EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.

Calle Pedro Irigoyen # 116, Miraflores, Lima, Per

Tfl.: (511) 434 3528 fax: (511) 436 6144
www.eficienciagerencial.com

Anlisis y Evaluacin del Riesgo de Informacin: Un Caso en la Banca

Por
Alberto G. Alexander, Ph.D
Auditor SGSI Certificado IRCA
alexander@eficienciagerencial.com

Las organizaciones hoy en da, con la sofisticacin tecnolgica y la complejidad en

el manejo de informacin, enfrentan distintas amenazas que muchas veces
explotan sus vulnerabilidades. El riesgo esta siempre presente. La
confidencialidad, integridad y disponibilidad de la informacin en la empresa, es
fundamental para el aumento de la competitividad de la firma. Las organizaciones
estn obligadas si desean continuar operando, de instaurar Sistemas de Gestin
de Seguridad de Informacin que permitan asegurar que tienen identificados sus
activos vitales de informacin, que han determinado de manera sistemtica que
activos son los de riesgo y puedan con precisin instituir los controles pertinentes.
En el presente ensayo, se utiliza un caso real en la Banca Latinoamericana. Se
detallan los pasos metodolgicos seguidos para identificar el alcance para
establecer el estndar ISO 27001:2005 en el proceso de cuentas corrientes.
Seguidamente se presentan los pasos para efectuar el anlisis y evaluacin del
riesgo en el referido proceso.

INTRODUCCIN
La experiencia en implantar el modelo de gestin de seguridad de informacin (SGSI),
se desarroll en un Banco Comercial ubicado en la capital de un pas latinoamericano.
La institucin en el momento de implantar el modelo estaba considerada por sus
captaciones como el tercer Banco del pas. Su fortaleza estaba en la banca comercial.
La alta gerencia del Banco, ante el aumento de fraudes y riesgos en el manejo de la
informacin en la mayora de sus procesos, decidi la implantacin del ISO
27001:2005. Se decidi implantar el modelo, por razones estratgicas, en el proceso de
cuentas corrientes.
NATURALEZA DEL SGSI ISO 27001:2005
El estndar ISO 27001:2005, es parte del sistema de gestin de la organizacin. Esta
basado en un enfoque de riesgos del negocio., para establecer, implantar, operar,
monitorear, mantener y mejorar la seguridad de informacin. El sistema de gestin

incluye, estructura organizacional, polticas, planeacin

responsabilidades, prcticas, procedimientos, procesos y recursos.

de

actividades,

Para implantar el modelo, la empresa debe determinar su alcance. La amplitud del

modelo puede variar segn la conveniencia de la empresa. Se puede aplicar a toda la
firma o a algn proceso en particular, cubriendo los activos relevantes de informacin,
sistemas, aplicaciones, servicios, redes y tecnologas usadas para procesar, almacenar y
comunicar informacin.
El ISO 27001:2005, especfica los requerimientos para establecer, implantar, operar,
monitorear y mejorar un SGSI documentado, dentro del contextote de los riesgos de una
organizacin. El modelo especfica los requerimientos para la implantacin de controles
de seguridad confeccionados a las necesidades individuales de una organizacin, o
partes de ella.
En la figura N 1, se tiene una representacin grfica de los componentes del estndar.
Esta basado en el clebre modelo Shewhart el cual fue popularizado por el Dr.
Deming.

Figura N 1
Modelo Sistema de Gestin de Seguridad de Informacin
PARTES
INTERESADAS
REQUERIMIENTOS Y
EXPECTATIVAS DE LA
SEGURIDAD
DE INFORMACIN

PARTES
INTERESADAS

PLAN
ESTABLECER
EL SGSI 4.2

IMPLEMENTAR
Y OPERAR EL
EL SGSI 4.2.2

DO

Desarrollar,
mantener
y mejorar
el ciclo

MANTENER Y
MEJORAR
EL SGSI 4.2.4

SEGURIDAD
DE
INFORMACIN
MANEJADA

ACT

MONITOREAR
Y REVISAR
EL SGSI 4.2.3

CHECK

DEFINICIN DEL ALCANCE DEL MODELO EN EL BANCO

En la seccin 4.2 (a) del estndar, se exige como punto de partida para establecer el
SGSI que la empresa:
defina el alcance del SGSI en trminos de las caractersticas del negocio, la
organizacin, su ubicacin, activos y tecnologa.

