Manual Normativode Riesgo Tecnologico

Manual Normativo de Riesgo Tecnolgico
Subdireccin General de Planeacin y Finanzas Coordinacin de Riesgos
Octubre 2009
INDICE I. II. Antecedentes ..................................................................................................... 3 Objetivos........................................................................................................... 4 a. Objetivo General................................................................................................... 4 b. Objetivos Particulares ........................................................................................... 4 III. Alcance ............................................................................................................. 4 IV. Definicin y terminologa................................................................................. 4 a. Definicin de Riesgo Tecnolgico ....................................................................... 4 b. Terminologa ........................................................................................................ 4 V. Organizacin de la Gerencia de Riesgo Operacional ....................................... 6 VI. Marco Jurdico .................................................................................................. 6 VII. Funciones y Responsabilidades ........................................................................ 7 VIII. Polticas ............................................................................................................ 9 IX. Marco Metodolgico ...................................................................................... 10 a. Introduccin ........................................................................................................ 10 b. Modelo de Administracin del Riesgo Tecnolgico .......................................... 11 i. Definicin del alcance ..................................................................................... 14 ii. Criterios de evaluacin, impacto y aceptacin de riesgos ............................ 14 iii. Identificacin de riesgos............................................................................... 15 1. Identificacin de Activos .......................................................................... 15 2. Identificacin de Amenazas ..................................................................... 16 3. Identificacin de vulnerabilidades ............................................................ 16 iv. Evaluacin de riesgos ................................................................................... 17 4. Determinacin de frecuencia .................................................................... 17 5. Determinacin de Impacto........................................................................ 18 6. Mapa de riesgos tecnolgicos ................................................................... 18 7. Anlisis de controles ................................................................................. 20 8. Determinacin del riesgo residual y niveles de tolerancia. ...................... 21 v. Priorizacin y tratamiento del riesgo ........................................................... 21 vi. Plan de Tratamiento de Riesgos ................................................................... 22 vii. Monitoreo ..................................................................................................... 22 X. Procedimiento del modelo de administracin de Riesgo Tecnolgico........... 23 XI. Marco Tecnolgico ......................................................................................... 25 XII. Anexos ............................................................................................................ 28 a. Anexo A.............................................................................................................. 28 b. Anexo B. ............................................................................................................. 31 c. Anexo C. RT Identificacin de Riesgos ......................................................... 32 d. Anexo D. RT Inventario de activos ................................................................ 32 e. Anexo E. RT Catlogo de amenazas ............................................................... 32 f. Anexo F. RT Catlogo de vulnerabilidades .................................................... 33 g. Anexo G. RT Anlisis de riesgos .................................................................... 33 h. Anexo H. RT Riesgo Residual y Niveles de Tolerancia ................................. 33 i. Anexo I. RT Layout de Incidencias ................................................................ 33 j. Anexo J. RT Indicadores................................................................................. 33
MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional
v1. Noviembre 2009
I. Antecedentes
El avance acelerado al que se han enfrentado diversas organizaciones est estrechamente vinculado con el incremento en el uso de la tecnologa de la Informacin as como la evolucin en la forma de su utilizacin. Este progreso ha permitido que la tecnologa de Informacin se convierta en una herramienta trascendental para disear e implementar mejores y ms efectivos procesos, generando oportunidades de crecimiento as como la posibilidad de contar con Informacin veraz y oportuna para una eficaz toma de decisiones. Sin embargo, esto conlleva a tener una dependencia en la Informacin y en los sistemas que la proporcionan. Este tipo de dependencia trae consigo una serie de riesgos inherentes que las organizaciones deben de enfrentar, a estas exposiciones se les conoce como riesgo tecnolgico. Dicho riesgo es parte complementaria al riesgo operacional (definido dentro del Manual Normativo de Riesgo Operacional), el cual mientras exista este entorno, su gestin desempear un papel crtico y esencial dentro de las operaciones como factor de control estratgico. El INFONAVIT no es la excepcin y la mayor parte de sus operaciones se encuentran sobre una estructura tecnolgica, con lo cual se hace ms eficiente y oportuna la atencin a los derechohabientes y acreditados, sin embargo se est expuesto a problemas inherentes a dichas operaciones los cuales pueden materializarse al no contar con una adecuada administracin del riesgo tecnolgico. Por tal razn, es de inters del Instituto desarrollar actividades para la administracin del Riesgo Tecnolgico como una prctica adicional a la administracin integral de riesgos en el INFONAVIT que conlleve a minimizar los posibles impactos negativos por su uso y desarrollar una estrategia basada en riesgo tecnolgicos que permita fortalecer el proceso de toma de decisiones. Para llevar al Instituto a un estndar internacional en materia de Riesgo Tecnolgico, se recomienda observar las mejores prcticas establecidas por el Comit de Basilea as como COBIT (Control Objetives for Information and Related Technology) e ISO (Organizacin Internacional por la Normalizacin)/IEC 27001(International Electrotechnical Commission) para su mejor administracin y gobierno. Asimismo es inters del INFONAVIT considerar el marco regulatorio definidos por la Comisin Nacional Bancaria y de Valores (CNBV).
