Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Octubre 2009
INDICE I. II. Antecedentes ..................................................................................................... 3 Objetivos........................................................................................................... 4 a. Objetivo General................................................................................................... 4 b. Objetivos Particulares ........................................................................................... 4 III. Alcance ............................................................................................................. 4 IV. Definicin y terminologa................................................................................. 4 a. Definicin de Riesgo Tecnolgico ....................................................................... 4 b. Terminologa ........................................................................................................ 4 V. Organizacin de la Gerencia de Riesgo Operacional ....................................... 6 VI. Marco Jurdico .................................................................................................. 6 VII. Funciones y Responsabilidades ........................................................................ 7 VIII. Polticas ............................................................................................................ 9 IX. Marco Metodolgico ...................................................................................... 10 a. Introduccin ........................................................................................................ 10 b. Modelo de Administracin del Riesgo Tecnolgico .......................................... 11 i. Definicin del alcance ..................................................................................... 14 ii. Criterios de evaluacin, impacto y aceptacin de riesgos ............................ 14 iii. Identificacin de riesgos............................................................................... 15 1. Identificacin de Activos .......................................................................... 15 2. Identificacin de Amenazas ..................................................................... 16 3. Identificacin de vulnerabilidades ............................................................ 16 iv. Evaluacin de riesgos ................................................................................... 17 4. Determinacin de frecuencia .................................................................... 17 5. Determinacin de Impacto........................................................................ 18 6. Mapa de riesgos tecnolgicos ................................................................... 18 7. Anlisis de controles ................................................................................. 20 8. Determinacin del riesgo residual y niveles de tolerancia. ...................... 21 v. Priorizacin y tratamiento del riesgo ........................................................... 21 vi. Plan de Tratamiento de Riesgos ................................................................... 22 vii. Monitoreo ..................................................................................................... 22 X. Procedimiento del modelo de administracin de Riesgo Tecnolgico........... 23 XI. Marco Tecnolgico ......................................................................................... 25 XII. Anexos ............................................................................................................ 28 a. Anexo A.............................................................................................................. 28 b. Anexo B. ............................................................................................................. 31 c. Anexo C. RT Identificacin de Riesgos ......................................................... 32 d. Anexo D. RT Inventario de activos ................................................................ 32 e. Anexo E. RT Catlogo de amenazas ............................................................... 32 f. Anexo F. RT Catlogo de vulnerabilidades .................................................... 33 g. Anexo G. RT Anlisis de riesgos .................................................................... 33 h. Anexo H. RT Riesgo Residual y Niveles de Tolerancia ................................. 33 i. Anexo I. RT Layout de Incidencias ................................................................ 33 j. Anexo J. RT Indicadores................................................................................. 33
I. Antecedentes
El avance acelerado al que se han enfrentado diversas organizaciones est estrechamente vinculado con el incremento en el uso de la tecnologa de la Informacin as como la evolucin en la forma de su utilizacin. Este progreso ha permitido que la tecnologa de Informacin se convierta en una herramienta trascendental para disear e implementar mejores y ms efectivos procesos, generando oportunidades de crecimiento as como la posibilidad de contar con Informacin veraz y oportuna para una eficaz toma de decisiones. Sin embargo, esto conlleva a tener una dependencia en la Informacin y en los sistemas que la proporcionan. Este tipo de dependencia trae consigo una serie de riesgos inherentes que las organizaciones deben de enfrentar, a estas exposiciones se les conoce como riesgo tecnolgico. Dicho riesgo es parte complementaria al riesgo operacional (definido dentro del Manual Normativo de Riesgo Operacional), el cual mientras exista este entorno, su gestin desempear un papel crtico y esencial dentro de las operaciones como factor de control estratgico. El INFONAVIT no es la excepcin y la mayor parte de sus operaciones se encuentran sobre una estructura tecnolgica, con lo cual se hace ms eficiente y oportuna la atencin a los derechohabientes y acreditados, sin embargo se est expuesto a problemas inherentes a dichas operaciones los cuales pueden materializarse al no contar con una adecuada administracin del riesgo tecnolgico. Por tal razn, es de inters del Instituto desarrollar actividades para la administracin del Riesgo Tecnolgico como una prctica adicional a la administracin integral de riesgos en el INFONAVIT que conlleve a minimizar los posibles impactos negativos por su uso y desarrollar una estrategia basada en riesgo tecnolgicos que permita fortalecer el proceso de toma de decisiones. Para llevar al Instituto a un estndar internacional en materia de Riesgo Tecnolgico, se recomienda observar las mejores prcticas establecidas por el Comit de Basilea as como COBIT (Control Objetives for Information and Related Technology) e ISO (Organizacin Internacional por la Normalizacin)/IEC 27001(International Electrotechnical Commission) para su mejor administracin y gobierno. Asimismo es inters del INFONAVIT considerar el marco regulatorio definidos por la Comisin Nacional Bancaria y de Valores (CNBV).
II. Objetivos
a. Objetivo General
El objetivo del Manual Normativo de Riesgo Tecnolgico es la de concientizar a los dueos de los procesos y a los responsables de los sistemas de Informacin de la existencia de riesgos y de la necesidad de mitigarlos a tiempo, ofreciendo un mtodo sistemtico de trabajo definido y repetible para el anlisis y evaluacin de tales riesgos, para ayudar a descubrir y planificar las medidas oportunas para mantener los riegos de TI bajo control de acuerdo a las mejores prcticas.
b.
Objetivos Particulares
Preparar al Instituto para el proceso de administracin de Riesgo Tecnolgico en base a un marco de referencia constituido de las mejores prcticas como COBIT e ISO/IEC 27001 buscando la uniformidad en el marco de trabajo para le gestin del Riesgo Tecnolgico. Contar con un mtodo para poder identificar, evaluar, administrar, controlar y reportar los riesgos tecnolgicos que enfrenta el Instituto, con el fin de mitigar o eliminar el posible impacto negativo de dichos riesgos en Instituto.
III.Alcance
De aplicacin general para todas las reas del Instituto y los procesos que tengan implcito un riesgo tecnolgico. Advertencia: El contenido del presente manual es responsabilidad de la Gerencia de Riesgo Operacional, perteneciente a la Gerencia Sr. de Riesgos. Cualquier accin de cambio o alteracin, sin la aprobacin correspondiente de la Gerencia Sr de Riesgos, ser sancionada acorde al Cdigo de tica del Instituto.