2
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com

Una vez determinado el alcance del modelo en la empresa, se debe proceder a

identificar los distintos activos de informacin, los cuales se convierten en el eje
principal del modelo.
Es importante mencionar que en el caso del Banco, se conform un grupo
multidisciplinario, compuesto por los dueos de los subprocesos que conformaban el
proceso escogido en el alcance. Tambin en el grupo se incluy a los clientes vitales y
proveedores internos de cuentas corrientes. Posteriormente una vez identificados los
activos de informacin, se incluyeron en el grupo a los dueos de los activos de
informacin. Al grupo multidisciplinario se le denomin comit gestor.
A los activos de informacin, se les debe efectuar una anlisis y evaluacin del riesgo e
identificar los controles del anexo A del estndar, que tendrn que implementarse para
mitigar el riesgo.
Es importante en este punto clarificar qu es un activo de informacin en el contexto del
ISO 27001:2005. Segn el ISO 17799:2005, (Cdigo de Prctica para la Gestin de
Seguridad de Informacin) un activo de informacin es:
algo a lo que una organizacin directamente le asigna un valor y por lo tanto la
organizacin debe proteger.
Los activos de informacin, son clasificados por el ISO 17799:2005 en las siguientes
categoras:
Activos de informacin (datos, manuales de usuario, etc..)
Documentos de papel (contratos)
Activos de software(aplicacin, software de sistemas, etc..)
Activos fsicos (computadoras, medios magnticos, etc..)
Personal (clientes, personal)
Imagen de la compaa y reputacin)
Servicios (comunicaciones, etc..)
Como se aprecia, los activos de informacin son muy amplios. Es fundamental estar
conceptualmente claros qu es un activo de informacin y conocer sus distintas posibles
modalidades, para as poder realizar un correcto anlisis y evaluacin del riesgo y poder
por lo tanto, establecer adecuadamente el modelo ISO 27001:2005.
Al determinar el alcance, tal como se hizo en el caso del Banco, que se decidi que
fuera el proceso de cuentas corrientes, es recomendable utilizar el mtodo de las
elipses. Con lo cual se trata de visualizar con mucha precisin los distintos subprocesos
que componen el alcance. Esto se determina en la elipse concntrica. (Ver figura N2)
Los procesos bsicos que componen el proceso de cuentas corrientes son: (1)
solicitudes, (2) depuracin, (3) emisin. El paso a seguir sera el de determinar con los
usuarios y dueos de esos procesos cules son los activos de informacin vitales?.
El segundo paso en la metodologa, es el de identificar en la elipse intermedia las
distintas interacciones que los subprocesos de la elipse concntrica, tienen con otros
procesos de la organizacin. Seguidamente, tambin se deben identificar con los dueos
de esos procesos, los activos de informacin involucrados en las interacciones con la
elipse concntrica. Las flechas indican las interacciones.
En la elipse externa, se identifican aquellas organizaciones extrnsecas a la empresa que
tienen cierto tipo de interaccin con los subprocesos identificados en la elipse
3
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com

concntrica. Las flechas indican la interaccin. Aqu tambin se deben identificar los
distintos tipos de activos de informacin, con miras a averiguar el tipo de memorando
de entendimiento que existe o debiera de elaborarse as como los contratos existentes y
los grados de acuerdos necesarios.
La metodologa de las elipses, es un mtodo sencillo que permite identificar los
distintos tipos de activos de informacin existentes dentro del alcance del modelo.
Figura N2
Metodologa de las Elipses

Superintendencia
Bancos

Informtica

Servicio
al cliente

Solicitudes

Depura
cin
Y

Negocios
Bur de
Crdito

Emisin

Suministro

Imprenta
chequeras

ANLISIS Y EVALUACIN DEL RIESGO

Una vez identificados todos los activos de informacin comprendidos en el alcance,
utilizando la metodologa de las elipses, se procede a establecer el SGSI, siguiendo las
pautas del estndar ISO 27001:2005 en su seccin 4.2.1. En esencia lo que se exige es
efectuar de manera disciplinada y sistemtica un anlisis y evaluacin del riesgo de los
activos identificados para determinar cuales son aquellos que deben ser protegidos para
mitigar su riesgo, as como definir tambin cual es el riesgo residual (el riesgo con el
cual la empresa esta decidida a convivir)
En la figura N 3 se pormenorizan los pasos metodolgicos que se siguieron en el
Banco para realizar el anlisis y evaluacin del riesgo, de los activos de informacin,
del proceso de cuentas corrientes para cumplir con las exigencias del ISO
27001:2005.
4
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com

A continuacin se har una descripcin de los pasos seguidos para el manejo de la

metodologa para el anlisis y evaluacin del riesgo.

