cualquier paralelismo. Una de las principales diferencias entre ambas clases de riesgo est relacionada con los niveles de confianza. Cuando se evala el riesgo de mercado, se suele formular una pregunta en trminos de intervalos de confianza: cul es la peor prdida que se podra producir con un nivel de confianza de, por ejemplo, el 95 por ciento? Para responderla, es necesario calcular la distribucin de probabilidad de todos los posibles resultados y observar luego el resultado obtenido en el percentil 5 (lmite inferior). Por otro lado, la pregunta que se suele formular al gestor de riesgos tecnolgicos tiene que ver con el peor escenario posible. Quizs deberamos comenzar a evaluar el riesgo tecnolgico en funcin

de intervalos de confianza. Es decir, en lugar de centrarnos en el peor resultado posible y dejar que la discusin se desve hacia el anlisis de escenarios que el personal directivo de la empresa considera improbables, es importante plantear hiptesis plausibles que tengan un determinado nivel de confianza. Por ejemplo, si se determina que la probabilidad de perder una o varias computadoras porttiles en un ao es del 1 por ciento, podramos afirmar que existe un nivel de confianza del 95 por ciento de que no perderemos ninguna. A un nivel de confianza del 99 por ciento, sin embargo, seguira existiendo la probabilidad de que se perdiera una o varias computadoras. Si el personal directivo de una compaa quisiera mantener un nivel de confianza del 99 por ciento para reducir ese riesgo, podra tomar la decisin de encriptar las computadoras porttiles para mitigarlo. El nivel de confianza refleja, esencialmente, los riesgos que el personal directivo est dispuesto a correr, es decir su apetito de riesgo. Riesgo crediticio El riesgo crediticio es la posibilidad de sufrir prdidas de activos debido a una reduccin en la calificacin crediticia o al incumplimiento de pago por parte de los deudores de la compaa. Por lo general, esta clase de riesgos se aplica a prstamos, bonos y exposiciones de contrapartes por posiciones de derivados. Curiosamente, aunque existen numerosos modelos para medir el riesgo crediticio en el nivel de la cartera, tambin se estn adoptando enfoques de carcter distributivo, en los que se calcula la distribucin de las prdidas esperadas y el riesgo se mide en trminos de niveles de confianza en un horizonte temporal determinado (que en general comprende un ao). Las prdidas esperadas son el producto de la exposicin al riesgo crediticio (EAD, Exposure At Default), es decir, de la suma que una contraparte adeuda; de las probabilidades de incumplimiento (PD, Probabilities of Default); y de la prdida en caso de incumplimiento (LGD, Loss Given Default), que da cuenta de las

29

recuperaciones parciales. El clculo de las prdidas esperadas se realiza en funcin de estas tres variables: es decir, la prdida esperada es igual a EAD X PD X LGD. En el mbito de los riesgos tecnolgicos, la PD es la probabilidad de que se materialice un riesgo, y la LGD representa la prdida resultante en caso de producirse el incidente. La exposicin al riesgo tecnolgico se podra medir empleando un procedimiento un tanto diferente y novedoso: 1. Exposicin: en el mbito del riesgo crediticio y de mercado, la exposicin se mide en funcin del tamao de las posiciones, del tamao de la cartera o de la suma monetaria de la exposicin. El riesgo tecnolgico no puede medirse de esta manera, pero no por eso deja de ser mensurable. Los especialistas en riesgo tecnolgico suelen ser reacios a realizar todo tipo de suposiciones, dado que, en general, prefieren manejar datos precisos. En este sentido sera muy til un cambio de mentalidad, algo que puede lograrse ms fcilmente si examinamos las disciplinas relacionadas con la gestin de riesgos crediticios y de mercado, que han alcanzado un desarrollo superior. La medicin de esta clase de riesgos se basa en innumerables supuestos y modelos. Estos supuestos resultan aceptables tanto para el personal directivo de una empresa como para las autoridades reguladoras y los bancos centrales. Por ejemplo, para evaluar los valores de escaso movimiento en el mercado, muchas veces es necesario emplear modelos basados en supuestos. La exposicin al riesgo crediticio de un contrato de derivados financieros solo puede determinarse mediante el clculo de la distribucin de los valores que podra adquirir en el futuro, y estas estimaciones se apoyan en una gran cantidad de supuestos. Asimismo, el clculo de la probabilidad de que un emisor incurra en incumplimiento depende fundamentalmente de la calificacin de riesgos

