Anlisis y Evaluacin del Riesgo de Informacin: Un Caso en la Banca

Por
Alberto G. Alexander, Ph.D.
aalexan@pucp.edu.pe
Las organizaciones hoy en da, con la sofisticacin tecnolgica y la complejidad en el
manejo de informacin, enfrentan distintas amenazas que muchas veces explotan sus
vulnerabilidades. El riesgo esta siempre presente. La confidencialidad, integridad y
disponibilidad de la informacin en la empresa, es fundamental para el aumento de la
competitividad de la firma. Las organizaciones estn obligadas si desean continuar
operando, de instaurar Sistemas de Gestin de Seguridad de Informacin que
permitan asegurar que tienen identificados sus activos vitales de informacin, que han
determinado de manera sistemtica que activos son los de riesgo y puedan con
precisin instituir los controles pertinentes.
En el presente ensayo, se utiliza un caso real en la Banca Latinoamericana. Se detallan
los pasos metodolgicos seguidos para identificar el alcance para establecer el
estndar BS 7799-2:2002 en el proceso de cuentas corrientes. Seguidamente se
presentan los pasos para efectuar el anlisis y evaluacin del riesgo en el referido
proceso.

Introduccin.La experiencia en implantar el modelo de gestin de seguridad de informacin (SGSI), se

desarroll en un Banco Comercial ubicado en la capital de un pas latinoamericano. La
institucin en el momento de implantar el modelo estaba considerada por sus captaciones
como el tercer Banco del pas. Su fortaleza estaba en la banca comercial.
La alta gerencia del Banco, ante el aumento de fraudes y riesgos en el manejo de la
informacin en la mayora de sus procesos, decidi la implantacin del SGSI BS 77992:2002. Se decidi implantar el modelo, por razones estratgicas, en el proceso de cuentas
corrientes.

Naturaleza del SGSI BS 7799-2:2002

El estndar BS 7799-2:2002, es parte del sistema de gestin de la organizacin. Esta basado
en un enfoque de riesgos del negocio., para establecer, implantar, operar, monitorear,
mantener y mejorar la seguridad de informacin. El sistema de gestin incluye, estructura
organizacional, polticas, planeacin de actividades, responsabilidades, prcticas,
procedimientos, procesos y recursos.
Para implantar el modelo, la empresa debe determinar su alcance. La amplitud del modelo
puede variar segn la conveniencia de la empresa. Se puede aplicar a toda la firma o a
algn proceso en particular, cubriendo los activos relevantes de informacin, sistemas,
aplicaciones, servicios, redes y tecnologas usadas para procesar, almacenar y comunicar
informacin.
El BS 7799-2:2002, especfica los requerimientos para establecer, implantar, operar,
monitorear y mejorar un SGSI documentado, dentro del contextote de los riesgos de una
organizacin. El modelo especfica los requerimientos para la implantacin de controles de
seguridad confeccionados a las necesidades individuales de una organizacin, o partes de
ella.
En la figura N 1, se tiene una representacin grfica de los componentes del estndar. Esta
basado en el clebre modelo shewhart el cual fue popularizado por el Dr. Deming.

Figura N 1
Modelo Sistema de Gestin de Seguridad de Informacin
PARTES
INTERESADAS
REQUERIMIENTOS Y
EXPECTATIVAS DE LA
SEGURIDAD
DE INFORMACIN

PARTES
INTERESADAS

PLAN
ESTABLECER
EL SGSI 4.2

IMPLEMENTAR
Y OPERAR EL
EL SGSI 4.2.2

DO

Desarrollar,
mantener
y mejorar
el ciclo

MANTENER Y
MEJORAR
EL SGSI 4.2.4

SEGURIDAD
DE
INFORMACIN
MANEJADA

ACT

MONITOREAR
Y REVISAR
EL SGSI 4.2.3

CHECK

Definicin del Alcance del Modelo en el Banco.En la seccin 4.2 (a) del estndar, se exige como punto de partida para establecer el SGSI
que la empresa:
defina el alcance del SGSI en trminos de las caractersticas del negocio, la organizacin,

su ubicacin, activos y tecnologa.