Figura N3
Metodologa para el Anlisis y Evaluacin del Riesgo

Identificacin de
Activos

Tasacin de
Activos

Identificacin de
Amenazas

Posibilidad de
Ocurrencia de
Amenazas

Identificacin de
Vulnerabilidades

Posible Explotacin
de Vulnerabilidades

Estimado del Valor

de los Activos en
Riesgo

Posibilidad de
Ocurrencia del
Riesgo

Valor del Riesgo de

los Activos

En la tabla N 1, se fueron vaciando los resultados del anlisis y evaluacin del riesgo.
El primer paso que se sigui fue la (1) Identificacin de Activos.- Como resultado del
uso de la metodologa de las elipses, se identificaron seis activos de informacin vitales.
Luego se procedi a la (2) Tasacin de Activos.- Para poder identificar la proteccin
apropiada a los activos, es necesario tasar su valor en trminos de la importancia a la
gestin comercial, o dadas ciertas oportunidades determinar su valor potencial.
En el caso de los activos de informacin del proceso de cuentas corrientes, se tas su
impacto en relacin a su confidencialidad, integridad y disponibilidad. Se manej una
escala cualitativa que variaba entre: ALTO, MEDIANO y BAJO.
Una ves realizada la tasacin se efectu la (3) Identificacin de Amenazas.- Una
amenaza tiene el potencial de causar incidentes indeseables, los cuales podran resultar
causando dao al sistema, la organizacin y sus activos. A travs de la dinmica de
grupos utilizando
la tcnica de la lluvia de ideas, se hallaron las principales amenazas por cada activo de
informacin.

5
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com

Tabla N1
Realizacin del Anlisis y Evaluacin del Riesgo

Activos

1) Datos del
cliente

2) Factura
como

Tasacin
Confide
Integri- Disponi- Tot
nbilidad al
cialidad
dad

documento

3) Tarifas

Amenazas

Posible
explotaci
Posible
Valor
n de
ocurrenci Total
activo
vulneraa
bilidad
- Deficiencia org.
B
- Deficiencia
A
envio
A
- Acceso no
M
A
M
M
autorizado
- Control
documentos
- Datos
A
incompletos
A
B
A
Desconocimiento
A
M
M
rutas
- Deficiencia
impresin
- Errores de
procesamiento
- Acceso no
M
autorizado
B
- Mal
M
A
B
B
entrenamiento
- Falta

Posibilid
ad
Vulnerabilidad
ocurren
cia

- Plagio
Falsificacin
- Alteracin
- Privacidad

B
B
B
A

- Prdida
documento
- Retraso en
entrega
- Ilegibilidad
de datos
- Cargos
incorrectos

A
A
B
M

- Alteracin
incorrecta
- Ignorancia
cambios
- Ofertas

B
M
A

6
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com

comunicacin

4) Servicios
brindados

5) Software
de

facturacin

6) Medio de
comunicaci
n
y/o
entrega

- Mala
interpretacin
- Poco detalle
- Servicio no
solicitado
- Errores de
cdigo
- Cdigos
maliciosos
- Fallos
tcnicos
- Errores
usuario
- Falta
seguridad
- Fallas
funcionamiento
- Falta
seguridad
- Falta
personal

M
A
M
M
A
M
B
A

A
A
B

- Personal no
calificado
- Reduccin
costo
- Error digitacin
- Personal no
calificado
- Controles
acceso
- Energa
elctrica
- Mal
entrenamiento
- Falta polticas
- Energa
elctrica
- Errores
configuracin
- Poca
disponibilidad