IV.Definicin y terminologa
a. Definicin de Riesgo Tecnolgico
El Riesgo Tecnolgico es la prdida potencial por daos, interrupcin, alteracin o fallas derivadas del uso o dependencia en el hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de distribucin de Informacin que el Instituto dispone para prestar sus servicios.
b.
Activo
Terminologa
Recursos del sistema de Informacin o relacionados con ste, necesarios para que el Instituto funcione correctamente. Administracin Integral Conjunto de objetivos, polticas, procedimientos y acciones de Riesgos que se llevan a cabo para identificar, medir, vigilar, limitar, controlar, informar y revelar los distintos riesgos a que se
MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional v1. Noviembre 2009
encuentra expuesto el Instituto. Amenaza Agente o circunstancia capaz de explotar una o ms vulnerabilidades. COBIT (Control Objetives for Information and Related Technology) mejor prctica aplicada en material de control y seguridad de TI emitido por ISACA (Information Systems Audit and Control Foundation) Confidencialidad Proteccin de datos personales o Informacin clasificada como confidencial en trminos de los Lineamientos de Transparencia y Acceso a la Informacin del Instituto, por lo cual su divulgacin no est autorizada. Control Polticas, procedimientos, prcticas y estructuras organizacionales diseadas para procurar que los objetivos del negocio sean alcanzados y que los riesgos detectados sean prevenidos, detectados o corregidos. Disponibilidad Acceso y utilizacin de la Informacin y los sistemas cuando se requieran. Dueo de Proceso Gerente responsable del diseo, aprobacin e implementacin de un proceso y subproceso especfico. Evento Es algo que sucede en un lugar y tiempo particular. Hardware Componentes fsicos de un sistema computacional. Indicador Definicin de datos que ayudan a medir objetivamente la evolucin de una actividad o una tarea, as como la efectividad de un control para mitigar un riesgo. Informacin Cualquier forma de registro electrnico, ptico, magntico o en otros medios similares, susceptible de ser procesada, distribuida y almacenada. Instituto Instituto del Fondo Nacional de la Vivienda para los Trabajadores (INFONAVIT) Integridad Mantenimiento de la exactitud y completitud de la Informacin y sus mtodos de proceso. ISO /IEC 27001 Estndar para la seguridad de la Informacin publicado como por International Organization for Standardization (ISO) y por la International Electrotechnical Commission (IEC). Nivel de tolerancia al Es la magnitud permisible de exposicin a un riesgo no riesgo discrecional para el Instituto en su totalidad. Proceso Conjunto ordenado de etapas y pasos con caractersticas de accin interrelacionada, dinmica y progresiva que concluye con la obtencin de un resultado. Riesgo Es la exposicin a la posibilidad de ocurrencia de eventos tales como prdida o ganancia econmica, dao fsico, retrasos, etc., que surgen como consecuencia de seguir un curso particular de accin. El concepto de riesgo tiene dos elementos: la probabilidad de que algo ocurra y las consecuencias de si esto ocurre (impacto o severidad). Riesgo Operacional Es aquel que puede provocar prdidas directas o indirectas como resultado de errores humanos, procesos internos inadecuados o defectuosos, controles internos inadecuados,
MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional v1. Noviembre 2009
Software
Vulnerabilidad
fallas en los sistemas y a consecuencia de acontecimientos externos originados dentro de la propia operacin del Instituto Instituto. El riesgo asociado con un evento despus de que un control se est llevando a cabo. Actividades encaminadas a preservar la confidencialidad, integridad y disponibilidad de la Informacin, Informacin as como de los sistemas implicados en su tratamiento. E un conjunto de programas, documentos, procedimientos, Es y rutinas asociadas con la operacin de un sistema computacional. Debilidades o defectos en la infraestructura de seguridad de una organizacin.
Para consultar la descripcin de cada uno de los puestos que integran la Gerencia de Riesgo Operacional y Legal (Ver Anexo A).
En la sesin extraordinaria nmero 88, celebrada el 29 de agosto de 2005, la H. Asamblea General del INFONAVIT tom el acuerdo nmero 1221, mediante el cual se aprobaron las reformas reformas al Estatuto Orgnico del Instituto del Fondo Nacional de la Vivienda para los Trabajadores.
i. Que existan mecanismos de seguridad e integridad de la Informacin. ii. Que existan mecanismos para prevenir el acceso y uso indebido. iii. Que se encuentren documentados y actualizados los procesos, aplicaciones y metodologas. iv. Que tengan procesos de prueba previos a la operacin. v. Que exista un Programa de Contingencias actualizado y difundido, que asegure el respaldo y recuperacin de la Informacin y de los sistemas. vi. Que existan convenios de niveles de servicio. vii. Que se cuente con licencias y autorizaciones para T. I. viii. Que se incorporen mecanismos, medidas y controles previstos por la Contralora Interna para propiciar su cumplimiento. e. Lineamientos de Seguridad de la Informacin. Externa
VII.Funciones y Responsabilidades
La Gerencia de Riesgo Operacional deber: i. Proponer el marco de gestin del Riesgo Tecnolgico, as como, las polticas y procedimientos para la identificacin, evaluacin y control, as como, la implantacin de mtodos cualitativos y cuantitativos que permitan permear una cultura de riesgos en el Instituto. Definir el alcance de la identificacin y evaluacin de riesgos. Coordinar con los responsables de los procesos y/o subprocesos el cumplimiento del presente Manual Normativo, de forma que se complementen los Lineamientos en Materia de Control Interno. Informar al menos de manera bimestral a travs del reporte de riesgos, acerca de las exposiciones, incidencias y comportamiento de Indicadores relativos al riesgo tecnolgico a la Gerencia Sr de Riesgos, Subdirecciones Generales, al Comit de Riesgos y al Comit de Auditora. Revisar y actualizar el Manual Normativo de Riesgo Tecnolgico, cuando menos, una vez al ao y/o cuando por cambios en el Instituto lo demande.
ii. iii.
iv.
v.