v1. Noviembre 2009
II. Objetivos
a. Objetivo General
El objetivo del Manual Normativo de Riesgo Tecnolgico es la de concientizar a los dueos de los procesos y a los responsables de los sistemas de Informacin de la existencia de riesgos y de la necesidad de mitigarlos a tiempo, ofreciendo un mtodo sistemtico de trabajo definido y repetible para el anlisis y evaluacin de tales riesgos, para ayudar a descubrir y planificar las medidas oportunas para mantener los riegos de TI bajo control de acuerdo a las mejores prcticas.
b.
Objetivos Particulares
Preparar al Instituto para el proceso de administracin de Riesgo Tecnolgico en base a un marco de referencia constituido de las mejores prcticas como COBIT e ISO/IEC 27001 buscando la uniformidad en el marco de trabajo para le gestin del Riesgo Tecnolgico. Contar con un mtodo para poder identificar, evaluar, administrar, controlar y reportar los riesgos tecnolgicos que enfrenta el Instituto, con el fin de mitigar o eliminar el posible impacto negativo de dichos riesgos en Instituto.
III.Alcance
De aplicacin general para todas las reas del Instituto y los procesos que tengan implcito un riesgo tecnolgico. Advertencia: El contenido del presente manual es responsabilidad de la Gerencia de Riesgo Operacional, perteneciente a la Gerencia Sr. de Riesgos. Cualquier accin de cambio o alteracin, sin la aprobacin correspondiente de la Gerencia Sr de Riesgos, ser sancionada acorde al Cdigo de tica del Instituto.
IV.Definicin y terminologa
a. Definicin de Riesgo Tecnolgico
El Riesgo Tecnolgico es la prdida potencial por daos, interrupcin, alteracin o fallas derivadas del uso o dependencia en el hardware, software, sistemas, aplicaciones, redes y cualquier otro canal de distribucin de Informacin que el Instituto dispone para prestar sus servicios.
b.
Activo
Terminologa
Recursos del sistema de Informacin o relacionados con ste, necesarios para que el Instituto funcione correctamente. Administracin Integral Conjunto de objetivos, polticas, procedimientos y acciones de Riesgos que se llevan a cabo para identificar, medir, vigilar, limitar, controlar, informar y revelar los distintos riesgos a que se
MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional v1. Noviembre 2009
encuentra expuesto el Instituto. Amenaza Agente o circunstancia capaz de explotar una o ms vulnerabilidades. COBIT (Control Objetives for Information and Related Technology) mejor prctica aplicada en material de control y seguridad de TI emitido por ISACA (Information Systems Audit and Control Foundation) Confidencialidad Proteccin de datos personales o Informacin clasificada como confidencial en trminos de los Lineamientos de Transparencia y Acceso a la Informacin del Instituto, por lo cual su divulgacin no est autorizada. Control Polticas, procedimientos, prcticas y estructuras organizacionales diseadas para procurar que los objetivos del negocio sean alcanzados y que los riesgos detectados sean prevenidos, detectados o corregidos. Disponibilidad Acceso y utilizacin de la Informacin y los sistemas cuando se requieran. Dueo de Proceso Gerente responsable del diseo, aprobacin e implementacin de un proceso y subproceso especfico. Evento Es algo que sucede en un lugar y tiempo particular. Hardware Componentes fsicos de un sistema computacional. Indicador Definicin de datos que ayudan a medir objetivamente la evolucin de una actividad o una tarea, as como la efectividad de un control para mitigar un riesgo. Informacin Cualquier forma de registro electrnico, ptico, magntico o en otros medios similares, susceptible de ser procesada, distribuida y almacenada. Instituto Instituto del Fondo Nacional de la Vivienda para los Trabajadores (INFONAVIT) Integridad Mantenimiento de la exactitud y completitud de la Informacin y sus mtodos de proceso. ISO /IEC 27001 Estndar para la seguridad de la Informacin publicado como por International Organization for Standardization (ISO) y por la International Electrotechnical Commission (IEC). Nivel de tolerancia al Es la magnitud permisible de exposicin a un riesgo no riesgo discrecional para el Instituto en su totalidad. Proceso Conjunto ordenado de etapas y pasos con caractersticas de accin interrelacionada, dinmica y progresiva que concluye con la obtencin de un resultado. Riesgo Es la exposicin a la posibilidad de ocurrencia de eventos tales como prdida o ganancia econmica, dao fsico, retrasos, etc., que surgen como consecuencia de seguir un curso particular de accin. El concepto de riesgo tiene dos elementos: la probabilidad de que algo ocurra y las consecuencias de si esto ocurre (impacto o severidad). Riesgo Operacional Es aquel que puede provocar prdidas directas o indirectas como resultado de errores humanos, procesos internos inadecuados o defectuosos, controles internos inadecuados,
Riesgo residual Seguridad
Software
Vulnerabilidad
fallas en los sistemas y a consecuencia de acontecimientos externos originados dentro de la propia operacin del Instituto Instituto. El riesgo asociado con un evento despus de que un control se est llevando a cabo. Actividades encaminadas a preservar la confidencialidad, integridad y disponibilidad de la Informacin, Informacin as como de los sistemas implicados en su tratamiento. E un conjunto de programas, documentos, procedimientos, Es y rutinas asociadas con la operacin de un sistema computacional. Debilidades o defectos en la infraestructura de seguridad de una organizacin.