M
A
M

B
M
A
B
A

A
M
B

Leyenda: AltoA
Mediano..M
Bajo B

7
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com

El paso siguiente fue establecer la (4) Posibilidad de Ocurrencia de Amenazas.- No

todas las amenazas tienen la misma posibilidad de ocurrencia. Habrn algunas que su
presencia es remota y otras su probabilidad de que ocurran podran ser altas. Por cada
amenaza, el comit gestor, basado en su experiencia y conocimiento de los activos y
las amenazas, evalu la posibilidad de ocurrencia para cada amenaza.
Continuando con la metodologa, se procedi a la (5) Identificacin de
Vulnerabilidades.- Las vulnerabilidades son debilidades asociadas con cada activo de
informacin. Son condiciones que pueden permitir que las amenazas las exploten y
causen dao. Aqu el comit gestor, a travs de la dinmica de grupos, estableci por
cada amenaza las vulnerabilidades relacionadas con cada activo de informacin.
Seguidamente se identific, la (6) Posible Explotacin de Vulnerabilidades.- Tambin a
travs de la dinmica de grupos el comit gestor, evalu la posible explotacin de
vulnerabilidades por cada amenaza.
El paso siguiente de la metodologa es el de evaluar el riesgo. El riesgo se evala
contemplando dos elementos bsicos: (7) Estimado del Valor de los Activos en Riesgo.Este elemento es fundamental para evaluar el riesgo. Aqu lo que se pretende es
determinar el dao econmico que el riesgo pudiera causar a los activos de informacin.
En el caso de cuentas corrientes el comit gestor estableci el estimado. (8)
Posibilidad de Ocurrencia del Riesgo.- Aqu el comit gestor, visualizando por cada
activo sus impactos, amenazas y posibilidad de ocurrencia as como las vulnerabilidades
y su posibilidad de ser explotadas, determin la posibilidad de ocurrencia del riesgo por
cada activo de informacin.
Finalmente se estableci el (9) Valor del Riesgo de los Activos.- Se concluy siguiendo
de manera sistemtica la metodologa, que los activos de informacin: a) Software de
Informacin y b) Medio de Comunicacin y/o Entrega eran los activos de informacin
considerados de riesgo, y por lo tanto seran aquellos a los cuales habra que identificar
del Anexo A sus respectivos controles.

TRATAMIENTO DEL RIESGO

En la clusula 4.2.1 (g) se plantea de manera muy precisa que

Se deben seleccionar objetivos de control y controles apropiados del anexo A del
estndar ISO 27001:2005 y la seleccin se debe justificar sobre la base de las
conclusiones de la evaluacin del riesgo y tratamiento del riesgo
En el caso del proceso de cuentas corrientes, una vez efectuado el anlisis y
evaluacin del riesgo, se decidi mitigar los riesgos encontrados en los activos de
informacin: a) software de informacin y b) medio de comunicacin y/o entrega. El
criterio establecido para aplicar los controles apropiados del anexo A estos activos fue
el resultado de ALTO RIESGO en la evaluacin del riesgo realizada. Los activos de
informacin: c) datos del cliente, d) factura como documento y e) servicios brindados,
se decidi transferir sus riesgos comerciales a una empresa aseguradora. El activo de
informacin tarifas el cual, como resultado de la evaluacin del riesgo, se le consider
un riesgo aceptable, por ser evaluado como de bajo riesgo y visualizarlo compatible con
las polticas de la organizacin.
8
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com

Es importante entender, que el conjunto de decisiones tomadas con cada activo de

informacin, como consecuencia de la evaluacin del riesgo, se define como
tratamiento del riesgo. El ISO/IEC gua 73 2002: Risk management vocabularyguidelines for use in standards, lo determina como el proceso de seleccin e
implementacin de medidas para modificar el riesgo. Las medidas de tratamiento del
riesgo pueden contemplar acciones como: evitar, optimizar, transferir o retener el
riesgo.
ENUNCIADO DE APLICABILIDAD
En la clusula 4.2.1 (h) se exige que se documente un enunciado de aplicabilidad. En
la clusula 4.3.1 (g) se hace mencin tambin al enunciado de aplicabilidad,
considerndolo un documento importante del SGSI.
Un enunciado de aplicabilidad es:
Un documento en el cual deben documentarse los objetivos de control y los controles
seleccionados, as como las razones para su seleccin. Tambin debe registrarse la
exclusin de cualquier objetivo de control y controles enumerados en el anexo A.
El enunciado de aplicabilidad es un documento importante del SGSI. Sirve para
mostrar a terceros la racionalidad al haber escogido ciertos objetivos de control y
controles para mitigar ciertos riesgos identificados.