Una vez determinado el alcance del modelo en la empresa, se debe proceder a identificar
los distintos activos de informacin, los cuales se convierten en el eje principal del modelo.
Es importante mencionar que en el caso del Banco, se conform un grupo
multidisciplinario, compuesto por los dueos de los subprocesos que conformaban el
proceso escogido en el alcance. Tambin en el grupo se incluy a los clientes vitales y
proveedores internos de cuentas corrientes. Posteriormente una vez identificados los
activos de informacin, se incluyeron en el grupo a los dueos de los activos de
informacin. Al grupo multidisciplinario se le denomin comit gestor.
A los activos de informacin, se les debe efectuar una anlisis y evaluacin del riesgo e
identificar los controles del anexo A del estndar, que tendrn que implementarse para
mitigar el riesgo.
Es importante en este punto clarificar qu es un activo de informacin en el contexto del BS
7799-2:2002. Segn el ISO 17799:2000, (Cdigo de Prctica para la Gestin de Seguridad
de Informacin) un activo de informacin es:

algo a lo que una organizacin directamente le asigna un valor y por lo tanto la

organizacin debe proteger.
Los activos de informacin, son clasificados por el ISO 17799:2000 en las siguientes
categoras:
Activos de informacin (datos, manuales de usuario, etc..)
Documentos de papel (contratos)
Activos de software(aplicacin, software de sistemas, etc..)
Activos fsicos (computadoras, medios magnticos, etc..)
Personal (clientes, personal)
Imagen de la compaa y reputacin)
Servicios (comunicaciones, etc..)
Como se aprecia, los activos de informacin son muy amplios. Es fundamental estar
conceptualmente claros qu es un activo de informacin y conocer sus distintas posibles
modalidades, para as poder realizar un correcto anlisis y evaluacin del riesgo y poder por
lo tanto, establecer adecuadamente el modelo BS 7799-2:2002.
Al determinar el alcance, tal como se hizo en el caso del Banco, que se decidi que fuera el
proceso de cuentas corrientes, es recomendable utilizar el mtodo de las elipses. Con lo
cual se trata de visualizar con mucha precisin los distintos subprocesos que componen el

alcance. Esto se determina en la elipse concntrica. (Ver figura N2) Los procesos bsicos
que componen el proceso de cuentas corrientes son: (1) solicitudes, (2) depuracin, (3)
emisin. El paso a seguir sera el de determinar con los usuarios y dueos de esos procesos
cules son los activos de informacin vitales?.
El segundo paso en la metodologa, es el de identificar en la elipse intermedia las distintas
interacciones que los subprocesos de la elipse concntrica, tienen con otros procesos de la
organizacin. Seguidamente, tambin se deben identificar con los dueos de esos procesos,
los activos de informacin involucrados en las interacciones con la elipse concntrica. Las
flechas indican las interacciones.
En la elipse externa, se identifican aquellas organizaciones extrnsecas a la empresa que
tienen cierto tipo de interaccin con los subprocesos identificados en la elipse concntrica.
Las flechas indican la interaccin. Aqu tambin se deben identificar los distintos tipos de
activos de informacin, con miras a averiguar el tipo de memorando de entendimiento que
existe o debiera de elaborarse as como los contratos existentes y los grados de acuerdos
necesarios.
La metodologa de las elipses, es un mtodo sencillo que permite identificar los distintos
tipos de activos de informacin existentes dentro del alcance del modelo.
Figura N2
Metodologa de las Elipses

