GESTIÓN DE RIESGOS DE LAS TECNOLOGÍAS DE LA …

i

GESTIÓ N DE RIESGOS DE LAS TECNO LOGÍAS DE LA INFO RMACIÓN (TI) EN EL

SECTOR BANCARIO COLOMBIANO, SU IMPLEMENTACIÓ N A TRAVÉS DE LA

CIRCULAR 052 DE LA SUPERINTENDENCIA FINANCIERA COLO MBIANA Y SU

ES TUDIO DESDE EL MARCO DE GESTIÓN DE RIESGOS DE TI 4A

Documento presentado por: Andrés Cheng Chica

Santiago Pinilla Millán

Juan David Villa Calle

Asesorado por:

Lizeth Andrea Herrera Suescún

Presentado al Departamento de Ingeniería de Sistemas y Computación

Como requisito para la obtención del grado de

Ingeniería de Sistemas y Computación

Universidad de los Andes

Bogotá, Colombia

Mayo, 2009

ii

“We shall go on to the end.

We shall fight in France,

We shall fight on the seas and oceans,

We shall fight with growing confidence and growing strength in the air.

We shall defend our island, whatever the cost may be.

We shall fight on beaches, we shall fight on the landing grounds,

We shall fight in the fields and in the streets.

We shall fight in the hills,

We shall never surrender”

Sir Winston Leonard Spencer Churchill .

Extracto del Segundo Discurso del 4 de Junio de 1940 durante la Segunda Guerra Mundial .

Cámara de los Comúnes del Parlamento Británico, Londres, Reino Unido.

iii

AGRADECIMI ENTOS

Santiago Pinilla Millán agradece a: mis papás, mi familia, Alba Aurora Román de Millán, German

Millán Román y a mi novia Catalina Pineda Rodríguez.

This was made by: Andres Cheng, Santiago Pinilla and Juan David Villa

Andres Cheng Chica agradece a: mi familia, Lung–Chi Cheng, Amanda Chica y Jonathan Cheng; a

Miguel Alba, Jonatan Collante y Daniel Mart inez.

Juan David Villa agradece a: mis padres y t ios por su apoyo y cariño durante toda la carrera. Y a

nuestra asesora de tesis Andrea Herrera Suescún por todo el empeño y dedicación que dedicó al

asesorarnos.

iv

ÍNDICE GENERAL

PARTE A.................................................................................................................................. 1

I. ARTÍCULO ............................................................................................................ 2 II. PRESENTACIÓN .................................................................................................... 8

PARTE B .................................................................................................................................15

III. CAPÍTULO 1: INTRODUCCIÓN.........................................................................16 1.1. ANTECEDENTES ....................................................................................................16

1.2. JUSTIFICACIÓN......................................................................................................19 1.3. OBJETIVO GENERAL...............................................................................................20 1.4. OBJETIVOS ESPECÍFICOS .........................................................................................20 1.5. ALCANCE ............................................................................................................21

1.6. METODOLOGÍA .....................................................................................................21 1.7. RESULTADOS ESPERADOS .......................................................................................22 IV. CAPÍTULO 2: MARCO TEÓRICO ......................................................................23 2.1. INTRODUCCIÓN AL MARCO DE GESTIÓN DE RIESGOS DE TI..............................................23

2.1.1. Objetivos de negocio: Disponibilidad, Acceso, Precisión y Agilidad ...........................25 2.1.2. ¿Cómo funciona el 4A?......................................................................................26 2.1.3. Disciplinas Fundamentales (Core Disciplines) .......................................................27 2.1.4. Criterios de selección de las disciplinas ................................................................32

2.2. PERFIL DE RIESGOS DE TI........................................................................................34 2.3. SISTEMA FINANCIERO COLOMBIANO Y CIRCULAR EXTERNA 052 DE LA SFC ......................36 2.4. GLOSARIO DE TÉRMINOS CIRCULAR VS MARCO ...........................................................40

2.4.1. Criterios de Seguridad de la información ..............................................................40 2.4.2. Criterios de Calidad de la información .................................................................41 2.4.3. Descripción en detalle de la circular 052 de la SFC ................................................41 2.4.4. Categorización general de los numerales de la circular 052 en los objetivos de negocio, por

tipo de medidas y en las disciplinas del marco de gestión de riesgos 4A ..................................43 2.4.5. Categorización individual de cada numeral de la circular 052 ..................................45 2.4.6. Perfil de riesgos aplicado a la circular 052 ...........................................................55

V. CAPÍTULO 3: CASOS DE ESTUDIO........................................................................57 3.1. BANCO A ............................................................................................................59

v

3.1.1. Descripción del Banco.......................................................................................59 3.1.2. Proceso seleccionado ........................................................................................60 3.1.3. Análisis de disciplinas del Proceso seleccionado y su relación con la circular 052 ........63 3.1.4. Perfil de riesgos de TI del proceso seleccionado .....................................................67

3.2. BANCO B.............................................................................................................69 3.2.1. Descripción del banco .......................................................................................69

3.2.2. Proceso seleccionado ........................................................................................70 3.2.3. Análisis de disciplinas del Proceso seleccionado y su relación con la Circular 052 .......75 3.2.4. Perfil de riesgos Actual del Proceso seleccionado ...................................................81

3.3. BANCO C.............................................................................................................84

3.3.1. Descripción del Banco.......................................................................................84 3.3.2. Descripción del proceso .....................................................................................85 3.3.3. Análisis de Disciplinas del proceso seleccionado y su relación con la Circular 052.......88 3.3.4. Perfil de riesgos de TI Actual del proceso seleccionado ...........................................93

3.4. BANCO DE LA REPÚBLICA .......................................................................................98 3.4.1. Descripción del Banco.......................................................................................98 3.4.2. Descripción del Proceso ....................................................................................99 3.4.3. Análisis de disciplinas del Proceso seleccionado .................................................. 103

3.4.4. Perfil de riesgos de TI Actual del proceso seleccionado ......................................... 106 VI. CONCLUSIONES............................................................................................. 109 4.1. COMPARACIÓN DE LOS PERFILES DE RIESGO IDEALES Y ACTUALES ELABORADOS PARA CADA BANCO

109

4.2. COMPARACIÓN ENTRE LA TEORÍA (MARCO 4A Y CIRCULAR 052 DE LA SFC) Y LA REALIDAD

(MEDIDAS IMPLEMENTADAS EN CADA UNO DE LOS BANCOS) ..................................................... 112 4.3. ANÁLISIS DE LAS DISCIPLINAS DEL MARCO 4A........................................................... 113 4.4. TRABAJOS FUTUROS ............................................................................................ 114

VII. ANEXOS ......................................................................................................... 115 VIII. BIBLIOGRAFÍA .............................................................................................. 149

vi

ÍNDICE DE FIGURAS

Figura 1 – Pirámide 4A............................................................................................................ 25

Figura 2 – Proceso de Gobierno de Riesgos de TI. ..................................................................... 30

Figura 3 – Perfil de Riesgos de TI. ........................................................................................... 35

Figura 4 – Visión del sistema financiero colombiano 1............................................................... 37

Figura 5 – Visión del sistema financiero colombiano 2............................................................... 38

Figura 6 – Relaciones entre los criterios de seguridad y calidad de la información y los objet ivos de

negocio del marco 4A .............................................................................................................. 41

Figura 7 – Análisis 4A vs circular 052. ..................................................................................... 43

Figura 8 – Nivel Ejecutivo vs. Nivel Operat ivo ......................................................................... 44

Figura 9 – Disciplinas en la circular 052. .................................................................................. 44

Figura 10 – Análisis 4A vs numeral 3 (circular 052). ................................................................. 45

Figura 11 – Nivel Ejecutivo vs Nivel Operat ivo en el numeral 3 (circular 052). ........................... 46

Figura 12 – Disciplinas en el numeral 3 (circular 052)................................................................ 46













Figura 25 – Niveles de riesgo de TI para los objet ivos de negocio de la circular 052 .................... 55

Figura 26 – Perfil de riesgos de TI para la Circular 052. ............................................................. 56

Figura 27 – Dominio de las variables de impacto en el negocio .................................................. 58

Figura 28 – Escala de medición de los riesgos de TI. ................................................................. 58

vii

Figura 29 – Banco A, Diagrama de las actividades del proceso de negocio. ................................. 60

Figura 30 – Banco A, Clasificación de las act ividades del proceso en los sistemas de información

que las soportan....................................................................................................................... 61

Figura 31– Banco A, Perfil de Riesgo de TI Ideal del proceso seleccionado ................................ 63

Figura 32 – Banco A, Jerarquía manejo de riesgos en el proceso................................................. 64

Figura 33 – Base de T I del Banco A ......................................................................................... 65

Figura 34 – Banco A, Perfil de Riesgo de TI Actual del proceso seleccionado ............................. 68

Figura 35 – Banco B, Proceso de Compra y venta de t ítulos valores en la Mesa de Dinero ........... 71

Figura 36 – Banco B, Clasificación de las act ividades del proceso en los sistemas de información

que las soportan....................................................................................................................... 74

Figura 37 – Banco B, Perfil de Riesgo de TI Ideal del proceso seleccionado................................ 75

Figura 38 – Banco B, organigrama de roles encargados de supervisar el acceso a los sistemas de

información ............................................................................................................................ 76

Figura 39 – Base de T I del Banco B.......................................................................................... 78

Figura 40 – Banco B, Perfil de Riesgos de T I Actual del proceso seleccionado ............................ 83

Figura 41 – Banco C, diagrama de las act ividades del proceso de negocio ................................... 85

Figura 42 – Banco C, clasificación de las act ividades del proceso en los sistemas de información

que las soportan....................................................................................................................... 86

Figura 43 – Banco C, Perfil de Riesgo de TI Ideal del proceso seleccionado................................ 87

Figura 44 – Banco C, Jerarquía de roles en el área de T I ............................................................ 88

Figura 45 – Base de T I del proceso seleccionado en el Banco C ................................................. 91 Figura 46 – Banco C, Perfil de Riesgos de T I Actual del proceso seleccionado ............................ 97

Figura 47 – Diagrama del proceso de compensación de cheques en el Banco de la República ..... 100

Figura 48 – Diagrama del proceso de devolución de cheques en el Banco de la República.......... 100

Figura 49 – Banco de la República, Perfil de Riesgos de T I Ideal del proceso seleccionado ........ 103

Figura 50 – Base de T I del proceso seleccionado en el Banco de la República ........................... 104

Figura 51 – Roles de gest ión de riesgo Banco de la República .................................................. 105

Figura 52 – Perfil de Riesgos de TI Actual Banco de la República ............................................ 107

Figura 53 – Perfiles de riesgo ideal de los cuatro casos de estudio............................................. 109

Figura 54 – Perfiles de Riesgo de TI actual de los cuatro casos de estudio ................................. 111

1

PARTE A

2

I. ARTÍCULO

GESTIÓN DE RIESGOS DE TI EN EL SECTOR BANCARIO COLOMBIANO

Juan David Villa Calle Universidad de los Andes

dav–[email protected]

Santiago Pinilla Millán Universidad de los Andes

sa–[email protected]

Andrés Cheng Chica Universidad de los Andes

a–[email protected]

ABSTRACT La ley 91 de 1991 y la resolución 21 de 1993 comenzaron la apertura del sistema financiero colombiano a los mercados internacionales [3]. Esto forzó al sistema financiero local a acoplarse a los sistemas internacionales y a pasar de ser un sistema proteccionista a estar expuesto a crisis, medidas económicas, acuerdos y regulaciones mundiales. Entre estas regulaciones reconocidas a nivel mundial, una de las más importantes es Basilea II, creada en el año 2004 por el Comité de Basilea en supervisión bancaria [3]. En dicho acuerdo se discutió la importancia del riesgo operacional como parte de los riesgos financieros y se consideró al riesgo tecnológico como parte de los riesgos operativos. Sentado este precedente, los riesgos derivados de las tecnologías de información (TI) son de gran importancia hoy más que nunca para las compañías en general y particularmente para el sector Bancario. En este trabajo se analiza cómo los bancos con operaciones en Colombia toman medidas para controlar el riesgo de TI, y cómo los entes encargados de la regulación del sector emiten normas para garantizar la efectividad de dichas medidas.

Palabras Clave Tecnologías de la Información, Marco de gestión de riesgos de TI, Ventaja competitiva, Sector Bancario, Disponibilidad, Acceso, Precisión, Agilidad, P erfil de riesgos de TI, Circular externa 052 de la Superintendencia Financiera de Colombia (SFC).

1. INTRO DUCCIÓN Los grandes avances tecnológicos de los últimos años se han convertido en una fuente de competitividad para las empresas [1]. Éstas, hacen grandes inversiones en nuevas adquisiciones de sistemas ERP (Enterprise resource planning) o sistemas CRM (Customer relationship management), para tener una visión integrada del negocio y brindar un mejor servicio al cliente. Con el fin de maximizar las utilidades sobre dichas inversiones, se ha vuelto muy importante analizar, además de las ventajas, los nuevos riesgos que genera el uso de TI para el negocio. Para tal fin, durante los últimos años se han creado marcos de referencia sobre la gestión de riesgos de TI, que buscan a través de diferentes mecanismos explicar las consecuencias de fallos de las aplicaciones y de la infraestructura tecnológica en los procesos de negocio [2].

Uno de estos marcos de gestión de riesgos de TI es el Marco 4A [1], en donde los riesgos de TI se clasifican según el impacto que pueden generar sobre el negocio, en cuatro objetivos, a saber Agilidad, Acceso, Disponibilidad y P recisión. Además de esta clasificación, dicho marco propone tres disciplinas que una compañía debería implementar para disminuir los niveles de riesgo de TI, estas disciplinas son Base Tecnológica, Gobernabilidad y Cultura. Este marco será usado como guía en esta investigación y más adelante será explicado en mayor profundidad. Esta investigación se centra en la gestión de riesgos de TI en el sector bancario, ya que este sector presenta grandes niveles de innovación en la prestación de servicios a través de herramientas tecnológicas, tiene una extensa experiencia en el control de riesgos, “ sus procesos de negocio y productos están sujetos a regulaciones como Basel II, Gramm–Leach–Bliley y USA P atriotict Act”1 y a circulares y reglamentaciones emitidas por la SFC y el Banco de la Repúbica en el caso Colombiano.

En el sector bancario colombiano, el uso de TI como canal de comunicación con sus clientes y herramienta para soportar los procesos de negocio, ha permitido alcanzar mayores niveles de eficiencia, menores costos operativos y mayor satisfacción del cliente. Esta estrecha relación entre el funcionamiento adecuado de TI y el rendimiento del negocio ha cambiado el rol de TI al interior de los bancos, al pasar de ser un área de soporte a ser una ventaja competitiva que permite tener una mayor agilidad para adaptarse a los cambios y por ende una mayor competitividad [1]. Al reconocer dicha importancia de TI para el negocio, los bancos se han percatado que su alta dependencia en ésta, aumenta considerablemente su exposición a los riesgos tecnológicos y en consecuencia se ha creado la necesidad de considerar los riesgos de TI en términos de costos financieros, continuidad del negocio e imagen corporativa. P ara comprender de que manera los bancos reaccionan a esta alta dependencia, como trabajo de campo de esta investigación se analizan bajo la perspectiva del marco de gestión de riesgos 4A y de la circular 052 de la SFC, las medidas tomadas por cuatro bancos con operaciones en Colombia, tres de naturaleza privada y uno de naturaleza pública: el Banco de la República, para implementar una gestión de riesgos de TI adecuada en términos de las necesidades del negocio. Se hace especial énfasis en la reglamentación impuesta por la circular 052

1 WESTERMAN G., HUNTER, R. IT Risk: Turning Business

Threats Into Competitive Advantage. 2007. p170.

3

y en las medidas adicionales tomadas por los bancos para complementarla. El resultado de dicha investigación, adicional a lograr el objetivo propuesto, es empleado por el Ingeniero Luis Carlos Figueroa en su tesis de Maestría “ Guía de mejores prácticas en gestión de riesgos de TI en el sector bancario colombiano”[4] como una muestra de prácticas en la gestión de riesgos de TI, para luego, con base en los marcos de trabajo de gestión de riesgos BS 31100 [5], y los marcos de gestión de riesgos de TI 4A, y Risk IT del ITGI, extraer de ésta las mejores prácticas y construir una guía de mejores prácticas de gestión de riesgos de TI en el sector bancario colombiano. A continuación se muestra la estructura de este artículo, primero se presenta el marco teórico empleado, en donde se ahonda en el marco de gestión de riesgos de TI 4A, el Sector Bancario Colombiano y la Circular externa 052 de la SFC, luego se presenta el trabajo desarrollado en cada uno de los Bancos estudiados y por último se presentan las conclusiones.

2. MARCO TEÓ RICO En este capítulo se explicarán primero las características principales del marco de gestión de riesgos de TI 4A. Luego se describirá el actual sector financiero colombiano y sus regulaciones vigentes, haciendo énfasis en aquellas impuestas por la SFC a través de la circular externa 052 respecto a la seguridad y calidad de la información en los canales de distribución de los establecimientos de crédito. Por último, para unificar y comparar los criterios de seguridad y calidad de la circular 052 con los objetivos de negocio propuestos en el marco 4A, se clasificarán las medidas de la circular según los cuatro objetivos de negocio del marco 4A y se exhibirá un glosario de términos que unifique las definiciones usadas en la circular y en el marco 4A.

2.1. Marco de gestión de riesgos en TI 4A “Este marco de TI está basado en investigaciones del Center for Information Systems Research del MIT Sloan School of Management (MIT CISR) y en programas ejecutivos de Gartner Inc, donde se presentan enfoques inefectivos y efectivos en el manejo de riesgos de TI, con el fin de proveer una aproximación, ilustrada con ejemplos reales, al entendimiento y manejo de los riesgos de negocio embebidos en los activos, procesos y personal de TI.”2 El nombre del marco viene de las iníciales de cuatro objetivos de negocio, en inglés: Availability, Access, Accuracy y Agility, o en español, Disponibilidad, Acceso, P recisión y Agilidad; en los cuales se clasifican los beneficios que se pueden obtener si se tiene una correcta gestión del riesgo de TI. A continuación se explica cada objetivo de negocio [1]. Disponibilidad: Mantener los sistemas y sus procesos de negocio operativos, y recuperarlos ante posibles interrupciones o incidentes. Acceso: Asegurar la entra apropiada a datos y sistemas, pues de esta forma únicamente las personas autorizadas tendrán el ingreso a la información que requieran y en caso contrario, estarán restringidas.

2 WESTERMAN G., HUNTER, R. IT Risk: Turning Business Threats Into Competitive Advantage. 2007.

Precisión: P roveer de manera correcta, a tiempo y completa la información requerida por la gerencia, empleados, clientes, proveedores y entes regulatorios. Agilidad: Capacidad de cambiar con costos y velocidad aceptables. Con estas definiciones, las empresas deben identificar que riesgos afrontan en cada objetivo de negocio, para esto, el marco 4A provee un instrumento con un conjunto de preguntas que le permiten a los ejecutivos de tecnología y de otras áreas del negocio tener una perspectiva, transversal a la organización, del impacto de TI. El instrumento está dividido en dos niveles, uno ejecutivo y otro operativo, el primero pretende ayudar a los ejecutivos externos al área de tecnología a darle una dirección acertada a los esfuerzos en el manejo de riesgos de TI, y el nivel operativo se enfoca en que las personas encargadas de la operación puedan examinar que tan bien están los activos, las personas y la entrega de procesos de TI para identificar falencias que se necesiten corregir y prioridades que se necesiten cambiar para alinear la planeación ejecutiva con la implementación operativa. Con las respuestas a estas preguntas se crea un perfil de riesgos de la compañía o proceso para el cual fueron aplicados los instrumentos. Un perfil de riesgos es “ una herramienta para comunicar la exposición relativa y tolerancia al riesgo de una empresa, en los cuatro objetivos de negocio (Acceso, Precisión, Agilidad y Disponibilidad)”3 ya que de esta forma se puede crear un plan para disminuir los riesgos de TI en cada objetivo de negocio. En la siguiente pirámide de riesgos de TI, se presentan algunos riesgos en cada objetivo de negocio que se pueden obtener en la aplicación del instrumento.

Figura 1 – Pirámide 4A4

En la anterior figura, cada nivel es un objetivo de negocio y en su interior están algunos ejemplos de riesgos de TI que se deben mitigar. La pirámide indica que según el nivel en el que se encuentra cada objetivo de negocio, se tiene dependencia en aquellos riesgos que están ubicadas por debajo. Una vez se han identificado los principales riesgos de TI, se deben construir capacidades para mitigarlos, el marco 4A presenta una serie de Disciplinas que ayudan a hacerlo. P ara concluir la introducción del marco 4A es importante comprender que su objetivo principal es desarrollar una definición, común a toda la organización, de qué es el riesgo de TI

3 Ibídem 4 Ibídem

4

y desarrollar una metodología eficaz para controlarlo que consiste en desarrollar las tres disciplinas mostradas en la figura 2.

Figura 2 – Disciplinas para la gestión de riesgos, marco 4A

Con dichas disciplinas las personas logran comprender como el riesgo de TI no se reduce al área de tecnología y que su inatención puede tener consecuencias a nivel de todo el negocio (Disciplina de cultura), obligando a considerarlo de igual forma co mo se hace con cualquier otro tipo de riesgo, en términos de costo–beneficio (Disciplina de gobierno), con medidas que busquen simplificar la infraestructura y aplicaciones instaladas (Base tecnológica).

Con las anteriores herramientas teóricas se busca contextualizar el marco 4A [1] en el sector bancario Colombiano, con el fin de encontrar similitudes entre los marcos de gestión de riesgos de TI nacionales (circular 052) con los internacionales. En la siguiente sección se explica la parte del marco teórico correspondiente al sector Bancario Colombiano, donde se desarrolla el trabajo de campo de la investigación, y la parte de su reglamentación que regula el uso de TI, por medio de la circular 052 de la SFC.

2.2. Sector Bancario Colombiano y Circular externa 052 de la SFC En la siguiente figura se presentan gráficamente los participantes e interacciones del sistema financiero nacional.

Figura 3 – Visión del sistema financiero colombiano5

5 Serrano, Rodríguez Javier. Mercados Financieros. Visión del sistema financiero colombiano y de los principales mercados financieros internacionales.

Como se puede apreciar en la figura 3, las actividades de regulación y control sobre el sector bancario Colombiano son llevadas a cabo por el Banco de la República y la SFC. Los propósitos de estas regulaciones son proteger al ahorrador y al accionista, reglamentar las funciones que pueden realizar los intermediarios financieros y controlar y sancionar las operaciones indebidas [3]. P ara este último propósito, la SFC emite resoluciones y circulares que todas las entidades supervisadas deben implementar. En particular la circular 052 de la SFC es una iniciativa que busca disminuir el riesgo tecnológico en los bancos con operaciones en Colombia. En especial, determina los “ Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios”6. A continuación se presenta un análisis en el cual dicha circular es clasificada en los objetivos de negocio del marco 4A, con el fin de relacionar los dos principales marcos teóricos de ésta investigación y llevar al contexto Colombiano al marco 4A.

2.3. Análisis según el marco 4A de la circular 052 de la SFC La circular 052 de la SFC está dividida en los siguientes siete numerales [6]: 1) Ámbito de aplicación 2) Definiciones y criterios de seguridad y calidad 3) Obligaciones generales 4) Obligaciones adicionales por tipo de canal 5) Reglas sobre actualización de software 6) Obligaciones específicas por tipo de medio – Tarjetas débito y

crédito 7) Análisis de Vulnerabilidades

Los primeros dos numerales informan que instituciones deben acatar las medidas expuestas en la circular y definen el tipo de criterios que se van a evaluar y los numerales 3 al 7 clasifican las medidas que se deben cumplir en: medidas generales, en medidas por cada tipo de canal empleado para prestar servicios a los clientes y en análisis de vulnerabilidades. Con base en la anterior explicación de la circular 052 de la SFC se hace un análisis que relaciona la reglamentación Colombiana con las prácticas académicas del marco 4A para tener un marco teórico especializado en el sector bancario nacional que permita una mayor comprensión del entorno Colombiano. Los numerales 1 y 2 de la circular 052 de la SFC se usaron para generar un glosario de términos comunes entre el marco 4A y la circular, debido a la necesidad de igualar los criterios de riesgos de TI que presentan ambos marcos de gestión de riesgos de TI. El análisis de los numerales del 3 al 7, mencionados anteriormente, consiste en clasificar cada numeral según las disciplinas y los objetivos de negocio del marco 4A que buscan mejorar, para determinar qué aspectos recomendados por autores

6SUPERINTENDENCIA FINANCIERA DE COLOMBIA. CIRCULAR EXTERNA 052 DE 2007: Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios.

Gobierno

Cultura

Base Tecnológica

5

internacionales, son o no son incluidos por la regulación colombiana.

A partir de dichas categorizaciones se generaron las siguientes estadísticas.

Figura 4 – Análisis de la circular 052 bajo los objetivos de

negocio del marco de gestión de riesgos 4A.

En la figura 4 se observa cómo el 79% de los numerales de la circular están bajo los objetivos de negocio de Acceso y Precisión. Esto se puede explicar dado que los criterios definidos por la circular para la calidad y la seguridad en el manejo de la información, clasifican total o parcialmente dentro de estos dos objetivos de negocio.

Figura 5 – Análisis de la circular 052 bajo las disciplinas del marco de gestión de riesgos 4A.

En la figura 5 se hace evidente que la mayoría de medidas de la circular hacen referencia a mejorar la Base tecnológica instalada (74%) y a mejorar la Gobernabilidad de TI en la organización (24%), “ esto se debe a que la mayoría de las actividades propuestas por dicha circular son de índole tecnológico”7, por otro lado la disciplina de Cultura con solo el 2% hace evidente que en este tema la circular permite una mayor libertad a la hora de emitir medidas de cómo los bancos deben incentivar una cultura organizacional que busque mitigar el riesgo de TI. La anterior clasificación de la circular en los objetivos de negocio del marco 4A permite tener una visión enfocada al negocio de una serie de

7 CHENG A, P INILLA S, VILLA J. Gestión de riesgos de las tecnologías de la información (TI) en el sector bancario colombiano, su implementación a través de la circular 052 de la superintendencia financiera colombiana y su estudio desde el marco de gestión de riesgos de TI 4A.

medidas técnicas que será muy útil para generar el perfil de riesgo de TI para una organización.

Esta sección se finaliza con la elaboración del perfil de riesgos a nivel general de toda la circular presentado en la siguiente figura, que se obtiene de la investigación de riesgos de TI en el sector Bancario Colombiano [7].

Figura 6 – Perf il de riesgos de la circular 052 de la SFC

Con base en esta figura se concluyó que la circular 052 tiene un perfil con niveles de riesgo altos para los objetivos de Disponibilidad y Agilidad y niveles de riesgo bajos para la P recisión y el Acceso, esto quiere decir que es más vulnerable o tolerante al riesgo en Disponibilidad y Agilidad que en P recisión y Acceso; ya que comparativamente la mayoría de las medidas en la circular se enfocan en Acceso y Precisión. Una vez explicado el marco teórico, a continuación se muestra el trabajo desarrollado en los casos de estudio con el fin de comparar y analizar como las instituciones bancarias con operaciones en Colombia minimizan el riesgo de TI.

3. TRABAJO DESARRO LLADO En este capítulo se identifica de qué forma los bancos estudiados complementan las medidas dispuestas en la circular, para tener una gestión de riesgos de TI más eficiente en un proceso específico. Es importante aclarar que para cada banco estudiado el proceso seleccionado no necesariamente es el mismo.

3.1. Herramienta Usada P ara la obtención de la información en cada caso de estudio, se aplicó un instrumento para la formulación de preguntas de nivel ejecutivo [1].

3.2. Casos de Estudio Cada caso contiene la descripción del proceso estudiado, la aplicación del instrumento y el perfil de riesgo del proceso. La muestra tomada, corresponde al Banco de la República y a tres instituciones bancarias cuyos nombres han sido cambiados por motivos de confidencialidad. De un total de 18 instituciones de crédito que actualmente operan en el país, la muestra corresponde al 17% del total y por ende se puede considerar como una muestra indicativa del sector, la información completa de los casos de estudio está disponible en la investigación de riesgos de TI en el sector Bancario Colombiano [7]. B anco A: Este banco es una entidad financiera de naturaleza mixta (productos de banca de inversión y de banca comercial) de carácter privado fundada en Colombia hace menos de cincuenta

16,58%

40,64%38,50%

4,28%

Clasificación numerales 3-7 por objetivos de negocio del marco 4A

Total de Disponiblidad

Total de Acceso

Total de Precisión

74%

24%

2%

Clasificación numerales 3-7 por disciplinas

Total Base

Total Gobierno

Total Cultura

6

años, actualmente posee un grupo de empresas afiliadas y relacionadas, con presencia en 5 países. Ofrece servicios para personas naturales y empresas. El proceso de estudio seleccionado fue “ Transacciones bancarias a través de internet”. B anco B: Es un banco de inversión y por ende se diferencia principalmente de los bancos comerciales en que no capta dinero del público, entre sus funciones principales están la administración de portafolios de inversión, la asesoría en compra y venta de empresas, fusiones entre empresas, y escisiones de activos. El proceso de estudio seleccionado fue “ Compra y venta de títulos valores en la Mesa de Dinero”. B anco C: Es una entidad financiera de índole mixta, es decir es un banco comercial y de inversión, el cual se destaca en los primeros lugares del escalafón de empresas con mayor retorno de utilidades en el año 2008. El proceso de estudio seleccionado fue “ Transacciones bancarias a través de internet”

B anco de la República: Actualmente es la institución que emite y administra la moneda legal y ejerce la función de banquero de bancos. Además, controla los sistemas monetario (el dinero), crediticio (las tasas de interés) y cambiario (la tasa de cambio) del país. El proceso de estudio seleccionado fue “ Proceso de compensación de Cheques”.

P or último, a continuación están las conclusiones de los casos de estudio.

