gestiÓn de riesgos de las tecnologÍas de la …
TRANSCRIPT
i
GESTIÓ N DE RIESGOS DE LAS TECNO LOGÍAS DE LA INFO RMACIÓN (TI) EN EL
SECTOR BANCARIO COLOMBIANO, SU IMPLEMENTACIÓ N A TRAVÉS DE LA
CIRCULAR 052 DE LA SUPERINTENDENCIA FINANCIERA COLO MBIANA Y SU
ES TUDIO DESDE EL MARCO DE GESTIÓN DE RIESGOS DE TI 4A
Documento presentado por: Andrés Cheng Chica
Santiago Pinilla Millán
Juan David Villa Calle
Asesorado por:
Lizeth Andrea Herrera Suescún
Presentado al Departamento de Ingeniería de Sistemas y Computación
Como requisito para la obtención del grado de
Ingeniería de Sistemas y Computación
Universidad de los Andes
Bogotá, Colombia
Mayo, 2009
ii
“We shall go on to the end.
We shall fight in France,
We shall fight on the seas and oceans,
We shall fight with growing confidence and growing strength in the air.
We shall defend our island, whatever the cost may be.
We shall fight on beaches, we shall fight on the landing grounds,
We shall fight in the fields and in the streets.
We shall fight in the hills,
We shall never surrender”
Sir Winston Leonard Spencer Churchill .
Extracto del Segundo Discurso del 4 de Junio de 1940 durante la Segunda Guerra Mundial .
Cámara de los Comúnes del Parlamento Británico, Londres, Reino Unido.
iii
AGRADECIMI ENTOS
Santiago Pinilla Millán agradece a: mis papás, mi familia, Alba Aurora Román de Millán, German
Millán Román y a mi novia Catalina Pineda Rodríguez.
This was made by: Andres Cheng, Santiago Pinilla and Juan David Villa
Andres Cheng Chica agradece a: mi familia, Lung–Chi Cheng, Amanda Chica y Jonathan Cheng; a
Miguel Alba, Jonatan Collante y Daniel Mart inez.
Juan David Villa agradece a: mis padres y t ios por su apoyo y cariño durante toda la carrera. Y a
nuestra asesora de tesis Andrea Herrera Suescún por todo el empeño y dedicación que dedicó al
asesorarnos.
iv
ÍNDICE GENERAL
PARTE A.................................................................................................................................. 1
I. ARTÍCULO ............................................................................................................ 2 II. PRESENTACIÓN .................................................................................................... 8
PARTE B .................................................................................................................................15
III. CAPÍTULO 1: INTRODUCCIÓN.........................................................................16 1.1. ANTECEDENTES ....................................................................................................16
1.2. JUSTIFICACIÓN......................................................................................................19 1.3. OBJETIVO GENERAL...............................................................................................20 1.4. OBJETIVOS ESPECÍFICOS .........................................................................................20 1.5. ALCANCE ............................................................................................................21
1.6. METODOLOGÍA .....................................................................................................21 1.7. RESULTADOS ESPERADOS .......................................................................................22 IV. CAPÍTULO 2: MARCO TEÓRICO ......................................................................23 2.1. INTRODUCCIÓN AL MARCO DE GESTIÓN DE RIESGOS DE TI..............................................23
2.1.1. Objetivos de negocio: Disponibilidad, Acceso, Precisión y Agilidad ...........................25 2.1.2. ¿Cómo funciona el 4A?......................................................................................26 2.1.3. Disciplinas Fundamentales (Core Disciplines) .......................................................27 2.1.4. Criterios de selección de las disciplinas ................................................................32
2.2. PERFIL DE RIESGOS DE TI........................................................................................34 2.3. SISTEMA FINANCIERO COLOMBIANO Y CIRCULAR EXTERNA 052 DE LA SFC ......................36 2.4. GLOSARIO DE TÉRMINOS CIRCULAR VS MARCO ...........................................................40
2.4.1. Criterios de Seguridad de la información ..............................................................40 2.4.2. Criterios de Calidad de la información .................................................................41 2.4.3. Descripción en detalle de la circular 052 de la SFC ................................................41 2.4.4. Categorización general de los numerales de la circular 052 en los objetivos de negocio, por
tipo de medidas y en las disciplinas del marco de gestión de riesgos 4A ..................................43 2.4.5. Categorización individual de cada numeral de la circular 052 ..................................45 2.4.6. Perfil de riesgos aplicado a la circular 052 ...........................................................55
V. CAPÍTULO 3: CASOS DE ESTUDIO........................................................................57 3.1. BANCO A ............................................................................................................59
v
3.1.1. Descripción del Banco.......................................................................................59 3.1.2. Proceso seleccionado ........................................................................................60 3.1.3. Análisis de disciplinas del Proceso seleccionado y su relación con la circular 052 ........63 3.1.4. Perfil de riesgos de TI del proceso seleccionado .....................................................67
3.2. BANCO B.............................................................................................................69 3.2.1. Descripción del banco .......................................................................................69
3.2.2. Proceso seleccionado ........................................................................................70 3.2.3. Análisis de disciplinas del Proceso seleccionado y su relación con la Circular 052 .......75 3.2.4. Perfil de riesgos Actual del Proceso seleccionado ...................................................81
3.3. BANCO C.............................................................................................................84
3.3.1. Descripción del Banco.......................................................................................84 3.3.2. Descripción del proceso .....................................................................................85 3.3.3. Análisis de Disciplinas del proceso seleccionado y su relación con la Circular 052.......88 3.3.4. Perfil de riesgos de TI Actual del proceso seleccionado ...........................................93
3.4. BANCO DE LA REPÚBLICA .......................................................................................98 3.4.1. Descripción del Banco.......................................................................................98 3.4.2. Descripción del Proceso ....................................................................................99 3.4.3. Análisis de disciplinas del Proceso seleccionado .................................................. 103
3.4.4. Perfil de riesgos de TI Actual del proceso seleccionado ......................................... 106 VI. CONCLUSIONES............................................................................................. 109 4.1. COMPARACIÓN DE LOS PERFILES DE RIESGO IDEALES Y ACTUALES ELABORADOS PARA CADA BANCO
109
4.2. COMPARACIÓN ENTRE LA TEORÍA (MARCO 4A Y CIRCULAR 052 DE LA SFC) Y LA REALIDAD
(MEDIDAS IMPLEMENTADAS EN CADA UNO DE LOS BANCOS) ..................................................... 112 4.3. ANÁLISIS DE LAS DISCIPLINAS DEL MARCO 4A........................................................... 113 4.4. TRABAJOS FUTUROS ............................................................................................ 114
VII. ANEXOS ......................................................................................................... 115 VIII. BIBLIOGRAFÍA .............................................................................................. 149
vi
ÍNDICE DE FIGURAS
Figura 1 – Pirámide 4A............................................................................................................ 25
Figura 2 – Proceso de Gobierno de Riesgos de TI. ..................................................................... 30
Figura 3 – Perfil de Riesgos de TI. ........................................................................................... 35
Figura 4 – Visión del sistema financiero colombiano 1............................................................... 37
Figura 5 – Visión del sistema financiero colombiano 2............................................................... 38
Figura 6 – Relaciones entre los criterios de seguridad y calidad de la información y los objet ivos de
negocio del marco 4A .............................................................................................................. 41
Figura 7 – Análisis 4A vs circular 052. ..................................................................................... 43
Figura 8 – Nivel Ejecutivo vs. Nivel Operat ivo ......................................................................... 44
Figura 9 – Disciplinas en la circular 052. .................................................................................. 44
Figura 10 – Análisis 4A vs numeral 3 (circular 052). ................................................................. 45
Figura 11 – Nivel Ejecutivo vs Nivel Operat ivo en el numeral 3 (circular 052). ........................... 46
Figura 12 – Disciplinas en el numeral 3 (circular 052)................................................................ 46
Figura 13 – Análisis 4A vs numeral 4 (circular 052). ................................................................. 47
Figura 14 – Nivel Ejecutivo vs Nivel Operat ivo en el numeral 4 (circular 052). ........................... 48
Figura 15 – Disciplinas en el numeral 4 (circular 052)................................................................ 48
Figura 16 – Análisis 4A vs numeral 5 (circular 052). ................................................................. 49
Figura 17 – Nivel Ejecutivo vs Nivel Operat ivo en el numeral 5 (circular 052). ........................... 50
Figura 18 – Disciplinas en el numeral 5 (circular 052)................................................................ 50
Figura 19 – Análisis 4A vs numeral 6 (circular 052). ................................................................. 51
Figura 20 – Nivel Ejecutivo vs Nivel Operat ivo en el numeral 6 (circular 052). ........................... 52
Figura 21 – Disciplinas en el numeral 6 (circular 052)................................................................ 52
Figura 22 – Análisis 4A vs numeral 7 (circular 052). ................................................................. 53
Figura 23 – Nivel Ejecutivo vs Nivel Operat ivo en el numeral 7 (circular 052). ........................... 54
Figura 24 – Disciplinas en el numeral 7 (circular 052)................................................................ 54
Figura 25 – Niveles de riesgo de TI para los objet ivos de negocio de la circular 052 .................... 55
Figura 26 – Perfil de riesgos de TI para la Circular 052. ............................................................. 56
Figura 27 – Dominio de las variables de impacto en el negocio .................................................. 58
Figura 28 – Escala de medición de los riesgos de TI. ................................................................. 58
vii
Figura 29 – Banco A, Diagrama de las actividades del proceso de negocio. ................................. 60
Figura 30 – Banco A, Clasificación de las act ividades del proceso en los sistemas de información
que las soportan....................................................................................................................... 61
Figura 31– Banco A, Perfil de Riesgo de TI Ideal del proceso seleccionado ................................ 63
Figura 32 – Banco A, Jerarquía manejo de riesgos en el proceso................................................. 64
Figura 33 – Base de T I del Banco A ......................................................................................... 65
Figura 34 – Banco A, Perfil de Riesgo de TI Actual del proceso seleccionado ............................. 68
Figura 35 – Banco B, Proceso de Compra y venta de t ítulos valores en la Mesa de Dinero ........... 71
Figura 36 – Banco B, Clasificación de las act ividades del proceso en los sistemas de información
que las soportan....................................................................................................................... 74
Figura 37 – Banco B, Perfil de Riesgo de TI Ideal del proceso seleccionado................................ 75
Figura 38 – Banco B, organigrama de roles encargados de supervisar el acceso a los sistemas de
información ............................................................................................................................ 76
Figura 39 – Base de T I del Banco B.......................................................................................... 78
Figura 40 – Banco B, Perfil de Riesgos de T I Actual del proceso seleccionado ............................ 83
Figura 41 – Banco C, diagrama de las act ividades del proceso de negocio ................................... 85
Figura 42 – Banco C, clasificación de las act ividades del proceso en los sistemas de información
que las soportan....................................................................................................................... 86
Figura 43 – Banco C, Perfil de Riesgo de TI Ideal del proceso seleccionado................................ 87
Figura 44 – Banco C, Jerarquía de roles en el área de T I ............................................................ 88
Figura 45 – Base de T I del proceso seleccionado en el Banco C ................................................. 91 Figura 46 – Banco C, Perfil de Riesgos de T I Actual del proceso seleccionado ............................ 97
Figura 47 – Diagrama del proceso de compensación de cheques en el Banco de la República ..... 100
Figura 48 – Diagrama del proceso de devolución de cheques en el Banco de la República.......... 100
Figura 49 – Banco de la República, Perfil de Riesgos de T I Ideal del proceso seleccionado ........ 103
Figura 50 – Base de T I del proceso seleccionado en el Banco de la República ........................... 104
Figura 51 – Roles de gest ión de riesgo Banco de la República .................................................. 105
Figura 52 – Perfil de Riesgos de TI Actual Banco de la República ............................................ 107
Figura 53 – Perfiles de riesgo ideal de los cuatro casos de estudio............................................. 109
Figura 54 – Perfiles de Riesgo de TI actual de los cuatro casos de estudio ................................. 111
1
PARTE A
2
I. ARTÍCULO
GESTIÓN DE RIESGOS DE TI EN EL SECTOR BANCARIO COLOMBIANO
Juan David Villa Calle Universidad de los Andes
Santiago Pinilla Millán Universidad de los Andes
Andrés Cheng Chica Universidad de los Andes
ABSTRACT La ley 91 de 1991 y la resolución 21 de 1993 comenzaron la apertura del sistema financiero colombiano a los mercados internacionales [3]. Esto forzó al sistema financiero local a acoplarse a los sistemas internacionales y a pasar de ser un sistema proteccionista a estar expuesto a crisis, medidas económicas, acuerdos y regulaciones mundiales. Entre estas regulaciones reconocidas a nivel mundial, una de las más importantes es Basilea II, creada en el año 2004 por el Comité de Basilea en supervisión bancaria [3]. En dicho acuerdo se discutió la importancia del riesgo operacional como parte de los riesgos financieros y se consideró al riesgo tecnológico como parte de los riesgos operativos. Sentado este precedente, los riesgos derivados de las tecnologías de información (TI) son de gran importancia hoy más que nunca para las compañías en general y particularmente para el sector Bancario. En este trabajo se analiza cómo los bancos con operaciones en Colombia toman medidas para controlar el riesgo de TI, y cómo los entes encargados de la regulación del sector emiten normas para garantizar la efectividad de dichas medidas.
Palabras Clave Tecnologías de la Información, Marco de gestión de riesgos de TI, Ventaja competitiva, Sector Bancario, Disponibilidad, Acceso, Precisión, Agilidad, P erfil de riesgos de TI, Circular externa 052 de la Superintendencia Financiera de Colombia (SFC).
1. INTRO DUCCIÓN Los grandes avances tecnológicos de los últimos años se han convertido en una fuente de competitividad para las empresas [1]. Éstas, hacen grandes inversiones en nuevas adquisiciones de sistemas ERP (Enterprise resource planning) o sistemas CRM (Customer relationship management), para tener una visión integrada del negocio y brindar un mejor servicio al cliente. Con el fin de maximizar las utilidades sobre dichas inversiones, se ha vuelto muy importante analizar, además de las ventajas, los nuevos riesgos que genera el uso de TI para el negocio. Para tal fin, durante los últimos años se han creado marcos de referencia sobre la gestión de riesgos de TI, que buscan a través de diferentes mecanismos explicar las consecuencias de fallos de las aplicaciones y de la infraestructura tecnológica en los procesos de negocio [2].
Uno de estos marcos de gestión de riesgos de TI es el Marco 4A [1], en donde los riesgos de TI se clasifican según el impacto que pueden generar sobre el negocio, en cuatro objetivos, a saber Agilidad, Acceso, Disponibilidad y P recisión. Además de esta clasificación, dicho marco propone tres disciplinas que una compañía debería implementar para disminuir los niveles de riesgo de TI, estas disciplinas son Base Tecnológica, Gobernabilidad y Cultura. Este marco será usado como guía en esta investigación y más adelante será explicado en mayor profundidad. Esta investigación se centra en la gestión de riesgos de TI en el sector bancario, ya que este sector presenta grandes niveles de innovación en la prestación de servicios a través de herramientas tecnológicas, tiene una extensa experiencia en el control de riesgos, “ sus procesos de negocio y productos están sujetos a regulaciones como Basel II, Gramm–Leach–Bliley y USA P atriotict Act”1 y a circulares y reglamentaciones emitidas por la SFC y el Banco de la Repúbica en el caso Colombiano.
En el sector bancario colombiano, el uso de TI como canal de comunicación con sus clientes y herramienta para soportar los procesos de negocio, ha permitido alcanzar mayores niveles de eficiencia, menores costos operativos y mayor satisfacción del cliente. Esta estrecha relación entre el funcionamiento adecuado de TI y el rendimiento del negocio ha cambiado el rol de TI al interior de los bancos, al pasar de ser un área de soporte a ser una ventaja competitiva que permite tener una mayor agilidad para adaptarse a los cambios y por ende una mayor competitividad [1]. Al reconocer dicha importancia de TI para el negocio, los bancos se han percatado que su alta dependencia en ésta, aumenta considerablemente su exposición a los riesgos tecnológicos y en consecuencia se ha creado la necesidad de considerar los riesgos de TI en términos de costos financieros, continuidad del negocio e imagen corporativa. P ara comprender de que manera los bancos reaccionan a esta alta dependencia, como trabajo de campo de esta investigación se analizan bajo la perspectiva del marco de gestión de riesgos 4A y de la circular 052 de la SFC, las medidas tomadas por cuatro bancos con operaciones en Colombia, tres de naturaleza privada y uno de naturaleza pública: el Banco de la República, para implementar una gestión de riesgos de TI adecuada en términos de las necesidades del negocio. Se hace especial énfasis en la reglamentación impuesta por la circular 052
1 WESTERMAN G., HUNTER, R. IT Risk: Turning Business
Threats Into Competitive Advantage. 2007. p170.
3
y en las medidas adicionales tomadas por los bancos para complementarla. El resultado de dicha investigación, adicional a lograr el objetivo propuesto, es empleado por el Ingeniero Luis Carlos Figueroa en su tesis de Maestría “ Guía de mejores prácticas en gestión de riesgos de TI en el sector bancario colombiano”[4] como una muestra de prácticas en la gestión de riesgos de TI, para luego, con base en los marcos de trabajo de gestión de riesgos BS 31100 [5], y los marcos de gestión de riesgos de TI 4A, y Risk IT del ITGI, extraer de ésta las mejores prácticas y construir una guía de mejores prácticas de gestión de riesgos de TI en el sector bancario colombiano. A continuación se muestra la estructura de este artículo, primero se presenta el marco teórico empleado, en donde se ahonda en el marco de gestión de riesgos de TI 4A, el Sector Bancario Colombiano y la Circular externa 052 de la SFC, luego se presenta el trabajo desarrollado en cada uno de los Bancos estudiados y por último se presentan las conclusiones.
2. MARCO TEÓ RICO En este capítulo se explicarán primero las características principales del marco de gestión de riesgos de TI 4A. Luego se describirá el actual sector financiero colombiano y sus regulaciones vigentes, haciendo énfasis en aquellas impuestas por la SFC a través de la circular externa 052 respecto a la seguridad y calidad de la información en los canales de distribución de los establecimientos de crédito. Por último, para unificar y comparar los criterios de seguridad y calidad de la circular 052 con los objetivos de negocio propuestos en el marco 4A, se clasificarán las medidas de la circular según los cuatro objetivos de negocio del marco 4A y se exhibirá un glosario de términos que unifique las definiciones usadas en la circular y en el marco 4A.
2.1. Marco de gestión de riesgos en TI 4A “Este marco de TI está basado en investigaciones del Center for Information Systems Research del MIT Sloan School of Management (MIT CISR) y en programas ejecutivos de Gartner Inc, donde se presentan enfoques inefectivos y efectivos en el manejo de riesgos de TI, con el fin de proveer una aproximación, ilustrada con ejemplos reales, al entendimiento y manejo de los riesgos de negocio embebidos en los activos, procesos y personal de TI.”2 El nombre del marco viene de las iníciales de cuatro objetivos de negocio, en inglés: Availability, Access, Accuracy y Agility, o en español, Disponibilidad, Acceso, P recisión y Agilidad; en los cuales se clasifican los beneficios que se pueden obtener si se tiene una correcta gestión del riesgo de TI. A continuación se explica cada objetivo de negocio [1]. Disponibilidad: Mantener los sistemas y sus procesos de negocio operativos, y recuperarlos ante posibles interrupciones o incidentes. Acceso: Asegurar la entra apropiada a datos y sistemas, pues de esta forma únicamente las personas autorizadas tendrán el ingreso a la información que requieran y en caso contrario, estarán restringidas.
2 WESTERMAN G., HUNTER, R. IT Risk: Turning Business Threats Into Competitive Advantage. 2007.
Precisión: P roveer de manera correcta, a tiempo y completa la información requerida por la gerencia, empleados, clientes, proveedores y entes regulatorios. Agilidad: Capacidad de cambiar con costos y velocidad aceptables. Con estas definiciones, las empresas deben identificar que riesgos afrontan en cada objetivo de negocio, para esto, el marco 4A provee un instrumento con un conjunto de preguntas que le permiten a los ejecutivos de tecnología y de otras áreas del negocio tener una perspectiva, transversal a la organización, del impacto de TI. El instrumento está dividido en dos niveles, uno ejecutivo y otro operativo, el primero pretende ayudar a los ejecutivos externos al área de tecnología a darle una dirección acertada a los esfuerzos en el manejo de riesgos de TI, y el nivel operativo se enfoca en que las personas encargadas de la operación puedan examinar que tan bien están los activos, las personas y la entrega de procesos de TI para identificar falencias que se necesiten corregir y prioridades que se necesiten cambiar para alinear la planeación ejecutiva con la implementación operativa. Con las respuestas a estas preguntas se crea un perfil de riesgos de la compañía o proceso para el cual fueron aplicados los instrumentos. Un perfil de riesgos es “ una herramienta para comunicar la exposición relativa y tolerancia al riesgo de una empresa, en los cuatro objetivos de negocio (Acceso, Precisión, Agilidad y Disponibilidad)”3 ya que de esta forma se puede crear un plan para disminuir los riesgos de TI en cada objetivo de negocio. En la siguiente pirámide de riesgos de TI, se presentan algunos riesgos en cada objetivo de negocio que se pueden obtener en la aplicación del instrumento.
Figura 1 – Pirámide 4A4
En la anterior figura, cada nivel es un objetivo de negocio y en su interior están algunos ejemplos de riesgos de TI que se deben mitigar. La pirámide indica que según el nivel en el que se encuentra cada objetivo de negocio, se tiene dependencia en aquellos riesgos que están ubicadas por debajo. Una vez se han identificado los principales riesgos de TI, se deben construir capacidades para mitigarlos, el marco 4A presenta una serie de Disciplinas que ayudan a hacerlo. P ara concluir la introducción del marco 4A es importante comprender que su objetivo principal es desarrollar una definición, común a toda la organización, de qué es el riesgo de TI
3 Ibídem 4 Ibídem
4
y desarrollar una metodología eficaz para controlarlo que consiste en desarrollar las tres disciplinas mostradas en la figura 2.
Figura 2 – Disciplinas para la gestión de riesgos, marco 4A
Con dichas disciplinas las personas logran comprender como el riesgo de TI no se reduce al área de tecnología y que su inatención puede tener consecuencias a nivel de todo el negocio (Disciplina de cultura), obligando a considerarlo de igual forma co mo se hace con cualquier otro tipo de riesgo, en términos de costo–beneficio (Disciplina de gobierno), con medidas que busquen simplificar la infraestructura y aplicaciones instaladas (Base tecnológica).
Con las anteriores herramientas teóricas se busca contextualizar el marco 4A [1] en el sector bancario Colombiano, con el fin de encontrar similitudes entre los marcos de gestión de riesgos de TI nacionales (circular 052) con los internacionales. En la siguiente sección se explica la parte del marco teórico correspondiente al sector Bancario Colombiano, donde se desarrolla el trabajo de campo de la investigación, y la parte de su reglamentación que regula el uso de TI, por medio de la circular 052 de la SFC.
2.2. Sector Bancario Colombiano y Circular externa 052 de la SFC En la siguiente figura se presentan gráficamente los participantes e interacciones del sistema financiero nacional.
Figura 3 – Visión del sistema financiero colombiano5
5 Serrano, Rodríguez Javier. Mercados Financieros. Visión del sistema financiero colombiano y de los principales mercados financieros internacionales.
Como se puede apreciar en la figura 3, las actividades de regulación y control sobre el sector bancario Colombiano son llevadas a cabo por el Banco de la República y la SFC. Los propósitos de estas regulaciones son proteger al ahorrador y al accionista, reglamentar las funciones que pueden realizar los intermediarios financieros y controlar y sancionar las operaciones indebidas [3]. P ara este último propósito, la SFC emite resoluciones y circulares que todas las entidades supervisadas deben implementar. En particular la circular 052 de la SFC es una iniciativa que busca disminuir el riesgo tecnológico en los bancos con operaciones en Colombia. En especial, determina los “ Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios”6. A continuación se presenta un análisis en el cual dicha circular es clasificada en los objetivos de negocio del marco 4A, con el fin de relacionar los dos principales marcos teóricos de ésta investigación y llevar al contexto Colombiano al marco 4A.
2.3. Análisis según el marco 4A de la circular 052 de la SFC La circular 052 de la SFC está dividida en los siguientes siete numerales [6]: 1) Ámbito de aplicación 2) Definiciones y criterios de seguridad y calidad 3) Obligaciones generales 4) Obligaciones adicionales por tipo de canal 5) Reglas sobre actualización de software 6) Obligaciones específicas por tipo de medio – Tarjetas débito y
crédito 7) Análisis de Vulnerabilidades
Los primeros dos numerales informan que instituciones deben acatar las medidas expuestas en la circular y definen el tipo de criterios que se van a evaluar y los numerales 3 al 7 clasifican las medidas que se deben cumplir en: medidas generales, en medidas por cada tipo de canal empleado para prestar servicios a los clientes y en análisis de vulnerabilidades. Con base en la anterior explicación de la circular 052 de la SFC se hace un análisis que relaciona la reglamentación Colombiana con las prácticas académicas del marco 4A para tener un marco teórico especializado en el sector bancario nacional que permita una mayor comprensión del entorno Colombiano. Los numerales 1 y 2 de la circular 052 de la SFC se usaron para generar un glosario de términos comunes entre el marco 4A y la circular, debido a la necesidad de igualar los criterios de riesgos de TI que presentan ambos marcos de gestión de riesgos de TI. El análisis de los numerales del 3 al 7, mencionados anteriormente, consiste en clasificar cada numeral según las disciplinas y los objetivos de negocio del marco 4A que buscan mejorar, para determinar qué aspectos recomendados por autores
6SUPERINTENDENCIA FINANCIERA DE COLOMBIA. CIRCULAR EXTERNA 052 DE 2007: Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios.
Gobierno
Cultura
Base Tecnológica
5
internacionales, son o no son incluidos por la regulación colombiana.
A partir de dichas categorizaciones se generaron las siguientes estadísticas.
Figura 4 – Análisis de la circular 052 bajo los objetivos de
negocio del marco de gestión de riesgos 4A.
En la figura 4 se observa cómo el 79% de los numerales de la circular están bajo los objetivos de negocio de Acceso y Precisión. Esto se puede explicar dado que los criterios definidos por la circular para la calidad y la seguridad en el manejo de la información, clasifican total o parcialmente dentro de estos dos objetivos de negocio.
Figura 5 – Análisis de la circular 052 bajo las disciplinas del marco de gestión de riesgos 4A.
En la figura 5 se hace evidente que la mayoría de medidas de la circular hacen referencia a mejorar la Base tecnológica instalada (74%) y a mejorar la Gobernabilidad de TI en la organización (24%), “ esto se debe a que la mayoría de las actividades propuestas por dicha circular son de índole tecnológico”7, por otro lado la disciplina de Cultura con solo el 2% hace evidente que en este tema la circular permite una mayor libertad a la hora de emitir medidas de cómo los bancos deben incentivar una cultura organizacional que busque mitigar el riesgo de TI. La anterior clasificación de la circular en los objetivos de negocio del marco 4A permite tener una visión enfocada al negocio de una serie de
7 CHENG A, P INILLA S, VILLA J. Gestión de riesgos de las tecnologías de la información (TI) en el sector bancario colombiano, su implementación a través de la circular 052 de la superintendencia financiera colombiana y su estudio desde el marco de gestión de riesgos de TI 4A.
medidas técnicas que será muy útil para generar el perfil de riesgo de TI para una organización.
Esta sección se finaliza con la elaboración del perfil de riesgos a nivel general de toda la circular presentado en la siguiente figura, que se obtiene de la investigación de riesgos de TI en el sector Bancario Colombiano [7].
Figura 6 – Perf il de riesgos de la circular 052 de la SFC
Con base en esta figura se concluyó que la circular 052 tiene un perfil con niveles de riesgo altos para los objetivos de Disponibilidad y Agilidad y niveles de riesgo bajos para la P recisión y el Acceso, esto quiere decir que es más vulnerable o tolerante al riesgo en Disponibilidad y Agilidad que en P recisión y Acceso; ya que comparativamente la mayoría de las medidas en la circular se enfocan en Acceso y Precisión. Una vez explicado el marco teórico, a continuación se muestra el trabajo desarrollado en los casos de estudio con el fin de comparar y analizar como las instituciones bancarias con operaciones en Colombia minimizan el riesgo de TI.
3. TRABAJO DESARRO LLADO En este capítulo se identifica de qué forma los bancos estudiados complementan las medidas dispuestas en la circular, para tener una gestión de riesgos de TI más eficiente en un proceso específico. Es importante aclarar que para cada banco estudiado el proceso seleccionado no necesariamente es el mismo.
3.1. Herramienta Usada P ara la obtención de la información en cada caso de estudio, se aplicó un instrumento para la formulación de preguntas de nivel ejecutivo [1].
3.2. Casos de Estudio Cada caso contiene la descripción del proceso estudiado, la aplicación del instrumento y el perfil de riesgo del proceso. La muestra tomada, corresponde al Banco de la República y a tres instituciones bancarias cuyos nombres han sido cambiados por motivos de confidencialidad. De un total de 18 instituciones de crédito que actualmente operan en el país, la muestra corresponde al 17% del total y por ende se puede considerar como una muestra indicativa del sector, la información completa de los casos de estudio está disponible en la investigación de riesgos de TI en el sector Bancario Colombiano [7]. B anco A: Este banco es una entidad financiera de naturaleza mixta (productos de banca de inversión y de banca comercial) de carácter privado fundada en Colombia hace menos de cincuenta
16,58%
40,64%38,50%
4,28%
Clasificación numerales 3-7 por objetivos de negocio del marco 4A
Total de Disponiblidad
Total de Acceso
Total de Precisión
74%
24%
2%
Clasificación numerales 3-7 por disciplinas
Total Base
Total Gobierno
Total Cultura
6
años, actualmente posee un grupo de empresas afiliadas y relacionadas, con presencia en 5 países. Ofrece servicios para personas naturales y empresas. El proceso de estudio seleccionado fue “ Transacciones bancarias a través de internet”. B anco B: Es un banco de inversión y por ende se diferencia principalmente de los bancos comerciales en que no capta dinero del público, entre sus funciones principales están la administración de portafolios de inversión, la asesoría en compra y venta de empresas, fusiones entre empresas, y escisiones de activos. El proceso de estudio seleccionado fue “ Compra y venta de títulos valores en la Mesa de Dinero”. B anco C: Es una entidad financiera de índole mixta, es decir es un banco comercial y de inversión, el cual se destaca en los primeros lugares del escalafón de empresas con mayor retorno de utilidades en el año 2008. El proceso de estudio seleccionado fue “ Transacciones bancarias a través de internet”
B anco de la República: Actualmente es la institución que emite y administra la moneda legal y ejerce la función de banquero de bancos. Además, controla los sistemas monetario (el dinero), crediticio (las tasas de interés) y cambiario (la tasa de cambio) del país. El proceso de estudio seleccionado fue “ Proceso de compensación de Cheques”.
