Guía de buenas prácticas en gestión de riesgos de TI en el sector bancario colombiano
142
0
0
Texto completo
(2) DEDICATORIA. A DIOS por su constante amparo.. A mi esposa Fabiola y mis hijas Catalina y Andrea.. 2.
(3) AGRADECIMIENTOS. A mis asesoras Olga Lucía Giraldo y Andrea Herrera por su dedicación y asesoría en esta investigación.. Al Banco de la República, especialmente al personal de la Subgerencia de Informática, de la Unidad de Riesgo Operativo y Continuidad – UROC y de la sección de Compensación de Cheques por su buena voluntad y su tiempo en las diferentes etapas de esta investigación.. A la Universidad de los Andes por la formación recibida.. A mis compañeros del grupo de investigación TION, por su permanente apoyo y colaboración.. A mi familia por su apoyo incondicional.. 3.
(4) ÍNDICE GENERAL Contenido PARTE A ........................................................................................................................................... 8 I. ARTÍCULO .................................................................................................................................... 9 II. ARTÍCULO FINAL ................................................................................................................... 18 III. PRESENTACIÓN .................................................................................................................... 25 PARTE B.......................................................................................................................................... 32 IV. CAPÍTULO 1 - INTRODUCCIÓN ......................................................................................... 33 1.1 ANTECEDENTES ............................................................................................................................... 33 1.2 JUSTIFICACIÓN ................................................................................................................................. 34 1.3 OBJETIVO GENERAL ......................................................................................................................... 36 1.4 OBJETIVOS ESPECÍFICOS .................................................................................................................. 36 1.5 ALCANCE ......................................................................................................................................... 37 1.6 METODOLOGÍA ................................................................................................................................ 37 1.7 RESULTADOS LOGRADOS ................................................................................................................. 37. V. CAPÍTULO 2 - MARCO TEÓRICO ....................................................................................... 39 2.1 REVISIÓN DE LOS DIFERENTES MARCOS DE GESTIÓN DE RIESGOS ..................................................... 39 2.1.1 Marco de trabajo: BS 31100 - British Standar Institution [4] ................................................ 40 2.1.2 Marco de Trabajo: 4A [5]. ..................................................................................................... 45 2.1.3 Marco de Trabajo: The Risk IT Framework - IT Governance Institute (ITGI) [6] ................ 56 2.2 ANÁLISIS DE LAS RELACIONES ENTRE LOS DIFERENTES MARCOS DE TRABAJO ................................. 61 2.3 SISTEMA FINANCIERO COLOMBIANO Y CIRCULAR EXTERNA 052 DE LA SUPERINTENDENCIA FINANCIERA .............................................................................................................................................................. 63 2.3.1 Sistema Financiero Colombiano ............................................................................................. 63 2.3.2 Análisis bajo el marco 4A de la circular 052 de la SFC ......................................................... 66 2.4 CONCLUSIONES DEL MARCO TEÓRICO.............................................................................................. 70. VI. CAPÍTULO 3 - PRÁCTICAS ACTUALES DE GESTIÓN DE RIESGO DE TI EN LOS CASOS DE ESTUDIO Y GUÍA DE BUENAS PRÁCTICAS ..................................................... 71 3.1 RECOLECCIÓN DE PRÁCTICAS DE GESTIÓN DE RIESGO DE TI ............................................................ 71 3.1.1 Herramientas usadas .............................................................................................................. 71 3.1.2 Resultados de los casos de estudio.......................................................................................... 74 3.1.3 Conclusiones de la recolección de prácticas de gestión de riesgos de TI .............................. 75 3.2 REVISIÓN Y SELECCIÓN DE BUENAS PRÁCTICAS DE GESTIÓN DE RIESGO DE TI................................. 76 3.3 GUÍA PARA GESTIÓN DE RIESGOS DE TI ........................................................................................... 76 3.3.1 Construcción de un perfil ideal de riesgos de TI .................................................................... 77 3.3.2 Construcción de un perfil actual de riesgos de TI .................................................................. 78 3.3.3 Priorización de las disciplinas ................................................................................................ 78 3.3.4 Planeación detallada de desarrollo de cada disciplina .......................................................... 80 3.3.5 Medición de las acciones de mejora implementadas .............................................................. 81 3.3.6 Retroalimentación de resultados ............................................................................................ 82 3.4 CONCLUSIONES DE LA CONSTRUCCIÓN DE LA GUÍA DE BUENAS PRÁCTICAS DE GESTIÓN DE RIESGOS DE TI .............................................................................................................................................................. 83. VII. CAPÍTULO 4. VALIDACIÓN DE LA GUÍA EN EL CASO DE ESTUDIO DEL BANCO DE LA REPÚBLICA ...................................................................................................................... 84 4.1 BANCO DE LA REPÚBLICA [19] ........................................................................................................ 84. 4.
(5) 4.2 UNIDAD DE RIESGO OPERATIVO Y CONTINUIDAD - UROC Y SU MARCO DE GESTIÓN DE RIESGOS OPERATIVOS DEL BANCO DE LA REPÚBLICA SIARO [20] ..................................................................... 85 4.3 SUBGERENCIA DE INFORMÁTICA - SGINF ....................................................................................... 88 4.4 PROCESO DE COMPENSACIÓN DE CHEQUES [25] .............................................................................. 89 4.5 CASO BANCO DE LA REPÚBLICA ...................................................................................................... 92 4.5.1 Construcción de un perfil ideal de riesgos de TI .................................................................... 93 4.5.2 Construcción de un perfil actual de riesgos de TI .................................................................. 93 4.5.3 Priorización de las disciplinas. ............................................................................................... 98 4.5.4 Planeación detallada de desarrollo de cada disciplina. ......................................................... 99 4.5.5 Medición de las acciones de mejora implementadas. ............................................................. 99 4.5.6 Retroalimentación de resultados. ......................................................................................... 100. VIII. CAPÍTULO 5 CONCLUSIONES Y TRABAJOS FUTUROS ........................................ 102 5.1 CONCLUSIONES DEL CASO DE VALIDACIÓN.................................................................................... 102 5.2 CONCLUSIONES DE LA GUÍA DE BUENAS PRÁCTICAS DE GESTIÓN DE RIESGOS DE TI. ..................... 104 5.3 CONCLUSIONES DEL PROYECTO DE GESTIÓN DE RIESGOS DE TI EN EL SECTOR BANCARIO COLOMBIANO ............................................................................................................................................................ 106 5.4 TRABAJOS FUTUROS. ..................................................................................................................... 108. IX.ANEXOS ................................................................................................................................... 109 ANEXO 1 UNIFICACIÓN DE TÉRMINOS ENTRE MARCO 4A Y CIRCULAR 052 DE LA SFC ........................ 110 ANEXO 2 CLASIFICACIÓN DE LA CIRCULAR 052 DE LA SFC EN EL MARCO DE GESTIÓN DE RIESGOS DE TI 4A. ............................................................................................................................................................ 112 ANEXO 3 INSTRUMENTOS PARA GENERAR PERFILES DE RIESGO DE TI IDEAL ...................................... 123 ANEXO 4 INSTRUMENTOS PARA GENERAR PERFILES DE RIESGO DE TI ACTUAL ................................... 127 ANEXO 5 INSTRUMENTO PARA EVALUAR Y PRIORIZAR DISCIPLINAS .................................................... 134 ANEXO 6 ORGANIGRAMA DEL BANCO DE LA REPÚBLICA.................................................................... 136 ANEXO 7 PERFIL IDEAL DE RIESGOS PARA PROCESO DE COMPENSACIÓN DE CHEQUES ....................... 137 ANEXO 8 PERFIL ACTUAL DE RIESGOS PARA PROCESO DE COMPENSACIÓN DE CHEQUES .................... 138 ANEXO 9 NIVEL DE MADUREZ DE LAS DISCIPLINAS EN EL BANCO DE LA REPÚBLICA ......................... 140. IX. BIBLIOGRAFIA .................................................................................................................... 141. 5.