4. CONCLUSIONES Las conclusiones serán presentadas de un nivel particular a un nivel general, empezando por la comparación de los perfiles de riesgos de TI de cada uno de los bancos estudiados, hasta los trabajos futuros que se pueden generar a partir de esta investigación. Comparación de los perfiles de riesgo de TI Ideales de los casos de estudio

Figura 7 – Perfiles Ideal de Riesgo de los casos de Estudio

De la anterior figura, Al comparar los perfiles de riesgo de los Bancos A y C que tienen el mismo proceso estudiado “ Transacciones sobre internet” se observa que se tienen prioridades distintas en algunos objetivos de negocio, por ejemplo, aunque en disponibilidad y acceso ambos tienen niveles bajos de riesgo, el Banco A presenta un nivel de riesgo mayor para el objetivo de P recisión de los datos mientras que para el banco C es más bajo, y por otro lado el banco C tiene un nivel de

riesgo medio para el objetivo de Agilidad mientras que para el Banco A es bajo.

Lo anterior quiere decir que para un mismo proceso, que tiene actividades muy similares en los dos casos de estudio, se le puede dar más importancia a un objetivo que a otro. Del caso de estudio del Banco A se hace evidente que no se tienen controles claros para garantizar la Precisión de los datos, por el contrario se le da mayor importancia a los controles de Acceso y por ende se tiene un riesgo medio en Precisión. En el caso del Banco C la Agilidad no es tan importante ya que es un tema que en ese Banco solo involucra al área de TI y adicionalmente actualmente no se tienen nuevos proyectos relacionados que demanden una alta Agilidad.

Comparación de los perfile s de rie sgo de TI Actuales de los casos de e studio Los perfiles de riesgo ideales sirven como una guía para dirigir los esfuerzos que están encaminados a mitigar los riesgos de TI, pero de la visión ideal a la situación actual normalmente hay una diferencia. En la siguiente figura se muestran los perfiles de riesgo actuales para los Bancos.

Figura 8 – Perf iles Actual de Riesgo de los casos de Estudio

De esta figura se observa que los perfiles de riesgo ideal para los cuatro bancos presentan niveles de riesgo menores que los perfiles de riesgo actual [7], sin embargo, estas diferencias no son substanciales dado que los valores están en los mismos rangos. De todas formas si los bancos desean disminuir sus niveles de riesgo de TI en alguno de los objetivos de negocio se pueden utilizar medidas propuestas por el marco 4A, de acuerdo con sus necesidades [7].

Comparación entre la teoría (marco 4A y circular 052 de la SFC) y la realidad (medidas implementadas en cada uno de los bancos) Se concluye con base en el análisis de disciplinas de los procesos seleccionados y su relación con la Circular 052 que la circular especifica qué requisitos deben cumplir los bancos, pero no entra en detalle sobre mejores prácticas que se puedan implementar para cumplirlos. Por lo tanto, se hace evidente la principal diferencia entre el marco 4A y la circular, ya que el marco 4A sí define unas mejores prácticas para alcanzar niveles altos en la reducción de riesgos de TI.

Análisis de las disciplinas del marco 4A

00,10,20,3Disponibilidad

Acceso

Precisión

Agilidad

Banco A

Banco B

Banco C

BanRep

7

En los cuatro bancos estudiados se observa que además de las medidas obligatorias de la circular 052, se implementan medidas adicionales que complementan la gestión de riesgos de TI; adicionalmente, teniendo en cuenta que de los cuatro bancos estudiados algunos son extranjeros, se observa que la experiencia que tienen de sus operaciones en otros países, con regulaciones más estrictas que la colombiana, les permite tener niveles más altos de control de riesgos de TI. Clasificando estas medidas según las disciplinas del marco 4A se tiene que respecto a Gobernabilidad en todos los bancos estudiados se tienen roles que involucran dentro de sus funciones la atención de los riesgos de TI, estos roles le permiten a los Bancos implementar la segregación de funciones del personal que administra, opera, mantiene y, en general, tiene la posibilidad de acceder a los dispositivos y sistemas usados en los distintos canales y medios de servicio al usuario. Al examinar la circular 052 para verificar si hay alguna medida respecto a la creación de roles dentro del área de sistemas, se encuentra que no la hay, lo más cercano que se menciona en la circular está en el numeral 3.1.2 el cual dice: “para gestionar la seguridad de la información podrán tomar cómo re ferencias los estándares 17799 y 27001”. En dichos estándares se plantea la importancia de definir roles en el área de TI. Respecto a Base Tecnológica, se observa que los Bancos cumplen con dotar de seguridad la información confidencial de los clientes que se maneja en los equipos y redes de la entidad, igualmente dotan a sus equipos de cómputo de los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus operaciones y por último establecen procedimientos para el bloqueo de canales o de medios, cuando existan situaciones o hechos que lo ameriten complementando las medidas de los numerales 3.1.7, 3.1.11 y 1.1.12 de la circular 052 de la SFC.

En la disciplina de Cultura se observa una mejora significativa a nivel interno en los Bancos respecto a lo exigido por la circular, ya que en ésta no se exigen capacitaciones periódicas respecto a los riesgos de TI. P or otro lado, los análisis de vulnerabilidades a los que hace referencia la circular en el numeral 7 son implementados de una forma más e ficiente ya que hay una cultura más solida en los cuatro Bancos, que genera una mayor conciencia de la importancia de medir vulnerabilidades. Por último se concluye con base en el análisis de disciplinas de los procesos seleccionados y su relación con la Circular 052 que la circular pretende especificar qué requisitos deben cumplir los bancos, pero no entra en detalle sobre mejores prácticas que se puedan implementar para cumplirlos. P or lo tanto, se hace evidente la principal diferencia entre el marco 4A y la circular, ya que el marco 4A sí define unas mejores prácticas para alcanzar niveles altos en la reducción de riesgos de TI.

Trabajos Futuros Como trabajos futuros es importante aumentar el tamaño de la muestra sobre la cual se hizo esta investigación, esto haría que se pasara de una muestra indicativa a una muestra significativa del sector y brindaría un panorama más fidedigno y cercano a la realidad del sector Bancario Colombiano en general. Una vez se tenga dicha muestra sería interesante presentar recomendaciones

de cara a la reglamentación Colombia en cuanto a las medidas que presentan mayores beneficios en los Bancos estudiados, esto permitiría que las autoridades competentes no solo emitiera medidas que se deben cumplir sino también una guía de cómo hacerlo basada en experiencias exitosas y recientes.

5. REFERENCIAS [1] WESTERMAN G., HUNTER, R. IT Risk: Turning Business

Threats Into Competitive Advantage. 2007. [2] Getting Smarter about IT risks 2008. Disponible en

mitsloan.mit.edu/cisr/pdf/EIU_GettingSmarterAboutITRisks.pdf

[3] SERRANO, J. Mercados financieros: visión del sistema financiero colombiano y de los principales mercados financieros internacionales. 2007.Sannella, M. J. Constraint Satisfaction and Debugging for Interactive User Interfaces. P h.D. Thesis, University of Washington, Seattle, WA, 1994.

[4] FIGUEROA L. “ Guía de mejores prácticas en gestión de riesgos de TI en el sector bancario colombiano”. 2009. Desarrollada en el grupo de investigación TION de la Universidad de los Andes.

[5] The British Standards Institution. Code of practice for risk Management. 2008. Disponible en: <http://www.bsi–global.com/en/Standards–and–Publications/Industry–Sectors/All–Standards/BS/BS–31100–Draft–for–P ublic–Comment–DP C–/>

[6] SUPERINTENDENCIA FINANCIERA DE COLOMBIA. CIRCULAR EXTERNA 052 DE 2007: Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios.

[7] CHENG A, P INILLA S, VILLA J. Gestión de riesgos de las tecnologías de la información (TI) en el sector bancario colombiano, su implementación a través de la circular 052 de la superintendencia financiera colombiana y su estudio desde el marco de gestión de riesgos de TI 4A.

8

II. PRESENTACIÓN

15

PARTE B

16

III. CAPÍTULO 1: INTRODUCCIÓN

1.1. Antecedentes

Desde el principio de la historia el manejo de riesgos ha tomado fuerza dado que existen catástrofes

que afectan tanto el ámbito personal como el laboral. De este modo transcurrió el siglo XX, el cual

se caracterizó como una “euforia de nuevas riquezas, paz relat iva e industrialización, lo cual

descendió hacia el caos regional y las guerras mundiales”8, estableciendo justamente un alto nivel

de incert idumbre sobre los riesgos que puede traer el futuro. Es así como la gest ión de riesgos nace,

bajo esta preocupación de aproximarse a la inseguridad del futuro, y cuya meta es manejar de

manera consistente y disciplinada dichas incertidumbres, evitando a toda costa la ineficiente

utilización de recursos, ya sean humanos, polít icos, económicos, militares, científicos o

tecnológicos.

Asimismo, las causalidades externas de la sociedad impactan de manera directa sobre la gest ión de

riesgos; como son los casos de las dos guerras mundiales que impactaron directamente la economía

mundial; así como la aparición de nuevos pensamientos polít ico/económicos como el comunismo,

que afectaron directamente el mercado global; al igual que catástrofes y eventos mundiales como el

accidente del T itanic, el desastre nuclear de Chernobyl, el accidente del t ransbordador Challenger y

Columbia, la crisis ambiental de Exxon [1], el auge del terrorismo mundial reflejado en el día 11 de

Septiembre de 2001, el fiasco de Enron, y la actual crisis financiera mundial. Los anteriores

ejemplos, claros eventos y situaciones que han revolucionado la forma de crear y manejar planes de

contingencia frente a riesgos conocidos o inesperados.

Por otro lado, los grandes avances tecnológicos, han venido siendo la mano derecha de la

competit ividad en el mercado, y desde luego se ha tenido que rastrear cuáles son sus pros y contras

a la hora de invertir en éstas, y también cuál es la manera más efectiva de gest ionar sus riesgos.

8 McCombs School Of Business. History Of Risk Management. pp 1. 2002. Disponible en:

<http://www.mccombs.utexas.edu/dept/irom/bba/risk/rmi/arnold/downloads/Hist_of_RM_2002.pdf>

17

Es por eso que ha surgido la necesidad de crear marcos de referencia sobre la gest ión de riesgos,

que aproximadamente empezó de manera oficial en el año de 1956 cuando T he Harvard Business

Review publicó “Risk Management: A New Phase Of Cost Control”9. Dicho art ículo expone la

urgencia de explorar el control de riesgos en el sector financiero, indicando que algún miembro de

la organización debía ser responsable de la administración de los riesgos de la misma.

Posteriormente, en el año de 1975 se creó en Estados Unidos la Sociedad de Gerencia en Riesgos y

Seguros [2], RIMS por sus siglas en inglés, para el estudio de métricas formales sobre el control de

riesgos en organizaciones.

De este modo, estos estudios sirvieron para rat ificar que la mayoría de los riesgos que existían en el

sector financiero, y que eran en parte causantes del decrecimiento organizacional; como las

inversiones sin control en infraestructura de T I y las irregularidades del flujo monetario, entre otras;

no contaban con una gestión eficiente de riesgos o métricas que indicaran la existencia de dichos

riesgos.

Recientemente, la evolución de TI ha impactado de manera directa la gest ión de riesgos en las

empresas pues muchas de éstas buscan práct icas para disminuir el impacto que pueden causar fallos

de dichas tecnologías en los procesos de negocio crít icos. Respecto a este tema Larry Tabb en su

art ículo sobre la gest ión de riesgos de T I [3] describe como en la década pasada muchas empresas

han decidido invert ir en actualizar su infraestructura de T I, pues en ella han encontrado una ventaja

competit iva frente a sus competidores; pero son muy pocas las organizaciones que se preocupan por implementar una gest ión de riesgos que ayude a evitar futuros problemas. Esto es causado por la

constante evolución de las T I y el fácil acceso a éstas en el mercado.

Debido a lo anterior, la proliferación de nuevas herramientas de T I dentro de la sociedad ha

permit ido que existan nuevas maneras de desencadenar riesgos que anteriormente no se habían

tratado de manera directa, como la seguridad de servicios prestados por la red y la protección de

datos confidenciales personales y empresariales.

9 Ibídem.

18

Ahora, contextualizando lo anterior para el caso de estudio de este proyecto de grado, el sector

financiero colombiano, que en 1996 alcanzó un porcentaje del 9% del PIB nacional10 y que por ende

es importante en la economía, actualmente está haciendo un intento plausible por mejorar la calidad

y seguridad de los servicios financieros por medio de la circular 052 de la Superintendencia

Financiera de Colombia, SFC. Esto causa que indirectamente se preste mayor atención en generar o

adoptar una disciplina para gest ionar no sólo la calidad y seguridad de aquellos servicios, sino los

posibles riesgos que éstos puedan generar en su implementación.

De este mismo modo, existe un interés part icular por t ratar los riesgos de manera correcta sin que

ésta se convierta en una piedra en el zapato en las operaciones diarias de la organización. Esto ha

conllevado a que se desarrollen estudios de recolección de buenas práct icas en dist intas empresas.

De estos estudios se derivan los casos de creación de marcos de trabajo como el código de práct icas

para la gest ión de riesgos [4] y el marco de estudio 4A [5], entre otros, que permiten orientar a

empresarios sobre cómo deben manipular las TI y gest ionar debidamente sus riesgos.

Paralelamente al desarrollo de estos marcos de trabajo y est imulado por la crisis financiera mundial

que se vive actualmente, se ha venido formando una nueva teoría sobre cómo fomentar una práct ica

empresarial basada en una buena gest ión de riesgos de T I y que ésta a su vez sea atract iva para los

responsables de la organización.

En conclusión, se deduce que la gest ión de riesgos de T I t iene que hacer parte integral de la estructura de la organización acoplándose al negocio; ayudando a cimentar y a adoptar buenas

práct icas a la hora de manejar las TI, concientizando a todos los involucrados en la empresa sobre

las ventajas que proporciona; e impidiendo la reincidencia en problemas causados por dichos

riesgos.

10 GARAY, L. Colombia: estructura industrial e internacionalización 1967–1996. 1996. Disponible en:

<http://www.lablaa.org/blaavirtual/economia/industrilatina/051.htm>

19

1.2. Justificación

Como se mencionó anteriormente, el sector financiero es de gran importancia en la economía de un

país, debido a las funciones que desempeña, entre las cuales está impulsar el desarrollo industrial al

servir como punto de encuentro entre aquellas empresas que necesitan capital para financiar nuevos

proyectos y aquellas personas o empresas que desean invert ir sus excedentes de capital. En este

sector por lo tanto, se encuentran varios t ipos de part icipantes como: Empresas, Personas naturales,

Inst ituciones financieras y Bancos centrales [6]. En donde las inst ituciones financieras,

especialmente los bancos son los encargados de captar el capital de los ahorradores y colocarlo con

aquellas empresas que lo necesitan.

Debido a la importancia de su rol, las inst ituciones financieras están sujetas a una estricta

reglamentación y regulación por parte de los gobiernos y de los bancos centrales. Esta regulación

busca minimizar los riesgos financieros que están presentes en las operaciones diarias del negocio.

Ejemplos de estas regulaciones son abundantes y no se pretende ahondar en éstas, sin embargo, a

modo de definir un contexto se mencionarán a continuación algunas de las más importantes:

• Ley de Sarbanes – Oxley, creada en Estados Unidos en el año 2002 debido a escándalos

corporat ivos y contables en empresas como Enron, Tyco Internat ional, Adelphia, Peregrine

Systems y WorldCom para establecer nuevos estándares en la prestación de servicios

contables para aquellas compañías encargadas de auditar compañías públicas [7].

• Los Frameworks Basilea I del año 1998 y Basilea II del año 2004 que buscan establecer

requerimientos mínimos de capital en los bancos para protegerlos del riesgo de crédito

debido a los bajos niveles de capital y por tanto a una posible insolvencia [8].

• En Colombia, la ley 510 de 1999, llamada en su momento Reforma financiera, emit ida un

año después que fuera declarada la emergencia económica por el ministerio de Hacienda y

Crédito, define un conjunto de normas sobre la estructura y el funcionamiento del sector

financiero y asegurador de Colombia [9].

Los ejemplos anteriores muestran la magnitud de las consecuencias que conlleva un manejo

inadecuado de riesgos y la necesidad de que los bancos identifiquen los riesgos más importantes

para disminuir su exposición a estos y para mejorar la gest ión de su negocio.

Es en este contexto que la gest ión de T I empieza a tomar una gran importancia en el tema de riesgos

ya que se vuelve una parte integral de los servicios que prestan los bancos y determina la forma en

20

que circula la información de clientes, productos y de los procesos de negocio en general, dejando

de ser un área de soporte para convertirse en un área que genera valor y reduce costos a la

organización. Por esta razón los riesgos de T I hacen parte del riesgo operat ivo, definido como “El

riesgo de pérdidas como resultado de procesos internos, sistemas y personas inadecuadas o debido a

situaciones externas a la compañía”11, en especial, en lo referente a eventos como fallos en los

sistemas de información, robo de información confidencial, información desactualizada o imprecisa,

etc.

Por la importancia del sector financiero y dentro de éste la importancia del manejo de riesgos de TI,

el presente proyecto pretende comparar las medidas para mit igar riesgos usadas por varios bancos

con operaciones en Colombia (incluidas aquellas que deben tener en cuenta por ley), con las

práct icas recomendadas en la teoría, en especial las del marco de Gest ión de Riesgos 4A. A

continuación se especifican el objet ivo general y los objet ivos específicos.

1.3. Objetivo General

Con base en el Marco de gest ión de riesgos de TI, 4A, y la circular 052 de la SFC se pretende

analizar cómo la regulación nacional de la Información en el sector bancario colombiano,

contribuye a la implementación de una gest ión de riesgos de TI adecuada en términos de las

necesidades del negocio.

1.4. Objetivos Específicos • Usar el marco de gest ión de riesgos 4A para identificar el perfil de riesgos de T I de cada

ent idad estudiada, por medio del análisis de un proceso de negocio que dependa de la

seguridad y calidad de la información, a través de discusiones entre el personal y ejecutivos

de dicha ent idad que estén basadas en términos de común entendimiento; con el fin de

comprender las consecuencias del riesgo de TI en el negocio.

11 FABOZZI, F., MODIGLIANI, F. Capital Markets: Institutions and Instruments. 2007. P rentice Hall 3ª Edición.

21

• Según los cuatro objet ivos de negocio en los cuales se traducen los riesgos de T I que define

el Marco 4A, clasificar los requerimientos de la circular 052 con el fin de determinar en qué

aspectos la circular es débil y en cuales t iene fortalezas.

1.5. Alcance El Alcance de este proyecto es analizar el impacto que t iene en el negocio la gestión de riesgos de

TI. Para esto se escogerá uno de los requerimientos de la circular 052 de la SFC que le aplique a

cuatro bancos de diferente naturaleza: inversión, mixtos y banca central, con operaciones en

Colombia. Se analizarán las diferentes medidas implementadas en cada banco para darle

cumplimiento y se comparará si se incluyen práct icas recomendadas en la teoría del marco 4A.

Adicionalmente, el resultado de esta invest igación es empleado por el Ingeniero Luis Carlos

Figueroa en su tesis de Maestría “Guía de mejores práct icas en gest ión de riesgos de TI en el sector

bancario colombiano”12 como una muestra de práct icas en la gest ión de riesgos de T I, para que con

base en los marcos de trabajo de gest ión de riesgos BS 3110013, los marcos de gestión de riesgos de

TI 4A y Risk IT del IT GI, y los resultados de esta invest igación, se puedan identificar las mejores

práct icas del sector y así construir una guía de mejores práct icas de gest ión de riesgos de T I en el

sector bancario colombiano.

1.6. Metodología Ésta invest igación está dividida en dos partes, una teórica y otra práct ica. A continuación se expone

en qué consiste cada una:

• Teoría: T rabajo teórico: Estudio del marco de gest ión de riesgos 4A y de las disciplinas para el

control de riesgos de TI en las organizaciones, propuestos por Westerman G. y Hunter R. [10].

12 FIGUEROA L. “Guía de mejores práct icas en gest ión de riesgos de TI en el sector bancario colombiano”. 2009. Desarrollada en el grupo de investigación TION de la Universidad de los Andes. 13 The British Standards Institution. Code of practice fo r risk Managem ent. 2008. Disponible en: http://www.bsi–global.com/en/Standards–and–Publications/Industry–Sectors/All–Standards/BS/BS–31100–Draft– fo r–Public–Comment–DPC–/

22

• Práctica: Trabajo de campo: Entrevistas con el personal de tecnología y del negocio encargado

del manejo de riesgos en los bancos estudiados, para identificar la situación actual en el control

de riesgos de la empresa, en especial la implementación de la circular 052 de la SFC; la

situación a la cual se quiere llegar y lo que propone el marco 4A.

La relación entre estos dos puntos consiste en comparar las medidas usadas para el control de

riesgos de T I en la práct ica y las propuestas por el marco teórico ut ilizado, concluyendo que

aspectos de la teoría son aplicados en el día a día de las organizaciones.

1.7. Resultados Esperados

Desarrollar un informe independiente por cada una de las organizaciones estudiadas, en donde se

describirá un proceso de negocio dependiente de T I, se clasificarán los sistemas que soportan el

proceso por nivel de dependencia para su correcto funcionamiento y se estudiarán las consecuencias

que pueden tener incidentes tecnológicos debido al riesgo de T I, según los criterios de marco de

gest ión de riesgos 4A.

Igualmente con base en el marco 4A se hará un análisis de cómo las práct icas que éste propone para

la gest ión de riesgos de TI son incluidas por la SFC en la circular 052, se ahondará en cómo los 4

objet ivos de negocio propuestos por el marco son potencializados por los requisitos mínimos que obliga la circular y se categorizarán los requisitos de la circular en las disciplinas del marco 4A.

Por últ imo, con base en el análisis e informe anterior, para cada organización se harán las

conclusiones entre los controles que proponen el marco de 4A y la situación real de una muestra del

sector bancario colombiano, para esto se realizarán el perfil de riesgos de T I ideal y luego se

aplicará un instrumento en donde se medirá cual es en realidad el nivel de riesgo de TI que se t iene

actualmente, generando un perfil de riesgos de TI actual que permita ser una guía para encaminar

los esfuerzos en la disminución de los riesgos.

23

IV. CAPÍTULO 2: MARCO TEÓRICO

En este capítulo se explicarán primero las característ icas principales del marco de gest ión de riesgos

de T I 4A. Luego se describirá el actual sector financiero colombiano y sus regulaciones vigentes,

haciendo énfasis en aquellas impuestas por la SFC a t ravés de la circular externa 052 respecto a la

seguridad y calidad de la información en los canales de distribución de los establecimientos de

crédito. Para unificar y comparar los criterios de seguridad y calidad de la circular 052 con los

objet ivos de negocio propuestos en el marco 4A, se definirá un glosario de términos con los cuales

el lector debe estar familiarizado.

Para cerrar el capítulo, se lleva a cabo una categorización de los numerales de la circular, mediante

la clasificación de cada uno en las Disciplinas y Objet ivos de negocio del marco 4A que busca

alcanzar. A part ir de dicha categorización se muestra un análisis figura sobre cuáles riesgos de TI

busca minimizar la circular y cuáles otros están menos cubiertos, para finalizar con la elaboración

de un perfil de riesgos a nivel general de toda la circular.

2.1. Introducción al marco de gestión de riesgos de TI

Como se mencionó en la just ificación, el marco 4A es el marco de gest ión de riesgos de TI que se

usará en este t rabajo, en esta sección se procederá a describir en detalle los aspectos más relevantes

para esta invest igación.

El nombre del marco 4A viene de las iníciales de cuatro objet ivos de negocio, en inglés:

Availability, Access, Accuracy y Agility, o en español, Disponibilidad, Acceso, Precisión y Agilidad,

que hacen parte del eje central del marco. ¿Pero por qué son importantes estos cuatro objet ivos de

negocio en el manejo de riesgos de T I? La respuesta hace parte del objet ivo principal del marco.

Su objet ivo principal es desarrollar una definición común a toda la organización sobre qué es el

riesgo de T I y desarrollar una guía eficaz para controlarlo, para esto, considera necesario que todas

las personas ent iendan que dicho riesgo no se reduce al área de tecnología y que su inatención

puede tener consecuencias a nivel de todo el negocio, obligando a considerarlo de igual forma como

se hace con cualquier otro t ipo de riesgo, en términos de costo–beneficio.

24

Estos beneficios que se pueden obtener con la correcta gest ión del riesgo, son clasificados por el

marco en los cuatro objet ivos de negocio que se acaban de mencionar. La forma en que cada

empresa identifica y prioriza los riesgos en cada categoría es única y responde a su entorno

individual, obteniendo como resultado un perfil de riesgos, el cual es una definición común del

riesgo de T I en términos de negocio. Una vez se ha establecido el perfil de riesgos de T I ideal, es

necesario desarrollar las capacidades para lograrlo, el marco propone para esto, atacar los riesgos

desde tres perspect ivas diferentes.

Una perspect iva de Base tecnológica, desde un punto de vista tecnológico en donde las aplicaciones

y la infraestructura deben ser estandarizadas y lo menos complejas posibles, garantizando con esto

que la base sobre la que operan los procesos del negocio sea escalable y segura.

Una perspect iva de Gobernabilidad de riesgos de T I, donde se identifica cómo cada persona

dependiendo de su trabajo en la organización t iene un contacto diferente con el riesgo. Por ejemplo:

• Un gerente de una unidad de negocio sabe exactamente como un fallo en TI afecta el

funcionamiento de los procesos de los cuales está a cargo, es decir, sabe identificar y

priorizar de forma local los riesgos.

• Un gerente general al no estar a cargo de una línea de negocio no t iene esta visión local,

pero si t iene una visión general que le permite priorizar los riesgos de una unidad de

negocio con los de las demás y de esta forma dest inar recursos de una manera eficiente.

El gobierno de riesgos de TI, con base en el ejemplo anterior, define una estructura con procesos

cíclicos y roles para la toma de decisiones, donde hay una supervisión central y una experiencia

localizada en detección de riesgos.

Y por último, se t iene una perspect iva de Cultura que t iene en cuenta cómo no es suficiente tener

una base de tecnología sólida para los procesos, sino que también es necesario entender que los

riesgos de TI t ienen un componente humano importante ya que la tecnología no puede identificar

vulnerabilidades o amenazas por sí sola y se necesita desarrollar una cultura de riesgos de TI donde

las personas conozcan que act ividades o inatenciones potencializan el riesgo y discutan

abiertamente como cada una en su trabajo diario ayuda a disminuir posibles incidentes con impacto

negativo. Habiendo dado un panorama general del marco, a continuación se presentan en mayor

detalle los cuatro objet ivos de negocio.

25

2.1.1. Objetivos de negocio: Disponibilidad, Acceso, Precisión y Agilidad

El marco 4A define los riesgos de T I como el “potencial que tiene un evento no planeado que

involucre T I para amenazar cualquiera de los cuatro objet ivos empresariales”14. Cada uno es

definido de la siguiente forma15:

• Disponibilidad: Mantener los sistemas y sus procesos de negocio operat ivos y recuperarlos

ante posibles interrupciones o incidentes.

• Acceso: Asegurar la entrada apropiada a datos y sistemas, pues de esta forma las personas

adecuadas tendrán el ingreso a la información que necesitan y las personas que no, estarán

restringidas.

• Precisión: Proveer de manera correcta, a tiempo y completa la información requerida por la

gerencia, empleados, clientes, proveedores y entes regulatorios.

• Agilidad: Capacidad de cambiar con costos y velocidad administrados.

Estos objet ivos de negocio no son independientes, al contrario, tienen una alta correlación que se

puede explicar fácilmente a t ravés de una pirámide de riesgos de TI, mostrada en la figura 1.

Figura 1 – Pirámide 4A16.

Gráficamente una pirámide de las categorías de riesgo puede representar las implicaciones

interrelacionadas que existen entre ellas, donde una categoría, según el nivel en el que se encuentra,

14 WESTERMAN G., HUNTER, R. IT Risk: Turning Business Threats Into Competitive Advantage. 2007. p23. 15 Ibídem 16 WESTERMAN G., HUNTER, R. IT Risk: Turning Business Threats Into Competitive Advantage. 2007. p59.

26

t iene dependencia de aquellas que están ubicadas por debajo, como se muestra en la figura 1. A

continuación se explican los t ipos de dependencias:

• Disponibilidad: Está a un nivel que soporta a todos los demás objet ivos, esto se debe a que

sí un sistema o un proceso de negocio no funciona, entonces los demás objet ivos

empresariales fallarán. Esto causa que el Acceso a los datos y a los sistemas, el segundo

nivel de la pirámide, deje de responder; sin el Acceso a estos datos, la información se

pierde, luego la Precisión de éstos se anula y por consiguiente la Agilidad del negocio

decae.

• Acceso: Este objet ivo afecta directamente la Precisión y la Agilidad por lo anteriormente

mencionado. Es claro además que el Acceso no afecta la Disponibilidad, su nivel inferior,

ya que sólo se encarga de permit ir o restringir el ingreso a los datos.

• Precisión: Si la información no es precisa, es decir, correcta y consistente a través de todos

los sistemas, el análisis de los datos no se podrá hacer en el momento y tiempo necesario,

por ende, los procesos que usan dicha información no podrán cambiar rápidamente

acoplándose a los cambios del mercado.

• Agilidad: Es reflejada en la velocidad a la cual las empresas pueden acoplarse al cambio,

implementar nuevas funcionalidades y desarrollar nuevos productos. Cuando se logra

Agilidad, los riesgos anteriores están en un nivel por lo menos aceptable y se puede

empezar a incursionar en nuevas iniciat ivas.

Esta pirámide busca que se identifiquen y traten los riesgos que están en la base hasta llegar a la

punta. Como analogía los autores usan la construcción de una casa, primero se construyen las bases

hasta llegar a los acabados. Sin perder de vista el negocio y su perfil de riesgo previamente definido.

Hasta este punto se ha descrito que es el marco 4A y cuáles son sus objet ivos pero no se han

especificado que act ividades debe hacer una compañía para lograrlos, lo cual plantea la pregunta del

siguiente numeral.