P or último, a continuación están las conclusiones de los casos de estudio.
4. CONCLUSIONES Las conclusiones serán presentadas de un nivel particular a un nivel general, empezando por la comparación de los perfiles de riesgos de TI de cada uno de los bancos estudiados, hasta los trabajos futuros que se pueden generar a partir de esta investigación. Comparación de los perfiles de riesgo de TI Ideales de los casos de estudio
Figura 7 – Perfiles Ideal de Riesgo de los casos de Estudio
De la anterior figura, Al comparar los perfiles de riesgo de los Bancos A y C que tienen el mismo proceso estudiado “ Transacciones sobre internet” se observa que se tienen prioridades distintas en algunos objetivos de negocio, por ejemplo, aunque en disponibilidad y acceso ambos tienen niveles bajos de riesgo, el Banco A presenta un nivel de riesgo mayor para el objetivo de P recisión de los datos mientras que para el banco C es más bajo, y por otro lado el banco C tiene un nivel de
riesgo medio para el objetivo de Agilidad mientras que para el Banco A es bajo.
Lo anterior quiere decir que para un mismo proceso, que tiene actividades muy similares en los dos casos de estudio, se le puede dar más importancia a un objetivo que a otro. Del caso de estudio del Banco A se hace evidente que no se tienen controles claros para garantizar la Precisión de los datos, por el contrario se le da mayor importancia a los controles de Acceso y por ende se tiene un riesgo medio en Precisión. En el caso del Banco C la Agilidad no es tan importante ya que es un tema que en ese Banco solo involucra al área de TI y adicionalmente actualmente no se tienen nuevos proyectos relacionados que demanden una alta Agilidad.
Comparación de los perfile s de rie sgo de TI Actuales de los casos de e studio Los perfiles de riesgo ideales sirven como una guía para dirigir los esfuerzos que están encaminados a mitigar los riesgos de TI, pero de la visión ideal a la situación actual normalmente hay una diferencia. En la siguiente figura se muestran los perfiles de riesgo actuales para los Bancos.
Figura 8 – Perf iles Actual de Riesgo de los casos de Estudio
De esta figura se observa que los perfiles de riesgo ideal para los cuatro bancos presentan niveles de riesgo menores que los perfiles de riesgo actual [7], sin embargo, estas diferencias no son substanciales dado que los valores están en los mismos rangos. De todas formas si los bancos desean disminuir sus niveles de riesgo de TI en alguno de los objetivos de negocio se pueden utilizar medidas propuestas por el marco 4A, de acuerdo con sus necesidades [7].
Comparación entre la teoría (marco 4A y circular 052 de la SFC) y la realidad (medidas implementadas en cada uno de los bancos) Se concluye con base en el análisis de disciplinas de los procesos seleccionados y su relación con la Circular 052 que la circular especifica qué requisitos deben cumplir los bancos, pero no entra en detalle sobre mejores prácticas que se puedan implementar para cumplirlos. Por lo tanto, se hace evidente la principal diferencia entre el marco 4A y la circular, ya que el marco 4A sí define unas mejores prácticas para alcanzar niveles altos en la reducción de riesgos de TI.
Análisis de las disciplinas del marco 4A
00,10,20,3Disponibilidad
Acceso
Precisión
Agilidad
Banco A
Banco B
Banco C
BanRep
7
En los cuatro bancos estudiados se observa que además de las medidas obligatorias de la circular 052, se implementan medidas adicionales que complementan la gestión de riesgos de TI; adicionalmente, teniendo en cuenta que de los cuatro bancos estudiados algunos son extranjeros, se observa que la experiencia que tienen de sus operaciones en otros países, con regulaciones más estrictas que la colombiana, les permite tener niveles más altos de control de riesgos de TI. Clasificando estas medidas según las disciplinas del marco 4A se tiene que respecto a Gobernabilidad en todos los bancos estudiados se tienen roles que involucran dentro de sus funciones la atención de los riesgos de TI, estos roles le permiten a los Bancos implementar la segregación de funciones del personal que administra, opera, mantiene y, en general, tiene la posibilidad de acceder a los dispositivos y sistemas usados en los distintos canales y medios de servicio al usuario. Al examinar la circular 052 para verificar si hay alguna medida respecto a la creación de roles dentro del área de sistemas, se encuentra que no la hay, lo más cercano que se menciona en la circular está en el numeral 3.1.2 el cual dice: “para gestionar la seguridad de la información podrán tomar cómo re ferencias los estándares 17799 y 27001”. En dichos estándares se plantea la importancia de definir roles en el área de TI. Respecto a Base Tecnológica, se observa que los Bancos cumplen con dotar de seguridad la información confidencial de los clientes que se maneja en los equipos y redes de la entidad, igualmente dotan a sus equipos de cómputo de los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus operaciones y por último establecen procedimientos para el bloqueo de canales o de medios, cuando existan situaciones o hechos que lo ameriten complementando las medidas de los numerales 3.1.7, 3.1.11 y 1.1.12 de la circular 052 de la SFC.
En la disciplina de Cultura se observa una mejora significativa a nivel interno en los Bancos respecto a lo exigido por la circular, ya que en ésta no se exigen capacitaciones periódicas respecto a los riesgos de TI. P or otro lado, los análisis de vulnerabilidades a los que hace referencia la circular en el numeral 7 son implementados de una forma más e ficiente ya que hay una cultura más solida en los cuatro Bancos, que genera una mayor conciencia de la importancia de medir vulnerabilidades. Por último se concluye con base en el análisis de disciplinas de los procesos seleccionados y su relación con la Circular 052 que la circular pretende especificar qué requisitos deben cumplir los bancos, pero no entra en detalle sobre mejores prácticas que se puedan implementar para cumplirlos. P or lo tanto, se hace evidente la principal diferencia entre el marco 4A y la circular, ya que el marco 4A sí define unas mejores prácticas para alcanzar niveles altos en la reducción de riesgos de TI.
Trabajos Futuros Como trabajos futuros es importante aumentar el tamaño de la muestra sobre la cual se hizo esta investigación, esto haría que se pasara de una muestra indicativa a una muestra significativa del sector y brindaría un panorama más fidedigno y cercano a la realidad del sector Bancario Colombiano en general. Una vez se tenga dicha muestra sería interesante presentar recomendaciones
de cara a la reglamentación Colombia en cuanto a las medidas que presentan mayores beneficios en los Bancos estudiados, esto permitiría que las autoridades competentes no solo emitiera medidas que se deben cumplir sino también una guía de cómo hacerlo basada en experiencias exitosas y recientes.
5. REFERENCIAS [1] WESTERMAN G., HUNTER, R. IT Risk: Turning Business
Threats Into Competitive Advantage. 2007. [2] Getting Smarter about IT risks 2008. Disponible en
mitsloan.mit.edu/cisr/pdf/EIU_GettingSmarterAboutITRisks.pdf
[3] SERRANO, J. Mercados financieros: visión del sistema financiero colombiano y de los principales mercados financieros internacionales. 2007.Sannella, M. J. Constraint Satisfaction and Debugging for Interactive User Interfaces. P h.D. Thesis, University of Washington, Seattle, WA, 1994.
[4] FIGUEROA L. “ Guía de mejores prácticas en gestión de riesgos de TI en el sector bancario colombiano”. 2009. Desarrollada en el grupo de investigación TION de la Universidad de los Andes.
[5] The British Standards Institution. Code of practice for risk Management. 2008. Disponible en: <http://www.bsi–global.com/en/Standards–and–Publications/Industry–Sectors/All–Standards/BS/BS–31100–Draft–for–P ublic–Comment–DP C–/>
[6] SUPERINTENDENCIA FINANCIERA DE COLOMBIA. CIRCULAR EXTERNA 052 DE 2007: Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios.
[7] CHENG A, P INILLA S, VILLA J. Gestión de riesgos de las tecnologías de la información (TI) en el sector bancario colombiano, su implementación a través de la circular 052 de la superintendencia financiera colombiana y su estudio desde el marco de gestión de riesgos de TI 4A.
8
II. PRESENTACIÓN
9
10
11
12
13
14
15
PARTE B
16
III. CAPÍTULO 1: INTRODUCCIÓN
1.1. Antecedentes
Desde el principio de la historia el manejo de riesgos ha tomado fuerza dado que existen catástrofes
que afectan tanto el ámbito personal como el laboral. De este modo transcurrió el siglo XX, el cual
se caracterizó como una “euforia de nuevas riquezas, paz relat iva e industrialización, lo cual
descendió hacia el caos regional y las guerras mundiales”8, estableciendo justamente un alto nivel
de incert idumbre sobre los riesgos que puede traer el futuro. Es así como la gest ión de riesgos nace,
bajo esta preocupación de aproximarse a la inseguridad del futuro, y cuya meta es manejar de
manera consistente y disciplinada dichas incertidumbres, evitando a toda costa la ineficiente
utilización de recursos, ya sean humanos, polít icos, económicos, militares, científicos o
tecnológicos.
Asimismo, las causalidades externas de la sociedad impactan de manera directa sobre la gest ión de
riesgos; como son los casos de las dos guerras mundiales que impactaron directamente la economía
mundial; así como la aparición de nuevos pensamientos polít ico/económicos como el comunismo,
que afectaron directamente el mercado global; al igual que catástrofes y eventos mundiales como el
accidente del T itanic, el desastre nuclear de Chernobyl, el accidente del t ransbordador Challenger y
Columbia, la crisis ambiental de Exxon [1], el auge del terrorismo mundial reflejado en el día 11 de
Septiembre de 2001, el fiasco de Enron, y la actual crisis financiera mundial. Los anteriores
ejemplos, claros eventos y situaciones que han revolucionado la forma de crear y manejar planes de
contingencia frente a riesgos conocidos o inesperados.
Por otro lado, los grandes avances tecnológicos, han venido siendo la mano derecha de la
competit ividad en el mercado, y desde luego se ha tenido que rastrear cuáles son sus pros y contras
a la hora de invertir en éstas, y también cuál es la manera más efectiva de gest ionar sus riesgos.
8 McCombs School Of Business. History Of Risk Management. pp 1. 2002. Disponible en:
<http://www.mccombs.utexas.edu/dept/irom/bba/risk/rmi/arnold/downloads/Hist_of_RM_2002.pdf>
17
Es por eso que ha surgido la necesidad de crear marcos de referencia sobre la gest ión de riesgos,
que aproximadamente empezó de manera oficial en el año de 1956 cuando T he Harvard Business
Review publicó “Risk Management: A New Phase Of Cost Control”9. Dicho art ículo expone la
urgencia de explorar el control de riesgos en el sector financiero, indicando que algún miembro de
la organización debía ser responsable de la administración de los riesgos de la misma.
Posteriormente, en el año de 1975 se creó en Estados Unidos la Sociedad de Gerencia en Riesgos y
Seguros [2], RIMS por sus siglas en inglés, para el estudio de métricas formales sobre el control de
riesgos en organizaciones.
De este modo, estos estudios sirvieron para rat ificar que la mayoría de los riesgos que existían en el
sector financiero, y que eran en parte causantes del decrecimiento organizacional; como las
inversiones sin control en infraestructura de T I y las irregularidades del flujo monetario, entre otras;
no contaban con una gestión eficiente de riesgos o métricas que indicaran la existencia de dichos
riesgos.
Recientemente, la evolución de TI ha impactado de manera directa la gest ión de riesgos en las
empresas pues muchas de éstas buscan práct icas para disminuir el impacto que pueden causar fallos
de dichas tecnologías en los procesos de negocio crít icos. Respecto a este tema Larry Tabb en su
art ículo sobre la gest ión de riesgos de T I [3] describe como en la década pasada muchas empresas
han decidido invert ir en actualizar su infraestructura de T I, pues en ella han encontrado una ventaja
competit iva frente a sus competidores; pero son muy pocas las organizaciones que se preocupan por implementar una gest ión de riesgos que ayude a evitar futuros problemas. Esto es causado por la
constante evolución de las T I y el fácil acceso a éstas en el mercado.
Debido a lo anterior, la proliferación de nuevas herramientas de T I dentro de la sociedad ha
permit ido que existan nuevas maneras de desencadenar riesgos que anteriormente no se habían
tratado de manera directa, como la seguridad de servicios prestados por la red y la protección de
datos confidenciales personales y empresariales.
9 Ibídem.
18
Ahora, contextualizando lo anterior para el caso de estudio de este proyecto de grado, el sector
financiero colombiano, que en 1996 alcanzó un porcentaje del 9% del PIB nacional10 y que por ende
es importante en la economía, actualmente está haciendo un intento plausible por mejorar la calidad
y seguridad de los servicios financieros por medio de la circular 052 de la Superintendencia
Financiera de Colombia, SFC. Esto causa que indirectamente se preste mayor atención en generar o
adoptar una disciplina para gest ionar no sólo la calidad y seguridad de aquellos servicios, sino los
posibles riesgos que éstos puedan generar en su implementación.
De este mismo modo, existe un interés part icular por t ratar los riesgos de manera correcta sin que
ésta se convierta en una piedra en el zapato en las operaciones diarias de la organización. Esto ha
conllevado a que se desarrollen estudios de recolección de buenas práct icas en dist intas empresas.
De estos estudios se derivan los casos de creación de marcos de trabajo como el código de práct icas
para la gest ión de riesgos [4] y el marco de estudio 4A [5], entre otros, que permiten orientar a
empresarios sobre cómo deben manipular las TI y gest ionar debidamente sus riesgos.
Paralelamente al desarrollo de estos marcos de trabajo y est imulado por la crisis financiera mundial
que se vive actualmente, se ha venido formando una nueva teoría sobre cómo fomentar una práct ica
empresarial basada en una buena gest ión de riesgos de T I y que ésta a su vez sea atract iva para los
responsables de la organización.
En conclusión, se deduce que la gest ión de riesgos de T I t iene que hacer parte integral de la estructura de la organización acoplándose al negocio; ayudando a cimentar y a adoptar buenas
práct icas a la hora de manejar las TI, concientizando a todos los involucrados en la empresa sobre
las ventajas que proporciona; e impidiendo la reincidencia en problemas causados por dichos
riesgos.
10 GARAY, L. Colombia: estructura industrial e internacionalización 1967–1996. 1996. Disponible en:
<http://www.lablaa.org/blaavirtual/economia/industrilatina/051.htm>
19
1.2. Justificación
Como se mencionó anteriormente, el sector financiero es de gran importancia en la economía de un
país, debido a las funciones que desempeña, entre las cuales está impulsar el desarrollo industrial al
servir como punto de encuentro entre aquellas empresas que necesitan capital para financiar nuevos
proyectos y aquellas personas o empresas que desean invert ir sus excedentes de capital. En este
sector por lo tanto, se encuentran varios t ipos de part icipantes como: Empresas, Personas naturales,
Inst ituciones financieras y Bancos centrales [6]. En donde las inst ituciones financieras,
especialmente los bancos son los encargados de captar el capital de los ahorradores y colocarlo con
aquellas empresas que lo necesitan.
Debido a la importancia de su rol, las inst ituciones financieras están sujetas a una estricta
reglamentación y regulación por parte de los gobiernos y de los bancos centrales. Esta regulación
busca minimizar los riesgos financieros que están presentes en las operaciones diarias del negocio.
Ejemplos de estas regulaciones son abundantes y no se pretende ahondar en éstas, sin embargo, a
modo de definir un contexto se mencionarán a continuación algunas de las más importantes:
• Ley de Sarbanes – Oxley, creada en Estados Unidos en el año 2002 debido a escándalos
corporat ivos y contables en empresas como Enron, Tyco Internat ional, Adelphia, Peregrine
Systems y WorldCom para establecer nuevos estándares en la prestación de servicios
contables para aquellas compañías encargadas de auditar compañías públicas [7].
• Los Frameworks Basilea I del año 1998 y Basilea II del año 2004 que buscan establecer
requerimientos mínimos de capital en los bancos para protegerlos del riesgo de crédito
debido a los bajos niveles de capital y por tanto a una posible insolvencia [8].
• En Colombia, la ley 510 de 1999, llamada en su momento Reforma financiera, emit ida un
año después que fuera declarada la emergencia económica por el ministerio de Hacienda y
Crédito, define un conjunto de normas sobre la estructura y el funcionamiento del sector
financiero y asegurador de Colombia [9].
Los ejemplos anteriores muestran la magnitud de las consecuencias que conlleva un manejo
inadecuado de riesgos y la necesidad de que los bancos identifiquen los riesgos más importantes
para disminuir su exposición a estos y para mejorar la gest ión de su negocio.
Es en este contexto que la gest ión de T I empieza a tomar una gran importancia en el tema de riesgos
ya que se vuelve una parte integral de los servicios que prestan los bancos y determina la forma en
20
que circula la información de clientes, productos y de los procesos de negocio en general, dejando
de ser un área de soporte para convertirse en un área que genera valor y reduce costos a la
organización. Por esta razón los riesgos de T I hacen parte del riesgo operat ivo, definido como “El
riesgo de pérdidas como resultado de procesos internos, sistemas y personas inadecuadas o debido a
situaciones externas a la compañía”11, en especial, en lo referente a eventos como fallos en los
sistemas de información, robo de información confidencial, información desactualizada o imprecisa,
etc.
Por la importancia del sector financiero y dentro de éste la importancia del manejo de riesgos de TI,
el presente proyecto pretende comparar las medidas para mit igar riesgos usadas por varios bancos
con operaciones en Colombia (incluidas aquellas que deben tener en cuenta por ley), con las
práct icas recomendadas en la teoría, en especial las del marco de Gest ión de Riesgos 4A. A
continuación se especifican el objet ivo general y los objet ivos específicos.
1.3. Objetivo General
Con base en el Marco de gest ión de riesgos de TI, 4A, y la circular 052 de la SFC se pretende
analizar cómo la regulación nacional de la Información en el sector bancario colombiano,
contribuye a la implementación de una gest ión de riesgos de TI adecuada en términos de las
necesidades del negocio.
1.4. Objetivos Específicos • Usar el marco de gest ión de riesgos 4A para identificar el perfil de riesgos de T I de cada
ent idad estudiada, por medio del análisis de un proceso de negocio que dependa de la
seguridad y calidad de la información, a través de discusiones entre el personal y ejecutivos
de dicha ent idad que estén basadas en términos de común entendimiento; con el fin de
comprender las consecuencias del riesgo de TI en el negocio.
11 FABOZZI, F., MODIGLIANI, F. Capital Markets: Institutions and Instruments. 2007. P rentice Hall 3ª Edición.
21
• Según los cuatro objet ivos de negocio en los cuales se traducen los riesgos de T I que define
el Marco 4A, clasificar los requerimientos de la circular 052 con el fin de determinar en qué
aspectos la circular es débil y en cuales t iene fortalezas.
1.5. Alcance El Alcance de este proyecto es analizar el impacto que t iene en el negocio la gestión de riesgos de
TI. Para esto se escogerá uno de los requerimientos de la circular 052 de la SFC que le aplique a
cuatro bancos de diferente naturaleza: inversión, mixtos y banca central, con operaciones en
Colombia. Se analizarán las diferentes medidas implementadas en cada banco para darle
cumplimiento y se comparará si se incluyen práct icas recomendadas en la teoría del marco 4A.
Adicionalmente, el resultado de esta invest igación es empleado por el Ingeniero Luis Carlos
Figueroa en su tesis de Maestría “Guía de mejores práct icas en gest ión de riesgos de TI en el sector
bancario colombiano”12 como una muestra de práct icas en la gest ión de riesgos de T I, para que con
base en los marcos de trabajo de gest ión de riesgos BS 3110013, los marcos de gestión de riesgos de
TI 4A y Risk IT del IT GI, y los resultados de esta invest igación, se puedan identificar las mejores
práct icas del sector y así construir una guía de mejores práct icas de gest ión de riesgos de T I en el
sector bancario colombiano.
1.6. Metodología Ésta invest igación está dividida en dos partes, una teórica y otra práct ica. A continuación se expone
en qué consiste cada una:
• Teoría: T rabajo teórico: Estudio del marco de gest ión de riesgos 4A y de las disciplinas para el
control de riesgos de TI en las organizaciones, propuestos por Westerman G. y Hunter R. [10].
12 FIGUEROA L. “Guía de mejores práct icas en gest ión de riesgos de TI en el sector bancario colombiano”. 2009. Desarrollada en el grupo de investigación TION de la Universidad de los Andes. 13 The British Standards Institution. Code of practice fo r risk Managem ent. 2008. Disponible en: http://www.bsi–global.com/en/Standards–and–Publications/Industry–Sectors/All–Standards/BS/BS–31100–Draft– fo r–Public–Comment–DPC–/
22
• Práctica: Trabajo de campo: Entrevistas con el personal de tecnología y del negocio encargado
del manejo de riesgos en los bancos estudiados, para identificar la situación actual en el control
de riesgos de la empresa, en especial la implementación de la circular 052 de la SFC; la
situación a la cual se quiere llegar y lo que propone el marco 4A.
La relación entre estos dos puntos consiste en comparar las medidas usadas para el control de
riesgos de T I en la práct ica y las propuestas por el marco teórico ut ilizado, concluyendo que
aspectos de la teoría son aplicados en el día a día de las organizaciones.
1.7. Resultados Esperados
Desarrollar un informe independiente por cada una de las organizaciones estudiadas, en donde se
describirá un proceso de negocio dependiente de T I, se clasificarán los sistemas que soportan el
proceso por nivel de dependencia para su correcto funcionamiento y se estudiarán las consecuencias
que pueden tener incidentes tecnológicos debido al riesgo de T I, según los criterios de marco de
gest ión de riesgos 4A.
Igualmente con base en el marco 4A se hará un análisis de cómo las práct icas que éste propone para
la gest ión de riesgos de TI son incluidas por la SFC en la circular 052, se ahondará en cómo los 4
objet ivos de negocio propuestos por el marco son potencializados por los requisitos mínimos que obliga la circular y se categorizarán los requisitos de la circular en las disciplinas del marco 4A.
Por últ imo, con base en el análisis e informe anterior, para cada organización se harán las
conclusiones entre los controles que proponen el marco de 4A y la situación real de una muestra del
sector bancario colombiano, para esto se realizarán el perfil de riesgos de T I ideal y luego se
aplicará un instrumento en donde se medirá cual es en realidad el nivel de riesgo de TI que se t iene
actualmente, generando un perfil de riesgos de TI actual que permita ser una guía para encaminar
los esfuerzos en la disminución de los riesgos.
23
IV. CAPÍTULO 2: MARCO TEÓRICO
En este capítulo se explicarán primero las característ icas principales del marco de gest ión de riesgos
de T I 4A. Luego se describirá el actual sector financiero colombiano y sus regulaciones vigentes,
haciendo énfasis en aquellas impuestas por la SFC a t ravés de la circular externa 052 respecto a la
seguridad y calidad de la información en los canales de distribución de los establecimientos de
crédito. Para unificar y comparar los criterios de seguridad y calidad de la circular 052 con los
objet ivos de negocio propuestos en el marco 4A, se definirá un glosario de términos con los cuales
el lector debe estar familiarizado.
Para cerrar el capítulo, se lleva a cabo una categorización de los numerales de la circular, mediante
la clasificación de cada uno en las Disciplinas y Objet ivos de negocio del marco 4A que busca
alcanzar. A part ir de dicha categorización se muestra un análisis figura sobre cuáles riesgos de TI
busca minimizar la circular y cuáles otros están menos cubiertos, para finalizar con la elaboración
de un perfil de riesgos a nivel general de toda la circular.
2.1. Introducción al marco de gestión de riesgos de TI
Como se mencionó en la just ificación, el marco 4A es el marco de gest ión de riesgos de TI que se
usará en este t rabajo, en esta sección se procederá a describir en detalle los aspectos más relevantes
para esta invest igación.
El nombre del marco 4A viene de las iníciales de cuatro objet ivos de negocio, en inglés:
Availability, Access, Accuracy y Agility, o en español, Disponibilidad, Acceso, Precisión y Agilidad,
que hacen parte del eje central del marco. ¿Pero por qué son importantes estos cuatro objet ivos de
negocio en el manejo de riesgos de T I? La respuesta hace parte del objet ivo principal del marco.
Su objet ivo principal es desarrollar una definición común a toda la organización sobre qué es el
riesgo de T I y desarrollar una guía eficaz para controlarlo, para esto, considera necesario que todas
las personas ent iendan que dicho riesgo no se reduce al área de tecnología y que su inatención
puede tener consecuencias a nivel de todo el negocio, obligando a considerarlo de igual forma como
se hace con cualquier otro t ipo de riesgo, en términos de costo–beneficio.
24
Estos beneficios que se pueden obtener con la correcta gest ión del riesgo, son clasificados por el
marco en los cuatro objet ivos de negocio que se acaban de mencionar. La forma en que cada
empresa identifica y prioriza los riesgos en cada categoría es única y responde a su entorno
individual, obteniendo como resultado un perfil de riesgos, el cual es una definición común del
riesgo de T I en términos de negocio. Una vez se ha establecido el perfil de riesgos de T I ideal, es
necesario desarrollar las capacidades para lograrlo, el marco propone para esto, atacar los riesgos
desde tres perspect ivas diferentes.
Una perspect iva de Base tecnológica, desde un punto de vista tecnológico en donde las aplicaciones
y la infraestructura deben ser estandarizadas y lo menos complejas posibles, garantizando con esto
que la base sobre la que operan los procesos del negocio sea escalable y segura.
Una perspect iva de Gobernabilidad de riesgos de T I, donde se identifica cómo cada persona
dependiendo de su trabajo en la organización t iene un contacto diferente con el riesgo. Por ejemplo:
• Un gerente de una unidad de negocio sabe exactamente como un fallo en TI afecta el
funcionamiento de los procesos de los cuales está a cargo, es decir, sabe identificar y
priorizar de forma local los riesgos.
• Un gerente general al no estar a cargo de una línea de negocio no t iene esta visión local,
pero si t iene una visión general que le permite priorizar los riesgos de una unidad de
negocio con los de las demás y de esta forma dest inar recursos de una manera eficiente.
El gobierno de riesgos de TI, con base en el ejemplo anterior, define una estructura con procesos
cíclicos y roles para la toma de decisiones, donde hay una supervisión central y una experiencia
localizada en detección de riesgos.
Y por último, se t iene una perspect iva de Cultura que t iene en cuenta cómo no es suficiente tener
una base de tecnología sólida para los procesos, sino que también es necesario entender que los
riesgos de TI t ienen un componente humano importante ya que la tecnología no puede identificar
vulnerabilidades o amenazas por sí sola y se necesita desarrollar una cultura de riesgos de TI donde
las personas conozcan que act ividades o inatenciones potencializan el riesgo y discutan
abiertamente como cada una en su trabajo diario ayuda a disminuir posibles incidentes con impacto
negativo. Habiendo dado un panorama general del marco, a continuación se presentan en mayor
detalle los cuatro objet ivos de negocio.
25
2.1.1. Objetivos de negocio: Disponibilidad, Acceso, Precisión y Agilidad
El marco 4A define los riesgos de T I como el “potencial que tiene un evento no planeado que
involucre T I para amenazar cualquiera de los cuatro objet ivos empresariales”14. Cada uno es
definido de la siguiente forma15:
• Disponibilidad: Mantener los sistemas y sus procesos de negocio operat ivos y recuperarlos
ante posibles interrupciones o incidentes.
• Acceso: Asegurar la entrada apropiada a datos y sistemas, pues de esta forma las personas
adecuadas tendrán el ingreso a la información que necesitan y las personas que no, estarán
restringidas.
• Precisión: Proveer de manera correcta, a tiempo y completa la información requerida por la
gerencia, empleados, clientes, proveedores y entes regulatorios.
• Agilidad: Capacidad de cambiar con costos y velocidad administrados.
Estos objet ivos de negocio no son independientes, al contrario, tienen una alta correlación que se
puede explicar fácilmente a t ravés de una pirámide de riesgos de TI, mostrada en la figura 1.
Figura 1 – Pirámide 4A16.
Gráficamente una pirámide de las categorías de riesgo puede representar las implicaciones
interrelacionadas que existen entre ellas, donde una categoría, según el nivel en el que se encuentra,
14 WESTERMAN G., HUNTER, R. IT Risk: Turning Business Threats Into Competitive Advantage. 2007. p23. 15 Ibídem 16 WESTERMAN G., HUNTER, R. IT Risk: Turning Business Threats Into Competitive Advantage. 2007. p59.
26
t iene dependencia de aquellas que están ubicadas por debajo, como se muestra en la figura 1. A
continuación se explican los t ipos de dependencias:
• Disponibilidad: Está a un nivel que soporta a todos los demás objet ivos, esto se debe a que
sí un sistema o un proceso de negocio no funciona, entonces los demás objet ivos
empresariales fallarán. Esto causa que el Acceso a los datos y a los sistemas, el segundo
nivel de la pirámide, deje de responder; sin el Acceso a estos datos, la información se
pierde, luego la Precisión de éstos se anula y por consiguiente la Agilidad del negocio
decae.
• Acceso: Este objet ivo afecta directamente la Precisión y la Agilidad por lo anteriormente
mencionado. Es claro además que el Acceso no afecta la Disponibilidad, su nivel inferior,
ya que sólo se encarga de permit ir o restringir el ingreso a los datos.
• Precisión: Si la información no es precisa, es decir, correcta y consistente a través de todos
los sistemas, el análisis de los datos no se podrá hacer en el momento y tiempo necesario,
por ende, los procesos que usan dicha información no podrán cambiar rápidamente
acoplándose a los cambios del mercado.
• Agilidad: Es reflejada en la velocidad a la cual las empresas pueden acoplarse al cambio,
implementar nuevas funcionalidades y desarrollar nuevos productos. Cuando se logra
Agilidad, los riesgos anteriores están en un nivel por lo menos aceptable y se puede
empezar a incursionar en nuevas iniciat ivas.
Esta pirámide busca que se identifiquen y traten los riesgos que están en la base hasta llegar a la
punta. Como analogía los autores usan la construcción de una casa, primero se construyen las bases
hasta llegar a los acabados. Sin perder de vista el negocio y su perfil de riesgo previamente definido.
Hasta este punto se ha descrito que es el marco 4A y cuáles son sus objet ivos pero no se han
especificado que act ividades debe hacer una compañía para lograrlos, lo cual plantea la pregunta del
siguiente numeral.
2.1.2. ¿Cómo funciona el 4A?
Este marco de referencia busca dar un mejor conocimiento acerca de las condiciones de riesgo de TI
a los ejecutivos, éste posee tres actividades generales:
• La primera se t rata de realizar encuestas dirigidas a personas involucradas con los altos
mandos de cada unidad de negocio. Estas encuestas ayudan a identificar las modificaciones
27
que se deban hacer a nivel de operación o estrategia para que cambien el nivel de tolerancia
relat iva al riesgo de T I. Es importante que en esta labor el líder de tecnología, en inglés
Chief Information Officer o CIO, haga parte sólo para indicar que riesgos de T I son los que
se deben tener en cuenta para su gest ión. De este modo, se busca concientizar al nivel
operat ivo y estratégico de la organización sobre la importancia de tener una gest ión de
riesgos de TI.