Superintendencia
Bancos

Informtica

Servicio
al cliente

Solicitudes

Depura
cin
Y

Negocios
Bur de
Crdito

Emisin

Suministro

Imprenta
chequeras

Anlisis y Evaluacin del Riesgo

Una vez identificados todos los activos de informacin comprendidos en el alcance,
utilizando la metodologa de las elipses, se procede a establecer el SGSI, siguiendo las
pautas del estndar BS 7799-2:2002 en su seccin 4.2.1. En esencia lo que se exige es
efectuar de manera disciplinada y sistemtica un anlisis y evaluacin del riesgo de los
activos identificados para determinar cuales son aquellos que deben ser protegidos para
mitigar su riesgo, as como definir tambin cual es el riesgo residual (el riesgo con el cual la
empresa esta decidida a convivir)
En la figura N 3 se pormenorizan los pasos metodolgicos que se siguieron en el Banco
para realizar el anlisis y evaluacin del riesgo, de los activos de informacin, del proceso
de cuentas corrientes para cumplir con las exigencias del BS 7799-2:2002.
A continuacin se har una descripcin de los pasos seguidos para el manejo de la
metodologa para el anlisis y evaluacin del riesgo.
Figura N3
Metodologa para el Anlisis y Evaluacin del Riesgo

Identificacin de
Activos

Tasacin de
Activos

Identificacin de
Amenazas

Posibilidad de
Ocurrencia de
Amenazas

Identificacin de
Vulnerabilidades

Posible Explotacin
de Vulnerabilidades

Estimado del Valor

de los Activos en
Riesgo

Posibilidad de
Ocurrencia del
Riesgo

Valor del Riesgo de

los Activos

Tabla N1
Realizacin del Anlisis y Evaluacin del Riesgo

Amenazas

Posibilidad
ocurrencia

Vulnerabilidad

Posible
explotacin
de vulnerabilidad

- Plagio
- Falsificacin
- Alteracin
- Privacidad
- Prdida documento
- Retraso en entrega
- Ilegibilidad de datos
- Cargos incorrectos
- Alteracin incorrecta
- Ignorancia cambios
- Ofertas

B
B
B
A
A
A
B
M
B
M
A

- Deficiencia org.
- Deficiencia envio
- Acceso no autorizado
- Control documentos
- Datos incompletos
- Desconocimiento rutas
- Deficiencia impresin
- Errores de procesamiento
- Acceso no autorizado
- Mal entrenamiento
- Falta comunicacin

B
A
A
M
A
A
B
A
M
B
M

- Mala interpretacin
- Poco detalle
- Servicio no
solicitado
- Errores de cdigo
- Cdigos maliciosos
- Fallos tcnicos
- Errores usuario
- Falta seguridad
- Fallas funcionamiento
- Falta seguridad
- Falta personal

M
A

- Personal no calificado
- Reduccin costo
- Error digitacin

M
A
M

- Personal no calificado
- Controles acceso
- Energa elctrica
- Mal entrenamiento
- Falta polticas
- Energa elctrica
- Errores configuracin
- Poca disponibilidad