2.1.2. ¿Cómo funciona el 4A?

Este marco de referencia busca dar un mejor conocimiento acerca de las condiciones de riesgo de TI

a los ejecutivos, éste posee tres actividades generales:

• La primera se t rata de realizar encuestas dirigidas a personas involucradas con los altos

mandos de cada unidad de negocio. Estas encuestas ayudan a identificar las modificaciones

27

que se deban hacer a nivel de operación o estrategia para que cambien el nivel de tolerancia

relat iva al riesgo de T I. Es importante que en esta labor el líder de tecnología, en inglés

Chief Information Officer o CIO, haga parte sólo para indicar que riesgos de T I son los que

se deben tener en cuenta para su gest ión. De este modo, se busca concientizar al nivel

operat ivo y estratégico de la organización sobre la importancia de tener una gest ión de

riesgos de TI.

• La segunda, es el análisis de las implicaciones de los riesgos de T I en el aumento de riesgos

operat ivos. Lo cual facilita la evaluación de las inversiones de TI al tener en cuenta los

riesgos que éstas acarrean y al evitar realizar una inversión mayor o menor a lo que

realmente necesita la organización.

• Por últ imo, la tercera se encarga de solucionar conflictos que resultan de poner en términos

de negocio la gest ión de T I. En este punto en especial se discuten aquellas discrepancias

que surgen a la hora de implementar T I y que afectan directamente al negocio. De esta

manera, se revisa cuáles de los cuatro pilares del marco son los más importantes para la

organización, y así solucionar los problemas anteriormente mencionados.

Estas act ividades son parte integral de las disciplinas del marco, por lo que es importante entrar en

este punto en un mayor detalle de cada una de estas.

2.1.3. Disciplinas Fundamentales (Core Disciplines)

A continuación se explicarán las tres disciplinas fundamentales del marco de gest ión de riesgos 4A:

• Base de tecnología (IT foundation): Hace referencia a desarrollar una estructura adecuada de

la Base Tecnológica en cuanto a act ivos de TI. Se entiende el término base como un grupo de

act ivos de T I y empleados de la organización que están apoyando y manteniendo act ivos los

procesos. Luego, se busca como objetivo principal hacer que dicha base sea lo menos compleja

posible.

T eniendo en cuenta lo anterior, ¿qué pasa si la Base Tecnológica es inadecuada? Genera riesgos

de Disponibilidad y Acceso progresivamente en las plataformas de TI existentes de la misma

manera como se explicó anteriormente en la pirámide de riesgos de TI. En resumen, afecta a

todas los objet ivos de negocio a lo largo del tiempo. De igual manera, se podría decir que esta

disciplina no es sólo una estrategia de control de riesgos sino también una estrategia de

crecimiento.

28

La ventaja principal de implementar esta disciplina consiste en tener una Base Tecnológica

simplificada que disminuya los riesgos operacionales de los objet ivos del negocio y los

problemas relacionados con cambios de plataformas de tecnología y de T I. De igual modo

aparecen beneficios financieros inmediatos, pues una organización t ípica gasta “desde 20%

hasta 50%17 y en casos extremos el 70% en presupuestos de infraestructura, luego si se

simplifica ésta se reducen los costos entre 10% al 35%”18.

Ahora, para implementar esta disciplina se necesita examinar e implementar controles básicos

para asegurar que no hay mayores debilidades en términos de riesgos de las 4A, evitando que en

cualquier momento ocurra algún incidente. Posteriormente, se debe reducir la complejidad en la

infraestructura de tecnología y aplicaciones, logrando así reducir los riesgos de TI a largo plazo.

Por otro lado, también se debe tener en cuenta la pirámide de 4A, anteriormente explicada, para

fortalecer la Base Tecnológica. Para ello es necesario fijarse en primera instancia en el tema de

la Disponibilidad por varias razones:

o Es más fácil cuantificar el retorno de la inversión de la base sobre el primer nivel de la

pirámide que en cualquier otro nivel superior. Esto se debe a que este retorno es casi

inmediato ya que al estandarizar toda la base, los problemas del t ipo de disponibilidad se

resuelven con un costo muchísimo menor que si éstos se presentaran en otro nivel de la

pirámide.

o Las dificultades y riesgos de T I de la organización son más complejos en los niveles

superiores de la pirámide que en su base, ya que en temas como Precisión y Agilidad se

requiere cambiar muchos aspectos de la organización los cuales entran en choque con sus

procesos internos y crít icos.

Debido a lo expuesto anteriormente, se definen tres pasos importantes para mejorar la Base

Tecnológica:

17 WESTERMAN G., HUNTER, R. IT Risk: Turning Business Threats Into Competitive Advantage. 2007. p55. 18 Ibídem.

29

o Solucionar los riesgos de Disponibilidad de T I al manejar la continuidad del negocio en el

caso que una organización se encuentre en un desastre. Esto ayuda a que dicha organización

continúe funcionando adecuadamente al menos en un nivel mínimo.

o Identificar constantemente los problemas concernientes a la base y solucionarlos ut ilizando

herramientas como auditorias en TI, guías del conocimiento del equipo de T I, entre otras,

para solucionar riesgos de Acceso y Disponibilidad. Cabe añadir que lo más importante de

realizar auditorías TI es caer en cuenta en todos los riesgos que se representan en las 4A.

o Finalmente implementar marcos de mejores práct icas de la industria en que se está

desempeñando la organización, controles básicos sobre los procesos que ejecutan TI y

prevención de futuros problemas e incidentes en la Base Tecnológica.

• Gobernabilidad (Governance): El gobierno de riesgos de TI es un proceso cíclico que define

cuáles son los riesgos de T I en toda la organización, continuamente monitorea la forma cómo

evolucionan, los prioriza y desarrolla polít icas y estándares para controlarlos. En esta sección se

muestran primero los roles y estructuras del proceso y en segundo lugar las act ividades que lo

conforman.

La asignación de roles en el gobierno de riesgos de TI parte de un principio en el cual en una

empresa, las personas que mejor pueden asignar recursos y priorizar los riesgos a nivel de toda

la organización son las menos capacitadas para identificarlos y mit igarlos, debido a que no

t ienen el t iempo ni el conocimiento técnico necesario.

Esto hace que el Gobierno deba ser de múlt iples niveles, en donde a las personas de cada nivel,

se les asigne un determinado poder para la toma de decisiones, es decir, se t ransfiere el poder a

las personas que pueden tomar las decisiones de forma más eficiente. Y se define también un

conducto para escalar problemas, en el caso en que en un nivel no haya consenso en la toma de

decisiones.

Dicha estructura t iene cinco niveles e igual número de roles en orden decreciente de

responsabilidades:

30

o Patrocinador ejecutivo: Es la persona que t iene la visión integral del manejo de riesgos

en toda la organización, monitorea que se cumpla la cultura de riesgos de TI y que

todas las estructuras cumplan su papel.

o Consejo de polít icas de riesgo: Define las prioridades que t ienen los riesgos específicos

a nivel de la organización, aprueba presupuestos para las act ividades enfocadas a

disminuirlos y revisa excepciones que no fueron resueltas en los niveles inferiores.

o Consejo de implementación: Responsables de implementar una polít ica de riesgos por

medio de la creación de estándares del negocio y técnicos.

o Equipo de manejo del riesgo de T I: Son los encargados de desarrollar los procesos para

el control de riesgos, generar reportes y monitorear a los gerentes locales.

o Gerentes locales: Identifican y controlan los riesgos.

Una vez explicados los roles, se describen las act ividades que conforman el proceso.

Figura 2 – Proceso de G obierno de Riesgos de TI19.

En la figura 2, los rectángulos son las act ividades y las flechas son los resultados de cada una. Por otro lado, se muestra como el proceso t iene varios ciclos, debido a que los riesgos de T I y el

entorno de la empresa cambian constantemente. En respuesta a esto, se identifican

19 WESTERMAN G., HUNTER, R. IT Risk: Turning Business Threats Into Competitive Advantage. 2007. p117.

Definir una política y estándares de riesgos de TI.

Identificar los riesgos de TI y definir la probabilidad de que

se materialicen.

P olíticas y estándares

P riorizar los riesgos y asignar

responsables para su control.

Decidir si Reducir/ Evitar/

Transferir/ Aceptar cada riesgo

Monitorear y llevar una historia

de cada riesgo.

Riesgos priorizados y

responsabilidades asignadas Documentación de las

Acciones tomadas

Alcance de los riesgos definido Medidas continuas y estado

del riesgo actualizado

Inicio

31

continuamente nuevos riesgos, se revalúa la probabilidad de que se materialicen y se modifican

las polít icas y estándares.

• Cultura (Culture): La cultura de conciencia del riesgo de TI debe crearse en las organizaciones

desde la alta gerencia, ya que hace parte de la cultura general de gest ión de riesgos, y esta

Cultura debe ser t ransmit ida a toda la organización permeando tanto a las áreas de negocio,

como a las áreas de TI para que todo el personal comprenda que las responsabilidades deben ser

compart idas.

El marco de gest ión de riesgos 4A direcciona la cultura de conciencia del riesgo en términos del

personal, responsabilidades y comportamientos dentro de la organización. Los principales

aspectos que debe tener en cuenta dicha Cultura son:

o Alta experiencia en el manejo de riesgos de T I.

o Conciencia generalizada en toda la organización de las consecuencias y comportamientos

de los riesgos de TI y cómo enfrentarlos.

o Una cultura que motive a toda la organización a discutir el tema del riesgo de TI

abiertamente y a asumir las respect ivas responsabilidades para administrarlo.

De este mismo modo, las organizaciones que tienen cultura de conciencia del riesgo no es que

sean adversas al mismo, simplemente son conscientes de los riesgos y toman decisiones sobre

cómo administrarlos.

Una cultura de riesgo demanda que el personal priorice los riesgos corporat ivos sobre los

personales, lo cual hace que se comparta información sobre los mismos facilitando la

colaboración entre el personal de la organización para administrarlo de mejor manera.

Solamente con una act iva part icipación y apoyo de la alta gerencia se pueden producir esta

clase de comportamientos deseables, ya que los ejecutivos demuestran con sus acciones,

comportamientos e inversiones que la cultura de conciencia del riesgo hace parte de la forma de

hacer negocios.

Algunas de las ventajas de tener una cultura de conciencia del riesgo son:

o La conciencia es esencial, pues el mejor proceso puede llegar a fallar si es construido

alrededor de gente que no está informada.

o La experiencia concentrada ayuda a la organización entera a entender y resolver los riesgos.

32

o La cultura consciente mejora la buena voluntad de hablar y manejar riesgos como un

equipo, en lugar de manejar los riesgos de manera individual ignorando la visión global de

la organización.

En definit iva, es muy importante mencionar que una vez se desarrollen estas t res disciplinas se

creará una confianza dentro de los empleados de la organización, lo cual ayudará a conocer más a

fondo la forma en que T I soporta al negocio en todos los niveles, ayudando así a lograr el objet ivo

principal del marco el cual es desarrollar una definición común a toda la organización sobre qué es

el riesgo de T I.

2.1.4. Criterios de selección de las disciplinas

Continuando con el tema del numeral anterior, las disciplinas hacen parte del marco 4A ya que

analiza detalladamente cada uno de los cuatro objet ivos organizacionales dentro de cada

organización. De este modo se descubre que capacidades necesita desarrollar para manejar los

riesgos de TI de forma acoplada con los riesgos corporat ivos.

Por otro lado, cabe mencionar que estas tres disciplinas pueden ser desarrolladas simultáneamente

y/o en cualquier orden, pero la meta es incluirlas todas dentro de los procesos organizacionales. Lo

antepuesto depende de varios criterios que ayudan a decidir la prioridad de desarrollar cada

disciplina. Estos criterios son:

• La cultura organizacional , pues en ella se t iene que decidir los cambios necesarios para adoptar dichas disciplinas. De este modo, los cambios de la cultura organizacional deben

hacerse desde la cúspide de la organización hasta su base.

No obstante, la cultura puede llevar a elegir cualquiera de las t res disciplinas, por ejemplo:

o Una cultura basada en el ámbito financiero donde está acostumbrada a ser auditada, a

cumplir regulaciones, entre otras; t iende a escoger la disciplina de Gobernabilidad del

riesgo.

o Otra que arraiga su importancia en la experiencia, en donde tanto empleados expertos y

consultores, las unidades de negocio y su responsabilidad individual en la organización

son primordiales; t ienden a elegir la disciplina de crear una conciencia del riesgo de T I.

o Una organización donde lo primordial es la infraestructura y t ienen como objet ivo

actualizarla, elijen la disciplina de mejorar su Base Tecnológica.

33

• La historia de cada organización ayuda a elegir que disciplina debe seleccionarse. Si una

organización históricamente tiene una deficiente base de infraestructura tendrá dificultades para

escoger la disciplina de estructurar la base, ya que cambiar una infraestructura ant igua es

bastante complicado. Por esto, es usual que la organización escoja otra disciplina como punto

de part ida.

• El tamaño, las grandes organizaciones t ienden a implementar la disciplina de Gobernabilidad de riesgo de TI ya que la meta de ellas es desempeñarse en economías de escala. De este mismo

modo, como la Base Tecnológica es tan grande en una organización de gran escala, éstas deben

verificar si el costo de simplificar la Base Tecnológica aumenta o disminuye para decidir si es

viable o no adoptar dicha disciplina.

Sin embargo, las organizaciones de menor tamaño t ienen la facilidad de implementar cualquier

disciplina aunque éstas deben tener en cuenta factores internos como la edad de la tecnología

usada, como es el caso de los sistemas legado en los bancos; y la complejidad de su base.

• La industria en que se desempeña la organización. Este criterio es importante pues el sector de

la industria puede estar regulado, en el caso del sector bancario por ejemplo SOX, Basel II,

entre otras. Cuando esto ocurre, es muy posible que la disciplina que deban seleccionar es la del

proceso de Gobernabilidad del riesgo de TI. Otras organizaciones donde existe una alta

dependencia tecnológica y el reemplazo de ésta no es costosa, se debe considerar la disciplina

de la estructuración de la Base Tecnológica.

Por otro lado, algunas industrias u organizaciones que son poco conocidas en el medio, bien sea

por razones polít icas o sociales como las industrias de tabaco, las Organizaciones No

Gubernamentales (ONG), entre otras; deben estar conscientes de todo lo que ocurra en su

entorno. Debido a lo anterior, por lo general este t ipo de organizaciones implementen la

disciplina de cultura.

• La geografía, dependiendo del país en donde se encuentre la organización pueden exist ir otro

t ipo de regulaciones o normativas de la industria para lo cual las organizaciones deberán aplicar

la disciplina de Gobernabilidad de riesgos de TI.

Sin embargo, los anteriores ejemplos no son generales para todas las organizaciones, pues la

mayoría de ellas deben analizar todos los factores externos del entorno organizacional y estudiarse a

sí mismas para priorizar las disciplinas de manera apropiada.

34

Finalmente, se puede concluir que para cualquier organización es importante comenzar con la

disciplina que más se le s acomode según sus factores internos, luego continuar con las otras dos y

mantenerlas niveladas de modo que se reduzcan los riesgos de T I.

Ahora que se ha explicado el funcionamiento del marco 4A debe estar claro que es un marco de

amplia aplicabilidad que se puede implementar en cualquier t ipo de compañía y moldearse a

cualquier entorno en particular. También es importante percatarse que el objet ivo del marco no es

definir concretamente que act ividades específicas se deben hacer y cuales otras evitar para

minimizar riesgos de T I, debido a que dichas act ividades dependerán precisamente del t ipo de

compañía que quiera implementarlo y de su entorno part icular.

En este punto se ha explicado el marco 4A en términos de los objet ivos de negocio y de las

disciplinas para alcanzarlos, ahora se pasa a la aplicación de estos conceptos por medio del

desarrollo de perfiles de riesgos de T I.

2.2. Perfil de Riesgos de TI

Una vez se han comprendido los objet ivos de negocio que permite alcanzar el marco 4A es

importante definir hasta qué nivel se quieren reducir los riesgos de T I en cada uno. Para este fin se

crean los perfiles de riesgo, un perfil de riesgos “es una herramienta para comunicar la exposición

relat iva y tolerancia al riesgo, de una empresa, en las cuatro dimensiones (Acceso, Precisión,

Agilidad y Disponibilidad)”20.

A continuación se muestra en la figura 3, tres t ipos de perfiles de riesgo.

20 WESTERMAN G., HUNTER, R. IT Risk Management: From IT Necessity to Strategic Business Value. 2006.

35

Figura 3 – Perf il de Riesgos de TI. 21

Esta imagen, expresa gráficamente t res perfiles de riesgos y una brecha (gap) entre dos perfiles:

• El perfil de riesgos para el negocio en general, sin haber desarrollado ningún manejo de

riesgos (Diamante de color azul oscuro).

• El perfil de riesgos de T I actual, generado exclusivamente por el uso de T I (Diamante de

color vino–tinto).

• El perfil de riesgos de T I ideal para la empresa (Diamante de color aguamarina).

• La cantidad de riesgo que no ha sido mit igada es la diferencia entre el nivel de tolerancia y

el riesgo actual que t iene la empresa debido a T I. (Diamante de color claro).

Se observa también como el eje Y t iene una escala de 0 a 10, para medir el riesgo de Disponibilidad

en los cuatro niveles que se acabaron de explicar, en donde 0 significa el nivel más bajo de riesgo y

10 el más alto. Esta escala, aunque en el dibujo solo aparece en la parte posit iva del eje Y debe

tenerse presente también en los demás ejes para medir los niveles de riesgo en los demás objet ivos

de negocio.

21 WESTERMAN G., HUNTER, R. IT Risk Management: From IT Necessity to Strategic Business Value. 2006. p3.

36

En esta invest igación se ut ilizarán los perfiles de riesgos de T I Actuales e Ideales para la empresa.

El perfil Ideal permite establecer los niveles de riesgos de T I que la empresa debería alcanzar en

cada objet ivo de negocio con base en la aplicación de un instrumento que contiene preguntas de

nivel ejecutivo, por medio de las cuales se mide en términos de impactos (económico, sobre los

clientes, de reputación y regulatorio) las consecuencias de los riesgos de T I. Y por otro lado, el

perfil Actual determina los niveles de riesgos de T I reales que la empresa actualmente tiene, con

base en un instrumento que recoge las práct icas que propone el libro IT Risk22 en las t res

disciplinas, en donde la empresa debe indicar cuáles de esas prácticas. Para más información sobre

la elaboración de estos dos perfiles de riesgo remit irse al siguiente capítulo donde aparece el

desarrollo de los casos de estudio.

La relación entre estos dos perfiles de riesgos de TI consiste en que para alcanzar el perfil de riesgos

Ideal la empresa primero debe conocer su situación actual( Perfil Actual) y con base en esto mejorar

los aspectos necesarios, lo cual se logra al implementar las medidas propuestas por las disciplinas

del marco 4A.

En este t rabajo el sector y el t ipo de compañía al cual se le aplicará el marco 4A y se le generará los

perfiles de riesgos de T I, es el sector financiero, específicamente los bancos. El estudio se concentra

en cómo dichos bancos mit igan los riesgos de T I que t ienen que ver con la calidad y seguridad de

los datos usados en los canales de distribución al cliente, dado que la reglamentación colombiana actual trabaja fundamentalmente en estos temas. A continuación se entrará en detalle acerca del

sector financiero, espacio de aplicación de esta invest igación y la circular 052.

2.3. Sistema Financiero Colombiano y Circular externa 052 de la SFC

Entre 1923 y 1990 el sistema financiero colombiano siguió un modelo de banca especializada

establecido por la ley 45 de 1923. Dicho modelo limitaba las act ividades que podían ejercer los

diferentes t ipos de ent idades financieras a un nicho específico. Cada tipo de ent idad se debía 22 WESTERMAN G., HUNTER, R. IT Risk: Turning Business Threats Into Competitive Advantage. 2007

37

especializar en un t ipo de negocio, por ejemplo, un banco comercial no podía ofrecer créditos de

vivienda ya que este t ipo de crédito solo lo podían ofrecer las corporaciones de ahorro y vivienda, y

a su vez, una corporación de vivienda no podía ofrecer servicios de banca comercial.

Este sistema presentaba un bajo nivel de competencia e hizo necesario un cambio que sería

introducido por medio de la ley 45 de 1990, el cual dio origen al actual sistema financiero

colombiano, pasando de “un modelo especializado a uno de matriz–filial”23. Bajo este nuevo

modelo se permite la creación de grupos financieros, donde un grupo puede prestar varios t ipos de

servicios, por ejemplo, puede tener un banco comercial y también ofrecer servicios de leasing o

servicios fiduciarios, en este caso el banco comercial sería la matriz y la sociedad de leasing y la

sociedad fiduciaria las filiales.

A continuación en la figura 4 se presenta el modelo de matriz filiales según la ley 45 de 1990.

Figura 4 – Visión del sistema financiero colombiano 124.

A diciembre de 2008 en el sistema financiero colombiano “hay 18 bancos, que al clasificarse por

volumen de act ivos, de los 10 más grandes, 8 son nacionales; hay tres corporaciones financieras y

27 compañías de financiamiento comercial”.25

La ley 91 de 1991 y la resolución 21 de 1993 comenzaron la apertura del sistema financiero a los

mercados internacionales, lo cual hizo posible el endeudamiento de empresas colombianas con

establecimientos de crédito exterior. Este uso de crédito externo para el financiamiento local hizo

que el sistema financiero colombiano se acoplara a los sistemas financieros internacionales, lo cual

23 Serrano, Rodríguez Javier. Mercados Financieros. Visión del sistema financiero colombiano y de los principales mercados financieros internacionales. 24 Ibídem. 25 RODRIGUEZ, S. Notas de clase Mercado de Capitales. 2009.

MATRICES FILIALES ESPECIALIZADAS DE

SERVICIOS FINANCIEROS Bancos

Corporaciones Financieras

Compañías de financiamiento

comercial

Compañías de Seguros de Vida

Compañías de Seguros Generales

Sociedades Fiduciarias.

Sociedades comisionistas de

Bolsa.

Almacenes generales de

depósitos

38

lo expone a crisis internacionales, a medidas económicas, a acuerdos internacionales e igualmente

lo obliga a implementar algunas regulaciones internacionales.

Las act ividades de regulación y control sobre el mercado financiero son llevadas a cabo por el

Banco de la República y la SFC. Los propósitos de estas regulaciones son mantener la concepción

del modelo matriz– filial, proteger al ahorrador y al accionista, reglamentar las funciones que

pueden realizar los intermediarios financieros y controlar y sancionar las operaciones que realizan

los intermediarios financieros [11]. Para este últ imo propósito, la SFC emite resoluciones y

circulares que todas las ent idades supervisadas deben implementar, estas circulares buscan reducir

los riesgos inherentes al negocio.

A continuación se presenta en la figura 5 los part icipantes e interacciones del sistema financiero

nacional.

Figura 5 – Visión del sistema financiero colombiano 226.

26 Serrano, Rodríguez Javier. Mercados Financieros. Visión del sistema financiero colombiano y de los principales

mercados financieros internacionales.

Bancos, Corporaciones financieras, Compañías

de financiamiento comercial.

Personas Empresas Gobierno

Prestamos Personas Empresas Gobierno

Ahorro

Superfinanciera (resoluciones,

circulares)

Solvencia, Supervisión, cumplimiento, Sanciones

Congresos (Leyes) Viceministerio

Técnico (Decretos)

Regulación Financiera, Tributaria y Cambiaria

Banco de la República (Circulares

Reglamentarias)

Liquidez, Omas, Préstamos

Banco de la República (Circulares

Reglamentarias)

Encajes, Inversiones forzosas, Operaciones de cambio

Orden Económico Mundial, Mercados Financieros internacionales, Banco

Mundial, Fondo Monetario internacional, etc.

39

En part icular, la circular externa 052 expedida el 25 de octubre de 2007 por la SFC, hace referencia

a los “Requerimientos mínimos de seguridad y calidad en el manejo de información a través de

medios y canales de distribución de productos y servicios para clientes y usuarios”27. Su

implementación está dividida en tres etapas, “ la primera de las cuales inicia el 1º de julio del 2008,

la segunda t iene como plazo máximo para su implementación el 1º de enero del 2009 y la últ ima

finaliza el 1º de enero de 2010”28, para la fecha final de cada etapa las ent idades supervisadas deben

tener implementados, probados y en producción todos los procesos, mecanismos y sistemas de los

cuales t ratan los numerales correspondientes.

Esta circular es una iniciat iva que busca disminuir el riesgo tecnológico, el cual hace parte del

Riesgo operat ivo. Este riesgo tomó gran importancia en las organizaciones financieras debido al

“Comité de Basilea en supervisión bancaria”, organización que establece guías para el manejo de

riesgos en los bancos y está conformado por Bancos centrales y entes de supervisión de 13 países

[12]. En 1988 dicho comité, publicó una guía respecto a los requerimientos mínimos de capital,

conocida actualmente como Basilea I, cuyo objet ivo principal es establecer estándares mínimos de

solvencia con el fin de minimizar el riesgo de crédito. En 1996 fue reformada para ampliar su

alcance e incluir el riesgo de mercado en la ponderación del capital requerido; y posteriormente en

1998, se discutió la importancia del riesgo operacional como parte de los riesgos financieros,

apareciendo en el 2004 un nuevo acuerdo llamado Basilea II, el cual incluye el riesgo operacional

en la ponderación de los requerimientos mínimos de capital.

Como se mencionó en el capítulo anterior, a t ravés del marco de gest ión de riesgos de tecnología de

la Información, 4A, y la circular 052 de la SFC se pretende analizar cómo la regulación nacional de

la Información en el sector bancario colombiano, contribuye a la implementación de una gest ión de

riesgos de TI adecuada en términos de las necesidades del negocio.

Para esto, es necesario unificar la terminología usada en la circular y en el marco, con base en una

definición común. A continuación se presenta un glosario de términos que aparecen en la circular

052 definidos según los objet ivos de negocio propuestos en el marco 4A.

27 SUPERINTENDENCIA FINANCIERA DE COLOMBIA. Circular externa 052 de 2007. 2007. Disponible en:

<http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ ce052_07.rtf> 28 Ibídem.

40

2.4. Glosario de términos Circular vs Marco

La circular 052 define los requerimientos mínimos para garantizar la Seguridad y Calidad en el

manejo de la información que deben cumplir los establecimientos supervisados por la SFC. Para la

Seguridad de la información se deben tener en cuenta estos t res criterios: Confidencialidad,

Integridad y Disponibilidad. Y para la Calidad se tienen Efect ividad, Eficiencia y Confiabilidad.

Como se mencionó en la descripción del marco 4A, Disponibilidad es uno de los cuatro objet ivos

de negocio que se pueden lograr con el manejo efect ivo de riesgos de T I, sin embargo, la definición

dada por el marco y por la circular es diferente. Por lo tanto, para unificar los criterios de seguridad

y calidad dados por la circular 052, con los objet ivos de negocio del 4A se hará una definición

común de términos para el alcance de este documento.

2.4.1. Criterios de Seguridad de la información

Confidencialidad: Hace referencia a la protección de información cuya divulgación no está

autorizada. En el marco 4A esta definición clasifica dentro del objet ivo de Acceso ya que lo define

en los mismos términos.

Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su

destrucción. En el marco 4A esta definición clasifica dentro del objet ivo de Precisión ya que lo

define en los mismos términos.

Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y

en el futuro, al igual que los recursos necesarios para su uso. En el marco 4A esta definición

clasifica dentro de los objet ivos de Precisión y Disponibilidad:

• En Precisión la información debe ser correcta, a t iempo y completa, y en la circular se

define que la información debe estar en el momento y formato que se requiera.

• En Disponibilidad los sistemas deben estar funcionando sin interrupciones y en caso de

interrupción recuperarlos en el menor t iempo posible y en la circular la Disponibilidad

incluye que los sistemas y recursos necesarios para su uso estén en el momento que se

requieren.

41

2.4.2. Criterios de Calidad de la información

Efectividad: La información relevante debe ser pert inente y su entrega oportuna, correcta y

consistente. En el marco 4A esta definición clasifica dentro de los objetivos de Disponibilidad y

Precisión. Precisión porque la información debe ser correcta y consistente y Disponibilidad porque

su entrega debe ser oportuna.

Eficiencia: El procesamiento y suministro de información debe hacerse utilizando de la mejor

manera posible los recursos. En el marco 4A esta definición clasifica dentro del objet ivo de Acceso,

porque debe suministrarse la información a quien la necesite y tenga acceso.

Confiabilidad: La información debe ser la apropiada para la administración de la ent idad y el

cumplimiento de sus obligaciones. En el marco 4A esta definición clasifica dentro del objet ivo de

Precisión, porque la información debe ser apropiada y correcta.

Para finalizar el glosario de términos a continuación se presentan en la figura 6 de forma tabular las

relaciones entre los criterios de seguridad y calidad de la información y los objet ivos de negocio del

marco 4A.

Conf idencialidad Integridad Disponibilidad Efectividad Ef iciencia Conf iabilidad

Acceso X X

Agilidad

Disponibilidad X X

Precisión X X X X

Figura 6 – Relaciones entre los criterios de seguridad y calidad de la información y los objetivos de negocio del

marco 4A

2.4.3. Descripción en detalle de la circular 052 de la SFC

Habiendo definido una terminología común, a continuación se explicará brevemente, para temas de

la invest igación, los principales numerales contenidos en la circular 052 de la SFC:

• Ámbito de aplicación: Se explican las ent idades que deben adoptar las instrucciones

emit idas por dicha circular.

• Definiciones y criterios de seguridad y calidad: Se dan las definiciones de los criterios de seguridad y calidad necesarios para el cumplimiento de los requerimientos expuestos en la

circular. Dichas definiciones fueron explicadas en los numerales 2.4.1 y 2.4.2. Además, se

42

explican los canales de distribución para los cuales se deben cumplir los criterios

anteriormente mencionados.

