Práctica final

José Germán 18-0200

Javier Santana 18-0436

Universidad Iberoamericana

Administración de Riesgos y Controles de TI

Profesor: Mario Ortiz

13/04/2021

Normativas en la Rep Dom 4

 NORTIC A7 4
Manejo de Contingencias Tecnológicas (Ley 147-02 y Decreto 932-03) 4
Estrategia Nacional de Ciberseguridad 2018-2021 5
La Ley de Protección de Datos Personales 6
La Convención del Cibercrimen 7
El Reglamento Aplicación de la Ley No. 53-07 7
Principales riesgos de TI en entidades financieras 8
Riesgo: Privacidad 10
Riesgo: Certificados Digitales 10
Riesgo: Verificación de la identidad 10
Riesgo: Bloqueo de cuenta y finalización de sesión 11
Riesgo: Identidad del Sitio Web 11
Comité de Basilea o Comité de Supervisión Bancaria de Basilea 11
Definición de Riesgo Operacional 12
Principales eventos de pérdida derivados del riesgo operacional 13
Recursos humanos 13
Procesos internos 14
Tecnología de información. 14
Eventos externos 14
Identificación de activos informáticos 14
Clasificación de activos informáticos 15
Activos materiales 15
Activos intangibles 17
Otra clasificación 18
Determinación de la matriz de impacto 19
Determinación de la matriz de probabilidad de ocurrencia 21
Identificación de Amenazas 23
Determinación de Riesgos Brutos y Riesgos Residuales 28
Análisis de vulnerabilidades y obtención de matrices de riesgos finales 29
Matriz de riesgo conceptual 37
Codificación y Documentación de Riesgos 38
Análisis de resultados y recomendaciones de remediación 39
Determinación del Plan de Remediación 40
Recomendaciones y Conclusiones 41
Referencias 42

Normativas en la Rep Dom

 En nuestro país podemos ver una gran cantidad de normas relativas a la gestión de

riesgos y al establecimiento de controles en el ámbito de TI. Algunas de las más importantes que

se pueden mencionar son:

NORTIC A7

Esta norma indica las directrices que debe seguir cada organismo del Gobierno

Dominicano para la gestión e implementación de la seguridad de la información en el Estado,

con el objetivo de prevenir y manejar eficientemente los temas concernientes a todo lo

relacionado con la gestión de la seguridad por parte de la administración pública y de esta

manera, minimizar todos los riesgos que se puedan presentar. (OPTIC, 2016)

Las directrices de esta norma deben ser aplicadas por todos los organismos pertenecientes

al Poder Ejecutivo, ya sean centralizados, descentralizados, o embajadas, consulados, misiones

en el extranjero y municipios. Entre los organismos centralizados se encuentran los Ministerios y

sus dependencias, así como los organismos con nivel de ministerios, viceministerios, organismos

adscritos a la Presidencia de la República, consejos y organismos asesores, direcciones

generales, oficinas nacionales, procuradurías fiscales, escuelas públicas, hospitales públicos,

bibliotecas y museos. Entre los organismos descentralizados se encuentran las instituciones

financieras y las no financieras, organismos reguladores, instituciones de la seguridad social y

empresas públicas. (OPTIC, 2016)

Manejo de Contingencias Tecnológicas (Ley 147-02 y Decreto 932-03)

En la República Dominicana, el mecanismo del Gobierno para poner en ejecución un

conjunto de medidas para una adecuada gestión de riesgos es el Sistema Nacional para la

Prevención, Mitigación y Respuestas ante Desastres. La base legal de este sistema es la ley 147-
02 Sobre Gestión de Riesgos. El reglamento de aplicación de dicha ley es el Decreto 932-03.

(Estado Dominicano, 2014)

El sistema tiene como objetivo fundamental la socialización de la prevención, la

reducción de los riesgos y su mitigación, es el restablecimiento de los servicios y una rápida y

sostenible recuperación. (Estado Dominicano, 2014)

Para alcanzar esos objetivos, el sistema cuenta con los siguientes componentes: a) las

instituciones responsables de su manejo de acuerdo con la Ley 147-02 b) las organizaciones

comunitarias y los organismos no gubernamentales c) las entidades públicas y privadas

generadoras de información, la investigación científica y el desarrollo tecnológico y d) los

medios de comunicación. (Estado Dominicano, 2014)

El Sistema tiene como función principal la integración de los recursos públicos, privados

y comunitarios para la Gestión del Riesgos o manejo de desastres, además de los señalados en el

Artículo 7 de la ley. (Estado Dominicano, 2014)

Para cumplir con el mandato de la ley, el sistema cuenta con las siguientes instancias de

coordinación que funcionarán de forma jerárquica e interactuante: A) el Consejo Nacional de

Prevención, Mitigación y Respuesta ante Desastres. B) la Comisión Nacional de Emergencia, y

C) el Fondo Nacional para la Prevención, Mitigación y Respuesta ante Desastres.