V.Organizacin Organizacin de la Gerencia de Riesgo Operacional
Gerencia de Riesgo Operacional
Consultor JR Administracin del Riesgo Operacional
Consultor JR Riesgo Tecnolgico
Para consultar la descripcin de cada uno de los puestos que integran la Gerencia de Riesgo Operacional y Legal (Ver Anexo A).
VI. Marco Jurdico

Interno a. b. c. d. Ley del INFONAVIT Estatuto Orgnico1, artculo 22. Manual Integral de Administracin de Riesgos Lineamientos en Materia de Control Interno, en los puntos: punto 10.- Plan de Continuidad 12.- La autorizacin y procesamiento de las operaciones por personal facultado 15.- Asegurar que en materia de Tecnologas de la Informacin (T.I.):
En la sesin extraordinaria nmero 88, celebrada el 29 de agosto de 2005, la H. Asamblea General del INFONAVIT tom el acuerdo nmero 1221, mediante el cual se aprobaron las reformas reformas al Estatuto Orgnico del Instituto del Fondo Nacional de la Vivienda para los Trabajadores.
v1. Noviembre 2009
i. Que existan mecanismos de seguridad e integridad de la Informacin. ii. Que existan mecanismos para prevenir el acceso y uso indebido. iii. Que se encuentren documentados y actualizados los procesos, aplicaciones y metodologas. iv. Que tengan procesos de prueba previos a la operacin. v. Que exista un Programa de Contingencias actualizado y difundido, que asegure el respaldo y recuperacin de la Informacin y de los sistemas. vi. Que existan convenios de niveles de servicio. vii. Que se cuente con licencias y autorizaciones para T. I. viii. Que se incorporen mecanismos, medidas y controles previstos por la Contralora Interna para propiciar su cumplimiento. e. Lineamientos de Seguridad de la Informacin. Externa
a. Ante la ausencia de un marco legal aplicable al Instituto en materia de

Administracin Integral de Riesgos, ste ha procurado adoptar e implementar las mejores prcticas en dicha materia, apegndose, en todo momento, a su naturaleza y marco jurdico particular, tomando en consideracin las disposiciones contenidas en la Circular nica de Bancos, Ttulo segundo, Captulo IV: Administracin de Riesgos; que el Instituto desarrollar en el marco de sus facultades para administrar el Riesgo tecnolgico. (Ver Anexo B)
VII.Funciones y Responsabilidades
La Gerencia de Riesgo Operacional deber: i. Proponer el marco de gestin del Riesgo Tecnolgico, as como, las polticas y procedimientos para la identificacin, evaluacin y control, as como, la implantacin de mtodos cualitativos y cuantitativos que permitan permear una cultura de riesgos en el Instituto. Definir el alcance de la identificacin y evaluacin de riesgos. Coordinar con los responsables de los procesos y/o subprocesos el cumplimiento del presente Manual Normativo, de forma que se complementen los Lineamientos en Materia de Control Interno. Informar al menos de manera bimestral a travs del reporte de riesgos, acerca de las exposiciones, incidencias y comportamiento de Indicadores relativos al riesgo tecnolgico a la Gerencia Sr de Riesgos, Subdirecciones Generales, al Comit de Riesgos y al Comit de Auditora. Revisar y actualizar el Manual Normativo de Riesgo Tecnolgico, cuando menos, una vez al ao y/o cuando por cambios en el Instituto lo demande.
ii. iii.