• Obligaciones generales: Son las medidas generales que la s organizaciones financieras y

bancarias deben adoptar para la aplicación de los criterios definidos en el numeral 2,

independientemente de sus canales de distribución. Si la organización contrata bajo la

modalidad de tercerización, también debe vigilar que aquellos canales usados por estas

empresas cumplan con los requerimientos del numeral 3.2. Por últ imo, define la

documentación que las ent idades deben cumplir para dejar constancia de las operaciones

realizadas, de forma que los órganos de control tengan acceso a éstas.

• Obligaciones adicionales por tipo de canal: Dado que las ent idades para las cuales aplica esta circular usan diferentes canales de distribución, que son definidos en el numeral 2, aquí

se especifica para cada canal, las obligaciones adicionales a las del numeral 3 que deben

cumplir solamente aquellas ent idades que ut ilicen el canal respect ivo.

• Reglas sobre actualización de software: Define procedimientos y controles para el

software ut ilizado en los ambientes de producción y pruebas, independiente del canal de

distribución.

• Obligaciones específicas por tipo de medio – Tarjetas débito y crédito: A diferencia del

numeral 3 y 4, éste define medidas no para un canal de distribución sino para un t ipo de

medio, el de tarjetas débito y crédito.

• Análisis de Vulnerabilidades: Obliga a las ent idades a implementar un sistema de

vulnerabilidades informáticas.

Ahora, se presenta un análisis en donde se categorizan los criterios definidos en los numerales 3 al

7. Esta categorización se hace a dos niveles: uno general y otro específico.

A nivel general se totaliza el conjunto de los numerales 3 al 7 y los criterios se clasifican en:

• Objet ivos de negocio del marco 4A.

• Disciplinas del marco 4A.

• Medidas operat ivas y ejecutivas del marco 4A.

Lo anterior sirve como una aproximación general de la circular 052 al marco 4A, visualizando cual

es el comportamiento por disciplinas y por objet ivos de negocio.

43

A nivel específico se toma por separado cada numeral del 3 al 7 analizando los criterios anteriores.

El numeral 2.3.4 corresponde al análisis general y el numeral 2.3.5 corresponde al análisis

específico; si se desea mayor profundidad en cuanto a los datos usados para generar las estadísticas

de dichas secciones, remit irse a la sección de clasificación de la circular 052 de la SFC en el marco

de gest ión de riesgos de TI 4A en anexos.

2.4.4. Categorización general de los numerales de la circular 052 en los objetivos de negocio,

por tipo de medidas y en las disciplinas del marco de gestión de riesgos 4A

Figura 7 – Análisis 4A vs circular 052.

En la figura 7 se observa cómo el 79% de los numerales de la circular están bajo los objet ivos de

negocio de Acceso y Precisión. Esto se puede explicar dado que los criterios que define la circular

para la calidad y la seguridad en el manejo de la información, anteriormente especificados,

clasifican total o parcialmente dentro de estos dos objet ivos de negocio.

16,58%

40,64%

38,50%

4,28%

Clasificación numerales 3-7 por objetivos de negocio del marco 4A

Total de Disponiblidad

Total de Acceso

Total de Precisión

Total de Agilidad

44

Figura 8 – Nivel Ejecutivo vs. Nivel Operativo

En la figura 8 se observa que la gran mayoría de numerales de la circular clasifican en un nivel

operat ivo dentro de la organización. Esto es de esperarse ya que la prestación de servicios de un

banco es un tema operativo.

Figura 9 – Disciplinas en la circular 052.

Como se observa en la figura 9, la disciplina más concurrente en la circular 052 es la de Base

Tecnológica, con un 74%. Esto se debe a que la mayoría de las act ividades propuestas por dicha

circular son de índole tecnológico.

No obstante, la disciplina de Gobierno con un 24%, se evidencia en aquellos numerales de la

circular donde se t ienen que implementar polít icas regulatorias de Gobernabilidad.

17%

83%

Clasificación numerales 3-7 por control a nivel ejecutivo y a nivel operativo

Total Nivel Ejecutivo

Total Nivel Operativo

74%

24%

2%

Clasificación numerales 3-7 por disciplinas

Total Base

Total Gobierno

Total Cultura

45

Sin embargo, la disciplina de Cultura, con un 2%, sólo aparece cuando se necesita concient izar a los

involucrados en temas de seguridad y calidad de la información.

2.4.5. Categorización individual de cada numeral de la circular 052

Ahora, tomando cada uno de los numerales del 3 al 7 de la circular 052 por separado, se analiza cual

es el impacto de las disciplinas y objet ivos de negocio para dichos numerales.

• Numeral 3 – Obligaciones generales:

El numeral 3 busca cumplir con procedimientos relat ivos a la administración de la

información en términos generales en un banco.

Figura 10 – Análisis 4A vs numeral 3 (circular 052).

La figura 10 al compararse con la figura 7, muestra una distribución de porcentajes con

magnitudes similares, esto se debe a que este numeral es la parte central de la circular y

t iene el mayor peso entre los siete, ya que establece las obligaciones generales que son

independientes de los canales de distribución.

Se observa que el criterio de Precisión es el objetivo más importante, con un 48%

mostrando su relevancia al buscar administrar la información y definir polít icas en cuanto a

la manipulación de los datos exigiendo documentación en los procesos del negocio.

El Acceso que t iene un 32%, se rige por la misma razón que la precisión al hablar de

seguridad y calidad, pues es donde se implementa el control a los datos de manera general.

13%

32%48%

7%

Clasificación numeral 3 por los objetivos de negocio del marco 4A

Disponibilidad 3

Acceso 3

Precisión 3

Agilidad 3

46

La Disponibilidad y la Agilidad son los menos relevantes para el numeral 3, ya que lo más

importante es el control de los datos.

Figura 11 – Nivel Ejecutivo vs Nivel Operativo en el numeral 3 (circular 052).

En la figura 11 se aprecia que las medidas que define este numeral de la circular son en su

mayoría medidas de Nivel Operativo, esto se debe a que la prestación de servicios a clientes

y usuarios se da a Nivel Operativo. Con 29% se halla el Nivel Ejecutivo, pues en este

numeral también se hace referencia a controles y a la definición de procesos para garantizar

la prestación de servicios en el largo plazo.

Figura 12 – Disciplinas en el numeral 3 (circular 052).

Se observa en la figura 12 que la Base Tecnológica con un 64%, es la disciplina más

aplicada en los controles a nivel general. Esto está relacionado con la gráfica anterior,

donde se explicó que el 71% de las medidas de este numeral son a Nivel Operativo. Lo cual

29%

71%

Clasificación numeral 3 por control a nivel ejecutivo y a nivel operativo

Nivel Ejecutivo 3

Nivel Operativo 3

64%

35%

1%

Clasificación numeral 3 por disciplinas

Base 3

Gobierno 3

Cultura 3

47

hace que muchas de estas medidas tengan en cuenta la infraestructura tecnológica, sus

procesos y el personal que la supervisa.

El Gobierno de TI también t iene una part icipación significat iva con el 35%, pues en la

implantación de temas de seguridad de la infraestructura tecnológica, se toman decisiones

que afectan áreas administrat ivas que deben tratarse de forma interdisciplinaria.

• Numeral 4 – Obligaciones adicionales por tipo canal:

El numeral 4 busca cumplir con procedimientos relat ivos a la administración de la

información en términos de canales específicos dentro de un banco.


Al ut ilizar el marco de gest ión de riesgos 4A en el numeral 4, se observa en la figura 13,

que para los canales de servicio al cliente, el objet ivo más importante es el Acceso a los

datos en el momento que el cliente lo necesite, bajo condiciones de privacidad.

Se observa también, que la protección de estos canales es tan importante como la Precisión

de los datos que transportan. Esto se evidencia con el 27% de medidas en la disciplina de

Precisión.

En cuanto a Disponibilidad con un 17%, incrementa su relevancia debido a la alta

dependencia en la T I en los canales del banco, por esta razón, se deben disponer de las

17%

53%

27%

3%


Disponibilidad 4

Acceso 4

Precisión 4

Agilidad 4

48

mejores medidas para garantizar la continuidad en los servicios de T I que soportan dichos

canales del banco.

Por últ imo, se encuentra la Agilidad con un 3%, y esto se debe a que se piensa más en la

seguridad de los canales de información que en los temas concernientes al negocio como

tal.


En la figura 14 se observa que en el numeral 4 el Nivel Operativo es mayor que el

Ejecutivo, la razón es que los procedimientos nuevos se deben estructurar a Nivel Ejecutivo,

es decir, que para un proceso en un canal específico se le define un solo plan con una gran

estructura de funcionamiento, pero requiere de un detalle mayor en la ejecución de los

procesos a la hora de ut ilizarlo.


11%

89%


Nivel Ejecutivo 4Nivel Operativo 4

86%

11%

3%


Base 4

Gobierno 4

Cultura 4

49

En la figura 15 que muestra las disciplinas del numeral 4 se observa, que la Base

Tecnológica abarca casi por completo el área de la gráfica. La razón radica en que cada

canal t iene una alta dependencia de T I y, por ende, necesita de una Base Tecnológica con

procedimientos específicos.

El Gobierno con un 11%, aparece en menor proporción porque el manejo de riesgos sólo lo

va desarrollar el jefe operat ivo de un canal, y porque la cantidad de personas y procesos de

planeación es menor que la cantidad de procesos de TI a manejar.

Por últ imo, con un 3% la Cultura aparece cuando se necesita que las personas deban

aprender a proteger los datos para disminuir posibles ataques a la infraestructura de T I.

• Numeral 5 – Reglas sobre actualización de software: El numeral 5 de la circular 052 habla sobre las reglas de actualización de software y las

medidas que deben tomar las ent idades financieras para tener un adecuado control del

mismo.


En la figura 16 se observa que el 45% de las act ividades de este numeral clasifican en el

objet ivo de negocio de Acceso, ya que el software en las ent idades bancarias debe tener un

control bastante fuerte para ingresar a los aplicativos.

Otro porcentaje importante de act ividades, el 33%, clasifica dentro del objet ivo de negocio

de Precisión, ya que también es muy importante controlar la información de códigos fuente,

22%

33%

45%

0%


Disponibilidad 5Acceso 5Precisión 5Agilidad 5

50

ambientes en los cuales se está ejecutando el software y las versiones que se están

ut ilizando en cada uno de los ambientes.

Cómo este numeral está más concentrado en el tema del control del software, que en su

ejecución misma, el 22% de las medidas clasifican en el objet ivo de negocio de

Disponibilidad.


Como se puede apreciar en la figura 17, en este numeral no se especifican medidas

ejecutivas.


En la figura 18 se puede observar que el 100% de act ividades de este numeral clasifican en

la disciplina de Base Tecnológica ya que justamente el software es uno de los elementos de

esta disciplina.

0%

100%


Nivel Ejecutivo 5

Nivel Operativo 5

100%

0%


Base 5

Gobierno 5

Cultura 5

51

• Numeral 6 – Obligaciones específicas por tipo de medio – Tarje tas débito y crédito:

El numeral 6 de la circular 052 trata sobre las obligaciones específicas según el t ipo de

medio a ut ilizar. En este caso part icular se refiere a los medios de tarjetas débito y crédito.

De este numeral se puede observar el siguiente comportamiento con respecto a su

clasificación dentro del marco de gest ión de riesgos de TI 4A.


En la figura 19 se puede apreciar que el Acceso, t iene un 65%, siendo el objet ivo más

importante para el manejo de tarjetas de débito y crédito, debido a que se t iene que

discriminar de manera efect iva la entrada de los usuarios que correspondan, como los

propietarios de las tarjetas, y lograr así un nivel de seguridad adecuado.

Por otro lado, con un 35% la Precisión muestra su relevancia a la hora de determinar y

verificar correctamente la información que está siendo almacenada en cada una de las

cuentas de las tarjetas, evitando así errores o pérdidas en los datos de éstas.

0%

65%

35%

0%


Disponibilidad 6

Acceso 6

Precisión 6

Agilidad 6

52


En esta figura 20 se aprecia que la mayoría de la responsabilidad de este numeral recae en el

Nivel Operativo, con el 94%, pues a este nivel se t iene el conocimiento adecuado para

implementar los requerimientos del numeral 6. No obstante, con el 6% de la gráfica, el

Nivel Ejecutivo se evidencia únicamente en el numeral 6.11, ya que la responsabilidad de la

dist inción del uso de las tarjetas de crédito y débito recae directamente en dicho nivel.


En la figura 21 se puede observar que la disciplina que más se desarrolla en el numeral 6 es

la de Base Tecnológica con un 82%, pues la mayoría de las act ividades de dicho numeral

son de implementación de T I. Por otro lado, con el 18% restante se encuentra el Gobierno

6%

94%


Nivel Ejecutivo 6

Nivel Operativo 7

82%

18%

0%


Base 6

Gobierno 6

Cultura 6

53

con las act ividades que competen a la implementación de estándares o procedimientos de

seguridad y de act ivación de dichas tarjetas.

• Numeral 7 – Análisis de vulnerabilidades: El numeral 7 de la circular 052 habla sobre el análisis permanente de vulnerabilidades

informáticas que deben hacer las ent idades bancarias.

De este numeral se puede observar el siguiente comportamiento con respecto a su

clasificación dentro del marco de gest ión de riesgos de TI 4A.


En la figura 22 se aprecia que el 54% de act ividades de este numeral clasifican dentro del

objet ivo de negocio de Disponibilidad, ya que cualquier vulnerabilidad se puede llegar a

convert ir en una amenaza o incluso en una falla del sistema.

El 38% de las act ividades clasifican dentro del objet ivo de negocio de Precisión, ya que es

muy importante tener los informes actualizados de las vulnerabilidades, para poder

compararlos con anteriores informes y poder evaluar la evolución del sistema de análisis de

vulnerabilidades.

54%

8%

38%

0%


Disponibilidad 7

Acceso 7

Precisión 7

Agilidad 7

54


En la figura 23 se observa que el 100% de las act ividades de este numeral son de tipo

operat ivo. Esto se debe a que la implementación del sistema de vulnerabilidades es una

responsabilidad operat iva.


En la figura 24 se puede observar que hay un componente importante de la disciplina de

Gobierno del 54%, ya que deben tomarse referencias de estándares internacionales y

además hacerse análisis comparat ivos de los resultados encontrados para tomar decisiones y

hacer los correctivos necesarios.

Después de observar la taxonomía de la circular 052 por objet ivos de negocio, t ipos de medidas y

disciplinas del marco de gest ión de riesgos 4A, se pasa a la elaboración del perfil de la circular 052,

0%

100%


Nivel Ejecutivo 7

Nivel Operativo 7

46%

54%

0%


Base 7

Gobierno 7

Cultura 7

55

con el fin de determinar cuáles son los objet ivos del negocio que más potencial de riesgo tendrían sí

solo se tomara como herramienta para el control de riesgos de T I la circular.

2.4.6. Perfil de riesgos aplicado a la circular 052

Con base en el análisis del numeral 2.4.5, se generó una escala de calificación cualitat iva para medir

el nivel de riesgo en cada objet ivo de negocio, que permite alcanzar la circular 052. (Nota: contrario

a la escala cuantitat iva usada para medir el nivel de riesgo en el ejemplo de la figura 3, en este

estudio se usará una escala cualitat iva que será explicada más adelante en este capítulo).

Por cada numeral de la circular, se contabilizó el total de medidas que minimizan el riesgo en cada

objet ivo, y luego se dividió esa cantidad por el total de medidas que minimizan los riesgos en todos

los objet ivos de negocio (Nota: Nótese que esta última cifra es un número mayor al total de medidas

del numeral, debido a que una medida puede minimizar a más de un t ipo de riesgo). Las razones

obtenidas, permiten identificar comparativamente, cuáles objet ivos de negocio son tenidos en

cuenta en mayor o menor proporción. Ver Anexo “Perfil de Riesgos Circular 052” para la

clasificación en detalle de cada numeral de la circular.

A continuación se presenta la clasificación consolidada de toda la circular:

Para la escala de clasificación de riesgos de toda la circular se recopilaron las clasificaciones

individuales de todos los numerales y se generó la siguiente escala de riesgos: Riesgo Bajo si el número de medidas que atacan riesgos en un determinado objet ivo de negocio está entre el (50%–

100%] del total de medidas en toda la circular, Medio, sí está entre (25% – 50%] y Alto sí está entre

[0% – 25%].

En la figura 25 se muestran los niveles de riesgo para cada uno de los objetivos de negocio:

Figura 25 – Niveles de riesgo de TI para los objetivos de negocio de la circular 052

56

A part ir de estos datos se construyó el siguiente perfil de riesgos:

Perfil de riesgos para la circular 052:

Figura 26 – Perf il de riesgos de TI para la Circular 052.

Nótese que a diferencia de la figura 3, en la figura 26 sólo se muestra el nivel actual de tolerancia al

riesgo, ya que resulta de aplicar todos los numerales de la circular. Se puede concluir entonces que

la circular 052 t iene un perfil con niveles de riesgo altos para los objet ivos de Disponibilidad y

Agilidad y niveles de riesgo bajos para la Precisión y el Acceso, esto quiere decir que es más

vulnerable o tolerante al riesgo en Disponibilidad y Agilidad que en Precisión y Acceso; ya que

comparativamente la mayoría de las medidas en la circular se enfocan en los objet ivos de negocio

de Precisión y Acceso. Este resultado era predecible al tener en cuenta el análisis de los numerales

2.4.4. y 2.4.5.

Ahora que se ha explicado la fundamentación teórica en la cual está basada esta invest igación, en el

próximo capítulo se presenta el t rabajo de campo realizado y se hace un análisis de cada uno de los

casos de estudio bajo las bases dadas en el marco teórico.

57

V. CAPÍTULO 3: CASOS DE ESTUDIO

Al final del capítulo anterior se desarrolló un perfil de riesgos de T I para la circular 052 y se

concluyó que la regulación nacional por medio de dicha circular brinda a las ent idades un control

elevado para los riesgos de Acceso y Precisión, comparado con los riesgos de Agilidad y

Disponibilidad. En este capítulo el t rabajo consiste en identificar de qué forma algunos bancos

objeto de estudio complementan las medidas dispuestas en la circular, para obtener una gest ión de

riesgos de TI más eficiente en un proceso de negocio específico.

La muestra presentada a continuación corresponde al Banco de la República y a tres instituciones

bancarias, cuyos nombres han sido cambiados por motivos de confidencialidad. De un total de 18

inst ituciones de crédito que actualmente operan en el país, la muestra corresponde al 17% del total y

por ende se puede considerar como una muestra indicat iva del sector. De los cuatro bancos

estudiados hay un Banco Central, un Banco de Inversión, y dos Bancos mixtos, es decir, con

servicios comerciales y de inversión.

En el siguiente numeral se presentan los casos de estudio, la estructura de cada caso es la siguiente:

primero una descripción general del banco, luego se presenta y se explica el proceso de negocio

seleccionado, se genera el perfil de riesgos de TI ideal, posteriormente se hace un análisis del

proceso de negocio con base en las disciplinas del marco 4A y su relación con la Circular 052 y

finalmente se calcula el perfil de riesgos actual del proceso.

La metodología empleada para generar el perfil de riesgos de T I ideal en cada objet ivo de negocio

consiste en aplicar el instrumento del marco 4A presente en la sección de anexos (instrumento para

elaborar el perfil de riesgos de TI ideal, basado en el libro IT Risk29), luego evaluar las preguntas de

nivel ejecutivo en cuatro variables de impacto (económico, sobre los clientes, regulatorio y en la

reputación del Banco) que midan el efecto de T I en el negocio en términos cualitat ivos (Alto, Medio

o Bajo). Y, para poder calcular el impacto promedio del riesgo de TI en cada objet ivo de negocio se les asigna un valor numérico, como se muestra en la figura 26:

29 WESTERMAN G., HUNTER, R. IT Risk: Turning Business Threats Into Competitive Advantage. 2007

58

Figura 27 – Dominio de las variables de impacto en el negocio

Una vez se t iene el impacto general de TI en cada objet ivo de negocio, el nivel de riesgo ideal

consiste en restar de 1 el valor obtenido (Ver anexo con los resultados) y a part ir de estos resultados

se genera un valor cuantitat ivo sobre el nivel de riesgo deseado para el proceso estudiado, de

acuerdo a los valores de la figura número 27.

Figura 28 – Escala de medición de los riesgos de TI.

Finalmente se grafica el perfil de riesgo deseado para cada uno de los cuatro objet ivos ut ilizando los

rangos de valores mostrados en la figura 28.

Por otro lado, para generar el perfil de riesgos de T I actual se aplica un instrumento generado en

esta invest igación (Ver anexo “ Instrumento para generar el perfil de riesgos de TI actual”), en el

cual se clasifican las medidas que propone el libro IT Risk en las disciplinas de Cultura,

Gobernabilidad y Base Tecnológica. Cada una estas medidas es relacionada con el objet ivo de

negocio que busca mejorar, y el conjunto de todas las medidas que disminuyen los riesgos de TI

para cada objet ivo de negocio permite calcular el nivel de riesgos de T I que enfrenta cada Banco.

Dicho nivel de riesgo de T I se obtiene al ordenar las medidas de cada objet ivo de negocio por

niveles de riesgo alto, medio y bajo.

De esta forma, para afirmar que se t iene un determinado nivel de riesgo se deben cumplir todas las

medidas de los niveles de riesgos inferiores y al menos una medida de ese nivel de riesgo. Por

ejemplo, tener un nivel de riesgo de T I bajo para Disponibilidad quiere decir que se cumplen con

todas las medidas mínimas, (se consideran mínimas porque si exclusivamente se cumpliera con esas

medidas se tendría un riesgo alto), más las medidas recomendadas, es decir, medidas adicionales a

59

las mínimas que permiten disminuir el riesgo de un nivel alto a un nivel medio, y mínimo una de las

medidas óptimas, entendiendo por óptimas, aquellas que llevan al riesgo a un nivel muy bajo.

Para determinar en forma numérica el nivel de riesgo, se usa una escala de 0 a 1, si el Banco cumple

con todas las medidas de un nivel t iene 1 0.33 puntos, donde el valor de 0,33 corresponde a

dividir la escala por los tres niveles de riesgo posibles, pero si cumple solamente cumple con

algunas tiene 1 0,33 ú ú

puntos. Retomando el ejemplo anterior, si

se t iene un nivel bajo quiere decir que numéricamente t iene un riesgo de:

1 0,33 0,33 0,33ú

ú

A continuación se presentan cada uno de los bancos estudiados para explicar el proceso

seleccionado en cada una de ellos y su posterior análisis de riesgos de T I según el instrumento

aplicado.

3.1. Banco A

3.1.1. Descripción del Banco

Este banco es una ent idad financiera de carácter privado fundado en Colombia hace

aproximadamente cincuenta años, actualmente posee un grupo de empresas afiliadas y relacionadas,

con presencia en 5 países. Ofrece servicios para personas naturales y empresas.

Para las personas naturales ofrece:

• Cuentas de ahorro y CDT’s.

• Tarjetas de crédito

• Financiación

• Seguros, en esta categoría se pueden encontrar seguros de vida y otro t ipo de seguros, todos

con alianza a una aseguradora.

• Negocios internacionales, temas de importaciones y negociaciones con bancos en otros

países.

60

Para las empresas ofrece:

• Transporte de valores y recaudo de dineros.

• Pagos a terceros.

• Inversiones, Seguros, Negocios internacionales y Financiación.

• Banca de inversión: Soluciones en procesos de fusiones y adquisiciones, Financiación y

estructuración de proyectos y Operaciones en el mercado de capitales.

Es un banco de tamaño medio, desde el 2006 el ingreso por intereses ha registrado una variación

posit iva hasta del 22% y en cuanto a la ut ilidad neta ha sufrido una varianza posit iva del 6.8%.

Actualmente contempla una inversión de US$50 millones en T I que busca implementar una nueva

solución CRM (Customer Relat ionship Management) y también busca mejorar su infraestructura de

telecomunicaciones, cajeros automáticos y oficinas.

3.1.2. Proceso seleccionado

Dentro del banco A se selecciona el proceso “T ransacciones30 bancarias a t ravés de internet” debido

a su alta dependencia en los sistemas de T I y al crecimiento en los últ imos años de la prestación de

servicios bancarios t radicionales a través de canales informáticos. El funcionamiento del proceso se

describe en la figura 29, cada cuadro identifica una act ividad.

Figura 29 – B anco A, Diagrama de las actividades del proceso de negocio.

• El proceso comienza con el ingreso del usuario a la red, en esta act ividad el usuario debe

acceder con su contraseña (Contraseña única para el uso en internet) y documento de 30 Transacción se refiere a todos los servicios prestados por la Banca Electrónica del Banco A.

Ingreso usuario a la red

Operaciones en internet

Registro operaciones bancarias en

línea

61

identificación para ingresar a la interfaz del portal de t ransacciones web, donde pasa al sistema

de información que se denomina como seguridad31 .

• Si el usuario se autent ifica correctamente, puede realizar operaciones en internet , en esta

act ividad el usuario puede observar cuales son los servicios que la ent idad bancaria le ofrece.

• Finalmente, las operaciones que el usuario realice a t ravés de internet van a ser registradas, por

ejemplo, si se realizan movimientos monetarios, como transacciones bancarias entre cuentas,

este movimiento va ser registrado y al finalizar todas las operaciones a través de internet de

todos los clientes van a ser reportadas a la SFC.

Sistemas involucrados en el proceso

En la figura 30 los rectángulos vert icales describen los sistemas involucrados en este proceso y los

rectángulos horizontales las act ividades que soporta cada uno.

Figura 30 – B anco A, Clasif icación de las actividades del proceso en los sistemas de información que las soportan

• El portal web es el punto de entrada del usuario al servicio de t ransacciones por internet, en

éste, ingresa los datos de su cuenta personal para luego ser verificados por el sistema de

seguridad, y si son correctos puede comenzar a realizar transferencias.

• En el sistema de información que se denomina Base de datos–Seguridad se realizan todas las

validaciones del cliente al ingresar al sistema, sí en esta etapa el usuario ingresa 3 veces

seguidas una clave de autentificación incorrecta, el sistema bloquea la cuenta hasta que el dueño

31 Aquí el sistema de información denominado como “ seguridad” no tiene un nombre explicito por confidencialidad con

el banco

Portal Web

Ingreso del usuario a la

red

Base de datos -Seguridad

Validación de los datos


Sistema ERP


Registro operaciones bancarias en

línea

62

la desbloquee con la ayuda de un asesor telefónico. A part ir de este punto se generan “LOGS”32

que rastrean todos los movimientos realizados por un usuario.

• El sistema ERP33 es la columna vertebral de las operaciones del banco, ya que contiene toda la

información de todos los productos del banco, es decir, el núcleo del mismo.

A continuación se presenta el personal involucrado en el proceso.

Personal involucrado en el proceso Las siguientes son las áreas involucradas en el proceso de transacción por internet .

• Área de tecnología: Esta área se encarga de verificar a nivel interno como está el funcionamiento de los sistemas de información, la configuración de los sistemas y solucionan

los errores que se presenten.

• Área de servicios: Se encarga de todas las reclamaciones, problemas y quejas. Son los

encargados de implementar nuevas tecnologías y servicios que el banco requiere para su

funcionamiento.

• Área de riesgos: Revisa los LOGS para luego encontrar los riesgos que se presentan en el

proceso.

A continuación se muestra en donde se ubica este personal dentro del proceso:

• Entre la interfaz del portal de t ransacciones web y el sistema de seguridad, está involucrada

el área de riesgo debido a que debe analizar el riesgo generado por intrusiones al banco.

• Entre el sistema de seguridad, las operaciones de internet y el ERP, las personas encargadas

son las del área de tecnología y el área de servicios.

• Finalmente en los reportes que se generan, están involucradas el área de riesgos y el área de

servicios.

A continuación se muestra el perfil de riesgos ideal del Banco A

32 LOG es un registro de las actividades realizadas por un usuario dentro de este proceso de negocio. 33 ERP , Enterprise Resource P lanning o Planificación de Recursos Empresariales. 2009. Disponible en:

<http://es.wikipedia.org/wiki/P lanificaci%C3%B3n_de_Recursos_Empresariales>

63

Con base en esta descripción del proceso y la aplicación del instrumento se generó el perfil de

riesgos de TI ideal mostrado en la figura 31.

Figura 31– B anco A, Perfil de Riesgo de TI Ideal del proceso seleccionado

En este perfil se observa que para este proceso se busca tener niveles de riesgo de T I bajos para los

cuatro objet ivos de negocio, especialmente para los objet ivos de Disponibilidad, Acceso y

Precisión, para un mayor detalle sobre su elaboración remit irse al anexo “Instrumento para general

el perfil de riesgos ideal”.

3.1.3. Análisis de disciplinas del Proceso seleccionado y su relación con la circular 052

Se comienza esta sección con un análisis de la s disciplinas del marco 4A basado en el proceso

seleccionado y luego se explican las polít icas y práct icas que se llevan a cabo.

El marco 4A t iene el siguiente orden dentro de las disciplinas, Base Tecnológica, Gobernabilidad y

Cultura, en este caso de estudio se presentan en el orden de importancia de las disciplinas para el

proceso estudiado en el banco.

• Gobernabilidad: Esta disciplina es la más importante en este proceso. Según el director de

tecnología todas las decisiones importantes de T I son influenciadas por Gobernabilidad, si es

una decisión que afecta directamente al negocio, ésta debe ser apoyada en conjunto con el nivel

-0,11,6E-15

0,10,20,30,40,50,6

Disponibilidad

Acceso

Precision

Agilidad

Perfil de riesgos de TI Ideal Banco A

Perfill de riesgos de TI Ideal Banco A

64

ejecutivo, con el fin de tener en cuenta los puntos de vista de los expertos locales y de la

gerencia corporat iva. Si es el caso de la implementación de una nueva tecnología, ésta se

maneja localmente y se analiza sí es posible que algunos riesgos se incrementen o por el

contrario disminuyan.

Esta disciplina es muy importante no sólo por lo anterior, sino también porque a t ravés de ésta

se llevan a cabo los controles para medir e implementar la reglamentación de la SFC, lo cual le

da una gran importancia ya que si la reglamentación no se cumple, al Banco no le sería

permit ido operar.