Estrategia Nacional de Ciberseguridad 2018-2021

La Estrategia Nacional de Ciberseguridad 2018-2021 establece las líneas de acción a ser

implementadas para mitigar el riesgo y minimizar el impacto de las amenazas cibernéticas en los

sistemas de información y proteger las infraestructuras críticas para que la población utilice de
manera confiada los servicios que se ofrecen a través de las tecnologías de la información y la

comunicación (TIC). También, resulta de alto interés el establecimiento de un Equipo de

Respuestas a Incidentes Cibernéticos de la República Dominicana (CSIRT-RD) para prevenir,

mitigar y responder a los incidentes cibernéticos. (Sistema de Monitoreo de la Administración

Pública Municipal, 2012)

En tal sentido, la Estrategia Nacional de Ciberseguridad 2018-2021 debe contemplar la

creación de un órgano responsable de coordinar las acciones relacionadas con la ciberseguridad

en el ámbito nacional, por lo cual mediante el Decreto Núm. 230-18, del 19 de junio de 2018, se

crea el Centro Nacional de Ciberseguridad como una dependencia del Ministerio de la

Presidencia de la República, cuya responsabilidad es la elaboración, desarrollo, actualización y

evaluación de la Estrategia Nacional de Ciberseguridad 2018-2021, la formulación de políticas

derivadas de dicha estrategia y la definición de las iniciativas, programas y proyectos que lleven

a la realización exitosa de ésta, así como la prevención, detección y gestión de incidentes

generados en los sistemas de información relevantes del Estado e infraestructuras críticas

nacionales. (Sistema de Monitoreo de la Administración Pública Municipal, 2012)

La Ley de Protección de Datos Personales

El Anteproyecto de Ley fue redactado originalmente por el CEI-RD en el 2008, y a partir

de dicho momento se realizó una revisión con personal de INDOTEL, OPTIC, CNC, ONAPI y la

ACC-RD. Una vez concluida la revisión, se procedió a remitir el Anteproyecto a la Consultoría

Jurídica del Poder Ejecutivo (CJPE), a fin de que fuera sometido al Poder Legislativo para su

aprobación. La CJPE lo devolvió con una serie de observaciones que versan principalmente

sobre la armonización con la Ley de Burós de Créditos y con la Ley de Libre Acceso a la
Información Pública. Actualmente está en manos del CEI-RD esperando que se haya aperturado

nuevamente el proceso de revisión. (Nishio, 2016)

La Convención del Cibercrimen

A partir de la aprobación y aplicación de la Ley No. 53-07 contra Crímenes y Delitos de

Alta Tecnología, la República Dominicana fue invitada a acceder y a ratificar la Convención del

Cibercrimen del Consejo de Europa. El poder contar con esta pieza clave en nuestra legislación

nos permitiría poder acceder a los mecanismos de cooperación internacional, en materia de

asistencia penal, con todos los países que hayan suscrito dicho tratado. Hasta la fecha, la

Convención había sido remitida al Poder Legislativo para su ratificación, sin embargo, al

momento de entrar en vigencia la nueva Constitución, está dispone que todo tratado internacional

que requiera ser ratificado por el Poder Legislativo debe ser previamente aprobado por el

Tribunal Constitucional. (Nishio, 2016)

El Reglamento Aplicación de la Ley No. 53-07

Desde el año 2009, el INDOTEL en virtud del mandato expresado por la Ley No. 53-07,

se embarcó en la elaboración de un Reglamento de Aplicación para dicho texto legal. El mismo

tiene como finalidad principal crear una reglamentación para el procedimiento de obtención y

preservación de los datos de tráfico, conexión, acceso por parte de los Proveedores de Servicios.

Asimismo, el Reglamento prevé la regulación de los Centros de Acceso Público, Puntos de

Acceso Públicos y el bloqueo de contenido de páginas en internet con contenido de explotación

sexual comercial de niños, niñas y adolescentes. Hasta la fecha, el mismo no se ha terminado de

aprobar ya que existe cierta resistencia de parte de los Proveedores de Servicio en lo que respecta

al bloqueo del contenido, al mismo tiempo que un mecanismo de esa naturaleza podría
convertirse en una herramienta de censura o de coerción a la libertad de expresión. (Nishio,

2016)

Principales riesgos de TI en entidades financieras

Las instituciones financieras enfrentan el riesgo de desalineación entre las estrategias de

negocio y de TI, las decisiones de la administración que incrementan el costo y la complejidad

del entorno de TI, y el talento insuficiente o no coincidente. La tecnología de las compañías

financieras puede volverse obsoleta, sometida a disrupción, o no-competitiva, con los sistemas

heredados obstaculizando la agilidad. Las fusiones y adquisiciones pueden de manera

irremediable complicar el entorno de TI de la organización – un hecho que muchos equipos de

administración fallan en presupuestar y abordar. Mientras tanto, las empresas nuevas [startups]

orientadas-a-la-tecnología, así como también las soluciones con tecnología financiera disruptiva

(“FinTech”) están desafiando los modelos y procesos de negocio en el corazón de muchas

instituciones, haciendo de la rapidez de respuesta un requerimiento para la relevancia y la

viabilidad continuas. (Deloitte, 2017)