y no contempla las caractersticas particulares de cada emisor en materia de capacidad financiera. El clculo de la recuperacin en caso de incumplimiento tambin se basa en supuestos, teniendo en cuenta las incontables variaciones producidas en funcin del ciclo de negocio y del sector. En otras palabras, las estimaciones y los supuestos pueden ofrecer una base aceptable para la medicin de riesgos, siempre y cuando se disponga de un marco conceptual adecuado. Si aplicamos la misma analoga al riesgo tecnolgico, podramos arribar a distintas conclusiones respecto de la clase de exposicin a la que se enfrentan los gestores de riesgos tecnolgicos. Los riesgostecnolgicos pueden clasificarse, a grandes rasgos, en las siguientes categoras: Filtracin de informacin que genera prdidas econmicas y perjuicios a la reputacin. Riesgo de continuidad del negocio por fallas en los sistemas y procesos. Ataques externos a la infraestructura, que pueden producir fallas en el funcionamiento de los sistemas o prdida de datos. Deficiencias en los procesos y flujos de trabajo que producen sistemas vulnerables a fraudes, robos o filtracin de datos.

La ltima categora es particularmente amplia, ya que abarca innumerables posibilidades. Por citar un ejemplo, podramos imaginar un sistema con graves deficiencias en su diseo, que no fuera capaz de impedir la prdida de datos o el fraude informtico por carecer de los controles adecuados. Esto incluye elementos como la segregacin de funciones en los procesos de negocios y los controles generales de la TI, destinados a evitar esta clase de riesgos. El siguiente paso consiste en determinar el grado de exposicin de una empresa a cada

30

uno de los factores de riesgo mencionados. En cuanto a los riesgos crediticios y de mercado, las exposicione se miden en trminos monetarios o por el valor de los parmetros (denominados beta) que indican la vulnerabilidad de la cartera a los factores de riesgo subyacentes. El desafo que se plantea a la hora de medir el nivel de exposicin a los riesgos tecnolgicos radica en la posibilidad de que no exista ningn procedimiento normalizado para realizar la medicin y elaborar informes de cada tipo de exposicin. No obstante, cubrir este vaco en el nivel de la empresa no debera ser una tarea demasiado compleja. De hecho, podra ser un ejercicio positivo, ya que la empresa tendra la oportunidad de definir las unidades que le resulten ms adecuadas para medir la exposicin a un riesgo. La medicin de la exposicin podra incluir la cantidad de registros de datos vulnerables, la cantidad de aplicaciones crticas que estn expuestas a Internet, la cantidad de cuentas de correo electrnico corporativas y la cantidad de servidores que alojan aplicaciones crticas. Por lo tanto, la exposicin a los riesgos tecnolgicos debera medirse en funcin de los factores determinantes de esos riesgos, y estar expresada en nmeros o en la unidad que mejor refleje la magnitud de cada riesgo. Al analizar el riesgo crediticio y el riesgo de mercado, el profesional cuenta con una gran ventaja, ya que puede medir todos los niveles de exposicin en trminos monetarios. Al medir la exposicin a los riesgos tecnolgicos, en cambio, este procedimiento no siempre resulta conveniente, dado que puede ocultar la verdadera naturaleza del riesgo. 2. Tasa de error del control (o probabilidad de incumplimiento, cuando se trata de un riesgo crediticio): el grado de exposicin es, efectivamente, el nivel de riesgo que enfrenta una compaa cuando no se aplica ningn tipo de control. Esta exposicin debe compensarse con la aplicacin eficaz de controles que estn

correctamente diseados. En el mbito de los riesgos crediticios, la exposicin se compensa con factores atenuantes, como las garantas o prendas. Asimismo, para los especialistas en riesgos tecnolgicos, la exposicin se compensa mediante la existencia de controles eficientes. Por ejemplo, una empresa puede tener una gran cantidad de servidores conectados directamente a Internet, lo que genera una exposicin al riesgo de ataque por ese medio. La presencia de un sistema de deteccin de intrusiones (IDS) adecuado, as como de otros controles, puede invalidar ese riesgo con gran eficacia, y en ese caso el riesgo residual, o la exposicin neta, podra reducirse a cero, si se tienen en cuenta los controles introducidos. La pregunta que surge al examinar este tema est relacionada con la medicin de la eficacia de los controles: cmo se puede convertir la eficacia en una tasa de error? Una vez ms, las tcnicas de auditora basada en riesgos, que tienen una probada eficacia, y el anlisis de muestras ofrecen una respuesta plausible. El anlisis de una muestra seleccionada aleatoriamente arrojar una tasa de error esperada para la poblacin total (la precisin del clculo depende del tamao de la muestra, y este depender, a su vez, del nivel de confianza que se desee obtener en la tasa de error). Si se conoce la tasa de error de un control en particular, se podr calcular el parmetro real de la poblacin. Por ejemplo, si se estima que el control no lograr impedir ni detectar una determinada falla en el proceso cada 50 transacciones, el parmetro real de la poblacin ser del 2 por ciento. Una vez obtenido el grado de exposicin y la tasa de error, se puede determinar la frecuencia de falla del control en un perodo determinado. 3. Prdida en caso de fallas en los controles (vinculada a la prdida en caso de incumplimiento en el contexto de los riesgos crediticios): podramos habernos detenido en el punto anterior. Pero tambin podemos avanzar un poco ms y determinar la prdida en caso de falla en los