• La segunda, es el análisis de las implicaciones de los riesgos de T I en el aumento de riesgos
operat ivos. Lo cual facilita la evaluación de las inversiones de TI al tener en cuenta los
riesgos que éstas acarrean y al evitar realizar una inversión mayor o menor a lo que
realmente necesita la organización.
• Por últ imo, la tercera se encarga de solucionar conflictos que resultan de poner en términos
de negocio la gest ión de T I. En este punto en especial se discuten aquellas discrepancias
que surgen a la hora de implementar T I y que afectan directamente al negocio. De esta
manera, se revisa cuáles de los cuatro pilares del marco son los más importantes para la
organización, y así solucionar los problemas anteriormente mencionados.
Estas act ividades son parte integral de las disciplinas del marco, por lo que es importante entrar en
este punto en un mayor detalle de cada una de estas.
2.1.3. Disciplinas Fundamentales (Core Disciplines)
A continuación se explicarán las tres disciplinas fundamentales del marco de gest ión de riesgos 4A:
• Base de tecnología (IT foundation): Hace referencia a desarrollar una estructura adecuada de
la Base Tecnológica en cuanto a act ivos de TI. Se entiende el término base como un grupo de
act ivos de T I y empleados de la organización que están apoyando y manteniendo act ivos los
procesos. Luego, se busca como objetivo principal hacer que dicha base sea lo menos compleja
posible.
T eniendo en cuenta lo anterior, ¿qué pasa si la Base Tecnológica es inadecuada? Genera riesgos
de Disponibilidad y Acceso progresivamente en las plataformas de TI existentes de la misma
manera como se explicó anteriormente en la pirámide de riesgos de TI. En resumen, afecta a
todas los objet ivos de negocio a lo largo del tiempo. De igual manera, se podría decir que esta
disciplina no es sólo una estrategia de control de riesgos sino también una estrategia de
crecimiento.
28
La ventaja principal de implementar esta disciplina consiste en tener una Base Tecnológica
simplificada que disminuya los riesgos operacionales de los objet ivos del negocio y los
problemas relacionados con cambios de plataformas de tecnología y de T I. De igual modo
aparecen beneficios financieros inmediatos, pues una organización t ípica gasta “desde 20%
hasta 50%17 y en casos extremos el 70% en presupuestos de infraestructura, luego si se
simplifica ésta se reducen los costos entre 10% al 35%”18.
Ahora, para implementar esta disciplina se necesita examinar e implementar controles básicos
para asegurar que no hay mayores debilidades en términos de riesgos de las 4A, evitando que en
cualquier momento ocurra algún incidente. Posteriormente, se debe reducir la complejidad en la
infraestructura de tecnología y aplicaciones, logrando así reducir los riesgos de TI a largo plazo.
Por otro lado, también se debe tener en cuenta la pirámide de 4A, anteriormente explicada, para
fortalecer la Base Tecnológica. Para ello es necesario fijarse en primera instancia en el tema de
la Disponibilidad por varias razones:
o Es más fácil cuantificar el retorno de la inversión de la base sobre el primer nivel de la
pirámide que en cualquier otro nivel superior. Esto se debe a que este retorno es casi
inmediato ya que al estandarizar toda la base, los problemas del t ipo de disponibilidad se
resuelven con un costo muchísimo menor que si éstos se presentaran en otro nivel de la
pirámide.
o Las dificultades y riesgos de T I de la organización son más complejos en los niveles
superiores de la pirámide que en su base, ya que en temas como Precisión y Agilidad se
requiere cambiar muchos aspectos de la organización los cuales entran en choque con sus
procesos internos y crít icos.
Debido a lo expuesto anteriormente, se definen tres pasos importantes para mejorar la Base
Tecnológica:
17 WESTERMAN G., HUNTER, R. IT Risk: Turning Business Threats Into Competitive Advantage. 2007. p55. 18 Ibídem.
29
o Solucionar los riesgos de Disponibilidad de T I al manejar la continuidad del negocio en el
caso que una organización se encuentre en un desastre. Esto ayuda a que dicha organización
continúe funcionando adecuadamente al menos en un nivel mínimo.
o Identificar constantemente los problemas concernientes a la base y solucionarlos ut ilizando
herramientas como auditorias en TI, guías del conocimiento del equipo de T I, entre otras,
para solucionar riesgos de Acceso y Disponibilidad. Cabe añadir que lo más importante de
realizar auditorías TI es caer en cuenta en todos los riesgos que se representan en las 4A.
o Finalmente implementar marcos de mejores práct icas de la industria en que se está
desempeñando la organización, controles básicos sobre los procesos que ejecutan TI y
prevención de futuros problemas e incidentes en la Base Tecnológica.
• Gobernabilidad (Governance): El gobierno de riesgos de TI es un proceso cíclico que define
cuáles son los riesgos de T I en toda la organización, continuamente monitorea la forma cómo
evolucionan, los prioriza y desarrolla polít icas y estándares para controlarlos. En esta sección se
muestran primero los roles y estructuras del proceso y en segundo lugar las act ividades que lo
conforman.
La asignación de roles en el gobierno de riesgos de TI parte de un principio en el cual en una
empresa, las personas que mejor pueden asignar recursos y priorizar los riesgos a nivel de toda
la organización son las menos capacitadas para identificarlos y mit igarlos, debido a que no
t ienen el t iempo ni el conocimiento técnico necesario.
Esto hace que el Gobierno deba ser de múlt iples niveles, en donde a las personas de cada nivel,
se les asigne un determinado poder para la toma de decisiones, es decir, se t ransfiere el poder a
las personas que pueden tomar las decisiones de forma más eficiente. Y se define también un
conducto para escalar problemas, en el caso en que en un nivel no haya consenso en la toma de
decisiones.
Dicha estructura t iene cinco niveles e igual número de roles en orden decreciente de
responsabilidades:
30
o Patrocinador ejecutivo: Es la persona que t iene la visión integral del manejo de riesgos
en toda la organización, monitorea que se cumpla la cultura de riesgos de TI y que
todas las estructuras cumplan su papel.
o Consejo de polít icas de riesgo: Define las prioridades que t ienen los riesgos específicos
a nivel de la organización, aprueba presupuestos para las act ividades enfocadas a
disminuirlos y revisa excepciones que no fueron resueltas en los niveles inferiores.
o Consejo de implementación: Responsables de implementar una polít ica de riesgos por
medio de la creación de estándares del negocio y técnicos.
o Equipo de manejo del riesgo de T I: Son los encargados de desarrollar los procesos para
el control de riesgos, generar reportes y monitorear a los gerentes locales.
o Gerentes locales: Identifican y controlan los riesgos.
Una vez explicados los roles, se describen las act ividades que conforman el proceso.
Figura 2 – Proceso de G obierno de Riesgos de TI19.
En la figura 2, los rectángulos son las act ividades y las flechas son los resultados de cada una. Por otro lado, se muestra como el proceso t iene varios ciclos, debido a que los riesgos de T I y el
entorno de la empresa cambian constantemente. En respuesta a esto, se identifican
19 WESTERMAN G., HUNTER, R. IT Risk: Turning Business Threats Into Competitive Advantage. 2007. p117.
Definir una política y estándares de riesgos de TI.
Identificar los riesgos de TI y definir la probabilidad de que
se materialicen.
P olíticas y estándares
P riorizar los riesgos y asignar
responsables para su control.
Decidir si Reducir/ Evitar/
Transferir/ Aceptar cada riesgo
Monitorear y llevar una historia
de cada riesgo.
Riesgos priorizados y
responsabilidades asignadas Documentación de las
Acciones tomadas
Alcance de los riesgos definido Medidas continuas y estado
del riesgo actualizado
Inicio
31
continuamente nuevos riesgos, se revalúa la probabilidad de que se materialicen y se modifican
las polít icas y estándares.
• Cultura (Culture): La cultura de conciencia del riesgo de TI debe crearse en las organizaciones
desde la alta gerencia, ya que hace parte de la cultura general de gest ión de riesgos, y esta
Cultura debe ser t ransmit ida a toda la organización permeando tanto a las áreas de negocio,
como a las áreas de TI para que todo el personal comprenda que las responsabilidades deben ser
compart idas.
El marco de gest ión de riesgos 4A direcciona la cultura de conciencia del riesgo en términos del
personal, responsabilidades y comportamientos dentro de la organización. Los principales
aspectos que debe tener en cuenta dicha Cultura son:
o Alta experiencia en el manejo de riesgos de T I.
o Conciencia generalizada en toda la organización de las consecuencias y comportamientos
de los riesgos de TI y cómo enfrentarlos.
o Una cultura que motive a toda la organización a discutir el tema del riesgo de TI
abiertamente y a asumir las respect ivas responsabilidades para administrarlo.
De este mismo modo, las organizaciones que tienen cultura de conciencia del riesgo no es que
sean adversas al mismo, simplemente son conscientes de los riesgos y toman decisiones sobre
cómo administrarlos.
Una cultura de riesgo demanda que el personal priorice los riesgos corporat ivos sobre los
personales, lo cual hace que se comparta información sobre los mismos facilitando la
colaboración entre el personal de la organización para administrarlo de mejor manera.
Solamente con una act iva part icipación y apoyo de la alta gerencia se pueden producir esta
clase de comportamientos deseables, ya que los ejecutivos demuestran con sus acciones,
comportamientos e inversiones que la cultura de conciencia del riesgo hace parte de la forma de
hacer negocios.
Algunas de las ventajas de tener una cultura de conciencia del riesgo son:
o La conciencia es esencial, pues el mejor proceso puede llegar a fallar si es construido
alrededor de gente que no está informada.
o La experiencia concentrada ayuda a la organización entera a entender y resolver los riesgos.
32
o La cultura consciente mejora la buena voluntad de hablar y manejar riesgos como un
equipo, en lugar de manejar los riesgos de manera individual ignorando la visión global de
la organización.
En definit iva, es muy importante mencionar que una vez se desarrollen estas t res disciplinas se
creará una confianza dentro de los empleados de la organización, lo cual ayudará a conocer más a
fondo la forma en que T I soporta al negocio en todos los niveles, ayudando así a lograr el objet ivo
principal del marco el cual es desarrollar una definición común a toda la organización sobre qué es
el riesgo de T I.
2.1.4. Criterios de selección de las disciplinas
Continuando con el tema del numeral anterior, las disciplinas hacen parte del marco 4A ya que
analiza detalladamente cada uno de los cuatro objet ivos organizacionales dentro de cada
organización. De este modo se descubre que capacidades necesita desarrollar para manejar los
riesgos de TI de forma acoplada con los riesgos corporat ivos.
Por otro lado, cabe mencionar que estas tres disciplinas pueden ser desarrolladas simultáneamente
y/o en cualquier orden, pero la meta es incluirlas todas dentro de los procesos organizacionales. Lo
antepuesto depende de varios criterios que ayudan a decidir la prioridad de desarrollar cada
disciplina. Estos criterios son:
• La cultura organizacional , pues en ella se t iene que decidir los cambios necesarios para adoptar dichas disciplinas. De este modo, los cambios de la cultura organizacional deben
hacerse desde la cúspide de la organización hasta su base.
No obstante, la cultura puede llevar a elegir cualquiera de las t res disciplinas, por ejemplo:
o Una cultura basada en el ámbito financiero donde está acostumbrada a ser auditada, a
cumplir regulaciones, entre otras; t iende a escoger la disciplina de Gobernabilidad del
riesgo.
o Otra que arraiga su importancia en la experiencia, en donde tanto empleados expertos y
consultores, las unidades de negocio y su responsabilidad individual en la organización
son primordiales; t ienden a elegir la disciplina de crear una conciencia del riesgo de T I.
o Una organización donde lo primordial es la infraestructura y t ienen como objet ivo
actualizarla, elijen la disciplina de mejorar su Base Tecnológica.
33
• La historia de cada organización ayuda a elegir que disciplina debe seleccionarse. Si una
organización históricamente tiene una deficiente base de infraestructura tendrá dificultades para
escoger la disciplina de estructurar la base, ya que cambiar una infraestructura ant igua es
bastante complicado. Por esto, es usual que la organización escoja otra disciplina como punto
de part ida.
• El tamaño, las grandes organizaciones t ienden a implementar la disciplina de Gobernabilidad de riesgo de TI ya que la meta de ellas es desempeñarse en economías de escala. De este mismo
modo, como la Base Tecnológica es tan grande en una organización de gran escala, éstas deben
verificar si el costo de simplificar la Base Tecnológica aumenta o disminuye para decidir si es
viable o no adoptar dicha disciplina.
Sin embargo, las organizaciones de menor tamaño t ienen la facilidad de implementar cualquier
disciplina aunque éstas deben tener en cuenta factores internos como la edad de la tecnología
usada, como es el caso de los sistemas legado en los bancos; y la complejidad de su base.
• La industria en que se desempeña la organización. Este criterio es importante pues el sector de
la industria puede estar regulado, en el caso del sector bancario por ejemplo SOX, Basel II,
entre otras. Cuando esto ocurre, es muy posible que la disciplina que deban seleccionar es la del
proceso de Gobernabilidad del riesgo de TI. Otras organizaciones donde existe una alta
dependencia tecnológica y el reemplazo de ésta no es costosa, se debe considerar la disciplina
de la estructuración de la Base Tecnológica.
Por otro lado, algunas industrias u organizaciones que son poco conocidas en el medio, bien sea
por razones polít icas o sociales como las industrias de tabaco, las Organizaciones No
Gubernamentales (ONG), entre otras; deben estar conscientes de todo lo que ocurra en su
entorno. Debido a lo anterior, por lo general este t ipo de organizaciones implementen la
disciplina de cultura.
• La geografía, dependiendo del país en donde se encuentre la organización pueden exist ir otro
t ipo de regulaciones o normativas de la industria para lo cual las organizaciones deberán aplicar
la disciplina de Gobernabilidad de riesgos de TI.
Sin embargo, los anteriores ejemplos no son generales para todas las organizaciones, pues la
mayoría de ellas deben analizar todos los factores externos del entorno organizacional y estudiarse a
sí mismas para priorizar las disciplinas de manera apropiada.
34
Finalmente, se puede concluir que para cualquier organización es importante comenzar con la
disciplina que más se le s acomode según sus factores internos, luego continuar con las otras dos y
mantenerlas niveladas de modo que se reduzcan los riesgos de T I.
Ahora que se ha explicado el funcionamiento del marco 4A debe estar claro que es un marco de
amplia aplicabilidad que se puede implementar en cualquier t ipo de compañía y moldearse a
cualquier entorno en particular. También es importante percatarse que el objet ivo del marco no es
definir concretamente que act ividades específicas se deben hacer y cuales otras evitar para
minimizar riesgos de T I, debido a que dichas act ividades dependerán precisamente del t ipo de
compañía que quiera implementarlo y de su entorno part icular.
En este punto se ha explicado el marco 4A en términos de los objet ivos de negocio y de las
disciplinas para alcanzarlos, ahora se pasa a la aplicación de estos conceptos por medio del
desarrollo de perfiles de riesgos de T I.
2.2. Perfil de Riesgos de TI
Una vez se han comprendido los objet ivos de negocio que permite alcanzar el marco 4A es
importante definir hasta qué nivel se quieren reducir los riesgos de T I en cada uno. Para este fin se
crean los perfiles de riesgo, un perfil de riesgos “es una herramienta para comunicar la exposición
relat iva y tolerancia al riesgo, de una empresa, en las cuatro dimensiones (Acceso, Precisión,
Agilidad y Disponibilidad)”20.
A continuación se muestra en la figura 3, tres t ipos de perfiles de riesgo.
20 WESTERMAN G., HUNTER, R. IT Risk Management: From IT Necessity to Strategic Business Value. 2006.
35
Figura 3 – Perf il de Riesgos de TI. 21
Esta imagen, expresa gráficamente t res perfiles de riesgos y una brecha (gap) entre dos perfiles:
• El perfil de riesgos para el negocio en general, sin haber desarrollado ningún manejo de
riesgos (Diamante de color azul oscuro).
• El perfil de riesgos de T I actual, generado exclusivamente por el uso de T I (Diamante de
color vino–tinto).
• El perfil de riesgos de T I ideal para la empresa (Diamante de color aguamarina).
• La cantidad de riesgo que no ha sido mit igada es la diferencia entre el nivel de tolerancia y
el riesgo actual que t iene la empresa debido a T I. (Diamante de color claro).
Se observa también como el eje Y t iene una escala de 0 a 10, para medir el riesgo de Disponibilidad
en los cuatro niveles que se acabaron de explicar, en donde 0 significa el nivel más bajo de riesgo y
10 el más alto. Esta escala, aunque en el dibujo solo aparece en la parte posit iva del eje Y debe
tenerse presente también en los demás ejes para medir los niveles de riesgo en los demás objet ivos
de negocio.
21 WESTERMAN G., HUNTER, R. IT Risk Management: From IT Necessity to Strategic Business Value. 2006. p3.
36
En esta invest igación se ut ilizarán los perfiles de riesgos de T I Actuales e Ideales para la empresa.
El perfil Ideal permite establecer los niveles de riesgos de T I que la empresa debería alcanzar en
cada objet ivo de negocio con base en la aplicación de un instrumento que contiene preguntas de
nivel ejecutivo, por medio de las cuales se mide en términos de impactos (económico, sobre los
clientes, de reputación y regulatorio) las consecuencias de los riesgos de T I. Y por otro lado, el
perfil Actual determina los niveles de riesgos de T I reales que la empresa actualmente tiene, con
base en un instrumento que recoge las práct icas que propone el libro IT Risk22 en las t res
disciplinas, en donde la empresa debe indicar cuáles de esas prácticas. Para más información sobre
la elaboración de estos dos perfiles de riesgo remit irse al siguiente capítulo donde aparece el
desarrollo de los casos de estudio.
La relación entre estos dos perfiles de riesgos de TI consiste en que para alcanzar el perfil de riesgos
Ideal la empresa primero debe conocer su situación actual( Perfil Actual) y con base en esto mejorar
los aspectos necesarios, lo cual se logra al implementar las medidas propuestas por las disciplinas
del marco 4A.
En este t rabajo el sector y el t ipo de compañía al cual se le aplicará el marco 4A y se le generará los
perfiles de riesgos de T I, es el sector financiero, específicamente los bancos. El estudio se concentra
en cómo dichos bancos mit igan los riesgos de T I que t ienen que ver con la calidad y seguridad de
los datos usados en los canales de distribución al cliente, dado que la reglamentación colombiana actual trabaja fundamentalmente en estos temas. A continuación se entrará en detalle acerca del
sector financiero, espacio de aplicación de esta invest igación y la circular 052.
2.3. Sistema Financiero Colombiano y Circular externa 052 de la SFC
Entre 1923 y 1990 el sistema financiero colombiano siguió un modelo de banca especializada
establecido por la ley 45 de 1923. Dicho modelo limitaba las act ividades que podían ejercer los
diferentes t ipos de ent idades financieras a un nicho específico. Cada tipo de ent idad se debía 22 WESTERMAN G., HUNTER, R. IT Risk: Turning Business Threats Into Competitive Advantage. 2007
37
especializar en un t ipo de negocio, por ejemplo, un banco comercial no podía ofrecer créditos de
vivienda ya que este t ipo de crédito solo lo podían ofrecer las corporaciones de ahorro y vivienda, y
a su vez, una corporación de vivienda no podía ofrecer servicios de banca comercial.
Este sistema presentaba un bajo nivel de competencia e hizo necesario un cambio que sería
introducido por medio de la ley 45 de 1990, el cual dio origen al actual sistema financiero
colombiano, pasando de “un modelo especializado a uno de matriz–filial”23. Bajo este nuevo
modelo se permite la creación de grupos financieros, donde un grupo puede prestar varios t ipos de
servicios, por ejemplo, puede tener un banco comercial y también ofrecer servicios de leasing o
servicios fiduciarios, en este caso el banco comercial sería la matriz y la sociedad de leasing y la
sociedad fiduciaria las filiales.
A continuación en la figura 4 se presenta el modelo de matriz filiales según la ley 45 de 1990.
Figura 4 – Visión del sistema financiero colombiano 124.
A diciembre de 2008 en el sistema financiero colombiano “hay 18 bancos, que al clasificarse por
volumen de act ivos, de los 10 más grandes, 8 son nacionales; hay tres corporaciones financieras y
27 compañías de financiamiento comercial”.25
La ley 91 de 1991 y la resolución 21 de 1993 comenzaron la apertura del sistema financiero a los
mercados internacionales, lo cual hizo posible el endeudamiento de empresas colombianas con
establecimientos de crédito exterior. Este uso de crédito externo para el financiamiento local hizo
que el sistema financiero colombiano se acoplara a los sistemas financieros internacionales, lo cual
23 Serrano, Rodríguez Javier. Mercados Financieros. Visión del sistema financiero colombiano y de los principales mercados financieros internacionales. 24 Ibídem. 25 RODRIGUEZ, S. Notas de clase Mercado de Capitales. 2009.
MATRICES FILIALES ESPECIALIZADAS DE
SERVICIOS FINANCIEROS Bancos
Corporaciones Financieras
Compañías de financiamiento
comercial
Compañías de Seguros de Vida
Compañías de Seguros Generales
Sociedades Fiduciarias.
Sociedades comisionistas de
Bolsa.
Almacenes generales de
depósitos
38
lo expone a crisis internacionales, a medidas económicas, a acuerdos internacionales e igualmente
lo obliga a implementar algunas regulaciones internacionales.
Las act ividades de regulación y control sobre el mercado financiero son llevadas a cabo por el
Banco de la República y la SFC. Los propósitos de estas regulaciones son mantener la concepción
del modelo matriz– filial, proteger al ahorrador y al accionista, reglamentar las funciones que
pueden realizar los intermediarios financieros y controlar y sancionar las operaciones que realizan
los intermediarios financieros [11]. Para este últ imo propósito, la SFC emite resoluciones y
circulares que todas las ent idades supervisadas deben implementar, estas circulares buscan reducir
los riesgos inherentes al negocio.
A continuación se presenta en la figura 5 los part icipantes e interacciones del sistema financiero
nacional.
Figura 5 – Visión del sistema financiero colombiano 226.
26 Serrano, Rodríguez Javier. Mercados Financieros. Visión del sistema financiero colombiano y de los principales
mercados financieros internacionales.
Bancos, Corporaciones financieras, Compañías
de financiamiento comercial.
Personas Empresas Gobierno
Prestamos Personas Empresas Gobierno
Ahorro
Superfinanciera (resoluciones,
circulares)
Solvencia, Supervisión, cumplimiento, Sanciones
Congresos (Leyes) Viceministerio
Técnico (Decretos)
Regulación Financiera, Tributaria y Cambiaria
Banco de la República (Circulares
Reglamentarias)
Liquidez, Omas, Préstamos
Banco de la República (Circulares
Reglamentarias)
Encajes, Inversiones forzosas, Operaciones de cambio
Orden Económico Mundial, Mercados Financieros internacionales, Banco
Mundial, Fondo Monetario internacional, etc.
39
En part icular, la circular externa 052 expedida el 25 de octubre de 2007 por la SFC, hace referencia
a los “Requerimientos mínimos de seguridad y calidad en el manejo de información a través de
medios y canales de distribución de productos y servicios para clientes y usuarios”27. Su
implementación está dividida en tres etapas, “ la primera de las cuales inicia el 1º de julio del 2008,
la segunda t iene como plazo máximo para su implementación el 1º de enero del 2009 y la últ ima
finaliza el 1º de enero de 2010”28, para la fecha final de cada etapa las ent idades supervisadas deben
tener implementados, probados y en producción todos los procesos, mecanismos y sistemas de los
cuales t ratan los numerales correspondientes.
Esta circular es una iniciat iva que busca disminuir el riesgo tecnológico, el cual hace parte del
Riesgo operat ivo. Este riesgo tomó gran importancia en las organizaciones financieras debido al
“Comité de Basilea en supervisión bancaria”, organización que establece guías para el manejo de
riesgos en los bancos y está conformado por Bancos centrales y entes de supervisión de 13 países
[12]. En 1988 dicho comité, publicó una guía respecto a los requerimientos mínimos de capital,
conocida actualmente como Basilea I, cuyo objet ivo principal es establecer estándares mínimos de
solvencia con el fin de minimizar el riesgo de crédito. En 1996 fue reformada para ampliar su
alcance e incluir el riesgo de mercado en la ponderación del capital requerido; y posteriormente en
1998, se discutió la importancia del riesgo operacional como parte de los riesgos financieros,
apareciendo en el 2004 un nuevo acuerdo llamado Basilea II, el cual incluye el riesgo operacional
en la ponderación de los requerimientos mínimos de capital.
Como se mencionó en el capítulo anterior, a t ravés del marco de gest ión de riesgos de tecnología de
la Información, 4A, y la circular 052 de la SFC se pretende analizar cómo la regulación nacional de
la Información en el sector bancario colombiano, contribuye a la implementación de una gest ión de
riesgos de TI adecuada en términos de las necesidades del negocio.
Para esto, es necesario unificar la terminología usada en la circular y en el marco, con base en una
definición común. A continuación se presenta un glosario de términos que aparecen en la circular
052 definidos según los objet ivos de negocio propuestos en el marco 4A.
27 SUPERINTENDENCIA FINANCIERA DE COLOMBIA. Circular externa 052 de 2007. 2007. Disponible en:
<http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ ce052_07.rtf> 28 Ibídem.
40
2.4. Glosario de términos Circular vs Marco
La circular 052 define los requerimientos mínimos para garantizar la Seguridad y Calidad en el
manejo de la información que deben cumplir los establecimientos supervisados por la SFC. Para la
Seguridad de la información se deben tener en cuenta estos t res criterios: Confidencialidad,
Integridad y Disponibilidad. Y para la Calidad se tienen Efect ividad, Eficiencia y Confiabilidad.
Como se mencionó en la descripción del marco 4A, Disponibilidad es uno de los cuatro objet ivos
de negocio que se pueden lograr con el manejo efect ivo de riesgos de T I, sin embargo, la definición
dada por el marco y por la circular es diferente. Por lo tanto, para unificar los criterios de seguridad
y calidad dados por la circular 052, con los objet ivos de negocio del 4A se hará una definición
común de términos para el alcance de este documento.
2.4.1. Criterios de Seguridad de la información
Confidencialidad: Hace referencia a la protección de información cuya divulgación no está
autorizada. En el marco 4A esta definición clasifica dentro del objet ivo de Acceso ya que lo define
en los mismos términos.
Integridad: La información debe ser precisa, coherente y completa desde su creación hasta su
destrucción. En el marco 4A esta definición clasifica dentro del objet ivo de Precisión ya que lo
define en los mismos términos.
Disponibilidad: La información debe estar en el momento y en el formato que se requiera ahora y
en el futuro, al igual que los recursos necesarios para su uso. En el marco 4A esta definición
clasifica dentro de los objet ivos de Precisión y Disponibilidad:
• En Precisión la información debe ser correcta, a t iempo y completa, y en la circular se
define que la información debe estar en el momento y formato que se requiera.
• En Disponibilidad los sistemas deben estar funcionando sin interrupciones y en caso de
interrupción recuperarlos en el menor t iempo posible y en la circular la Disponibilidad
incluye que los sistemas y recursos necesarios para su uso estén en el momento que se
requieren.
41
2.4.2. Criterios de Calidad de la información
Efectividad: La información relevante debe ser pert inente y su entrega oportuna, correcta y
consistente. En el marco 4A esta definición clasifica dentro de los objetivos de Disponibilidad y
Precisión. Precisión porque la información debe ser correcta y consistente y Disponibilidad porque
su entrega debe ser oportuna.
Eficiencia: El procesamiento y suministro de información debe hacerse utilizando de la mejor
manera posible los recursos. En el marco 4A esta definición clasifica dentro del objet ivo de Acceso,
porque debe suministrarse la información a quien la necesite y tenga acceso.
Confiabilidad: La información debe ser la apropiada para la administración de la ent idad y el
cumplimiento de sus obligaciones. En el marco 4A esta definición clasifica dentro del objet ivo de
Precisión, porque la información debe ser apropiada y correcta.
Para finalizar el glosario de términos a continuación se presentan en la figura 6 de forma tabular las
relaciones entre los criterios de seguridad y calidad de la información y los objet ivos de negocio del
marco 4A.
Conf idencialidad Integridad Disponibilidad Efectividad Ef iciencia Conf iabilidad
Acceso X X
Agilidad
Disponibilidad X X
Precisión X X X X
Figura 6 – Relaciones entre los criterios de seguridad y calidad de la información y los objetivos de negocio del
marco 4A
2.4.3. Descripción en detalle de la circular 052 de la SFC
Habiendo definido una terminología común, a continuación se explicará brevemente, para temas de
la invest igación, los principales numerales contenidos en la circular 052 de la SFC:
• Ámbito de aplicación: Se explican las ent idades que deben adoptar las instrucciones
emit idas por dicha circular.
• Definiciones y criterios de seguridad y calidad: Se dan las definiciones de los criterios de seguridad y calidad necesarios para el cumplimiento de los requerimientos expuestos en la
circular. Dichas definiciones fueron explicadas en los numerales 2.4.1 y 2.4.2. Además, se
42
explican los canales de distribución para los cuales se deben cumplir los criterios
anteriormente mencionados.
• Obligaciones generales: Son las medidas generales que la s organizaciones financieras y
bancarias deben adoptar para la aplicación de los criterios definidos en el numeral 2,
independientemente de sus canales de distribución. Si la organización contrata bajo la
modalidad de tercerización, también debe vigilar que aquellos canales usados por estas
empresas cumplan con los requerimientos del numeral 3.2. Por últ imo, define la
documentación que las ent idades deben cumplir para dejar constancia de las operaciones
realizadas, de forma que los órganos de control tengan acceso a éstas.
• Obligaciones adicionales por tipo de canal: Dado que las ent idades para las cuales aplica esta circular usan diferentes canales de distribución, que son definidos en el numeral 2, aquí
se especifica para cada canal, las obligaciones adicionales a las del numeral 3 que deben
cumplir solamente aquellas ent idades que ut ilicen el canal respect ivo.
• Reglas sobre actualización de software: Define procedimientos y controles para el
software ut ilizado en los ambientes de producción y pruebas, independiente del canal de
distribución.
• Obligaciones específicas por tipo de medio – Tarjetas débito y crédito: A diferencia del
numeral 3 y 4, éste define medidas no para un canal de distribución sino para un t ipo de
medio, el de tarjetas débito y crédito.
• Análisis de Vulnerabilidades: Obliga a las ent idades a implementar un sistema de
vulnerabilidades informáticas.
Ahora, se presenta un análisis en donde se categorizan los criterios definidos en los numerales 3 al
7. Esta categorización se hace a dos niveles: uno general y otro específico.
A nivel general se totaliza el conjunto de los numerales 3 al 7 y los criterios se clasifican en:
• Objet ivos de negocio del marco 4A.