En la figura 32 se puede observar las áreas involucradas en esta disciplina.

Figura 32 – B anco A, Jerarquía manejo de riesgos en el proceso.

La vicepresidencia ejecutiva de riesgos es responsable de analizar las posibles amenazas a la

seguridad de la información del cliente, con base en los logs generados por un sistema de

seguridad en donde se registran todas las actividades realizadas por el usuario en el portal web.

La vicepresidencia de tecnología y la vicepresidencia de servicios se encargan de analizar

riesgos de TI a nivel interno, estas dos áreas reportan todos los riesgos encontrados al área de

riesgos. Se puede observar que existe un manejo de riesgos local y un manejo de riesgos global,

el cual es muy importante porque le da una mejor visión a la ent idad bancaria para la toma de

decisiones en cuanto a los riesgos de TI.

Junta directiva

Vicepresidencia ejecutiva de

riesgosVicepresidencia

de servicios

Vicepresidente de servicios

Vicepresidencia de tecnología

Presidente

65

• Base Tecnológica: En la figura 33 se describen la infraestructura y aplicaciones del Banco A.

Figura 33 – B ase de TI del B anco A

El objet ivo de negocio que se busca alcanzar por medio de esta disciplina es la disponibilidad,

el banco la considera como una de las disciplinas más importantes y la razón que el director de

tecnología da es que si el Banco no tiene sistemas disponibles sencillamente no puede operar,

luego todos los esfuerzos en TI se enfocan mucho en este objetivo de negocio.

De los resultados de la aplicación del instrumento, se observa que la Base Tecnológica es la

segunda disciplina más importante, debido a que cada vez que se realiza un nuevo proyecto de

TI con un impacto importante para el negocio, como en el caso de este proceso, se afecta en

algún aspecto la Base Tecnológica, por ejemplo, para el proceso de Transacciones a través de

internet sí se desea implementar mayores medidas de seguridad, se debe pensar inmediatamente

en infraestructura que soporte esta seguridad.

Debido a que el banco gira en torno a la disponibilidad de los sistemas para este proceso, se

t iene una infraestructura tecnológica robusta y planes para la prevención de errores,

recuperación ante desastres y para garantizar la continuidad del negocio, en los dos últ imos

t ipos de planes se t iene redundancia de discos, respaldos, sit ios de recuperación y polít icas

adecuadas.

66

• Cultura: A través de esta disciplina se trata de mejorar la seguridad de la información, tanto

por parte de los empleados como de las personas externas a la ent idad bancaria (empleados

subcontratados, visitantes, etc.). La seguridad por parte de los empleados incluye dist inción del

t ipo de empleado, lo cual permite que un empleado acceda únicamente al t ipo de información

que le compete. El empleado subcontratado también t iene dist inción, la cual se realiza por

medio de una contraseña que el empleado t iene y un token que genera una contraseña, que al ser

combinados permiten el ingreso al sistema. Esto es algo muy importante en la cultura del banco

debido a que busca minimizar los riesgos de acceso no autorizados concientizando a los

empleados de la importancia en la seguridad y la información del banco.

Es importante darse cuenta de la relación entre las disciplina de cultura y de gobernabilidad, la

segunda define la estructura de roles para mejorar el proceso y seguridad en la toma de decisiones

mientras que la primera está enfocada en los empleados de forma individual para que dependiendo

de su posición en el organigrama entiendan e interioricen la importancia de las medidas tomadas en

la disciplina de Gobernabilidad.

De acuerdo las medidas observadas en estas disciplinas, se hace evidente que el banco t iene

implementadas act ividades adicionales a las que impone la circular 052, esto es importante resaltar

ya que significa estar un paso adelante de la regulación, es decir, se t iene una actitud proact iva en

cuanto al manejo de los riesgos, sin desconocer claramente que regulaciones como la circular 052

ayudan al Banco a reducir problemas.

Específicamente, los numerales 3, 4.9, 5 y 7 de la circular 052 afectan directamente a este proceso,

ya que tratan temas de seguridad mínima que debe tener el canal de información Internet, los

sistemas de información, las personas involucradas y los datos resultantes en las act ividades de

dicho proceso.

Y como act ividades adicionales implementadas por el Banco se t ienen:

• Análisis de “Logs”, ut ilizada para rastrear riesgos potenciales de Acceso, que pueden

aumentar riesgos de Disponibilidad y/o Precisión, y de esta manera controlar este t ipo de

riesgos.

• Una cultura de protección de acceso a los datos, a sus usuarios y clientes.

67

• Una cultura organizacional que permite cierta libertad a nivel tecnológico de seleccionar

proyectos para implementar.

Ahora se procederá a realizar el perfil de riesgos del proceso, para esto se analizarán cada uno de los

objet ivos de negocio.

3.1.4. Perfil de riesgos de TI del proceso seleccionado

Dada la información que se t iene en el caso de estudio del Banco A sobre el análisis de disciplinas

del proceso seleccionado y la aplicación del instrumento (ver anexo – Instrumento Aplicado), a

continuación se construye el perfil de riesgos del banco A.

• Disponibilidad: El objet ivo de negocio que sobresale a primera vista es el de Disponibilidad, y como se menciona en la disciplina de la Base Tecnológica, si este objet ivo de negocio falla,

simplemente el banco no funciona porque no tiene como operar, este objet ivo es uno de los más

importantes para el banco y por esta razón t iene un potencial de riesgo bajo.

• Acceso: El banco considera el Acceso igual que la Disponibilidad, como uno de los puntos

crít icos del Banco, es por esta razón que se decide implementar un proyecto de seguridad

fuerte34. En la cultura del Banco igual se resalta la importancia de este objet ivo, ya que todos los

empleados t ienen que acceder a sistemas de información por sistemas rigurosos de

autentificación. El Acceso de los clientes también se encuentra controlado, esto es claro para el

banco ya que si un cliente no se siente seguro, puede abandonar el banco. Finalmente se puede

decir que los sistemas de información están fuertemente protegidos ya que si llega a exist ir un

ataque que deje vulnerable los sistemas de información, todo ese canal dejaría de funcionar. Por

esta razón su potencial de riesgo es bajo.

• Precisión: En Precisión el Banco considera que este objet ivo es consecuencia del Acceso, si se

realiza un buen Acceso lo que vendrá después va a ser preciso, sin embargo, el Banco muestra

práct icas visibles de Precisión al destinar un equipo especializado en riesgos para análisis de

“Logs”, que busca analizar problemas e identificar y corregir inconsistencia. Debido a que

34 Este proyecto se menciona en el anexo, encuesta Banco A.

68

existen regulaciones, la Precisión también la tienen en cuenta cuando le reportan a las ent idades

regulatorias. Por esta razón se considera su potencial de riesgo en medio.

• Agilidad: Debido a que internet actualmente es uno de los canales de comunicación con el

cliente más importantes, al generar un alto valor agregado debido a su bajo costo de operación,

se están realizando varios proyectos que operan sobre este canal que consideran al riesgo de

Agilidad como importante, ya que para estos se requiere reducir el t iempo que se demoran

nuevos productos en salir al mercado, buscando que el t iempo sea el menor posible, con el fin

de entrar antes que sus competidores a nuevas oportunidades de negocio. Pero si el producto no

sale a t iempo, el cliente no se daría por enterado y su reputación no se vería afectada

inmediatamente. Por esta razón su potencial de riesgo es bajo.

Luego de describir los objet ivos de negocio pert inentes para el proceso seleccionado del Banco A se presenta el perfil de riesgos en la figura 34.

Figura 34 – B anco A, Perfil de Riesgo de TI Actual del proceso seleccionado

Para concluir este caso de estudio, se observa que el perfil de riesgos actual para el proceso, mostrado en la figura 34, presenta un nivel bajo en los cuatro objet ivos de negocio. Este

comportamiento se produce dado que la organización realiza actividades que se encuentran en la

00,20,40,60,8

1Disponibilidad

Acceso

Precisión

Agilidad

Perfil de Riesgos Actual Banco A

Perfil de Riesgos Actual Banco A

69

circular 052 y que son fundamentales para el marco 4A, como la continuidad del negocio en la

Disponibilidad, el control del personal a los datos en el Acceso, la detección de anomalías en los

datos gracias a los LOGS en Precisión y el aprovechar del valor agregado que genera internet sobre

el negocio y buscar sacar productos al publico solo cuando su funcionamiento sea el correcto en

Agilidad.

Es importante resaltar que el banco maneja los riesgos de T I como lo planteado en el marco 4A,

dividiendo riesgos a nivel operat ivo y a nivel ejecutivo logrando un mejor manejo de riesgos. Este

perfil de riesgos permite comprobar los objet ivos de negocio que son importantes para el banco

demostrando el esfuerzo que se ha realizado en estos, llevándolos al nivel que el Banco considera

óptimo para operar de manera adecuada.

Entre el perfil de riesgos ideal y el perfil de riesgos actual es importante destacar que los del Banco

son bajos, pero el ideal es reducir aún más el riesgo, práct icamente a un valor nulo en

Disponibilidad, Acceso y Precisión. Mientras que en Agilidad, desean aprovechar las nuevas

tecnologías hasta un punto, para luego reducir los otros riesgos al máximo.

A continuación se presenta el caso de estudio del Banco B.

3.2. Banco B

3.2.1. Descripción del banco

El Banco B t iene oficinas en varios países, su entrada en el mercado Colombiano es reciente pero ha

tenido un rápido crecimiento gracias a la experiencia y trayectoria exitosa de su casa matriz. En

cuanto a su proceso de adaptación al país, cabe destacar su agilidad para cumplir con la regulación

financiera impuesta por la SFC y el Banco de la República, gracias al uso de políticas que cumplen

con estándares internacionales y a su cultura organizacional que incorpora las mejores práct icas del

sector financiero.

Este Banco es un banco de inversión y por ende se diferencia de los bancos comerciales en que no

capta dinero del público, entre sus funciones principales están la administración de portafolios de

70

inversión, la asesoría en compra y venta de empresas, fusiones entre empresas, y escisiones de

act ivos.35 Para el presente trabajo se seleccionó como proceso de estudio la compra y venta de

t ítulos valores en la Mesa de Dinero.

3.2.2. Proceso seleccionado

Compra y venta de títulos valores en la Mesa de Dinero:

La mesa de dinero es el departamento de una ent idad financiera a t ravés del cual, las ent idades

negocian act ivos financieros como Monedas extranjeras, TES (T ítulos de deuda pública doméstica,

emit idos por el gobierno Colombiano y administrados por el Banco de la República) o Derivados.

En la figura 35 se presenta una descripción gráfica del proceso, cada cuadrado azul representa una

act ividad, dentro de cada uno aparece primero el nombre de la actividad y luego una explicación en

detalle.

35 Serrano, Rodríguez Javier. Mercados Financieros. Visión del sistema financiero colombiano y de los principales

mercados financieros internacionales.

71

Figura 35 – Banco B , Proceso de Compra y venta de títulos valores en la Mesa de Dinero

Generalmente las negociaciones de la Mesa de dinero se hacen en los sistemas SEN, SET–FX,

DERIVADOS y REUT ERS, el sistema SEN es del Banco de la República; SET FX y

DERIVADOS son sistemas de la BVC36. A continuación se explica que títulos se t ransan en cada

uno.

• SEN (Sistema Electrónico de Negociación): Es el sistema electrónico del Banco de la

República donde se negocian los TES de 1, 2, 3, 5, 7, 10 y 12 años, el mercado negocia de

8:00am a 1:00pm aunque algunas operaciones se realizan en la tarde37.

• SET–FX: En este sistema se realizan operaciones de compra y venta de dólares, el mercado

spot (por su nombre en inglés) abre a las 8:00am y cierra a la 1:00pm, este mercado negocia en

t=0 (hoy) y las operaciones se cumplen en t=0 (hoy). De 2:30pm a 4:30pm funciona el mercado

36 BVC Bolsa de valores de Colombia. 37 Ibídem.

72

Next–Day (por su nombre en inglés), en este mercado se hacen operaciones en t=0 (hoy) y se

cumplen en t + 1 (mañana)38.

• Derivados: En este mercado se realizan operaciones a plazo con derivados financieros como:

forwards, swaps y opciones entre otras39.

• Reuters: Es un sistema electrónico donde se negocian divisas diferentes al dólar, en este

sistema se pueden hacer negociaciones con otros países40.

• Mesa de moneda Legal: Son los corredores de bolsa que buscan recursos (fondeo) o que

prestan los excedentes de tesorería a otras ent idades, están encargados de conseguir parte de los

recursos con los cuales se puede negociar en los sistemas anteriores.

Las conexiones que se usan para acceder desde la ent idad a las centrales de los sistemas SEN, SET –

FX y derivados, son conexiones por cable directo que van desde la oficina del banco hasta el Banco

de la República o a la BVC respect ivamente. Adicionalmente a estos sistemas también se pueden

hacer operaciones de manera directa y telefónica en el caso de operaciones de divisas extranjeras y

la mesa de moneda legal.

Con un panorama del proceso desde el punto de vista del negocio, a continuación se presenta una

visión técnica con base en los sistemas que lo soportan, presentados en orden de importancia:

• Conexión a los sistemas externos del mercado (Transaccionales41):

En realidad no es un sistema sino las conexiones a varios sistemas externos (SEN, SET –FX

o Sistemas de la BVC) y son de vital importancia porque en estos sistemas quedan en firme

todas las negociaciones de t ítulos valores. Dichas negociaciones son las act ividades más

importantes del proceso y cada momento en que las conexiones no estén disponibles es

crít ico para el negocio ya que interrumpe completamente las act ividades de compra y venta.

• Sistemas internos de información transaccionales:

Llevan el registro de las operaciones externas realizadas en los sistemas anteriormente

descritos, dicho registro consiste en:

38 Tomado de http://www.banrep.gov.co/informes–economicos/ine_pre_frec8.htm 39 Ibídem. 40 Ibídem. 41 Transacciones de los movimientos de títulos valores y dinero.

73

• Ingresar la operación

• Realizar la pérdida o ganancia de dicha operación

• Afectar el portafolio

• Afectar el disponible en caja

Con base en estos registros, que son las t ransacciones de cada día, se hacen los reportes y se

produce la contabilidad. Si fallan estos sistemas, se pierde el procesamiento de la

información, la fuente de información de la contabilidad y de los reportes regulatorios.

Además, llevan al riesgo de generar pérdidas por incumplimiento a la contraparte. Estos

sistemas internos de información transaccional también hacen parte del núcleo del negocio

porque las personas encargadas de pagar o revisar el pago de las operaciones hechas en los

sistemas externos toman la información necesaria para cancelarlas, de estos. Sin embargo,

el t iempo que pueden estar fuera de servicio es mayor a los de las conexiones a sistemas

exteriores.

• Sistema Contable:

Es un sistema gerencial y de control, si falla se pierde el consolidado de la contabilidad

diaria. En los bancos es indispensable conocer la contabilidad no mensualmente sino

diariamente, porque por el modo de operación del negocio mismo, en un solo día se pueden

generar grandes pérdidas o grandes ganancias. Por ende, la operación de un día depende de

los resultados del día anterior, ya que define el capital disponible para operar, que tanto se puede endeudar y que tanto puede invert ir. Por tales razones es un sistema de vital

importancia ya que soporta e informa para la toma de las mejores decisiones.

• Sistema de reportes regulatorios:

Su importancia radica en que si se incumplen los requerimientos regulatorios se incurre en

multas y puede llevar a la pérdida de la licencia de operación. Deben de funcionar

constantemente porque muchos reportes se deben enviar diariamente. El riesgo no es tan

alto como en los anteriores.

• Sistemas de Te lecomunicaciones: Son muy importantes debido a las operaciones OT C42, se pueden hacer por vía telefónica

donde se cierran las operaciones por este medio y luego se registran en los sistemas

internos. También son clave para informarse de la situación actual del mercado en t iempo

real, con el fin de verificar la rentabilidad de las operaciones que se planeen realizar. Si 42 Operaciones OTC (Over the counter) con clientes que no tienen acceso a los sistemas transaccionales.

74

llegan a fallar las operaciones OT C no se pueden confirmar y además se pierde capacidad

de reacción según la actualidad del mercado.

En la figura 36 se clasifican las act ividades del proceso en los sistemas de información que las

soportan, es importante aclarar que aunque los sistemas de telecomunicaciones no aparecen, dichos

sistemas dan soporte a todas las act ividades al proveer información en t iempo real. T ambién se ve

como el sistema contable permite que se realicen el mayor número de act ividades dentro del

proceso.

Figura 36 – B anco B , Clasificación de las actividades del proceso en los sistemas de información que las soportan

Dicho proceso t iene tres responsables:

• Front Office: Es la interfaz del banco con los clientes y el mercado, su función, llevada a

cabo por los corredores de bolsa, es comprar, vender e intercambiar act ivos financieros.

• Middle Office: Es responsable de verificar el cumplimiento de las polít icas y límites establecidos para la negociación de t ítulos valores efectuada por el Front Office. Elabora

reportes sobre el cumplimiento de dichas políticas y límites, así como de los niveles de

exposición de los diferentes riesgos inherentes a las operaciones de tesorería.43

43 Tomado de http://www.asobancaria.com/glosario.jsp? accion=2&id=35

Sistemas de negociación

Operaciones de Compra y Venta de

títulos

Sistemas internos de información

transaccionales

Registro de la transacción en los sistemas internos

Sistema Contable

Pago o confirmación del recibo del dinero por la compra o venta

de títulos

Consolidación de la contabilidad diaria

Revisión de la contabilidad del día

anterior

Sistema de reportes regulatorios

Generación de reportes regulatorios

•

La m

Con

riesgo

En es

TI ba

al ane

3.2.3.

Se co

selecc

discip

• G

s

44 Ibíd

Back Offi

el cierre,

mesa de dinero

base en esta

os de TI idea

ste perfil se o

ajos para los

exo “Instrum

. Análisis d

omienza esta

cionado en

plinas serán p

Gobernabilid

e muestra e

dem

fice: “Área e

registro y au

o es conform

a descripción

al mostrado e

Figura 37 – B

observa como

cuatro objeti

mento para ge

de disciplina

a sección co

el Banco B

presentadas

dad: Asignac

el organigram

encargada de

utorización fi

mada por el F

n del proces

en la figura 3

Banco B, Perfil

o actualment

ivos de nego

eneral el perf

as del Proces

on un análisi

B, se explica

en orden dec

ción de roles

ma de roles

realizar los

inal a las ope

Front Office y

so y la aplic

37.

de Riesgo de T

te para este p

ocio, para un

fil de riesgos

so selecciona

is de las dis

arán las polí

creciente de i

para el contr

que han sid

aspectos ope

eraciones”44

y el Middle O

cación del in

TI Ideal del pr

proceso es ne

mayor detall

s ideal”.

ado y su relac

sciplinas del

íticas y prác

importancia

rol de Acces

do estableci

erativos de l

realizadas po

Office.

nstrumento s

roceso seleccion

ecesario tene

le sobre su e

ción con la C

marco 4A

cticas que s

para el banc

so a la inform

idos para de

a tesorería ta

or el Front O

se genero el

nado

er niveles de

elaboración re

Circular 052

basado en e

e llevan a c

o.

mación, en la

etección, mo

75

ales como

Office.

perfil de

riesgo de

emitirse

2

el proceso

cabo. Las

a figura 38

onitoreo y

76

control de acceso a los sistemas de información internos, por motivos de confidencialidad los

nombre verdaderos de los roles han sido cambiados:

Figura 38 – Banco B , organigrama de roles encargados de supervisar el acceso a los sistemas de información

o Gerente de riesgos de T I: Es el oficial de seguridad de la información, entre sus

funciones se encuentra hacer pruebas de contingencia, atender incidentes de seguridad,

aprobar la creación de nuevos usuarios en los sistemas y revisar sus privilegios.

o Administrador del Sistema: Es responsable por la información de un Sistema de

Información asignado, revisa periódicamente a los usuarios de la aplicación bajo su

responsabilidad y los derechos otorgados a cada uno, para conceder acceso a un nuevo

usuario debe documentar todos los accesos otorgados y revisar que la solicitud cuente

con la información necesaria, en el caso en que un usuario deje de utilizar la aplicación

debe eliminar la autorización de acceso al sistema

o Administrador de cuentas de usuario: Oficial de seguridad que administra los sistemas

de autent icación, estos sistemas cuentan con mecanismos para el bloqueo de cuentas en

caso de un número de intentos fallidos o periodos prolongados de inact ividad, además

protegen a las cuentas llevando un registro de eventos.

Al examinar la circular 052 para verificar si hay alguna medida respecto a la creación de roles

dentro del área de sistemas, se encuentra que no la hay, lo más cercano que se menciona en la

Gerente de riesgos de TI

Administrador de cada sistema

Administrador de cuentas de

usuario

77

circular está en el numeral 3.1.2 el cual dice: “para gest ionar la seguridad de la información

podrán tomar cómo referencias los estándares 17799 y 27001”. En dichos estándares se plantea

la importancia de definir roles en el área de T I.

Estos roles le permiten al Banco implementar la segregación de funciones del personal que

administra, opera, mantiene y, en general, t iene la posibilidad de acceder a los disposit ivos y

sistemas usados en los dist intos canales y medios de servicio al usuario. Lo cual es una medida

que exige la circular.

Medidas para garantizar la disponibilidad de los sistemas:

o La infraestructura de tecnología y el software que soportan al proceso de negocio

cumplen con estándares de calidad establecidos a nivel nacional e internacional,

garantizando la prestación de servicios bajo las mismas condiciones de seguridad y

calidad en todas las oficinas.

o Como se mencionó anteriormente el rol Administrador de cuentas de usuario se encarga

de garantizar que para un usuario solo estén disponibles los sistemas a los cuales t iene

privilegios para ingresar.

o Todo tercero contratado por el banco debe disponer de polít icas de contingencia para

minimizar el impacto de los incidentes de tecnología y realizar procedimientos

rut inarios de respaldo de la información.

En estas medidas se identifica la aplicación de la circular 052 por el Banco B. Se hace evidente

que se cumplen las medidas del numeral 3.2 Tercerización y Outsourcing, garantizando que se

mit igan los riesgos generados por el acceso de terceros a información del Banco.

T ambién es importante notar que se t ienen medidas que ext ienden a aquellas de la circular, este

Banco al tener presencia en varios países comparte la experiencia obtenida en todas sus sedes y

por eso t iene estándares establecidos que cumplen con regulaciones internacionales.

• Base Tecnológica: En la figura 39 se describen la infraestructura y aplicaciones del Banco B.

78

Figura 39 – B ase de TI del B anco B

o Acceso a las estaciones de t rabajo: Las estaciones de t rabajo cuentan con el mismo

sistema operat ivo configurado especialmente para prohibir cualquier cambio de

configuraciones y la instalación de programas a los usuarios. Además se usan GPO’s

(GPO Group Policy Object, propiedad de Microsoft Windows NT ), en el GPO se crea

un único usuario administrador quien es el único con privilegios para realizar cambios

de software o hardware.

Los dispositivos portables como memorias USB y los quemadores de CD o DVD están

prohibidos en el banco, en caso de ser necesarios por un usuario para realizar su trabajo,

el área de Tecnología t iene disposit ivos aprobados que cuentan con un sistema de

cifrado y están serializados para ser desact ivados en caso de pérdida.

o Acceso a los sistemas internos: Todas las operaciones que realiza el Front Office son

registradas en un sistema de misión crít ica. Diariamente se llevan estadíst icas de los sistemas de misión crít ica, donde se incluyen, la hora de apertura y cierre del sistema, el

t iempo que estuvo disponible y el tamaño de la B.D. En cuanto a los sistemas de

negociación, las ent idades propietarias de estos, llevan las estadísticas de la

Sistemas Externos: Negociación

Sistemas Internos: Registro de transacciones, Contabilidad, Gener

ación de Reportes

Estaciones de trabajo, Redes internas,hubs, switches, firewa

lls y servidores

Aplicaciones

Infraestructura

79

disponibilidad de sus respect ivos sistemas en donde se t iene el t iempo que está

conectada cada ent idad a estos mismos.

o Acceso a los sistemas de negociación: “El acceso al SEN se hace a t ravés del sistema

SEBRA del Banco de la República, dicho sistema es el encargado de crear el usuario y

de verificar su perfil. El Banco de la República brinda a cada agente, al cual se le crea

un usuario, un manual con los procedimientos para el manejo del password, acceso,

creación y modificación de perfiles. Los perfiles que debe definir la organización son:

Administrador de t raders, Administrador de Cupos de Operación y Operario o

Trader”.45Adicionalmente el SEN utiliza un token asignado a cada corredor de bolsa

para acceder al sistema.

Los accesos a los sistemas de la BVC utilizan nombres de usuario y claves de acceso diferentes

para cada sistema (SET–FX y DERIVADOS).

Con relación a la circular 052, la cual como se demostró en el capítulo anterior le da gran

importancia al acceso a los datos, se observa que para este proceso el Banco cumple con dotar

de seguridad la información confidencial de los clientes que se maneja en los equipos y redes de

la entidad, igualmente dota a sus equipos de cómputo de los elementos necesarios que eviten la

instalación de programas o disposit ivos que capturen la información de sus operaciones y por

últ imo establece procedimientos para el bloqueo de canales o de medios, cuando existan situaciones o hechos que lo ameriten; numerales 3.1.7, 3.1.11 y 1.1.12.

Para garantizar la disponibilidad de los sistemas se t iene:

o A nivel de redes se t iene un sistema global que controla los equipos de red – servidores,

hubs, switches y firewalls– de todas las sucursales y permite determinar si algún equipo

no está funcionando correctamente. Se cuenta con dos firewalls a nivel de hardware,

uno de estos se usa como refuerzo en situaciones donde el primero tenga una carga muy

alta.

o En caso de siniestros se t iene un proveedor externo para la custodia de medios

magnéticos, el servicio consiste en la recepción, codificación, t ransporte,

45 Tomado de http://quimbaya.banrep.gov.co/sen/manual/acceso4.htm

80

administración y almacenamiento, en condiciones ambientales controladas, de copias

magnéticas. De esta manera se garantiza que la información esté en un lugar seguro,

aparte del centro de cómputo de la empresa y disponible todos los días del año.

o Todas las estaciones de t rabajo están estandarizadas bajo el mismo sistema operat ivo, lo

cual simplifica su mantenimiento y la aplicación de parches.

La circular 052 respecto a estas medidas exige que los bancos cuenten con controles y alarmas

que informen sobre el estado de los canales, y además permitan identificar y corregir las fallas

oportunamente, numeral 3.1.18. Para este Banco se observa que además de contar a nivel

interno con esta exigencia, minimiza el riesgo al tener proveedores externos que garantizan la

continuidad del negocio, aún en el caso de siniestros.

Para garantizar la precisión de los datos:

o Se t ienen tres ambientes independientes para el manejo de software: uno para el

desarrollo de software, otro para la realización de pruebas, y un tercer ambiente para los

sistemas en producción. Dichos ambientes se encuentran separados a nivel físico y

lógico, cada uno de ellos cuenta con una infraestructura de tecnología independiente.

o Se t iene un sistema central de gest ión de cambios en donde se guardan todas las

modificaciones realizadas para cada nueva implementación de un cambio en cualquiera

de los ambientes de desarrollo.

o Se t ienen implementados mecanismos de cifrado fuerte para el envío y recepción de

información confidencial.

• Cultura: Para garantizar el acceso a los datos:

Periódicamente se realizan capacitaciones impart idas por el área de Seguridad de la

Información para actualizar todos los conceptos relacionados con el uso y acceso a la

información, en dichas capacitaciones los asistentes firman un documento de compromiso con

el fin de garantizar el cumplimiento de todas las polít icas de seguridad.

Para la Disponibilidad:

o Los administradores de cada sistema son responsables de crear informes de

vulnerabilidades semanalmente y con base en los resultados se establecen objet ivos,

planes de acción y responsables acordes al nivel de riesgo identificado, que buscan

81

minimizar las vulnerabilidades encontradas. La evolución que se logre en la reducción

de vulnerabilidades es documentada.

o Para identificar las vulnerabilidades, se t iene un sistema especializado que permite

automatizar la detección de desviaciones de la polít ica de seguridad en los sistemas de

misión crít ica, permit iendo identificar sistemas que no funcionen correctamente.

En esta disciplina se observa una mejora significat iva a nivel interno en el Banco respecto a lo

exigido por la circular, ya que en ésta no se exigen capacitaciones periódicas respecto a los

riesgos de T I. Por otro lado, los análisis de vulnerabilidades a los que hace referencia la circular

en el numeral 7 son implementados de una forma más eficiente ya que hay una cultura más

solida que genera una mayor conciencia de la importancia de medir vulnerabilidades.

Para concluir esta sección, al analizar las tres disciplinas y las medidas adoptadas por el Banco B, se

nota un énfasis en la disciplina de Gobernabilidad, evidente en una supervisión central que define

polít icas y procesos de TI estandarizados. Para el Banco esto supone una ventaja según el marco 4A

ya que las ent idades financieras al estar bajo una regulación por parte de ent idades de control, como

es en el caso Colombiano la SFC, y de auditores; requieren tener procesos formales y documentados

como evidencia de cumplimiento de las normas establecidas.

En segundo lugar se encontró que para cumplir con las polít icas y estandarización de los procesos

de T I, el Banco se apoya en que los empleados tengan un nivel alto de Cultura en prevención de

riesgos por medio de capacitaciones constantes, ya que esto garantiza que se eviten las act ividades que aumenten el riesgo y que se adopten aquellas que lo disminuyen.

Ahora se procederá a realizar el perfil de riesgos del proceso, para esto se analizarán cada uno de los

objet ivos de negocio.

3.2.4. Perfil de riesgos Actual del Proceso seleccionado

A continuación se presentan los aspectos más importantes de los objetivos de negocio para el

proceso de Compra y venta de t ítulos en la Mesa de dinero. Con base en estos resultados y a la

aplicación del instrumento (ver anexo Instrumento para generar el perfil de riesgos actual) se

generará al final de esta sección el perfil de riesgos del proceso.