En la tabla N 2 se muestra a nivel de ilustracin un enunciado de aplicabilidad como

producto del anlisis y evaluacin del riesgo efectuado al proceso de cuentas corrientes.

9
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com

Tabla N 2: Enunciado de Aplicabilidad

Activo de Informacin
Software de Facturacin

Objetivo de Control

Control

A.6.1

A. 6.1.1

A.6.1

A.6.1.3

Minimizar errores humanos en

la seguridad de informacin.

A.8.2

A.8.2.2

Capacitacin del usuario

A.8.2

A.8.2.2
A.8.2.3

Minimizar los incidentes de

seguridad y aprender de ellos.

A.9.1.1
A.9.1.2
A.7.1.1
A.7.1.3
A.11.2.1
A.11.2.2
A.11.2.3
A.11.3.1
A.11.3.2

Evitar el acceso fsico no

autorizado.
Evitar la prdida de activos e
interrupcin del servicio.

A.9.1
A.7.1
A.11.2
A.11.3

Justificacin
Proporcionar direccionalidad
en la seguridad de
informacin.

Controlar el acceso a la
informacin.
Evitar el acceso no autorizado
a la computadora.

10
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com

Activo de Informacin
Medio de Comunicacin y/o Entrega

Objetivo de Control

Control

A.6.1

A.6.1.1

A.6.1
A.8.2
A.8.2
A.7.1
A.12.2

Justificacin
Proporcionar direccionalidad
en la seguridad de informacin.

A.6.1.3

Minimizar errores humanos en

la seguridad de informacin.

A.8.2.2
A.8.2.2
A.8.2.3
A.7.1.1
A.7.1.3
A.12.2.1
A.12.2.2
A.12.2.3

Capacitacin del usuario

Minimizar los incidentes de
seguridad y aprender de ellos.
Evitar la prdida de activos e
interrupcin del servicio
Asegurar la operacin correcta
de los medios de
procesamiento de informacin.

NOTA: Las clusulas de control A.14 y A.15 no se han incluido en la ilustracin de enunciado de aplicabilidad.

11
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com

CONCLUSIONES
El establecimiento, implantacin, operacin, monitoreo, mantenimiento y mejoramiento
del SGSI ISO 27001:2005, requiere de un ingrediente bsico, el cual es el rol
protagnico que debe cumplir la alta gerencia. Es un estndar para la gestin y la
gerencia no puede delegar su rol.
En el caso presentado, la alta gerencia siempre dio su apoyo visible en todas las fases
del proceso de anlisis y evaluacin del riesgo. El comit gestor, siempre estuvo
comprometido con el establecimiento del modelo, y desarroll, a travs del
entrenamiento, las pericias pertinentes para su manejo.
Es importante entender, que el objetivo de la evaluacin del riesgo es la de identificar y
ponderar los riesgos a los cuales los sistemas de informacin y sus activos estn
expuestos, con miras a identificar y seleccionar controles apropiados.
La seleccin de los controles se debe justificar sobre la base de las conclusiones de la
evaluacin y tratamiento del riesgo. Los objetivos de control y los controles
seleccionados, as como las razones para su seleccin deben documentarse en el
enunciado de aplicabilidad.
Como se ha podido apreciar en el caso del proceso de "cuentas corrientes", la
evaluacin del riesgo esta basada en los valores de los activos y en los niveles de los
requerimientos de seguridad, considerando la existencia de los controles actuales.
La evaluacin del riesgo envuelve la consideracin sistemtica de dos elementos claves:

Consecuencias: El dao a la actividad comercial, como resultado de una ruptura

de seguridad de informacin, considerando las consecuencias potenciales, de
prdida o fallas en la confidencialidad, integridad y disponibilidad de la
informacin.

Probabilidad: La posibilidad realista de que una ruptura ocurra

Siempre se debe tener claro, que no existe un mtodo "bueno" o "malo" para calcular
los riesgos. El nico requisito es que los conceptos de determinar los activos de
informacin, su tasacin, la identificacin de amenazas y vulnerabilidades se cumplan.

12
EFICIENCIA GERENCIAL Y PRODUCTIVIDAD S.A.
Calle Pedro Irigoyen # 116, Miraflores, Lima, Per
Tlf.: (511) 434 3528 fax: (511) 436 6144 www.eficienciagerencial.com