• Disciplinas del marco 4A.
• Medidas operat ivas y ejecutivas del marco 4A.
Lo anterior sirve como una aproximación general de la circular 052 al marco 4A, visualizando cual
es el comportamiento por disciplinas y por objet ivos de negocio.
43
A nivel específico se toma por separado cada numeral del 3 al 7 analizando los criterios anteriores.
El numeral 2.3.4 corresponde al análisis general y el numeral 2.3.5 corresponde al análisis
específico; si se desea mayor profundidad en cuanto a los datos usados para generar las estadísticas
de dichas secciones, remit irse a la sección de clasificación de la circular 052 de la SFC en el marco
de gest ión de riesgos de TI 4A en anexos.
2.4.4. Categorización general de los numerales de la circular 052 en los objetivos de negocio,
por tipo de medidas y en las disciplinas del marco de gestión de riesgos 4A
Figura 7 – Análisis 4A vs circular 052.
En la figura 7 se observa cómo el 79% de los numerales de la circular están bajo los objet ivos de
negocio de Acceso y Precisión. Esto se puede explicar dado que los criterios que define la circular
para la calidad y la seguridad en el manejo de la información, anteriormente especificados,
clasifican total o parcialmente dentro de estos dos objet ivos de negocio.
16,58%
40,64%
38,50%
4,28%
Clasificación numerales 3-7 por objetivos de negocio del marco 4A
Total de Disponiblidad
Total de Acceso
Total de Precisión
Total de Agilidad
44
Figura 8 – Nivel Ejecutivo vs. Nivel Operativo
En la figura 8 se observa que la gran mayoría de numerales de la circular clasifican en un nivel
operat ivo dentro de la organización. Esto es de esperarse ya que la prestación de servicios de un
banco es un tema operativo.
Figura 9 – Disciplinas en la circular 052.
Como se observa en la figura 9, la disciplina más concurrente en la circular 052 es la de Base
Tecnológica, con un 74%. Esto se debe a que la mayoría de las act ividades propuestas por dicha
circular son de índole tecnológico.
No obstante, la disciplina de Gobierno con un 24%, se evidencia en aquellos numerales de la
circular donde se t ienen que implementar polít icas regulatorias de Gobernabilidad.
17%
83%
Clasificación numerales 3-7 por control a nivel ejecutivo y a nivel operativo
Total Nivel Ejecutivo
Total Nivel Operativo
74%
24%
2%
Clasificación numerales 3-7 por disciplinas
Total Base
Total Gobierno
Total Cultura
45
Sin embargo, la disciplina de Cultura, con un 2%, sólo aparece cuando se necesita concient izar a los
involucrados en temas de seguridad y calidad de la información.
2.4.5. Categorización individual de cada numeral de la circular 052
Ahora, tomando cada uno de los numerales del 3 al 7 de la circular 052 por separado, se analiza cual
es el impacto de las disciplinas y objet ivos de negocio para dichos numerales.
• Numeral 3 – Obligaciones generales:
El numeral 3 busca cumplir con procedimientos relat ivos a la administración de la
información en términos generales en un banco.
Figura 10 – Análisis 4A vs numeral 3 (circular 052).
La figura 10 al compararse con la figura 7, muestra una distribución de porcentajes con
magnitudes similares, esto se debe a que este numeral es la parte central de la circular y
t iene el mayor peso entre los siete, ya que establece las obligaciones generales que son
independientes de los canales de distribución.
Se observa que el criterio de Precisión es el objetivo más importante, con un 48%
mostrando su relevancia al buscar administrar la información y definir polít icas en cuanto a
la manipulación de los datos exigiendo documentación en los procesos del negocio.
El Acceso que t iene un 32%, se rige por la misma razón que la precisión al hablar de
seguridad y calidad, pues es donde se implementa el control a los datos de manera general.
13%
32%48%
7%
Clasificación numeral 3 por los objetivos de negocio del marco 4A
Disponibilidad 3
Acceso 3
Precisión 3
Agilidad 3
46
La Disponibilidad y la Agilidad son los menos relevantes para el numeral 3, ya que lo más
importante es el control de los datos.
Figura 11 – Nivel Ejecutivo vs Nivel Operativo en el numeral 3 (circular 052).
En la figura 11 se aprecia que las medidas que define este numeral de la circular son en su
mayoría medidas de Nivel Operativo, esto se debe a que la prestación de servicios a clientes
y usuarios se da a Nivel Operativo. Con 29% se halla el Nivel Ejecutivo, pues en este
numeral también se hace referencia a controles y a la definición de procesos para garantizar
la prestación de servicios en el largo plazo.
Figura 12 – Disciplinas en el numeral 3 (circular 052).
Se observa en la figura 12 que la Base Tecnológica con un 64%, es la disciplina más
aplicada en los controles a nivel general. Esto está relacionado con la gráfica anterior,
donde se explicó que el 71% de las medidas de este numeral son a Nivel Operativo. Lo cual
29%
71%
Clasificación numeral 3 por control a nivel ejecutivo y a nivel operativo
Nivel Ejecutivo 3
Nivel Operativo 3
64%
35%
1%
Clasificación numeral 3 por disciplinas
Base 3
Gobierno 3
Cultura 3
47
hace que muchas de estas medidas tengan en cuenta la infraestructura tecnológica, sus
procesos y el personal que la supervisa.
El Gobierno de TI también t iene una part icipación significat iva con el 35%, pues en la
implantación de temas de seguridad de la infraestructura tecnológica, se toman decisiones
que afectan áreas administrat ivas que deben tratarse de forma interdisciplinaria.
• Numeral 4 – Obligaciones adicionales por tipo canal:
El numeral 4 busca cumplir con procedimientos relat ivos a la administración de la
información en términos de canales específicos dentro de un banco.
Figura 13 – Análisis 4A vs numeral 4 (circular 052).
Al ut ilizar el marco de gest ión de riesgos 4A en el numeral 4, se observa en la figura 13,
que para los canales de servicio al cliente, el objet ivo más importante es el Acceso a los
datos en el momento que el cliente lo necesite, bajo condiciones de privacidad.
Se observa también, que la protección de estos canales es tan importante como la Precisión
de los datos que transportan. Esto se evidencia con el 27% de medidas en la disciplina de
Precisión.
En cuanto a Disponibilidad con un 17%, incrementa su relevancia debido a la alta
dependencia en la T I en los canales del banco, por esta razón, se deben disponer de las
17%
53%
27%
3%
Clasificación numeral 4 por los objetivos de negocio del marco 4A
Disponibilidad 4
Acceso 4
Precisión 4
Agilidad 4
48
mejores medidas para garantizar la continuidad en los servicios de T I que soportan dichos
canales del banco.
Por últ imo, se encuentra la Agilidad con un 3%, y esto se debe a que se piensa más en la
seguridad de los canales de información que en los temas concernientes al negocio como
tal.
Figura 14 – Nivel Ejecutivo vs Nivel Operativo en el numeral 4 (circular 052).
En la figura 14 se observa que en el numeral 4 el Nivel Operativo es mayor que el
Ejecutivo, la razón es que los procedimientos nuevos se deben estructurar a Nivel Ejecutivo,
es decir, que para un proceso en un canal específico se le define un solo plan con una gran
estructura de funcionamiento, pero requiere de un detalle mayor en la ejecución de los
procesos a la hora de ut ilizarlo.
Figura 15 – Disciplinas en el numeral 4 (circular 052).
11%
89%
Clasificación numeral 4 por control a nivel ejecutivo y a nivel operativo
Nivel Ejecutivo 4Nivel Operativo 4
86%
11%
3%
Clasificación numeral 4 por disciplinas
Base 4
Gobierno 4
Cultura 4
49
En la figura 15 que muestra las disciplinas del numeral 4 se observa, que la Base
Tecnológica abarca casi por completo el área de la gráfica. La razón radica en que cada
canal t iene una alta dependencia de T I y, por ende, necesita de una Base Tecnológica con
procedimientos específicos.
El Gobierno con un 11%, aparece en menor proporción porque el manejo de riesgos sólo lo
va desarrollar el jefe operat ivo de un canal, y porque la cantidad de personas y procesos de
planeación es menor que la cantidad de procesos de TI a manejar.
Por últ imo, con un 3% la Cultura aparece cuando se necesita que las personas deban
aprender a proteger los datos para disminuir posibles ataques a la infraestructura de T I.
• Numeral 5 – Reglas sobre actualización de software: El numeral 5 de la circular 052 habla sobre las reglas de actualización de software y las
medidas que deben tomar las ent idades financieras para tener un adecuado control del
mismo.
Figura 16 – Análisis 4A vs numeral 5 (circular 052).
En la figura 16 se observa que el 45% de las act ividades de este numeral clasifican en el
objet ivo de negocio de Acceso, ya que el software en las ent idades bancarias debe tener un
control bastante fuerte para ingresar a los aplicativos.
Otro porcentaje importante de act ividades, el 33%, clasifica dentro del objet ivo de negocio
de Precisión, ya que también es muy importante controlar la información de códigos fuente,
22%
33%
45%
0%
Clasificación numeral 5 por los objetivos de negocio del marco 4A
Disponibilidad 5Acceso 5Precisión 5Agilidad 5
50
ambientes en los cuales se está ejecutando el software y las versiones que se están
ut ilizando en cada uno de los ambientes.
Cómo este numeral está más concentrado en el tema del control del software, que en su
ejecución misma, el 22% de las medidas clasifican en el objet ivo de negocio de
Disponibilidad.
Figura 17 – Nivel Ejecutivo vs Nivel Operativo en el numeral 5 (circular 052).
Como se puede apreciar en la figura 17, en este numeral no se especifican medidas
ejecutivas.
Figura 18 – Disciplinas en el numeral 5 (circular 052).
En la figura 18 se puede observar que el 100% de act ividades de este numeral clasifican en
la disciplina de Base Tecnológica ya que justamente el software es uno de los elementos de
esta disciplina.
0%
100%
Clasificación numeral 5 por control a nivel ejecutivo y a nivel operativo
Nivel Ejecutivo 5
Nivel Operativo 5
100%
0%
Clasificación numeral 5 por disciplinas
Base 5
Gobierno 5
Cultura 5
51
• Numeral 6 – Obligaciones específicas por tipo de medio – Tarje tas débito y crédito:
El numeral 6 de la circular 052 trata sobre las obligaciones específicas según el t ipo de
medio a ut ilizar. En este caso part icular se refiere a los medios de tarjetas débito y crédito.
De este numeral se puede observar el siguiente comportamiento con respecto a su
clasificación dentro del marco de gest ión de riesgos de TI 4A.
Figura 19 – Análisis 4A vs numeral 6 (circular 052).
En la figura 19 se puede apreciar que el Acceso, t iene un 65%, siendo el objet ivo más
importante para el manejo de tarjetas de débito y crédito, debido a que se t iene que
discriminar de manera efect iva la entrada de los usuarios que correspondan, como los
propietarios de las tarjetas, y lograr así un nivel de seguridad adecuado.
Por otro lado, con un 35% la Precisión muestra su relevancia a la hora de determinar y
verificar correctamente la información que está siendo almacenada en cada una de las
cuentas de las tarjetas, evitando así errores o pérdidas en los datos de éstas.
0%
65%
35%
0%
Clasificación numeral 6 por los objetivos de negocio del marco 4A
Disponibilidad 6
Acceso 6
Precisión 6
Agilidad 6
52
Figura 20 – Nivel Ejecutivo vs Nivel Operativo en el numeral 6 (circular 052).
En esta figura 20 se aprecia que la mayoría de la responsabilidad de este numeral recae en el
Nivel Operativo, con el 94%, pues a este nivel se t iene el conocimiento adecuado para
implementar los requerimientos del numeral 6. No obstante, con el 6% de la gráfica, el
Nivel Ejecutivo se evidencia únicamente en el numeral 6.11, ya que la responsabilidad de la
dist inción del uso de las tarjetas de crédito y débito recae directamente en dicho nivel.
Figura 21 – Disciplinas en el numeral 6 (circular 052).
En la figura 21 se puede observar que la disciplina que más se desarrolla en el numeral 6 es
la de Base Tecnológica con un 82%, pues la mayoría de las act ividades de dicho numeral
son de implementación de T I. Por otro lado, con el 18% restante se encuentra el Gobierno
6%
94%
Clasificación numeral 6 por control a nivel ejecutivo y a nivel operativo
Nivel Ejecutivo 6
Nivel Operativo 7
82%
18%
0%
Clasificación numeral 6 por disciplinas
Base 6
Gobierno 6
Cultura 6
53
con las act ividades que competen a la implementación de estándares o procedimientos de
seguridad y de act ivación de dichas tarjetas.
• Numeral 7 – Análisis de vulnerabilidades: El numeral 7 de la circular 052 habla sobre el análisis permanente de vulnerabilidades
informáticas que deben hacer las ent idades bancarias.
De este numeral se puede observar el siguiente comportamiento con respecto a su
clasificación dentro del marco de gest ión de riesgos de TI 4A.
Figura 22 – Análisis 4A vs numeral 7 (circular 052).
En la figura 22 se aprecia que el 54% de act ividades de este numeral clasifican dentro del
objet ivo de negocio de Disponibilidad, ya que cualquier vulnerabilidad se puede llegar a
convert ir en una amenaza o incluso en una falla del sistema.
El 38% de las act ividades clasifican dentro del objet ivo de negocio de Precisión, ya que es
muy importante tener los informes actualizados de las vulnerabilidades, para poder
compararlos con anteriores informes y poder evaluar la evolución del sistema de análisis de
vulnerabilidades.
54%
8%
38%
0%
Clasificación numeral 7 por los objetivos de negocio del marco 4A
Disponibilidad 7
Acceso 7
Precisión 7
Agilidad 7
54
Figura 23 – Nivel Ejecutivo vs Nivel Operativo en el numeral 7 (circular 052).
En la figura 23 se observa que el 100% de las act ividades de este numeral son de tipo
operat ivo. Esto se debe a que la implementación del sistema de vulnerabilidades es una
responsabilidad operat iva.
Figura 24 – Disciplinas en el numeral 7 (circular 052).
En la figura 24 se puede observar que hay un componente importante de la disciplina de
Gobierno del 54%, ya que deben tomarse referencias de estándares internacionales y
además hacerse análisis comparat ivos de los resultados encontrados para tomar decisiones y
hacer los correctivos necesarios.
Después de observar la taxonomía de la circular 052 por objet ivos de negocio, t ipos de medidas y
disciplinas del marco de gest ión de riesgos 4A, se pasa a la elaboración del perfil de la circular 052,
0%
100%
Clasificación numeral 7 por control a nivel ejecutivo y a nivel operativo
Nivel Ejecutivo 7
Nivel Operativo 7
46%
54%
0%
Clasificación numeral 7 por disciplinas
Base 7
Gobierno 7
Cultura 7
55
con el fin de determinar cuáles son los objet ivos del negocio que más potencial de riesgo tendrían sí
solo se tomara como herramienta para el control de riesgos de T I la circular.
2.4.6. Perfil de riesgos aplicado a la circular 052
Con base en el análisis del numeral 2.4.5, se generó una escala de calificación cualitat iva para medir
el nivel de riesgo en cada objet ivo de negocio, que permite alcanzar la circular 052. (Nota: contrario
a la escala cuantitat iva usada para medir el nivel de riesgo en el ejemplo de la figura 3, en este
estudio se usará una escala cualitat iva que será explicada más adelante en este capítulo).
Por cada numeral de la circular, se contabilizó el total de medidas que minimizan el riesgo en cada
objet ivo, y luego se dividió esa cantidad por el total de medidas que minimizan los riesgos en todos
los objet ivos de negocio (Nota: Nótese que esta última cifra es un número mayor al total de medidas
del numeral, debido a que una medida puede minimizar a más de un t ipo de riesgo). Las razones
obtenidas, permiten identificar comparativamente, cuáles objet ivos de negocio son tenidos en
cuenta en mayor o menor proporción. Ver Anexo “Perfil de Riesgos Circular 052” para la
clasificación en detalle de cada numeral de la circular.
A continuación se presenta la clasificación consolidada de toda la circular:
Para la escala de clasificación de riesgos de toda la circular se recopilaron las clasificaciones
individuales de todos los numerales y se generó la siguiente escala de riesgos: Riesgo Bajo si el número de medidas que atacan riesgos en un determinado objet ivo de negocio está entre el (50%–
100%] del total de medidas en toda la circular, Medio, sí está entre (25% – 50%] y Alto sí está entre
[0% – 25%].
En la figura 25 se muestran los niveles de riesgo para cada uno de los objetivos de negocio:
Figura 25 – Niveles de riesgo de TI para los objetivos de negocio de la circular 052
56
A part ir de estos datos se construyó el siguiente perfil de riesgos:
Perfil de riesgos para la circular 052:
Figura 26 – Perf il de riesgos de TI para la Circular 052.
Nótese que a diferencia de la figura 3, en la figura 26 sólo se muestra el nivel actual de tolerancia al
riesgo, ya que resulta de aplicar todos los numerales de la circular. Se puede concluir entonces que
la circular 052 t iene un perfil con niveles de riesgo altos para los objet ivos de Disponibilidad y
Agilidad y niveles de riesgo bajos para la Precisión y el Acceso, esto quiere decir que es más
vulnerable o tolerante al riesgo en Disponibilidad y Agilidad que en Precisión y Acceso; ya que
comparativamente la mayoría de las medidas en la circular se enfocan en los objet ivos de negocio
de Precisión y Acceso. Este resultado era predecible al tener en cuenta el análisis de los numerales
2.4.4. y 2.4.5.
Ahora que se ha explicado la fundamentación teórica en la cual está basada esta invest igación, en el
próximo capítulo se presenta el t rabajo de campo realizado y se hace un análisis de cada uno de los
casos de estudio bajo las bases dadas en el marco teórico.
57
V. CAPÍTULO 3: CASOS DE ESTUDIO
Al final del capítulo anterior se desarrolló un perfil de riesgos de T I para la circular 052 y se
concluyó que la regulación nacional por medio de dicha circular brinda a las ent idades un control
elevado para los riesgos de Acceso y Precisión, comparado con los riesgos de Agilidad y
Disponibilidad. En este capítulo el t rabajo consiste en identificar de qué forma algunos bancos
objeto de estudio complementan las medidas dispuestas en la circular, para obtener una gest ión de
riesgos de TI más eficiente en un proceso de negocio específico.
La muestra presentada a continuación corresponde al Banco de la República y a tres instituciones
bancarias, cuyos nombres han sido cambiados por motivos de confidencialidad. De un total de 18
inst ituciones de crédito que actualmente operan en el país, la muestra corresponde al 17% del total y
por ende se puede considerar como una muestra indicat iva del sector. De los cuatro bancos
estudiados hay un Banco Central, un Banco de Inversión, y dos Bancos mixtos, es decir, con
servicios comerciales y de inversión.
En el siguiente numeral se presentan los casos de estudio, la estructura de cada caso es la siguiente:
primero una descripción general del banco, luego se presenta y se explica el proceso de negocio
seleccionado, se genera el perfil de riesgos de TI ideal, posteriormente se hace un análisis del
proceso de negocio con base en las disciplinas del marco 4A y su relación con la Circular 052 y
finalmente se calcula el perfil de riesgos actual del proceso.
La metodología empleada para generar el perfil de riesgos de T I ideal en cada objet ivo de negocio
consiste en aplicar el instrumento del marco 4A presente en la sección de anexos (instrumento para
elaborar el perfil de riesgos de TI ideal, basado en el libro IT Risk29), luego evaluar las preguntas de
nivel ejecutivo en cuatro variables de impacto (económico, sobre los clientes, regulatorio y en la
reputación del Banco) que midan el efecto de T I en el negocio en términos cualitat ivos (Alto, Medio
o Bajo). Y, para poder calcular el impacto promedio del riesgo de TI en cada objet ivo de negocio se les asigna un valor numérico, como se muestra en la figura 26:
29 WESTERMAN G., HUNTER, R. IT Risk: Turning Business Threats Into Competitive Advantage. 2007
58
Figura 27 – Dominio de las variables de impacto en el negocio
Una vez se t iene el impacto general de TI en cada objet ivo de negocio, el nivel de riesgo ideal
consiste en restar de 1 el valor obtenido (Ver anexo con los resultados) y a part ir de estos resultados
se genera un valor cuantitat ivo sobre el nivel de riesgo deseado para el proceso estudiado, de
acuerdo a los valores de la figura número 27.
Figura 28 – Escala de medición de los riesgos de TI.
Finalmente se grafica el perfil de riesgo deseado para cada uno de los cuatro objet ivos ut ilizando los
rangos de valores mostrados en la figura 28.
Por otro lado, para generar el perfil de riesgos de T I actual se aplica un instrumento generado en
esta invest igación (Ver anexo “ Instrumento para generar el perfil de riesgos de TI actual”), en el
cual se clasifican las medidas que propone el libro IT Risk en las disciplinas de Cultura,
Gobernabilidad y Base Tecnológica. Cada una estas medidas es relacionada con el objet ivo de
negocio que busca mejorar, y el conjunto de todas las medidas que disminuyen los riesgos de TI
para cada objet ivo de negocio permite calcular el nivel de riesgos de T I que enfrenta cada Banco.
Dicho nivel de riesgo de T I se obtiene al ordenar las medidas de cada objet ivo de negocio por
niveles de riesgo alto, medio y bajo.
De esta forma, para afirmar que se t iene un determinado nivel de riesgo se deben cumplir todas las
medidas de los niveles de riesgos inferiores y al menos una medida de ese nivel de riesgo. Por
ejemplo, tener un nivel de riesgo de T I bajo para Disponibilidad quiere decir que se cumplen con
todas las medidas mínimas, (se consideran mínimas porque si exclusivamente se cumpliera con esas
medidas se tendría un riesgo alto), más las medidas recomendadas, es decir, medidas adicionales a
59
las mínimas que permiten disminuir el riesgo de un nivel alto a un nivel medio, y mínimo una de las
medidas óptimas, entendiendo por óptimas, aquellas que llevan al riesgo a un nivel muy bajo.
Para determinar en forma numérica el nivel de riesgo, se usa una escala de 0 a 1, si el Banco cumple
con todas las medidas de un nivel t iene 1 0.33 puntos, donde el valor de 0,33 corresponde a
dividir la escala por los tres niveles de riesgo posibles, pero si cumple solamente cumple con
algunas tiene 1 0,33 ú ú
puntos. Retomando el ejemplo anterior, si
se t iene un nivel bajo quiere decir que numéricamente t iene un riesgo de:
1 0,33 0,33 0,33ú
ú
A continuación se presentan cada uno de los bancos estudiados para explicar el proceso
seleccionado en cada una de ellos y su posterior análisis de riesgos de T I según el instrumento
aplicado.
3.1. Banco A
3.1.1. Descripción del Banco
Este banco es una ent idad financiera de carácter privado fundado en Colombia hace
aproximadamente cincuenta años, actualmente posee un grupo de empresas afiliadas y relacionadas,
con presencia en 5 países. Ofrece servicios para personas naturales y empresas.
Para las personas naturales ofrece:
• Cuentas de ahorro y CDT’s.
• Tarjetas de crédito
• Financiación
• Seguros, en esta categoría se pueden encontrar seguros de vida y otro t ipo de seguros, todos
con alianza a una aseguradora.
• Negocios internacionales, temas de importaciones y negociaciones con bancos en otros
países.
60
Para las empresas ofrece:
• Transporte de valores y recaudo de dineros.
• Pagos a terceros.
• Inversiones, Seguros, Negocios internacionales y Financiación.
• Banca de inversión: Soluciones en procesos de fusiones y adquisiciones, Financiación y
estructuración de proyectos y Operaciones en el mercado de capitales.
Es un banco de tamaño medio, desde el 2006 el ingreso por intereses ha registrado una variación
posit iva hasta del 22% y en cuanto a la ut ilidad neta ha sufrido una varianza posit iva del 6.8%.
Actualmente contempla una inversión de US$50 millones en T I que busca implementar una nueva
solución CRM (Customer Relat ionship Management) y también busca mejorar su infraestructura de
telecomunicaciones, cajeros automáticos y oficinas.
3.1.2. Proceso seleccionado
Dentro del banco A se selecciona el proceso “T ransacciones30 bancarias a t ravés de internet” debido
a su alta dependencia en los sistemas de T I y al crecimiento en los últ imos años de la prestación de
servicios bancarios t radicionales a través de canales informáticos. El funcionamiento del proceso se
describe en la figura 29, cada cuadro identifica una act ividad.
Figura 29 – B anco A, Diagrama de las actividades del proceso de negocio.
• El proceso comienza con el ingreso del usuario a la red, en esta act ividad el usuario debe
acceder con su contraseña (Contraseña única para el uso en internet) y documento de 30 Transacción se refiere a todos los servicios prestados por la Banca Electrónica del Banco A.
Ingreso usuario a la red
Operaciones en internet
Registro operaciones bancarias en
línea
61
identificación para ingresar a la interfaz del portal de t ransacciones web, donde pasa al sistema
de información que se denomina como seguridad31 .
• Si el usuario se autent ifica correctamente, puede realizar operaciones en internet , en esta
act ividad el usuario puede observar cuales son los servicios que la ent idad bancaria le ofrece.
• Finalmente, las operaciones que el usuario realice a t ravés de internet van a ser registradas, por
ejemplo, si se realizan movimientos monetarios, como transacciones bancarias entre cuentas,
este movimiento va ser registrado y al finalizar todas las operaciones a través de internet de
todos los clientes van a ser reportadas a la SFC.
Sistemas involucrados en el proceso
En la figura 30 los rectángulos vert icales describen los sistemas involucrados en este proceso y los
rectángulos horizontales las act ividades que soporta cada uno.
Figura 30 – B anco A, Clasif icación de las actividades del proceso en los sistemas de información que las soportan
• El portal web es el punto de entrada del usuario al servicio de t ransacciones por internet, en
éste, ingresa los datos de su cuenta personal para luego ser verificados por el sistema de
seguridad, y si son correctos puede comenzar a realizar transferencias.
• En el sistema de información que se denomina Base de datos–Seguridad se realizan todas las
validaciones del cliente al ingresar al sistema, sí en esta etapa el usuario ingresa 3 veces
seguidas una clave de autentificación incorrecta, el sistema bloquea la cuenta hasta que el dueño
31 Aquí el sistema de información denominado como “ seguridad” no tiene un nombre explicito por confidencialidad con
el banco
Portal Web
Ingreso del usuario a la
red
Base de datos -Seguridad
Validación de los datos
Operaciones en internet
Sistema ERP
Operaciones en internet
Registro operaciones bancarias en
línea
62
la desbloquee con la ayuda de un asesor telefónico. A part ir de este punto se generan “LOGS”32
que rastrean todos los movimientos realizados por un usuario.
• El sistema ERP33 es la columna vertebral de las operaciones del banco, ya que contiene toda la
información de todos los productos del banco, es decir, el núcleo del mismo.
A continuación se presenta el personal involucrado en el proceso.
Personal involucrado en el proceso Las siguientes son las áreas involucradas en el proceso de transacción por internet .
• Área de tecnología: Esta área se encarga de verificar a nivel interno como está el funcionamiento de los sistemas de información, la configuración de los sistemas y solucionan
los errores que se presenten.
• Área de servicios: Se encarga de todas las reclamaciones, problemas y quejas. Son los
encargados de implementar nuevas tecnologías y servicios que el banco requiere para su
funcionamiento.
• Área de riesgos: Revisa los LOGS para luego encontrar los riesgos que se presentan en el
proceso.
A continuación se muestra en donde se ubica este personal dentro del proceso:
• Entre la interfaz del portal de t ransacciones web y el sistema de seguridad, está involucrada
el área de riesgo debido a que debe analizar el riesgo generado por intrusiones al banco.
• Entre el sistema de seguridad, las operaciones de internet y el ERP, las personas encargadas
son las del área de tecnología y el área de servicios.
• Finalmente en los reportes que se generan, están involucradas el área de riesgos y el área de
servicios.
A continuación se muestra el perfil de riesgos ideal del Banco A
32 LOG es un registro de las actividades realizadas por un usuario dentro de este proceso de negocio. 33 ERP , Enterprise Resource P lanning o Planificación de Recursos Empresariales. 2009. Disponible en:
<http://es.wikipedia.org/wiki/P lanificaci%C3%B3n_de_Recursos_Empresariales>
63
Con base en esta descripción del proceso y la aplicación del instrumento se generó el perfil de
riesgos de TI ideal mostrado en la figura 31.
Figura 31– B anco A, Perfil de Riesgo de TI Ideal del proceso seleccionado
En este perfil se observa que para este proceso se busca tener niveles de riesgo de T I bajos para los
cuatro objet ivos de negocio, especialmente para los objet ivos de Disponibilidad, Acceso y
Precisión, para un mayor detalle sobre su elaboración remit irse al anexo “Instrumento para general
el perfil de riesgos ideal”.
3.1.3. Análisis de disciplinas del Proceso seleccionado y su relación con la circular 052
Se comienza esta sección con un análisis de la s disciplinas del marco 4A basado en el proceso
seleccionado y luego se explican las polít icas y práct icas que se llevan a cabo.
El marco 4A t iene el siguiente orden dentro de las disciplinas, Base Tecnológica, Gobernabilidad y
Cultura, en este caso de estudio se presentan en el orden de importancia de las disciplinas para el
proceso estudiado en el banco.
• Gobernabilidad: Esta disciplina es la más importante en este proceso. Según el director de
tecnología todas las decisiones importantes de T I son influenciadas por Gobernabilidad, si es
una decisión que afecta directamente al negocio, ésta debe ser apoyada en conjunto con el nivel
-0,11,6E-15
0,10,20,30,40,50,6
Disponibilidad
Acceso
Precision
Agilidad
Perfil de riesgos de TI Ideal Banco A
Perfill de riesgos de TI Ideal Banco A
64
ejecutivo, con el fin de tener en cuenta los puntos de vista de los expertos locales y de la
gerencia corporat iva. Si es el caso de la implementación de una nueva tecnología, ésta se
maneja localmente y se analiza sí es posible que algunos riesgos se incrementen o por el
contrario disminuyan.
Esta disciplina es muy importante no sólo por lo anterior, sino también porque a t ravés de ésta
se llevan a cabo los controles para medir e implementar la reglamentación de la SFC, lo cual le
da una gran importancia ya que si la reglamentación no se cumple, al Banco no le sería
permit ido operar.
En la figura 32 se puede observar las áreas involucradas en esta disciplina.
Figura 32 – B anco A, Jerarquía manejo de riesgos en el proceso.
La vicepresidencia ejecutiva de riesgos es responsable de analizar las posibles amenazas a la
seguridad de la información del cliente, con base en los logs generados por un sistema de
seguridad en donde se registran todas las actividades realizadas por el usuario en el portal web.