Consultor Jr. de Riesgo Tecnolgico deber: i. ii. iii. iv. v. vi. Capacitar al Dueo de Proceso, cuando lo requiera, para identificar y evaluar los riesgos tecnolgicos inherentes de acuerdo al presente manual normativo. Apoyar a los responsables facultados, del tratamiento de los riesgos a desarrollar (remediar, monitorear u optimizar el control). Seguimiento y retroalimentacin de las respuestas de riesgo. Anlisis de desviaciones en Riesgo Tecnolgico. Definir y monitorear los Indicadores por Riesgo Tecnolgico. Disear, desarrollar e implementar una base de datos histrica de exposicin de riesgos, identificada en cada activo y subproceso, as como, de las incidencias por Riesgo Tecnolgico. Actualizar al menos una vez al mes la base de datos por riesgo tecnolgico, a travs del registro de incidencias que se tengan por conocimiento de las diferentes fuentes de Informacin y en su caso verificar que el monto de prdida est reflejado dentro de la contabilidad del Instituto.
vii.
Los Dueos de Proceso debern: i. Identificar y evaluar los riesgos tecnolgicos inherentes a su proceso. ii. Determinar las causas y efectos derivados de los riesgos identificados. iii. Reportar la incidencia de eventos derivados de un riesgo tecnolgico en cada rea del Instituto. iv. Participar en las sesiones de medicin y cuantificacin del riesgo tecnolgico. v. Implementar, aplicar, mantener y actualizar el Sistema de Control Interno, cuyas acciones preventivas y correctivas, permitirn la mitigacin y control del riesgo tecnolgico. vi. Elaborar, establecer y dar mantenimiento a las polticas y procedimientos que afecten a su rea. vii. Proporcionar Informacin relacionada con el seguimiento en las acciones referentes a las respuestas de Riesgos Tecnolgicos. viii. Proporcionar la Informacin relacionada a cada uno de los Indicadores de los Riesgos Tecnolgicos detectados. ix. Mantener una estrecha comunicacin con su rea as como con la Gerencia ROp de cualquier ndole en relacin al riesgo tecnolgico que contribuya a una mejora continua as como de Control Interno. x. Informar, difundir e implementar a sus reportes las estrategias de cultura de riesgo tecnolgico. Gerencia de Control Interno deber: xi. xii. xiii. xiv. Apoyar en la definicin de controles para los riesgos tecnolgicos identificados. Dar consultora en materia de Control Interno (procesos, proyectos y productos). Vigilar que las polticas y procedimientos de operacin cumplan con los aspectos de Control Interno emitidos. Analizar y detectar en conjunto con el rea de Riesgo Tecnolgico los procesos con mayor exposicin al riesgo.
v1. Noviembre 2009
Apoyar en la priorizacin de los riesgos en conjunto con el rea de Riesgo Tecnolgico. Documentar los hallazgos detectados en las verificaciones de procesos y procedimientos. Dar seguimiento a la atencin de hallazgos de la Auditoras tanto Internas como Externas, as como de la CNBV o por solicitud de los rganos de Gobierno.
Gerencia de Calidad y Arquitectura de Procesos Institucional deber: i. Establecer y administrar la metodologa para la documentacin de procesos y subprocesos de acuerdo a las mejores prcticas, asegurando la consistencia operativa. Asesorar y proporcionar las herramientas necesarias a todas las reas del Instituto para la documentacin de los procesos y subprocesos que describen el quehacer de cada rea del Instituto, cuando se trate de una actualizacin, modificacin o desarrollo de un nuevo proceso de acuerdo a la Metodologa para la definicin y documentacin de los Modelos de Operacin PRO_00007. Comunicar la necesidad de hacer un anlisis de riesgos cuando se actualice, modifique o desarrolle un proceso.
ii.
iii.
VIII.Polticas
Gerencia de Riesgo Operacional i. La Gerencia ROp deber implantar a travs del manual normativo de gestin del Riesgo Tecnolgico, las polticas y procedimientos para la identificacin, evaluacin y control as como la implantacin de mtodos cualitativos y cuantitativos necesarios para evaluar el riesgo. La Gerencia ROp deber informar al menos de manera bimestral, a travs de la emisin del reporte de riesgos, a la Gerencia Sr de Riesgos, a las Subdirecciones Generales y al Comit de Riesgos acerca de las exposiciones, incidencias y el comportamiento de Indicadores relativos al riesgo tecnolgico. La Gerencia ROp revisar y actualizar el Manual Normativo de Riesgo Tecnolgico cuando menos una vez al ao y/o cuando por cambios en el Instituto se demande. La Gerencia ROp deber asesorar en materia de Riesgo Tecnolgico a los Dueos de Procesos para lograr una adecuada implementacin del presente Manual Normativo.
ii.
iii.
iv.
Dueos de Procesos i. El Dueo del Proceso deber evaluar constantemente sus procedimientos, riesgos, controles e indicadores, as como llevar a cabo las acciones correctivas que deriven de dichas revisiones como mecanismo de autocontrol. El Dueo del Proceso deber identificar y evaluar los riesgos tecnolgicos inherentes a los procesos y activos bajo su responsabilidad de acuerdo al presente manual normativo.
ii.
iii.
iv.
v.
vi.
vii.
El Dueo del Proceso podrn trabajar bajo un enfoque cualitativo siempre y cuando no se tenga incidencia del riesgo y nicamente se cuente con la experiencia del responsable del subproceso. El Dueo de Proceso deber establecer las respuestas al riesgo apropiados para la mitigacin y control cada vez que se identifique un riesgo adems de monitorear su funcionamiento. El Dueo de Proceso deber trabajar en la definicin de los controles, bajo un enfoque preventivo y proactivo, desplazando una perspectiva reactiva cada vez que se identifique una posible exposicin. El Dueo de Proceso deber reportar la incidencia de eventos de prdida as como la exposicin de posibles riesgos a la Gerencia ROp inmediatamente despus de que se hayan identificado. El Dueo de Proceso deber difundir a sus reportes de manera constante, las estrategias de cultura de Riesgo Tecnolgico que permita el xito de la implementacin correspondiente.
Gerencia de Control Interno i. La Gerencia de Control Interno deber asegurar que los controles definidos por los Dueos de Proceso se documenten como actividades en procedimientos, mitiguen al riesgo identificado a travs de la supervisin y monitoreo de stos. La Gerencia de Control Interno deber validar que los controles sugeridos sean implementados para mitigar los riesgos en tiempo y forma. Gerencia de Calidad y Arquitectura de Procesos Institucional i. La Gerencia de Calidad y Arquitectura de Procesos Institucional deber apoyar a todas las reas del Instituto en la documentacin de los procesos y subprocesos que describen el quehacer de cada rea del Instituto, cuando se trate de una actualizacin, modificacin o desarrollo de un nuevo subproceso de acuerdo con la Metodologa para la definicin y documentacin de los Modelos de Operacin PRO_00007, incluyendo la comunicacin de la necesidad de que stos cuenten con un anlisis de riesgos.
ii.