Los riesgos de TI tienen implicaciones estratégicas, financieras, operacionales,

regulatorias, y reputaciones. Para abordarlo, los miembros de junta no necesitan volverse

expertos en TI, pero necesitan entender suficientemente bien el panorama de la TI para vigilar y

cuestionar a la administración. (Deloitte, 2017)

El sector financiero constituye el objetivo prioritario de los cibercriminales, hasta el

punto de que cerca de la mitad de los ciberataques afectan a este sector. Las amenazas y ataques

que experimentan diariamente ya no solo proceden de individuos deseosos de quebrar la

seguridad de un Banco, como los hackers, sino que se está convirtiendo en práctica habitual
también de cibercriminales que buscan lucro económico, así como de ciberterroristas que tratan

de atentar contra la seguridad de una Institución, o del ciberespionaje entre entidades financieras.

(Revista Estrategia & Negocios, 2015)

Adicional a los ataques intencionados, se encuentra el uso incorrecto de la tecnología,

que en muchas ocasiones es la mayor causa de las vulnerabilidades y los riesgos a los que se

exponen las organizaciones. (Revista Estrategia & Negocios, 2015)

Todo esto lleva a crear una estrategia Institucional que dimensione el riesgo tecnológico

desde tres aspectos:

● A nivel de la infraestructura tecnológica (redes, recursos de hardware y acceso físico).

● A nivel lógico (riesgos asociados al software, aplicaciones y los datos).

● A nivel de los riesgos derivados del mal uso que hace el recurso humano de lo

anterior.

Es fundamental que las Instituciones analicen los aspectos anteriores y que elaboren un

mapa de riesgo que documente las posibles causas de riesgo tecnológico, así como sus efectos y

que mitigue de forma eficiente y efectiva las amenazas procedentes de entornos como la

movilidad, la computación en la nube y los medios sociales.

A continuación, citamos un ejemplo del resultado del proceso de creación de un mapa de

riesgo y de las acciones a tomar para la mitigación de las amenazas relacionadas con la Banca

por Internet:

Riesgo: Privacidad
 Acción: Los datos personales y financieros deben almacenarse de manera segura y todas

las comunicaciones con el sistema de Banca en Línea deben estar encriptadas. Esto asegura la

confidencialidad de los datos desde los sistemas del Banco hasta el navegador del cliente.

También debe ofrecerse un servicio que permita intercambiar correo electrónico, de manera

segura. (Revista Estrategia & Negocios, 2015)

Riesgo: Certificados Digitales

Acción: Las páginas Web deben hacer uso de certificados de validez extendida (EV -

Extended Validity) para comprobar la identidad de los visitantes. Estos certificados requieren de

una verificación exhaustiva y proporcionan el más alto nivel de confianza del usuario con

respecto a la autenticidad del sitio Web. (Revista Estrategia & Negocios, 2015)

Riesgo: Verificación de la identidad

Acción: Para obtener un nivel más alto de seguridad, el sistema de Banca en Línea debe

requerir dos niveles de autentificación para acceder a las cuentas bancarias.

- El Usuario y Contraseña

Una contraseña de un solo uso (one-time password) generada automáticamente. Este

segundo paso previene un acceso no autorizado en el caso de que un Usuario/Contraseña haya

sido comprometido.

Riesgo: Bloqueo de cuenta y finalización de sesión

Acción: Para proteger los datos contra intentos de adivinar una contraseña, la cuenta será

bloqueada si la contraseña (o el código del token) son introducidos erróneamente cuatro veces
consecutivas. Además, una sesión bancaria en línea debe desconectarse automáticamente

después de doce minutos de inactividad.

Riesgo: Identidad del Sitio Web

Acción: Los usuarios reciben correos electrónicos que aparentemente son enviados por la

institución y que generalmente solicitan que se sigan ciertos enlaces para conectarse a su cuenta

en línea para resetear la contraseña u otras acciones similares. Generar una campaña de correos

electrónicos que adviertan al usuario del riesgo de responder a este tipo de correos.

Como conclusión, podemos mencionar que gracias a la adopción de medidas para la

mitigación del riesgo tecnológico, los clientes de las Instituciones Financieras estaremos más

seguros cuando nos identifiquemos para efectuar operaciones que involucren información

sensitiva o dinero, lo que nos protegerá de posibles fraudes. Asimismo, los Bancos se protegerán

mejor, internamente, al aplicar métodos de mitigación de riesgo al identificar a los colaboradores

que manejan dinero y autorizan transacciones de valor.

Comité de Basilea o Comité de Supervisión Bancaria de Basilea

Es una entidad que brinda orientación a nivel mundial en materia de regulación

financiera. Sus recomendaciones, plasmadas en los Acuerdos de Basilea, no son de obligatorio

acatamiento.(Westreicher, 2018)

En otras palabras, los lineamientos de esta institución no son jurídicamente vinculantes.