La vicepresidencia de tecnología y la vicepresidencia de servicios se encargan de analizar
riesgos de TI a nivel interno, estas dos áreas reportan todos los riesgos encontrados al área de
riesgos. Se puede observar que existe un manejo de riesgos local y un manejo de riesgos global,
el cual es muy importante porque le da una mejor visión a la ent idad bancaria para la toma de
decisiones en cuanto a los riesgos de TI.
Junta directiva
Vicepresidencia ejecutiva de
riesgosVicepresidencia
de servicios
Vicepresidente de servicios
Vicepresidencia de tecnología
Presidente
65
• Base Tecnológica: En la figura 33 se describen la infraestructura y aplicaciones del Banco A.
Figura 33 – B ase de TI del B anco A
El objet ivo de negocio que se busca alcanzar por medio de esta disciplina es la disponibilidad,
el banco la considera como una de las disciplinas más importantes y la razón que el director de
tecnología da es que si el Banco no tiene sistemas disponibles sencillamente no puede operar,
luego todos los esfuerzos en TI se enfocan mucho en este objetivo de negocio.
De los resultados de la aplicación del instrumento, se observa que la Base Tecnológica es la
segunda disciplina más importante, debido a que cada vez que se realiza un nuevo proyecto de
TI con un impacto importante para el negocio, como en el caso de este proceso, se afecta en
algún aspecto la Base Tecnológica, por ejemplo, para el proceso de Transacciones a través de
internet sí se desea implementar mayores medidas de seguridad, se debe pensar inmediatamente
en infraestructura que soporte esta seguridad.
Debido a que el banco gira en torno a la disponibilidad de los sistemas para este proceso, se
t iene una infraestructura tecnológica robusta y planes para la prevención de errores,
recuperación ante desastres y para garantizar la continuidad del negocio, en los dos últ imos
t ipos de planes se t iene redundancia de discos, respaldos, sit ios de recuperación y polít icas
adecuadas.
66
• Cultura: A través de esta disciplina se trata de mejorar la seguridad de la información, tanto
por parte de los empleados como de las personas externas a la ent idad bancaria (empleados
subcontratados, visitantes, etc.). La seguridad por parte de los empleados incluye dist inción del
t ipo de empleado, lo cual permite que un empleado acceda únicamente al t ipo de información
que le compete. El empleado subcontratado también t iene dist inción, la cual se realiza por
medio de una contraseña que el empleado t iene y un token que genera una contraseña, que al ser
combinados permiten el ingreso al sistema. Esto es algo muy importante en la cultura del banco
debido a que busca minimizar los riesgos de acceso no autorizados concientizando a los
empleados de la importancia en la seguridad y la información del banco.
Es importante darse cuenta de la relación entre las disciplina de cultura y de gobernabilidad, la
segunda define la estructura de roles para mejorar el proceso y seguridad en la toma de decisiones
mientras que la primera está enfocada en los empleados de forma individual para que dependiendo
de su posición en el organigrama entiendan e interioricen la importancia de las medidas tomadas en
la disciplina de Gobernabilidad.
De acuerdo las medidas observadas en estas disciplinas, se hace evidente que el banco t iene
implementadas act ividades adicionales a las que impone la circular 052, esto es importante resaltar
ya que significa estar un paso adelante de la regulación, es decir, se t iene una actitud proact iva en
cuanto al manejo de los riesgos, sin desconocer claramente que regulaciones como la circular 052
ayudan al Banco a reducir problemas.
Específicamente, los numerales 3, 4.9, 5 y 7 de la circular 052 afectan directamente a este proceso,
ya que tratan temas de seguridad mínima que debe tener el canal de información Internet, los
sistemas de información, las personas involucradas y los datos resultantes en las act ividades de
dicho proceso.
Y como act ividades adicionales implementadas por el Banco se t ienen:
• Análisis de “Logs”, ut ilizada para rastrear riesgos potenciales de Acceso, que pueden
aumentar riesgos de Disponibilidad y/o Precisión, y de esta manera controlar este t ipo de
riesgos.
• Una cultura de protección de acceso a los datos, a sus usuarios y clientes.
67
• Una cultura organizacional que permite cierta libertad a nivel tecnológico de seleccionar
proyectos para implementar.
Ahora se procederá a realizar el perfil de riesgos del proceso, para esto se analizarán cada uno de los
objet ivos de negocio.
3.1.4. Perfil de riesgos de TI del proceso seleccionado
Dada la información que se t iene en el caso de estudio del Banco A sobre el análisis de disciplinas
del proceso seleccionado y la aplicación del instrumento (ver anexo – Instrumento Aplicado), a
continuación se construye el perfil de riesgos del banco A.
• Disponibilidad: El objet ivo de negocio que sobresale a primera vista es el de Disponibilidad, y como se menciona en la disciplina de la Base Tecnológica, si este objet ivo de negocio falla,
simplemente el banco no funciona porque no tiene como operar, este objet ivo es uno de los más
importantes para el banco y por esta razón t iene un potencial de riesgo bajo.
• Acceso: El banco considera el Acceso igual que la Disponibilidad, como uno de los puntos
crít icos del Banco, es por esta razón que se decide implementar un proyecto de seguridad
fuerte34. En la cultura del Banco igual se resalta la importancia de este objet ivo, ya que todos los
empleados t ienen que acceder a sistemas de información por sistemas rigurosos de
autentificación. El Acceso de los clientes también se encuentra controlado, esto es claro para el
banco ya que si un cliente no se siente seguro, puede abandonar el banco. Finalmente se puede
decir que los sistemas de información están fuertemente protegidos ya que si llega a exist ir un
ataque que deje vulnerable los sistemas de información, todo ese canal dejaría de funcionar. Por
esta razón su potencial de riesgo es bajo.
• Precisión: En Precisión el Banco considera que este objet ivo es consecuencia del Acceso, si se
realiza un buen Acceso lo que vendrá después va a ser preciso, sin embargo, el Banco muestra
práct icas visibles de Precisión al destinar un equipo especializado en riesgos para análisis de
“Logs”, que busca analizar problemas e identificar y corregir inconsistencia. Debido a que
34 Este proyecto se menciona en el anexo, encuesta Banco A.
68
existen regulaciones, la Precisión también la tienen en cuenta cuando le reportan a las ent idades
regulatorias. Por esta razón se considera su potencial de riesgo en medio.
• Agilidad: Debido a que internet actualmente es uno de los canales de comunicación con el
cliente más importantes, al generar un alto valor agregado debido a su bajo costo de operación,
se están realizando varios proyectos que operan sobre este canal que consideran al riesgo de
Agilidad como importante, ya que para estos se requiere reducir el t iempo que se demoran
nuevos productos en salir al mercado, buscando que el t iempo sea el menor posible, con el fin
de entrar antes que sus competidores a nuevas oportunidades de negocio. Pero si el producto no
sale a t iempo, el cliente no se daría por enterado y su reputación no se vería afectada
inmediatamente. Por esta razón su potencial de riesgo es bajo.
Luego de describir los objet ivos de negocio pert inentes para el proceso seleccionado del Banco A se presenta el perfil de riesgos en la figura 34.
Figura 34 – B anco A, Perfil de Riesgo de TI Actual del proceso seleccionado
Para concluir este caso de estudio, se observa que el perfil de riesgos actual para el proceso, mostrado en la figura 34, presenta un nivel bajo en los cuatro objet ivos de negocio. Este
comportamiento se produce dado que la organización realiza actividades que se encuentran en la
00,20,40,60,8
1Disponibilidad
Acceso
Precisión
Agilidad
Perfil de Riesgos Actual Banco A
Perfil de Riesgos Actual Banco A
69
circular 052 y que son fundamentales para el marco 4A, como la continuidad del negocio en la
Disponibilidad, el control del personal a los datos en el Acceso, la detección de anomalías en los
datos gracias a los LOGS en Precisión y el aprovechar del valor agregado que genera internet sobre
el negocio y buscar sacar productos al publico solo cuando su funcionamiento sea el correcto en
Agilidad.
Es importante resaltar que el banco maneja los riesgos de T I como lo planteado en el marco 4A,
dividiendo riesgos a nivel operat ivo y a nivel ejecutivo logrando un mejor manejo de riesgos. Este
perfil de riesgos permite comprobar los objet ivos de negocio que son importantes para el banco
demostrando el esfuerzo que se ha realizado en estos, llevándolos al nivel que el Banco considera
óptimo para operar de manera adecuada.
Entre el perfil de riesgos ideal y el perfil de riesgos actual es importante destacar que los del Banco
son bajos, pero el ideal es reducir aún más el riesgo, práct icamente a un valor nulo en
Disponibilidad, Acceso y Precisión. Mientras que en Agilidad, desean aprovechar las nuevas
tecnologías hasta un punto, para luego reducir los otros riesgos al máximo.
A continuación se presenta el caso de estudio del Banco B.
3.2. Banco B
3.2.1. Descripción del banco
El Banco B t iene oficinas en varios países, su entrada en el mercado Colombiano es reciente pero ha
tenido un rápido crecimiento gracias a la experiencia y trayectoria exitosa de su casa matriz. En
cuanto a su proceso de adaptación al país, cabe destacar su agilidad para cumplir con la regulación
financiera impuesta por la SFC y el Banco de la República, gracias al uso de políticas que cumplen
con estándares internacionales y a su cultura organizacional que incorpora las mejores práct icas del
sector financiero.
Este Banco es un banco de inversión y por ende se diferencia de los bancos comerciales en que no
capta dinero del público, entre sus funciones principales están la administración de portafolios de
70
inversión, la asesoría en compra y venta de empresas, fusiones entre empresas, y escisiones de
act ivos.35 Para el presente trabajo se seleccionó como proceso de estudio la compra y venta de
t ítulos valores en la Mesa de Dinero.
3.2.2. Proceso seleccionado
Compra y venta de títulos valores en la Mesa de Dinero:
La mesa de dinero es el departamento de una ent idad financiera a t ravés del cual, las ent idades
negocian act ivos financieros como Monedas extranjeras, TES (T ítulos de deuda pública doméstica,
emit idos por el gobierno Colombiano y administrados por el Banco de la República) o Derivados.
En la figura 35 se presenta una descripción gráfica del proceso, cada cuadrado azul representa una
act ividad, dentro de cada uno aparece primero el nombre de la actividad y luego una explicación en
detalle.
35 Serrano, Rodríguez Javier. Mercados Financieros. Visión del sistema financiero colombiano y de los principales
mercados financieros internacionales.
71
Figura 35 – Banco B , Proceso de Compra y venta de títulos valores en la Mesa de Dinero
Generalmente las negociaciones de la Mesa de dinero se hacen en los sistemas SEN, SET–FX,
DERIVADOS y REUT ERS, el sistema SEN es del Banco de la República; SET FX y
DERIVADOS son sistemas de la BVC36. A continuación se explica que títulos se t ransan en cada
uno.
• SEN (Sistema Electrónico de Negociación): Es el sistema electrónico del Banco de la
República donde se negocian los TES de 1, 2, 3, 5, 7, 10 y 12 años, el mercado negocia de
8:00am a 1:00pm aunque algunas operaciones se realizan en la tarde37.
• SET–FX: En este sistema se realizan operaciones de compra y venta de dólares, el mercado
spot (por su nombre en inglés) abre a las 8:00am y cierra a la 1:00pm, este mercado negocia en
t=0 (hoy) y las operaciones se cumplen en t=0 (hoy). De 2:30pm a 4:30pm funciona el mercado
36 BVC Bolsa de valores de Colombia. 37 Ibídem.
72
Next–Day (por su nombre en inglés), en este mercado se hacen operaciones en t=0 (hoy) y se
cumplen en t + 1 (mañana)38.
• Derivados: En este mercado se realizan operaciones a plazo con derivados financieros como:
forwards, swaps y opciones entre otras39.
• Reuters: Es un sistema electrónico donde se negocian divisas diferentes al dólar, en este
sistema se pueden hacer negociaciones con otros países40.
• Mesa de moneda Legal: Son los corredores de bolsa que buscan recursos (fondeo) o que
prestan los excedentes de tesorería a otras ent idades, están encargados de conseguir parte de los
recursos con los cuales se puede negociar en los sistemas anteriores.
Las conexiones que se usan para acceder desde la ent idad a las centrales de los sistemas SEN, SET –
FX y derivados, son conexiones por cable directo que van desde la oficina del banco hasta el Banco
de la República o a la BVC respect ivamente. Adicionalmente a estos sistemas también se pueden
hacer operaciones de manera directa y telefónica en el caso de operaciones de divisas extranjeras y
la mesa de moneda legal.
Con un panorama del proceso desde el punto de vista del negocio, a continuación se presenta una
visión técnica con base en los sistemas que lo soportan, presentados en orden de importancia:
• Conexión a los sistemas externos del mercado (Transaccionales41):
En realidad no es un sistema sino las conexiones a varios sistemas externos (SEN, SET –FX
o Sistemas de la BVC) y son de vital importancia porque en estos sistemas quedan en firme
todas las negociaciones de t ítulos valores. Dichas negociaciones son las act ividades más
importantes del proceso y cada momento en que las conexiones no estén disponibles es
crít ico para el negocio ya que interrumpe completamente las act ividades de compra y venta.
• Sistemas internos de información transaccionales:
Llevan el registro de las operaciones externas realizadas en los sistemas anteriormente
descritos, dicho registro consiste en:
38 Tomado de http://www.banrep.gov.co/informes–economicos/ine_pre_frec8.htm 39 Ibídem. 40 Ibídem. 41 Transacciones de los movimientos de títulos valores y dinero.
73
• Ingresar la operación
• Realizar la pérdida o ganancia de dicha operación
• Afectar el portafolio
• Afectar el disponible en caja
Con base en estos registros, que son las t ransacciones de cada día, se hacen los reportes y se
produce la contabilidad. Si fallan estos sistemas, se pierde el procesamiento de la
información, la fuente de información de la contabilidad y de los reportes regulatorios.
Además, llevan al riesgo de generar pérdidas por incumplimiento a la contraparte. Estos
sistemas internos de información transaccional también hacen parte del núcleo del negocio
porque las personas encargadas de pagar o revisar el pago de las operaciones hechas en los
sistemas externos toman la información necesaria para cancelarlas, de estos. Sin embargo,
el t iempo que pueden estar fuera de servicio es mayor a los de las conexiones a sistemas
exteriores.
• Sistema Contable:
Es un sistema gerencial y de control, si falla se pierde el consolidado de la contabilidad
diaria. En los bancos es indispensable conocer la contabilidad no mensualmente sino
diariamente, porque por el modo de operación del negocio mismo, en un solo día se pueden
generar grandes pérdidas o grandes ganancias. Por ende, la operación de un día depende de
los resultados del día anterior, ya que define el capital disponible para operar, que tanto se puede endeudar y que tanto puede invert ir. Por tales razones es un sistema de vital
importancia ya que soporta e informa para la toma de las mejores decisiones.
• Sistema de reportes regulatorios:
Su importancia radica en que si se incumplen los requerimientos regulatorios se incurre en
multas y puede llevar a la pérdida de la licencia de operación. Deben de funcionar
constantemente porque muchos reportes se deben enviar diariamente. El riesgo no es tan
alto como en los anteriores.
• Sistemas de Te lecomunicaciones: Son muy importantes debido a las operaciones OT C42, se pueden hacer por vía telefónica
donde se cierran las operaciones por este medio y luego se registran en los sistemas
internos. También son clave para informarse de la situación actual del mercado en t iempo
real, con el fin de verificar la rentabilidad de las operaciones que se planeen realizar. Si 42 Operaciones OTC (Over the counter) con clientes que no tienen acceso a los sistemas transaccionales.
74
llegan a fallar las operaciones OT C no se pueden confirmar y además se pierde capacidad
de reacción según la actualidad del mercado.
En la figura 36 se clasifican las act ividades del proceso en los sistemas de información que las
soportan, es importante aclarar que aunque los sistemas de telecomunicaciones no aparecen, dichos
sistemas dan soporte a todas las act ividades al proveer información en t iempo real. T ambién se ve
como el sistema contable permite que se realicen el mayor número de act ividades dentro del
proceso.
Figura 36 – B anco B , Clasificación de las actividades del proceso en los sistemas de información que las soportan
Dicho proceso t iene tres responsables:
• Front Office: Es la interfaz del banco con los clientes y el mercado, su función, llevada a
cabo por los corredores de bolsa, es comprar, vender e intercambiar act ivos financieros.
• Middle Office: Es responsable de verificar el cumplimiento de las polít icas y límites establecidos para la negociación de t ítulos valores efectuada por el Front Office. Elabora
reportes sobre el cumplimiento de dichas políticas y límites, así como de los niveles de
exposición de los diferentes riesgos inherentes a las operaciones de tesorería.43
43 Tomado de http://www.asobancaria.com/glosario.jsp? accion=2&id=35
Sistemas de negociación
Operaciones de Compra y Venta de
títulos
Sistemas internos de información
transaccionales
Registro de la transacción en los sistemas internos
Sistema Contable
Pago o confirmación del recibo del dinero por la compra o venta
de títulos
Consolidación de la contabilidad diaria
Revisión de la contabilidad del día
anterior
Sistema de reportes regulatorios
Generación de reportes regulatorios
•
La m
Con
riesgo
En es
TI ba
al ane
3.2.3.
Se co
selecc
discip
• G
s
44 Ibíd
Back Offi
el cierre,
mesa de dinero
base en esta
os de TI idea
ste perfil se o
ajos para los
exo “Instrum
. Análisis d
omienza esta
cionado en
plinas serán p
Gobernabilid
e muestra e
dem
fice: “Área e
registro y au
o es conform
a descripción
al mostrado e
Figura 37 – B
observa como
cuatro objeti
mento para ge
de disciplina
a sección co
el Banco B
presentadas
dad: Asignac
el organigram
encargada de
utorización fi
mada por el F
n del proces
en la figura 3
Banco B, Perfil
o actualment
ivos de nego
eneral el perf
as del Proces
on un análisi
B, se explica
en orden dec
ción de roles
ma de roles
realizar los
inal a las ope
Front Office y
so y la aplic
37.
de Riesgo de T
te para este p
ocio, para un
fil de riesgos
so selecciona
is de las dis
arán las polí
creciente de i
para el contr
que han sid
aspectos ope
eraciones”44
y el Middle O
cación del in
TI Ideal del pr
proceso es ne
mayor detall
s ideal”.
ado y su relac
sciplinas del
íticas y prác
importancia
rol de Acces
do estableci
erativos de l
realizadas po
Office.
nstrumento s
roceso seleccion
ecesario tene
le sobre su e
ción con la C
marco 4A
cticas que s
para el banc
so a la inform
idos para de
a tesorería ta
or el Front O
se genero el
nado
er niveles de
elaboración re
Circular 052
basado en e
e llevan a c
o.
mación, en la
etección, mo
75
ales como
Office.
perfil de
riesgo de
emitirse
2
el proceso
cabo. Las
a figura 38
onitoreo y
76
control de acceso a los sistemas de información internos, por motivos de confidencialidad los
nombre verdaderos de los roles han sido cambiados:
Figura 38 – Banco B , organigrama de roles encargados de supervisar el acceso a los sistemas de información
o Gerente de riesgos de T I: Es el oficial de seguridad de la información, entre sus
funciones se encuentra hacer pruebas de contingencia, atender incidentes de seguridad,
aprobar la creación de nuevos usuarios en los sistemas y revisar sus privilegios.
o Administrador del Sistema: Es responsable por la información de un Sistema de
Información asignado, revisa periódicamente a los usuarios de la aplicación bajo su
responsabilidad y los derechos otorgados a cada uno, para conceder acceso a un nuevo
usuario debe documentar todos los accesos otorgados y revisar que la solicitud cuente
con la información necesaria, en el caso en que un usuario deje de utilizar la aplicación
debe eliminar la autorización de acceso al sistema
o Administrador de cuentas de usuario: Oficial de seguridad que administra los sistemas
de autent icación, estos sistemas cuentan con mecanismos para el bloqueo de cuentas en
caso de un número de intentos fallidos o periodos prolongados de inact ividad, además
protegen a las cuentas llevando un registro de eventos.
Al examinar la circular 052 para verificar si hay alguna medida respecto a la creación de roles
dentro del área de sistemas, se encuentra que no la hay, lo más cercano que se menciona en la
Gerente de riesgos de TI
Administrador de cada sistema
Administrador de cuentas de
usuario
77
circular está en el numeral 3.1.2 el cual dice: “para gest ionar la seguridad de la información
podrán tomar cómo referencias los estándares 17799 y 27001”. En dichos estándares se plantea
la importancia de definir roles en el área de T I.
Estos roles le permiten al Banco implementar la segregación de funciones del personal que
administra, opera, mantiene y, en general, t iene la posibilidad de acceder a los disposit ivos y
sistemas usados en los dist intos canales y medios de servicio al usuario. Lo cual es una medida
que exige la circular.
Medidas para garantizar la disponibilidad de los sistemas:
o La infraestructura de tecnología y el software que soportan al proceso de negocio
cumplen con estándares de calidad establecidos a nivel nacional e internacional,
garantizando la prestación de servicios bajo las mismas condiciones de seguridad y
calidad en todas las oficinas.
o Como se mencionó anteriormente el rol Administrador de cuentas de usuario se encarga
de garantizar que para un usuario solo estén disponibles los sistemas a los cuales t iene
privilegios para ingresar.
o Todo tercero contratado por el banco debe disponer de polít icas de contingencia para
minimizar el impacto de los incidentes de tecnología y realizar procedimientos
rut inarios de respaldo de la información.
En estas medidas se identifica la aplicación de la circular 052 por el Banco B. Se hace evidente
que se cumplen las medidas del numeral 3.2 Tercerización y Outsourcing, garantizando que se
mit igan los riesgos generados por el acceso de terceros a información del Banco.
T ambién es importante notar que se t ienen medidas que ext ienden a aquellas de la circular, este
Banco al tener presencia en varios países comparte la experiencia obtenida en todas sus sedes y
por eso t iene estándares establecidos que cumplen con regulaciones internacionales.
• Base Tecnológica: En la figura 39 se describen la infraestructura y aplicaciones del Banco B.
78
Figura 39 – B ase de TI del B anco B
o Acceso a las estaciones de t rabajo: Las estaciones de t rabajo cuentan con el mismo
sistema operat ivo configurado especialmente para prohibir cualquier cambio de
configuraciones y la instalación de programas a los usuarios. Además se usan GPO’s
(GPO Group Policy Object, propiedad de Microsoft Windows NT ), en el GPO se crea
un único usuario administrador quien es el único con privilegios para realizar cambios
de software o hardware.
Los dispositivos portables como memorias USB y los quemadores de CD o DVD están
prohibidos en el banco, en caso de ser necesarios por un usuario para realizar su trabajo,
el área de Tecnología t iene disposit ivos aprobados que cuentan con un sistema de
cifrado y están serializados para ser desact ivados en caso de pérdida.
o Acceso a los sistemas internos: Todas las operaciones que realiza el Front Office son
registradas en un sistema de misión crít ica. Diariamente se llevan estadíst icas de los sistemas de misión crít ica, donde se incluyen, la hora de apertura y cierre del sistema, el
t iempo que estuvo disponible y el tamaño de la B.D. En cuanto a los sistemas de
negociación, las ent idades propietarias de estos, llevan las estadísticas de la
Sistemas Externos: Negociación
Sistemas Internos: Registro de transacciones, Contabilidad, Gener
ación de Reportes
Estaciones de trabajo, Redes internas,hubs, switches, firewa
lls y servidores
Aplicaciones
Infraestructura
79
disponibilidad de sus respect ivos sistemas en donde se t iene el t iempo que está
conectada cada ent idad a estos mismos.
o Acceso a los sistemas de negociación: “El acceso al SEN se hace a t ravés del sistema
SEBRA del Banco de la República, dicho sistema es el encargado de crear el usuario y
de verificar su perfil. El Banco de la República brinda a cada agente, al cual se le crea
un usuario, un manual con los procedimientos para el manejo del password, acceso,
creación y modificación de perfiles. Los perfiles que debe definir la organización son:
Administrador de t raders, Administrador de Cupos de Operación y Operario o
Trader”.45Adicionalmente el SEN utiliza un token asignado a cada corredor de bolsa
para acceder al sistema.
Los accesos a los sistemas de la BVC utilizan nombres de usuario y claves de acceso diferentes
para cada sistema (SET–FX y DERIVADOS).
Con relación a la circular 052, la cual como se demostró en el capítulo anterior le da gran
importancia al acceso a los datos, se observa que para este proceso el Banco cumple con dotar
de seguridad la información confidencial de los clientes que se maneja en los equipos y redes de
la entidad, igualmente dota a sus equipos de cómputo de los elementos necesarios que eviten la
instalación de programas o disposit ivos que capturen la información de sus operaciones y por
últ imo establece procedimientos para el bloqueo de canales o de medios, cuando existan situaciones o hechos que lo ameriten; numerales 3.1.7, 3.1.11 y 1.1.12.
Para garantizar la disponibilidad de los sistemas se t iene:
o A nivel de redes se t iene un sistema global que controla los equipos de red – servidores,
hubs, switches y firewalls– de todas las sucursales y permite determinar si algún equipo
no está funcionando correctamente. Se cuenta con dos firewalls a nivel de hardware,
uno de estos se usa como refuerzo en situaciones donde el primero tenga una carga muy
alta.
o En caso de siniestros se t iene un proveedor externo para la custodia de medios
magnéticos, el servicio consiste en la recepción, codificación, t ransporte,
45 Tomado de http://quimbaya.banrep.gov.co/sen/manual/acceso4.htm
80
administración y almacenamiento, en condiciones ambientales controladas, de copias
magnéticas. De esta manera se garantiza que la información esté en un lugar seguro,
aparte del centro de cómputo de la empresa y disponible todos los días del año.
o Todas las estaciones de t rabajo están estandarizadas bajo el mismo sistema operat ivo, lo
cual simplifica su mantenimiento y la aplicación de parches.
La circular 052 respecto a estas medidas exige que los bancos cuenten con controles y alarmas
que informen sobre el estado de los canales, y además permitan identificar y corregir las fallas
oportunamente, numeral 3.1.18. Para este Banco se observa que además de contar a nivel
interno con esta exigencia, minimiza el riesgo al tener proveedores externos que garantizan la
continuidad del negocio, aún en el caso de siniestros.
Para garantizar la precisión de los datos:
o Se t ienen tres ambientes independientes para el manejo de software: uno para el
desarrollo de software, otro para la realización de pruebas, y un tercer ambiente para los
sistemas en producción. Dichos ambientes se encuentran separados a nivel físico y
lógico, cada uno de ellos cuenta con una infraestructura de tecnología independiente.
o Se t iene un sistema central de gest ión de cambios en donde se guardan todas las
modificaciones realizadas para cada nueva implementación de un cambio en cualquiera
de los ambientes de desarrollo.
o Se t ienen implementados mecanismos de cifrado fuerte para el envío y recepción de
información confidencial.
• Cultura: Para garantizar el acceso a los datos:
Periódicamente se realizan capacitaciones impart idas por el área de Seguridad de la
Información para actualizar todos los conceptos relacionados con el uso y acceso a la
información, en dichas capacitaciones los asistentes firman un documento de compromiso con
el fin de garantizar el cumplimiento de todas las polít icas de seguridad.
Para la Disponibilidad:
o Los administradores de cada sistema son responsables de crear informes de
vulnerabilidades semanalmente y con base en los resultados se establecen objet ivos,
planes de acción y responsables acordes al nivel de riesgo identificado, que buscan
81
minimizar las vulnerabilidades encontradas. La evolución que se logre en la reducción
de vulnerabilidades es documentada.
o Para identificar las vulnerabilidades, se t iene un sistema especializado que permite
automatizar la detección de desviaciones de la polít ica de seguridad en los sistemas de
misión crít ica, permit iendo identificar sistemas que no funcionen correctamente.
En esta disciplina se observa una mejora significat iva a nivel interno en el Banco respecto a lo
exigido por la circular, ya que en ésta no se exigen capacitaciones periódicas respecto a los
riesgos de T I. Por otro lado, los análisis de vulnerabilidades a los que hace referencia la circular
en el numeral 7 son implementados de una forma más eficiente ya que hay una cultura más
solida que genera una mayor conciencia de la importancia de medir vulnerabilidades.
Para concluir esta sección, al analizar las tres disciplinas y las medidas adoptadas por el Banco B, se
nota un énfasis en la disciplina de Gobernabilidad, evidente en una supervisión central que define
polít icas y procesos de TI estandarizados. Para el Banco esto supone una ventaja según el marco 4A
ya que las ent idades financieras al estar bajo una regulación por parte de ent idades de control, como
es en el caso Colombiano la SFC, y de auditores; requieren tener procesos formales y documentados
como evidencia de cumplimiento de las normas establecidas.
En segundo lugar se encontró que para cumplir con las polít icas y estandarización de los procesos
de T I, el Banco se apoya en que los empleados tengan un nivel alto de Cultura en prevención de
riesgos por medio de capacitaciones constantes, ya que esto garantiza que se eviten las act ividades que aumenten el riesgo y que se adopten aquellas que lo disminuyen.
Ahora se procederá a realizar el perfil de riesgos del proceso, para esto se analizarán cada uno de los
objet ivos de negocio.
3.2.4. Perfil de riesgos Actual del Proceso seleccionado
A continuación se presentan los aspectos más importantes de los objetivos de negocio para el
proceso de Compra y venta de t ítulos en la Mesa de dinero. Con base en estos resultados y a la
aplicación del instrumento (ver anexo Instrumento para generar el perfil de riesgos actual) se
generará al final de esta sección el perfil de riesgos del proceso.
82
• Disponibilidad: La disponibilidad de los datos está determinada por el correcto
funcionamiento de los sistemas externos y de los sistemas internos. En cuanto a los
sistemas externos, la disponibilidad está condicionada a un tercero que es el que administra
el sistema. En el caso de los sistemas internos la disponibilidad es un factor importante pero
t iene una menor crit icidad que el Acceso a los datos.
• Acceso: El aspecto más importante para el Banco B respecto al Acceso a los datos es el
Fraude Operat ivo. En el sector bancario es común ver casos de fraudes donde se presenta el
robo o pérdida de información confidencial, además de la pérdida de dinero que genera
(riesgo económico) o las multas y sanciones que se imponen (riesgo regulatorio), existe un
impacto mucho mayor para el negocio y es el riesgo de perder la reputación.
La reputación para el Banco B es la confianza que t ienen sus clientes en él y por ende es un
act ivo intangible que toma muchos años en conseguirse. Esta reputación le permite al
negocio diferenciarse de sus competidores en especial durante crisis financieras, donde lo
primero que pierden las personas es su confianza en las inst ituciones.
En lo concerniente al proceso de Compra y venta de t ítulos valores en la Mesa de Dinero, el
riesgo más importante a nivel de Acceso es que una persona con acceso a los sistemas de
negociación también pueda acceder a los sistemas internos que registran las t ransacciones,
ya que podría ingresar operaciones fraudulentas a beneficio personal.
