Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Universidad Iberoamericana
13/04/2021
riesgos y al establecimiento de controles en el ámbito de TI. Algunas de las más importantes que
NORTIC A7
Esta norma indica las directrices que debe seguir cada organismo del Gobierno
manera, minimizar todos los riesgos que se puedan presentar. (OPTIC, 2016)
Las directrices de esta norma deben ser aplicadas por todos los organismos pertenecientes
sus dependencias, así como los organismos con nivel de ministerios, viceministerios, organismos
conjunto de medidas para una adecuada gestión de riesgos es el Sistema Nacional para la
Prevención, Mitigación y Respuestas ante Desastres. La base legal de este sistema es la ley 147-
02 Sobre Gestión de Riesgos. El reglamento de aplicación de dicha ley es el Decreto 932-03.
Para alcanzar esos objetivos, el sistema cuenta con los siguientes componentes: a) las
El Sistema tiene como función principal la integración de los recursos públicos, privados
y comunitarios para la Gestión del Riesgos o manejo de desastres, además de los señalados en el
Para cumplir con el mandato de la ley, el sistema cuenta con las siguientes instancias de
implementadas para mitigar el riesgo y minimizar el impacto de las amenazas cibernéticas en los
sistemas de información y proteger las infraestructuras críticas para que la población utilice de
manera confiada los servicios que se ofrecen a través de las tecnologías de la información y la
en el ámbito nacional, por lo cual mediante el Decreto Núm. 230-18, del 19 de junio de 2018, se
derivadas de dicha estrategia y la definición de las iniciativas, programas y proyectos que lleven
de dicho momento se realizó una revisión con personal de INDOTEL, OPTIC, CNC, ONAPI y la
Jurídica del Poder Ejecutivo (CJPE), a fin de que fuera sometido al Poder Legislativo para su
aprobación. La CJPE lo devolvió con una serie de observaciones que versan principalmente
sobre la armonización con la Ley de Burós de Créditos y con la Ley de Libre Acceso a la
Información Pública. Actualmente está en manos del CEI-RD esperando que se haya aperturado
Alta Tecnología, la República Dominicana fue invitada a acceder y a ratificar la Convención del
Cibercrimen del Consejo de Europa. El poder contar con esta pieza clave en nuestra legislación
asistencia penal, con todos los países que hayan suscrito dicho tratado. Hasta la fecha, la
Convención había sido remitida al Poder Legislativo para su ratificación, sin embargo, al
momento de entrar en vigencia la nueva Constitución, está dispone que todo tratado internacional
que requiera ser ratificado por el Poder Legislativo debe ser previamente aprobado por el
Desde el año 2009, el INDOTEL en virtud del mandato expresado por la Ley No. 53-07,
tiene como finalidad principal crear una reglamentación para el procedimiento de obtención y
preservación de los datos de tráfico, conexión, acceso por parte de los Proveedores de Servicios.
aprobar ya que existe cierta resistencia de parte de los Proveedores de Servicio en lo que respecta
al bloqueo del contenido, al mismo tiempo que un mecanismo de esa naturaleza podría
convertirse en una herramienta de censura o de coerción a la libertad de expresión. (Nishio,
2016)
financieras puede volverse obsoleta, sometida a disrupción, o no-competitiva, con los sistemas
administración fallan en presupuestar y abordar. Mientras tanto, las empresas nuevas [startups]
orientadas-a-la-tecnología, así como también las soluciones con tecnología financiera disruptiva
expertos en TI, pero necesitan entender suficientemente bien el panorama de la TI para vigilar y
punto de que cerca de la mitad de los ciberataques afectan a este sector. Las amenazas y ataques
seguridad de un Banco, como los hackers, sino que se está convirtiendo en práctica habitual
también de cibercriminales que buscan lucro económico, así como de ciberterroristas que tratan
de atentar contra la seguridad de una Institución, o del ciberespionaje entre entidades financieras.
que en muchas ocasiones es la mayor causa de las vulnerabilidades y los riesgos a los que se
Todo esto lleva a crear una estrategia Institucional que dimensione el riesgo tecnológico
● A nivel de los riesgos derivados del mal uso que hace el recurso humano de lo
anterior.
