Resumen comité de regulación bancaria

Corporación Universitaria Minuto de Dios

Estructura financiera
Administración financier
CASO
RIESGO INFORMATICO
La empresa VULCANOS S.A.S empresa que se dedica al sector financiero, específicamente a
otorgar préstamos al consumo, ha sufrido un marcado crecimiento en los últimos años. De
acuerdo con lo expresado por la gerencia, este crecimiento explosivo ha generado que la
función TI de la empresa fuese adaptándose al crecimiento del negocio de manera adaptativa y
no planificada, lo cual les genera miedos a los gerentes respecto a la manera en la cual se está
operando.

Para contar con una perfecta descripción de la situación actual y sus implicancias, han decidido
contratar a una empresa consultora para que releve y evalúe cómo está operando y se está
gestionando la función TI.

Luego de la etapa de relevamiento, se han obtenido las siguientes descripciones respecto a los
procedimientos que se encuentran vigentes de hecho y cuál es la estructura:

El personal de TI son 13 personas, incluido un gerente de área. A este gerente responden: un

administrador de base de datos, dos personas de soporte técnico, tres operadores, un
administrador de usuarios, un administrador de telecomunicaciones y tres programadores.

Si bien cada persona tiene asignado su cargo, en la práctica las posiciones se superponen, lo
cual fue evaluado por el gerente como muy bueno, porque esto genera un conocimiento
general en el personal, lo cual logra que se solucionen mejor los problemas que se presentan.

La estructura de hardware es la siguiente: dos servidores Windows Server 2003, un servidor

Unix, 50 PCs, equipamiento de telecomunicaciones (6 hubs, 3 switchs, 2 módems).

Respecto al software se ha detectado: sistema operativo Windows 7, MS Office, DBMS Oracle

para Unix, sistema operativo Linux, MS Exchange, antivirus, un SIG local llamado “TotalOne”
(del que se han adquirido tres módulos: contable, personal y activo fijo) y una aplicación
desarrollada por la empresa de gestión de créditos.

Del relevamiento, también surgió que, exceptuando el software que se encuentra en el

servidor Unix (sistema operativo Linux y el DBMS Oracle), todo el software cuenta con licencia
de uso. Respecto al software que no tenían esta licencia se comentó que dado el entorno Linux
es de software libre no es necesario contar con licencias de uso para el mismo.

La adjudicación de usuarios es realizada exclusivamente por el administrador de usuarios. El

procedimiento es el siguiente: en un formulario pre-impreso pre-numerado, en el cual el
usuario llena cuáles son sus datos y cuáles son las aplicaciones y funciones a las cuales necesita
tener acceso, luego se firma y se entrega al administrador. Este, en el correr del día, asigna
usuario y contraseña y se la comunica al usuario para que pueda empezar a trabajar.

Todos los usuarios tienen acceso a e-mail e Internet. Para ello se ha definido un servidor de
correo y un servidor de internet, en el cual se encuentra totalmente actualizando un antivirus
diariamente. Exceptuando esta opción, solamente el gerente general cuenta con módem en su
computadora portable (el cual utiliza para acceder a la red corporativa) con la opción de
ingreso a Internet.
Los PCs y el portable cuentan con antivirus los cuales se actualizan mensualmente.

En una etapa pasada, el gerente anterior del centro de cómputo entendía que el personal de
informática no tenía nada que hablar con el usuario, por lo que solamente se podían
comunicar por un teléfono específicamente dedicado a recibir solicitudes de los usuarios, y por
ende el acceso al CPD se encontraba totalmente restringido. Con el cambio de gerencia y dado
los problemas generados por la situación anterior, hoy día se cuenta con una política de
puertas abiertas. Por lo cual los usuarios son libres de ingresar al CPD.

A diario se respaldan solamente los datos de aplicaciones y bases de datos. El respaldo se

realiza en doble copias las cuales se guardan en una caja fuerte ignífuga (a prueba de fuego)
dentro del centro de cómputos. Los respaldos los realiza el último programador que se retira
en el día, acordando entre ellos quién será cada día el encargado.