10
El haber detectados riesgos una vez no implica implica que permanezcan constantes, es un proceso dinmico y por ello su administracin es un proceso cclico. La administracin del Riesgo Tecnolgico ecnolgico debe incorporarse a las funciones del da a da del Instituto a travs de Controles e Indicadores.
b.
El Instituto requiere de una metodologa de identificacin y evaluacin del riesgo tecnolgico para determinar el grado en las amenazas potenciales pueden materializarse tomando en cuenta en su conjunto a los activos, las amenazas, amenazas las vulnerabilidades y los controles para as poder determinar el riesgo y ser capaces de administrarlo adecuadamente.
Plan de Administracin de Riesgos
Identificar Monitorear
Plan de Remediacin
La metodologa de administracin de Riesgo Tecnolgico del Instituto est basada principalmente en dos marcos de referencia generalmente aplicable y aceptado: el primero de ellos es COBIT (Control Objetives for Information and Related elated Technology) mejor prctica aplicada en material de control contro y gobernabilidad de TI emitido por ISACA (Information Systems Audit. and Control Foundation) y el segundo es ISO/IEC ISO 27001 que es el estndar para establecer, implantar, mantener y mejorar un Sistema de Gestin de Seguridad de Informacin y es emitido conjuntamente por ISO(Organizacin (Organizacin Internacional por la Normalizacin) y la IEC (International Electrotechnical Commission). Commission) 1. COBIT El uso del marco de trabajo COBIT para la administracin de riesgos, riesgos se basa en el principio de proporcionar la Informacin que el Instituto requiere para lograr sus objetivos, su necesidad de administrar y controlar los recursos de TI y sus riesgos relacionados, usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de Informacin. . El modelo de referencia ferencia COBIT se encuentra estructurado en: 1.- Requerimientos de Informacin
MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional v1. Noviembre 2009
11
Efectividad. Se refiere a que la Informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable Eficiencia. Se refiere a la provisin de Informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos Confidencialidad. Se refiere a la proteccin de Informacin sensible contra divulgacin no autorizada. Integridad. Se refiere a la precisin y suficiencia de la Informacin, as como a su validez de acuerdo con los valores y expectativas de la organizacin. Disponibilidad. Se refiere a la disponibilidad de la Informacin cuando sta es requerida. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Cumplimiento. Se refiere al ejercicio de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocio est sujeto. Confiabilidad. Se refiere a la provisin de Informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y cumplimiento.
2.- Recursos de TI Aplicaciones. Incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan Informacin. Informacin. Son los datos en todas sus formas de entrada, procesados y generados por los sistemas de Informacin, en cualquier forma en que son utilizados por el negocio. Infraestructura. Es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas de administracin de base de datos, redes, multimedia, etc., as como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Gente. Es el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de Informacin. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran. 3.- Procesos de TI Dominios Procesos Actividades COBIT est formado por objetivos de control, los cuales se encuentran asociados a riesgos por el hecho de apoyarse de tecnologa de Informacin para la operacin del Instituto. Las actividades que buscan mitigar los riesgos se encuentran divididas en 4 grandes dominios: Planeacin y Organizacin Adquisicin e Implementacin Entrega y Soporte Monitoreo
MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional v1. Noviembre 2009
12
ISO/IEC 27001 2. El uso del estndar ISO (Organizacin Internacional por la Normalizacin)/IEC 27001(International Electrotechnical Commission) para la administracin de los riesgos de Seguridad de la Informacin reforzando la proteccin de los sistemas y redes de Informacin en base a polticas, procedimientos y acciones necesarias para afrontar tales riesgos y as garantizar la disponibilidad, confidencialidad e integridad de la Informacin. La norma ISO/IEC 27001 se encuentra basado en el Ciclo PDCA (Plan, Do, Check, Act):
PLAN
ACT
DO
CHECK
1.- Plan (Planear) - Establecer que hacer y cmo para satisfacer la poltica y objetivos de seguridad de la Informacin. Informacin 2.- Do (Hacer) Poner en prctica lo planeado 3.- Check (Checar) - Verificar si se ha hecho lo planificado y si lo que se ha hecho hec es eficiente. 4.- Act (Actuar) Establecer las acciones de cmo y que mejorar. As mismo la norma indica que objetivos de control se deben tener como mejor prctica en cuestin de seguridad de la Informacin, divididos de la siguiente forma: Poltica de seguridad. seguridad Organizacin de la Seguridad de la Informacin.
MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional v1. Noviembre 2009
13
Administracin de Activos. Seguridad de Recursos Humanos. Seguridad fsica y ambiental. Administracin de comunicaciones y operaciones. Control de acceso. Adquisicin, mantenimiento y desarrollo de sistemas de Informacin. Administracin de los incidentes de seguridad de la Informacin. Administracin de la continuidad de negocio. Cumplimiento.
14
1.
Identificacin de Activos
Se denominan activos, a los recursos de Tecnologa de Informacin necesarios para que el Instituto funcione correctamente. El activo esencial es la Informacin que maneja el sistema, y alrededor de estos datos se pueden identificar otros activos relevantes como: Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos. Las aplicaciones informticas (Software) que permiten manejar los datos. Los equipos informticos (Hardware) y que permiten hospedar datos, aplicaciones y servicios. Interfases entre los sistemas. Dispositivos de almacenamiento de datos. Las redes de comunicaciones que permiten intercambiar datos. Las instalaciones donde residen los equipos informticos y de comunicaciones. Las personas que explotan u operan todos los elementos anteriormente citados. Los activos identificados deben ser documentados en un inventario, para lo cual el registro es apoyado por el RT Inventario de activos (Ver Anexo D).
15
2.