Es fundamental que las Instituciones analicen los aspectos anteriores y que elaboren un
mapa de riesgo que documente las posibles causas de riesgo tecnológico, así como sus efectos y
que mitigue de forma eficiente y efectiva las amenazas procedentes de entornos como la
riesgo y de las acciones a tomar para la mitigación de las amenazas relacionadas con la Banca
por Internet:
Riesgo: Privacidad
Acción: Los datos personales y financieros deben almacenarse de manera segura y todas
las comunicaciones con el sistema de Banca en Línea deben estar encriptadas. Esto asegura la
confidencialidad de los datos desde los sistemas del Banco hasta el navegador del cliente.
También debe ofrecerse un servicio que permita intercambiar correo electrónico, de manera
Acción: Las páginas Web deben hacer uso de certificados de validez extendida (EV -
Extended Validity) para comprobar la identidad de los visitantes. Estos certificados requieren de
una verificación exhaustiva y proporcionan el más alto nivel de confianza del usuario con
respecto a la autenticidad del sitio Web. (Revista Estrategia & Negocios, 2015)
Acción: Para obtener un nivel más alto de seguridad, el sistema de Banca en Línea debe
- El Usuario y Contraseña
sido comprometido.
Acción: Para proteger los datos contra intentos de adivinar una contraseña, la cuenta será
bloqueada si la contraseña (o el código del token) son introducidos erróneamente cuatro veces
consecutivas. Además, una sesión bancaria en línea debe desconectarse automáticamente
Acción: Los usuarios reciben correos electrónicos que aparentemente son enviados por la
institución y que generalmente solicitan que se sigan ciertos enlaces para conectarse a su cuenta
en línea para resetear la contraseña u otras acciones similares. Generar una campaña de correos
electrónicos que adviertan al usuario del riesgo de responder a este tipo de correos.
mitigación del riesgo tecnológico, los clientes de las Instituciones Financieras estaremos más
seguros cuando nos identifiquemos para efectuar operaciones que involucren información
sensitiva o dinero, lo que nos protegerá de posibles fraudes. Asimismo, los Bancos se protegerán
acatamiento.(Westreicher, 2018)
Sin embargo, sirven como guía para las autoridades de cada país. El objetivo del Comité de
Basilea es fortalecer, en general, los sistemas bancarios. Para alcanzar esa meta, se fomentan
normas respecto a diversos temas como blanqueo de capitales, buen gobierno corporativo,
manejo del riesgo crediticio, control interno, entre otros. (Westreicher, 2018)
Cabe resaltar que Basilea I (el antecesor de Basilea II) fue adoptado por casi todas las
otras disposiciones. Entre ellas destaca el llamado a los bancos a preocuparse por su solvencia y
la disciplina del mercado. Esto último quiere decir que las entidades financieras deben ser
El riesgo operacional es un tipo de riesgo que puede provocar pérdidas a una empresa
debido a errores humanos, procesos internos inadecuados o defectuosos, fallos en los sistemas,
empresa. Además, para evaluar este riesgo, se toman en consideración dos variables:
pueda mermar en futuras ocasiones en función del número de veces que acontezca el
mismo. ¿Qué grado de probabilidad hay de que se rompa una máquina del proceso de
producción?
● Además, el riesgo operativo afecta directamente al patrimonio de la empresa, en
Recursos humanos
Existe cierto riesgo de que la empresa sufra pérdidas causadas por negligencia, error
humano, fraude, robo, ambiente laboral desfavorable, entre muchas otras situaciones. También
se pueden incluir en este factor del riesgo operacional, el hecho de que haya falta de personal o
que haya personal pero no cuente con las aptitudes y destrezas necesarias para afrontar la
Procesos internos
Probabilidad de que se produzcan pérdidas por un diseño inadecuado de los procesos
internos o que haya fijadas unas políticas inadecuadas que disminuyan el desarrollo de las
Como ejemplos del riesgo operacional de los procesos internos, tenemos: evaluación inadecuada
Tecnología de información.