Sin embargo, sirven como guía para las autoridades de cada país. El objetivo del Comité de

Basilea es fortalecer, en general, los sistemas bancarios. Para alcanzar esa meta, se fomentan
normas respecto a diversos temas como blanqueo de capitales, buen gobierno corporativo,

manejo del riesgo crediticio, control interno, entre otros. (Westreicher, 2018)

Dicho de otra forma, el propósito de este foro es el perfeccionamiento y la convergencia

de la supervisión financiera a nivel global.

Cabe resaltar que Basilea I (el antecesor de Basilea II) fue adoptado por casi todas las

naciones con un sistema financiero activo internacionalmente. Es decir, no ha sido aceptado

únicamente por los miembros del comité. (Westreicher, 2018)

Posteriormente, en el Nuevo Acuerdo de Capital (Basilea II) del 2004 se constituyeron

otras disposiciones. Entre ellas destaca el llamado a los bancos a preocuparse por su solvencia y

la disciplina del mercado. Esto último quiere decir que las entidades financieras deben ser

transparentes al informar sobre el nivel de riesgo de sus operaciones.

Definición de Riesgo Operacional

El riesgo operacional es un tipo de riesgo que puede provocar pérdidas a una empresa

debido a errores humanos, procesos internos inadecuados o defectuosos, fallos en los sistemas,

entre otros. (Nuño, 2019)

Este riesgo operacional va de la mano de todas las actividades, productos y procesos de la

empresa. Además, para evaluar este riesgo, se toman en consideración dos variables:

● Probabilidad de que suceda un evento que implique un riesgo a la empresa y que se

pueda mermar en futuras ocasiones en función del número de veces que acontezca el

mismo. ¿Qué grado de probabilidad hay de que se rompa una máquina del proceso de

producción?
 ● Además, el riesgo operativo afecta directamente al patrimonio de la empresa, en

función de la gravedad del evento.

En definitiva, la definición del riesgo operacional es la siguiente: la posibilidad de

ocurrencia de pérdidas financieras, originadas por fallas o insuficiencias de procesos, personas,

sistemas internos y tecnología. (Nuño, 2019)

Principales eventos de pérdida derivados del riesgo operacional

Recursos humanos

Existe cierto riesgo de que la empresa sufra pérdidas causadas por negligencia, error

humano, fraude, robo, ambiente laboral desfavorable, entre muchas otras situaciones. También

se pueden incluir en este factor del riesgo operacional, el hecho de que haya falta de personal o

que haya personal pero no cuente con las aptitudes y destrezas necesarias para afrontar la

exigencia de la empresa. (Nuño, 2019)

Procesos internos
 Probabilidad de que se produzcan pérdidas por un diseño inadecuado de los procesos

internos o que haya fijadas unas políticas inadecuadas que disminuyan el desarrollo de las

operaciones e impidan ofrecer un producto o servicio de calidad.

Como ejemplos del riesgo operacional de los procesos internos, tenemos: evaluación inadecuada

de contratos, complejidad de productos, errores en la información contable, insuficiencia de

recursos, incumplimiento de plazos y presupuestos planeados, entre otros.

Tecnología de información.

Tipo de riesgo operativo donde las pérdidas se derivan de un uso inadecuado de los

sistemas de información y las tecnologías inherentes en los procesos de la empresa. Entre los

riesgos operacionales que nos podemos encontrar: hechos que atenten contra la confidencialidad,

integridad, disponibilidad y oportunidad de la información, por ejemplo.

Eventos externos

Pérdidas procedentes de eventos ajenos al control de la empresa y que pueden alterar el

desarrollo de su actividad. Como ejemplos de riesgo operativo referentes a eventos externos,

encontramos: contingencias legales, fallas en los servicios públicos, desastres naturales,

atentados y actos delictivos, etc. (Nuño, 2019)

Identificación de activos informáticos

Como Control de la norma ISO 27001 2017 se exige la realización de un inventario de

activos, que es además la mejor manera de comenzar a trabajar. Si no sabemos lo que tenemos,

nos será muy complicado gestionarlo o controlarlo correctamente. Este inventario se deberá

mantener actualizado a lo largo del tiempo, por lo que se deberán realizar revisiones periódicas y

comunicar los cambios.

 Los activos los podemos separar en dos grandes grupos: tangibles e intangibles. Los

activos tangibles son aquellos activos materiales que contienen información, y sobre los que

tomaremos medidas preventivas para protegerlos principalmente de riesgos físicos: golpes, agua,

fuego, etc. Los activos intangibles son aquellos que soportan la información dentro de un activo

material, y pueden inutilizar la información, pese a que el activo físico no haya sufrido daño

alguno.

Por ejemplo: Un listado de personal (información) puede estar incluido en una hoja Excel

(activo intangible), que se encuentra en un ordenador de sobremesa (activo material), situado en

la oficina principal (activo material) de la empresa.

Clasificación de activos informáticos

Como referencia estamos utilizando la dirección de tecnología del lugar de trabajo del integrante

José Germán.

Activos materiales
Algunos ejemplos de activos materiales que se pueden encontrar en todas las empresas, son:

1. Equipos informáticos: Cada vez son más los equipos informáticos presentes en las

empresas, y pese a no contener información crítica en su interior, si que tienen acceso a

servidores y redes que sí la poseen.