iv.
v.
v1. Noviembre 2009
Consultor Jr. de Riesgo Tecnolgico deber: i. ii. iii. iv. v. vi. Capacitar al Dueo de Proceso, cuando lo requiera, para identificar y evaluar los riesgos tecnolgicos inherentes de acuerdo al presente manual normativo. Apoyar a los responsables facultados, del tratamiento de los riesgos a desarrollar (remediar, monitorear u optimizar el control). Seguimiento y retroalimentacin de las respuestas de riesgo. Anlisis de desviaciones en Riesgo Tecnolgico. Definir y monitorear los Indicadores por Riesgo Tecnolgico. Disear, desarrollar e implementar una base de datos histrica de exposicin de riesgos, identificada en cada activo y subproceso, as como, de las incidencias por Riesgo Tecnolgico. Actualizar al menos una vez al mes la base de datos por riesgo tecnolgico, a travs del registro de incidencias que se tengan por conocimiento de las diferentes fuentes de Informacin y en su caso verificar que el monto de prdida est reflejado dentro de la contabilidad del Instituto.
vii.
Los Dueos de Proceso debern: i. Identificar y evaluar los riesgos tecnolgicos inherentes a su proceso. ii. Determinar las causas y efectos derivados de los riesgos identificados. iii. Reportar la incidencia de eventos derivados de un riesgo tecnolgico en cada rea del Instituto. iv. Participar en las sesiones de medicin y cuantificacin del riesgo tecnolgico. v. Implementar, aplicar, mantener y actualizar el Sistema de Control Interno, cuyas acciones preventivas y correctivas, permitirn la mitigacin y control del riesgo tecnolgico. vi. Elaborar, establecer y dar mantenimiento a las polticas y procedimientos que afecten a su rea. vii. Proporcionar Informacin relacionada con el seguimiento en las acciones referentes a las respuestas de Riesgos Tecnolgicos. viii. Proporcionar la Informacin relacionada a cada uno de los Indicadores de los Riesgos Tecnolgicos detectados. ix. Mantener una estrecha comunicacin con su rea as como con la Gerencia ROp de cualquier ndole en relacin al riesgo tecnolgico que contribuya a una mejora continua as como de Control Interno. x. Informar, difundir e implementar a sus reportes las estrategias de cultura de riesgo tecnolgico. Gerencia de Control Interno deber: xi. xii. xiii. xiv. Apoyar en la definicin de controles para los riesgos tecnolgicos identificados. Dar consultora en materia de Control Interno (procesos, proyectos y productos). Vigilar que las polticas y procedimientos de operacin cumplan con los aspectos de Control Interno emitidos. Analizar y detectar en conjunto con el rea de Riesgo Tecnolgico los procesos con mayor exposicin al riesgo.
v1. Noviembre 2009
xv. xvi. xvii.
Apoyar en la priorizacin de los riesgos en conjunto con el rea de Riesgo Tecnolgico. Documentar los hallazgos detectados en las verificaciones de procesos y procedimientos. Dar seguimiento a la atencin de hallazgos de la Auditoras tanto Internas como Externas, as como de la CNBV o por solicitud de los rganos de Gobierno.
Gerencia de Calidad y Arquitectura de Procesos Institucional deber: i. Establecer y administrar la metodologa para la documentacin de procesos y subprocesos de acuerdo a las mejores prcticas, asegurando la consistencia operativa. Asesorar y proporcionar las herramientas necesarias a todas las reas del Instituto para la documentacin de los procesos y subprocesos que describen el quehacer de cada rea del Instituto, cuando se trate de una actualizacin, modificacin o desarrollo de un nuevo proceso de acuerdo a la Metodologa para la definicin y documentacin de los Modelos de Operacin PRO_00007. Comunicar la necesidad de hacer un anlisis de riesgos cuando se actualice, modifique o desarrolle un proceso.
ii.
iii.
VIII.Polticas
Gerencia de Riesgo Operacional i. La Gerencia ROp deber implantar a travs del manual normativo de gestin del Riesgo Tecnolgico, las polticas y procedimientos para la identificacin, evaluacin y control as como la implantacin de mtodos cualitativos y cuantitativos necesarios para evaluar el riesgo. La Gerencia ROp deber informar al menos de manera bimestral, a travs de la emisin del reporte de riesgos, a la Gerencia Sr de Riesgos, a las Subdirecciones Generales y al Comit de Riesgos acerca de las exposiciones, incidencias y el comportamiento de Indicadores relativos al riesgo tecnolgico. La Gerencia ROp revisar y actualizar el Manual Normativo de Riesgo Tecnolgico cuando menos una vez al ao y/o cuando por cambios en el Instituto se demande. La Gerencia ROp deber asesorar en materia de Riesgo Tecnolgico a los Dueos de Procesos para lograr una adecuada implementacin del presente Manual Normativo.
ii.
iii.
iv.