Identificacin de Amenazas
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo y obtener un extracto de las amenazas potenciales, las cuales son aplicables para la tecnologa que estamos evaluando. Una amenaza, es un agente o circunstancia capaz de explotar accidentalmente o intencionalmente una vulnerabilidad. No todas las amenazas afectan a todos los activos, sin embargo existe cierta relacin entre el tipo de activo y lo que le podra ocurrir. Es importante considerar todas aquellas fuentes de amenaza que pueden causar dao tecnolgico, como pueden ser: Naturales: Inundacin, terremotos, tornados, huracanes, derrumbes, tormentas elctricas, etc. Humanas: Acontecimientos causados por seres humanos sin intencin (entrada incorrecta de datos) o acciones deliberadas (ataques contra la seguridad, infeccin de virus, acceso no autorizado a Informacin confidencial) Ambientales: Contaminacin, apagones, entre otros. La motivacin y los recursos para realizar un ataque hacen a los seres humanos potencialmente peligrosos y existen diferentes tipos como son: Criminales computacionales Espionaje industrial Personas que pertenecen a la organizacin Las amenazas identificadas deben ser documentadas en un catlogo Institucional de amenazas tecnolgicas, para lo cual el registro es apoyado por el RT catlogo de amenazas (Ver Anexo E).
3.
Identificacin de vulnerabilidades
Consiste en determinar las vulnerabilidades que pueden ser explotadas por las amenazas y recopilar la Informacin necesaria que permita la identificacin de las vulnerabilidades que son aplicables para la tecnologa que estamos evaluando. Una vulnerabilidad es un defecto o una debilidad en procedimientos de seguridad, deficiencia en diseo o implementacin de controles internos que podran ser explotados y que resulte en una apertura de la seguridad. La identificacin de vulnerabilidades puede ser principalmente: Desarrollar una lista de requerimientos de seguridad Realizar pruebas de seguridad de los sistemas Preguntarse qu puede pasar si el evento ocurre
16
Las vulnerabilidades identificadas deben ser documentados en un catlogo Institucional de vulnerabilidades tecnolgicas, para lo cual el registro es apoyado por el RT catlogo de vulnerabilidades (Ver Anexo F).
4.
Determinacin de frecuencia
Para determinar la probabilidad de que una vulnerabilidad potencial que puede ser ejercida, se tienen que tomar en cuenta los factores como la motivacin o la capacidad de la fuente de la amenaza, as como, la naturaleza de la vulnerabilidad. La probabilidad de ocurrencia o frecuencia en que las fuentes de amenaza se presenten y exploten una vulnerabilidad potencial puede ser clasificada como: Clasificacin Frecuencia Descripcin Indica que los eventos derivados de un riesgo tecnolgico se han presentado o se pueden presentar con un comportamiento muy a menudo durante un tiempo determinado, es decir, que la incidencia de los riesgos es muy comn y constante. Indica que los riesgos identificados se han presentado o se puede presentar de manera comn dentro de un proceso tecnolgico. Indica que la incidencia del riesgo se ha presentado o se puede presentar con una repeticin frecuente durante un tiempo determinado. Indica que los riesgos identificados se han presentado o se pueden presentar de forma ocasional durante un
v1. Noviembre 2009
Esperado
Muy Probable
Probable
Poco Probable
17
Remoto
tiempo determinado. La incidencia de riesgos es inusual que se presente o incluso nunca se haba presentado una situacin similar.
5.
Determinacin de Impacto
Se denomina impacto a la medida del dao sobre el activo derivado de la materializacin de una amenaza. Para determinar el impacto se toman en cuenta diferentes factores, en los cuales la tecnologa de Informacin puede ser afectada como: Prdida de confidencialidad: se refiere a la falta de aseguramiento de que la Informacin es accesible slo para aquellos autorizados a tener acceso. Prdida de integridad: se refiere a la falta mantenimiento de la exactitud y completitud de la Informacin y sus mtodos de proceso. Prdida de disponibilidad: se refiere a la falta de acceso y utilizacin de la Informacin y los sistemas cuando se requieran. El impacto causado por una accin acertada de una amenaza puede ser clasificada de la siguiente manera: Clasificacin Impacto Descripcin Riesgos extremadamente severos que conlleva a una prdida altamente costosa que puede llevar a la prdida de ingresos o afectar totalmente el patrimonio del Instituto por eventos que se presentaron o se pueden presentar en algn momento dado. Fuerte prdida por eventos derivados de un riesgo severo que puede llegar a provocar interrupcin de una parte de las operaciones del Instituto. Prdida derivada de una posible contingencia produciendo inconvenientes significativos en el Instituto. Prdida menor derivada de riesgos que pueden llegar a provocar algn inconveniente en el Instituto. Prdida mnima derivada de riesgos que no afectan la productividad del Instituto o pueden producir o generaron inconvenientes menores.
Critico
Alto
Moderado
2 1
Bajo Menor
6.
De acuerdo a la categorizacin del riesgo por su impacto y frecuencia, se pueden graficar los riesgos para identificar aquellos que son inherentes del Instituto al usar tecnologa.
MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional v1. Noviembre 2009
18
El mapa de riesgos es uno de los medios que permiten identificar factores de riesgos y cuantificacin de frecuencias e impactos (cualitativamente) a travs de un consenso de grupos de trabajo, entrevistas, cuestionarios y evaluaciones independientes, aprovechando la estadstica disponible por incidencias o de lo contrario la experiencia de los responsables de cada rea sustantiva o de apoyo y soporte, se jerarquizan los riesgos del Instituto, determinando un punto de partida para desarrollar un marco completo para la administracin del riesgo tecnolgico. Cada cuadrante localizado en la grfica permite visualizar el nivel de exposicin que se tiene por cada una de los riesgos.
Impacto Menor 1 Esperado Muy Probable Frecuencia Probable Poco Probable Remoto 5 Medio Bajo 2 Medio Medio Moderado 3 Alto Medio Medio Medio Moderado Alto 4 Critico 5
Extremo Extremo Alto Alto Medio Medio Extremo Alto Alto Medio
4 Moderado
Clasificacin
5
Frecuencia Extremo
Alto
Medio
Moderado
Bajo
Descripcin Indica que el riesgo tiene una gran probabilidad de ocurrencia y un impacto crtico para la institucin en caso de materializarse. Indica que el riesgo tiene una alta probabilidad de ocurrencia y un fuerte impacto para la institucin en caso de materializarse. Indica que el riesgo tiene una probabilidad de ocurrencia media e impacto significativo para la institucin en caso de materializarse. Indica que el riesgo tiene cierta probabilidad de ocurrencia e impacto considerable para la institucin en caso de materializarse. Indica que el riesgo tiene una mnima probabilidad de ocurrencia e impacto menor para la institucin en caso de materializarse.