31

controles. Debemos tener en cuenta que no todos los controles generarn alguna prdida. El siguiente ejemplo nos permitir ilustrar lo que hemos analizado en esta seccin. Supongamos que una compaa est expuesta a la prdida de informacin confidencial a travs del sistema de correo electrnico corporativo, y que el sistema de vigilancia de correo electrnico basado en reglas que utiliza la compaa puede bloquear eficazmente el 90 por ciento de los mensajes enviados con esa clase de informacin. El grado de exposicin de la compaa equivale, en este caso, a la cantidad de mensajes de correo electrnico que podran contener informacin de carcter reservado y no son bloqueados por el sistema de correo electrnico. Supongamos entonces que, si se vulnerara alguno de los mensajes que no estn sujetos al control de la compaa, sta podra sufrir prdidas por la suma de US$100,000. Sin embargo, no todos los mensajes que exceden los controles del sistema se envan en forma malintencionada (es posible que la mayora de esos mensajes no sean vulnerados aunque salgan del permetro de proteccin de la empresa), y es probable que la tasa de mensajes enviados en forma malintencionada represente un 0,01 por ciento de los mensajes salientes. En este punto, se puede calcular la prdida esperada (cantidad bruta de mensajes filtrados X 0.01 por ciento X US$100,000) y la prdida real en distintos niveles de confianza, para obtener un valor similar al VaR (por ejemplo, utilizando como base la distribucin de Poisson, que requiere un solo parmetro: el promedio que acabamos de calcular). Sobre la base de esta informacin, se puede persuadir al personal directivo de que mejore la eficacia del sistema de vigilancia del correo electrnico (elevando el nivel de "sensibilidad" del sistema lo cual incrementar la cantidad de falsos positivos, algo que demandar tiempo y dinero) hasta alcanzar un nivel en que el personal directivo desee mantener el riesgo residual.

Riesgo operacional El riesgo operacional es el riesgo de prdida generado por accin de procesos, personal y sistemas internos inadecuados o inoperantes, o bien por eventos externos. (En el presente artculo, se considera queel riesgo que afecta la reputacin de una empresa corresponde a la categora de riesgos operacionales, aunque el marco de Basilea que se aplica a instituciones financieras lo excluya expresamente.) Como se afirm anteriormente, el riesgo tecnolgico es un componente clave del riesgo operacional. Una de las crticas que se suele hacer en relacin con la gestin de riesgos operacionales es que emplea un enfoque verticalista, al que se considera desconectado de la realidad cotidiana del proceso de gestin de riesgos tecnolgicos. Se argumenta que est centrado en el clculo de nmeros para la adecuacin de capital para satisfacer las exigencias de las entidades reguladoras y del personal directivo, y que no ayuda a identificar las medidas que realmente se debera adoptar para abordar un riesgo. Sin embargo, los especialistas en riesgos operacionales utilizan una herramienta fundamental: el anlisis de escenarios, que permite calcular la frecuencia y el impacto de las prdidas y que, al mismo tiempo, logra atraer la atencin de los gerentes respecto de la importancia de la gestin de riesgos, mediante la participacin en ejercicios de anlisis de escenarios. El marco de Basilea exige la implementacin genrica de la tcnica de medicin avanzada (AMA, advanced measurement approach). Un modelo genrico para un plan de control de riesgo operacional (figura 1) funciona de la siguiente manera: Los riesgos operacionales se definen como el producto de la frecuencia y severidad de los eventos de prdida: La frecuencia es la cantidad de eventos de prdida producidos durante un perodo dado.