82

• Disponibilidad: La disponibilidad de los datos está determinada por el correcto

funcionamiento de los sistemas externos y de los sistemas internos. En cuanto a los

sistemas externos, la disponibilidad está condicionada a un tercero que es el que administra

el sistema. En el caso de los sistemas internos la disponibilidad es un factor importante pero

t iene una menor crit icidad que el Acceso a los datos.

• Acceso: El aspecto más importante para el Banco B respecto al Acceso a los datos es el

Fraude Operat ivo. En el sector bancario es común ver casos de fraudes donde se presenta el

robo o pérdida de información confidencial, además de la pérdida de dinero que genera

(riesgo económico) o las multas y sanciones que se imponen (riesgo regulatorio), existe un

impacto mucho mayor para el negocio y es el riesgo de perder la reputación.

La reputación para el Banco B es la confianza que t ienen sus clientes en él y por ende es un

act ivo intangible que toma muchos años en conseguirse. Esta reputación le permite al

negocio diferenciarse de sus competidores en especial durante crisis financieras, donde lo

primero que pierden las personas es su confianza en las inst ituciones.

En lo concerniente al proceso de Compra y venta de t ítulos valores en la Mesa de Dinero, el

riesgo más importante a nivel de Acceso es que una persona con acceso a los sistemas de

negociación también pueda acceder a los sistemas internos que registran las t ransacciones,

ya que podría ingresar operaciones fraudulentas a beneficio personal.

• Precisión: La precisión de los datos en este proceso es garantizar que la información de las

t ransacciones sea consistente en todos los sistemas, es decir, que las operaciones hechas en

los sistemas externos de negociación sean almacenadas correctamente en los sistemas

internos de registro de t ransacciones.

• Agilidad: En la negociación de t ítulos valores es común que se generen nuevos productos

financieros derivados, para cada nuevo producto la SFC emite reglas de negociación especiales y el departamento de TI debe ser capaz de responder con agilidad suficiente para

respaldar la nueva iniciat iva del negocio y sat isfacer todos los requisitos de la SFC a

t iempo, ya que en este negocio, estar entre los primeros bancos que entran al mercado de un

nuevo producto es de gran importancia.

Lueg

prese

Para

riesgo

se co

052

adicio

Este p

nivele

como

adicio

estud

encam

comp

consi

el pro

Por ú

se ase

o de describi

enta el perfil

F

concluir este

o bajo en los

mparaban qu

se demostró

onales que e

perfil permit

es competen

o se hizo evi

onalmente se

diado son par

minadas a alc

pañía para to

ideraciones d

oceso y el im

último, al com

emeja a la d

ir los objetiv

de riesgos de

Figura 40 – Ba

e caso de es

s cuatro obje

ue medidas e

ó que para

stán acorde c

te comprobar

ntes debido a

dente en esta

e puede conc

rte del núcle

canzar los ob

omar en con

del área de te

mpacto de un

mparar perfil

el perfil idea

vos de negoc

e TI actual e

anco B, Perfil d

studio se obs

etivos de neg

eran adoptad

los objetiv

con lo expue

r que en este

a que para e

a misma sec

cluir que en

o del negoci

bjetivos de n

nsideración e

ecnología, pu

mal funcion

l de riesgos i

al, esto quier

io pertinente

n la figura 4

de Riesgos de T

serva que su

gocio. Con ba

das por el Ba

vos de Agili

esto en el mar

e Banco los c

este proceso

cción al descr

este Banco l

io, por tal m

negocio y se

en primer lu

ues son las pe

namiento del

ideal con el a

re decir que

es para el pro

0.

TI Actual del p

u perfil de ri

ase en el aná

anco para com

idad y Disp

rco de refere

cuatro objetiv

en particula

ribir los aspe

las medidas

motivo las dec

discuten con

ugar sus nec

ersonas de ne

mismo.

actual se obs

el Banco tra

oceso selecci

proceso seleccio

iesgos actual

álisis de la se

mplementar

ponibilidad

encia 4A.

vos de negoc

ar, todos son

ectos más re

de TI relacio

cisiones de T

n los jefes de

cesidades y

egocio quien

serva que la f

ata de darle u

ionado del B

onado

l muestra un

ección anteri

aquellas de l

implementa

cio han sido l

n de gran im

elevantes de

onadas con e

TI que se tom

e las demás á

en segundo

nes realmente

forma del pe

una alta impo

83

anco B se

n nivel de

ior, donde

la circular

medidas

llevados a

mportancia

cada uno,

el proceso

man están

áreas de la

lugar las

e conocen

erfil actual

ortancia a

84

todos los objet ivos de negocio, ya que como se mencionó anteriormente para este banco cada uno

de los 4 objet ivos de negocio t ienen una alta importancia. T ambién se hace evidente que hay

algunas medidas del marco 4A que al ser implementadas permit irían alcanzar los niveles de riesgos

del perfil ideal, para ver cuales medidas favor remit irse al anexo “Instrumento para generar el perfil

de riesgos actual”.

A continuación se presenta el análisis pertinente al caso de estudio del Banco C.

3.3. Banco C


El tercer banco en estudio, el Banco C, es una entidad financiera de índole mixta, es decir un banco

comercial que presta servicios de Banca de inversión. Se destaca en los primeros lugares del

escalafón de empresas con mayor retorno de ut ilidades en el año 2008 y como uno de los bancos

con más incidencia dentro del territorio colombiano.

Este Banco por ser de naturaleza mixta t iene una gran variedad de productos y servicios según su

t ipo de cliente, a continuación se describen algunos de los servicios que presta a cada uno:

• Personas Naturales: Manejo de cuentas corrientes y de ahorros, diferentes t ipos de CDT s,

inversiones, carteras colect ivas, manejo de portafolio de nóminas, giros internacionales, préstamos y financiación, tarjetas de crédito y débito, seguros y pólizas de vida, planes de

pensiones, banca electrónica y pagos de seguridad social.

• Empresas: Productos y servicios para cubrir las necesidades de cualquier empresa de

acuerdo con su línea de negocios, tales como cuentas de ahorros y corriente, depósitos a

plazo, carteras colect ivas, créditos de comercio, sobregiros, cartas de crédito de exportación

e importación, créditos en moneda extranjera, banca electrónica, pagos de seguridad social,

pagos de nómina y remesas entre otros.

• Banca Electrónica para personas naturales y empresas.

85

3.3.2. Descripción del proceso

Dentro del Banco C se ha decido seleccionar para términos del caso de estudio de esta invest igación

el proceso de Transacciones46 a Través de Internet. La selección de dicho proceso se debe al

crecimiento en el uso de este canal y por la importancia que radica la facilidad del medio dentro de

las preferencias de los usuarios del banco.

Las principales act ividades de este proceso se muestran a continuación en la figura 41:

Figura 41 – B anco C, diagrama de las actividades del proceso de negocio

El funcionamiento de éste proceso requiere de varios elementos relevantes:

• El cliente del banco debe estar suscrito al servicio de t ransacción por Internet (Banca

Electrónica).

• Un computador con conexión a Internet y navegador compatible con los servicios prestados

por la Banca Electrónica.

De este modo, el sistema de información que interviene en la operación de éste proceso es el de la

Banca Electrónica, la cual es una aplicación web desarrollada en la plataforma Java que permite la

46 Aquí el término Transacciones se refiere a todos los servicios prestados por la Banca Electrónica del Banco C.

El usuario se registra en la

Banca Electrónica, luego

se autentica.

La Banca Electrónica

verifica los datos generales del

usuario y luego envia ésta

información a la ERP para que sea

autenticada.

El ERP recibe los datos del usuario y retorna a la Banca

Electrónica la información bancaria, los productos y

servicios de dicho usuario.

La Banca Electrónica le da

privilegios al usuario para que éste realice sus

operaciones bancarias.

Se genera un reporte de

actividades del usuario, cuya

copia es enviada a la direccion electrónica

registrada por dicho usuario.

86

realización de operaciones bancarias, las cuales serán descritas más adelante. Dicho sistema de

información se conecta con los módulos centrales de un ERP, que es el sistema central en donde se

lleva el registro del control de saldos y movimientos de los productos bancarios, y donde se alojan

los productos del act ivo y del pasivo del Banco C como las cuentas personales, préstamos, medios

de pago, etc. Como dato adicional, este proceso en particular no requiere de ninguna intervención

de personal para realizar las operaciones.

De la misma manera, los sistemas involucrados en este proceso de negocio son presentados

gráficamente a continuación en la figura 42:

Figura 42 – B anco C, clasif icación de las actividades del proceso en los sistemas de información que las soportan

Descripción de la Banca Electrónica:

El sistema de información Banca Electrónica es un servicio de banca por Internet que permite

realizar consultas y operaciones bancarias con disponibilidad de 24 horas al día, 7 días a la semana.

Las transacciones que se pueden hacer son:

• Traspasos de fondos a otras cuentas del Banco C (en línea o periódicas), a cuentas de otros

bancos y a carteras colect ivas.

• Solicitud y act ivación de chequeras.

• Pago de tarjetas de crédito.

• Avance de tarjeta de crédito con abono a cuenta.

• Pago y traspasos de cupo rotat ivo.

• Constitución de Inversión On Line.

• Pagos de facturas, incluyendo servicios públicos.

• Compra de minutos para telefonía celular prepago.

Banca Electrónica

Aplicación web desarrollada en la plataforma Java que permite la realización de operaciones bancarias.

ERP

Sistema central donde se lleva el registro del control de saldos y movimientos de los productos bancarios, y

donde se alojan los productos del activo y del pasivo del

Banco C.

87

• Bloqueos de cheques, chequeras, tarjetas débito y tarjetas de crédito.

En términos de seguridad, cada cliente al momento de registrarse en el sistema debe crear una clave

única de acceso, que a su vez es dist inta a las demás claves usadas en los diferentes servicios del

Banco C. Adicionalmente, el cliente deberá crear una clave de operaciones para autorizar todas las

operaciones monetarias que realice con sus cuentas, carteras colectivas, préstamos y tarjetas. Dichas

claves pueden ser cambiadas en cualquier momento por el cliente.

Por otro lado, el cliente podrá recibir diariamente a su dirección de correo electrónico, la

confirmación de las operaciones monetarias realizadas a través de la Banca Electrónica durante el

día anterior.

Ahora, teniendo en cuenta la descripción del proceso y la aplicación del instrumento en el Banco C

se generó el perfil de riesgos de TI ideal mostrado en la figura 43:

Figura 43 – Banco C, Perfil de Riesgo de TI Ideal del proceso seleccionado

Este perfil Ideal visualiza cómo deben ser controlados los objet ivos de negocio para el Banco C

según el impacto hacia sus clientes, frente a regulaciones, reputación dentro y fuera del banco, y

frente temas económicos relacionados para el proceso seleccionado. Para mayor detalle favor

remit irse al anexo “Instrumento para general el perfil de riesgos ideal”.

Ahora a continuación se explica el análisis realizado al proceso por medio de la disciplinas del

marco 4A y la relación que t ienen éstas con la circular 052.

-0,2

2E-15

0,20,4

0,6Disponibilidad

Acceso

Precision

Agilidad

Perfil de riesgos de TI Ideal Banco C

Perfil de riesgos de TI Ideal Banco C

88

3.3.3. Análisis de Disciplinas del proceso seleccionado y su relación con la Circular 052

Esta sección muestra un análisis de las práct icas y polít icas implementadas por el banco C,

obtenidas gracias al instrumento aplicado en dicho banco (ver Anexo “ Instrumento Aplicado”) para

garantizar las mejores condiciones en el proceso seleccionado.

Dichas práct icas y políticas son presentadas a continuación según las disciplinas y objet ivos de

negocio explicados en el marco 4A que potencializan para términos del proceso. Las disciplinas

serán presentadas en orden decreciente de importancia para el banco.

Asimismo, se presenta una relación entre los numerales que le competen a la circular 052 en

relación a las disciplinas del proceso:

• Gobernabilidad: Esta disciplina se ve directamente relacionada con la forma en que el área

de T I del Banco C maneja los roles de responsabilidades en el proceso, pues de esta

jerarquía se disciernen las polít icas claves para las diferentes actividades que serán mencionadas más adelante. A continuación se presenta la figura 44 que describe el

comportamiento jerárquico de los roles en el área de TI:

Figura 44 – B anco C, Jerarquía de roles en el área de TI

Viceprecidente Ejecutivo

Responsable

Responsable Equipo

Gestor de Proyectos

Analista

89

Estos son los roles asociados al área de TI:

o Vicepresidente Ejecutivo: es la persona encargada de impart ir las obligaciones del

banco en temas de TI.

o Responsable: se encarga de responder por la implementación de soluciones

tecnológicas y organizacionales enmarcadas dentro de la estrategia del Banco C,

asegurando el cumplimiento en plazos, calidad y funcionamiento. Asimismo se

encarga de:

o Definir y monitorear los estándares de calidad para la implementación de

soluciones y mantenimiento de las aplicaciones.

o Controlar el acceso a las aplicaciones según el perfil asignado para los

funcionarios de la dependencia, corroborando que sean acordes con las

funciones realizadas.

o Responsable Equipo: su función básica es planear, dirigir y administrar proyectos

de productos, servicios y procesos del Sistema para los diferentes aplicat ivos

clasificados como Negocio Transaccional, en este caso Banca Electrónica,

coordinando su desarrollo, cambios, manejo con los proveedores y usuarios

internos.

o Gestor de Proyectos: su función básica es administrar, part icipar y apoyar a su

equipo de trabajo en el desarrollo de los proyectos asignados, garantizando un

adecuado análisis, diseño, desarrollo, documentación, implantación, seguimiento y

ajustes de los aplicat ivos clasificados como Negocio Transaccional, como lo es la Banca Electrónica.

o Analista: se encarga de efectuar los desarrollos informáticos y modificaciones de

los aplicat ivos clasificados como Negocio Transaccional del Banco C, de acuerdo a

los proyectos, mantenimientos correct ivos y evolut ivos asignados, realizando las

correspondientes pruebas de desarrollo.

Como se puede observar, el comportamiento jerárquico es vertical, lo cual indica que

cualquier polít ica que se tenga que cumplir en el área de TI, como los temas de

cumplimiento y regulaciones de la SFC, viene impuesta directamente por el Vicepresidente

Ejecutivo.

90

El objet ivo principal del área de T I es crear herramientas tecnológicas que mejoren o

añadan nuevos servicios a la Banca Electrónica y cumplir con las regulaciones o normativas

impuestas desde la Vicepresidencia Ejecutiva, como es el caso de la circular 052. La

iniciat iva para añadir y mejorar el servicio de la Banca Electrónica se debe al uso del canal

de Internet que es uno de los que más se ha incrementado en los últ imos años para realizar

t ransacciones bancarias.

Desde luego, para esta disciplina se observa que en temas relacionados con Gobernabilidad

hay polít icas de diferentes índoles que repercuten en diferentes aspectos del proceso. A

continuación se presentan las más relevantes.

o Una de las polít icas más importantes es el tema de cumplimiento de regulaciones

que provienen de la SFC, el ente controlador de todo el sector financiero y

bancario. A esta polít ica es la que más se le dedica t iempo y esfuerzo por parte del

área de TI por los cortos tiempos de entrega que exige la SFC.

o Para garantizar el acceso seguro a la Banca Electrónica y al proceso como tal, se

especifica una polít ica donde se describe qué t ipo de información se le debe mostrar

al usuario y que datos deben obtenerse del ERP para poder realizar una transacción.

o Otra polít ica asociada a esta disciplina es el manejo y desarrollo de nuevos

proyectos relacionados con este proceso, para esto se crea un cronograma, se

definen las fechas de entregas y los t ipos de pruebas que debe pasar antes de ser

lanzado públicamente para ser usado por los usuarios de la Banca Electrónica. Sí

dicho proyecto no es terminado a t iempo o si presenta alguna falla, no se ofrece a los clientes hasta que cumpla con todos los requisitos.

o Para temas de seguimiento y monitoreo de la plataforma del proceso, hay polít icas

de Gobernabilidad que fomentan el análisis de riesgos y vulnerabilidades de los

sistemas de información involucrados en este proceso. Para tal fin se definen

polít icas de acceso a la información, pues cada empleado encargado de monitorear

dicho proceso t iene un acceso restringido a la información que puede o no usar para

sus reportes. Asimismo, se niega el acceso de información a socios, vendedores y

contrat istas, ganando así un nivel de seguridad bastante confiable.

o Finalmente, hay una polít ica específica sobre validaciones de las t ransacciones

bancarias realizadas en el proceso, las cuales pueden ser de carácter técnico

(validación de fechas, teléfonos, etc.) o de carácter procedimental, como validar las

referencias personales del cliente y su estado financiero contra las bases de

91

Información de Riesgo que competen en el sector colombiano (Datacredito, CIFIN,

etc.). Esta política en especial sirve para comprobar y asegurar que no entren

dineros ilícitos al flujo financiero del Banco C.

• Base Tecnológica: En la figura 45 se describen la infraestructura y aplicaciones del proceso

seleccionado en el Banco C:

Figura 45 – B ase de TI del proceso seleccionado en el B anco C

En este proceso, la Base Tecnológica se encuentra relacionada con temas concernientes a la

disponibilidad de los sistemas de información, en este caso la Banca Electrónica y el ERP.

El correcto funcionamiento de dichos sistemas se debe garantizar en todo momento, pues

estos son los sistemas que t ienen una prioridad alta a la hora de realizar cualquier

t ransacción por medio de la Banca Electrónica.

En la entrevista realizada en el Banco C, se dijo que dicho proceso debe tener un nivel de

disponibilidad de sus servicios en un 99.9%47, lo cual implica que las práct icas realizadas

por la Base Tecnológica deben velar por un alto nivel de disponibilidad del servicio. Por tal

47 Cifra dada por el contacto que trabaja en el proceso del Banco C.

Sistemas Externos: Plataforma de la Banca Electrónica.

Sistemas Internos: Sistema de información de la Banca

Electrónica y el ERP. Servidores y bases de datos centrales del banco.

Estaciones de trabajo y Redes internas

Aplicaciones

Infraestructura

92

motivo, el área de TI cuenta con práct icas de recuperación y continuidad del proceso ante

posibles desastres, para ello, los sistemas de información se encuentran en redundancia de

equipos, lo cual minimiza cualquier pérdida de información durante las t ransacciones de la

Banca Electrónica; de igual manera se cuentan con copias de seguridad de la información

que se procesa diariamente y se realizan seguimientos diarios sobre el comportamiento

general de la plataforma por parte del área de TI.

Las anteriores práct icas reflejan la necesidad de aplicar en todo momento un mecanismo de

contingencia por si surge algún error o si se prevé algún desastre inminente en los sistemas

de información del proceso.

• Cultura: Este proceso por ser un servicio netamente tecnológico que necesita ser regulado

estrictamente en materia de seguridad y continuidad del servicio, t iene pocas práct icas

propias de la disciplina Cultura. Sin embargo, se podría tomar como una práctica, tal y

como se menciona en el Banco B, la labor de realizar informes de seguimiento sobre el

estado de los sistemas de información del proceso, pues a pesar de ser un trabajo impuesto

directamente por el área de TI del banco C –y tomado en cuenta en Gobernabilidad– se

requiere que cada uno de los empleados involucrados en el monitoreo del proceso tenga un

cierto grado de conciencia, responsabilidad y constancia por cuenta propia de realizar

dichos reportes de seguimiento. Por otro lado, el sistema de roles manejado en el área de TI

permite visualizar cierta cooperación de todos ellos en temas de cumplimiento de

obligaciones y regulaciones impuestas desde la Vicepresidencia Ejecutiva, lo cual ayuda al

entendimiento de cada una de sus tareas específicas y a la integración de act ividades del

proceso.

La relación con la circular 052 de la SFC con estas disciplinas se encuentra en los numerales 3, 4.9,

5 y 7 pues en ellos se t ratan los temas de seguridad mínima que debe tener el canal de información

de este proceso, el canal de Internet ; los sistemas de información, las personas involucradas y los

datos resultantes en las act ividades de dicho proceso. Claramente, para llegar a cumplir estos

requerimientos que menciona la circular 052 en dichos numerales se t ienen que traducir

inicialmente como polít icas del tema de Gobernabilidad, pues desde allí se presentan como

requerimientos mínimos a implementar en todo el servicio de transacciones por Internet en un

periodo de t iempo relat ivamente corto tal y como sucede en la actualidad. Estas polít icas también se

93

ven reflejadas en la disciplina de Base Tecnológica, ya que la implementación de nuevas

herramientas tecnológicas de seguridad, monitoreo, entre otras deben regirse por lo que indican

dichos numerales de la circular 052.

Sin embargo, las práct icas encontradas en este proceso indican que el Banco C, además de cumplir

la reglamentación impuesta por la circular 052, t iene unas políticas adicionales sobre temas de

cobertura de riesgos de TI y continuidad del negocio, como lo son los seguimientos diarios que

llevan a cabo en toda la plataforma del proceso, la selección del personal que está involucrado en

las labores del soporte técnico del proceso, el registro de posibles fallas o intrusiones que pueda

tener la plataforma, la planeación y pruebas de nuevos proyectos basados en el proceso, la

definición de roles específicos en el área de TI que ayudan a distribuirse jerárquicamente las

act ividades pert inentes al proceso, entre otras práct icas que serán explicadas más a fondo en los

objet ivos de negocio asociados en el siguiente numeral.

3.3.4. Perfil de riesgos de TI Actual del proceso seleccionado

Con base en las disciplinas, en la relación de la circular 052 con el proceso anteriormente descrito y

en la aplicación del instrumento (ver anexo Instrumento para generar el perfil de riesgos actual), se

analizan cada uno de los objet ivos de negocio 4A para el proceso de transacciones por Internet del

Banco C:

• Disponibilidad: Como se dijo en el apartado de Base Tecnológica, el nivel de disponibilidad está alrededor del 99.9%, describiendo así la alta confiabilidad de dichos

sistemas para el proceso en estudio. Para este proceso, se calcula que el sistema central, el

ERP, soporta aproximadamente 10 millones de transacciones mensuales48, lo cual

representa un gran flujo de información que debe estar siempre disponible tanto para el

usuario del servicio como para el banco.

La consecuencia más relevante que puede ocurrir si los sistemas de este proceso llegasen a

fallar sería que los clientes de éste servicio no podrían realizar sus transacciones a través del

48 Ibídem.

94

canal de Internet , lo cual repercutiría en un mal servicio del mismo, quejas ilimitadas de

dichos clientes y el consecuente deterioro de la imagen del Banco como tal.

Finalmente, según lo discutido anteriormente en la disciplina de Base Tecnológica, la

Disponibilidad es lo más importante para este proceso, pues se necesita que todos los

sistemas estén siempre funcionando para que el servicio de transacciones por Internet

funcione correctamente y preste sus servicios normalmente. Es decir, si algún sistema llega

a fallar, el proceso dejaría de funcionar de manera inmediata. Por todo lo anterior se deduce

que el potencial de riesgos para la Disponibilidad es bajo.

• Acceso: En este objet ivo de negocio radica la importancia de mantener la confidencialidad

de la información personal y financiera de los clientes que ut ilizan el servicio. Sí ésta

información fuese perdida, liberada, comprometida o robada por otras personas podría

utilizarse con fines delict ivos hacia los clientes, como robo, extorsión, desviación de

recursos o lavado de act ivos.

A nivel interno, el acceso a esta información t iene muchas restricciones para los empleados

que t ienen acceso a ésta por razones de monitoreo y seguimiento de las act ividades del

proceso. De igual manera, los socios, vendedores o contrat istas del banco t ienen el acceso

denegado a la información proporcionada por este sistema.

Actualmente no se ha tenido ningún incidente relacionado con la protección de la

información.

Para concluir, este objet ivo de negocio también es imprescindible dentro del

funcionamiento del proceso pues el Banco C necesita controlar de manera satisfactoria

todos los accesos que se hagan a la información bancaria del cliente. Es decir, que aquellos

empleados que monitorean el funcionamiento del proceso y que de alguna u otra forma

t ienen algún acceso restringido a la información del cliente deben estar vigilados por alguna

polít ica de Gobernabilidad, tal y como se mencionó en dicha disciplina y por el numeral 3.4

sobre la Divulgación de la Información de la circular 052 de la SFC. Asimismo, este

proceso necesita asegurar un nivel alto de seguridad de su canal de información, en este

caso es Internet , pues por allí es donde se realiza el intercambio de los datos confidenciales

de cada uno de los clientes del servicio de transacciones por Internet. Lo anterior es

claramente reglamentado por el numeral 4.8 sobre los Sistemas de Acceso Remoto para

95

Clientes de la circular 052 y 4.9 Internet, lo cual asegura un nivel adecuado de seguridad

para dichas t ransacciones que realiza este proceso. Es por esto que el Acceso t iene un

potencial de riesgos bajo en el Banco C.

• Precisión: Para este proceso que permite realizar transacciones en línea entre los productos

financieros de un cliente específico, los sistemas de información de Banca Electrónica y el

sistema central del banco producen datos muy precisos y generados a t iempo para evitar

que existan errores en la información procesada de los recursos monetarios del cliente. De

esta manera, la información es lo suficientemente completa para realizar cualquier

t ransacción que desee el cliente, asimismo el sistema de Banca Electrónica se encarga de

proporcionar todos los datos que necesita conocer dicho cliente a la hora de realizar una

operación en el sistema.

No obstante, el sistema de Banca Electrónica envía a cada uno de sus clientes un reporte de

las act ividades realizadas a la dirección electrónica provista por dicho usuario.

De igual manera, se necesita que toda la información personal y bancaria del cliente esté

correcta ya que parte de esos datos serán enviados a las Bases de Información de Riesgos,

mencionadas en la disciplina de Gobernabilidad, para su posterior validación.

Sin embargo, existe una fuente que puede generar inconsistencias en los datos las cuales

pueden ser producidas en el momento en que se vincule el cliente al servicio de

transacciones por Internet o cuando adquiere un producto en una sucursal del Banco C.

Esta información es ingresada por el Gestor de la sucursal. No obstante, para ello existen

práct icas de verificación de información de los clientes a la hora de realizar transacciones

por Internet , es decir que dicha información es validada por el sistema central del Banco C,

la ERP.

Para términos de las disciplinas descritas en el numeral anterior, la Precisión se ve

directamente controlada por polít icas de Gobernabilidad del área de TI, como el monitoreo

y seguimiento a las plataformas y sistemas del proceso lo cual reduce el riesgo de generar

algún dato incorrecto o perder la información de una transacción durante el proceso y

validación de la información financiera de los clientes.

Por otro lado, la circular 052 exige en el numeral 3.4 de Divulgación de Información que se

expida un soporte de la transacción realizada, para lo cual se necesita que todos los datos

relacionados con dicha transacción concuerden con los verdaderos.

96

Con todo lo anterior, se concluye que el potencial de riesgos para la Precisión es bajo.

• Agilidad: En este objetivo de negocio, el área de T I del banco encargada del

funcionamiento correcto de la Banca Electrónica apoya directamente a todas las

necesidades de negocio que se relacionen con dicho proceso, pues son los responsables de

las innovaciones y mejorías en la prestación del servicio.

Actualmente, para términos de este proceso no hay ningún cambio estratégico desde el área

de T I. Sin embargo, esta área prevé que con el incremento en el uso de Internet , este canal

se convierta en uno de los más utilizados por los clientes para realizar sus t ransacciones

bancarias. Es por esto que el área de T I aporta la calidad y seguridad necesaria para mejorar

las t ransacciones que el cliente realiza en la Banca Electrónica.

Ahora, con respecto a casos de éxito en proyectos de negocio relacionados con el proceso,

el área de T I indica que es bastante inusual que no se cumpla con un proyecto de negocio

asociado a este canal de Internet, pues el valor agregado de dicho proyecto va en función de

prestar un mejor servicio a los clientes. De igual modo, las consecuencias de si el proyecto

se demora en terminar o falla, es que el nuevo servicio o mejorar no se logren ofrecer a los

clientes de la Banca Electrónica. Aunque puede llegar a suceder que algún nicho de clientes

haya conocido de antemano dicho servicio futuro, lo cual repercutiría directamente en la

reputación del banco por no haber lanzado dicho proyecto.

No obstante, el área de TI se encuentra apoyando todas las necesidades de negocio que

tengan que ver con la Banca Electrónica.

Finalmente en términos de las disciplinas, la Agilidad sólo corresponde en temas de

Gobernabilidad, en lo que compete a que cada uno de los proyectos nuevos diseñados para

este proceso sea debidamente inspeccionado por medio de cronogramas de act ividades y

por pruebas específicas para comprobar su correcta operabilidad antes de ser lanzado como

un nuevo servicio a sus clientes. Por otro lado, el objet ivo de Agilidad estudiado para este

proceso vela porque haya un control estricto de riesgos de TI para dicho proceso y para toda

el área de T I involucrada. De esta forma, las decisiones que se deban tomar frente a riesgos

de T I deben ser conocidos tanto vert ical como horizontalmente en toda la organización: esto

es que tanto el nivel ejecutivo como el nivel operativo deben analizar y clasificar los riesgos

de T I que le acaecen a este proceso en part icular, así como deben escoger minuciosamente

97

los encargados o los roles relacionados con los riesgos de TI. Todo lo anterior se debe a que

tanto el proceso como el área de T I y el banco deben estar preparados frente a cualquier

cambio, en este caso cualquier factor que afecte directamente el análisis de riesgos de TI,

que se necesite hacer para suplir las necesidades de los clientes, empleados, económicos y

regulaciones del sector bancario.

Luego de describir los objet ivos de negocio pertinentes al proceso seleccionado del Banco C se

presenta la gráfica correspondiente al Perfil de Riesgos de TI Actual en la figura 46:

Figura 46 – B anco C, Perfil de Riesgos de TI Actual del proceso seleccionado

Para concluir este caso de estudio se observa que el perfil de riesgos para el proceso de

transacciones por Internet del Banco C se muestra un nivel de riesgo bajo para los cuatro objet ivos

de negocio. Lo anterior se demuestra puesto que dicho proceso necesita estar regulado, probado,

monitoreado y vigilado estrictamente para que su funcionamiento cumpla con las necesidades del

negocio y de los clientes, explicadas anteriormente. De igual forma, la circular 052 complementa

dichas práct icas propias del banco sobre este proceso en part icular, de forma que fortalece la gest ión

de riesgos de T I en los procesos que presenta nivel bajo.