19
Al clasificar los riesgos a los que est expuesto el Instituto por frecuencia e impacto se tiene como resultado el mapa de riesgos con un listado de riesgos absolutos bajo un enfoque cualitativo.
7.
Anlisis de controles
Los controles son las medidas utilizadas para prevenir o reducir el impacto de eventos no deseados, los mtodos de control pueden ser tcnicos (hardware, software) o no tcnicos (polticas de seguridad, procedimientos administrativos y operacionales, seguridad fsica). Los controles por su naturaleza pueden ser clasificados en: Preventivo: son los que actan sobre la causa de los riesgos con el fin de disminuir su probabilidad de ocurrencia, y constituyen la primera lnea de defensa. Tambin actan para reducir la accin de los agentes generadores de riesgos Defectivo: son los que se disean para descubrir un evento, irregularidad o resultado no previsto, alertan sobre la presencia de riesgos y permiten tomar medidas inmediatas. Correctivo: son los que permiten el restablecimiento de la actividad despus de ser detectado el evento no deseable y la modificacin de las acciones que propiciaron su ocurrencia. Manual: son los ejecutados por personas. Automatizado: son los ejecutados por sistemas de Informacin. Los controles deben ser suficientes, comprensibles, eficaces y oportunos, para esto, es preciso conocer la naturaleza de los riesgos y su frecuencia, as como las consecuencias que implican para que las actividades y los procesos mantengan el rumbo del Instituto. Los controles sern establecidos y alineados en base a los objetivos de control aplicables para cada riesgo justificando en cada uno de los casos su seleccin o exclusin de acuerdo a los 4 dominios de COBIT y los controles correspondientes a los 11 dominios sealados en el estndar ISO/IEC 27001. El anlisis de la Aplicabilidad de los controles se encuentra apoyado por el documento RT Aplicabilidad de Controles (Ver Anexo H). Posteriormente para los controles aplicables se hace una ponderacin con el fin de determinar cun eficaces y maduros son los controles establecidos para mitigar los riesgos identificados, de la siguiente manera:
Ponderacin
5
Descripcin Los procedimientos y medidas de control estn formalizados y siempre son utilizados, aplicados, medidos y monitoreados. Adems de ser optimizados peridicamente.
20
4 3 2 1 0
Los procedimientos y medidas de control estn formalizados y siempre son utilizados, aplicados, medidos y monitoreados. Los procedimientos y medidas de control estn formalizados y siempre son utilizados y aplicados Los procedimientos o medidas de control no estn formalizados y no siempre son utilizados o aplicados. Se tiene conciencia sobre la necesidad de contar con procedimientos o medidas de control. No se cuenta con polticas o procedimientos.
8. Determinacin tolerancia.
del
riesgo
residual
niveles
de
Para determinar el riesgo residual se hace la ponderacin de riesgos y controles en base a los criterios establecidos anteriormente. El riesgo residual es el resultado de la operacin: Riesgo residual = Riesgo Absoluto Controles. En base al resultado del riesgo residual se establecen los niveles de tolerancia de los riesgos, clasificndolos como: Aceptable cuando el riesgo residual es menor o igual a 1. Tolerable cuando el riesgo residual es mayor a 1 y menor a 3. Por arriba de la tolerancia cuando el resultado es mayor o igual a 3. De acuerdo a los niveles de tolerancia derivados del riesgo residual se clasifican los riesgos para los cuales se necesitan medidas correctivas, fortalecimiento o monitoreo de controles de la siguiente forma: Nivel de tolerancia Descripcin Hay una fuerte necesidad de medidas correctivas. Un plan de accin correctivo se debe establecer Por arriba de la tolerancia cuanto antes. Las acciones correctivas son necesarias y un plan debe ser establecido para incorporar estas acciones Tolerable dentro de un perodo del tiempo razonable. Pueden existir oportunidades de mejora en la Aceptable implementacin de los controles y requieren monitoreo.
El registro del clculo del riesgo residual y los niveles de tolerancia es apoyado por el documento RT Riesgo Residual y Niveles de Tolerancia (Ver Anexo I)
21
de que el tiempo y los recursos no son suficientes para poder hacer frente a todos los riesgos, para lo cual el enfoque debe de perseguir la mitigacin de los riesgos ms grandes a un costo ptimo. Para una adecuada jerarquizacin se debe de tomar como base el resultado del riesgo residual del Instituto y su nivel de tolerancia (Aceptable, Tolerable y Por arriba de la tolerancia). En base a eso el rea de Riesgos valora los riesgos e informa a la Gerencia de Control Interno para que se determine el tratamiento que se le debe dar a cada uno en particular como son: a. Reducir el riesgo b. Retener el riesgo c. Evadir el riesgo d. Transferir el riesgo
vii.
Monitoreo
La ltima etapa dentro de la administracin de riesgos, es el diseo, implementacin y monitoreo de Indicadores como un medio de prediccin y seguimiento para definir niveles de ocurrencia de un riesgo. Con los Indicadores se busca medir la efectividad de las actividades de los controles establecidos bajo las caractersticas de fcil medicin, rpido acceso y alta correlacin con el riesgo, reflejando la propia incidencia del riesgo. Los Indicadores estarn alineados a los marcos de referencia de COBIT e ISO/IEC 27001, existiendo diferentes tipos de Indicadores como son: Indicadores de desempeo Indicadores de procesos Indicadores de metas de TI As mismo los Indicadores establecidos deben contar con niveles de tolerancia definidos para detectar cualquier variacin en la efectividad de los controles establecidos. Los niveles de tolerancia sern establecidos particularmente para cada Indicador o conjunto de Indicadores relacionados, clasificndolos como aceptable, tolerable e intolerable.