2. Servidores físicos: Los servidores propios donde guardamos todos los documentos de la

organización o donde se encuentran las aplicaciones informáticas compartidas (ERP,

CRM...), y los externos donde alojamos nuestros servicios web y de correo electrónico,

suelen ser los Activos más críticos dentro del SGSI.

3. Equipos red local: nuestros equipos informáticos están conectados entre sí por medio de

redes inalámbricas o cableadas. Las cuales pueden ser cortadas o violadas por hackers

expertos.
 4. Periféricos y pendrives: Hay que tener un especial cuidado con escáneres e impresoras

donde se deja información impresa olvidada con frecuencia. Los pendrives, CDs,

DVDs... suelen perderse con facilidad o quedar olvidados por los cajones con

información muy sensible.

5. Portátiles, tabletas y móviles: En esta categoría se incluyen todos aquellos dispositivos

electrónicos que salen de nuestras instalaciones habitualmente. Sea por visitas

comerciales, porque el trabajador se lo lleva a casa después del trabajo, o se ceden

temporalmente a terceros.

6. Oficinas e instalaciones: Las oficinas, los edificios, las naves industriales... contienen los

ordenadores, los servidores físicos, los archivadores, la documentación en papel... Por lo

que deben ser consideradas como un activo material más, que deberemos proteger.

7. Personal propio: Cada una de las personas que trabajan en la organización, tienen

información del negocio en su cabeza: conocimientos del proceso productivo, salarios,

contactos de proveedores y clientes... dependiendo del puesto que ocupe el trabajador,

ésta será más o menos sensible.

8. Otros contenedores: Armarios RF, cajas fuertes, archivadores, estanterías, salas

refrigeradas para servidores, cuartos de archivo, CPDs... son otros activos físicos que

podemos tener en nuestra organización, y deberemos identificar.

Activos intangibles
Entre los distintos activos intangibles que encontraremos en nuestra organización, cabe

destacar:

1. Aplicaciones informáticas: cualquier software que contenga o gestione información

del negocio, será un Activo: el ERP, aplicaciones de contabilidad, el CRM, Aplicaciones

 ofimáticas (Word, Excel, Powerpoint...), software de control de calidad, aplicaciones de

gestión de proyectos o producción...

2. Gestores de copias de seguridad: las aplicaciones de creación y restauración de

copias de seguridad se tratan como herramientas diferentes a las anteriores, dado que se

debe garantizar su disponibilidad en el caso de caída grave del resto de sistemas.

3. Sistemas operativos: Dado que soportan el resto de aplicaciones informáticas y que son

uno de los principales objetivos de los virus informáticos, los gestionaremos de manera

especial al resto del software.

4. Comunicaciones: Las comunicaciones con el exterior también son críticas ante una

situación de emergencia, por lo que se tratarán de forma diferente: los servicios

telefónicos, el acceso a internet y los servidores de correo electrónico.

5. Gestores de bases de datos: el mal funcionamiento del ERP puede suponer una pérdida

de accesibilidad de la información durante un tiempo determinado. Pero la caída del

gestor de bases de datos que hay detrás, puede generar la pérdida de una parte del

contenido o su totalidad. Por lo que requiere de un cuidado más exigente y delicado.

6. Suministros: la pérdida de suministro eléctrico durante un espacio de tiempo

prolongado, puede suponer la caída de los sistemas de información de la organización.

Por lo que deberemos tener alternativas a nuestro proveedor habitual de estos servicios.

Otra clasificación

Otra manera de clasificar los activos de información es de acuerdo a su importancia. En

este sentido, la clasificación iría de la siguiente manera:

 Siendo los significados de los niveles de confidencialidad los siguientes:

Determinación de la matriz de impacto

La matriz de probabilidad e impacto es una herramienta que nos permite establecer

prioridades al momento de mitigar posibles riesgos, e implementar soluciones ante

acontecimientos que pueden ocurrir en una empresa o en un proyecto.

 Para implementarla, en primer lugar debemos de hacer una lista de los posibles riesgos, y

posteriormente asignar una probabilidad entre improbable, posible o probable; y el impacto que

éste causaría, entre despreciable, moderado o crítico.

Luego de haber realizado la lista, hay que tomar acciones previas las cuales mitiguen el

problema para las combinaciones que sean más problemáticas (un ejemplo de esto serían los

riesgos probables e impacto críticos).

Este método posee mucha flexibilidad y en lugar de tres categorías es posible por ejemplo

tomar cinco. En principio hay que tomar acciones para todo aquello que esté en la parte superior

derecha de la matriz, en la zona roja, pero también se pueden tomar acciones para mitigar la zona

amarilla. La idea es que estos riesgos sean menos probables o que los impactos sean menores,

para así mover dichos eventos a la zona verde.

Nos permite priorizar aquellas tareas de una forma bastante visual y sencilla, tomando

como base las dos dimensiones esenciales relativas al riego: La probabilidad de que el evento

suceda y El impacto que provocaría en caso de que sucediera.