• Precisión: La precisión de los datos en este proceso es garantizar que la información de las
t ransacciones sea consistente en todos los sistemas, es decir, que las operaciones hechas en
los sistemas externos de negociación sean almacenadas correctamente en los sistemas
internos de registro de t ransacciones.
• Agilidad: En la negociación de t ítulos valores es común que se generen nuevos productos
financieros derivados, para cada nuevo producto la SFC emite reglas de negociación especiales y el departamento de TI debe ser capaz de responder con agilidad suficiente para
respaldar la nueva iniciat iva del negocio y sat isfacer todos los requisitos de la SFC a
t iempo, ya que en este negocio, estar entre los primeros bancos que entran al mercado de un
nuevo producto es de gran importancia.
Lueg
prese
Para
riesgo
se co
052
adicio
Este p
nivele
como
adicio
estud
encam
comp
consi
el pro
Por ú
se ase
o de describi
enta el perfil
F
concluir este
o bajo en los
mparaban qu
se demostró
onales que e
perfil permit
es competen
o se hizo evi
onalmente se
diado son par
minadas a alc
pañía para to
ideraciones d
oceso y el im
último, al com
emeja a la d
ir los objetiv
de riesgos de
Figura 40 – Ba
e caso de es
s cuatro obje
ue medidas e
ó que para
stán acorde c
te comprobar
ntes debido a
dente en esta
e puede conc
rte del núcle
canzar los ob
omar en con
del área de te
mpacto de un
mparar perfil
el perfil idea
vos de negoc
e TI actual e
anco B, Perfil d
studio se obs
etivos de neg
eran adoptad
los objetiv
con lo expue
r que en este
a que para e
a misma sec
cluir que en
o del negoci
bjetivos de n
nsideración e
ecnología, pu
mal funcion
l de riesgos i
al, esto quier
io pertinente
n la figura 4
de Riesgos de T
serva que su
gocio. Con ba
das por el Ba
vos de Agili
esto en el mar
e Banco los c
este proceso
cción al descr
este Banco l
io, por tal m
negocio y se
en primer lu
ues son las pe
namiento del
ideal con el a
re decir que
es para el pro
0.
TI Actual del p
u perfil de ri
ase en el aná
anco para com
idad y Disp
rco de refere
cuatro objetiv
en particula
ribir los aspe
las medidas
motivo las dec
discuten con
ugar sus nec
ersonas de ne
mismo.
actual se obs
el Banco tra
oceso selecci
proceso seleccio
iesgos actual
álisis de la se
mplementar
ponibilidad
encia 4A.
vos de negoc
ar, todos son
ectos más re
de TI relacio
cisiones de T
n los jefes de
cesidades y
egocio quien
serva que la f
ata de darle u
ionado del B
onado
l muestra un
ección anteri
aquellas de l
implementa
cio han sido l
n de gran im
elevantes de
onadas con e
TI que se tom
e las demás á
en segundo
nes realmente
forma del pe
una alta impo
83
anco B se
n nivel de
ior, donde
la circular
medidas
llevados a
mportancia
cada uno,
el proceso
man están
áreas de la
lugar las
e conocen
erfil actual
ortancia a
84
todos los objet ivos de negocio, ya que como se mencionó anteriormente para este banco cada uno
de los 4 objet ivos de negocio t ienen una alta importancia. T ambién se hace evidente que hay
algunas medidas del marco 4A que al ser implementadas permit irían alcanzar los niveles de riesgos
del perfil ideal, para ver cuales medidas favor remit irse al anexo “Instrumento para generar el perfil
de riesgos actual”.
A continuación se presenta el análisis pertinente al caso de estudio del Banco C.
3.3. Banco C
3.3.1. Descripción del Banco
El tercer banco en estudio, el Banco C, es una entidad financiera de índole mixta, es decir un banco
comercial que presta servicios de Banca de inversión. Se destaca en los primeros lugares del
escalafón de empresas con mayor retorno de ut ilidades en el año 2008 y como uno de los bancos
con más incidencia dentro del territorio colombiano.
Este Banco por ser de naturaleza mixta t iene una gran variedad de productos y servicios según su
t ipo de cliente, a continuación se describen algunos de los servicios que presta a cada uno:
• Personas Naturales: Manejo de cuentas corrientes y de ahorros, diferentes t ipos de CDT s,
inversiones, carteras colect ivas, manejo de portafolio de nóminas, giros internacionales, préstamos y financiación, tarjetas de crédito y débito, seguros y pólizas de vida, planes de
pensiones, banca electrónica y pagos de seguridad social.
• Empresas: Productos y servicios para cubrir las necesidades de cualquier empresa de
acuerdo con su línea de negocios, tales como cuentas de ahorros y corriente, depósitos a
plazo, carteras colect ivas, créditos de comercio, sobregiros, cartas de crédito de exportación
e importación, créditos en moneda extranjera, banca electrónica, pagos de seguridad social,
pagos de nómina y remesas entre otros.
• Banca Electrónica para personas naturales y empresas.
85
3.3.2. Descripción del proceso
Dentro del Banco C se ha decido seleccionar para términos del caso de estudio de esta invest igación
el proceso de Transacciones46 a Través de Internet. La selección de dicho proceso se debe al
crecimiento en el uso de este canal y por la importancia que radica la facilidad del medio dentro de
las preferencias de los usuarios del banco.
Las principales act ividades de este proceso se muestran a continuación en la figura 41:
Figura 41 – B anco C, diagrama de las actividades del proceso de negocio
El funcionamiento de éste proceso requiere de varios elementos relevantes:
• El cliente del banco debe estar suscrito al servicio de t ransacción por Internet (Banca
Electrónica).
• Un computador con conexión a Internet y navegador compatible con los servicios prestados
por la Banca Electrónica.
De este modo, el sistema de información que interviene en la operación de éste proceso es el de la
Banca Electrónica, la cual es una aplicación web desarrollada en la plataforma Java que permite la
46 Aquí el término Transacciones se refiere a todos los servicios prestados por la Banca Electrónica del Banco C.
El usuario se registra en la
Banca Electrónica, luego
se autentica.
La Banca Electrónica
verifica los datos generales del
usuario y luego envia ésta
información a la ERP para que sea
autenticada.
El ERP recibe los datos del usuario y retorna a la Banca
Electrónica la información bancaria, los productos y
servicios de dicho usuario.
La Banca Electrónica le da
privilegios al usuario para que éste realice sus
operaciones bancarias.
Se genera un reporte de
actividades del usuario, cuya
copia es enviada a la direccion electrónica
registrada por dicho usuario.
86
realización de operaciones bancarias, las cuales serán descritas más adelante. Dicho sistema de
información se conecta con los módulos centrales de un ERP, que es el sistema central en donde se
lleva el registro del control de saldos y movimientos de los productos bancarios, y donde se alojan
los productos del act ivo y del pasivo del Banco C como las cuentas personales, préstamos, medios
de pago, etc. Como dato adicional, este proceso en particular no requiere de ninguna intervención
de personal para realizar las operaciones.
De la misma manera, los sistemas involucrados en este proceso de negocio son presentados
gráficamente a continuación en la figura 42:
Figura 42 – B anco C, clasif icación de las actividades del proceso en los sistemas de información que las soportan
Descripción de la Banca Electrónica:
El sistema de información Banca Electrónica es un servicio de banca por Internet que permite
realizar consultas y operaciones bancarias con disponibilidad de 24 horas al día, 7 días a la semana.
Las transacciones que se pueden hacer son:
• Traspasos de fondos a otras cuentas del Banco C (en línea o periódicas), a cuentas de otros
bancos y a carteras colect ivas.
• Solicitud y act ivación de chequeras.
• Pago de tarjetas de crédito.
• Avance de tarjeta de crédito con abono a cuenta.
• Pago y traspasos de cupo rotat ivo.
• Constitución de Inversión On Line.
• Pagos de facturas, incluyendo servicios públicos.
• Compra de minutos para telefonía celular prepago.
Banca Electrónica
Aplicación web desarrollada en la plataforma Java que permite la realización de operaciones bancarias.
ERP
Sistema central donde se lleva el registro del control de saldos y movimientos de los productos bancarios, y
donde se alojan los productos del activo y del pasivo del
Banco C.
87
• Bloqueos de cheques, chequeras, tarjetas débito y tarjetas de crédito.
En términos de seguridad, cada cliente al momento de registrarse en el sistema debe crear una clave
única de acceso, que a su vez es dist inta a las demás claves usadas en los diferentes servicios del
Banco C. Adicionalmente, el cliente deberá crear una clave de operaciones para autorizar todas las
operaciones monetarias que realice con sus cuentas, carteras colectivas, préstamos y tarjetas. Dichas
claves pueden ser cambiadas en cualquier momento por el cliente.
Por otro lado, el cliente podrá recibir diariamente a su dirección de correo electrónico, la
confirmación de las operaciones monetarias realizadas a través de la Banca Electrónica durante el
día anterior.
Ahora, teniendo en cuenta la descripción del proceso y la aplicación del instrumento en el Banco C
se generó el perfil de riesgos de TI ideal mostrado en la figura 43:
Figura 43 – Banco C, Perfil de Riesgo de TI Ideal del proceso seleccionado
Este perfil Ideal visualiza cómo deben ser controlados los objet ivos de negocio para el Banco C
según el impacto hacia sus clientes, frente a regulaciones, reputación dentro y fuera del banco, y
frente temas económicos relacionados para el proceso seleccionado. Para mayor detalle favor
remit irse al anexo “Instrumento para general el perfil de riesgos ideal”.
Ahora a continuación se explica el análisis realizado al proceso por medio de la disciplinas del
marco 4A y la relación que t ienen éstas con la circular 052.
-0,2
2E-15
0,20,4
0,6Disponibilidad
Acceso
Precision
Agilidad
Perfil de riesgos de TI Ideal Banco C
Perfil de riesgos de TI Ideal Banco C
88
3.3.3. Análisis de Disciplinas del proceso seleccionado y su relación con la Circular 052
Esta sección muestra un análisis de las práct icas y polít icas implementadas por el banco C,
obtenidas gracias al instrumento aplicado en dicho banco (ver Anexo “ Instrumento Aplicado”) para
garantizar las mejores condiciones en el proceso seleccionado.
Dichas práct icas y políticas son presentadas a continuación según las disciplinas y objet ivos de
negocio explicados en el marco 4A que potencializan para términos del proceso. Las disciplinas
serán presentadas en orden decreciente de importancia para el banco.
Asimismo, se presenta una relación entre los numerales que le competen a la circular 052 en
relación a las disciplinas del proceso:
• Gobernabilidad: Esta disciplina se ve directamente relacionada con la forma en que el área
de T I del Banco C maneja los roles de responsabilidades en el proceso, pues de esta
jerarquía se disciernen las polít icas claves para las diferentes actividades que serán mencionadas más adelante. A continuación se presenta la figura 44 que describe el
comportamiento jerárquico de los roles en el área de TI:
Figura 44 – B anco C, Jerarquía de roles en el área de TI
Viceprecidente Ejecutivo
Responsable
Responsable Equipo
Gestor de Proyectos
Analista
89
Estos son los roles asociados al área de TI:
o Vicepresidente Ejecutivo: es la persona encargada de impart ir las obligaciones del
banco en temas de TI.
o Responsable: se encarga de responder por la implementación de soluciones
tecnológicas y organizacionales enmarcadas dentro de la estrategia del Banco C,
asegurando el cumplimiento en plazos, calidad y funcionamiento. Asimismo se
encarga de:
o Definir y monitorear los estándares de calidad para la implementación de
soluciones y mantenimiento de las aplicaciones.
o Controlar el acceso a las aplicaciones según el perfil asignado para los
funcionarios de la dependencia, corroborando que sean acordes con las
funciones realizadas.
o Responsable Equipo: su función básica es planear, dirigir y administrar proyectos
de productos, servicios y procesos del Sistema para los diferentes aplicat ivos
clasificados como Negocio Transaccional, en este caso Banca Electrónica,
coordinando su desarrollo, cambios, manejo con los proveedores y usuarios
internos.
o Gestor de Proyectos: su función básica es administrar, part icipar y apoyar a su
equipo de trabajo en el desarrollo de los proyectos asignados, garantizando un
adecuado análisis, diseño, desarrollo, documentación, implantación, seguimiento y
ajustes de los aplicat ivos clasificados como Negocio Transaccional, como lo es la Banca Electrónica.
o Analista: se encarga de efectuar los desarrollos informáticos y modificaciones de
los aplicat ivos clasificados como Negocio Transaccional del Banco C, de acuerdo a
los proyectos, mantenimientos correct ivos y evolut ivos asignados, realizando las
correspondientes pruebas de desarrollo.
Como se puede observar, el comportamiento jerárquico es vertical, lo cual indica que
cualquier polít ica que se tenga que cumplir en el área de TI, como los temas de
cumplimiento y regulaciones de la SFC, viene impuesta directamente por el Vicepresidente
Ejecutivo.
90
El objet ivo principal del área de T I es crear herramientas tecnológicas que mejoren o
añadan nuevos servicios a la Banca Electrónica y cumplir con las regulaciones o normativas
impuestas desde la Vicepresidencia Ejecutiva, como es el caso de la circular 052. La
iniciat iva para añadir y mejorar el servicio de la Banca Electrónica se debe al uso del canal
de Internet que es uno de los que más se ha incrementado en los últ imos años para realizar
t ransacciones bancarias.
Desde luego, para esta disciplina se observa que en temas relacionados con Gobernabilidad
hay polít icas de diferentes índoles que repercuten en diferentes aspectos del proceso. A
continuación se presentan las más relevantes.
o Una de las polít icas más importantes es el tema de cumplimiento de regulaciones
que provienen de la SFC, el ente controlador de todo el sector financiero y
bancario. A esta polít ica es la que más se le dedica t iempo y esfuerzo por parte del
área de TI por los cortos tiempos de entrega que exige la SFC.
o Para garantizar el acceso seguro a la Banca Electrónica y al proceso como tal, se
especifica una polít ica donde se describe qué t ipo de información se le debe mostrar
al usuario y que datos deben obtenerse del ERP para poder realizar una transacción.
o Otra polít ica asociada a esta disciplina es el manejo y desarrollo de nuevos
proyectos relacionados con este proceso, para esto se crea un cronograma, se
definen las fechas de entregas y los t ipos de pruebas que debe pasar antes de ser
lanzado públicamente para ser usado por los usuarios de la Banca Electrónica. Sí
dicho proyecto no es terminado a t iempo o si presenta alguna falla, no se ofrece a los clientes hasta que cumpla con todos los requisitos.
o Para temas de seguimiento y monitoreo de la plataforma del proceso, hay polít icas
de Gobernabilidad que fomentan el análisis de riesgos y vulnerabilidades de los
sistemas de información involucrados en este proceso. Para tal fin se definen
polít icas de acceso a la información, pues cada empleado encargado de monitorear
dicho proceso t iene un acceso restringido a la información que puede o no usar para
sus reportes. Asimismo, se niega el acceso de información a socios, vendedores y
contrat istas, ganando así un nivel de seguridad bastante confiable.
o Finalmente, hay una polít ica específica sobre validaciones de las t ransacciones
bancarias realizadas en el proceso, las cuales pueden ser de carácter técnico
(validación de fechas, teléfonos, etc.) o de carácter procedimental, como validar las
referencias personales del cliente y su estado financiero contra las bases de
91
Información de Riesgo que competen en el sector colombiano (Datacredito, CIFIN,
etc.). Esta política en especial sirve para comprobar y asegurar que no entren
dineros ilícitos al flujo financiero del Banco C.
• Base Tecnológica: En la figura 45 se describen la infraestructura y aplicaciones del proceso
seleccionado en el Banco C:
Figura 45 – B ase de TI del proceso seleccionado en el B anco C
En este proceso, la Base Tecnológica se encuentra relacionada con temas concernientes a la
disponibilidad de los sistemas de información, en este caso la Banca Electrónica y el ERP.
El correcto funcionamiento de dichos sistemas se debe garantizar en todo momento, pues
estos son los sistemas que t ienen una prioridad alta a la hora de realizar cualquier
t ransacción por medio de la Banca Electrónica.
En la entrevista realizada en el Banco C, se dijo que dicho proceso debe tener un nivel de
disponibilidad de sus servicios en un 99.9%47, lo cual implica que las práct icas realizadas
por la Base Tecnológica deben velar por un alto nivel de disponibilidad del servicio. Por tal
47 Cifra dada por el contacto que trabaja en el proceso del Banco C.
Sistemas Externos: Plataforma de la Banca Electrónica.
Sistemas Internos: Sistema de información de la Banca
Electrónica y el ERP. Servidores y bases de datos centrales del banco.
Estaciones de trabajo y Redes internas
Aplicaciones
Infraestructura
92
motivo, el área de TI cuenta con práct icas de recuperación y continuidad del proceso ante
posibles desastres, para ello, los sistemas de información se encuentran en redundancia de
equipos, lo cual minimiza cualquier pérdida de información durante las t ransacciones de la
Banca Electrónica; de igual manera se cuentan con copias de seguridad de la información
que se procesa diariamente y se realizan seguimientos diarios sobre el comportamiento
general de la plataforma por parte del área de TI.
Las anteriores práct icas reflejan la necesidad de aplicar en todo momento un mecanismo de
contingencia por si surge algún error o si se prevé algún desastre inminente en los sistemas
de información del proceso.
• Cultura: Este proceso por ser un servicio netamente tecnológico que necesita ser regulado
estrictamente en materia de seguridad y continuidad del servicio, t iene pocas práct icas
propias de la disciplina Cultura. Sin embargo, se podría tomar como una práctica, tal y
como se menciona en el Banco B, la labor de realizar informes de seguimiento sobre el
estado de los sistemas de información del proceso, pues a pesar de ser un trabajo impuesto
directamente por el área de TI del banco C –y tomado en cuenta en Gobernabilidad– se
requiere que cada uno de los empleados involucrados en el monitoreo del proceso tenga un
cierto grado de conciencia, responsabilidad y constancia por cuenta propia de realizar
dichos reportes de seguimiento. Por otro lado, el sistema de roles manejado en el área de TI
permite visualizar cierta cooperación de todos ellos en temas de cumplimiento de
obligaciones y regulaciones impuestas desde la Vicepresidencia Ejecutiva, lo cual ayuda al
entendimiento de cada una de sus tareas específicas y a la integración de act ividades del
proceso.
La relación con la circular 052 de la SFC con estas disciplinas se encuentra en los numerales 3, 4.9,
5 y 7 pues en ellos se t ratan los temas de seguridad mínima que debe tener el canal de información
de este proceso, el canal de Internet ; los sistemas de información, las personas involucradas y los
datos resultantes en las act ividades de dicho proceso. Claramente, para llegar a cumplir estos
requerimientos que menciona la circular 052 en dichos numerales se t ienen que traducir
inicialmente como polít icas del tema de Gobernabilidad, pues desde allí se presentan como
requerimientos mínimos a implementar en todo el servicio de transacciones por Internet en un
periodo de t iempo relat ivamente corto tal y como sucede en la actualidad. Estas polít icas también se
93
ven reflejadas en la disciplina de Base Tecnológica, ya que la implementación de nuevas
herramientas tecnológicas de seguridad, monitoreo, entre otras deben regirse por lo que indican
dichos numerales de la circular 052.
Sin embargo, las práct icas encontradas en este proceso indican que el Banco C, además de cumplir
la reglamentación impuesta por la circular 052, t iene unas políticas adicionales sobre temas de
cobertura de riesgos de TI y continuidad del negocio, como lo son los seguimientos diarios que
llevan a cabo en toda la plataforma del proceso, la selección del personal que está involucrado en
las labores del soporte técnico del proceso, el registro de posibles fallas o intrusiones que pueda
tener la plataforma, la planeación y pruebas de nuevos proyectos basados en el proceso, la
definición de roles específicos en el área de TI que ayudan a distribuirse jerárquicamente las
act ividades pert inentes al proceso, entre otras práct icas que serán explicadas más a fondo en los
objet ivos de negocio asociados en el siguiente numeral.
3.3.4. Perfil de riesgos de TI Actual del proceso seleccionado
Con base en las disciplinas, en la relación de la circular 052 con el proceso anteriormente descrito y
en la aplicación del instrumento (ver anexo Instrumento para generar el perfil de riesgos actual), se
analizan cada uno de los objet ivos de negocio 4A para el proceso de transacciones por Internet del
Banco C:
• Disponibilidad: Como se dijo en el apartado de Base Tecnológica, el nivel de disponibilidad está alrededor del 99.9%, describiendo así la alta confiabilidad de dichos
sistemas para el proceso en estudio. Para este proceso, se calcula que el sistema central, el
ERP, soporta aproximadamente 10 millones de transacciones mensuales48, lo cual
representa un gran flujo de información que debe estar siempre disponible tanto para el
usuario del servicio como para el banco.
La consecuencia más relevante que puede ocurrir si los sistemas de este proceso llegasen a
fallar sería que los clientes de éste servicio no podrían realizar sus transacciones a través del
48 Ibídem.
94
canal de Internet , lo cual repercutiría en un mal servicio del mismo, quejas ilimitadas de
dichos clientes y el consecuente deterioro de la imagen del Banco como tal.
Finalmente, según lo discutido anteriormente en la disciplina de Base Tecnológica, la
Disponibilidad es lo más importante para este proceso, pues se necesita que todos los
sistemas estén siempre funcionando para que el servicio de transacciones por Internet
funcione correctamente y preste sus servicios normalmente. Es decir, si algún sistema llega
a fallar, el proceso dejaría de funcionar de manera inmediata. Por todo lo anterior se deduce
que el potencial de riesgos para la Disponibilidad es bajo.
• Acceso: En este objet ivo de negocio radica la importancia de mantener la confidencialidad
de la información personal y financiera de los clientes que ut ilizan el servicio. Sí ésta
información fuese perdida, liberada, comprometida o robada por otras personas podría
utilizarse con fines delict ivos hacia los clientes, como robo, extorsión, desviación de
recursos o lavado de act ivos.
A nivel interno, el acceso a esta información t iene muchas restricciones para los empleados
que t ienen acceso a ésta por razones de monitoreo y seguimiento de las act ividades del
proceso. De igual manera, los socios, vendedores o contrat istas del banco t ienen el acceso
denegado a la información proporcionada por este sistema.
Actualmente no se ha tenido ningún incidente relacionado con la protección de la
información.
Para concluir, este objet ivo de negocio también es imprescindible dentro del
funcionamiento del proceso pues el Banco C necesita controlar de manera satisfactoria
todos los accesos que se hagan a la información bancaria del cliente. Es decir, que aquellos
empleados que monitorean el funcionamiento del proceso y que de alguna u otra forma
t ienen algún acceso restringido a la información del cliente deben estar vigilados por alguna
polít ica de Gobernabilidad, tal y como se mencionó en dicha disciplina y por el numeral 3.4
sobre la Divulgación de la Información de la circular 052 de la SFC. Asimismo, este
proceso necesita asegurar un nivel alto de seguridad de su canal de información, en este
caso es Internet , pues por allí es donde se realiza el intercambio de los datos confidenciales
de cada uno de los clientes del servicio de transacciones por Internet. Lo anterior es
claramente reglamentado por el numeral 4.8 sobre los Sistemas de Acceso Remoto para
95
Clientes de la circular 052 y 4.9 Internet, lo cual asegura un nivel adecuado de seguridad
para dichas t ransacciones que realiza este proceso. Es por esto que el Acceso t iene un
potencial de riesgos bajo en el Banco C.
• Precisión: Para este proceso que permite realizar transacciones en línea entre los productos
financieros de un cliente específico, los sistemas de información de Banca Electrónica y el
sistema central del banco producen datos muy precisos y generados a t iempo para evitar
que existan errores en la información procesada de los recursos monetarios del cliente. De
esta manera, la información es lo suficientemente completa para realizar cualquier
t ransacción que desee el cliente, asimismo el sistema de Banca Electrónica se encarga de
proporcionar todos los datos que necesita conocer dicho cliente a la hora de realizar una
operación en el sistema.
No obstante, el sistema de Banca Electrónica envía a cada uno de sus clientes un reporte de
las act ividades realizadas a la dirección electrónica provista por dicho usuario.
De igual manera, se necesita que toda la información personal y bancaria del cliente esté
correcta ya que parte de esos datos serán enviados a las Bases de Información de Riesgos,
mencionadas en la disciplina de Gobernabilidad, para su posterior validación.
Sin embargo, existe una fuente que puede generar inconsistencias en los datos las cuales
pueden ser producidas en el momento en que se vincule el cliente al servicio de
transacciones por Internet o cuando adquiere un producto en una sucursal del Banco C.
Esta información es ingresada por el Gestor de la sucursal. No obstante, para ello existen
práct icas de verificación de información de los clientes a la hora de realizar transacciones
por Internet , es decir que dicha información es validada por el sistema central del Banco C,
la ERP.
Para términos de las disciplinas descritas en el numeral anterior, la Precisión se ve
directamente controlada por polít icas de Gobernabilidad del área de TI, como el monitoreo
y seguimiento a las plataformas y sistemas del proceso lo cual reduce el riesgo de generar
algún dato incorrecto o perder la información de una transacción durante el proceso y
validación de la información financiera de los clientes.
Por otro lado, la circular 052 exige en el numeral 3.4 de Divulgación de Información que se
expida un soporte de la transacción realizada, para lo cual se necesita que todos los datos
relacionados con dicha transacción concuerden con los verdaderos.
96
Con todo lo anterior, se concluye que el potencial de riesgos para la Precisión es bajo.
• Agilidad: En este objetivo de negocio, el área de T I del banco encargada del
funcionamiento correcto de la Banca Electrónica apoya directamente a todas las
necesidades de negocio que se relacionen con dicho proceso, pues son los responsables de
las innovaciones y mejorías en la prestación del servicio.
Actualmente, para términos de este proceso no hay ningún cambio estratégico desde el área
de T I. Sin embargo, esta área prevé que con el incremento en el uso de Internet , este canal
se convierta en uno de los más utilizados por los clientes para realizar sus t ransacciones
bancarias. Es por esto que el área de T I aporta la calidad y seguridad necesaria para mejorar
las t ransacciones que el cliente realiza en la Banca Electrónica.
Ahora, con respecto a casos de éxito en proyectos de negocio relacionados con el proceso,
el área de T I indica que es bastante inusual que no se cumpla con un proyecto de negocio
asociado a este canal de Internet, pues el valor agregado de dicho proyecto va en función de
prestar un mejor servicio a los clientes. De igual modo, las consecuencias de si el proyecto
se demora en terminar o falla, es que el nuevo servicio o mejorar no se logren ofrecer a los
clientes de la Banca Electrónica. Aunque puede llegar a suceder que algún nicho de clientes
haya conocido de antemano dicho servicio futuro, lo cual repercutiría directamente en la
reputación del banco por no haber lanzado dicho proyecto.
No obstante, el área de TI se encuentra apoyando todas las necesidades de negocio que
tengan que ver con la Banca Electrónica.
Finalmente en términos de las disciplinas, la Agilidad sólo corresponde en temas de
Gobernabilidad, en lo que compete a que cada uno de los proyectos nuevos diseñados para
este proceso sea debidamente inspeccionado por medio de cronogramas de act ividades y
por pruebas específicas para comprobar su correcta operabilidad antes de ser lanzado como
un nuevo servicio a sus clientes. Por otro lado, el objet ivo de Agilidad estudiado para este
proceso vela porque haya un control estricto de riesgos de TI para dicho proceso y para toda
el área de T I involucrada. De esta forma, las decisiones que se deban tomar frente a riesgos
de T I deben ser conocidos tanto vert ical como horizontalmente en toda la organización: esto
es que tanto el nivel ejecutivo como el nivel operativo deben analizar y clasificar los riesgos
de T I que le acaecen a este proceso en part icular, así como deben escoger minuciosamente
97
los encargados o los roles relacionados con los riesgos de TI. Todo lo anterior se debe a que
tanto el proceso como el área de T I y el banco deben estar preparados frente a cualquier
cambio, en este caso cualquier factor que afecte directamente el análisis de riesgos de TI,
que se necesite hacer para suplir las necesidades de los clientes, empleados, económicos y
regulaciones del sector bancario.
Luego de describir los objet ivos de negocio pertinentes al proceso seleccionado del Banco C se
presenta la gráfica correspondiente al Perfil de Riesgos de TI Actual en la figura 46:
Figura 46 – B anco C, Perfil de Riesgos de TI Actual del proceso seleccionado
Para concluir este caso de estudio se observa que el perfil de riesgos para el proceso de
transacciones por Internet del Banco C se muestra un nivel de riesgo bajo para los cuatro objet ivos
de negocio. Lo anterior se demuestra puesto que dicho proceso necesita estar regulado, probado,
monitoreado y vigilado estrictamente para que su funcionamiento cumpla con las necesidades del
negocio y de los clientes, explicadas anteriormente. De igual forma, la circular 052 complementa
dichas práct icas propias del banco sobre este proceso en part icular, de forma que fortalece la gest ión
de riesgos de T I en los procesos que presenta nivel bajo.
Comparando el perfil de riesgos de T I Actual con el Ideal, se detalla que ambos perfiles t ienen una
cierta semejanza por sus porcentajes de niveles bajos en los objet ivos de negocio de Disponibilidad,
Acceso y Precisión, todos con menos del 1%. Esto se debe a que el Banco C t iene como obligación
00,020,040,060,080,1
Disponibilidad
Acceso
Precisión
Agilidad
Perfil de Riesgos Actual Banco C
Perfil de Riesgos Actual Banco C
98
prestar un servicio de alta calidad a sus clientes reduciendo al máximo los niveles de riesgo de cada
uno de dichos objet ivos, en especial los de Disponibilidad y Precisión. Sin embargo, se puede
apreciar un notable aumento del nivel de riesgos del objetivo de Agilidad en el perfil de riesgos de
TI Ideal frente al Actual puesto que si el banco quiere alcanzar el nivel mínimo de riesgos de TI
ideal para los demás objet ivos, debe restarle un poco de importancia al objet ivo en mención. Esto
podría lograr por ejemplo reduciendo la importancia del impacto económico que tiene un proyecto
no lanzado al mercado, o minimizando el impacto que t iene hacia sus clientes alguna falla o demora
en un proyecto futuro, que en otras palabras es denegando la filtración de información sobre sus
productos futuros hacia sus clientes o personas ajenas al banco.
Por otro lado, se necesita que el nivel de riesgos del objet ivo de Acceso se reduzca a su mínimo, en
relación con el perfil actual, pues el proceso en estudio necesita tener muy controlado la manera en
como van a estudiar y mitigar los riesgos de TI en el Banco C, por ejemplo por medio de diferentes
audiencias de estudio; y cómo se mencionó en el parrafo anterior, denegar el acceso de información
sobre futuros proyectos, productos y servicios a sus clientes.
