CONTENIDO DEL MÓDULO

1. Establecimiento del contexto supervisor

1.1 Introducción
1.2 Marco normativo y regulador.
1.3 Recursos y organización en la autoridad.
1.4 Metodología supervisora.
1.5 Planificación de actividades supervisoras.
2. Supervisión del riesgo tecnológico
2.1 Gobierno y Estrategia.
2.2 Gestión de terceras partes.
2.3 Gestión de Riesgos.
2.4 Gestión de la Seguridad.
2.5 Gestión de Operaciones (incluyendo Gestión de Incidentes).
2.6 Gestión de los Cambios y los Proyectos.
2.7 Gestión de la Continuidad del Negocio.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 1

 GESTIÓN DE OPERACIONES DE TIC
Introducción

¿Qué entendemos por operaciones de TIC?

No hay una definición canónica, hemos escogido dos posibles definiciones :
 Personas y procesos asociados con la gestión de servicios de TI para
ofrecer el conjunto correcto de servicios con la calidad adecuada y a
costes competitivos para los clientes.1
 Las operaciones de TIC se encargan del buen funcionamiento de la
infraestructura y los entornos operativos que respaldan la implementación
de aplicaciones para clientes internos y externos. Generalmente cubre
todas las funciones de tecnología a excepción de la programación y
gestión de aplicaciones.2
Al margen de la acepción que utilicemos, hay dos características de las
operaciones de TIC generalmente aceptadas:
1. Las operaciones de TIC no incluyen desarrollo de aplicaciones (análisis, diseño, etc.).
2. Las tareas de operaciones de TIC son llevadas a cabo por personal del área de TIC.
1 Fuente: Gartner Information Technology Glossary - https://www.gartner.com/en/information-technology/glossary/it-operations
2 Fuente: combinación propia de las definiciones de https://joehertvik.com/operations-management/

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 2

GESTIÓN DE OPERACIONES DE TIC
Introducción

Áreas de las operaciones de TIC

Al igual que con la definición, hay varias opciones para clasificar las tareas de
operaciones de TIC. Estas tareas estarán generalmente englobadas en una de las
siguientes áreas:

Operaciones y asistencia técnica: gestión de los centros de procesamiento

de datos, creación y modificación de usuarios, elaboración y distribución de
informes, gestión de copias de seguridad, soporte de nivel 1, etc.

Infraestructura de red: monitorización de redes, asegurar la infraestructura de

red (apertura de puertos, configuración de firewalls y otros elementos de red,
etc.), gestión funciones y elementos de comunicación internas y externas
(routers, balanceadores, firewalls, VPN, etc.), sistemas de telefonía, etc.

Gestión de dispositivos y servidores: aprovisionamiento, configuración,

actualización, parcheado, reparación de servidores, dispositivos móviles,
ordenadores y portátiles, etc.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 3

GESTIÓN DE OPERACIONES DE TIC
Principales tareas

Son muchas las tareas que se pueden englobar bajo el término “operaciones de
TIC”. Al igual que vimos anteriormente con la definición del término, las tareas
que se pueden englobar bajo él podrán variar.
En las siguientes páginas nos centraremos en un subconjunto de tareas que
consideramos de especial relevancia, son comúnmente considerados parte vital
de las operaciones de TIC y que, además, son tratadas explícitamente en las
directrices de la Autoridad Bancaria Europea sobre gestión de riesgos de TIC y
de seguridad:

 Monitorización de los sistemas y las operaciones.