Los índices cualitativos o rangos propuestos en una matriz 5x5 son:

Probabilidad
 Cierto Probabilidad muy alta

Probable Probabilidad alta

Posible Probabilidad media

Improbable Probabilidad baja

Excepcional Sería especialmente raro que ocurriera

Impacto

Catastrófico Pérdida de negocio o posibilidad de pérdida de vidas o lesiones graves.

Crítico Afección grave al negocio, posibilidad de lesiones moderadas.

Moderado Causaron problemas no significativos en el negocio, posibilidad de lesiones

leves.

Marginal Muy poca influencia sobre el negocio, impacto leve.

Despreciable Prácticamente ninguna influencia negativa sobre el negocio, pueden dejarse sin
mediar.

Determinación de la matriz de probabilidad de ocurrencia

Para continuar con el análisis y la evaluación del riesgo depende de la información

obtenida en las fases de identificación anteriormente descritas de Identificación de los riesgos, es

por ello que la entidad debe crear los criterios de riesgo definiendo los niveles de riesgo aceptado

por la Organización.

De esta forma la guía menciona cuales son los pasos claves en el análisis de riesgos,

probabilidad e impacto, definiendo como sigue cada uno de ellos : “Por Probabilidad se entiende

la posibilidad de ocurrencia del riesgo; esta puede ser medida con criterios de Frecuencia, si se
ha materializado (por ejemplo: número de veces en un tiempo determinado), o de Factibilidad

teniendo en cuenta la presencia de factores internos y externos que pueden propiciar el riesgo,

aunque éste no se haya materializado.

Por Impacto se entienden las consecuencias que puede ocasionar a la organización la

materialización del riesgo”. De esta forma se procede a hacer la “calificación del riesgo”, en la

cual se realiza una estimación, de cuál podría ser la probabilidad de ocurrencia del riesgo y el

impacto que traería éste, en caso de materializarse. De igual forma la guía presenta una “tabla de

probabilidad” y una “Tabla de Impacto”, en las cuales presenta 5 niveles para medir la

probabilidad de ocurrencia y 5 niveles para lograr medir el impacto, dando las herramientas con

las cuales se definen los criterios de riesgo.

La evaluación de riesgos se hace de manera cualitativa generando una comparación en la

cual se presenta el análisis de la probabilidad de ocurrencia del riesgo versus el impacto del

mismo, obteniendo al final la matriz denominada “Matriz de Calificación, Evaluación y

respuesta a los Riesgos”, con la cual la guía presenta la forma de calificar los riesgos con los

niveles de impacto y probabilidad establecidos anteriormente, así como las zonas de riesgo

presentando la posibles formas de tratamiento que se le puede dar a ese riesgo, tal como se

muestra en la siguiente imagen que conocemos como una matriz de ocurrencia:

Identificación de Amenazas

Una amenaza tiene el potencial de causar daños a activos tales como información,

procesos y sistemas y, por lo tanto, a la entidad. Las amenazas pueden ser de origen natural o

humano y podrían ser accidentales o deliberadas es recomendable identificar todos los orígenes

de las amenazas accidentales como deliberadas. Las amenazas deberían de ser identificadas

genéricamente y por tipo (ej. Acciones no autorizadas, daño físico, fallas técnicas).
 Algunas amenazas pueden afectar a más de un activo y en tales casos pueden causar

diferentes impactos dependiendo de los activos que se vean afectados.

A continuación se describen una serie de amenazas comunes:

 La identificación de las amenazas que potencialmente podrían afectar a la institución, se

las describe como un fenómeno, sustancia, actividad humana o condición peligrosa que pueden

ocasionar la muerte, lesiones u otros impactos a la salud, al igual que daños a la propiedad, la

pérdida de medios de sustento y de servicios, trastornos sociales y económicos, o daños

ambientales. Es un factor ajeno y fuera de control, representado por un fenómeno físico que está

latente, y que puede ocurrir y producir un desastre al manifestarse.

Para el análisis de la amenaza se determina si es interno o externo, se realiza una

descripción y se procede a calificar:

 Posible Nunca ha sucedido

Probable Ya ha ocurrido

Inminente Es evidente o detectable

Se desarrolla la estimación de la severidad de las consecuencias sobre los denominados

factores de vulnerabilidad que podrían resultar afectados y que contempla tres elementos

expuestos: de personas, recursos y sistemas y procesos y cada uno de ellos analizado desde tres

aspectos valoradas de acuerdo a los respectivos cuadros adjuntos.

Una vez identificadas, descritas y analizadas las amenazas y para cada una, desarrollado

el análisis de vulnerabilidad, se procede a determinar el nivel de riesgo que para esta

metodología es la combinación de la amenaza y las vulnerabilidades utilizando el diamante de

riesgo, por último, de acuerdo a la combinación de los cuatro colores dentro del diamante, se

determina el nivel de riesgo global según los criterios de combinación de colores planteados.

Finalmente se realiza una propuesta de un plan operativo en función a los riesgos identificados y

las conclusiones y recomendaciones pertinentes.