(6) ÍNDICE DE GRÁFICAS Gráfica 1 Modelo de análisis de gestión de riesgos de TI para sector bancario colombiano ............ 39 Gráfica 2 Marco de gestión de riesgos [4]. ....................................................................................... 41 Gráfica 3 Proceso de la gestión de riesgos ........................................................................................ 44 Gráfica 4 Pirámide 4A [5]. ................................................................................................................ 48 Gráfica 5 Proceso de Gobierno de Riesgos de TI [5] ........................................................................ 52 Gráfica 6 Modelo de Componentes del marco de gestión de riesgos de TI [6]. ............................... 58 Gráfica 7 Proceso para el levantamiento de Riesgos de TI ............................................................... 59 Gráfica 8 Visión del sistema financiero colombiano 1 [11] .............................................................. 64 Gráfica 9 Visión del sistema financiero colombiano 2 [11]. ............................................................. 65 Gráfica 10 Análisis 4A vs circular 052 [14]...................................................................................... 68 Gráfica 11 Nivel Ejecutivo vs Nivel Operativo [14] ......................................................................... 69 Gráfica 12 Disciplinas en la circular 052 [14] .................................................................................. 69 Gráfica 13 Perfil de riesgos ideal. ..................................................................................................... 72 Gráfica 14 Perfil de riesgos actual. ................................................................................................... 73 Gráfica 15 Perfiles Ideal de Riesgo de los casos de Estudio. ............................................................ 74 Gráfica 16 Perfiles Actual de Riesgo de los casos de Estudio. ......................................................... 75 Gráfica 17. Pasos de la Guía de gestión de riesgos de TI ................................................................. 77 Gráfica 18. Factores para priorizar disciplinas.................................................................................. 79 Gráfica 19 Jerarquía de indicadores de gestión de riesgos de TI ...................................................... 82 Gráfica 20 Ubicación de áreas relacionadas con gestión de riesgos de TI dentro del organigrama del Banco................................................................................................................................................. 85 Gráfica 21 Administración de riesgo operativo en Banco de la República. [20] .............................. 86 Gráfica 22. Modelo de gestión previa del riesgo operativo en Banco de la República [20]. ............ 86 Gráfica 23 Organigrama de Subgerencia de Informática. ................................................................. 88 Gráfica 24. Diagrama del proceso de compensación de cheques en el Banco de la República. ....... 90 Gráfica 25. Diagrama del proceso de devolución de cheques en el Banco de la República. ............ 90 Gráfica 26. Interacción de sistemas de información del proceso de compensación de cheques. ...... 91 Gráfica 27. Banco de la República, Perfil de Riesgos de TI Ideal del proceso de compensación de cheques .............................................................................................................................................. 93 Gráfica 28. Base de TI del proceso seleccionado en el Banco de la República. ............................... 94 Gráfica 29. Roles de gestión de riesgo Banco de la República ......................................................... 96 Gráfica 30 Banco de la República, Perfil de Riesgos de TI Actual del proceso de compensación de cheques. ............................................................................................................................................. 96 Gráfica 31 Indicadores de gestión de TI en subgerencia de informática [26] ................................. 100 Gráfica 32 Gestión de riesgos de TI en el sector bancario colombiano. ......................................... 107 Gráfica 33 Perfil de riesgos para componentes globales [27]. ........................................................ 123. 6.
(7) ÍNDICE DE TABLAS Tabla 1 comparación entre marcos de gestión de riesgos. ................................................................ 62 Tabla 2 Valores de variables de impacto........................................................................................... 72 Tabla 3 Nivel de riesgo de los objetivos 4A ..................................................................................... 72 Tabla 4 Taxonomía de riesgo operativo del Banco de la República ................................................. 87 Tabla 5 Taxonomía de riesgos de TI en el Banco de la República ................................................... 87 Tabla 6 Clasificación de la circular 052 de la SCF en el margo de gestión de riesgos de TI 4A. ... 118. 7.
(8) PARTE A. 8.
(9) I. ARTÍCULO. Guía de buenas prácticas en gestión de riesgos de TI en el sector bancario colombiano Luis Carlos Figueroa. Olga Lucía Giraldo. Andrea Herrera. Universidad de los Andes [email protected]. Universidad de los Andes [email protected]. Universidad de los Andes [email protected]. RESUMEN Dada la importancia que ha tomado la utilización de las Tecnologías de Información (TI) en la manera de hacer negocios, se hace indispensable hacer un análisis de los riesgos que traen dichas TI a las empresas. Esta investigación busca crear una guía de las buenas prácticas utilizadas para mitigar el impacto de los riesgos de TI en el sector bancario colombiano, ya que es uno de los sectores con alta inversión de recursos de TI para fortalecer el negocio. Para realizar esta investigación se analizarán varios marcos de gestión de riesgos, así como la reglamentación existente en el sector. PALABRAS CLAVE: Riesgo, TI, Objetivos de Negocio, Marco de gestión de riesgos, Sector bancario, Reglamentación. 1. INTRODUCCIÓN En las últimas décadas el uso de TI en las empresas ha crecido rápidamente, haciendo que el buen desempeño de los negocios dependa en gran medida del correcto funcionamiento de éstas. Pero las TI no son infalibles produciendo que su uso genere una serie de riesgos, por lo tanto las empresas deben gestionar los riesgos asociados a las mismas y su impacto en el negocio.1 Razón por la cual, las compañías le están dando gran importancia a la gestión de riesgos de TI y están apostando porque dicha gestión esté basada en políticas corporativas dirigidas de forma centralizada desde la alta gerencia, comunicadas a todas las áreas de la organización y basadas en estándares internacionales reconocidos. Como resultado de lo anterior, la identificación y gestión de los riesgos de las TI está surgiendo como uno de los principales objetivos en las organizaciones. Los riesgos de TI incluyen peligros en la seguridad, la disponibilidad, el rendimiento y el cumplimiento de políticas y normativas, teniendo cada uno de estos riesgos sus propias fuentes y su particular capacidad para hacer daño. Es así como cobra importancia implementar y manejar apropiadamente una gestión de riesgos de TI en las empresas, dado que impactan de manera directa en las operaciones críticas del negocio. Por ello, una forma de minimizar estos riesgos se centra en reglamentar los servicios de TI prestados. En esta investigación se desea estudiar los mecanismos que utilizan las empresas colombianas para administrar los riesgos de TI en el desempeño de sus negocios, pero hablar de empresas 1. Traducción de Westerman George, Hunter Richard. IT RISK, 2007, Boston, Harvard Business School Press. colombianas es realmente muy general por eso, esta investigación se concentra en el sector bancario ya que es de gran importancia en la economía de la nación porque canaliza los recursos económicos tanto de las empresas como de las personas naturales, permitiendo el ahorro de los excedentes de capital y prestando a quienes necesiten ese capital. Dada la importancia de éste sector, se hará un estudio en cuatro bancos con presencia en Colombia. Esta muestra representa aproximadamente el 22% de la totalidad de los bancos, cada uno con diferente naturaleza, un banco de inversión, dos bancos mixtos (funciones comercial y de inversión) y el banco central. El alcance de éste estudio, es recoger la información para un proceso de negocio específico en cada uno de los bancos, ya que por limitaciones de tiempo no es posible recoger la información de todos los procesos de negocio de cada banco que conforma la muestra. A partir de estas prácticas de gestión de riesgo recogidas se elaborará la guía con las buenas prácticas de gestión de riesgos en TI en el sector bancario colombiano, a partir de los marcos de trabajo BS31100, 4A, Risk IT del ITGI2 y la reglamentación de la SFC3, para su posterior validación en el caso de estudio del banco central (Banco de la República). A continuación en el capítulo 2 se revisará el marco teórico, en el capítulo 3 se hará una breve descripción del trabajo desarrollado hasta el momento y en el capítulo 4 se darán las conclusiones obtenidas del estudio hasta el momento. 2 MARCO TEÓRICO 2.1 Revisión de diferentes marcos de gestión de riesgos. En este capítulo se describirán cada uno de los marcos de gestión de riesgos, que sirven como referencia para el desarrollo de esta investigación, así como de la reglamentación existente en Colombia con respecto a los parámetros de seguridad y calidad de los servicios bancarios. Como se puede observar en la gráfica 1, el modelo propuesto para realizar ésta investigación de gestión de riesgos en el sector bancario colombiano se basa inicialmente en la revisión del marco de referencia más general que es el BS 31100, el cual analiza y da una guía para la gestión de riesgos en las empresas y a continuación se revisarán el marco de gestión de riesgos de TI 4A que analiza los riesgos de TI como riesgos del negocio, el marco Risk IT del ITGI que da un punto de vista operativo a la gestión de riesgos de TI y finalmente la Circular 052 de la SFC como herramienta (legislación) propia del sector estudiado. 2 3. IT Governance Institute Superintendencia Financiera Colombiana. 9.
