Universidad Mariano Gálvez de Guatemala

Maestría en Estándares Internacionales de Contabilidad y Auditoría

Normas internacionales de auditoría interna e informe coso I

Ing. Carlos Giovanni Guzmán De León

Sección A

Trabajo de investigación

 Riesgo Tecnológico

  Maestrando
1937-12-11698 Miguel Estuardo Marín Racho

Ciudad de Guatemala, 8 de octubre 2022

 Introducción

El presente trabajo pretende explicar las principales prácticas para la identificación y mitigación del
riesgo tecnológico para las diferentes instituciones en especial a las instituciones bancarias pero
puede ser tropical izado para cualquier tipo de industria.
Riesgo Tecnológico.

Administración del riesgo tecnológico: es el proceso que consiste en identificar, medir, monitorear,
controlar, prevenir y mitigar el riesgo tecnológico.

Almacenamiento de información: utilización de servicios de cómputo para mantener, conservar y

resguardar datos. Certificado digital: es un identificador único que garantiza la identidad del emisor
y del receptor de un mensaje o transacción electrónica, la confidencialidad del contenido del envío,
la integridad de la transacción, y el no repudio de los compromisos adquiridos por vía electrónica.

Políticas y procedimientos.

Las instituciones deberán establecer e implementar políticas y procedimientos que les permitan
realizar permanentemente una adecuada administración del riesgo tecnológico de la institución,
considerando la naturaleza, complejidad y volumen de sus operaciones.

Dichas políticas y procedimientos deberán comprender, como mínimo, las metodologías,

herramientas o modelos de medición del riesgo tecnológico, así como los aspectos que se detallan
en los capítulos del III al VII de este reglamento y agruparse en los temas siguientes:

a) Infraestructura de TI, sistemas de información, bases de datos y servicios de TI;

b) Seguridad de tecnología de la información;

c) Ciberseguridad; d) Plan de recuperación ante desastres; y,

e) Procesamiento y/o almacenamiento de información.

Comité de Gestión de Riesgos.

El Comité de Gestión de Riesgos, en lo sucesivo el Comité, estará integrado como mínimo por un
miembro del Consejo y por las autoridades y funcionarios que dicho Consejo designe. El Comité
estará a cargo de la dirección de la administración del riesgo tecnológico, entre otros riesgos, para
lo cual deberá encargarse de la implementación

Plan estratégico de TI.

Las instituciones, como parte de su plan estratégico general, deberán tener un plan estratégico de
TI alineado con la estrategia de negocios, para gestionar la infraestructura de TI, los sistemas de
información, la base de datos y al recurso humano de TI.

El plan estratégico de TI debe incluir, como mínimo, los aspectos siguientes:

a) Objetivos de TI alineados con la estrategia de negocios en función del análisis e impacto de

factores internos y externos en esta materia, tales como oportunidades, limitaciones y desempeño
de la infraestructura de TI, los sistemas de información, la base de datos, el recurso humano
relacionado y los activos en el ciberespacio de la institución;

b) Estrategias de TI, para la consecución de los objetivos;

c) Proyectos y actividades específicas; y,

d) El presupuesto financiero para su ejecución.

Las instituciones deberán poner a disposición de la Superintendencia de Bancos el plan estratégico

de TI y sus modificaciones, cuando ésta lo requiera.

Las nuevas instituciones que se constituyan o se autorice su funcionamiento deberán remitir una
copia del plan estratégico de TI a que se refiere este artículo, a la Superintendencia de Bancos,
antes del inicio de sus operaciones.

Gestión de la seguridad de la información.

Las instituciones deberán gestionar la seguridad de su información con el objeto de garantizar la

confidencialidad, integridad y disponibilidad de los datos, así como mitigar los riesgos de pérdida,
extracción indebida y corrupción de la información, debiendo considerar, como mínimo, los
aspectos siguientes:

a) Identificación y clasificación de la información de acuerdo a criterios de sensibilidad y criticidad;

b) Roles y responsabilidades para la gestión de la seguridad de la información;

c) Monitoreo de la seguridad de la información;

Seguridad física que incluya controles y medidas de prevención para resguardar adecuadamente la
infraestructura de TI de acuerdo a la importancia definida por la institución conforme al riesgo a que
esté expuesta, considerando:

1. Ubicación física y sus controles de acceso;

2. Acondicionamiento del espacio físico que considere factores tales como temperatura, humedad y
prevención de incendios;

3. Vigilancia, que incluya factores tales como personal de seguridad, sistemas de video y sensores;
4. Suministro ininterrumpido de energía eléctrica; y,

5. Adecuado manejo del cableado de red y de energía eléctrica.

e) Seguridad lógica que incluya controles y medidas de prevención para resguardar la integridad y
seguridad de la infraestructura de TI, los sistemas de información y de las bases de datos,
considerando:

Plan de recuperación ante desastres.

Las instituciones deberán contar con un plan de recuperación ante desastres, que esté alineado
con el plan de continuidad del negocio de la institución, con el objeto de recuperar los servicios
tecnológicos críticos que apoyan los procesos críticos de las principales líneas de negocio, sus
activos en el ciberespacio, así como la información asociada en caso de una interrupción.