22
23
Dueos de Procesos
INICIO
7. Monitorea el riesgo
FIN
24
Uno de los principales retos que enfrenta el Instituto para la correcta ejecucin del procedimiento del modelo de administracin de riesgo tecnolgico, est en lograr implantar una verdadera cultura de riesgo operacional y tecnolgico, enfocada a la concientizacin en la importancia del riesgo, as como incentivar a cada una de las reas del INFONAVIT a comunicar sus propios errores. El principal factor de xito para tener una correcta administracin del riesgo tecnolgico, es trabajar bajo una cultura de administracin, estableciendo conjuntamente valores, actitudes y comportamientos tanto individuales como corporativos creando un estilo y compromiso firme ante un enfoque de creacin de valor a travs del riesgo tecnolgico. Se debe buscar la vinculacin de los objetivos particulares de cada rea, asignando responsabilidades de gestin del riesgo y juntar esfuerzos para el control y mitigacin con el fin de incentivar hacia una mejor interiorizacin y difusin de conceptos de administracin de riesgos y de Control Interno. Cabe sealar que en caso de contratar a un despacho externo para la ejecucin de alguna de las actividades del modelo de Administracin de Riesgo Tecnolgico, se deber cumplir como mnimo con esta metodologa.
XI.Marco Tecnolgico
Un requisito esencial y clave para el funcionamiento de un mtodo aceptable para la administracin del riesgo tecnolgico, es el desarrollo y consolidacin de fuentes de Informacin consistentes, precisas, integras y oportunas, a travs de un seguimiento de datos pertinente, puntal y veraz. Este se propone llevar a cabo mediante el registro de la Informacin de las exposiciones e incidencias, as como el seguimiento de los controles establecidos para el tratamiento y evolucin de los riesgos de la siguiente manera: Registro de Exposiciones La principal fuente de Informacin sobre las exposiciones de riesgo tecnolgico se obtendr durante la ejecucin cclica de la presente metodologa, que deriva en el Mapa de Riesgos Tecnolgicos del Instituto. As mismo durante la revisin de los subprocesos del Instituto, todas aquellas exposiciones derivadas por este tipo de riesgo. La Informacin de las exposiciones de riesgo deber de ser: Proceso Subproceso Aplicacin o activo Identificacin de amenazas, vulnerabilidades y riesgos de la Informacin Clasificacin o Seguridad Informtica Integridad/Disponibilidad / Confidencialidad o Telecomunicaciones o Infraestructura Tecnolgica o Procesos Operativos Evaluacin
v1. Noviembre 2009
25
o Probabilidad o Impacto Indicador Nivel de Tolerancia Control relacionado: COBIT o ISO /IEC 27001
Registro de Incidencias. La principal fuente de Informacin para el registro de Incidencias por riesgo tecnolgico, es la generada por los dueos de los procesos sobre incidentes derivados de la materializacin de un riesgo tecnolgico. La Informacin de las Incidencias de riesgo deber de ser: Nmero de Incidencia Prioridad o Menor o Bajo o Moderado o Alto o Crtico Impacto o Menor o Bajo o Moderado o Alto o Crtico o Frecuencia o Remoto o Poco Probable o Probable o Muy Probable o Esperado Descripcin Proceso Responsable Activo afectado Riesgo Relacionado Vulnerabilidad Amenaza Nivel de Aceptacin Fecha de registro Fecha de atencin Fecha de resolucin Fecha de cierre Control relacionado: COBIT o ISO/IEC 27001 Actividades derivadas Para el registro de las Incidencias se tendr el apoyo del documento RT Layout de Incidencias (Ver Anexo J).
26
Seguimiento de Controles. La fuente principal para el seguimiento a los controles se obtiene en la ejecucin cclica de la presente metodologa al obteniendo la madurez y eficacia de los controles, el riesgo residual y comparndolo con los niveles de tolerancia establecidos. El seguimiento adecuado de los controles se apoyar de la comparacin del documento RT Riesgo Residual y Niveles de Tolerancia (Ver Anexo I) Seguimiento de Indicadores. La fuente principal para el seguimiento de los Indicadores de los controles relacionados a los riesgos es la generada peridicamente por los dueos de los procesos en donde dependiendo del Indicador o conjunto de Indicadores se requiere de Informacin precisa, oportuna y medible. El seguimiento adecuado de los Indicadores de riesgo se apoyar del documento RT Indicadores (Ver Anexo K)
Los reportes peridicos de Riesgo Tecnolgico sern incluidos dentro del Reporte de Riesgo Operacional, dnde se revelar el seguimiento de las exposiciones, incidencias, e Indicadores de riesgo.
27
XII.Anexos
a. Anexo A.
Nombre del Puesto
Objetivo
Responsabilidades
28
diversos Comits y requerimientos especiales que divulgue la situacin del riesgo no discrecional (operacional, legal, tecnolgico y estratgicos) en el Infonavit con la finalidad de facilitar la gestin de los riesgos y la toma de decisiones. 7.- Determinar, dirigir, coordinar y conducir el desarrollo e implementacin de la estrategia dirigida a la ejecucin de la administracin de riesgos no discrecionales (operacionales, legales, tecnolgicos y estratgicos) enfocados hacia un marco estndar internacional como COBIT, COSO y BASILEA con la finalidad dar cumplimiento a las disposiciones regulatorias de la CNBV y mantener a la vanguardia al Instituto en la gestin de este tipo de riesgos permitiendo protegerlo de cualquier exposicin y evitar poner en riesgo el patrimonio del Instituto.