 Inventario de activos.
 Planificación y monitorización de la capacidad.
 Gestión de copias de seguridad.
 Gestión de incidentes y problemas.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 4

GESTIÓN DE OPERACIONES DE TIC
Monitorización de los sistemas y las operaciones

Monitorización de los sistemas y las operaciones

Las entidades deben controlar el
funcionamiento y medir el rendimiento de sus
sistemas y operaciones de TIC en base a
diferentes indicadores que ellas definan. La
monitorización de sistemas y operaciones en
base a dichos indicadores es vital para la
detección, análisis y corrección de errores.
Como parte del proceso de monitorización se pueden configurar alertas en
distintos niveles de los sistemas TIC, servicios, aplicaciones y componentes. Las
alertas permiten notificar a los equipos correspondientes errores o problemas en
componentes y procesos de TIC.
Adicionalmente, la monitorización es un elemento clave para la ejecución de
otras tareas tanto dentro del ámbito de las operaciones de TIC como de otros
ámbitos como la detección de incidentes, gestión de la capacidad, tareas de
seguridad de las TIC, etc.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 5

GESTIÓN DE OPERACIONES DE TIC
Inventario de activos I

Inventario de activos
Se trata de un inventario detallado y actualizado de los activos de
información de una entidad. ¿Qué entendemos por activos de la información?
Este concepto va más allá de elementos de hardware y engloba, entre otros,
sistemas, dispositivos, aplicaciones y bases de datos. El inventario deberá
recoger, por cada activo:

 Configuraciones de los activos (actuales y de serie).

 Vínculos e interdependencias entre activos.
 Responsables de los activos.
 Nivel de detalle que permita la rápida identificación y ubicación.
 Requisitos de recuperación e identificación de activos críticos.
 Activos desarrollados o gestionados por usuarios finales.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 6

GESTIÓN DE OPERACIONES DE TIC
Inventario de activos II

El inventario de activos permite a las entidades monitorizar y gestionar los ciclos

de vida de los activos TIC, mantener un control detallado de la aplicación de
parches y actualizaciones, así como control sobre la obsolescencia y falta de
soporte de los activos de información.
En un contexto como el actual en el que el uso de la
tecnología no hace más que crecer, el número de
elementos que una entidad debe gestionar crece de la
misma forma. Si la gestión más simple de un número
reducido de elementos (configuraciones, modelos,
versiones de software, direcciones IP, etc.) puede
resultar compleja, podemos imaginarnos la dificultad
que puede suponer la gestión de los activos de
información de una entidad financiera no sólo por su
volumen sino por sus interconexiones, dependencias,
criticidades a tener en cuenta, etc.
Es por esto por lo que las entidades pueden apoyarse para la realización de su
inventario en herramientas específicas como las Configuration Management
Database (CMDB) para facilitar la tarea de gestión y actualización del inventario
GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 7
GESTIÓN DE OPERACIONES DE TIC
Planificación y monitorización de la capacidad

Planificación y monitorización de la capacidad

Es de vital importancia que la tecnología pueda soportar las necesidades de una
entidad. Para ello se tiene que asegurar que la capacidad de sus sistemas sea
suficiente no sólo para para permitir la operación en condiciones normales,
sino también en momentos puntuales de mayor carga.
La gestión de la capacidad de una entidad se encarga de que los recursos
disponibles (memoria RAM, capacidad de procesamiento y de almacenamiento,
etc.) puedan cubrir las necesidades de las aplicaciones y servicios de TIC. Esta
gestión se basa en dos pilares fundamentales:
 Planificación de la capacidad para prever y adelantarse a futuras
necesidades de forma que los recursos disponibles permitan las
operaciones habituales y lidiar con picos puntuales de demanda.
 Monitorización de la capacidad para detectar y dar respuesta a
problemas de rendimiento o de falta de capacidad. También permite
entender mejor las necesidades de las aplicaciones y servicios de TIC y
optimizar la utilización de recursos que hagan estos.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 8

GESTIÓN DE OPERACIONES DE TIC
Gestión de copias de seguridad

Gestión de copias de seguridad

Un elemento básico para asegurar la recuperación de una entidad en caso de
verse afectada por un incidente (tanto si es intencional como si no lo es) son las
copias de seguridad. Las entidades deben tener definidos y en funcionamiento
procesos de copia de seguridad que se ejecuten con la periodicidad y
alcance adecuados.
La periodicidad, alcance y periodos de retención, esto es el tiempo en que las
copias se deben almacenar antes de destruirlas, de las copias de seguridad
vendrá determinado principalmente por los siguientes factores:

 Las necesidades del negocio.