Determinación de Riesgos Brutos y Riesgos Residuales

El riesgo bruto es aquel riesgo que por su naturaleza no se puede separar de la actividad o

proceso. Es propio del trabajo a realizar. Es la evaluación preliminar del riesgo, con la cual la

entidad quiere conocer el nivel de exposición al mismo.

Por otro lado, el riesgo residual es el nivel de riesgo al cual está expuesta la entidad de

acuerdo con los controles existentes. El riesgo residual es el resultado de combinar la calificación

del riesgo inherente o bruto y la evaluación de los controles considerando el diseño y la eficacia

operacional de los mismos.

Las amenazas deben estar debidamente gestionadas, para lo cual resultará necesario dar

un salto y pasar a estimar la situación real de estos riesgos, a través de la cuantificación de los

Riesgos Residuales en los procesos empresariales.

Precisamente, el segundo es el Residual, que es el riesgo que subsiste, después de que se

han implementado los controles. Es al que está sometido una empresa que nunca desaparecerá

totalmente, por lo que es de rigor buscar un equilibrio entre el nivel de recursos y mecanismos

que es preciso dedicar para minimizar o mitigar estos riesgos y lograr un nivel de confianza que

se puede considerar suficiente (nivel de riesgo aceptable). Este tipo de riesgo puede verse como

aquello que separa a la empresa de la seguridad absoluta. El que refleja el riesgo remanente una

vez se han implantado de manera eficaz las acciones planificadas por la dirección para mitigar el

primero (Riesgo Bruto).

El Riesgo Residual se puede calcular al obtener la diferencia entre Riesgos Inherentes

menos Efectividad de Controles o quizás una fórmula más objetiva sería el producto de

multiplicar la Probabilidad Residual por el Impacto Residual.

 Según el Lic. Jesús Aisa Diez, Ex Subdirector Corporativo de Auditoría Interna de

Telefónica S.A., Director de la Revista del Instituto de Auditores Internos de España la

diferencia entre ambos tipos de riesgos se da “…en el nivel de control que pueda estar

aplicándose en los procesos en los que estos se visualizan, pues mientras que la valoración del

riesgo residual se pretende estimar la importancia efectiva de la gravedad de la amenaza que

estemos cuantificando, de acuerdo con las medidas correctoras que ya se estén aplicando; en la

evaluación del riesgo inherente lo que se pretende es apreciar la importancia de las hipotéticas

amenazas en ausencia de cualquier tipo de control. Es por tanto una valoración que no se

corresponde con una situación existente sino una simulación de la misma si no hubiésemos

aplicado los controles que estemos aplicando.”

Análisis de vulnerabilidades y obtención de matrices de riesgos finales

Para realizar una correcta identificación de vulnerabilidades es necesario conocer la lista

de amenazas comunes, la lista de inventario de activos y el listado de controles existentes. Se

pueden identificar vulnerabilidades en las siguientes áreas:

● Organización.

● Procesos y procedimientos.

● Rutinas de gestión.

● Ambiente físico

● Configuración del sistema de información.

● Hardware, software y equipos de comunicaciones.

● Dependencia de partes externas.

A continuación se enuncian vulnerabilidades conocidas y métodos para la valoración de la

mismas:
 Una vez definidas las vulnerabilidades, el impacto y las probabilidades, procedemos a

realizar nuestra matriz de riesgo, priorizando siempre tener una buena documentación en cada

riesgo trabajado.

Matriz de riesgo conceptual

Codificación y Documentación de Riesgos

.
Análisis de resultados y recomendaciones de remediación

A continuación presentamos una matriz con las recomendaciones y el plan de acción

correspondiente, detallando quién sería el responsable de ejecutar estas acciones con fines de

llevar a cabo estas oportunidades de mejoras en cada caso examinado:

OBSERVACIONE RECOMENDACIONES PLAN DE ACCIÓN RESPONSABLE

S

Gran pérdida de Mantener activo y Observar y comprobar Gerente de

información a actualizado el servidor del periódicamente la Sistema
causa de malware antivirus; buscar siempre disponibilidad del
y/o medios que los agentes y el servidor servidor de antivirus,
extraíbles se encuentren sincronizados. para que este se
previamente encuentre activo de
infectados. manera
ininterrumpida.

Pérdida de Implementar la opción de Habilitar la función de Gerente de

información de Shadows Copies para
manejo de resguardar los datos con
proyectos altos niveles de importancia.
En caso de ser aplicable al
escenario, utilizar servicios
de nube para el
almacenamiento de esta
información.
Shadows Copies en Sistema
las distintas carpetas
de los usuarios y
realizar una copia de
seguridad a estas,
donde posteriormente
puede ser almacenado
en servidor local o
servicios externos de
nube.