B
M
A
B
A
A
M
B

Tasacin
Activos

Confidencialidad

Integridad

Disponibilidad

Total

1) Datos del cliente

2) Factura como
documento

3) Tarifas

4) Servicios
brindados

5) Software de
facturacin

6) Medio de
comunicacin
y/o entrega

M
M
A
M
B
A
A
A
B

Leyenda: AltoA
Mediano..M
Bajo B

Valor
activo

Posible
ocurrencia

Total

En la tabla N 1, se fueron vaciando los resultados del anlisis y evaluacin del riesgo. El
primer paso que se sigui fue la (1) Identificacin de Activos.- Como resultado del uso de
la metodologa de las elipses, se identificaron seis activos de informacin vitales. Luego se
procedi a la (2) Tasacin de Activos.- Para poder identificar la proteccin apropiada a los
activos, es necesario tasar su valor en trminos de la importancia a la gestin comercial, o
dadas ciertas oportunidades determinar su valor potencial .
En el caso de los activos de informacin del proceso de cuentas corrientes, se tas su
impacto en relacin a su confidencialidad, integridad y disponibilidad. Se manej una
escala cualitativa que variaba entre: ALTO, MEDIANO y BAJO.
Una ves realizada la tasacin se efectu la (3) Identificacin de Amenazas.- Una amenaza
tiene el potencial de causar incidentes indeseables, los cuales podran resultar causando
dao al sistema, la organizacin y sus activos. A travs de la dinmica de grupos utilizando
la tcnica de la lluvia de ideas, se hallaron las principales amenazas por cada activo de
informacin.
El paso siguiente fue establecer la (4) Posibilidad de Ocurrencia de Amenazas.- No todas
las amenazas tienen la misma posibilidad de ocurrencia. Habrn algunas que su presencia
es remota y otras su probabilidad de que ocurran podran ser altas. Por cada amenaza, el
comit gestor, basado en su experiencia y conocimiento de los activos y las amenazas,
evalu la posibilidad de ocurrencia para cada amenaza.
Continuando con la metodologa, se procedi a la (5) Identificacin de Vulnerabilidades.Las vulnerabilidades son debilidades asociadas con cada activo de informacin. Son
condiciones que pueden permitir que las amenazas las exploten y causen dao. Aqu el
comit gestor, a travs de la dinmica de grupos, estableci por cada amenaza las
vulnerabilidades relacionadas con cada activo de informacin. Seguidamente se identific,
la (6) Posible Explotacin de Vulnerabilidades.- Tambin a travs de la dinmica de
grupos el comit gestor, evalu la posible explotacin de vulnerabilidades por cada
amenaza.
El paso siguiente de la metodologa es el de evaluar el riesgo. El riesgo se evala
contemplando dos elementos bsicos: (7) Estimado del Valor de los Activos en Riesgo.Este elemento es fundamental para evaluar el riesgo. Aqu lo que se pretende es determinar
el dao econmico que el riesgo pudiera causar a los activos de informacin. En el caso de
cuentas corrientes el comit gestor estableci el estimado. (8) Posibilidad de
Ocurrencia del Riesgo.- Aqu el comit gestor, visualizando por cada activo sus
impactos, amenazas y posibilidad de ocurrencia as como las vulnerabilidades y su
posibilidad de ser explotadas, determin la posibilidad de ocurrencia del riesgo por cada
activo de informacin.
Finalmente se estableci el (9) Valor del Riesgo de los Activos.- Se concluy siguiendo de
manera sistemtica la metodologa, que los activos de informacin: a) Software de
Informacin y b) Medio de Comunicacin y/o Entrega eran los activos de informacin
considerados de riesgo, y por lo tanto seran aquellos a los cuales habra que identificar del
Anexo A sus respectivos controles.

Conclusiones.El establecimiento, implantacin, operacin, monitoreo, mantenimiento y mejoramiento del

SGSI BS 7799-2:2002, requiere de un ingrediente bsico, el cual es el rol protagnico que
debe cumplir la alta gerencia. Es un estndar para la gestin y la gerencia no puede delegar
su rol.
En el caso presentado, la alta gerencia siempre dio su apoyo visible en todas las fases del
proceso de anlisis y evaluacin del riesgo. El comit gestor, siempre estuvo comprometido
con el establecimiento del modelo, y desarroll, a travs del entrenamiento, las pericias
pertinentes para su manejo.
Es importante entender, que el objetivo de la evaluacin del riesgo es la de identificar y
ponderar los riesgos a los cuales los sistemas de informacin y sus activos estn expuestos,
con miras a identificar y seleccionar controles apropiados.
Como se ha podido apreciar en el caso del proceso de cuentas corrientes, la evaluacin
del riesgo esta basada en los valores de los activos y en los niveles de los requerimientos de
seguridad, considerando la existencia de los controles actuales.
La evaluacin del riesgo envuelve la consideracin sistemtica de dos elementos claves:
Consecuencias.- El dao a la actividad comercial, como resultado de una ruptura de
seguridad de informacin, considerando las consecuencias potenciales, de prdida o
fallas en la confidencialidad, integridad y disponibilidad de la informacin.
Probabilidad.- La posibilidad realista de que una ruptura ocurra.
Siempre se debe tener claro, que no existe un mtodo bueno o malo para calcular los
riesgos. El nico requisito es que los conceptos de determinar los activos de informacin,
su tasacin, la identificacin de amenazas y vulnerabilidades se cumplan.