 La legislación vigente.

 Criticidad de los datos.

 Criticidad de los procesos.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 9

GESTIÓN DE OPERACIONES DE TIC
Gestión de copias de seguridad

Gestión de copias de seguridad

Realizar copias de seguridad de forma periódica y con el alcance adecuado es
solo parte del proceso. Se deben hacer pruebas periódicas del procedimiento de
copia y también del de restauración de dichas copias, de forma que quede
asegurada la correcta restauración de los datos en caso de necesidad.
Puesto que las copias de seguridad contienen los datos de los sistemas en
producción, estas se deben almacenar de forma segura, con al menos las
mismas medidas aplicadas a esos mismos datos en producción debido a su
criticidad o confidencialidad.
El almacenamiento de las copias debe realizar,
además, de forma que no estén expuestas a los
mismos riesgos que los sistemas de producción
tanto físicos (ubicación lo suficientemente alejada)
como lógicos (las copias deben almacenarse
desconectadas de los sistemas de producción). A
esta copia se le suele llamar “tercera copia en frío”.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 10

GESTIÓN DE OPERACIONES DE TIC
Gestión de incidentes y problemas I

Gestión de incidentes y problemas

En primer lugar conviene que aclaremos las diferencias que hay entre la gestión
incidentes y la gestión de problemas ya que se trata de dos conceptos distintos.

Gestión de incidentes: resolver un incidente (un evento que

impide a los sistemas TIC funcionar correctamente y puede
tener o no intención maliciosa) cuando ocurre. Pone el foco en
restaurar las operaciones rápidamente y minimizar el impacto.
Podemos compararlo con extinguir un incendio.

Gestión de problemas: investigar circunstancias que han

podido o podrían derivar en incidentes. Pone el foco en prevenir
incidentes y reducir su impacto. Se podría comparar con
investigar las causas de un incendio para evitar que se repita.

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 11

GESTIÓN DE OPERACIONES DE TIC
Gestión de incidentes y problemas II

Como hemos visto, si bien los procesos de gestión de incidentes y problemas

son distintos, están íntimamente relacionados y comparten una serie de
características y tareas. Estos procesos se deben encargar de identificar,
categorizar, registrar y dar seguimiento a los incidentes operativos y de
seguridad de TIC con el objetivo, por un lado, de restablecer funciones y
procesos de negocio que se hayan podido ver interrumpidos por un incidente y
por otro con el objetivo de identificar y eliminar las causas de los incidentes.
Para poder alcanzar estos objetivos, las entidades deben tener definidos:
 Criterios y umbrales para la clasificación de incidentes de acuerdo a
distintos criterios previamente establecidos.
 Indicadores de alerta temprana que permitan identificar incidentes lo
antes posible, en su fase inicial.
 Planes de comunicación externa, interna y escalado de incidentes para
que las partes implicadas estén informadas adecuadamente.
 Funciones y responsables asignados en los distintos escenarios para
que estén claras sus responsabilidades y tareas en caso de incidente.
GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 12
GESTIÓN DE OPERACIONES DE TIC
Gestión de incidentes y problemas III

Ejemplo de proceso de gestión de incidentes

• Detección de
Detección
incidentes manual
o automatizada
del
incidente Monitorización 24*7 Usuario

• Registro del incidente Registro

en una herramienta del
específica
Repositorio
incidente

• El incidente puede ser escalado a un

equipo de crisis o suponer la Análisis del CRISIS Escalado
activación del DRP/BCP. incidente
Equipo de crisis

• Se solucionará la causa raíz o se Resolución Gestión

implementará una solución temporal del del
cambio
Cambio
que puede requerir cambios. incidente

• El cierre del incidente debe ser

registrado y documentado Cierre del
incluyendo su origen y resolución. incidente Repositorio

GRUPO DE RIESGO TECNOLÓGICO – DIRECCIÓN GENERAL DE SUPERVISIÓN 13