Comparando el perfil de riesgos de T I Actual con el Ideal, se detalla que ambos perfiles t ienen una

cierta semejanza por sus porcentajes de niveles bajos en los objet ivos de negocio de Disponibilidad,

Acceso y Precisión, todos con menos del 1%. Esto se debe a que el Banco C t iene como obligación

00,020,040,060,080,1

Disponibilidad

Acceso

Precisión

Agilidad

Perfil de Riesgos Actual Banco C

Perfil de Riesgos Actual Banco C

98

prestar un servicio de alta calidad a sus clientes reduciendo al máximo los niveles de riesgo de cada

uno de dichos objet ivos, en especial los de Disponibilidad y Precisión. Sin embargo, se puede

apreciar un notable aumento del nivel de riesgos del objetivo de Agilidad en el perfil de riesgos de

TI Ideal frente al Actual puesto que si el banco quiere alcanzar el nivel mínimo de riesgos de TI

ideal para los demás objet ivos, debe restarle un poco de importancia al objet ivo en mención. Esto

podría lograr por ejemplo reduciendo la importancia del impacto económico que tiene un proyecto

no lanzado al mercado, o minimizando el impacto que t iene hacia sus clientes alguna falla o demora

en un proyecto futuro, que en otras palabras es denegando la filtración de información sobre sus

productos futuros hacia sus clientes o personas ajenas al banco.

Por otro lado, se necesita que el nivel de riesgos del objet ivo de Acceso se reduzca a su mínimo, en

relación con el perfil actual, pues el proceso en estudio necesita tener muy controlado la manera en

como van a estudiar y mitigar los riesgos de TI en el Banco C, por ejemplo por medio de diferentes

audiencias de estudio; y cómo se mencionó en el parrafo anterior, denegar el acceso de información

sobre futuros proyectos, productos y servicios a sus clientes.

Todo lo anteriormente explicado se ve reflejado y respaldado en los instrumentos aplicados para

generar los perfiles de riesgos de TI actual e ideal (ver Anexos “ Instrumento para generar el perfil

de riesgos actual”, “Instrumento para generar el perfil de riesgos ideal”).

A continuación se presenta el últ imo caso de estudio, detallando los mismos puntos explicados en

los anteriores bancos y procesos.

3.4. Banco de la República


Mediante la Ley 25 de 1923 se creó el Banco de la República, como banco central colombiano. Se

organizó como sociedad anónima con un capital original de $10 millones oro, de los cuales un 50%

lo aportó el Gobierno y la diferencia los bancos comerciales nacionales, extranjeros y algunos

part iculares. A esta ent idad se le confió, en forma exclusiva, la facultad de emit ir la moneda legal

colombiana, se le autorizó para actuar como prestamista de últ ima instancia, administrar las reservas

internacionales del país, y actuar como banquero del Gobierno. La Junta Direct iva del Banco,

conformada por 10 miembros, representantes del sector privado y del Gobierno, fue encargada por

99

la misma Ley, de ejercer las funciones de regulación y control monetario bajo estrictos parámetros

de ortodoxia financiera. Se le encomendó, además, fijar la tasa de descuento y la intervención para

controlar las tasas de interés.

Actualmente es la inst itución que emite y administra la moneda legal y ejerce la función de

banquero de bancos. Además, controla los sistemas monetario (el dinero), crediticio (las tasas de

interés) y cambiario (la tasa de cambio) del país. A continuación se enumeran sus funciones:

• Emisión de Moneda Legal.

• Funciones de Crédito del Banco de la República.

• Banquero de Bancos.

• Funciones Cambiarias.

• Administración de las Reservas Internacionales.

• Banquero, Agente Fiscal y Fideicomisario del Gobierno.

• Promotor del desarrollo Científico, Cultural y Social.

• Informe de la Junta Directiva al Congreso de la República.

3.4.2. Descripción del Proceso

Proceso de compensación de Cheques La compensación de cheques es un servicio prestado a nivel nacional en forma única por el Banco

de la República a t ravés del CEDEC (Sistema de compensación electrónica de cheques) y Cámaras

de Compensación, que son los recintos donde se realiza el intercambio físico de los documentos.

Part icipan de este servicio los bancos comerciales, así como el propio Banco de la República quien

además administra el proceso.

Para la consolidación nacional de la información de los documentos presentados al cobro y en

devolución en las plazas donde el Banco de la República administra este servicio en forma directa o

a través de otra ent idad part icipante, se ut ilizan tres mecanismos, en donde el principal se describe a

continuación:

En las seis principales ciudades del país, Bogotá, Medellín, Cali, Barranquilla, Bucaramanga y

Cartagena (donde se efectúa cerca del 90 por ciento del valor y el volumen total del canje a nivel

100

nacional) opera desde agosto de 1999 el CEDEC, que es una aplicación automatizada para la

presentación electrónica de los cheques en el cual se graba y transmite electrónicamente al Banco de

la República la información correspondiente a cada uno de los documentos presentados al cobro en

la respect iva ciudad.

El intercambio físico de los documentos se realiza en las cámaras de compensación del Banco de la

República, pero el cálculo de las posiciones netas se efectúa con base en los registros electrónicos

transmitidos por cada ent idad al sistema en donde la entidad presentadora es el banco que presenta

un archivo con el listado de los cheques al cobro, para su pago por parte de las ent idades libradas a

través del sistema CEDEC, como se puede observar en la figura 47.

Figura 47 – Diagrama del proceso de compensación de cheques en el B anco de la República

De igual forma, se procesan electrónicamente a t ravés del CEDEC las devoluciones

correspondientes al primer canje de las citadas ciudades. El proceso se puede ver en la figura 48.

Figura 48 – Diagrama del proceso de devolución de cheques en el B anco de la República

Entidad Presentadora Presenta un archivo con el listado de los cheques al

cobro

CEDECValida el archivo con los

datos del cheque

Entidad LibradaRecibe el archivo

consolidado de los cheques de su entidad

Entidad Presentadora Recibe el archivo con los

cheques devueltos

CEDECValida el archivo con los

datos del cheque

Entidad LibradaEnvía el archivo con los cheques devueltos a las entidades presentadoras

101

Una vez que se han validado los archivos con los datos de los cheques se procede al proceso de

devoluciones en el cual las ent idades libradas envían el archivo con los cheques devueltos a las

respect ivas ent idades presentadoras.

Este proceso es automatizado y realizado de manera electrónica, el cual depende en casi un 95% de

los sistemas de información, y en el cual la operación humana es práct icamente nula, limitándose al

monitoreo de los estados del sistema.

Sistemas más importantes para el proceso. El proceso de compensación de cheques requiere de varios sistemas de información para su

funcionamiento, tales como CEDEC (Compensación Electrónica de Cheques), SEBRA (Sistemas

Electrónicos del Banco de la República), CUD (Cuentas de Deposito), HT RANS (Transmisión de

Archivos). El CEDEC es el sistema más importante ya que es el centro de todo el proceso de

compensación y liquidación de cheques.

CEDEC:

El CEDEC funciona bajo las siguientes características generales:

• Es un sistema diseñado para procesar la información relacionada con la totalidad de los

cheques y otros instrumentos de pago autorizados presentados al cobro y en devolución

diariamente, mediante un proceso centralizado en el Banco de la República. El centro

consolidador de cada entidad autorizada está conectado a este sistema, para el envío y

recepción de la información requerida.

• Permite clasificar y totalizar la información recibida de cada una de las ent idades

autorizadas part icipantes, con el fin de obtener las posiciones mult ilaterales netas a favor o

cargo de las mismas. Con el resultado mult ilateral neto obtenido se afectan en forma

definit iva las Cuentas de Depósito de las ent idades, con lo cual se efectúa la Liquidación.

• El proceso se efectúa integralmente con información recibida electrónicamente, sin

perjuicio de que los documentos físicos continúen circulando en forma independiente a la

información.

• El intercambio físico de los instrumentos de pago entre las ent idades autorizadas se realiza

en las instalaciones de las Cámaras de Compensación y/o de las compañías de

procesamiento de cheques autorizadas por el Banco, y se sujeta al procedimiento previsto

102

para tal efecto en el Manual del Departamento de Servicios Electrónicos y Pagos del Banco

de la República.

• Las ent idades autorizadas, bajo su responsabilidad, podrán contratar con terceros

especializados la realización de todos o algunos de los procesos o act ividades necesarios

para su part icipación en el CEDEC.

• A los servicios del CEDEC pueden acceder los bancos autorizados para operar en Colombia, siempre y cuando cumplan con la totalidad de condiciones y requisitos. Así

mismo, podrán vincularse a este Sistema los otros establecimientos de crédito que en el

futuro sean expresamente autorizados por el Banco de la República – Subgerencia de

Operación Bancaria.

SEBRA Es el portal Web de acceso y seguridad a todos los servicios electrónicos ofrecidos por el Banco

de la República a sus clientes.

CUD

Es el sistema de información en el cual se administran las cuentas de los bancos en Banco de la

República, es decir donde se afectan los saldos.

HTRANS Es el sistema de información mediante el cual se hace transmisión segura de archivos en la red

de comunicaciones entre los bancos y Banco de la República.

Ahora, teniendo en cuenta la descripción del proceso y la aplicación del instrumento en el

Banco de la República se generó el perfil de riesgos de TI ideal mostrado en la figura 49:

103

Figura 49 – B anco de la República, Perfil de Riesgos de TI Ideal del proceso seleccionado

3.4.3. Análisis de disciplinas del Proceso seleccionado

Esta sección muestra un análisis de la s práct icas implementadas por el Banco de la República para

garantizar las mejores condiciones en el proceso de compensación de cheques. Dichas práct icas son

presentadas a continuación según las disciplinas del marco 4A.

• Base Tecnológica: El Banco de la República t iene instalada una plataforma para la

prestación de sus diferentes servicios electrónicos, dentro de los cuales se encuentra el

CEDEC. Dicha plataforma cuenta con unos canales de comunicación dedicados entre los

diferentes Bancos y el Banco de la República, así como software y hardware de seguridad y

los diferentes servidores centrales en sus instalaciones.

El CEDEC es un software desarrollado a la medida, con un alto nivel de personalización

para adecuarse a los requerimientos del proceso, el cual es soportado en más de un 95% en

los sistemas de T I. El sistema trae desde su diseño algunos controles, los cuales se disparan

mediante alarmas ante incidentes que no permitan la operación normal del sistema.

Dentro de la Base Tecnológica se encuentra con un ambiente de producción y uno de

contingencia y pruebas, para evitar afectar el servicio en producción.

Una de las práct icas más importantes implementadas por el Banco de la República es el de

continuidad del negocio, ya que tiene polít icas para contingencia tanto en los data centers

-0,200,000,200,400,60Disponibilidad

Acceso

Precision

Agilidad

Nivel de riesgos de TI Ideal del Banco de la República

Nivel de riesgos de TI de BanRep

104

centrales, como en cada banco (entidad autorizada) que debe implementar en sus

instalaciones o con acuerdos con otras ent idades autorizadas para operar en situaciones de

contingencia.

La plataforma de seguridad y comunicaciones es común a todos los servicios electrónicos

prestados por el Banco a sus clientes (los demás bancos), y se encarga de la administración

de usuarios, controlando el acceso únicamente a los sistemas autorizados, así como de la

encripción de los datos en los canales de comunicaciones, como puede verse en la figura 50.

Figura 50 – B ase de TI del proceso seleccionado en el Banco de la República

• Gobernabilidad: Uno de los aspectos más importantes dentro de la Gobernabilidad es la

reglamentación del proceso de compensación de cheques, ya que la operación del mismo se

rige por lo dispuesto en las normas pert inentes del Código de Comercio, el Estatuto

Orgánico del Sistema Financiero, la Ley 31 de 1992, el Decreto 2520 de 1993, el Decreto

1207 de 1996, el Reglamento Operativo del Servicio de Compensación Interbancaria

aprobado por el Consejo de Administración del Banco de la República el 20 de abril de

1998, con sus modificaciones y adiciones, la circular reglamentaria DSEP – 153 expedida

por el Banco de la República y las demás normas que las modifiquen o sust ituyan, así como

los contratos de vinculación respect ivos.

CEDEC, CUD, SEBRA, HTRANS

Portal de acceso y seguridad unificado

Red de comunicaciones entre bancos y Banrep

105

Otro aspecto importante a mencionar dentro de la disciplina de gobierno dentro del Banco

de la República es la definición de roles específicos dentro de la organización para asignar

responsabilidades en la gest ión de riesgos operativos, tal como se observa en la figura 51.

Figura 51 – Roles de gestión de riesgo B anco de la República

En cuanto al proceso de compensación de cheques, por reglamentación los archivos

enviados por los diferentes bancos deben seguir un formato preestablecido para que el

sistema pueda interpretarlo, en caso que un archivo no cumpla con dicho estándar el sistema

lo detecta y lo rechaza inmediatamente generando una alarma al banco que lo envió para

que proceda con la corrección del mismo.

• Cultura: Dentro del Banco de la República ha exist ido la cultura de gest ión de riesgos a

dist intos niveles tanto financieros como operat ivos. Hasta agosto del 2008 el tema de

gest ión de riesgos operat ivos (dentro de los cuales están los riesgos de TI) estaba en manos

del área de control interno, pero dentro del proceso de mejoramiento continuo del Banco se

creó en agosto del 2008 la Unidad de Riesgo Operat ivos y Continuidad UROC. Esta unidad

t iene como una de sus principales funciones fortalecer la cultura de administración del

riesgo operat ivo dentro de las diferentes áreas del Banco.

Comité de riesgos

operativos

Unidad de riesgos

operativos y continuidad

Líder de riesgos en cada

subgerencia

106

Dentro del personal del área encargada de administrar el proceso de compensación de

cheques hay una conciencia que el proceso depende en más de un 95% de las TI,

especialmente de un sistema (CEDEC) y que el riesgo asociado a las TI impacta de gran

manera el negocio, sin embargo, también son consientes que por la segregación de

funciones hay algunos eventos que deben ser administrados por el personal especializado de

TI.

3.4.4. Perfil de riesgos de TI Actual del proceso seleccionado

Con base en las disciplinas, en la relación de la circular 052 con el proceso anteriormente descrito y

en la aplicación del instrumento (ver anexo Instrumento para generar el perfil de riesgos de TI

actual), se analizan cada uno de los objet ivos de negocio 4A concernientes al proceso de

compensación de cheques del Banco de la República y se gráfica su perfil de riesgo ver figura 48.

• Disponibilidad: Este objet ivo es importante para el proceso de negocio, sin embargo, como el proceso maneja unas ventanas de t iempo no es necesario que el servicio esté disponible

todo el t iempo, pero a las horas de cierre del proceso si es vital que los sistemas estén

disponibles. Como principal control se t iene un ambiente de contingencia para soportar la

prestación del servicio ante eventos de falla del sistema CEDEC y de los demás sistemas

involucrados en el proceso.

También existe una contingencia manual para el proceso pero nunca ha sido necesario

usarla.

• Acceso: Este objet ivo es de los más importantes para el proceso, ya que debido a la

crit icidad de la información que procesa el sistema CEDEC solo debe permit írsele acceso a

la información al personal autorizado por cada banco, para tener este control el Banco de la

República asigna un token personalizado a cada uno de los usuarios del sistema, quienes se

hacen responsables por el buen uso del mismo.

• Precisión: La precisión es quizás el objet ivo más importante para este proceso de

compensación de cheques, ya que los datos de los mismos deben enviarse en un archivo

estándar cuyos registros debe ser una copia fiel de los datos de los cheques y

adicionalmente deben ser enviados dentro de las ventanas del sistema o de lo contrario

pueden ver afectados sus saldos en sus cuentas.

Dada la importancia de este objetivo el sistema t iene implementados controles que validan

tanto el formato como algunos de los contenidos de los archivos y lo rechaza si al menos un

107

dato es inconsistente, generando la respect iva alarma a la ent idad presentadora para que

corrija el archivo y lo vuelva a enviar.

• Agilidad: Este objet ivo no es muy importante en cuanto al proceso de compensación de

cheques, ya que está automatizado desde hace varios años y no se considera necesario

agregar más funcionalidades al sistema, en cuanto a agilidad se ha considerado la

posibilidad de manejar imágenes con fotos de los cheques en cada uno de los registro de los

archivos.

Luego de describir los objet ivos de negocio pertinentes al proceso seleccionado del Banco de la

República se presenta la figura 52 el Perfil de Riesgos de TI Actual en la siguiente figura:

Figura 52 – Perfil de Riesgos de TI Actual B anco de la República

Para concluir este caso, se puede observar del perfil de riesgos Actual que tres de los objet ivos del

marco 4A (Disponibilidad, Acceso, Precisión) están bastante controlados y por ende su riesgo es

bajo, mientras que el objetivo de agilidad tiene un riesgo un poco mayor, ya que se está iniciando un

proceso de cambio del sistema CEDEC, pero todavía no se ha definido la plataforma tecnología del

mismo. Al analizar el caso de estudio de Banco de la República, se observa que la circular 052 de la

SFC apoya las labores de seguridad mínimas que se deben tener sobre los canales de

comunicaciones entre los diferentes bancos y el Banco de la República, adicionalmente también

fortalece las labores de actualización de los diferentes sistemas de información relacionados con el

proceso y finalmente en una adecuada segregación de funciones del personal involucrado en el

proceso tanto a nivel de negocio como tecnológico.

-0,20,00,20,40,6

Disponibilidad

Acceso

Precisión

Agilidad

Perfil de Riesgos de TI Actual BanRep

Perfil de Riesgos Actual BanRep

108

Adicionalmente a estas medidas anteriormente mencionadas el Banco de la República toma algunas

medidas adicionales que no están contempladas en la circular 052, tales como planes de

contingencia y continuidad del negocio, definición de roles en cuanto a la gest ión de riesgos,

reglamentación de procesos, plataformas tecnológicas estandarizadas y fomento de una adecuada

cultura de conciencia de riesgos.

109

VI. CONCLUSIONES

Las conclusiones de esta invest igación se presentan en tres categorías diferentes con base en los

resultados obtenidos en los casos de estudio, en primer lugar se comparan los perfiles de riesgo

elaborados para cada Banco, en segundo lugar se hace una comparación entre la teoría (marco 4A y

circular 052 de la SFC) y la realidad (medidas implementadas en cada uno de los bancos) y por

últ imo se hace un análisis de las disciplinas del marco 4A acerca de la forma en que minimizan los

riesgos de TI.

4.1. Comparación de los perfiles de riesgo ideales y actuales elaborados

para cada Banco

Comenzando con la comparación de los perfiles de riesgo ideales de todos los Bancos estudiados,

en la figura 53 se observan superpuestos dichos perfiles para los cuatro casos de estudio.

Figura 53 – Perfiles de riesgo ideal de los cuatro casos de estudio

-0,090,010,110,210,310,410,51

Disponibilidad

Acceso

Precision

Agilidad

Banco A

Banco B

Banco C

BanRep

110

Al comparar los perfiles de riesgo de los Bancos A y C que t ienen el mismo proceso estudiado

“Transacciones sobre internet” se observa que se t ienen prioridades dist intas en algunos objet ivos

de negocio, por ejemplo, aunque en disponibilidad y acceso ambos t ienen niveles bajos de riesgo, el

Banco A presenta un nivel de riesgo mayor para el objet ivo de Precisión de los datos mientras que

para el banco C es más bajo, y por otro lado el banco C t iene un nivel de riesgo medio para el

objet ivo de Agilidad mientras que para el Banco A es bajo. Esto quiere decir que aún para un

mismo proceso, que t iene act ividades muy similares en los dos casos de estudio, se le puede dar

más importancia a un objet ivo que a otro, según se explica en el Banco A, no se t ienen controles

claros para garantizar la precisión de los datos ya que los controles de Acceso suplen hasta cierto

punto esta necesidad y por ende se t iene un riesgo medio, y en el caso del Banco C la Agilidad no es

tan importante ya que es un tema que en ese Banco solo involucra al área de TI y adicionalmente

actualmente no se t ienen nuevos proyectos relacionados que demanden una alta Agilidad.

En esta figura se observa que el Banco B busca niveles de riesgo bajo para los cuatro objet ivos de

negocio, esto se debe a que este proceso de negocio es uno de los más importantes para la

organización y debido a esto se le da una gran importancia, la Compra y Venta de títulos valores es

parte de la razón de ser de este Banco y por ende se t ienen prácticas que minimizan las

vulnerabilidades en las cuatro categorías. Al compararse con los demás Bancos, estos presentan

niveles de riesgo mayores en Precisión y Agilidad, lo cual se debe a que este Banco en cuanto a

Precisión se refiere, le da una alta importancia ya que como se mencionó en el caso de estudio, una

inconsistencia de datos entre los diferentes sistemas puede ser la causa de un fraude operat ivo. En cuanto a Agilidad, se observa igualmente que se la da una gran atención debido a que el mercado de

t ítulos valores, en Colombia, ha impulsado la adopción de nuevos productos financieros y por ende

ha creado la necesidad de que este banco desarrolle las capacidades que le permitan adoptar estos

productos antes que sus competidores.

En cuanto al caso de estudio del Banco de la República se t iene que la Agilidad t iene un riesgo

medio debido a que el proceso se encuentra bastante maduro y no requiere mayores cambios a

futuro en cuanto al proceso como tal, sin embargo, si se está planeando un cambio en el sistema de

información que soporta este proceso, dicho cambio es muy importante ya que el sistema en

cuest ión se venía ut ilizando por varios años y en sucursales en varios puntos del país, luego este

cambio es a gran escala e involucra la capacitación de muchos usuarios, y si a esto se le añade que

111

es un proceso donde no solo está involucrado un Banco sino todos los del país se evidencia la

importancia de realizarlo en el menor t iempo posible.

Las anteriores comparaciones indican que estos cuatro Bancos en general buscan un manejo

efect ivo del riesgo de TI, ya que en ninguno se t iene un nivel alto de riesgo, e igualmente

evidencian que las condiciones del contexto en el cual opera cada Banco determinan a cual objet ivo

de negocio del marco 4A es necesario darle una mayor importancia. Por últ imo, es importante tener

en cuenta que las condiciones de cada Banco no son estáticas sino dinámicas, lo cual hace que los

niveles de riesgo registrados en los Bancos sean el resultado de condiciones dadas en un momento

part icular, haciendo necesario que periódicamente se generen perfiles de riesgo que reflejen de

forma actualizada la información de cada Banco.

Ahora bien, los perfiles de riesgo actuales sirven como una guía para dirigir los esfuerzos que están

encaminados a mit igar los riesgos de T I, pero de la visión ideal a la situación actual siempre hay

una diferencia, en la siguiente figura se muestran los perfiles de riesgo actual para los Bancos.

Figura 54 – Perfiles de Riesgo de TI actual de los cuatro casos de estudio

En el figura 54 se observa que los perfiles de riesgo ideal para los cuatro bancos presentan niveles

de riesgo menores que los perfiles de riesgo actual, sin embargo, estas diferencias no son

substanciales lo cual se hace evidente al analizar que si bien los valores no son exactamente los

00,050,1

0,150,2

0,250,3

Disponibilidad

Acceso

Precisión

Agilidad

Banco A

Banco B

Banco C

BanRep

112

mismos en los dos t ipos de perfiles, estos si están en los mismos rangos. Si los bancos desean

disminuir sus niveles de riesgo de T I en alguno de los objet ivos de negocio es recomendable

implementar medidas del marco 4A de acuerdo a las necesidades [7].

4.2. Comparación entre la teoría (marco 4A y circular 052 de la SFC) y

la realidad (medidas implementadas en cada uno de los bancos)

En segundo lugar se hace una comparación entre la teoría y la práct ica. Analizando la circular 052 y

su perfil de riesgo elaborado en el capítulo 2, en donde se concluía que para los riesgos de Acceso y

Precisión se t ienen niveles de riesgo bajo con el perfil de riesgos del Banco A donde se t iene un

nivel de riesgo medio para la precisión se puede concluir que dependiendo del proceso que se

escoja se pueden tener perfiles diferentes al de la circular, esto se debe a que la circular t iene

medidas de ámbitos muy generales y cuando se aplica a un proceso en part icular pueden haber

muchos numerales que no aplican, como en el caso de las Transacciones a través de internet.

Otra conclusión observada es que los cuatro bancos estudiados implementan medidas que reducen

el nivel de riego en el objet ivo de Disponibilidad de un nivel medio que establece la circular 052 a

un nivel bajo gracias a que todos implementan medidas como planes de continuidad, redundancia

de equipos y personal encargado de monitorear los sistemas.

Por otro lado, retomando la clasificación de la circular 052 según el marco 4A se hace evidente que

hay una estrecha relación entre los temas a los cuales se le da importancia en la regulación

Colombiana con los que proponen algunos marcos de gest ión de riesgo internacionales como el 4A,

ya que todas las medidas de la circular 052 clasifican en al menos uno de los cuatro objet ivos de

negocio del marco, sin embargo, es importante reconocer que le da mayor importancia a algunos

objet ivos respecto a otros, esto se debe entre varias razones al entorno nacional donde la seguridad y

Acceso a los datos y la Precisión de estos es muy importante garantizarlas, debido al posible lavado

de act ivos por medio del sistema financiero. En el marco 4A en contraste no se le da prioridad a

ningún objet ivo de negocio ya que deja esa decisión a la empresa dependiendo del sector en el que

se desenvuelva.

113

Por últ imo, se concluye con base en el análisis de disciplinas de los procesos seleccionados y su

relación con la Circular 052 que la circular pretende especificar qué requisitos deben cumplir los

bancos, pero no entra en detalle sobre mejores prácticas que se puedan implementar para

cumplirlos. Por lo tanto, se hace evidente la principal diferencia entre el marco 4A y la circular, ya

que el marco 4A sí define unas mejores práct icas para alcanzar niveles altos en la reducción de

riesgos de TI.

4.3. Análisis de las disciplinas del marco 4A

En primer lugar en todos los bancos estudiados se observa que además de las medidas obligatorias

de la circular 052, se implementan medidas adicionales que complementan la gestión de riesgos de

TI; teniendo en cuenta que de los cuatro bancos estudiados algunos son extranjeros, se observa que

la experiencia que t ienen de sus operaciones en otros países, con regulaciones más estrictas que la

colombiana, les permite tener niveles más altos de control de riesgos de TI.

Clasificando estas medidas según las disciplinas del marco 4A se t iene que respecto a

Gobernabilidad en todos los bancos estudiados se t ienen roles que involucran dentro de sus

funciones la atención de los riesgos de TI, estos roles le permiten a los Bancos implementar la

segregación de funciones del personal que administra, opera, mantiene y, en general, t iene la

posibilidad de acceder a los disposit ivos y sistemas usados en los dist intos canales y medios de

servicio al usuario. Al examinar la circular 052 para verificar si hay alguna medida respecto a la

creación de roles dentro del área de sistemas, se encuentra que no la hay, lo más cercano que se

menciona en la circular está en el numeral 3.1.2 el cual dice: “para gest ionar la seguridad de la

información podrán tomar cómo referencias los estándares 17799 y 27001”. En dichos estándares se

plantea la importancia de definir roles en el área de TI.

Respecto a Base Tecnológica, se observa que los Bancos cumplen con proteger la información

confidencial de los clientes que se maneja en los equipos y redes de la entidad, igualmente dotan a

sus equipos de cómputo de los elementos necesarios que eviten la instalación de programas o

disposit ivos que capturen la información de sus operaciones y por últ imo establecen procedimientos

114

para el bloqueo de canales o de medios, cuando existan situaciones o hechos que lo ameriten

complementando las medidas de los numerales 3.1.7, 3.1.11 y 1.1.12 de la circular 052 de la SFC.

En la disciplina de Cultura se observa una mejora significat iva a nivel interno en los Bancos

respecto a lo exigido por la circular, ya que en ésta no se exigen capacitaciones periódicas respecto

a los riesgos de T I. Por otro lado, los análisis de vulnerabilidades a los que hace referencia la

circular en el numeral 7 son implementados de una forma más eficiente ya que hay una cultura más

solida en los cuatro Bancos, que genera una mayor conciencia de la importancia de medir

vulnerabilidades.

Por últ imo, es importante remarcar que aunque en ninguno de los Bancos de los casos de estudio

conocían las disciplinas para la gest ión de riesgos de T I recomendadas por el marco de Gest ión de

riesgos 4A, muchas medidas que se recomiendan en este marco eran aplicadas al interior de las

organizaciones, como se hizo evidente en la generación del perfil de riesgos actual, lo cual permite

concluir que el marco es út il para hacer gest ión de riesgos de T I en Colombia y que las medidas que

presenta no son exclusivas de un país o de un sector.

4.4. Trabajos Futuros

Como trabajos futuros es importante aumentar el tamaño de la muestra sobre la cual se hizo esta

invest igación, esto haría que se pasara de una muestra indicat iva a una muestra significat iva del

sector y brindaría un panorama más fidedigno y cercano a la realidad del sector Bancario

Colombiano. Una vez se tenga dicha muestra sería interesante presentar recomendaciones de cara a

la reglamentación Colombia en cuanto a las medidas que presentan mayores beneficios en los

Bancos estudiados, esto permit iría que las autoridades competentes no solo emit ieran medidas que

se deben cumplir sino también una guía de cómo hacerlo basada en experiencias exitosas y

recientes. Respecto a este últ imo punto, como se mencionó en el alcance de este trabajo en la tesis

de maestría del ingeniero Luis Carlos Figueroa se realizará una guía de las mejores práct icas en la gest ión de riesgos de T I que tomará algunas de las mejores práct icas de esta invest igación.

115

VII. ANEXOS

CLASIFICACIÓ N DE LA CIRCULAR 052 DE LA SFC EN EL MARCO DE GESTIÓ N DE RIESGOS DE TI 4A: B: Base Tecnológica; G: Gobierno; C: Cultura.