Adquisición fuera Analizar el alcance del Designar un analista Director de TI

de los parámetros proyecto antes de proceder a
seguros o efectuar una compra de
adecuados de equipos o software, para
software y tener contemplado la
hardware magnitud o las capacidades
que son requeridas.
de proyectos TI para
que desde el comienzo
del proyecto busque
determinar y definir el
alcance y las
características de los
equipos que se
necesitan, todo esto
trabajando junto al
departamento de TI.
Determinación del Plan de Remediación

La Entidad en función de los riesgos debe definir aquellos que quiere marcar como

significativos y que ha ha elaborado y aprobado, los lineamientos para llevar adelante el proceso

interno de Autoevaluación del Capital de acuerdo a los principios establecidos en el T.O. sobre

“Lineamientos para la Gestión de Riesgos de las Entidades. Financieras” de B.C.R.A. y las

buenas prácticas definidas por el Comité de Basilea. El mismo tiene por objeto determinar el

capital que la Entidad considera necesario mantener tanto en la actualidad como en el futuro,

contemplado en su planificación y que resulta acorde con los riesgos inherentes a su actividad, el

entorno económico en que opera, los sistemas de gobierno, gestión y control de los riesgos, el

plan estratégico de negocio, la calidad de los recursos propios disponibles (porcentaje de

recursos propios básicos sobre el total) y las posibilidades reales de obtención de mayores

recursos propios en caso de que ello fuera necesario.

Este proceso tiene por objeto determinar el capital necesario para cubrir, no sólo las

pérdidas inesperadas originadas por las exposiciones a los riesgos crediticio, operacional y de

mercado, sino también las que provienen de otros riesgos – de tasa de interés, de liquidez, de

titulización, de concentración, reputacional, y estratégico – a los que puede estar expuesta la

Entidad.

Adicionalmente, la Entidad con una periodicidad anual estresa los resultados de su plan

de negocio a fin de evaluar situaciones adversas que puedan afectar su nivel de capital.

Este proceso parte de una metodología que utiliza la medición de percentil sobre su

pérdida inesperada, que es aquella que puede ocurrir en un escenario desfavorable dentro de un

horizonte de tiempo. El escenario desfavorable será definido a partir de un nivel de confianza y

el horizonte de tiempo refleja el periodo que demora la Entidad en aplicar algún mecanismo de

remediación. El cálculo del capital económico es llevado a cabo en forma independiente entre los
riesgos y luego se adicionan las medidas de capital económico obtenidas, considerando que la

aplicación de la suma aritmética supone, en forma prudente, la existencia de una máxima

correlación entre los riesgos.

Recomendaciones y Conclusiones

La realización de este proyecto nos ha permitido conocer a través de las distintas matrices

de riesgos la importancia que conlleva la búsqueda de riesgos o amenazas que puedan afectarnos;

de manera que no nos mantengamos estáticos en los que ya tenemos conocimiento y

actualicemos constantemente nuestra lista con la finalidad de estar lo más preparados posibles

para prevenir y fortalecer nuestra seguridad. Es una buena práctica que la realización de matrices

de riesgos se realicen constantemente cada tres (3) meses con el fin de que éstas sean verificadas

y que se compruebe que verdaderamente están siendo cumplidas.

A manera de conclusión podemos decir que hemos obtenido gran contenido de

conocimientos referente a los riesgos trabajados en matrices, su ejecución y el deber de la

constante comprobación del cumplimiento y mantenimiento de estos. De igual manera, el deber

que tiene una empresa de preocuparse siempre por estos riesgos que puedan afectar gravemente,

y el rol de los auditores de prevenir que esto suceda en la medida de lo posible.

Referencias

Deloitte. (2017, 1 marzo). Los riesgos de la tecnología de la información en los servicios

financieros. Deloitte Colombia. https://www2.deloitte.com/co/es/pages/risk/articles/los-

riesgos-de-la-tecnologia-de-la-informacion-de-los-servicios-financieros.html

Estado Dominicano. (2014, 16 diciembre). Disaster Management (manejo de

contingencias) - Portal Oficial del Estado Dominicano. Portal Oficial del Estado

Dominicano.

http://dominicana.gob.do/index.php/politicas/2014-12-16-20-56-34/politicas-para-el-

buen-gobierno/gestion-de-contingencias-y-desastres#:%7E:text=En%20la%20Rep

%C3%BAblica%20Dominicana%2C%20el,02%20Sobre%20Gesti%C3%B3n%20de

%20Riesgos.

Nishio, M. (2016, 17 octubre). Marco Legal de las TIC en Rep. Dominicana. Mite

Nishio. http://mitenishio.com/2011/07/marco-legal-de-las-tic-en-rep.html

Nuño, P. (2019, 30 julio). Riesgo operacional | Concepto de riesgo operativo. Emprende

Pyme. https://www.emprendepyme.net/riesgo-operacional.html#:%7E:text=El%20riesgo

%20operacional%20es%20un,y%20procesos%20de%20la%20empresa.

OPTIC. (2016). NORTIC A7.

https://optic.gob.do/nortic/images/documentos/normas/nortic-a7-1-2016.pdf

Revista Estrategia & Negocios. (2015, 26 agosto). Riesgo tecnológico y seguridad en la

banca. https://www.estrategiaynegocios.net/opinion/863212-345/riesgo-tecnol

%C3%B3gico-y-seguridad-en-la-banca2w2