(10) finalmente el mantenimiento y mejoramiento del marco de gestión para corregir cualquier falla o implementar alguna mejora, e iniciar nuevamente el ciclo. El marco de gestión de riesgo BS 31100 permite enmarcar el gobierno de gestión de riesgos a nivel corporativo y es una de las herramientas, la más general, que se usará en esta investigación, para construir una guía sobre la gestión del riesgo basada en los diferentes casos de estudio. Mandato y compromiso. Mantenimiento y mejoramiento. Gráfica 1 Modelo de análisis de gestión de riesgos de TI para sector bancario colombiano Como parte de estudio de los marcos (7), se hace un análisis comparativo entre estos y se selecciona el marco de referencia ésta investigación, para posteriormente comparar la reglamentación con el marco de referencia escogido.. Monitoreo y revisión. A continuación se presenta una breve descripción de cada marco para su posterior comparación. 2.1.1 Marco de trabajo: BS 31100 - British Standar Institution (1). El BSI (British Standard Institution) es una organización que surgió a principios del siglo pasado, como consecuencia de la necesidad de estandarización de materiales de construcción para obras civiles, hasta evolucionar a lo que es hoy en día, una organización dedicada a prestar diversos servicios a las empresas dentro de los cuales se encuentra desarrollar estándares, privados, nacionales e internacionales. Uno de los estándares expedidos por el BSI es el BS 31100, que se enfoca en la gestión de riesgos en las organizaciones, ofreciéndoles a sus ejecutivos una herramienta para lograr un mayor entendimiento sobre cómo desarrollar, poner en práctica y mantener una gestión de riesgos eficaz dentro de las organizaciones. El proceso de gestión de riesgos en una empresa es una labor de nunca acabar, debido al entorno cambiante en el que se desenvuelven los negocios siempre estarán surgiendo nuevos riesgos de diferente índole, los cuales deben ser identificados para poder administrarlos. Esto explica él porque la gestión de riesgos es un proceso cíclico que no termina simplemente tomando unas acciones correctivas, es necesario monitorear dichas acciones para evaluar si tienen el efecto esperado y en caso contrario revisar las políticas de gestión de riesgo, esto se puede observar claramente en la gráfica 2. Este marco de gestión de riesgos está compuesto por varios procesos tales como: El compromiso de la alta gerencia (gobierno de la organización); el diseño de la gestión del riesgo, que se encarga de la definición de la parte estratégica, de las políticas, los objetivos, etc; la implementación de dicho diseño, compuesto por la comunicación, la administración del riesgo y el desarrollo de actividades para su administración. El monitoreo y la revisión del marco de trabajo para evaluar su efectividad; y. Diseño de la gestión del riesgo. Implementación de la gestión del riesgo. Gráfica 2 Marco de gestión de riesgos (1). A continuación se presentan los marcos de gestión de riesgos de TI propuestos para esta investigación, primero el marco 4A y posteriormente el marco de gestión de riesgos del ITGI. 2.1.2 Marco de Trabajo: 4A (2). El marco de trabajo sobre gestión de riesgos de TI 4A, fue desarrollado a partir de las investigaciones realizadas por el Centro de Investigación para los Sistemas de Información (CISR) del Instituto Tecnológico de Massachusetts (MIT) y del programa ejecutivo de Gartner . Dichas investigaciones se concentraron en recoger prácticas efectivas y no efectivas de gestión del riesgo de TI en diversas organizaciones, permitiendo tener un entendimiento del impacto de la gestión de riesgos de TI, en cuanto a los activos, procesos y personal de las organizaciones. El nombre del marco 4A viene de las iníciales de cuatro objetivos de negocio, en inglés: Availability, Access, Accuracy y Agility, o en español, Disponibilidad, Acceso, Precisión y Agilidad, que hacen parte del eje central del marco. El marco 4A define los riesgos de TI como el “potencial que tiene un evento no planeado que involucre TI para amenazar cualquiera de los cuatro objetivos empresariales”4. Cada uno es definido de la siguiente forma: Disponibilidad: Mantener los sistemas y sus procesos de negocio operativos y recuperarlos ante posibles interrupciones o incidentes. Acceso: Asegurar la entrada apropiada a datos y sistemas, pues de esta forma las personas adecuadas tendrán el ingreso a la información que necesitan y las personas que no, estarán restringidas. 4. WESTERMAN G., HUNTER, R. IT Risk: Turning Business Threats Into Competitive Advantage. 2007. p23.. 10.
(11) Precisión: Proveer de manera correcta, a tiempo y completa la información requerida por la gerencia, empleados, clientes, proveedores y entes regulatorios. Agilidad: Capacidad de cambiar con costos y velocidad administrados. Estos objetivos de negocio como se explicó no son independientes, al contrario, tienen una alta correlación que se puede explicar fácilmente a través de una pirámide de riesgos de TI. Gráficamente una pirámide de las categorías de riesgo puede representar las implicaciones interrelacionadas que existen entre ellas, donde una categoría, según el nivel en el que se encuentre, tiene dependencia de aquellas que están ubicadas por debajo, como se muestra en la gráfica 3.. 2.1.3 Marco de Trabajo: The Risk IT Framework - IT Governance Institute (ITGI) (3). El IT Governance Institute (ITGI) es un grupo de investigación sin ánimo de lucro que se dedica a guiar a la comunidad empresarial y de negocios en los aspectos relacionados con el gobierno de TI. Recientemente el ITGI publicó un nuevo documento llamado Enterprise Risk: Identify, Govern and Manage Risk—The Risk IT Framework (Exposure Draft) que es uno de los marcos de trabajo para esta investigación. Este marco define el riesgo de TI como el riesgo del negocio asociado con el uso, la propiedad, la operación, la participación, la influencia y la adopción de TI dentro de una empresa. Esto consiste en los acontecimientos relacionados con TI, que potencialmente podrían afectar el negocio. Esto incluye tanto la frecuencia incierta, como la magnitud, y esto crea desafíos en el conjunto de objetivos estratégicos así como incertidumbre en la búsqueda de oportunidades. Éste marco de gestión de riesgos de TI está basado en tres dominios, que lo modelan. Estos son: Gobierno del riesgo, Evaluación del riesgo y Respuesta al riesgo, que a su vez tienen varios procesos, como se puede ver en la gráfica 4. Gráfica 3 Pirámide 4A (2). Una vez se ha establecido el perfil de riesgos de TI ideal, es necesario desarrollar las capacidades para lograrlo, el marco propone para esto, atacar los riesgos desde tres disciplinas diferentes: La primera desde una perspectiva tecnológica, es en donde las aplicaciones y la infraestructura deben ser estandarizadas y lo menos complejas posibles, garantizando con esto que la base sobre la que operan los procesos del negocio sea escalable y segura. La segunda perspectiva tiene en cuenta que solo tener una base de tecnología sólida para los procesos no es suficiente, es necesario entender que los riesgos de TI tienen un componente humano importante, la tecnología no puede identificar vulnerabilidades o amenazas por sí sola, se requiere una perspectiva de gobierno de riesgos de TI, donde se identifica cómo cada persona dependiendo de su trabajo en la organización tiene un contacto diferente con el riesgo. Y por último, se necesita desarrollar una cultura de riesgos de TI donde las personas conozcan que actividades o inatenciones potencializan el riesgo y discutan abiertamente como cada una en su trabajo diario ayuda a disminuir posibles incidentes con impacto negativo. Cabe mencionar que estas tres disciplinas pueden ser implementadas en cualquier orden y simultáneamente, pero la meta es incluirlas todas dentro de los procesos organizacionales del día a día.. Gráfica 4 Modelo de Componentes del marco de gestión de riesgos de TI (3). Los procesos de cada uno de los dominios son: Gobierno del riesgo de TI: o Establecer y mantener una vista común del riesgo. o Integrarse con la gestión de riesgos de la empresa. o Tomar decisiones conscientes del riesgo de negocio. Evaluación del riesgo de TI: o Recolectar datos. o Analizar el riesgo. o Mantener el perfil del riesgo. Respuesta del riesgo de TI: o Riesgo claro. o Manejo del riesgo. o Reacción oportuna a eventos. Este marco de referencia Risk IT permitirá realizar, junto con el marco de gestión de riesgos de TI 4A, una evaluación de las buenas prácticas de gestión de riesgo de TI en los cuatro casos de estudio del sector bancario colombiano,. 11.