Tipo de riesgo operativo donde las pérdidas se derivan de un uso inadecuado de los
sistemas de información y las tecnologías inherentes en los procesos de la empresa. Entre los
riesgos operacionales que nos podemos encontrar: hechos que atenten contra la confidencialidad,
Eventos externos
activos, que es además la mejor manera de comenzar a trabajar. Si no sabemos lo que tenemos,
nos será muy complicado gestionarlo o controlarlo correctamente. Este inventario se deberá
mantener actualizado a lo largo del tiempo, por lo que se deberán realizar revisiones periódicas y
activos tangibles son aquellos activos materiales que contienen información, y sobre los que
tomaremos medidas preventivas para protegerlos principalmente de riesgos físicos: golpes, agua,
fuego, etc. Los activos intangibles son aquellos que soportan la información dentro de un activo
material, y pueden inutilizar la información, pese a que el activo físico no haya sufrido daño
alguno.
Por ejemplo: Un listado de personal (información) puede estar incluido en una hoja Excel
Como referencia estamos utilizando la dirección de tecnología del lugar de trabajo del integrante
José Germán.
Activos materiales
Algunos ejemplos de activos materiales que se pueden encontrar en todas las empresas, son:
1. Equipos informáticos: Cada vez son más los equipos informáticos presentes en las
2. Servidores físicos: Los servidores propios donde guardamos todos los documentos de la
CRM...), y los externos donde alojamos nuestros servicios web y de correo electrónico,
3. Equipos red local: nuestros equipos informáticos están conectados entre sí por medio de
redes inalámbricas o cableadas. Las cuales pueden ser cortadas o violadas por hackers
expertos.
4. Periféricos y pendrives: Hay que tener un especial cuidado con escáneres e impresoras
donde se deja información impresa olvidada con frecuencia. Los pendrives, CDs,
DVDs... suelen perderse con facilidad o quedar olvidados por los cajones con
temporalmente a terceros.
6. Oficinas e instalaciones: Las oficinas, los edificios, las naves industriales... contienen los
que deben ser consideradas como un activo material más, que deberemos proteger.
7. Personal propio: Cada una de las personas que trabajan en la organización, tienen
refrigeradas para servidores, cuartos de archivo, CPDs... son otros activos físicos que
Activos intangibles
Entre los distintos activos intangibles que encontraremos en nuestra organización, cabe
destacar:
copias de seguridad se tratan como herramientas diferentes a las anteriores, dado que se
3. Sistemas operativos: Dado que soportan el resto de aplicaciones informáticas y que son
uno de los principales objetivos de los virus informáticos, los gestionaremos de manera
4. Comunicaciones: Las comunicaciones con el exterior también son críticas ante una
5. Gestores de bases de datos: el mal funcionamiento del ERP puede suponer una pérdida
gestor de bases de datos que hay detrás, puede generar la pérdida de una parte del
Por lo que deberemos tener alternativas a nuestro proveedor habitual de estos servicios.
Otra clasificación
posteriormente asignar una probabilidad entre improbable, posible o probable; y el impacto que
Luego de haber realizado la lista, hay que tomar acciones previas las cuales mitiguen el
problema para las combinaciones que sean más problemáticas (un ejemplo de esto serían los
Este método posee mucha flexibilidad y en lugar de tres categorías es posible por ejemplo
tomar cinco. En principio hay que tomar acciones para todo aquello que esté en la parte superior
derecha de la matriz, en la zona roja, pero también se pueden tomar acciones para mitigar la zona
amarilla. La idea es que estos riesgos sean menos probables o que los impactos sean menores,
Nos permite priorizar aquellas tareas de una forma bastante visual y sencilla, tomando
como base las dos dimensiones esenciales relativas al riego: La probabilidad de que el evento
Probabilidad
Cierto Probabilidad muy alta
Impacto
Despreciable Prácticamente ninguna influencia negativa sobre el negocio, pueden dejarse sin
mediar.
por ello que la entidad debe crear los criterios de riesgo definiendo los niveles de riesgo aceptado
por la Organización.