Dueos de Procesos i. El Dueo del Proceso deber evaluar constantemente sus procedimientos, riesgos, controles e indicadores, as como llevar a cabo las acciones correctivas que deriven de dichas revisiones como mecanismo de autocontrol. El Dueo del Proceso deber identificar y evaluar los riesgos tecnolgicos inherentes a los procesos y activos bajo su responsabilidad de acuerdo al presente manual normativo.
ii.
v1. Noviembre 2009
iii.
iv.
v.
vi.
vii.
El Dueo del Proceso podrn trabajar bajo un enfoque cualitativo siempre y cuando no se tenga incidencia del riesgo y nicamente se cuente con la experiencia del responsable del subproceso. El Dueo de Proceso deber establecer las respuestas al riesgo apropiados para la mitigacin y control cada vez que se identifique un riesgo adems de monitorear su funcionamiento. El Dueo de Proceso deber trabajar en la definicin de los controles, bajo un enfoque preventivo y proactivo, desplazando una perspectiva reactiva cada vez que se identifique una posible exposicin. El Dueo de Proceso deber reportar la incidencia de eventos de prdida as como la exposicin de posibles riesgos a la Gerencia ROp inmediatamente despus de que se hayan identificado. El Dueo de Proceso deber difundir a sus reportes de manera constante, las estrategias de cultura de Riesgo Tecnolgico que permita el xito de la implementacin correspondiente.
Gerencia de Control Interno i. La Gerencia de Control Interno deber asegurar que los controles definidos por los Dueos de Proceso se documenten como actividades en procedimientos, mitiguen al riesgo identificado a travs de la supervisin y monitoreo de stos. La Gerencia de Control Interno deber validar que los controles sugeridos sean implementados para mitigar los riesgos en tiempo y forma. Gerencia de Calidad y Arquitectura de Procesos Institucional i. La Gerencia de Calidad y Arquitectura de Procesos Institucional deber apoyar a todas las reas del Instituto en la documentacin de los procesos y subprocesos que describen el quehacer de cada rea del Instituto, cuando se trate de una actualizacin, modificacin o desarrollo de un nuevo subproceso de acuerdo con la Metodologa para la definicin y documentacin de los Modelos de Operacin PRO_00007, incluyendo la comunicacin de la necesidad de que stos cuenten con un anlisis de riesgos.
ii.
IX. Marco Metodolgico

a. Introduccin
La administracin de riesgos es el proceso en el que se identifican sistemticamente, se evalan y controlan los eventos no deseados que pueden ocasionar un cambio tecnolgico considerando lo siguiente: Tiene que haber un cambio en el entendimiento de los procesos y sistematizacin del anlisis de dependencias y riesgos de tecnologa de Informacin. Continuamente se est en una nueva era de peligros, regulaciones y oportunidades. Se requiere detectar los riesgos actuales, permitiendo conocer las amenazas y debilidades y convertirlas en oportunidades y fortalezas El no detectar el riesgo no implica que no exista.
10
El haber detectados riesgos una vez no implica implica que permanezcan constantes, es un proceso dinmico y por ello su administracin es un proceso cclico. La administracin del Riesgo Tecnolgico ecnolgico debe incorporarse a las funciones del da a da del Instituto a travs de Controles e Indicadores.
b.
Modelo o de Administracin del Riesgo Tecnolgico
El Instituto requiere de una metodologa de identificacin y evaluacin del riesgo tecnolgico para determinar el grado en las amenazas potenciales pueden materializarse tomando en cuenta en su conjunto a los activos, las amenazas, amenazas las vulnerabilidades y los controles para as poder determinar el riesgo y ser capaces de administrarlo adecuadamente.