(12) A continuación se presentan los resultados de la comparación de marcos. 2.2 Análisis de las relaciones entre los diferentes marcos de trabajo Ésta investigación consta de los tres marcos de referencia descritos que se relacionan como se explicó al inicio del capítulo. Para el análisis comparativo se uso como herramienta el trabajo realizado en el proyecto de grado por un estudiante de pregrado5, este estudio desarrolló una herramienta que permitirá evaluar los distintos aspectos relevantes de un marco de Gestión de Riesgos de TI. En términos generales los resultados de la comparación entre los marcos de estudio se encuentra que el marco 4A está centrado en la gestión de riesgos de TI mientras que el marco BS31100 está enfocado en una gestión de riesgos corporativos, sin embargo, los dos comparten muchas características y cumplen con un ciclo de proceso en la gestión de riesgos que realiza cada uno. Los dos marcos tienen en común el cumplimiento de los objetivos del negocio, solo que el marco 4A hace un análisis desde 4 objetivos específicos del negocio. Con respecto a los marcos para gestión de riesgos de TI se encuentra que tienen perspectivas diferentes, el 4A tiene una visión del impacto de la gestión del riesgo de TI en los objetivos del negocio, y el marco Risk IT tiene una visión operativa del proceso de gestión de riesgos de TI, cómo en el análisis anterior se encuentran puntos en común los cuales son revisados desde la herramienta comparativa mencionada anteriormente. Los dominios que componen al marco Risk IT se encuentran inmersos dentro de la disciplina de gobierno del marco 4A, ya que el primer dominio del Risk IT es precisamente gobierno de TI y se enfoca en la definición y aplicación de políticas de la gestión del riesgo. El segundo dominio del Risk IT es la evaluación del riesgo de TI y se encuentra enmarcado dentro del proceso de gobierno de TI del marco 4A en los subprocesos de identificación y priorización de los riesgos. Y el último dominio del Risk IT, Respuesta del riesgo de TI, también queda enmarcado dentro de la disciplina de gobierno del marco 4A en el subproceso de decidir qué hacer con el riesgo. En la tabla 1 se puede observar la comparación de los tres marcos, construida a partir de la herramienta antes mencionada.. Característica Propósito y Definición Funcionamiento Medición y Autogestión Adaptación Integración TOTAL. 4A 3,67 2,72 2,00 3,33 2,00 2,74. 92% 68% 50% 83% 50% 69%. CALIFICACIÓN TOTAL Risk IT 2,78 70% 3,17 79% 1,83 46% 1,33 33% 4,00 100% 2,62 66%. BS31100 2,17 54% 2,45 61% 2,67 67% 3,67 92% 2,50 63% 2,69 67%. Como resultado de este análisis se observa que el marco con mayor puntaje es el marco 4A, que como se mencionó anteriormente se centra en la gestión de riesgos de TI. El marco 4A será el referente para ésta investigación ya que cumple con los requisitos del marco BS 31100 y tiene como foco la gestión de riesgos de TI, adicionalmente tiene una visión muy interesante sobre dicha gestión y es desde la perspectiva del negocio. Es importante mencionar que se requiere validar que estos marcos de gestión se riesgo de TI se ajustan a la reglamentación colombiana en cuanto a seguridad y calidad de los servicios bancarios, por eso a continuación se describirá brevemente el sector financiero colombiano y la circular 052 de la SFC, la cual establece los lineamientos que deben seguir los bancos en cuanto a los aspectos antes mencionados. 2.3 Sistema Financiero Colombiano y Circular externa 052 de la Superintendencia Financiera 2.3.1 Sistema Financiero Colombiano. Entre 1923 y 1990 el sistema financiero colombiano siguió un modelo de banca especializada establecido por la ley 45 de 1923. Dicho modelo limitaba las actividades que podían ejercer los diferentes tipos de entidades financieras a un nicho específico. Cada tipo de entidad se debía especializar en un tipo de negocio, por ejemplo, un banco comercial no podía ofrecer créditos de vivienda ya que este tipo de crédito solo lo podían ofrecer las corporaciones de ahorro y vivienda, y a su vez, una corporación de vivienda no podía ofrecer servicios de banca comercial. Las actividades de regulación y control sobre el mercado financiero son llevadas a cabo por el Banco de la República y la SFC. Los propósitos de estas regulaciones son mantener la concepción del modelo matriz- filial, proteger al ahorrador y al accionista, reglamentar las funciones que pueden realizar los intermediarios financieros y controlar y sancionar las operaciones que realizan los intermediarios financieros (4). Para este último propósito la SFC emite resoluciones y circulares que todas las entidades supervisadas deben implementar, estas circulares buscan reducir los riesgos inherentes al negocio. A continuación se hará un análisis de la circular 052 de la SFC. 2.3.2 Análisis de la circular 052 de la SFC La circular externa 052 expedida el 25 de octubre de 2007 por la SFC, hace referencia a los “Requerimientos mínimos de seguridad y calidad en el manejo de información a través de medios y canales de distribución de productos y servicios para clientes y usuarios”6. La circular 052 de la SIFC se divide en 7 numerales: Ámbito de aplicación: Se explican las entidades que deben adoptar las instrucciones emitidas por dicha circular. Definiciones y criterios de seguridad y calidad: Se dan las definiciones de los criterios de seguridad y calidad necesarios para el cumplimiento de los requerimientos. Tabla 1 comparación entre marcos de gestión de riesgos. 6 5. Santa John, Aanálisis de marcos de gestión del riesgo de ti: los marcos 4a, risk it y la construcción de una herramienta de análisis. SUPERINTENDENCIA FINANCIERA DE COLOMBIA. Circular externa 052 de 2007. 2007. Disponible en: < http://www.superfinanciera.gov.co/NormativaFinanciera/Archivos/ ce052_07.rtf>. 12.