Pruebas al plan de recuperación ante desastres.

Las instituciones deberán elaborar como parte del plan de recuperación ante desastres un plan de
pruebas que incluya, como mínimo: alcance, escenarios y periodicidad.
Implementación

La empresa Riegos y Tecnología (Ritec), fabricante de equipos de riego y control de clima y de

proyectos llave en mano contaba con un sitio web que le servía exclusivamente para mostrar sus
datos de contacto e información de la empresa y los productos, pero de una forma poco adaptada
al medio Internet. La web ofrecía contenidos «poco escaneables», textos excesivos, navegabilidad
poco intuitiva, un flash de entrada a la página un tanto irritante para el usuario y, en definitiva, una
web pasiva y muy corporativa, no centrada en el usuario.

Ritec encargó un análisis y un plan de mejoras de su web para conseguir una herramienta que
permitiera a su equipo comercial ofrecer información clara y convincente de los productos y
servicios, que les apoyase en la promoción de las ventas y que el sitio se dirigiera tanto al cliente
final como al distribuidor comercial de sus productos en todo el mundo.

1. Agrupar los contenidos en cápsulas de información

En la página de inicio se han agrupado los contenidos centrándose en las diferentes líneas de
producto, que se presentan con un título y una imagen identificativa. Esto es lo que el usuario
busca y no tanto lo que se mostraba en la web antigua que era información corporativa de la
empresa. Otros contenidos que se destacan son vídeos sobre proyectos realizados, testimonios de
clientes y «preguntas al experto».

2. Jerarquizar los contenidos

En la parte superior central se muestra el menú de navegación principal y una foto rotativa
identificativa de los productos con un tagline  que destaca las ventajas competitivas de la oferta de
RITEC. Otra «zona caliente», la del lateral izquierdo, se muestra el menú que contiene las
diferentes líneas de producto.

3. Ofrecer navegación clara y autoexplicativa

Los menús de navegación muestran los contenidos que ofrece la web al usuario. Por este motivo
se puso mucho cuidado en la elección del nombre de cada pestaña, para utilizar una palabra o
palabras concisas, breves y que con un golpe de vista le sugieran al usuario que puede encontrar
al hacer clic en las pestañas..

4. Familiaridad-Convencionalismos

Hay una serie de elementos que el usuario espera que estén ubicados o que se muestren de
determinada forma. El logo se ubica en la parte superior izquierda en todas las páginas del sitio.

5. Consistencia
El diseño es consistente en todas las páginas del sitio. Se mantiene la línea de colores y la
tipografía, así como el menú principal superior que aparece en tolas las páginas y el lateral que
aparece en la página de inicio y en todas las relativas a línea y fichas de producto.

6. Descarga rápida

Se propone eliminar el flash pesado de entrada al sitio web de la versión antigua para acceder
directamente a la página de inicio. Se optimizan imágenes para cargarse con el menor peso
posible sin perder sustancialmente la calidad y el programador reducirá el peso del código de
programación todo lo posible.

7. Accesos múltiples a la información

Para obtener información de los productos desde la página de inicio hay 4 accesos posibles: Menú
lateral izquierdo, buscador, imágenes centrales identificativas de los productos y el e-catálogo.

8. Optimización para navegadores y tamaños de pantalla

Se propone que la nueva web pueda verse correctamente en las diferentes versiones de los
navegadores Internet Explorer y Mozilla Firefox que son los que tienen la gran mayoría de los
ordenadores personales y otros dispositivos de acceso a Internet. También se propone la
optimización para Safari (es el navegador de los PC y otros dispositivos de Apple) y Chrome (el
navegador de Google)..

9. Cumplimiento de estándares y accesibilidad

Una vez programada la web se puede comprobar el cumplimiento de estas recomendaciones y

cuáles deben ser las correcciones tecleando el dominio en: validator.w3.org (para los estándares) y
www.tawdis.net (para la accesibilidad).

10. Testar la usabilidad

Una vez rediseñada la web se realizará un test de usabilidad muy sencillo pero que seguro
aportará mejoras a la nueva web. Se propondrá a un grupo de clientes y usuarios tipo de RITEC
(tres clientes finales y tres distribuidores) participar en el test en el que se le propondrá realizar las
siguientes tareas:

• Buscar información sobre un determinado producto

• Buscar información sobre proyectos realizados para ese producto

• Buscar respuesta a una pregunta frecuente

• Plantear una consulta a la empresa

El test se hará de forma individual con cada una de las seis personas del grupo. Una persona de la
empresa irá anotando los comentarios, dudas de navegación y propuestas de cada persona.
 Conclusión

La implementación de estas prácticas de planificación, ejecución y finalización de proyectos

ayudaran a la entidad que decida implementar estas prácticas en su ambiente operacional,
ayudara a gestionar de mejor manera los recursos y ayudara al cumplimiento de las metas
trazadas por la entidad.

Bibliografía

JM-102-2011

Caso práctico: Riesgos y Tecnología - Webempresa20 - Internet orientado a resultados