De esta forma la guía menciona cuales son los pasos claves en el análisis de riesgos,
probabilidad e impacto, definiendo como sigue cada uno de ellos : “Por Probabilidad se entiende
la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de Frecuencia, si se
ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad
teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo,
materialización del riesgo”. De esta forma se procede a hacer la “calificación del riesgo”, en la
cual se realiza una estimación, de cuál podría ser la probabilidad de ocurrencia del riesgo y el
impacto que traería éste, en caso de materializarse. De igual forma la guía presenta una “tabla de
probabilidad” y una “Tabla de Impacto”, en las cuales presenta 5 niveles para medir la
probabilidad de ocurrencia y 5 niveles para lograr medir el impacto, dando las herramientas con
cual se presenta el análisis de la probabilidad de ocurrencia del riesgo versus el impacto del
respuesta a los Riesgos”, con la cual la guía presenta la forma de calificar los riesgos con los
niveles de impacto y probabilidad establecidos anteriormente, así como las zonas de riesgo
presentando la posibles formas de tratamiento que se le puede dar a ese riesgo, tal como se
Una amenaza tiene el potencial de causar daños a activos tales como información,
procesos y sistemas y, por lo tanto, a la entidad. Las amenazas pueden ser de origen natural o
humano y podrían ser accidentales o deliberadas es recomendable identificar todos los orígenes
de las amenazas accidentales como deliberadas. Las amenazas deberían de ser identificadas
genéricamente y por tipo (ej. Acciones no autorizadas, daño físico, fallas técnicas).
Algunas amenazas pueden afectar a más de un activo y en tales casos pueden causar
las describe como un fenómeno, sustancia, actividad humana o condición peligrosa que pueden
ocasionar la muerte, lesiones u otros impactos a la salud, al igual que daños a la propiedad, la
ambientales. Es un factor ajeno y fuera de control, representado por un fenómeno físico que está
Probable Ya ha ocurrido
factores de vulnerabilidad que podrían resultar afectados y que contempla tres elementos
expuestos: de personas, recursos y sistemas y procesos y cada uno de ellos analizado desde tres
Una vez identificadas, descritas y analizadas las amenazas y para cada una, desarrollado
riesgo, por último, de acuerdo a la combinación de los cuatro colores dentro del diamante, se
determina el nivel de riesgo global según los criterios de combinación de colores planteados.
Finalmente se realiza una propuesta de un plan operativo en función a los riesgos identificados y
El riesgo bruto es aquel riesgo que por su naturaleza no se puede separar de la actividad o
proceso. Es propio del trabajo a realizar. Es la evaluación preliminar del riesgo, con la cual la
Por otro lado, el riesgo residual es el nivel de riesgo al cual está expuesta la entidad de
acuerdo con los controles existentes. El riesgo residual es el resultado de combinar la calificación
del riesgo inherente o bruto y la evaluación de los controles considerando el diseño y la eficacia
Las amenazas deben estar debidamente gestionadas, para lo cual resultará necesario dar
un salto y pasar a estimar la situación real de estos riesgos, a través de la cuantificación de los
han implementado los controles. Es al que está sometido una empresa que nunca desaparecerá
totalmente, por lo que es de rigor buscar un equilibrio entre el nivel de recursos y mecanismos
que es preciso dedicar para minimizar o mitigar estos riesgos y lograr un nivel de confianza que
se puede considerar suficiente (nivel de riesgo aceptable). Este tipo de riesgo puede verse como
aquello que separa a la empresa de la seguridad absoluta. El que refleja el riesgo remanente una
vez se han implantado de manera eficaz las acciones planificadas por la dirección para mitigar el
menos Efectividad de Controles o quizás una fórmula más objetiva sería el producto de
diferencia entre ambos tipos de riesgos se da “…en el nivel de control que pueda estar
aplicándose en los procesos en los que estos se visualizan, pues mientras que la valoración del
estemos cuantificando, de acuerdo con las medidas correctoras que ya se estén aplicando; en la
evaluación del riesgo inherente lo que se pretende es apreciar la importancia de las hipotéticas
amenazas en ausencia de cualquier tipo de control. Es por tanto una valoración que no se
corresponde con una situación existente sino una simulación de la misma si no hubiésemos
● Organización.