(13) expuestos en la circular, además, se explican los canales de distribución para los cuales se deben cumplir dichos criterios. Obligaciones generales: Son las medidas generales que las organizaciones financieras y bancarias deben adoptar para la aplicación de los criterios definidos en el numeral 2, independientemente de sus canales de distribución. Si la organización contrata bajo la modalidad de tercerización, también debe vigilar que aquellos proveedores cumplan con los requerimientos del numeral 3.2. Por último, define la documentación que las entidades deben cumplir para dejar constancia de las operaciones realizadas, de forma que los órganos de control tengan acceso a estas. Obligaciones adicionales por tipo de canal: Dado que las entidades para las cuales aplica esta circular usan diferentes canales de distribución, se especifican para cada canal, las obligaciones adicionales a las del numeral 3 que deben cumplir solamente aquellas entidades que utilicen el canal respectivo. Reglas sobre actualización de software: Define procedimientos y controles para el software utilizado en los ambientes de producción y pruebas, independiente de un canal de distribución. Obligaciones específicas por tipo de medio – Tarjetas débito y crédito: A diferencia del numeral 3 y 4 define medidas no para un canal de distribución sino para un tipo de medio, el de tarjetas debito y crédito. Análisis de Vulnerabilidades: Obliga a las entidades a implementar un sistema de vulnerabilidades informáticas. A continuación se presenta el análisis de la circular 052 con respecto al marco 4A, ya que es el marco referente para esta investigación en donde se categorizan los criterios definidos en los numerales 3 al 7. Esta categorización se hace a dos niveles: uno general y otro específico. A nivel general se toma el conjunto de los numerales 3 al 7 y los criterios se clasifican en: Objetivos de negocio del marco 4A. Disciplinas del marco 4A. Medidas operativas y ejecutivas del marco 4A. Al categorizar bajo los criterios del marco de gestión de riesgos 4A a la circular 052, se obtuvieron los siguientes resultados: Categorización de los numerales de la circular 052 en los objetivos de negocio del marco de gestión de riesgos 4A. En la gráfica 5 se observa cómo el 79% de los numerales de la circular están bajo las categorías de Acceso y Precisión. Esto se puede explicar debido a que los seis criterios que define la circular para la calidad y la seguridad en el manejo de la información, clasifican total o parcialmente dentro de estos dos objetivos de negocio.. Clasificación numerales 3-7 por objetivos de negocio del marco 4A. 4,28% 16,58% 38,50%. 40,64%. Total de Disponiblidad Total de Acceso Total de Precisión Total de Agilidad. Gráfica 5 Análisis 4A vs circular 052 En la gráfica 6 se observa que la gran mayoría de numerales de la circular clasifican en un nivel operativo dentro de la organización. Esto es de esperarse ya que la prestación de servicios de un banco es un tema operativo.. Clasificación numerales 3-7 por control a nivel ejecutivo y a nivel operativo. 17%. 83%. Total Nivel Ejecutivo Total Nivel Operativo. Gráfica 6 Nivel Ejecutivo vs Nivel Operativo Como se observa en la gráfica 7, la disciplina más concurrente en la circular 052 es la de Base tecnológica, con un 74%. Esto se debe a que la mayoría de las actividades propuestas por dicha circular son de índole tecnológico. No obstante, la disciplina de Gobierno, con un 24%, se evidencia en aquellos numerales de la circular donde se tienen que implementar normativas o restricciones legales. Sin embargo, la disciplina de cultura, con un 2%, sólo aparece cuando se necesita concientizar a los involucrados en temas de seguridad y calidad de la información.. 13.
(14) Clasificación numerales 3-7 por disciplinas Total Base. 2% 24% 74%. Total Gobierno Total Cultura. Tabla 2 valores de variables de impacto Una vez se tiene el impacto general de TI en cada objetivo de negocio, el nivel de riesgo ideal consiste en restar de 1 el valor obtenido y a partir de estos resultados se genera un valor cuantitativo sobre el nivel de riesgo deseado para el proceso estudiado, de acuerdo a los valores de la siguiente tabla. Gráfica 7 Disciplinas en la circular 052 Tabla 3 Nivel de riesgo de los objetivos 4A Como conclusión de este capítulo queda establecido como marco central de la investigación el marco 4A, ya que cómo se ha mencionado anteriormente tiene una perspectiva de gestión de riesgos de TI desde el negocio. Ésta decisión se fundamente en las siguientes razones: El marco de gestión BS31100 es un marco de gestión de riesgos general para toda la compañía y no tiene como foco la gestión de riesgos de TI, el marco de gestión de riesgos de TI de ITGI tiene un punto de vista más operativo de la gestión de riesgos de TI y no se centra en el impacto que tienen dichos riesgos en el negocio, A partir del resultado de la herramienta se observa que el marco 4A es el que más se adecua para los objetivos de esta investigación. A continuación se presenta el capítulo 3 con la descripción del trabajo realizado y sus casos de estudio.. 3 TRABAJO DESARROLLADO En este capítulo se presenta el trabajo desarrollado en los casos de estudio y su posterior utilización para la construcción de la guía, objetivo de éste trabajo de investigación. 3.1 Herramientas usadas Para el desarrollo de la investigación, es necesario utilizar algunas herramientas como entrevistas para poder realizar el proceso de levantamiento de información dentro de los Bancos de estudio. Inicialmente en la entrevista se realizan preguntas sobre el proceso en el cual se centrará la investigación para tener conocimiento del mismo y posteriormente se realizan preguntas sobre el tema de la investigación. El primer paso empleado en este estudio fue generar un perfil de riesgos de TI ideal a partir de las entrevistas realizadas. Para generar el perfil de riesgos ideal en cada objetivo de negocio se aplica el instrumento del marco 4A (2), luego se evalúan las preguntas de nivel ejecutivo en cuatro variables de impacto (económico, sobre los clientes, regulatorio y en la reputación del Banco) que midan el efecto de TI en el negocio en términos cualitativos (Alto, Medio o Bajo). Y, para poder calcular el impacto promedio del riesgo de TI en cada objetivo de negocio se les asigna un valor numérico, como se muestra en la siguiente tabla.. Finalmente se grafica el perfil de riesgo deseado para cada uno de los cuatro objetivos utilizando los rangos de valores mostrados en la anterior tabla.. Perfil de riesgos de TI Ideal Disponibilidad. 0,6 0,1 Agilidad. -0,4. Acceso. Precision. Gráfica 8 Perfil de riesgos ideal. El siguiente paso de esta investigación fue generar el perfil de riesgos de TI actual, para generar este perfil de riesgos se aplica un instrumento generado en esta investigación, en el cual se clasifican las medidas que propone el marco 4A en las disciplinas de Cultura, Gobernabilidad y Base Tecnológica. Cada una estas medidas es relacionada con el objetivo de negocio que busca mejorar, y el conjunto de todas las medidas que disminuyen los riesgos de TI para cada objetivo de negocio permite calcular el nivel de riesgos de TI que enfrenta cada Banco. Dicho nivel de riesgo de TI se obtiene al ordenar las medidas de cada objetivo de negocio por niveles de riesgo alto, medio y bajo. De esta forma, para afirmar que se tiene un determinado nivel de riesgo se deben cumplir todas las medidas de los niveles de riesgos inferiores y al menos una medida de ese nivel de riesgo. Por ejemplo, tener un nivel de riesgo de TI bajo para Disponibilidad quiere decir que se cumplen con todas las medidas mínimas, (se consideran mínimas porque si exclusivamente se cumpliera con esas medidas se tendría un riesgo alto), más las medidas recomendadas, es decir, medidas adicionales a las mínimas que permiten disminuir el riesgo de un nivel alto a un nivel medio, y mínimo una de las medidas. 14.