Clasificación de la circular 052 de la SFC en el marco de gest ión de riesgos de T I 4A.

Disponibilidad Acceso Precisión Agilidad

Nivel

Ejecutivo

Nivel

Operativo

Nivel

Ejecutivo

Nivel

Operativo

Nivel

Ejecutivo

Nivel

Operativo

Nivel

Ejecutivo

Nivel

Operativo

B G C B G C B G C B G C B G C B G C B G C B G C

Criterios circular 052 (Se da el numeral)

3. Obligaciones Generales

3.1 Seguridad y Calidad

3.1.1 x x x x x x

3.1.2 x x x

3.1.3 x x

3.1.4 x

3.1.5 x x

3.1.6 x x

3.1.7 x

3.1.8 x x

3.1.9 x x x x

3.1.10 x x

116

3.1.11 x

3.1.12 x x

3.1.13 x x

3.1.14 x x

3.1.15 x x

3.1.16 x

3.1.17 x

3.1.18 x

3.1.19 x

3.1.20 x x

3.2 Tercerización – Outsourcing

3.2.1 x x x x

3.2.2 x x x x x x

3.2.3 x x

3.2.4 x

3.2.5 x x

3.3. Documentación

3.3.1 x

3.3.2 x

3.3.3 x x

3.3.4 x

3.3.5 x x

3.3.6 x x

3.3.7 x

117

3.3.8 x x

3.3.9 x

3.3.10 x x

3.4. Divulgación de Información

3.4.1 x

3.4.2 x

3.4.3 x x

3.4.4 x

3.4.5 x x

3.4.6 x

3.4.7 x x

3.4.8 x x

4. Obligaciones Adicionales por Tipo de Canal

4.1 Oficinas

4.1.1 x

4.1.2 x

4.1.3 x

4.1.4 x

4.1.5 x x x

4.1.6 x x x

4.1.7 x x

4.2. Cajeros Automáticos (ATM)

4.2.1 x

4.2.2 x x

118

4.2.3 x

4.2.4 x

4.2.5 x x

4.2.6 x

4.3. Receptores de Cheques

4.3.1 x x

4.3.2 x x

4.3.3 x

4.3.4 x

4.4 Receptores de Dinero en Efectivo

4.4.1 x x

4.4.2 x x

4.4.3 x x

4.4.4 x x

4.5. POS (incluye PIN Pad)

4.5.1 x

4.5.2 x x

4.5.3 x

4.5.4 x x

4.5.5 x

4.5.6 x

4.6. Sistemas de Audio Respuesta (IVR)

4.6.1 x x

4.6.2 x

119

4.7. Centro de Atención Telefóni ca (Call Center, Contact

Center)

4.7.1 x

4.7.2 x

4.7.3 x

4.7.4 x

4.7.5 x x

4.8. Sistemas de Acceso Remoto para Clientes x x

4.9. Internet

4.9.1 x

4.9.2 x x

4.9.3 x x

4.9.4 x

4.9.5 x

4.9.6 x x

4.10. Prestación de Servicios a través de Nuevos Canales x x x x

5. Reglas sobre Actualización de Software

5.1 x x

5.2 x

5.3 x x

5.4 x x

5.5 x

5.6 x

6. Obligaciones Específicas por Tipo de Medio – Tarjetas

120

débito y crédito

6.1 x

6.2 x x

6.3 x

6.4 x x

6.5 x

6.6 x

6.7 x

6.8 x x

6.9 x

6.10 x x x

6.11 x x

7. Análisis de Vulnerabilidades

7.1 x x

7.2 x x x

7.3 x x

7.4 x x

7.5 x x x

7.6 x

121

PERFIL DE RIESGOS CIRCULAR 052:

La escala definida t iene tres niveles para medir el riesgo en un objet ivo de negocio, Bajo, si la razón

está entre (66.6%–100%], Medio, entre (33.3% – 66.6%] y Alto [0% – 33.3%].

• Numeral 3 Obligaciones Generales:

Sub–numeral 3.1 Seguridad y Calidad

El 15 % de las act ividades buscan mit igar riesgos de Disponibilidad.

El 50% de las act ividades buscan mit igar riesgos de Acceso.

El 22.5% de las act ividades buscan mit igar riesgos de Precisión.

El 12.5% de las act ividades buscan mit igar riesgos de Agilidad.

Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el

Sub–numeral 3.1 de la circular 052 es:

Disponibilidad: Alto; Acceso: Bajo; Precisión: Medio; Agilidad: Alto

Sub–numeral 3.2 T ercerización – Outsourcing

El 33.33 % de las act ividades buscan mit igar riesgos de Disponibilidad.

El 33.33% de las act ividades buscan mit igar riesgos de Acceso.


El 6.66% de las act ividades buscan mit igar riesgos de Agilidad.

Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el Sub–numeral 3.2 de la circular 052 es:

Disponibilidad: Bajo; Acceso: Bajo; Precisión: Bajo; Agilidad: Alto

Sub–numeral 3.3. Documentación

No se buscan mit igar riesgos de Disponibilidad.



No se buscan mit igar riesgos de Agilidad.



Disponibilidad: Alto; Acceso: Alto; Precisión: Bajo; Agilidad: Alto

122

Sub–numeral 3.4. Divulgación de Información


No se buscan mit igar riesgos de Acceso.

El 100% de las act ividades buscan mitigar riesgos de Precisión.




Disponibilidad: Alto; Acceso: Alto; Precisión: Bajo; Agilidad: Alto

• Numeral 4 Obligaciones Adicionales por Tipo de Canal

Sub–numeral 4.1 Oficinas


El 33.33% de las act ividades buscan mit igar riesgos de Acceso. El 25.5% de las act ividades buscan mit igar riesgos de Precisión.




Disponibilidad: Bajo; Acceso: Medio; Precisión: Medio; Agilidad: Alto

Sub–numeral 4.2. Cajeros Automáticos (ATM)







Disponibilidad: Medio; Acceso: Bajo; Precisión: Alto; Agilidad: Alto

Sub–numeral 4.3 Receptores de Cheques




123




Disponibilidad: Alto; Acceso: Medio; Precisión: Bajo; Agilidad: Alto

Sub–numeral 4.4 Receptores de Dinero en Efect ivo



El 50% de las act ividades buscan mit igar riesgos de Precisión.




Disponibilidad: Alto; Acceso: Bajo; Precisión: Bajo; Agilidad: Alto

Sub–numeral 4.5. POS (incluye PIN Pad)






Sub–numeral 4.5 de la circular 052 es: Disponibilidad: Alto; Acceso: Bajo; Precisión: Alto; Agilidad: Alto

Sub–numeral 4.6. Sistemas de Audio Respuesta (IVR)







Disponibilidad: Bajo; Acceso: Bajo; Precisión: Bajo; Agilidad: Alto

Sub–numeral 4.7. Centro de Atención Telefónica (Call Center, Contact Center)


124






Disponibilidad: Alto; Acceso: Bajo; Precisión: Alto; Agilidad: Alto

Sub–numeral 4.8. Sistemas de Acceso Remoto para Clientes


El 100% de las act ividades buscan mitigar riesgos de Acceso.

No se buscan mit igar riesgos de Precisión.





Sub–numeral 4.9. Internet




No se buscan mit igar riesgos de Agilidad. Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el



Sub–numeral 4.10. Prestación de Servicios a t ravés de Nuevos Canales


No se buscan mit igar riesgos de Acceso.


El 50% de las act ividades buscan mit igar riesgos de Agilidad.



Disponibilidad: Alto; Acceso: Alto; Precisión: Bajo; Agilidad: Bajo

125

• Numeral 5. Reglas sobre Actualización de Software:





Perfil de riesgos del numeral 5.


numeral 5 de la circular 052 es:

Disponibilidad: Medio; Acceso: Bajo; Precisión: Bajo; Agilidad: Alto

• Numeral 6. Obligaciones Específicas por Tipo de Medio – Tarje tas débito y crédito:







Disponibilidad: Alto; Acceso: Bajo; Precisión: Medio; Agilidad: Alto

• Numeral 7. Análisis de Vulnerabilidades:

Las act ividades del numeral 7 busca lo siguiente:

El 54 % act ividades buscan mit igar riesgos de Disponibilidad.


El 38% buscan mit igar riesgos de Precisión.




Disponibilidad: Bajo; Acceso: Alto; Precisión: Medio; Agilidad: Alto

126

INSTRUMENTO APLICADO:

Este instrumento está dividido en dos partes, una ejecutiva y otra operat iva, en cada una de las

partes las preguntas están divididas por objet ivos de negocio. El fin del instrumento es tener una

descripción del proceso estudiado desde el punto de vista del negocio e identificar falencias que se

necesitan corregir y prioridades que se necesitan cambiar, para que de esta manera el perfil de

riesgos de TI en la compañía pueda comenzar a empatar con las prioridades del negocio.

Preguntas a nivel e jecutivo.

• Disponibilidad:

¿Cuáles son las consecuencias para este proceso si los sistemas no están disponibles?

Banco A: Si el sistema se detiene, todo lo relacionado con servicios a través de internet

dejaría de funcionar, debido a la importancia del internet hoy en día, se afectaría

demasiado el negocio y podría afectar al banco lo suficiente para sacarlo del mercado.

Banco B: Si los sistemas de negociación no están disponibles, no se puede realizar ninguna

operación de compra o venta de títulos (divisas extranjeras o TES). En el caso de los

sistemas internos para el registro de transacciones, lleva a que el registro de la operación

efectuada se deba hacer manualmente.

Banco C: Los clientes no podrían realizar sus transacciones a través del canal de Internet,

lo que repercutiría en un mal servicio, quejas de clientes y en un deterioro de la imagen del

Banco.

Banco de la República: Se presenta una interrupción inmediata del proceso de

compensación y liquidación de cheques con un alto impacto en el sector financiero.

¿Dado la anterior pregunta, que sistemas t ienen la mayor prioridad de negocio para

recuperarse ante una falla?

Banco A: El más importante es el ERP, porque sin él, no hay servicios y esto es igual que

no tener servicios.

Banco B: Los sistemas de negociación son los más importantes en el proceso, sin embargo,

debido a que son sistemas externos, no está al alcance del Banco el poder resolver el

incidente.

Banco C: La mayor prioridad lo tiene los sistemas que permiten la transaccionalidad en

oficinas por cuanto por allí es donde se maneja el efectivo físico (retiros y consignaciones

en efectivo).

127

Banco de la República: El sistema central del proceso, el CEDEC, aunque hay otros

sistemas como SEBRA y HTRANS sin los cuales hay partes importantes del proceso que no

funcionan.

• Acceso: ¿Qué categorías de información son las más crít icas para él éxito o fallo del proceso?

Ejemplo de categorías de información: Información de la tarjeta de crédito de un cliente,

registros de salud, diseño de productos, correos de empleados, planes de negocio,

estrategias, contratos, finanzas internas, inventarios, beneficios de la información y recursos

humanos.

Banco A: Todo lo relacionado con productos, la mayoría de estos están en el ERP y por

eso esta categoría es tan importante.

Banco B: La información referente a la operación: monto, precio de compra/venta,

contraparte.

Banco C: El sistema de Banca Electrónica trabaja con la información básica del cliente y

con la información de todos sus productos. Cuentas Corrientes y de Ahorro, Tarjetas,

Préstamos.

Banco de la República: Existe una categoría única que son los archivos con los registros

de los cheques.

¿Qué consecuencias se podría dar con mayor frecuencia si la información en una categoría

dada se libera, pierde o es comprometida? Ejemplo de consecuencias: En términos de

ganancias, clientes, proveedores, relaciones con los empleados, acciones regulatorias,

reputación, etc.

Banco A: Por cuestión de regulación, como se trata del dinero de los clientes, se revisan

diversas actividades, en este caso se puede hablar de lavado de activos, protección a los

clientes y demás, y si un canal demuestra no ser seguro, cierran el canal, al cerrar el canal,

esto es sinónimo a muerte del banco, debido a la inoperabilidad.

Banco B: Se afectaría la imagen corporativa del Banco.

Banco C: Si esta información fuera conocida por otras personas, podría utilizarse con

fines delictivos hacia los clientes (Robo, extorsión, desviación de recursos, lavado de

dinero).

Banco de la República: Sería muy grave, ya que los archivos son el soporte para la

realización del proceso de compensación de cheques.

128

• Precisión:

¿Para este proceso y/o categoría de información, los datos que produce son suficientemente

precisos y a t iempo para sat isfacer requerimientos internos y externos?

Banco A: Para requerimientos internos y externos si se producen datos suficientemente

precisos, además el Banco se encuentra regulado por una entidad como la SFC.

Banco B: Si, la información debe ser 100% precisa, esto es controlado por la entidad que

administra el sistema de negociación.

Banco C: Debido a que el sistema permite realizar transacciones Online entre productos,

los datos que produce son precisos y son generados a tiempo.

Banco de la República: Los datos son suficientemente precisos tanto internamente como

externamente, ya que de lo contrario el sistema los rechaza automáticamente si no cumplen

con el formato establecido.

¿Cuáles son las consecuencias para este proceso y categoría de información ante la falta de

precisión en sus datos?

Banco A: Debido a la falta de precisión en los datos el Banco podría ser sancionado por

reguladores externos.

A nivel interno, el banco podría perder oportunidades de negocio claves.

Banco B: En el caso en que se registrara mal la información de la transacción, podría

suceder que al momento de hacer el pago, se pagara una cantidad diferente, lo cual puede

llevar a sanciones y a una pérdida de la buena imagen de la institución.

Banco C: Si la información no fuera precisa afectaría los recursos monetarios del cliente.

Banco de la República: Aunque el sistema valida los datos de los archivos, si se pueden

presentar consecuencias graves para la economía nacional si estos no llegan a tiempo ya

que no se podría hacer el cierre del día y por lo tanto las cuentas no tendrían saldos reales.

¿Cómo se puede beneficiar este proceso al tener información más completa?

Banco A: La toma de decisiones sería mejor porque se conocería mejor al cliente y se

obtendrían sus datos claves.

Banco B: La información es lo suficientemente completa para obtener los beneficios

requeridos.

Banco C: La información es lo suficientemente completa para realizar las transacciones, el

sistema proporciona los datos que necesita conocer el cliente para realizar una

transacción.

129

Banco de la República: El proceso cuenta con la información completa para realizar sus

operaciones.

• Agilidad:

¿Cada cuánto un proyecto de negocio relacionado con este proceso y con TI se desarrolla a

t iempo y con el presupuesto adecuado? ¿Qué valor agregado se espera obtener de dicho

proyecto al negocio? ¿Cuáles son las consecuencias para el negocio si el proyecto falla o

t iene una demora?

Banco A: Generalmente se cumple un proyecto relacionado con TI y especialmente con

este proceso debido a la importancia del internet. Dependiendo del proyecto, el valor

agregado puede afectar temas de acceso, como es el caso del último proyecto de cifrado

fuerte que se está realizando. Si el proyecto falla, hay pérdida monetaria y desconfianza a

nivel ejecutivo sobre el área tecnológica debido a la competitividad que existe en el

mercado.

Banco B: Los proyectos de TI generalmente se entregan a tiempo, en pocas ocasiones es

necesario usar más recursos (de personal y tiempo por lo general) de los estipulados al

comienzo del proyecto. Si los proyectos se demoran se incurre en un mayor costo para

realizar el proceso que se desea implementar, ya que se deben usar las contingencias

manuales.

Banco C: Es bastante inusual que no se cumpla con un proyecto de negocio asociado a

este canal de Internet. El valor agregado va en función de prestar un mejor servicio a los

clientes, las consecuencias si el proyecto falla o tiene demora es que el servicio no se logra

ofrecer a los clientes.

Banco de la República: Aunque el sistema tiene diez años funcionando, como está

actualmente, si se está iniciando el proceso de actualizar el software del sistema CEDEC

para corregir ciertos problemas.

¿Qué grandes cambios estratégicos se pueden prever para el proceso, y en qué puede ayudar

TI? ¿Qué t ipos de operaciones/movimientos estratégicos van a ser difíciles para el manejo

de los sistemas de TI del proceso?

Banco A: Se pueden prever cambios a nivel de acceso con un proyecto de cifrado fuerte, y

a nivel de agilidad, con la implementación de un CRM. Lo más complicado de la

implementación, es lo que empata directamente con lo existente, por ejemplo en el caso de

implementar un nuevo CRM.

Banco B: En este momento no se prevén grandes cambios para el proceso de negocio.

130

Banco C: No se prevén cambios estratégicos, lo que se ve es que con el incremento del uso

de Internet este canal se convierte en uno de los más utilizados por los clientes para

realizar sus transacciones bancarias. TI aporta en la implementación de nuevos servicios a

través de este canal, con la calidad y seguridad necesaria para realizar este tipo de

transacciones.

Banco de la República: Como se mencionó anteriormente en este momento hay un cambio

estratégico que es cambiar el software del sistema CEDEC.

Preguntas a nivel operativo.

• Disponibilidad: ¿Para este proceso y sus sistemas, exactamente cuál es el límite (en cuanto a t iempo,

volumen de datos etc.) en que se puedan operar los sistemas hasta que éstos tengan

consecuencias intolerables?

Banco A: Tiene que funcionar mínimo el 94% del tiempo por mes, un nivel por abajo de este valor es intolerable.

Banco B: Un fallo en los sistemas de negociación impide la operación del proceso

inmediatamente; luego cada minuto en el que el sistema no funcione es un minuto perdido

para todos los bancos, la consecuencia de esto es que al no poder hacer operaciones de

venta de títulos, los precios pueden cambiar y por tanto llevar a pérdidas por valoración en

el precio del título.

Banco C: El sistema de Banca Electrónica soporta hasta un máximo de 10 millones de

transacciones con un mínimo de 99% de disponibilidad hacia sus clientes de 24x7 en cada

uno de los servicios prestados desde Banca Electrónica.

Banco de la República: Ante una falla de los sistemas el proceso de detiene

inmediatamente, ya que depende casi en su totalidad de las TI.

¿Cuál es la frecuencia de interrupciones de gran impacto que se dan en estos sistemas, tanto

de factores internos como externos? Ejemplos de factores internos o externos: clima,

calidad de la corriente, desastres naturales, edad de los sistemas, calidad técnica, falta de un

vendedor o soporte interno.

Banco A: En estos sistemas la frecuencia de interrupción es menor al 6% por mes.

Banco B: La frecuencia de interrupciones de gran impacto es muy baja. Cuando se

presenta un problema con alguno de los sistemas de negociación el impacto es muy alto

para el negocio y debido a esto los proveedores tratan de solucionar el problema en el

131

menor tiempo posible, ya que el impacto generado no es sufrido por un banco solamente,

sino por todos.

Banco C: El nivel de disponibilidad de este servicio está sobre el 99.9%.

Banco de la República: En los últimos meses no se han presentado interrupciones, sin

embargo, cuando se han presentado el impacto depende del momento en que se presente ya

que el proceso tiene unos horarios establecidos.

¿Se t ienen respaldos (backups), sit ios de recuperación, soluciones, manuales u otras

maneras efect ivas para reducir el potencial de perder la disponibilidad en estos sistemas?

Banco A: El sistema cuenta con un plan de continuidad del negocio, un plan de

recuperación de desastres, servidores espejo y soluciones tanto manuales como

automáticas.

Banco B: Sí, todos los días se realizan backups de las operaciones hechas durante el día,

las cuales son almacenadas en un sitio seguro.

Banco C: El sistema cuenta con Alta disponibilidad (redundancia de equipos), con backups

de información diarios y con un seguimiento diario del comportamiento general de la

plataforma por parte del área de tecnología.

Banco de la República: Se hacen respaldos de los datos cada noche a la hora del cierre

del proceso, y se cuentan con una plataforma de respaldo en cuanto a servidores de

contingencia.

¿Existen signos tempranos de advertencias de fallas que se estén presentando actualmente

en este proceso? Banco A: Se tiene un plan maestro que detecta errores tempranos.

Banco B: No.

Banco C: Existen herramientas de monitoreo del comportamiento de la infraestructura

utilizada.

Banco de la República: No.

• Acceso: ¿Existen signos donde la protección actual de la información sensible no es adecuada?

¿Alguna intrusión ha ocurrido? ¿Si la respuesta es sí, bajo qué circunstancias?

Banco A: Intrusión, no ha ocurrido, lo que sucedió fueron algunos casos de suplantación.

Banco B: No.

Banco C: No se ha tenido ningún incidente relacionado con la protección de la

información.

132

Banco de la República: El sistema CEDEC no maneja la seguridad de la información, esta

responsabilidad se delega a los canales de comunicación.

¿Los empleados t ienen acceso a información suficiente para hacer sus t rabajos? ¿Ellos

t ienen acceso a más información de la que necesitan?

Banco A: Los empleados tienen acceso solo a la información que requieren dependiendo

de su área.

Banco B: No.

Banco C: Se tiene el acceso a la información necesaria para realizar sus labores de

seguimiento y monitoreo.

Banco de la República: Los empleados tienen acceso a la información necesaria para

hacer su trabajo.

¿Cómo asegurar que los socios, vendedores y contrat istas están protegiendo el acceso a la

información tan bien como se quiere que la protejan? ¿Los contratos especifican como debe

ser el acceso a la información, la identificación y si las contraseñas deben ser protegidas?

Banco A: Esta entidad tiene medidas que aseguran el acceso a la información por medio

de controles físicos y lógicos, contraseñas que requieren geolocalización y un Token.

Banco B: Los usuarios tienen solo acceso a la información necesaria para realizar su

trabajo. Para este proceso en particular, el riesgo más importante de no tener una

segregación de funciones sería que una persona con acceso a los sistemas de negociación

también pudiera acceder a los sistemas internos para el registro de las transacciones.

Para eliminar este riesgo hay varios roles dentro del área de tecnología encargados de aprobar la creación de nuevos usuarios en los sistemas, revisar sus privilegios y atender

incidentes de seguridad.

Banco C: Los socios, vendedores y contratistas no tienen acceso a la información de este

sistema.

Banco de la República: La información es de los clientes y es su responsabilidad

protegerla, ya que son los principales afectados en el momento en que se pierda o filtre.

¿Existen procedimientos para remover el acceso inmediato cuando las relaciones terminen?

Banco A: Cuando se pide algún tipo de outsourcing, se le entrega un token que da la

segunda parte de la contraseña; ésta puede ser cancelada inmediatamente.

Banco B: Todos los proveedores deben cumplir con una serie de prerrequisitos

relacionados con la seguridad de la información para establecer niveles de servicio y

garantizar la seguridad de la información. Uno de los puntos claves para esto es exigir que

133

todos ellos cuenten con planes de Contingencia en caso de interrupciones u otros factores

que impidan la prestación normal del servicio. La eficacia de estos planes es evaluada por

el departamento de Seguridad de la Información del Banco, con el fin de establecer

recomendaciones y planes de acción en caso de ser necesario.

Banco C: No aplica puesto que este tipo de proceso no involucra ningún tercero.

Banco de la República: El sistema CEDEC tiene la facilidad de permitir restringir el

acceso de manera inmediata, sin embargo, no es el procedimiento habitual, ya que lo

normal es que el banco cliente avise al centro de soporte informático quien tiene la labor

de restringir el acceso a los usuarios.

• Precisión: ¿Cuáles son las fuentes de imprecisión e inconsistencia en los datos?

Banco A: Datos contractuales cuando el sistema solicita un dato y el usuario suministra

datos erróneos. En este caso si los errores no se comprueban a tiempo, se tiene un error de

imprecisión.

Banco B: Las fuentes de imprecisión se deben a errores a la hora de ingresar datos en los

sistemas de información, cuando un usuario se equivoca al registrar alguna operación.

Banco C: La fuente de los datos con que se opera en la Banca Electrónica son las

aplicaciones centrales del banco, con lo cual las inconsistencias pueden ser generadas en

el momento en que se vincule el cliente o cuando adquiere un producto en una oficina. La

información es ingresada por el Gestor de la oficina.

Banco de la República: fallas humanas al digitar los datos en los archivos y posiblemente

algunas en los lectores de las bandas magnéticas de los cheques.

¿Qué cambios en este proceso pueden reducir problemas de precisión en los datos?

Banco A: A la hora de registrar un usuario, se debe verificar por lo menos una segunda

vez los datos, para asegurar que sea el correcto; aún así es posible tener esa imprecisión,

pero se reduce.

Banco B: Hay ciertas unidades de negocio que tienen una mayor prioridad sobre otras

debido al mayor impacto que genera para el Banco un fallo tecnológico en dicha área, en

este caso, la mesa de dinero tiene una prioridad mayor que el Back Office, ya que es más

importante garantizar que se puedan hacer negociaciones y si es necesario recurrir a una

contingencia manual para registrarlas en la contabilidad.

Banco C: La implementación de validaciones reduce el ingreso de datos errados, estas

validaciones pueden ser de carácter técnico (validar fechas, validar telefonos, etc) o de

134

carácter procedimental, validar referencias validar información contra las bases de

Información de Riesgos (CIFIN, Asobancaria, etc).

Banco de la República: N/A, puesto que el proceso se encuentra bastante estable y no

presenta cambios.

• Agilidad:

¿Qué tan bien el área de T I apoya las necesidades y proyectos de las demás unidades de

negocio? Si hay diferencias en la percepción a través de las unidades, se debe a:

o capacidades diferentes de T I,

o diferentes unidades de negocio basadas en organizaciones de T I ,

o necesidades diferentes

o otra razón

Banco A: Por lo general se apoya a las demás unidades de negocio, pero, debido a que son

varias unidades, lo que se realiza es una priorización de proyectos y necesidades, si se logra suplir todo lo que se necesita se realiza, pero si no, se realiza esta priorización y se

avisa quien tiene mayor prioridad.

Banco B: La Mesa de dinero tiene una mayor prioridad sobre las demás áreas ya que la

negociación de títulos valores se realiza por medio de sistemas de TI, debido a esto los

proyectos que afectan a esta área siempre tienen un alto nivel de exigencia y de

compromiso para el área de TI

Banco C: Desde TI Apoyamos a todas las necesidades de negocio que tengan que ver con

la Banca Electrónica.

Banco de la República: Tanto el ingeniero líder del sistema CEDEC como el proveedor

siempre están atentos a resolver las necesidades del sistema.

135

ELABORACIÓ N DEL PERFIL DE RIESGOS DE TI IDEAL A PARTIR DEL

INSTRUMENTO APLICADO:

138

-0,090,010,110,210,310,410,51

Disponibilidad

Acceso

Precision

Agilidad

Banco A

Banco B

Banco C

BanRep

139

INSTRUMENTO PARA GENERAR EL PERFIL DE RIESGOS DE TI ACTUAL:

En la siguiente página se presentan las medidas que propone el marco 4A, clasificadas en cada una

de las disciplinas.

140

Medidas de Base Tecnológica

141

Medidas de Gobernabilidad

Medidas de Cultura

142

Clasificación de las medidas anteriores en niveles de riesgo de TI:

Las medidas presentadas anteriormente según la disciplina a la que pertenecen, ahora son

clasificadas por cada objet ivo de negocio, de esta forma se miden los niveles de riesgo que cada

Banco presenta en cada uno de estos objet ivos, dichas medidas están ordenadas según los t res

posibles niveles de riesgo (alto, medio, bajo). Al final de cada una de las siguientes tablas se

presentan los niveles de riesgo para todos los bancos.

Disponibilidad:

143

Acceso:

144

Precisión:

145

Agilidad:

146

A part ir de los cuadros anteriores se generan los perfiles de riesgo actual de los Bancos estudiados:

149

VIII. BIBLIOGRAFÍA

[1] Companies in Crisis – What not to do when it all goes wrong – Exxon Mobil and Exxon Valdez.

Recuperado 3 de Febrero de 2009. Disponible en: http://www.mallenbaker.net/csr/CSRfiles/crisis03.html

[2] McCombs School Of Business. History Of Risk Management. pp 5. 2002. Disponible en:

http://www.mccombs.utexas.edu/dept/irom/bba/risk/rmi/arnold/downloads/Hist_of_RM_2002.pdf

[3] TABB, L. Risk Management IT Comes to the Forefront in the Wake of Subprime Credit Crisis. 2008.

Disponible en: http://www.wallstreetandtech.com/technology–risk–

management/showArticle.jhtml?art icleID=208402568

[4] The Brit ish Standards Inst itut ion. Code of pract ice for risk Management. 2008. Disponible en:

http://www.bsi–global.com/en/Standards–and–Publicat ions/Industry–Sectors/All–Standards/BS/BS–31100–

Draft–for–Public–Comment–DPC–/

[5] WESTERMAN G., HUNTER, R. IT Risk: T urning Business T hreats Into Competit ive Advantage. 2007.

[6] FABOZZI, F., MODIGLIANI, F. Capital Markets: Inst itutions and Instruments. 2007. Prentice Hall 3ª

Edición.

[7] GOBIERNO DE EST ADOS UNIDOS DE AMÉRICA. Sarbanes – Oxley Act . 2002. Disponible en:

http://frwebgate.access.gpo.gov/cgi–bin/getdoc.cgi?dbname=107_cong_bills&docid=f:h3763enr.tst.pdf

[8] FABOZZI, F., MODIGLIANI, F. Capital Markets: Inst itutions and Instruments. 2007. Prentice Hall 3ª

Edición.

[9] CONGRESO DE LA REPUBLICA DE COLOMBIA. Ley 510 de 1999. 1999. Disponible en:

http://www.fogacoop.gov.co/Normatividad/LEY%20510%20DE%201999.pdf

[10] WEST ERMAN G., HUNT ER, R. IT Risk: T urning Business Threats Into Competit ive Advantage.

2007.

150

los intermediarios financieros [11] SERRANO, J. Mercados financieros: visión del sistema financiero

colombiano y de los principales mercados financieros internacionales. 2007.

[12] FABOZZI, F., MODIGLIANI, F. Capital Markets: Inst itut ions and Instruments. 2007. Prentice Hall 3ª

Edición.

GESTIÓN DE RIESGOS DE LAS TECNOLOGÍAS DE LA …

Documents

Transcript of GESTIÓN DE RIESGOS DE LAS TECNOLOGÍAS DE LA …