Administracin
del
Riesgo
Coordinar, desarrollar, asegurar, propiciar las actividades necesarias para identificar, evaluar, controlar e informar los diferentes riesgos a los que se encuentra expuesta el Instituto en materia de administracin de riesgos no discrecionales y riesgos estratgicos, mediante el desarrollo e instrumentacin de los sistemas de gestin y modelos cuantitativos y cualitativos necesarios para el seguimiento y control de estos riesgos y conforme a los procesos institucionales y las regulaciones externas a fin de contar con los elementos necesarios que permita a las reas, a la Direccin General, al Comit de Riesgos, H. Consejo de Administracin tomar las decisiones que correspondan as como proteger la viabilidad financiera del Instituto. Responsabilidades 1. Administrar, comunicar, establecer, evaluar los riesgos no discrecionales a los que estn expuestos los diferentes procesos de las reas del Instituto con la finalidad de controlar, comunicar y asegurar que se implementen las acciones necesarias de respuesta al riesgo para evitar prdidas econmicas al Instituto y pongan en riesgo su viabilidad financiera. 2. Asesorar, propiciar, recomendar y aprobar que las polticas, procedimientos, lineamientos y manuales publicados internamente en ARA/CNOI no tengan inherentes riesgos no discrecionales con la finalidad de que se establezcan las acciones necesarias para mitigar y evitar prdidas econmicas. 3. Coordinar, verificar, controlar, dictar y asegurar mediante polticas la Informacin registrada por eventos de riesgos no discrecionales sea oportuna, veraz y consistente para la adecuada creacin, explotacin y aplicacin de las bases de datos que se emplean para el clculo de prdida esperada e inesperada necesaria para proteger cualquier desviacin y ponga en riesgo la viabilidad financiera del Instituto. 4. Disear, determinar y establecer las estrategias de evaluacin tanto cualitativa como cuantitativa bajo estndares de mejores prcticas para la gestin integral del Riesgo no discrecionales (operacionales y legal) con cada una de las reas del Instituto relacionadas a travs del seguimiento del Mapa de Riesgos que apoyen a la toma de decisiones oportuna en el Infonavit. As mismo, comunicar los resultados correspondientes al Comit de Riesgos y al Comit de Auditora y proponer respuestas al riesgo. 5. Establecer, coordinar, proporcionar y comunicar Informacin de los riesgos no discrecionales (operacional, legal, tecnolgico y estratgicos) y sus niveles de tolerancia a travs de la extraccin y MANUAL NORMATIVO DE RIESGO TECNOLGICO v1. Noviembre 2009 Gerencia Sr de Riesgos Gerencia de Riesgo Operacional
Objetivo
29
procesamiento de Informacin de diversas bases de datos a fin de presentar a la Direccin General, Comit de Auditora y Comit de Riesgos informes con los resultados que muestren el estado que guarda el Instituto en este tipo de riesgos que orienten la toma de decisiones. 6. Planear, coordinar, desarrollar, asesorar y evaluar cada una de las actividades necesarias para llevar a cabo la actualizacin del Mapa de Riesgos Institucional necesario para detectar aquellos riesgos que pongan en riesgo la estrategia y objetivos del Instituto y de esta forma se establezcan las respuestas al riesgo necesarias para controlarlas.
Objetivo
Responsabilidades
30
proteccin, seguridad y confidencialidad de la Informacin, respaldo y recuperacin de la Informacin que se genere respecto a cada una de las operaciones del Instituto emitidos por las reas responsables para sustentar el patrimonio del Instituto y dar cumplimiento a las disposiciones en materia de riesgo tecnolgico emitidas por la CNBV. 6. Establecer y monitorear los niveles de tolerancia de exposicin al riesgo tecnolgico con el fin de administrar el riesgo residual o aceptable que no afecte o ponga en riesgo la viabilidad financiera del Instituto. 7. Comunicar al Comit de Riesgos el estado que guarda el Instituto en materia de riesgo tecnolgico de acuerdo a cada uno de los sistemas de Informacin administrados en cada una de las Subdirecciones Generales as como de los diversos procesos inherentes de acuerdo a los niveles de tolerancia autorizados con el fin de una toma de decisin apropiada para la proteccin del patrimonio del INFONAVIT. 8. Contribuir en el anlisis de impacto de procesos y funciones crticas del negocio a travs de la aplicacin de mtodos de valuacin de impactos cualitativos y cuantitativos con la finalidad de priorizar los requerimientos de disponibilidad y recuperacin de procesos para la definicin del Plan de Continuidad de Negocio y del Plan de Recuperacin de Desastres en el INFONAVIT de acuerdo a las mejores prcticas internacionales y las disposiciones regulatorias.
b. Anexo B.
A travs del Captulo IV: Administracin de Riesgos, Seccin Cuarta, Apartado B, artculo 86, apartado III, inciso b de la Circular nica de la Comisin Nacional Bancaria y de Valores, las instituciones deber como mnimo desarrollar las siguientes funciones de la administracin del riesgo tecnolgico: 1. Evaluar la vulnerabilidad en el HW, SW, sistemas, aplicaciones, seguridad, recuperacin de Informacin y redes, por errores en el procesamiento u operativos, fallas en procesamientos, capacidades inadecuadas e insuficientes de los controles instalados, entre otros. 2. Considerar en la implementacin de controles internos, cuando menos en los siguientes aspectos: i. Mantener polticas y procedimientos que aseguren en todo momento el nivel de calidad de servicio y la seguridad e integridad de la Informacin; lo anterior con especial nfasis cuando el Instituto contrate la prestacin de servicios por parte de proveedores externos para el procesamiento y almacenamiento de dicha Informacin. ii. Asegurar que cada operacin o actividad realizada por los usuarios deje constancia electrnica que conforme registros de auditora. iii. Implementar mecanismos que midan y aseguren niveles de disponibilidad y tiempos de respuesta, que garanticen la adecuada ejecucin de las operaciones y servicios realizados por el Instituto. 3. En caso de mantener canales de distribucin para operaciones bancarias con clientes realizadas a travs de la red electrnica mundial denominada Internet, cajeros automticos, banca electrnica, sucursales, entre otros, debern en lo conducente:
31
Establecer medidas y controles necesarios que permitan asegurar confidencialidad en la generacin, almacenamiento, transmisin y recepcin de las claves de identificacin y acceso para los usuarios. ii. Implementar medidas de control que garanticen la proteccin, seguridad y confidencialidad de la Informacin generada por la realizacin de operaciones bancarias a travs de cualquier medio tecnolgico. iii. Contar con esquemas de control y polticas de operacin, automatizacin y acceso a los sistemas, bases de datos y aplicaciones implementadas para la realizacin de operaciones bancarias a travs de cualquier medio tecnolgico. iv. Incorporar los medios adecuados para respaldar y, en su caso, recuperar la Informacin que se genere respecto de las operaciones bancarias que se realicen a travs de cualquier medio tecnolgico. v. Disear planes de contingencia, a fin de asegurar la capacidad y continuidad de los sistemas implementados para la celebracin de operaciones bancarias, a travs de cualquier medio tecnolgico. vi. Establecer mecanismos para la identificacin y resolucin de aquellos actos o eventos que pueden generarle a la Institucin, riesgos derivados de: vi.1. Comisin de hechos, actos u operaciones fraudulentas a travs de medios tecnolgicos. vi.2. Contingencias generadas en los sistemas relacionados con los servicios bancarios prestados y operaciones celebradas a travs de cualquier medio tecnolgico. vi.3. El uso inadecuado por parte de los usuarios de los canales de distribucin antes mencionados, para operar con la Institucin, a travs de los medios citados en el presente artculo.
i.
32
RT Aplicabilidad de Controles.xls
k. Anexo K. RT Indicadores
RT Indicadores.xlsx
33