(15) óptimas, entendiendo por óptimas, aquellas que llevan al riesgo a un nivel muy bajo.. riesgos varia de organización a organización de acuerdo a su apetito al riesgo. La gráfica a continuación muestra los perfiles ideales encontrados para los bancos estudiados.. Para determinar en forma numérica el nivel de riesgo, se usa una escala de 0 a 1, si el Banco cumple con todas las medidas de un nivel tiene puntos, donde el valor de 0,33 corresponde a dividir la escala por los tres niveles de riesgo posibles, pero si cumple solamente cumple con algunas tiene puntos. Retomando el ejemplo anterior, si se tiene un nivel bajo quiere decir que numéricamente tiene un riesgo de:. Disponibilidad. 0,51 0,31. Banco A. 0,11 Agilidad. Banco B. -0,09. Acceso Banco C BanRep. Precision. Finalmente se obtiene el perfil actual de riesgo como puede observarse en la gráfica 9.. Perfil de Riesgos Actual Disponibilidad. Agilidad. 1 0,5 0. Acceso. Gráfica 10 Perfiles Ideal de Riesgo de los casos de Estudio Comparación de los perfiles de riesgo de TI Actuales de los casos de estudio Los perfiles de riesgo ideales sirven como una guía para dirigir los esfuerzos que están encaminados a mitigar los riesgos de TI, pero de la visión ideal a la situación actual normalmente hay una diferencia. En la gráfica 11 se muestran los perfiles de riesgo actuales para los bancos encontrados a partir de la herramienta desarrollada.. Precisión Disponibilidad. Gráfica 9 Perfil de riesgos actual Después de una descripción general del proceso de recolección de información, a continuación se revisaran los cuatro casos de estudio.. Agilidad. 0,3 0,2 0,1 0. Al comparar los perfiles de riesgo de los Bancos (5), en donde se trabajo el mismo proceso de negocio “Transacciones sobre internet” se observa que se tienen prioridades distintas en algunos objetivos de negocio que demuestra que la gestión de. Banco B Acceso Banco C BanRep. 3.2 Casos de estudio. En esta investigación se analizarán las prácticas de gestión de riesgo de TI en cuatro bancos con presencia en Colombia. Esta muestra representa aproximadamente el 22% de la totalidad de los bancos. Hacen parte del estudio bancos con diferente naturaleza, un banco de inversión, dos bancos con servicios comerciales y de inversión y el banco central. Parte del equipo de esta investigación está conformado por tres estudiantes de la carrera de Ingeniería de Sistemas y Computación, el estudiante responsable de la construcción de la guía realizó un caso de estudio en el cuarto banco y coordinará la validación de la guía con las buenas prácticas de gestión de riesgos de TI en el sector bancario colombiano. En los cuatro casos de estudio se tuvieron entrevistas preliminares presentando el proyecto y una vez se aprobó por parte de los bancos se realizaron entrevistas tanto personales como telefónicas y se aplicó la entrevista mencionada anteriormente. Con esta información se obtuvieron las prácticas de gestión de riesgos de TI implementadas en los bancos para un único proceso de negocio en cada uno de ellos.. Banco A. Precisión. Gráfica 11 Perfiles Actual de Riesgo de los casos de Estudio De esta gráfica se observa que los perfiles de riesgo ideal para los cuatro bancos presentan niveles de riesgo menores que los perfiles de riesgo actual, sin embargo, estas diferencias no son substanciales dado que los valores están en los mismos rangos. De todas formas si los bancos desean disminuir sus niveles de riesgo de TI en alguno de los objetivos de negocio se pueden utilizar medidas propuestas por el marco 4A, de acuerdo con sus necesidades. A continuación se presenta la propuesta de la guía de buenas prácticas de gestión de riesgos de TI, basados en los resultados obtenidos en los cuatro casos de estudio. 3.3 Guía de buenas prácticas de gestión de riesgos de TI. El objetivo de este proyecto es generar una guía con las buenas prácticas de gestión de riesgos de TI, la cual tiene definido los pasos a nivel macro a partir del trabajo practico con los casos de estudio y el trabajo teórico de comparación de los marcos de referencia.. 15.
(16) 1. 2. 3. 4. 5. 6.. Construir el perfil ideal de riesgo para el proceso de negocio. Construir el perfil actual de riesgo para el proceso de negocio. Priorizar las disciplinas. Plan detallado para cada disciplina. Tratamiento, acciones de mejora para cada disciplina. Retroalimentación de resultados.. La construcción y validación de esta guía hace parte de la segunda fase de esta investigación.. 4 CONCLUSIONES Y TRABAJOS FUTUROS 4.1 Conclusiones del tema del trabajo Las principales conclusiones del trabajo son: Los bancos estudiados tienen plena conciencia de la importancia de las TI en el buen desempeño de los negocios, ya que los clientes son cada vez mas conocedores de las TI y a su vez son más exigentes con el banco en cuanto a calidad de los servicios prestados. Estos bancos de manera consciente o inconsciente realizan un proceso de gestión de riesgos de TI, ya que de alguna manera identifican que los objetivos de negocio descritos en el marco de gestión de riesgos 4A (disponibilidad, acceso, precisión, agilidad) son indispensables para una excelente prestación de servicio a sus clientes. En el caso de disponibilidad de los servicios a través de internet los clientes desean hacer sus operaciones (transacciones) a cualquier hora del día o de la noche. En cuanto al acceso, es indispensable que únicamente el dueño de los datos (cuentas o servicios financieros) sea quien puede acceder a dicha información. La precisión también es gestionada ya que los datos deben ser confiables y exactos en todo momento. Finalmente la agilidad también es administrada ya que los bancos crean nuevos servicios o los amplían gracias a las nuevas TI que van surgiendo. 4.2 Conclusiones de los casos de estudio Cada banco define sus prioridades de negocio y así mismo su perfil de riesgos de TI, se puede observar que dos bancos con el mismo proceso de negocio tienen dos perfiles de riesgo de TI muy diferentes. Se concluye con base en el análisis de disciplinas de los procesos seleccionados y su relación con la Circular 052 que la circular especifica qué requisitos deben cumplir los bancos, pero no entra en detalle sobre buenas prácticas que se puedan implementar para cumplirlos. Por lo tanto, se hace evidente que el marco 4A y la circular se complementan dentro del sector financiero colombiano, ya que el marco 4A sí define unas buenas prácticas para alcanzar niveles altos en la reducción de riesgos de TI. En los cuatro bancos estudiados se observa que además de las medidas obligatorias de la circular 052, se implementan medidas adicionales que complementan la gestión de riesgos de TI; adicionalmente, teniendo en cuenta que de los cuatro bancos estudiados algunos son extranjeros, se observa que la experiencia que tienen de sus operaciones en otros países, con. regulaciones más estrictas que la colombiana, les permite tener niveles más altos de control de riesgos de TI. Clasificando estas medidas según las disciplinas del marco 4A se tiene que respecto a Gobernabilidad en todos los bancos estudiados se tienen roles que involucran dentro de sus funciones la atención de los riesgos de TI, estos roles le permiten a los Bancos implementar la segregación de funciones del personal que administra, opera, mantiene TI. Respecto a Base Tecnológica, se observa que los Bancos cumplen con dotar de seguridad la información confidencial de los clientes que se maneja en los equipos y redes de la entidad, igualmente dotan a sus equipos de cómputo de los elementos necesarios que eviten la instalación de programas o dispositivos que capturen la información de sus operaciones y por último establecen procedimientos para el bloqueo de canales o de medios, cuando existan situaciones o hechos que lo ameriten. En la disciplina de Cultura se observa una mejora significativa a nivel interno en los Bancos respecto a lo exigido por la circular, ya que en ésta no se exigen capacitaciones periódicas respecto a los riesgos de TI. Por otro lado, los análisis de vulnerabilidades a los que hace referencia la circular en el numeral 7 son implementados de una forma más eficiente ya que hay una cultura más solida en los cuatro Bancos, que genera una mayor conciencia de la importancia de medir vulnerabilidades. 4.3 Trabajos Futuros. Como continuación en Tesis II de este proyecto de investigación quedan las siguientes tareas: Desarrollar cada una de las actividades faltantes en la guía propuesta, y validar dicha guía con un proceso de negocio en el caso de estudio del Banco de la República. Adicionalmente se contará con la colaboración de dos estudiantes de pregrado quienes harán el análisis detallado del plan de acción para dos de las disciplinas del marco 4A . Como futuros proyectos de investigación de gestión de riesgos de TI se pueden considerar los siguientes. Estudiar la gestión de riesgos de TI en diferentes procesos de negocio en los cuatro bancos ya analizados Un proyecto en el cual se amplié el número de casos de estudio en el sector bancario para que ésta investigación sea mucha más representativo. Diferentes proyectos en distintos sectores reales de la economía para evaluar comparativamente cuales sectores tienen las buenas prácticas de gestión de riesgos de TI.. BIBLIOGRAFIA 1. bsi-global. [En línea] [Citado el: 11 de 02 de 2009.] http://www.bsi-global.com. 2. Westerman George, Hunter Richard. IT RISK. Boston : Harvard Business School Pres, 2007. 3. Isaca. [En línea] [Citado el: 23 de 02 de 2009.] http://www.isaca.org/Template.cfm?Section=Home&CONTEN. 16.