Plan de Administracin de Riesgos
Identificar Monitorear
Evaluar Ejecutar Priorizar
Plan de Remediacin
La metodologa de administracin de Riesgo Tecnolgico del Instituto est basada principalmente en dos marcos de referencia generalmente aplicable y aceptado: el primero de ellos es COBIT (Control Objetives for Information and Related elated Technology) mejor prctica aplicada en material de control contro y gobernabilidad de TI emitido por ISACA (Information Systems Audit. and Control Foundation) y el segundo es ISO/IEC ISO 27001 que es el estndar para establecer, implantar, mantener y mejorar un Sistema de Gestin de Seguridad de Informacin y es emitido conjuntamente por ISO(Organizacin (Organizacin Internacional por la Normalizacin) y la IEC (International Electrotechnical Commission). Commission) 1. COBIT El uso del marco de trabajo COBIT para la administracin de riesgos, riesgos se basa en el principio de proporcionar la Informacin que el Instituto requiere para lograr sus objetivos, su necesidad de administrar y controlar los recursos de TI y sus riesgos relacionados, usando un conjunto estructurado de procesos que ofrezcan los servicios requeridos de Informacin. . El modelo de referencia ferencia COBIT se encuentra estructurado en: 1.- Requerimientos de Informacin
11
Efectividad. Se refiere a que la Informacin relevante sea pertinente para el proceso del negocio, as como a que su entrega sea oportuna, correcta, consistente y de manera utilizable Eficiencia. Se refiere a la provisin de Informacin a travs de la utilizacin ptima (ms productiva y econmica) de recursos Confidencialidad. Se refiere a la proteccin de Informacin sensible contra divulgacin no autorizada. Integridad. Se refiere a la precisin y suficiencia de la Informacin, as como a su validez de acuerdo con los valores y expectativas de la organizacin. Disponibilidad. Se refiere a la disponibilidad de la Informacin cuando sta es requerida. Tambin se refiere a la salvaguarda de los recursos necesarios y capacidades asociadas. Cumplimiento. Se refiere al ejercicio de aquellas leyes, regulaciones y acuerdos contractuales a los que el proceso de negocio est sujeto. Confiabilidad. Se refiere a la provisin de Informacin apropiada para la administracin con el fin de operar la entidad y para ejercer sus responsabilidades de reportes financieros y cumplimiento.
2.- Recursos de TI Aplicaciones. Incluyen tanto sistemas de usuario automatizados como procedimientos manuales que procesan Informacin. Informacin. Son los datos en todas sus formas de entrada, procesados y generados por los sistemas de Informacin, en cualquier forma en que son utilizados por el negocio. Infraestructura. Es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas de administracin de base de datos, redes, multimedia, etc., as como el sitio donde se encuentran y el ambiente que los soporta) que permiten el procesamiento de las aplicaciones. Gente. Es el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar, monitorear y evaluar los sistemas y los servicios de Informacin. Estas pueden ser internas, por outsourcing o contratadas, de acuerdo a como se requieran. 3.- Procesos de TI Dominios Procesos Actividades COBIT est formado por objetivos de control, los cuales se encuentran asociados a riesgos por el hecho de apoyarse de tecnologa de Informacin para la operacin del Instituto. Las actividades que buscan mitigar los riesgos se encuentran divididas en 4 grandes dominios: Planeacin y Organizacin Adquisicin e Implementacin Entrega y Soporte Monitoreo
12
ISO/IEC 27001 2. El uso del estndar ISO (Organizacin Internacional por la Normalizacin)/IEC 27001(International Electrotechnical Commission) para la administracin de los riesgos de Seguridad de la Informacin reforzando la proteccin de los sistemas y redes de Informacin en base a polticas, procedimientos y acciones necesarias para afrontar tales riesgos y as garantizar la disponibilidad, confidencialidad e integridad de la Informacin. La norma ISO/IEC 27001 se encuentra basado en el Ciclo PDCA (Plan, Do, Check, Act):
PLAN
ACT
DO
CHECK
1.- Plan (Planear) - Establecer que hacer y cmo para satisfacer la poltica y objetivos de seguridad de la Informacin. Informacin 2.- Do (Hacer) Poner en prctica lo planeado 3.- Check (Checar) - Verificar si se ha hecho lo planificado y si lo que se ha hecho hec es eficiente. 4.- Act (Actuar) Establecer las acciones de cmo y que mejorar. As mismo la norma indica que objetivos de control se deben tener como mejor prctica en cuestin de seguridad de la Informacin, divididos de la siguiente forma: Poltica de seguridad. seguridad Organizacin de la Seguridad de la Informacin.
13
Administracin de Activos. Seguridad de Recursos Humanos. Seguridad fsica y ambiental. Administracin de comunicaciones y operaciones. Control de acceso. Adquisicin, mantenimiento y desarrollo de sistemas de Informacin. Administracin de los incidentes de seguridad de la Informacin. Administracin de la continuidad de negocio. Cumplimiento.
i. Definicin del alcance

El primer paso es definir el alcance para determinar los lmites de la evaluacin, los recursos y la Informacin existente. La definicin del alcance del anlisis de riesgos se realiza considerando: Los objetivos estratgicos del Instituto y sus polticas. Los procesos de negocio Institucionales. Las funciones y estructura organizacional. Requerimientos legales, contractuales y normativos. La poltica de seguridad institucional. El enfoque general institucional para la valoracin del riesgo. Los activos de Informacin crticos. Recursos disponibles (financieros, humanos).