No se ha identificado la existencia de un plan de contingencia. Sin embargo, existe un contrato

con un tercero, el cual proveerá, en caso de un siniestro, un equipamiento con las mismas
características que el existente y con un similar sistema operativo.

El SIG desarrollado internamente ha sido idea de un programador, el cual hoy es el gerente.

Dado el éxito de esta aplicación en la empresa, esta persona se asoció con otra persona
creando la empresa Osoft, la cual comercializa el mismo en el mercado.

De acuerdo con la situación detallada anteriormente, el próximo paso se encuentra orientado

a la identificación de posibles riesgos existentes no mitigados (no cubiertos y/o sin controles
adecuados) y proponer soluciones alternativas para mitigarlos.

Por problemas contractuales la empresa consultora sólo realizó el relevamiento y no puede

realizar esta otra etapa propuesta, por lo cual VULCANOS SAS ha decidido contratarlo a usted
como profesional universitario para que pueda finalizar el trabajo.

Se pide:

Explicarles a los directivos qué es un riesgo informático.

Identificar los posibles riesgos para lo cual se debe realizar:

Una lista de los activos

Una lista de las amenazas

Una lista de las vulnerabilidades

Solución Planteada
 Señores directivos de VULVANO S.A.S., un riesgo es aquel evento o suceso que interfiere con el
cumplimiento de un objetivo, cuyas consecuencias pueden ser pérdidas o ganancias. A nivel
informático, este se establece como una amenaza (aquellas acciones que pueden ocasionar
consecuencias negativas en la operación de la empresa) que se materializó, determinando el
grado en que se encuentra expuesto a la ocurrencia de una pérdida.

Identificación de activos de Información:

Nombre Vulnerabilidad Amenaza

DATOS Sin configuración de permisos
Aplicaciones, bases de datos, formularios. según perfil de usuario. Accesos no autorizados.
HARDWARE
2 servidores Windows Server 2003, 1 servidor Incendio.
Unix, 50 PCs, equipamiento de Al parecer la empresa cuenta Inundación.
telecomunicaciones (6 hubs, 3 switchs, 2 sin UPS. Falta de corriente.
módems). El gerente cuenta con un módem en su Terremoto.
computadora portable.
SOFTWARE
Sistema operativo Windows 7, MS Office, DBMS
Oracle para Unix, sistema operativo Linux, MS Antivirus no actualizados. Virus.
Exchange, antivirus, un SIG local llamado
“TotalOne” (del que se han adquirido tres Falta de conocimientos Accesos no autorizados.
módulos: contable, personal y activo fijo) y una adecuados de los usuarios.
aplicación desarrollada por la empresa de gestión Robo/Edición Software.
de créditos.
EDIFICIOS Falta de cámaras de Seguridad.
Empresa VULCANOS SAS Robo de Activos.
RECURSOS HUMANOS
El personal de TI son 12 personas, incluido un
gerente de área. A este gerente responden: un Acceso de personal ajeno a la Robo de Activos.
administrador de base de datos, dos personas de empresa.
soporte técnico, tres operadores, un
administrador de usuarios, un administrador de
telecomunicaciones y tres programadores.
BASES DE DATOS Sin configuración de permisos Accesos no autorizados.
Oracle según perfil de usuario.
BACKUP
A diario se respaldan solamente los datos de
aplicaciones y bases de datos. El respaldo se Inundación.
realiza en doble copias las cuales se guardan en
una caja fuerte ignífuga (a prueba de fuego) No hay respaldos externos. Falta de corriente.
dentro del centro de cómputos. Los respaldos los
realiza el último programador que se retira en el Terremoto.
día, acordando entre ellos quién será cada día el
encargado.
Definir Tablas con escalas de Frecuencia e impacto.

Tabla Impacto.

Tabla Frecuencia (Probabilidad).