(17) TID=47643&TEMPLATE=/ContentManagement/ContentDispl ay.cfm. 4. Serrano, Rodriguez Javier. Mercados Financieros. Vision del sistema financiero Colombiano y de los principales mercados financieros internacionales. 5. CHENG A, PINILLA S, VILLA J. Gestión de riesgos de las tecnologías de la información (TI) en el sector bancario colombiano, su implementación a través de la circular 052 de la superintendencia financiera colombiana y su estudio desde el marco de gestión de riesgos de TI 4A. 6. Santa John. ANÁLISIS DE MARCOS DE GESTIÓN DEL RIESGO DE TI: Los Marcos 4A, Risk IT y la Construcción de una Herramienta de Análisis 7. Figueroa Luis Carlos. Guía de buenas prácticas en gestión de riesgos de TI en el sector bancario colombiano.. 17.
(18) II. ARTÍCULO FINAL. Guía de buenas prácticas en gestión de riesgo de TI en el sector bancario colombiano Luis Carlos Figueroa. Olga Lucía Giraldo. Andrea Herrera. Universidad de los Andes [email protected]. Universidad de los Andes [email protected]. Universidad de los Andes [email protected]. RESUMEN Dada la importancia del uso de las Tecnologías de Información (TI) en los negocios, es indispensable hacer un análisis de sus riesgos asociados, que bien manejados pueden convertirse en oportunidades para las empresas. Esta investigación busca construir una guía de buenas prácticas utilizadas para mitigar el impacto de los riesgos de TI en el sector bancario colombiano, ya que es uno de los sectores con mayor inversión en TI para fortalecer el negocio. Para realizar esta investigación se analizan varios marcos de gestión de riesgos, así como la reglamentación existente en el sector. Este artículo muestra el proceso de construcción de la guía y su validación en un caso de estudio. PALABRAS CLAVE: Gestión de riesgos de TI, Objetivos de Negocio, Reglamentación de la banca en Colombia, Riesgo, TI.. inversión) y el banco central7. La construcción del marco de la investigación se hace a partir de tres marcos reconocidos mundialmente: BS31100 (BS31100: 2008 BSI British Standard), 4A (Westerman & Hunter 2007), Risk IT (ITGI8 2008); y la reglamentación de la SFC9 (SFC 2007). La segunda fase filtra las prácticas recopiladas a partir del modelo teórico propuesto. La tercera fase define los pasos macro de la guía, describiéndolos en términos de las prácticas seleccionadas. La cuarta y última fase es la validación de la guía en un caso de estudio. Este artículo muestra en el numeral 2 el marco construido, en el numeral 3 describe el trabajo desarrollado, en el numeral 4 presenta los principales resultados de la validación y en el numeral 5 presenta las conclusiones del estudio.. 1. INTRODUCCIÓN En las últimas décadas el uso de TI en las empresas ha crecido rápidamente haciendo que el buen desempeño de los negocios dependa en gran medida de su correcto funcionamiento (Gómez, 2008). Las compañías le están dando gran importancia a la gestión de riesgos de TI y están apostando porque dicha gestión esté basada en políticas corporativas dirigidas de forma centralizada desde la alta gerencia (Microsoft Executive Circle, 2004). Esta investigación estudia los mecanismos que utiliza el sector bancario colombiano para gestionar los riesgos de TI en sus negocios. Este sector es de gran importancia en la economía nacional al canalizar recursos económicos permitiendo el ahorro de excedentes de capital y prestándolo a quienes lo necesiten (Silva, 2004). Este estudio se realiza a partir de dos componentes: uno la revisión teórica de marcos de gestión de riesgos, específicamente de TI buscando complementar las teorías propuestas, incluyendo la reglamentación del sector en Colombia. Segundo, la recolección de las prácticas actuales de gestión de riesgos de TI en una muestra de bancos con presencia en Colombia; que en conjunto apoyan la construcción de la guía. Lo anterior se realiza por fases para ampliar el alcance y la relevancia de los resultados. La primera fase es recolectar prácticas y construir el marco de la investigación. La recolección se realiza en cuatro bancos analizando un proceso de negocio en cada uno, esta información es fuente de prácticas para análisis y selección en la fase dos. Los bancos analizados equivalen al 22% de las entidades bancarias del país (SFC, 2009), e incluye un banco de inversión, dos bancos mixtos (comerciales y de. 2 MARCO TEÓRICO 2.1 Estado del arte. Los marcos de gestión de riesgos utilizados provienen de diferentes tipos de organizaciones que se dedican al estudio de cómo las empresas exitosas integran la gestión de riesgos al desarrollo de sus objetivos de negocio. El estándar más general, del BSI10, es el BS 31100 (BS31100: 2008 BSI British Standard). Éste se enfoca en la gestión de riesgos en organizaciones, ofreciendo a sus ejecutivos una herramienta para lograr mayor entendimiento sobre cómo diseñar, poner en práctica y mantener una gestión de riesgos eficaz. Respecto a marcos propios de gestión de riesgos de TI, el CISR11 del MIT12 realizó investigaciones enfocadas en recolectar prácticas efectivas y no efectivas de gestión del riesgo de TI. A partir de estos estudios propuso el marco 4A (Westerman & Hunter 2007), con una visión de negocio de la gestión de riesgos de TI dirigida al entendimiento de su impacto sobre los activos, procesos y personal en las organizaciones. Igualmente, el ITGI, autor del marco Risk IT (ITGI 2008), es un 7. Banco de la República IT Governance Institute Superintendencia Financiera Colombiana 10 British Standard Institute 11 Center for Information System Research 12 Massachusetts Institute of Technology 8 9. 18.