ii. Criterios de evaluacin, impacto y aceptacin de riesgos

Previo a la Identificacin es necesario establecer los criterios de evaluacin, criterios de impacto y de aceptacin del riesgo. Dichos criterios sern establecidos considerando lo siguiente: a. Criterios de evaluacin: i. La criticidad del activo de Informacin involucrado. ii. Requerimientos legales, regulatorios y contractuales. iii. Importancia en la operacin y en el negocio de la disponibilidad, confidencialidad y disponibilidad. iv. Expectativas y percepciones de las partes interesadas y consecuencias negativas sobre la imagen y reputacin. b. Criterios de impacto: i. Niveles de clasificacin de los activos de Informacin impactados.(magnitud del impacto) ii. Brechas en la seguridad de la Informacin (impacto a la confidencialidad, integridad y disponibilidad). iii. Problemas en la operacin. iv. Prdida del valor del negocio o financieras. v. Alteracin de planes o fechas de entrega. vi. Brechas legales, regulatorias o requerimientos contractuales. c. Criterio de aceptacin del riesgo: i. Criterios del negocio. ii. Aspectos legales, regulatorios y legales.
14
iii. iv. v. vi.
Operaciones. Tecnologa. Finanzas. Factores Sociales.
iii. Identificacin de riesgos

El levantamiento de riesgos se basa en la aplicacin de cuestionarios y entrevistas, revisin de documentos del Instituto, reportes de auditora o anlisis previos. As mismo es importante remarcar que al utilizar como marcos de referencia COBIT e ISO/IEC 27001 tambin se cubrirn los riesgos tecnolgicos relacionados en sus objetivos de control que sean aplicables al Instituto. Identificar dentro de la gestin de Riesgo Tecnolgico, consiste en ubicar los activos a evaluar y determinar sus amenazas y vulnerabilidades. As al tener identificados los activos, amenazas y vulnerabilidades llegamos a lo que es un riesgo tecnolgico el cual se define como el potencial de que dada una amenaza, explote una vulnerabilidad en un activo o grupo de activos para causar prdidas o daos a esos activos. Riesgo = Activo * Amenaza * Vulnerabilidad La identificacin de riesgos se apoya del formato RT Identificacin de Riesgos (Ver Anexo C) bajo el cual se utilizar para documentar las exposiciones a las cuales se est expuesto.
1.
Identificacin de Activos
Se denominan activos, a los recursos de Tecnologa de Informacin necesarios para que el Instituto funcione correctamente. El activo esencial es la Informacin que maneja el sistema, y alrededor de estos datos se pueden identificar otros activos relevantes como: Los servicios que se pueden prestar gracias a aquellos datos, y los servicios que se necesitan para poder gestionar dichos datos. Las aplicaciones informticas (Software) que permiten manejar los datos. Los equipos informticos (Hardware) y que permiten hospedar datos, aplicaciones y servicios. Interfases entre los sistemas. Dispositivos de almacenamiento de datos. Las redes de comunicaciones que permiten intercambiar datos. Las instalaciones donde residen los equipos informticos y de comunicaciones. Las personas que explotan u operan todos los elementos anteriormente citados. Los activos identificados deben ser documentados en un inventario, para lo cual el registro es apoyado por el RT Inventario de activos (Ver Anexo D).
v1. Noviembre 2009
15
2.
Identificacin de Amenazas
El siguiente paso consiste en determinar las amenazas que pueden afectar a cada activo y obtener un extracto de las amenazas potenciales, las cuales son aplicables para la tecnologa que estamos evaluando. Una amenaza, es un agente o circunstancia capaz de explotar accidentalmente o intencionalmente una vulnerabilidad. No todas las amenazas afectan a todos los activos, sin embargo existe cierta relacin entre el tipo de activo y lo que le podra ocurrir. Es importante considerar todas aquellas fuentes de amenaza que pueden causar dao tecnolgico, como pueden ser: Naturales: Inundacin, terremotos, tornados, huracanes, derrumbes, tormentas elctricas, etc. Humanas: Acontecimientos causados por seres humanos sin intencin (entrada incorrecta de datos) o acciones deliberadas (ataques contra la seguridad, infeccin de virus, acceso no autorizado a Informacin confidencial) Ambientales: Contaminacin, apagones, entre otros. La motivacin y los recursos para realizar un ataque hacen a los seres humanos potencialmente peligrosos y existen diferentes tipos como son: Criminales computacionales Espionaje industrial Personas que pertenecen a la organizacin Las amenazas identificadas deben ser documentadas en un catlogo Institucional de amenazas tecnolgicas, para lo cual el registro es apoyado por el RT catlogo de amenazas (Ver Anexo E).