32

La severidad es el impacto que tiene un evento en funcin de la prdida materializada. Frecuencia programada; la frecuencia de las prdidas se planifica mediante una tcnica de distribucin adecuada (por lo general, la distribucin binomial o de Poisson). Estas distribuciones solo requieren un par de parmetros (incluso es posible emplear uno solo), que se pueden calcular del siguiente modo: Frecuencia de prdida esperada = Probabilidad de prdida X Cantidad de eventos, Transacciones, etc. Ejemplo: Supongamos que la probabilidad de fraude con tarjeta de crdito representa el 0.01 por ciento del total de las transacciones realizadas con ese medio de pago, y que la cantidad de transacciones previstas en el horizonte temporal de las prdidas es 1,000,000. En tal caso, la frecuencia de prdida esperada, o , es igual a 0.01 por ciento X 1,000,000 = 100. Partiendo de algunos supuestos, podemos obtener una distribucin de la frecuencia. Modelado de la Severidad; la severidad de las prdidas se mide mediante la tcnica de distribucin lognormal, y se utilizan sesiones grupales (tipo "focus group"), discusiones de hiptesis, etc., para determinar una media y una varianza ( y ). El producto de los dos clculos se obtiene con el mtodo de simulacin de Monte Carlo: se

toma un valor aleatorio de la distribucin de la frecuencia y otro de la distribucin de la severidad, se les multiplica y se obtiene un punto de datos. Repita este ejercicio varias veces hasta obtener la cantidad necesaria de puntos de datos para crear una distribucin de prdidas. La prdida se calcula en el percentil quinto o primero, segn el nivel de confianza deseado.

CONCLUSIONES PARA ELABORACIN DE INFORMES RIESGOS TECNOLGICOS

LA DE

En el anlisis anterior procuramos examinar con atencin las herramientas que los gestores de riesgos utilizan en el mbito financiero, dado que estas herramientas tienen mucho para ofrecer al gestor de riesgos tecnolgicos. A continuacin mencionaremos las claves que se deben recordar: 1. Piense en trminos de niveles de confianza y probabilidades de materializacin de un riesgo. 2. No intente comunicar sus conclusiones respecto de los riesgos partiendo del peor de los casos; mencinelo, pero no como nica alternativa. 3. Defina el nivel de riesgo admisible Con qu probabilidad estara dispuesta la compaa o su personal directivo a admitir la materializacin de un riesgo determinado? Planifique la implementacin de controles que prevean la materializacin del riesgo en funcin de esta probabilidad. 4. Aclare y defina las exposiciones a riesgos y los factores determinantes en trminos numricos.

33

5. Evale los controles supervisando las tasas de error (tanto las que se calculen empricamente como las que se obtengan mediante anlisis de muestras). Realice un seguimiento de estas tasas a travs del tiempo. 6. Utilice los anlisis de escenarios no solo para descubrir o cuantificar riesgos, sino tambin como recurso para educar a los gerentes respecto de los posibles riesgos. 7. Realice suposiciones utilizando su propio criterio para cubrir la falta de datos al medir y elaborar informes de riesgos, pero identifique claramente las reas en las que falta informacin. 8. Si las suposiciones no coinciden con las observaciones posteriores, corrija los supuestos todas las veces que haga falta. 9. Procure realizar una distribucin de prdidas para determinar las prdidas por riesgos tecnolgicos en distintos niveles de confianza y mejorar los resultados obtenidos con el transcurso del tiempo. 10. Aporte sus propias conclusiones en materia de exposicin a riesgos a partir de la observacin de las prdidas producidas en otras compaas del sector. 11. Por ltimo, cuando deba comunicar sus

conclusiones sobre los riesgos observados, emplee un vocabulario llano, sin trminos especializados; procure alcanzar un nivel de precisin razonable en lugar de aspirar a la precisin absoluta; adopte una visin ms amplia; y propicie el dilogo y el intercambio de opiniones. Si bien es indudable que la medicin de riesgos tecnolgicos evolucionar con el tiempo, es indispensable que el gestor de riesgos tecnolgicos est atento a las tcnicas empleadas para medir el riesgo en otras disciplinas relacionadas y, en la medida de lo posible, que incorpore una o dos herramientas que puedan contribuir para que esta actividad se transforme en una ciencia, sin dejar de ser un arte. REFERENCIAS
Comit de Basilea para la Supervisin, Basel II: International Convergence of Capital Measurement and Capital Standards: A Revised FrameworkComprehensive Version Hull, John C.; Options, Futures and Other Derivatives, Prentice Hall, 2005 Index of Cyber Security, www.CyberSecurityIndex.org

34

Estamos en la mejor disposicin de atenderles Oficina: De Romanas Ballar, 600 m Oeste, Segundo Piso Colegio Contadores Pblicos Los Colegios San Jos, Costa Rica Telfono: (506) 2240-0100 Telefax: (506) 2241-0393 Correo Electrnico: administracion@isacacr.org

Boletn Electrnico - Equipo de edicin: Mauricio Mata Oscar Madrigal

35