(19) grupo de investigación sin ánimo de lucro dedicado a guiar a la comunidad empresarial en aspectos relacionados con gobierno de TI para ayudar a ejecutivos y personal de TI a asegurarse que la gestión de TI está alineada con los objetivos del negocio. Este marco tiene una visión operativa de la gestión de riesgos de TI. El aporte de este estudio es integrar los anteriores marcos proponiendo un modelo teórico base para la construcción de una guía de gestión de riesgos de TI, tanto a nivel estratégico como operativo, que considere el impacto que tiene TI en el negocio y a partir de la cual se definan planes de acción específicos. 2.2 Análisis de las relaciones entre los diferentes marcos de trabajo Como parte del desarrollo del marco teórico se realiza un análisis comparativo de sus componentes utilizando una herramienta que permite valorar distintos aspectos relevantes de un marco de Gestión de Riesgos de TI (Santa, 2009). En la tabla 1 se observan los resultados de la comparación de los tres marcos, a partir del uso de la herramienta mencionada.. Característica Propósito y Definición Funcionamiento Medición y Autogestión Adaptación Integración TOTAL. 4A 3,67 2,72 2,50 3,50 2,00 2,88. 92% 68% 63% 88% 50% 72%. CALIFICACIÓN TOTAL Risk IT 2,78 70% 3,17 79% 1,83 46% 1,33 33% 4,00 100% 2,62 66%. Gráfica 1 Modelo de análisis teórico de gestión de riesgos de TI para sector bancario colombiano (Figueroa, 2009) A continuación se presenta los resultados de las fases del estudio desarrollado a partir del modelo presentado. 3 PRÁCTICAS ACTUALES DE GESTIÓN DE RIESGO DE TI EN LOS CASOS DE ESTUDIO Y GUÍA DE BUENAS PRÁCTICAS. BS31100 2,17 54% 2,45 61% 2,67 67% 3,67 92% 2,50 63% 2,69 67%. Tabla 1. Comparación entre marcos de gestión de riesgos (Figueroa, 2009) En el análisis (Figueroa, 2009) se observa que el marco 4A exhibe fortalezas en la mayoría de características valoradas y puede reforzarse particularmente con el marco Risk IT en algunos aspectos, razón por la cual se utiliza como referente central para la investigación. Por otra parte, es vital para las empresas13cumplir con la reglamentación vigente (SFC, 2007), por la cual se analiza el sector (SFC, 1990) y la circular 052 de la SFC que reglamenta en el país la seguridad y calidad de los servicios bancarios a luz del marco 4A. (Cheng & Pinilla & Villa, 2009) 2.3 Modelo teórico propuesto Basados en el estado del arte y en el análisis anterior, se propone el modelo observado en la gráfica 1.. Este numeral explica el proceso de recolección, análisis y selección de prácticas de gestión de riesgo de TI en los casos de estudio (Cheng & Pinilla & Villa, 2009). 3.1 Recolección de prácticas A continuación se describen las herramientas usadas para recolectar información y los resultados obtenidos de las prácticas actuales en los casos de estudio. 3.1.1 Herramientas usadas Para la recolección de prácticas se utiliza como referencia central el marco 4A que recibe su nombre de cuatro objetivos de negocio, Availability, Access, Acuracy and Agility14. Este marco presenta un instrumento para definir la situación ideal del banco respecto a su nivel de riesgo en los objetivos mencionados, conocido como perfil de riesgos de TI ideal (Westerman & Hunter, 2007. Las preguntas se evalúan términos de cuatro variables de impacto15 que miden el efecto de TI en el negocio cualitativamente16. Para calcular el impacto promedio del riesgo de TI en cada objetivo de negocio se asigna un valor numérico de acuerdo a rangos asociados a los valores cualitativos (Figueroa, 2009). Este marco propone adicionalmente tres disciplinas base tecnológica, gobierno, y cultura para desarrollar las capacidades que requiere la organización para acercarse a su perfil ideal de riesgos de TI. Con base en la especificación de dichas disciplinas (Westerman & Hunter, 2007), se construye un instrumento (Figueroa, 2009), (Cheng & Pinilla & Villa, 2009), en el cual se clasifican las medidas que propone el marco para determinar la situación actual de la compañía. Cada medida es 14. En español disponibilidad, acceso, precisión y agilidad Económico, sobre los clientes, regulatorio, y en la reputación del Banco 16 Alto, Medio o Bajo 15. 13. En este caso bancos. 19.
(20) relacionada con el objetivo de negocio que busca mejorar, y el conjunto de todas las medidas que disminuyen los riesgos de TI para cada objetivo de negocio, permite calcular el nivel de riesgos de TI que enfrenta cada banco, es decir, su perfil actual de riesgos de TI. Dicho perfil se obtiene al ordenar las medidas de cada objetivo de negocio por los niveles cualitativos de riesgo. Al aplicar este instrumento se obtuvieron las prácticas de gestión de riesgos de TI de los bancos estudiados (Cheng & Pinilla & Villa, 2009). 3.2 Valoración y selección de buenas prácticas de gestión de riesgo de TI La valoración y selección de buenas prácticas se realiza tomando como referencia las prácticas propuestas por el modelo teórico construido y observando cuáles de ellas son implementadas de forma repetitiva en los casos de estudio. Las prácticas se consideran buenas bajo dos criterios: primero porque implementan características valoradas como importantes para la gestión del riesgo de TI de acuerdo al modelo teórico propuesto y segundo porque las prácticas reincidentes se consideran relevantes dado que de los bancos estudiados tres son organizaciones multinacionales que siguen directrices corporativas de gestión de riesgos de TI que cumplen con regulaciones mundiales y el cuarto banco es el banco central17 que igualmente sigue estándares de gestión de riesgo de TI como los demás bancos centrales a nivel mundial. A partir de lo anterior se propone la guía presentada a continuación. 3.3 Guía para gestión de riesgos de TI El objetivo de esta investigación es construir una guía de buenas prácticas de gestión de riesgos de TI para el sector bancario colombiano. Se definen los pasos generales a partir del trabajo práctico con los casos de estudio y el trabajo teórico. A continuación se describen los pasos de la guía (Figueroa, 2009), gráfica 2.. 3.3.1 Construcción de un perfil ideal de riesgos de TI El objetivo del primer paso es definir, de acuerdo a políticas de gobierno de la organización, el perfil de riesgo de TI al que se desea llegar en cada proceso de negocio o como un todo. Para construirlo, se aplica el instrumento del marco 4A, siguiendo el proceso descrito en el numeral 3.1.1. Con el perfil ideal se tiene el plano de la gestión de riesgos de TI a largo plazo a partir del cual se definen las acciones específicas a desarrollar para alcanzar el estado definido por la organización. 3.3.2 Construcción de un perfil actual de riesgos de TI El objetivo de este paso es identificar la situación actual de riesgos de TI en cada proceso de negocio o como un todo, para determinar qué tan lejos está del perfil ideal y así tomar acciones tanto preventivas como correctivas como parte de la gestión de riesgos de TI. (Figueroa, 2009) y (Cheng & Pinilla & Villa, 2009) Con estos dos perfiles se identifica la brecha entre ellos y se tiene un punto de partida para definir un plan de acción apropiado para la compañía. 3.3.3 Priorización de las disciplinas El objetivo de este paso es determinar las disciplinas por las que se debe iniciar el proceso de acercamiento al perfil ideal. Para esto se usa una metodología de análisis de brecha en donde el perfil ideal de gestión de riesgos de TI se convierte en el modelo “TO BE” y el perfil actual de gestión de riesgos de TI se convierte en el modelo “AS IS”. Para priorizar las disciplinas se tienen en cuenta el balance de dos factores: primero considerar el entorno de la organización y segundo determinar cuál es la disciplina que requiere mayor atención de acuerdo a su nivel de madurez18 (Westerman & Barnier, 2008) y a las necesidades propias de la organización. Esto busca que el desarrollo de la disciplina con mayor prioridad impulse el fortalecimiento de las otras (Westerman, 2004). 3.3.4 Planeación detallada de desarrollo de cada disciplina El objetivo de este paso es describir las actividades a desarrollar en las disciplinas según su priorización. Para este paso se construyeron modelos propios que complementan los marcos 4A, Risk IT y la reglamentación del sector (Mendez & Camargo, 2009), buscando profundizar y agregar valor en diferentes aspectos, tal como se describió en el modelo teórico, gráfica 1. El plan de cada disciplinas contempla dos etapas básicas (Berry, 2008): la primera, verifica contra una lista de chequeo derivada del modelo construido, las actividades propias de cada disciplina. Cada una de estas listas constituye el “route map” que permite acercar el perfil actual de gestión de riesgos de TI al perfil ideal definido. La segunda etapa consiste en desarrollar un plan de acción con las actividades preventivas y correctivas para los componentes de la disciplina que faltan por desarrollar al interior de la organización.. Gráfica 2 Pasos de la Guía de gestión de riesgos de TI (Figueroa, 2009). 18 17. Autoridad monetaria, crediticia y cambiaria en Colombia. El nivel de madurez le permite a la organización evaluar hasta que nivel ha desarrollado cada una de las disciplinas. 20.
Documento similar