A Entre 81% - 100% Valor: 5 B Entre 61% - 80% Valor: 4

C Entre 41% - 60% Valor: 3 D Entre 21% - 40% Valor: 2
E Entre 0% - 20% Valor: 1

Matriz de análisis de Riesgos:
 Accesos no Incendi Inundació Falta de Terremot Virus Robo Robo/Edició
Autorizados o n corrient o de n Software
e Activo
s
Probabilida Prob. Prob. Prob. Prob. Prob Prob. Prob.
d .
Activo Impact
o
Datos 2 C D E - E B C C
Hardwar 2 C D E D E B C -
e
Software 2 C D E - E B C C
Edificios 5 D D E D E - C -
Recursos 3 D D E - E - - -
Humanos
Bases de 3 D D E D E B C C
Datos
Backup 3 D E E D E B C C

Evaluación de Riesgos

Id. Descripción Probabilidad Impacto Riesgo Total

Un siniestro de la naturaleza como un
R1 terremoto o inundación o haya un E (1) 5 5
incendio, destruya la totalidad o parte
de los Edificios de la empresa.
Pérdida de la información y/o de las
R2 copias de seguridad de las bases de E (1) 5 5
datos debido a un siniestro de la
naturaleza (incendio o terremoto).
R3 Robo de la información y/o del software C (3) 3 9
por personal ajeno de la empresa.
R4 Acceso a los datos y/o bases de datos
por hackers o personal con malas D (2) 3 6
intenciones para degradar la imagen de
la empresa.
R5 Virus ataque al software de la empresa, B (4) 3 12
el cual interrumpa la operación de la
empresa.
R6 Virus ataque al hardware de la empresa, B (4) 3 12
el cual interrumpa la operación de la
empresa.
R7 Exempleados o personal activo de la D (2) 3 6
empresa roben activos de la empresa.
 R8 Virus borre información. C (3) 2 6
R9 Falta de corriente por no tener UPS, deje
sin energía el hardware de la empresa e D (2) 2 4
interrumpa la operación de la empresa.
R10 Expiración de licencias y/o no D (2) 2 4
actualización de software y antivirus.

Riesgo = Impacto * Probabilidad, Orden de > a < = R6-R5-R3-R8-R7-R4-R2-R1-R10-R9

Semaforización

Tratamiento de riesgos

Se formulan a continuación una contramedida viable para reducir el impacto, capacitar a todos
los empleados, como al gerente y demás personal encargado en los siguientes aspectos:

Acceso lógico de personal no autorizado. Manipulación inadecuada de datos. Modificación no

autorizada de datos. Fallas en el ingreso de los datos. Perdida de datos. Ejecución no
autorizada de programas. Destrucción parcial o total del software. Manipulación fraudulenta
de información.

Ya que el riesgo con mayor impacto en el ejercicio tiene que ver con los virus y con el acceso
no autorizado a la información de la empresa, robando así información y degradando de esta
manera la imagen de la empresa, puesto que se viola la integridad, confidencialidad y
disponibilidad.

Aplicar la evaluación de riesgos teniendo en cuenta las contramedidas formuladas

A continuación, como parte del tratamiento de los riesgos potenciales determinados

anteriormente, se termina el análisis de riesgos con las siguientes preguntas dirigidas a la alta
gerencia, empleados y demás cargos de la empresa, para evaluar así la capacidad ante una
eventualidad, y dar a conocer que existen aún muchas amenazas y vulnerabilidades en la parte
de TI.

¿Existen normas y procedimientos escritos a cerca del funcionamiento de los servicios

informáticos?

¿El servicio informático está separado del resto de departamentos?

¿Existe y es adecuada la separación de funciones en el servicio de información a los

departamentos de los usuarios?

¿El personal de producción no participa en los procesos de desarrollo?

¿El personal de desarrollo no participa en los procesos de producción?

¿El personal de producción conoce perfectamente cuáles son sus funciones?

¿Está controlado el acceso de operadores a programas y datos no necesarios para su trabajo?