Todo lo anteriormente explicado se ve reflejado y respaldado en los instrumentos aplicados para
generar los perfiles de riesgos de TI actual e ideal (ver Anexos “ Instrumento para generar el perfil
de riesgos actual”, “Instrumento para generar el perfil de riesgos ideal”).
A continuación se presenta el últ imo caso de estudio, detallando los mismos puntos explicados en
los anteriores bancos y procesos.
3.4. Banco de la República
3.4.1. Descripción del Banco
Mediante la Ley 25 de 1923 se creó el Banco de la República, como banco central colombiano. Se
organizó como sociedad anónima con un capital original de $10 millones oro, de los cuales un 50%
lo aportó el Gobierno y la diferencia los bancos comerciales nacionales, extranjeros y algunos
part iculares. A esta ent idad se le confió, en forma exclusiva, la facultad de emit ir la moneda legal
colombiana, se le autorizó para actuar como prestamista de últ ima instancia, administrar las reservas
internacionales del país, y actuar como banquero del Gobierno. La Junta Direct iva del Banco,
conformada por 10 miembros, representantes del sector privado y del Gobierno, fue encargada por
99
la misma Ley, de ejercer las funciones de regulación y control monetario bajo estrictos parámetros
de ortodoxia financiera. Se le encomendó, además, fijar la tasa de descuento y la intervención para
controlar las tasas de interés.
Actualmente es la inst itución que emite y administra la moneda legal y ejerce la función de
banquero de bancos. Además, controla los sistemas monetario (el dinero), crediticio (las tasas de
interés) y cambiario (la tasa de cambio) del país. A continuación se enumeran sus funciones:
• Emisión de Moneda Legal.
• Funciones de Crédito del Banco de la República.
• Banquero de Bancos.
• Funciones Cambiarias.
• Administración de las Reservas Internacionales.
• Banquero, Agente Fiscal y Fideicomisario del Gobierno.
• Promotor del desarrollo Científico, Cultural y Social.
• Informe de la Junta Directiva al Congreso de la República.
3.4.2. Descripción del Proceso
Proceso de compensación de Cheques La compensación de cheques es un servicio prestado a nivel nacional en forma única por el Banco
de la República a t ravés del CEDEC (Sistema de compensación electrónica de cheques) y Cámaras
de Compensación, que son los recintos donde se realiza el intercambio físico de los documentos.
Part icipan de este servicio los bancos comerciales, así como el propio Banco de la República quien
además administra el proceso.
Para la consolidación nacional de la información de los documentos presentados al cobro y en
devolución en las plazas donde el Banco de la República administra este servicio en forma directa o
a través de otra ent idad part icipante, se ut ilizan tres mecanismos, en donde el principal se describe a
continuación:
En las seis principales ciudades del país, Bogotá, Medellín, Cali, Barranquilla, Bucaramanga y
Cartagena (donde se efectúa cerca del 90 por ciento del valor y el volumen total del canje a nivel
100
nacional) opera desde agosto de 1999 el CEDEC, que es una aplicación automatizada para la
presentación electrónica de los cheques en el cual se graba y transmite electrónicamente al Banco de
la República la información correspondiente a cada uno de los documentos presentados al cobro en
la respect iva ciudad.
El intercambio físico de los documentos se realiza en las cámaras de compensación del Banco de la
República, pero el cálculo de las posiciones netas se efectúa con base en los registros electrónicos
transmitidos por cada ent idad al sistema en donde la entidad presentadora es el banco que presenta
un archivo con el listado de los cheques al cobro, para su pago por parte de las ent idades libradas a
través del sistema CEDEC, como se puede observar en la figura 47.
Figura 47 – Diagrama del proceso de compensación de cheques en el B anco de la República
De igual forma, se procesan electrónicamente a t ravés del CEDEC las devoluciones
correspondientes al primer canje de las citadas ciudades. El proceso se puede ver en la figura 48.
Figura 48 – Diagrama del proceso de devolución de cheques en el B anco de la República
Entidad Presentadora Presenta un archivo con el listado de los cheques al
cobro
CEDECValida el archivo con los
datos del cheque
Entidad LibradaRecibe el archivo
consolidado de los cheques de su entidad
Entidad Presentadora Recibe el archivo con los
cheques devueltos
CEDECValida el archivo con los
datos del cheque
Entidad LibradaEnvía el archivo con los cheques devueltos a las entidades presentadoras
101
Una vez que se han validado los archivos con los datos de los cheques se procede al proceso de
devoluciones en el cual las ent idades libradas envían el archivo con los cheques devueltos a las
respect ivas ent idades presentadoras.
Este proceso es automatizado y realizado de manera electrónica, el cual depende en casi un 95% de
los sistemas de información, y en el cual la operación humana es práct icamente nula, limitándose al
monitoreo de los estados del sistema.
Sistemas más importantes para el proceso. El proceso de compensación de cheques requiere de varios sistemas de información para su
funcionamiento, tales como CEDEC (Compensación Electrónica de Cheques), SEBRA (Sistemas
Electrónicos del Banco de la República), CUD (Cuentas de Deposito), HT RANS (Transmisión de
Archivos). El CEDEC es el sistema más importante ya que es el centro de todo el proceso de
compensación y liquidación de cheques.
CEDEC:
El CEDEC funciona bajo las siguientes características generales:
• Es un sistema diseñado para procesar la información relacionada con la totalidad de los
cheques y otros instrumentos de pago autorizados presentados al cobro y en devolución
diariamente, mediante un proceso centralizado en el Banco de la República. El centro
consolidador de cada entidad autorizada está conectado a este sistema, para el envío y
recepción de la información requerida.
• Permite clasificar y totalizar la información recibida de cada una de las ent idades
autorizadas part icipantes, con el fin de obtener las posiciones mult ilaterales netas a favor o
cargo de las mismas. Con el resultado mult ilateral neto obtenido se afectan en forma
definit iva las Cuentas de Depósito de las ent idades, con lo cual se efectúa la Liquidación.
• El proceso se efectúa integralmente con información recibida electrónicamente, sin
perjuicio de que los documentos físicos continúen circulando en forma independiente a la
información.
• El intercambio físico de los instrumentos de pago entre las ent idades autorizadas se realiza
en las instalaciones de las Cámaras de Compensación y/o de las compañías de
procesamiento de cheques autorizadas por el Banco, y se sujeta al procedimiento previsto
102
para tal efecto en el Manual del Departamento de Servicios Electrónicos y Pagos del Banco
de la República.
• Las ent idades autorizadas, bajo su responsabilidad, podrán contratar con terceros
especializados la realización de todos o algunos de los procesos o act ividades necesarios
para su part icipación en el CEDEC.
• A los servicios del CEDEC pueden acceder los bancos autorizados para operar en Colombia, siempre y cuando cumplan con la totalidad de condiciones y requisitos. Así
mismo, podrán vincularse a este Sistema los otros establecimientos de crédito que en el
futuro sean expresamente autorizados por el Banco de la República – Subgerencia de
Operación Bancaria.
SEBRA Es el portal Web de acceso y seguridad a todos los servicios electrónicos ofrecidos por el Banco
de la República a sus clientes.
CUD
Es el sistema de información en el cual se administran las cuentas de los bancos en Banco de la
República, es decir donde se afectan los saldos.
HTRANS Es el sistema de información mediante el cual se hace transmisión segura de archivos en la red
de comunicaciones entre los bancos y Banco de la República.
Ahora, teniendo en cuenta la descripción del proceso y la aplicación del instrumento en el
Banco de la República se generó el perfil de riesgos de TI ideal mostrado en la figura 49:
103
Figura 49 – B anco de la República, Perfil de Riesgos de TI Ideal del proceso seleccionado
3.4.3. Análisis de disciplinas del Proceso seleccionado
Esta sección muestra un análisis de la s práct icas implementadas por el Banco de la República para
garantizar las mejores condiciones en el proceso de compensación de cheques. Dichas práct icas son
presentadas a continuación según las disciplinas del marco 4A.
• Base Tecnológica: El Banco de la República t iene instalada una plataforma para la
prestación de sus diferentes servicios electrónicos, dentro de los cuales se encuentra el
CEDEC. Dicha plataforma cuenta con unos canales de comunicación dedicados entre los
diferentes Bancos y el Banco de la República, así como software y hardware de seguridad y
los diferentes servidores centrales en sus instalaciones.
El CEDEC es un software desarrollado a la medida, con un alto nivel de personalización
para adecuarse a los requerimientos del proceso, el cual es soportado en más de un 95% en
los sistemas de T I. El sistema trae desde su diseño algunos controles, los cuales se disparan
mediante alarmas ante incidentes que no permitan la operación normal del sistema.
Dentro de la Base Tecnológica se encuentra con un ambiente de producción y uno de
contingencia y pruebas, para evitar afectar el servicio en producción.
Una de las práct icas más importantes implementadas por el Banco de la República es el de
continuidad del negocio, ya que tiene polít icas para contingencia tanto en los data centers
-0,200,000,200,400,60Disponibilidad
Acceso
Precision
Agilidad
Nivel de riesgos de TI Ideal del Banco de la República
Nivel de riesgos de TI de BanRep
104
centrales, como en cada banco (entidad autorizada) que debe implementar en sus
instalaciones o con acuerdos con otras ent idades autorizadas para operar en situaciones de
contingencia.
La plataforma de seguridad y comunicaciones es común a todos los servicios electrónicos
prestados por el Banco a sus clientes (los demás bancos), y se encarga de la administración
de usuarios, controlando el acceso únicamente a los sistemas autorizados, así como de la
encripción de los datos en los canales de comunicaciones, como puede verse en la figura 50.
Figura 50 – B ase de TI del proceso seleccionado en el Banco de la República
• Gobernabilidad: Uno de los aspectos más importantes dentro de la Gobernabilidad es la
reglamentación del proceso de compensación de cheques, ya que la operación del mismo se
rige por lo dispuesto en las normas pert inentes del Código de Comercio, el Estatuto
Orgánico del Sistema Financiero, la Ley 31 de 1992, el Decreto 2520 de 1993, el Decreto
1207 de 1996, el Reglamento Operativo del Servicio de Compensación Interbancaria
aprobado por el Consejo de Administración del Banco de la República el 20 de abril de
1998, con sus modificaciones y adiciones, la circular reglamentaria DSEP – 153 expedida
por el Banco de la República y las demás normas que las modifiquen o sust ituyan, así como
los contratos de vinculación respect ivos.
CEDEC, CUD, SEBRA, HTRANS
Portal de acceso y seguridad unificado
Red de comunicaciones entre bancos y Banrep
105
Otro aspecto importante a mencionar dentro de la disciplina de gobierno dentro del Banco
de la República es la definición de roles específicos dentro de la organización para asignar
responsabilidades en la gest ión de riesgos operativos, tal como se observa en la figura 51.
Figura 51 – Roles de gestión de riesgo B anco de la República
En cuanto al proceso de compensación de cheques, por reglamentación los archivos
enviados por los diferentes bancos deben seguir un formato preestablecido para que el
sistema pueda interpretarlo, en caso que un archivo no cumpla con dicho estándar el sistema
lo detecta y lo rechaza inmediatamente generando una alarma al banco que lo envió para
que proceda con la corrección del mismo.
• Cultura: Dentro del Banco de la República ha exist ido la cultura de gest ión de riesgos a
dist intos niveles tanto financieros como operat ivos. Hasta agosto del 2008 el tema de
gest ión de riesgos operat ivos (dentro de los cuales están los riesgos de TI) estaba en manos
del área de control interno, pero dentro del proceso de mejoramiento continuo del Banco se
creó en agosto del 2008 la Unidad de Riesgo Operat ivos y Continuidad UROC. Esta unidad
t iene como una de sus principales funciones fortalecer la cultura de administración del
riesgo operat ivo dentro de las diferentes áreas del Banco.
Comité de riesgos
operativos
Unidad de riesgos
operativos y continuidad
Líder de riesgos en cada
subgerencia
106
Dentro del personal del área encargada de administrar el proceso de compensación de
cheques hay una conciencia que el proceso depende en más de un 95% de las TI,
especialmente de un sistema (CEDEC) y que el riesgo asociado a las TI impacta de gran
manera el negocio, sin embargo, también son consientes que por la segregación de
funciones hay algunos eventos que deben ser administrados por el personal especializado de
TI.
3.4.4. Perfil de riesgos de TI Actual del proceso seleccionado
Con base en las disciplinas, en la relación de la circular 052 con el proceso anteriormente descrito y
en la aplicación del instrumento (ver anexo Instrumento para generar el perfil de riesgos de TI
actual), se analizan cada uno de los objet ivos de negocio 4A concernientes al proceso de
compensación de cheques del Banco de la República y se gráfica su perfil de riesgo ver figura 48.
• Disponibilidad: Este objet ivo es importante para el proceso de negocio, sin embargo, como el proceso maneja unas ventanas de t iempo no es necesario que el servicio esté disponible
todo el t iempo, pero a las horas de cierre del proceso si es vital que los sistemas estén
disponibles. Como principal control se t iene un ambiente de contingencia para soportar la
prestación del servicio ante eventos de falla del sistema CEDEC y de los demás sistemas
involucrados en el proceso.
También existe una contingencia manual para el proceso pero nunca ha sido necesario
usarla.
• Acceso: Este objet ivo es de los más importantes para el proceso, ya que debido a la
crit icidad de la información que procesa el sistema CEDEC solo debe permit írsele acceso a
la información al personal autorizado por cada banco, para tener este control el Banco de la
República asigna un token personalizado a cada uno de los usuarios del sistema, quienes se
hacen responsables por el buen uso del mismo.
• Precisión: La precisión es quizás el objet ivo más importante para este proceso de
compensación de cheques, ya que los datos de los mismos deben enviarse en un archivo
estándar cuyos registros debe ser una copia fiel de los datos de los cheques y
adicionalmente deben ser enviados dentro de las ventanas del sistema o de lo contrario
pueden ver afectados sus saldos en sus cuentas.
Dada la importancia de este objetivo el sistema t iene implementados controles que validan
tanto el formato como algunos de los contenidos de los archivos y lo rechaza si al menos un
107
dato es inconsistente, generando la respect iva alarma a la ent idad presentadora para que
corrija el archivo y lo vuelva a enviar.
• Agilidad: Este objet ivo no es muy importante en cuanto al proceso de compensación de
cheques, ya que está automatizado desde hace varios años y no se considera necesario
agregar más funcionalidades al sistema, en cuanto a agilidad se ha considerado la
posibilidad de manejar imágenes con fotos de los cheques en cada uno de los registro de los
archivos.
Luego de describir los objet ivos de negocio pertinentes al proceso seleccionado del Banco de la
República se presenta la figura 52 el Perfil de Riesgos de TI Actual en la siguiente figura:
Figura 52 – Perfil de Riesgos de TI Actual B anco de la República
Para concluir este caso, se puede observar del perfil de riesgos Actual que tres de los objet ivos del
marco 4A (Disponibilidad, Acceso, Precisión) están bastante controlados y por ende su riesgo es
bajo, mientras que el objetivo de agilidad tiene un riesgo un poco mayor, ya que se está iniciando un
proceso de cambio del sistema CEDEC, pero todavía no se ha definido la plataforma tecnología del
mismo. Al analizar el caso de estudio de Banco de la República, se observa que la circular 052 de la
SFC apoya las labores de seguridad mínimas que se deben tener sobre los canales de
comunicaciones entre los diferentes bancos y el Banco de la República, adicionalmente también
fortalece las labores de actualización de los diferentes sistemas de información relacionados con el
proceso y finalmente en una adecuada segregación de funciones del personal involucrado en el
proceso tanto a nivel de negocio como tecnológico.
-0,20,00,20,40,6
Disponibilidad
Acceso
Precisión
Agilidad
Perfil de Riesgos de TI Actual BanRep
Perfil de Riesgos Actual BanRep
108
Adicionalmente a estas medidas anteriormente mencionadas el Banco de la República toma algunas
medidas adicionales que no están contempladas en la circular 052, tales como planes de
contingencia y continuidad del negocio, definición de roles en cuanto a la gest ión de riesgos,
reglamentación de procesos, plataformas tecnológicas estandarizadas y fomento de una adecuada
cultura de conciencia de riesgos.
109
VI. CONCLUSIONES
Las conclusiones de esta invest igación se presentan en tres categorías diferentes con base en los
resultados obtenidos en los casos de estudio, en primer lugar se comparan los perfiles de riesgo
elaborados para cada Banco, en segundo lugar se hace una comparación entre la teoría (marco 4A y
circular 052 de la SFC) y la realidad (medidas implementadas en cada uno de los bancos) y por
últ imo se hace un análisis de las disciplinas del marco 4A acerca de la forma en que minimizan los
riesgos de TI.
4.1. Comparación de los perfiles de riesgo ideales y actuales elaborados
para cada Banco
Comenzando con la comparación de los perfiles de riesgo ideales de todos los Bancos estudiados,
en la figura 53 se observan superpuestos dichos perfiles para los cuatro casos de estudio.
Figura 53 – Perfiles de riesgo ideal de los cuatro casos de estudio
-0,090,010,110,210,310,410,51
Disponibilidad
Acceso
Precision
Agilidad
Banco A
Banco B
Banco C
BanRep
110
Al comparar los perfiles de riesgo de los Bancos A y C que t ienen el mismo proceso estudiado
“Transacciones sobre internet” se observa que se t ienen prioridades dist intas en algunos objet ivos
de negocio, por ejemplo, aunque en disponibilidad y acceso ambos t ienen niveles bajos de riesgo, el
Banco A presenta un nivel de riesgo mayor para el objet ivo de Precisión de los datos mientras que
para el banco C es más bajo, y por otro lado el banco C t iene un nivel de riesgo medio para el
objet ivo de Agilidad mientras que para el Banco A es bajo. Esto quiere decir que aún para un
mismo proceso, que t iene act ividades muy similares en los dos casos de estudio, se le puede dar
más importancia a un objet ivo que a otro, según se explica en el Banco A, no se t ienen controles
claros para garantizar la precisión de los datos ya que los controles de Acceso suplen hasta cierto
punto esta necesidad y por ende se t iene un riesgo medio, y en el caso del Banco C la Agilidad no es
tan importante ya que es un tema que en ese Banco solo involucra al área de TI y adicionalmente
actualmente no se t ienen nuevos proyectos relacionados que demanden una alta Agilidad.
En esta figura se observa que el Banco B busca niveles de riesgo bajo para los cuatro objet ivos de
negocio, esto se debe a que este proceso de negocio es uno de los más importantes para la
organización y debido a esto se le da una gran importancia, la Compra y Venta de títulos valores es
parte de la razón de ser de este Banco y por ende se t ienen prácticas que minimizan las
vulnerabilidades en las cuatro categorías. Al compararse con los demás Bancos, estos presentan
niveles de riesgo mayores en Precisión y Agilidad, lo cual se debe a que este Banco en cuanto a
Precisión se refiere, le da una alta importancia ya que como se mencionó en el caso de estudio, una
inconsistencia de datos entre los diferentes sistemas puede ser la causa de un fraude operat ivo. En cuanto a Agilidad, se observa igualmente que se la da una gran atención debido a que el mercado de
t ítulos valores, en Colombia, ha impulsado la adopción de nuevos productos financieros y por ende
ha creado la necesidad de que este banco desarrolle las capacidades que le permitan adoptar estos
productos antes que sus competidores.
En cuanto al caso de estudio del Banco de la República se t iene que la Agilidad t iene un riesgo
medio debido a que el proceso se encuentra bastante maduro y no requiere mayores cambios a
futuro en cuanto al proceso como tal, sin embargo, si se está planeando un cambio en el sistema de
información que soporta este proceso, dicho cambio es muy importante ya que el sistema en
cuest ión se venía ut ilizando por varios años y en sucursales en varios puntos del país, luego este
cambio es a gran escala e involucra la capacitación de muchos usuarios, y si a esto se le añade que
111
es un proceso donde no solo está involucrado un Banco sino todos los del país se evidencia la
importancia de realizarlo en el menor t iempo posible.
Las anteriores comparaciones indican que estos cuatro Bancos en general buscan un manejo
efect ivo del riesgo de TI, ya que en ninguno se t iene un nivel alto de riesgo, e igualmente
evidencian que las condiciones del contexto en el cual opera cada Banco determinan a cual objet ivo
de negocio del marco 4A es necesario darle una mayor importancia. Por últ imo, es importante tener
en cuenta que las condiciones de cada Banco no son estáticas sino dinámicas, lo cual hace que los
niveles de riesgo registrados en los Bancos sean el resultado de condiciones dadas en un momento
part icular, haciendo necesario que periódicamente se generen perfiles de riesgo que reflejen de
forma actualizada la información de cada Banco.
Ahora bien, los perfiles de riesgo actuales sirven como una guía para dirigir los esfuerzos que están
encaminados a mit igar los riesgos de T I, pero de la visión ideal a la situación actual siempre hay
una diferencia, en la siguiente figura se muestran los perfiles de riesgo actual para los Bancos.
Figura 54 – Perfiles de Riesgo de TI actual de los cuatro casos de estudio
En el figura 54 se observa que los perfiles de riesgo ideal para los cuatro bancos presentan niveles
de riesgo menores que los perfiles de riesgo actual, sin embargo, estas diferencias no son
substanciales lo cual se hace evidente al analizar que si bien los valores no son exactamente los
00,050,1
0,150,2
0,250,3
Disponibilidad
Acceso
Precisión
Agilidad
Banco A
Banco B
Banco C
BanRep
112
mismos en los dos t ipos de perfiles, estos si están en los mismos rangos. Si los bancos desean
disminuir sus niveles de riesgo de T I en alguno de los objet ivos de negocio es recomendable
implementar medidas del marco 4A de acuerdo a las necesidades [7].
4.2. Comparación entre la teoría (marco 4A y circular 052 de la SFC) y
la realidad (medidas implementadas en cada uno de los bancos)
En segundo lugar se hace una comparación entre la teoría y la práct ica. Analizando la circular 052 y
su perfil de riesgo elaborado en el capítulo 2, en donde se concluía que para los riesgos de Acceso y
Precisión se t ienen niveles de riesgo bajo con el perfil de riesgos del Banco A donde se t iene un
nivel de riesgo medio para la precisión se puede concluir que dependiendo del proceso que se
escoja se pueden tener perfiles diferentes al de la circular, esto se debe a que la circular t iene
medidas de ámbitos muy generales y cuando se aplica a un proceso en part icular pueden haber
muchos numerales que no aplican, como en el caso de las Transacciones a través de internet.
Otra conclusión observada es que los cuatro bancos estudiados implementan medidas que reducen
el nivel de riego en el objet ivo de Disponibilidad de un nivel medio que establece la circular 052 a
un nivel bajo gracias a que todos implementan medidas como planes de continuidad, redundancia
de equipos y personal encargado de monitorear los sistemas.
Por otro lado, retomando la clasificación de la circular 052 según el marco 4A se hace evidente que
hay una estrecha relación entre los temas a los cuales se le da importancia en la regulación
Colombiana con los que proponen algunos marcos de gest ión de riesgo internacionales como el 4A,
ya que todas las medidas de la circular 052 clasifican en al menos uno de los cuatro objet ivos de
negocio del marco, sin embargo, es importante reconocer que le da mayor importancia a algunos
objet ivos respecto a otros, esto se debe entre varias razones al entorno nacional donde la seguridad y
Acceso a los datos y la Precisión de estos es muy importante garantizarlas, debido al posible lavado
de act ivos por medio del sistema financiero. En el marco 4A en contraste no se le da prioridad a
ningún objet ivo de negocio ya que deja esa decisión a la empresa dependiendo del sector en el que
se desenvuelva.
113
Por últ imo, se concluye con base en el análisis de disciplinas de los procesos seleccionados y su
relación con la Circular 052 que la circular pretende especificar qué requisitos deben cumplir los
bancos, pero no entra en detalle sobre mejores prácticas que se puedan implementar para
cumplirlos. Por lo tanto, se hace evidente la principal diferencia entre el marco 4A y la circular, ya
que el marco 4A sí define unas mejores práct icas para alcanzar niveles altos en la reducción de
riesgos de TI.
4.3. Análisis de las disciplinas del marco 4A
En primer lugar en todos los bancos estudiados se observa que además de las medidas obligatorias
de la circular 052, se implementan medidas adicionales que complementan la gestión de riesgos de
TI; teniendo en cuenta que de los cuatro bancos estudiados algunos son extranjeros, se observa que
la experiencia que t ienen de sus operaciones en otros países, con regulaciones más estrictas que la
colombiana, les permite tener niveles más altos de control de riesgos de TI.
Clasificando estas medidas según las disciplinas del marco 4A se t iene que respecto a
Gobernabilidad en todos los bancos estudiados se t ienen roles que involucran dentro de sus
funciones la atención de los riesgos de TI, estos roles le permiten a los Bancos implementar la
segregación de funciones del personal que administra, opera, mantiene y, en general, t iene la
posibilidad de acceder a los disposit ivos y sistemas usados en los dist intos canales y medios de
servicio al usuario. Al examinar la circular 052 para verificar si hay alguna medida respecto a la
creación de roles dentro del área de sistemas, se encuentra que no la hay, lo más cercano que se
menciona en la circular está en el numeral 3.1.2 el cual dice: “para gest ionar la seguridad de la
información podrán tomar cómo referencias los estándares 17799 y 27001”. En dichos estándares se
plantea la importancia de definir roles en el área de TI.
Respecto a Base Tecnológica, se observa que los Bancos cumplen con proteger la información
confidencial de los clientes que se maneja en los equipos y redes de la entidad, igualmente dotan a
sus equipos de cómputo de los elementos necesarios que eviten la instalación de programas o
disposit ivos que capturen la información de sus operaciones y por últ imo establecen procedimientos
114
para el bloqueo de canales o de medios, cuando existan situaciones o hechos que lo ameriten
complementando las medidas de los numerales 3.1.7, 3.1.11 y 1.1.12 de la circular 052 de la SFC.
En la disciplina de Cultura se observa una mejora significat iva a nivel interno en los Bancos
respecto a lo exigido por la circular, ya que en ésta no se exigen capacitaciones periódicas respecto
a los riesgos de T I. Por otro lado, los análisis de vulnerabilidades a los que hace referencia la
circular en el numeral 7 son implementados de una forma más eficiente ya que hay una cultura más
solida en los cuatro Bancos, que genera una mayor conciencia de la importancia de medir
vulnerabilidades.
Por últ imo, es importante remarcar que aunque en ninguno de los Bancos de los casos de estudio
conocían las disciplinas para la gest ión de riesgos de T I recomendadas por el marco de Gest ión de
riesgos 4A, muchas medidas que se recomiendan en este marco eran aplicadas al interior de las
organizaciones, como se hizo evidente en la generación del perfil de riesgos actual, lo cual permite
concluir que el marco es út il para hacer gest ión de riesgos de T I en Colombia y que las medidas que
presenta no son exclusivas de un país o de un sector.
4.4. Trabajos Futuros
Como trabajos futuros es importante aumentar el tamaño de la muestra sobre la cual se hizo esta
invest igación, esto haría que se pasara de una muestra indicat iva a una muestra significat iva del
sector y brindaría un panorama más fidedigno y cercano a la realidad del sector Bancario
Colombiano. Una vez se tenga dicha muestra sería interesante presentar recomendaciones de cara a
la reglamentación Colombia en cuanto a las medidas que presentan mayores beneficios en los
Bancos estudiados, esto permit iría que las autoridades competentes no solo emit ieran medidas que
se deben cumplir sino también una guía de cómo hacerlo basada en experiencias exitosas y
recientes. Respecto a este últ imo punto, como se mencionó en el alcance de este trabajo en la tesis
de maestría del ingeniero Luis Carlos Figueroa se realizará una guía de las mejores práct icas en la gest ión de riesgos de T I que tomará algunas de las mejores práct icas de esta invest igación.
115
VII. ANEXOS
CLASIFICACIÓ N DE LA CIRCULAR 052 DE LA SFC EN EL MARCO DE GESTIÓ N DE RIESGOS DE TI 4A: B: Base Tecnológica; G: Gobierno; C: Cultura.
Clasificación de la circular 052 de la SFC en el marco de gest ión de riesgos de T I 4A.
Disponibilidad Acceso Precisión Agilidad
Nivel
Ejecutivo
Nivel
Operativo
Nivel
Ejecutivo
Nivel
Operativo
Nivel
Ejecutivo
Nivel
Operativo
Nivel
Ejecutivo
Nivel
Operativo
B G C B G C B G C B G C B G C B G C B G C B G C
Criterios circular 052 (Se da el numeral)
3. Obligaciones Generales
3.1 Seguridad y Calidad
3.1.1 x x x x x x
3.1.2 x x x
3.1.3 x x
3.1.4 x
3.1.5 x x
3.1.6 x x
3.1.7 x
3.1.8 x x
3.1.9 x x x x
3.1.10 x x
116
3.1.11 x
3.1.12 x x
3.1.13 x x
3.1.14 x x
3.1.15 x x
3.1.16 x
3.1.17 x
3.1.18 x
3.1.19 x
3.1.20 x x
3.2 Tercerización – Outsourcing
3.2.1 x x x x
3.2.2 x x x x x x
3.2.3 x x
3.2.4 x
3.2.5 x x
3.3. Documentación
3.3.1 x
3.3.2 x
3.3.3 x x
3.3.4 x
3.3.5 x x
3.3.6 x x
3.3.7 x
117
3.3.8 x x
3.3.9 x
3.3.10 x x
3.4. Divulgación de Información
3.4.1 x
3.4.2 x
3.4.3 x x
3.4.4 x
3.4.5 x x
3.4.6 x
3.4.7 x x
3.4.8 x x
4. Obligaciones Adicionales por Tipo de Canal
4.1 Oficinas
4.1.1 x
4.1.2 x
4.1.3 x
4.1.4 x
4.1.5 x x x
4.1.6 x x x
4.1.7 x x
4.2. Cajeros Automáticos (ATM)
4.2.1 x
4.2.2 x x
118
4.2.3 x
4.2.4 x
4.2.5 x x
4.2.6 x
4.3. Receptores de Cheques
4.3.1 x x
4.3.2 x x
4.3.3 x
4.3.4 x
4.4 Receptores de Dinero en Efectivo
4.4.1 x x
4.4.2 x x
4.4.3 x x
4.4.4 x x
4.5. POS (incluye PIN Pad)
4.5.1 x
4.5.2 x x
4.5.3 x
4.5.4 x x
4.5.5 x
4.5.6 x
4.6. Sistemas de Audio Respuesta (IVR)
4.6.1 x x
4.6.2 x
119
4.7. Centro de Atención Telefóni ca (Call Center, Contact
Center)
4.7.1 x
4.7.2 x
4.7.3 x
4.7.4 x
4.7.5 x x
4.8. Sistemas de Acceso Remoto para Clientes x x
4.9. Internet
4.9.1 x
4.9.2 x x
4.9.3 x x
4.9.4 x
4.9.5 x
4.9.6 x x
4.10. Prestación de Servicios a través de Nuevos Canales x x x x
5. Reglas sobre Actualización de Software
5.1 x x
5.2 x
5.3 x x
5.4 x x
5.5 x
5.6 x
6. Obligaciones Específicas por Tipo de Medio – Tarjetas
120
débito y crédito
6.1 x
6.2 x x
6.3 x
6.4 x x
6.5 x
6.6 x
6.7 x
6.8 x x
6.9 x
6.10 x x x
6.11 x x
7. Análisis de Vulnerabilidades
7.1 x x
7.2 x x x
7.3 x x
7.4 x x
7.5 x x x
7.6 x
121
PERFIL DE RIESGOS CIRCULAR 052:
La escala definida t iene tres niveles para medir el riesgo en un objet ivo de negocio, Bajo, si la razón
está entre (66.6%–100%], Medio, entre (33.3% – 66.6%] y Alto [0% – 33.3%].