● Procesos y procedimientos.
● Rutinas de gestión.
● Ambiente físico
mismas:
Una vez definidas las vulnerabilidades, el impacto y las probabilidades, procedemos a
realizar nuestra matriz de riesgo, priorizando siempre tener una buena documentación en cada
riesgo trabajado.
.
Análisis de resultados y recomendaciones de remediación
correspondiente, detallando quién sería el responsable de ejecutar estas acciones con fines de
La Entidad en función de los riesgos debe definir aquellos que quiere marcar como
significativos y que ha ha elaborado y aprobado, los lineamientos para llevar adelante el proceso
interno de Autoevaluación del Capital de acuerdo a los principios establecidos en el T.O. sobre
buenas prácticas definidas por el Comité de Basilea. El mismo tiene por objeto determinar el
capital que la Entidad considera necesario mantener tanto en la actualidad como en el futuro,
contemplado en su planificación y que resulta acorde con los riesgos inherentes a su actividad, el
entorno económico en que opera, los sistemas de gobierno, gestión y control de los riesgos, el
recursos propios básicos sobre el total) y las posibilidades reales de obtención de mayores
Este proceso tiene por objeto determinar el capital necesario para cubrir, no sólo las
pérdidas inesperadas originadas por las exposiciones a los riesgos crediticio, operacional y de
mercado, sino también las que provienen de otros riesgos – de tasa de interés, de liquidez, de
Entidad.
Adicionalmente, la Entidad con una periodicidad anual estresa los resultados de su plan
de negocio a fin de evaluar situaciones adversas que puedan afectar su nivel de capital.
Este proceso parte de una metodología que utiliza la medición de percentil sobre su
pérdida inesperada, que es aquella que puede ocurrir en un escenario desfavorable dentro de un
el horizonte de tiempo refleja el periodo que demora la Entidad en aplicar algún mecanismo de
remediación. El cálculo del capital económico es llevado a cabo en forma independiente entre los
riesgos y luego se adicionan las medidas de capital económico obtenidas, considerando que la
Recomendaciones y Conclusiones
La realización de este proyecto nos ha permitido conocer a través de las distintas matrices
de riesgos la importancia que conlleva la búsqueda de riesgos o amenazas que puedan afectarnos;
actualicemos constantemente nuestra lista con la finalidad de estar lo más preparados posibles
para prevenir y fortalecer nuestra seguridad. Es una buena práctica que la realización de matrices
de riesgos se realicen constantemente cada tres (3) meses con el fin de que éstas sean verificadas
que tiene una empresa de preocuparse siempre por estos riesgos que puedan afectar gravemente,
riesgos-de-la-tecnologia-de-la-informacion-de-los-servicios-financieros.html
contingencias) - Portal Oficial del Estado Dominicano. Portal Oficial del Estado
Dominicano.
http://dominicana.gob.do/index.php/politicas/2014-12-16-20-56-34/politicas-para-el-
buen-gobierno/gestion-de-contingencias-y-desastres#:%7E:text=En%20la%20Rep
%C3%BAblica%20Dominicana%2C%20el,02%20Sobre%20Gesti%C3%B3n%20de
%20Riesgos.
Nishio, M. (2016, 17 octubre). Marco Legal de las TIC en Rep. Dominicana. Mite
Nishio. http://mitenishio.com/2011/07/marco-legal-de-las-tic-en-rep.html
Pyme. https://www.emprendepyme.net/riesgo-operacional.html#:%7E:text=El%20riesgo
%20operacional%20es%20un,y%20procesos%20de%20la%20empresa.
https://optic.gob.do/nortic/images/documentos/normas/nortic-a7-1-2016.pdf
banca. https://www.estrategiaynegocios.net/opinion/863212-345/riesgo-tecnol
%C3%B3gico-y-seguridad-en-la-banca2w2