• Numeral 3 Obligaciones Generales:
Sub–numeral 3.1 Seguridad y Calidad
El 15 % de las act ividades buscan mit igar riesgos de Disponibilidad.
El 50% de las act ividades buscan mit igar riesgos de Acceso.
El 22.5% de las act ividades buscan mit igar riesgos de Precisión.
El 12.5% de las act ividades buscan mit igar riesgos de Agilidad.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
Sub–numeral 3.1 de la circular 052 es:
Disponibilidad: Alto; Acceso: Bajo; Precisión: Medio; Agilidad: Alto
Sub–numeral 3.2 T ercerización – Outsourcing
El 33.33 % de las act ividades buscan mit igar riesgos de Disponibilidad.
El 33.33% de las act ividades buscan mit igar riesgos de Acceso.
El 26.6% de las act ividades buscan mit igar riesgos de Precisión.
El 6.66% de las act ividades buscan mit igar riesgos de Agilidad.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el Sub–numeral 3.2 de la circular 052 es:
Disponibilidad: Bajo; Acceso: Bajo; Precisión: Bajo; Agilidad: Alto
Sub–numeral 3.3. Documentación
No se buscan mit igar riesgos de Disponibilidad.
El 6.66% de las act ividades buscan mit igar riesgos de Acceso.
El 93.33% de las act ividades buscan mit igar riesgos de Precisión.
No se buscan mit igar riesgos de Agilidad.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
Sub–numeral 3.3 de la circular 052 es:
Disponibilidad: Alto; Acceso: Alto; Precisión: Bajo; Agilidad: Alto
122
Sub–numeral 3.4. Divulgación de Información
No se buscan mit igar riesgos de Disponibilidad.
No se buscan mit igar riesgos de Acceso.
El 100% de las act ividades buscan mitigar riesgos de Precisión.
No se buscan mit igar riesgos de Agilidad.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
Sub–numeral 3.4 de la circular 052 es:
Disponibilidad: Alto; Acceso: Alto; Precisión: Bajo; Agilidad: Alto
• Numeral 4 Obligaciones Adicionales por Tipo de Canal
Sub–numeral 4.1 Oficinas
El 41.66 % de las act ividades buscan mit igar riesgos de Disponibilidad.
El 33.33% de las act ividades buscan mit igar riesgos de Acceso. El 25.5% de las act ividades buscan mit igar riesgos de Precisión.
No se buscan mit igar riesgos de Agilidad.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
Sub–numeral 4.1 de la circular 052 es:
Disponibilidad: Bajo; Acceso: Medio; Precisión: Medio; Agilidad: Alto
Sub–numeral 4.2. Cajeros Automáticos (ATM)
El 25 % de las act ividades buscan mit igar riesgos de Disponibilidad.
El 62.5% de las act ividades buscan mit igar riesgos de Acceso.
El 12.5% de las act ividades buscan mit igar riesgos de Precisión.
No se buscan mit igar riesgos de Agilidad.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
Sub–numeral 4.2 de la circular 052 es:
Disponibilidad: Medio; Acceso: Bajo; Precisión: Alto; Agilidad: Alto
Sub–numeral 4.3 Receptores de Cheques
No se buscan mit igar riesgos de Disponibilidad.
El 33.33% de las act ividades buscan mit igar riesgos de Acceso.
El 66.66% de las act ividades buscan mit igar riesgos de Precisión.
123
No se buscan mit igar riesgos de Agilidad.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
Sub–numeral 4.3 de la circular 052 es:
Disponibilidad: Alto; Acceso: Medio; Precisión: Bajo; Agilidad: Alto
Sub–numeral 4.4 Receptores de Dinero en Efect ivo
El 12.5 % de las act ividades buscan mit igar riesgos de Disponibilidad.
El 37.5% de las act ividades buscan mit igar riesgos de Acceso.
El 50% de las act ividades buscan mit igar riesgos de Precisión.
No se buscan mit igar riesgos de Agilidad.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
Sub–numeral 4.4 de la circular 052 es:
Disponibilidad: Alto; Acceso: Bajo; Precisión: Bajo; Agilidad: Alto
Sub–numeral 4.5. POS (incluye PIN Pad)
No se buscan mit igar riesgos de Disponibilidad.
El 87.5% de las act ividades buscan mit igar riesgos de Acceso.
El 12.5% de las act ividades buscan mit igar riesgos de Precisión.
No se buscan mit igar riesgos de Agilidad.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
Sub–numeral 4.5 de la circular 052 es: Disponibilidad: Alto; Acceso: Bajo; Precisión: Alto; Agilidad: Alto
Sub–numeral 4.6. Sistemas de Audio Respuesta (IVR)
El 33.33 % de las act ividades buscan mit igar riesgos de Disponibilidad.
El 33.33% de las act ividades buscan mit igar riesgos de Acceso.
El 33.33% de las act ividades buscan mit igar riesgos de Precisión.
No se buscan mit igar riesgos de Agilidad.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
Sub–numeral 4.6 de la circular 052 es:
Disponibilidad: Bajo; Acceso: Bajo; Precisión: Bajo; Agilidad: Alto
Sub–numeral 4.7. Centro de Atención Telefónica (Call Center, Contact Center)
No se buscan mit igar riesgos de Disponibilidad.
124
El 83.33% de las act ividades buscan mit igar riesgos de Acceso.
El 16.66% de las act ividades buscan mit igar riesgos de Precisión.
No se buscan mit igar riesgos de Agilidad.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
Sub–numeral 4.7 de la circular 052 es:
Disponibilidad: Alto; Acceso: Bajo; Precisión: Alto; Agilidad: Alto
Sub–numeral 4.8. Sistemas de Acceso Remoto para Clientes
No se buscan mit igar riesgos de Disponibilidad.
El 100% de las act ividades buscan mitigar riesgos de Acceso.
No se buscan mit igar riesgos de Precisión.
No se buscan mit igar riesgos de Agilidad.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
Sub–numeral 4.8 de la circular 052 es:
Disponibilidad: Alto; Acceso: Bajo; Precisión: Alto; Agilidad: Alto
Sub–numeral 4.9. Internet
El 22.22 % de las act ividades buscan mit igar riesgos de Disponibilidad.
El 66.66% de las act ividades buscan mit igar riesgos de Acceso.
El 11.11% de las act ividades buscan mit igar riesgos de Precisión.
No se buscan mit igar riesgos de Agilidad. Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
Sub–numeral 4.9 de la circular 052 es:
Disponibilidad: Alto; Acceso: Bajo; Precisión: Alto; Agilidad: Alto
Sub–numeral 4.10. Prestación de Servicios a t ravés de Nuevos Canales
No se buscan mit igar riesgos de Disponibilidad.
No se buscan mit igar riesgos de Acceso.
El 50% de las act ividades buscan mit igar riesgos de Precisión.
El 50% de las act ividades buscan mit igar riesgos de Agilidad.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
Sub–numeral 4.10 de la circular 052 es:
Disponibilidad: Alto; Acceso: Alto; Precisión: Bajo; Agilidad: Bajo
125
• Numeral 5. Reglas sobre Actualización de Software:
El 22 % de las act ividades buscan mit igar riesgos de Disponibilidad.
El 33% de las act ividades buscan mit igar riesgos de Acceso.
El 45% de las act ividades buscan mit igar riesgos de Precisión.
No se buscan mit igar riesgos de Agilidad.
Perfil de riesgos del numeral 5.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
numeral 5 de la circular 052 es:
Disponibilidad: Medio; Acceso: Bajo; Precisión: Bajo; Agilidad: Alto
• Numeral 6. Obligaciones Específicas por Tipo de Medio – Tarje tas débito y crédito:
No se buscan mit igar riesgos de Disponibilidad.
El 65% de las act ividades buscan mit igar riesgos de Acceso.
El 35% de las act ividades buscan mit igar riesgos de Precisión.
No se buscan mit igar riesgos de Agilidad.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
numeral 6 de la circular 052 es:
Disponibilidad: Alto; Acceso: Bajo; Precisión: Medio; Agilidad: Alto
• Numeral 7. Análisis de Vulnerabilidades:
Las act ividades del numeral 7 busca lo siguiente:
El 54 % act ividades buscan mit igar riesgos de Disponibilidad.
El 8% de las act ividades buscan mit igar riesgos de Acceso.
El 38% buscan mit igar riesgos de Precisión.
No se buscan mit igar riesgos de Agilidad.
Al ver estos valores se puede concluir que el nivel potencial de riesgos que se presenta en el
numeral 7 de la circular 052 es:
Disponibilidad: Bajo; Acceso: Alto; Precisión: Medio; Agilidad: Alto
126
INSTRUMENTO APLICADO:
Este instrumento está dividido en dos partes, una ejecutiva y otra operat iva, en cada una de las
partes las preguntas están divididas por objet ivos de negocio. El fin del instrumento es tener una
descripción del proceso estudiado desde el punto de vista del negocio e identificar falencias que se
necesitan corregir y prioridades que se necesitan cambiar, para que de esta manera el perfil de
riesgos de TI en la compañía pueda comenzar a empatar con las prioridades del negocio.
Preguntas a nivel e jecutivo.
• Disponibilidad:
¿Cuáles son las consecuencias para este proceso si los sistemas no están disponibles?
Banco A: Si el sistema se detiene, todo lo relacionado con servicios a través de internet
dejaría de funcionar, debido a la importancia del internet hoy en día, se afectaría
demasiado el negocio y podría afectar al banco lo suficiente para sacarlo del mercado.
Banco B: Si los sistemas de negociación no están disponibles, no se puede realizar ninguna
operación de compra o venta de títulos (divisas extranjeras o TES). En el caso de los
sistemas internos para el registro de transacciones, lleva a que el registro de la operación
efectuada se deba hacer manualmente.
Banco C: Los clientes no podrían realizar sus transacciones a través del canal de Internet,
lo que repercutiría en un mal servicio, quejas de clientes y en un deterioro de la imagen del
Banco.
Banco de la República: Se presenta una interrupción inmediata del proceso de
compensación y liquidación de cheques con un alto impacto en el sector financiero.
¿Dado la anterior pregunta, que sistemas t ienen la mayor prioridad de negocio para
recuperarse ante una falla?
Banco A: El más importante es el ERP, porque sin él, no hay servicios y esto es igual que
no tener servicios.
Banco B: Los sistemas de negociación son los más importantes en el proceso, sin embargo,
debido a que son sistemas externos, no está al alcance del Banco el poder resolver el
incidente.
Banco C: La mayor prioridad lo tiene los sistemas que permiten la transaccionalidad en
oficinas por cuanto por allí es donde se maneja el efectivo físico (retiros y consignaciones
en efectivo).
127
Banco de la República: El sistema central del proceso, el CEDEC, aunque hay otros
sistemas como SEBRA y HTRANS sin los cuales hay partes importantes del proceso que no
funcionan.
• Acceso: ¿Qué categorías de información son las más crít icas para él éxito o fallo del proceso?
Ejemplo de categorías de información: Información de la tarjeta de crédito de un cliente,
registros de salud, diseño de productos, correos de empleados, planes de negocio,
estrategias, contratos, finanzas internas, inventarios, beneficios de la información y recursos
humanos.
Banco A: Todo lo relacionado con productos, la mayoría de estos están en el ERP y por
eso esta categoría es tan importante.
Banco B: La información referente a la operación: monto, precio de compra/venta,
contraparte.
Banco C: El sistema de Banca Electrónica trabaja con la información básica del cliente y
con la información de todos sus productos. Cuentas Corrientes y de Ahorro, Tarjetas,
Préstamos.
Banco de la República: Existe una categoría única que son los archivos con los registros
de los cheques.
¿Qué consecuencias se podría dar con mayor frecuencia si la información en una categoría
dada se libera, pierde o es comprometida? Ejemplo de consecuencias: En términos de
ganancias, clientes, proveedores, relaciones con los empleados, acciones regulatorias,
reputación, etc.
Banco A: Por cuestión de regulación, como se trata del dinero de los clientes, se revisan
diversas actividades, en este caso se puede hablar de lavado de activos, protección a los
clientes y demás, y si un canal demuestra no ser seguro, cierran el canal, al cerrar el canal,
esto es sinónimo a muerte del banco, debido a la inoperabilidad.
Banco B: Se afectaría la imagen corporativa del Banco.
Banco C: Si esta información fuera conocida por otras personas, podría utilizarse con
fines delictivos hacia los clientes (Robo, extorsión, desviación de recursos, lavado de
dinero).
Banco de la República: Sería muy grave, ya que los archivos son el soporte para la
realización del proceso de compensación de cheques.
128
• Precisión:
¿Para este proceso y/o categoría de información, los datos que produce son suficientemente
precisos y a t iempo para sat isfacer requerimientos internos y externos?
Banco A: Para requerimientos internos y externos si se producen datos suficientemente
precisos, además el Banco se encuentra regulado por una entidad como la SFC.
Banco B: Si, la información debe ser 100% precisa, esto es controlado por la entidad que
administra el sistema de negociación.
Banco C: Debido a que el sistema permite realizar transacciones Online entre productos,
los datos que produce son precisos y son generados a tiempo.
Banco de la República: Los datos son suficientemente precisos tanto internamente como
externamente, ya que de lo contrario el sistema los rechaza automáticamente si no cumplen
con el formato establecido.
¿Cuáles son las consecuencias para este proceso y categoría de información ante la falta de
precisión en sus datos?
Banco A: Debido a la falta de precisión en los datos el Banco podría ser sancionado por
reguladores externos.
A nivel interno, el banco podría perder oportunidades de negocio claves.
Banco B: En el caso en que se registrara mal la información de la transacción, podría
suceder que al momento de hacer el pago, se pagara una cantidad diferente, lo cual puede
llevar a sanciones y a una pérdida de la buena imagen de la institución.
Banco C: Si la información no fuera precisa afectaría los recursos monetarios del cliente.
Banco de la República: Aunque el sistema valida los datos de los archivos, si se pueden
presentar consecuencias graves para la economía nacional si estos no llegan a tiempo ya
que no se podría hacer el cierre del día y por lo tanto las cuentas no tendrían saldos reales.
¿Cómo se puede beneficiar este proceso al tener información más completa?
Banco A: La toma de decisiones sería mejor porque se conocería mejor al cliente y se
obtendrían sus datos claves.
Banco B: La información es lo suficientemente completa para obtener los beneficios
requeridos.
Banco C: La información es lo suficientemente completa para realizar las transacciones, el
sistema proporciona los datos que necesita conocer el cliente para realizar una
transacción.
129
Banco de la República: El proceso cuenta con la información completa para realizar sus
operaciones.
• Agilidad:
¿Cada cuánto un proyecto de negocio relacionado con este proceso y con TI se desarrolla a
t iempo y con el presupuesto adecuado? ¿Qué valor agregado se espera obtener de dicho
proyecto al negocio? ¿Cuáles son las consecuencias para el negocio si el proyecto falla o
t iene una demora?
Banco A: Generalmente se cumple un proyecto relacionado con TI y especialmente con
este proceso debido a la importancia del internet. Dependiendo del proyecto, el valor
agregado puede afectar temas de acceso, como es el caso del último proyecto de cifrado
fuerte que se está realizando. Si el proyecto falla, hay pérdida monetaria y desconfianza a
nivel ejecutivo sobre el área tecnológica debido a la competitividad que existe en el
mercado.
Banco B: Los proyectos de TI generalmente se entregan a tiempo, en pocas ocasiones es
necesario usar más recursos (de personal y tiempo por lo general) de los estipulados al
comienzo del proyecto. Si los proyectos se demoran se incurre en un mayor costo para
realizar el proceso que se desea implementar, ya que se deben usar las contingencias
manuales.
Banco C: Es bastante inusual que no se cumpla con un proyecto de negocio asociado a
este canal de Internet. El valor agregado va en función de prestar un mejor servicio a los
clientes, las consecuencias si el proyecto falla o tiene demora es que el servicio no se logra
ofrecer a los clientes.
Banco de la República: Aunque el sistema tiene diez años funcionando, como está
actualmente, si se está iniciando el proceso de actualizar el software del sistema CEDEC
para corregir ciertos problemas.
¿Qué grandes cambios estratégicos se pueden prever para el proceso, y en qué puede ayudar
TI? ¿Qué t ipos de operaciones/movimientos estratégicos van a ser difíciles para el manejo
de los sistemas de TI del proceso?
Banco A: Se pueden prever cambios a nivel de acceso con un proyecto de cifrado fuerte, y
a nivel de agilidad, con la implementación de un CRM. Lo más complicado de la
implementación, es lo que empata directamente con lo existente, por ejemplo en el caso de
implementar un nuevo CRM.
Banco B: En este momento no se prevén grandes cambios para el proceso de negocio.
130
Banco C: No se prevén cambios estratégicos, lo que se ve es que con el incremento del uso
de Internet este canal se convierte en uno de los más utilizados por los clientes para
realizar sus transacciones bancarias. TI aporta en la implementación de nuevos servicios a
través de este canal, con la calidad y seguridad necesaria para realizar este tipo de
transacciones.
Banco de la República: Como se mencionó anteriormente en este momento hay un cambio
estratégico que es cambiar el software del sistema CEDEC.
Preguntas a nivel operativo.
• Disponibilidad: ¿Para este proceso y sus sistemas, exactamente cuál es el límite (en cuanto a t iempo,
volumen de datos etc.) en que se puedan operar los sistemas hasta que éstos tengan
consecuencias intolerables?
Banco A: Tiene que funcionar mínimo el 94% del tiempo por mes, un nivel por abajo de este valor es intolerable.
Banco B: Un fallo en los sistemas de negociación impide la operación del proceso
inmediatamente; luego cada minuto en el que el sistema no funcione es un minuto perdido
para todos los bancos, la consecuencia de esto es que al no poder hacer operaciones de
venta de títulos, los precios pueden cambiar y por tanto llevar a pérdidas por valoración en
el precio del título.
Banco C: El sistema de Banca Electrónica soporta hasta un máximo de 10 millones de
transacciones con un mínimo de 99% de disponibilidad hacia sus clientes de 24x7 en cada
uno de los servicios prestados desde Banca Electrónica.
Banco de la República: Ante una falla de los sistemas el proceso de detiene
inmediatamente, ya que depende casi en su totalidad de las TI.
¿Cuál es la frecuencia de interrupciones de gran impacto que se dan en estos sistemas, tanto
de factores internos como externos? Ejemplos de factores internos o externos: clima,
calidad de la corriente, desastres naturales, edad de los sistemas, calidad técnica, falta de un
vendedor o soporte interno.
Banco A: En estos sistemas la frecuencia de interrupción es menor al 6% por mes.
Banco B: La frecuencia de interrupciones de gran impacto es muy baja. Cuando se
presenta un problema con alguno de los sistemas de negociación el impacto es muy alto
para el negocio y debido a esto los proveedores tratan de solucionar el problema en el
131
menor tiempo posible, ya que el impacto generado no es sufrido por un banco solamente,
sino por todos.
Banco C: El nivel de disponibilidad de este servicio está sobre el 99.9%.
Banco de la República: En los últimos meses no se han presentado interrupciones, sin
embargo, cuando se han presentado el impacto depende del momento en que se presente ya
que el proceso tiene unos horarios establecidos.
¿Se t ienen respaldos (backups), sit ios de recuperación, soluciones, manuales u otras
maneras efect ivas para reducir el potencial de perder la disponibilidad en estos sistemas?
Banco A: El sistema cuenta con un plan de continuidad del negocio, un plan de
recuperación de desastres, servidores espejo y soluciones tanto manuales como
automáticas.
Banco B: Sí, todos los días se realizan backups de las operaciones hechas durante el día,
las cuales son almacenadas en un sitio seguro.
Banco C: El sistema cuenta con Alta disponibilidad (redundancia de equipos), con backups
de información diarios y con un seguimiento diario del comportamiento general de la
plataforma por parte del área de tecnología.
Banco de la República: Se hacen respaldos de los datos cada noche a la hora del cierre
del proceso, y se cuentan con una plataforma de respaldo en cuanto a servidores de
contingencia.
¿Existen signos tempranos de advertencias de fallas que se estén presentando actualmente
en este proceso? Banco A: Se tiene un plan maestro que detecta errores tempranos.
Banco B: No.
Banco C: Existen herramientas de monitoreo del comportamiento de la infraestructura
utilizada.
Banco de la República: No.
• Acceso: ¿Existen signos donde la protección actual de la información sensible no es adecuada?
¿Alguna intrusión ha ocurrido? ¿Si la respuesta es sí, bajo qué circunstancias?
Banco A: Intrusión, no ha ocurrido, lo que sucedió fueron algunos casos de suplantación.
Banco B: No.
Banco C: No se ha tenido ningún incidente relacionado con la protección de la
información.
132
Banco de la República: El sistema CEDEC no maneja la seguridad de la información, esta
responsabilidad se delega a los canales de comunicación.
¿Los empleados t ienen acceso a información suficiente para hacer sus t rabajos? ¿Ellos
t ienen acceso a más información de la que necesitan?
Banco A: Los empleados tienen acceso solo a la información que requieren dependiendo
de su área.
Banco B: No.
Banco C: Se tiene el acceso a la información necesaria para realizar sus labores de
seguimiento y monitoreo.
Banco de la República: Los empleados tienen acceso a la información necesaria para
hacer su trabajo.
¿Cómo asegurar que los socios, vendedores y contrat istas están protegiendo el acceso a la
información tan bien como se quiere que la protejan? ¿Los contratos especifican como debe
ser el acceso a la información, la identificación y si las contraseñas deben ser protegidas?
Banco A: Esta entidad tiene medidas que aseguran el acceso a la información por medio
de controles físicos y lógicos, contraseñas que requieren geolocalización y un Token.
Banco B: Los usuarios tienen solo acceso a la información necesaria para realizar su
trabajo. Para este proceso en particular, el riesgo más importante de no tener una
segregación de funciones sería que una persona con acceso a los sistemas de negociación
también pudiera acceder a los sistemas internos para el registro de las transacciones.
Para eliminar este riesgo hay varios roles dentro del área de tecnología encargados de aprobar la creación de nuevos usuarios en los sistemas, revisar sus privilegios y atender
incidentes de seguridad.
Banco C: Los socios, vendedores y contratistas no tienen acceso a la información de este
sistema.
Banco de la República: La información es de los clientes y es su responsabilidad
protegerla, ya que son los principales afectados en el momento en que se pierda o filtre.
¿Existen procedimientos para remover el acceso inmediato cuando las relaciones terminen?
Banco A: Cuando se pide algún tipo de outsourcing, se le entrega un token que da la
segunda parte de la contraseña; ésta puede ser cancelada inmediatamente.
Banco B: Todos los proveedores deben cumplir con una serie de prerrequisitos
relacionados con la seguridad de la información para establecer niveles de servicio y
garantizar la seguridad de la información. Uno de los puntos claves para esto es exigir que
133
todos ellos cuenten con planes de Contingencia en caso de interrupciones u otros factores
que impidan la prestación normal del servicio. La eficacia de estos planes es evaluada por
el departamento de Seguridad de la Información del Banco, con el fin de establecer
recomendaciones y planes de acción en caso de ser necesario.
Banco C: No aplica puesto que este tipo de proceso no involucra ningún tercero.
Banco de la República: El sistema CEDEC tiene la facilidad de permitir restringir el
acceso de manera inmediata, sin embargo, no es el procedimiento habitual, ya que lo
normal es que el banco cliente avise al centro de soporte informático quien tiene la labor
de restringir el acceso a los usuarios.
• Precisión: ¿Cuáles son las fuentes de imprecisión e inconsistencia en los datos?
Banco A: Datos contractuales cuando el sistema solicita un dato y el usuario suministra
datos erróneos. En este caso si los errores no se comprueban a tiempo, se tiene un error de
imprecisión.
Banco B: Las fuentes de imprecisión se deben a errores a la hora de ingresar datos en los
sistemas de información, cuando un usuario se equivoca al registrar alguna operación.
Banco C: La fuente de los datos con que se opera en la Banca Electrónica son las
aplicaciones centrales del banco, con lo cual las inconsistencias pueden ser generadas en
el momento en que se vincule el cliente o cuando adquiere un producto en una oficina. La
información es ingresada por el Gestor de la oficina.
Banco de la República: fallas humanas al digitar los datos en los archivos y posiblemente
algunas en los lectores de las bandas magnéticas de los cheques.
¿Qué cambios en este proceso pueden reducir problemas de precisión en los datos?
Banco A: A la hora de registrar un usuario, se debe verificar por lo menos una segunda
vez los datos, para asegurar que sea el correcto; aún así es posible tener esa imprecisión,
pero se reduce.
Banco B: Hay ciertas unidades de negocio que tienen una mayor prioridad sobre otras
debido al mayor impacto que genera para el Banco un fallo tecnológico en dicha área, en
este caso, la mesa de dinero tiene una prioridad mayor que el Back Office, ya que es más
importante garantizar que se puedan hacer negociaciones y si es necesario recurrir a una
contingencia manual para registrarlas en la contabilidad.
Banco C: La implementación de validaciones reduce el ingreso de datos errados, estas
validaciones pueden ser de carácter técnico (validar fechas, validar telefonos, etc) o de
134
carácter procedimental, validar referencias validar información contra las bases de
Información de Riesgos (CIFIN, Asobancaria, etc).
Banco de la República: N/A, puesto que el proceso se encuentra bastante estable y no
presenta cambios.
• Agilidad:
¿Qué tan bien el área de T I apoya las necesidades y proyectos de las demás unidades de
negocio? Si hay diferencias en la percepción a través de las unidades, se debe a:
o capacidades diferentes de T I,
o diferentes unidades de negocio basadas en organizaciones de T I ,
o necesidades diferentes
o otra razón
Banco A: Por lo general se apoya a las demás unidades de negocio, pero, debido a que son
varias unidades, lo que se realiza es una priorización de proyectos y necesidades, si se logra suplir todo lo que se necesita se realiza, pero si no, se realiza esta priorización y se
avisa quien tiene mayor prioridad.
Banco B: La Mesa de dinero tiene una mayor prioridad sobre las demás áreas ya que la
negociación de títulos valores se realiza por medio de sistemas de TI, debido a esto los
proyectos que afectan a esta área siempre tienen un alto nivel de exigencia y de
compromiso para el área de TI
Banco C: Desde TI Apoyamos a todas las necesidades de negocio que tengan que ver con
la Banca Electrónica.
Banco de la República: Tanto el ingeniero líder del sistema CEDEC como el proveedor
siempre están atentos a resolver las necesidades del sistema.
135
ELABORACIÓ N DEL PERFIL DE RIESGOS DE TI IDEAL A PARTIR DEL
INSTRUMENTO APLICADO:
136
137
138
-0,090,010,110,210,310,410,51
Disponibilidad
Acceso
Precision
Agilidad
Banco A
Banco B
Banco C
BanRep
139
INSTRUMENTO PARA GENERAR EL PERFIL DE RIESGOS DE TI ACTUAL:
En la siguiente página se presentan las medidas que propone el marco 4A, clasificadas en cada una
de las disciplinas.
140
Medidas de Base Tecnológica
141
Medidas de Gobernabilidad
Medidas de Cultura
142
Clasificación de las medidas anteriores en niveles de riesgo de TI:
Las medidas presentadas anteriormente según la disciplina a la que pertenecen, ahora son
clasificadas por cada objet ivo de negocio, de esta forma se miden los niveles de riesgo que cada
Banco presenta en cada uno de estos objet ivos, dichas medidas están ordenadas según los t res
posibles niveles de riesgo (alto, medio, bajo). Al final de cada una de las siguientes tablas se
presentan los niveles de riesgo para todos los bancos.
Disponibilidad:
143
Acceso:
144
Precisión:
145
Agilidad:
146
A part ir de los cuadros anteriores se generan los perfiles de riesgo actual de los Bancos estudiados:
147
148
149
VIII. BIBLIOGRAFÍA
[1] Companies in Crisis – What not to do when it all goes wrong – Exxon Mobil and Exxon Valdez.
Recuperado 3 de Febrero de 2009. Disponible en: http://www.mallenbaker.net/csr/CSRfiles/crisis03.html
[2] McCombs School Of Business. History Of Risk Management. pp 5. 2002. Disponible en:
http://www.mccombs.utexas.edu/dept/irom/bba/risk/rmi/arnold/downloads/Hist_of_RM_2002.pdf
[3] TABB, L. Risk Management IT Comes to the Forefront in the Wake of Subprime Credit Crisis. 2008.
Disponible en: http://www.wallstreetandtech.com/technology–risk–
management/showArticle.jhtml?art icleID=208402568
[4] The Brit ish Standards Inst itut ion. Code of pract ice for risk Management. 2008. Disponible en:
http://www.bsi–global.com/en/Standards–and–Publicat ions/Industry–Sectors/All–Standards/BS/BS–31100–
Draft–for–Public–Comment–DPC–/
[5] WESTERMAN G., HUNTER, R. IT Risk: T urning Business T hreats Into Competit ive Advantage. 2007.
[6] FABOZZI, F., MODIGLIANI, F. Capital Markets: Inst itutions and Instruments. 2007. Prentice Hall 3ª
Edición.
[7] GOBIERNO DE EST ADOS UNIDOS DE AMÉRICA. Sarbanes – Oxley Act . 2002. Disponible en:
http://frwebgate.access.gpo.gov/cgi–bin/getdoc.cgi?dbname=107_cong_bills&docid=f:h3763enr.tst.pdf
[8] FABOZZI, F., MODIGLIANI, F. Capital Markets: Inst itutions and Instruments. 2007. Prentice Hall 3ª
Edición.
[9] CONGRESO DE LA REPUBLICA DE COLOMBIA. Ley 510 de 1999. 1999. Disponible en:
http://www.fogacoop.gov.co/Normatividad/LEY%20510%20DE%201999.pdf
[10] WEST ERMAN G., HUNT ER, R. IT Risk: T urning Business Threats Into Competit ive Advantage.
2007.
150
los intermediarios financieros [11] SERRANO, J. Mercados financieros: visión del sistema financiero
colombiano y de los principales mercados financieros internacionales. 2007.
[12] FABOZZI, F., MODIGLIANI, F. Capital Markets: Inst itut ions and Instruments. 2007. Prentice Hall 3ª
Edición.