3.
Identificacin de vulnerabilidades
Consiste en determinar las vulnerabilidades que pueden ser explotadas por las amenazas y recopilar la Informacin necesaria que permita la identificacin de las vulnerabilidades que son aplicables para la tecnologa que estamos evaluando. Una vulnerabilidad es un defecto o una debilidad en procedimientos de seguridad, deficiencia en diseo o implementacin de controles internos que podran ser explotados y que resulte en una apertura de la seguridad. La identificacin de vulnerabilidades puede ser principalmente: Desarrollar una lista de requerimientos de seguridad Realizar pruebas de seguridad de los sistemas Preguntarse qu puede pasar si el evento ocurre
v1. Noviembre 2009
16
Las vulnerabilidades identificadas deben ser documentados en un catlogo Institucional de vulnerabilidades tecnolgicas, para lo cual el registro es apoyado por el RT catlogo de vulnerabilidades (Ver Anexo F).
iv. Evaluacin de riesgos

La evaluacin de riesgos se basa en la medicin del impacto y la frecuencia que se determinan en funcin de escenarios o criterios de categorizacin; es decir, clasificar el riesgo segn su grado de afectacin y estimacin de la periodicidad de ocurrencia dentro de un proceso para un rea. Es una medicin subjetiva dado a que se especifica con base a la experiencia y sensibilidad que tenga el responsable del proceso en su rea por lo que no es un mtodo totalmente acertado. Para trabajar bajo este enfoque cualitativo, se toma como herramienta la autoevaluacin que consiste en identificar los riesgos a travs del mapeo de procesos, evaluacin de control existente, determinacin de puntos de mejora que se debe realizar y definicin de Indicadores. La finalidad del enfoque cualitativo, permite detectar fortalezas y debilidades del ambiente tecnolgico y sus potenciales riesgos a los que el Instituto est expuesto La evaluacin de riesgos se apoya del formato RT Anlisis de Riesgos (Ver Anexo G) bajo el cual se utilizar para documentar los valores obtenidos en la medicin de los riesgos a los cuales se est expuesto.
4.
Determinacin de frecuencia
Para determinar la probabilidad de que una vulnerabilidad potencial que puede ser ejercida, se tienen que tomar en cuenta los factores como la motivacin o la capacidad de la fuente de la amenaza, as como, la naturaleza de la vulnerabilidad. La probabilidad de ocurrencia o frecuencia en que las fuentes de amenaza se presenten y exploten una vulnerabilidad potencial puede ser clasificada como: Clasificacin Frecuencia Descripcin Indica que los eventos derivados de un riesgo tecnolgico se han presentado o se pueden presentar con un comportamiento muy a menudo durante un tiempo determinado, es decir, que la incidencia de los riesgos es muy comn y constante. Indica que los riesgos identificados se han presentado o se puede presentar de manera comn dentro de un proceso tecnolgico. Indica que la incidencia del riesgo se ha presentado o se puede presentar con una repeticin frecuente durante un tiempo determinado. Indica que los riesgos identificados se han presentado o se pueden presentar de forma ocasional durante un
v1. Noviembre 2009
Esperado
Muy Probable
Probable
Poco Probable
17
Remoto
tiempo determinado. La incidencia de riesgos es inusual que se presente o incluso nunca se haba presentado una situacin similar.
5.
Determinacin de Impacto
Se denomina impacto a la medida del dao sobre el activo derivado de la materializacin de una amenaza. Para determinar el impacto se toman en cuenta diferentes factores, en los cuales la tecnologa de Informacin puede ser afectada como: Prdida de confidencialidad: se refiere a la falta de aseguramiento de que la Informacin es accesible slo para aquellos autorizados a tener acceso. Prdida de integridad: se refiere a la falta mantenimiento de la exactitud y completitud de la Informacin y sus mtodos de proceso. Prdida de disponibilidad: se refiere a la falta de acceso y utilizacin de la Informacin y los sistemas cuando se requieran. El impacto causado por una accin acertada de una amenaza puede ser clasificada de la siguiente manera: Clasificacin Impacto Descripcin Riesgos extremadamente severos que conlleva a una prdida altamente costosa que puede llevar a la prdida de ingresos o afectar totalmente el patrimonio del Instituto por eventos que se presentaron o se pueden presentar en algn momento dado. Fuerte prdida por eventos derivados de un riesgo severo que puede llegar a provocar interrupcin de una parte de las operaciones del Instituto. Prdida derivada de una posible contingencia produciendo inconvenientes significativos en el Instituto. Prdida menor derivada de riesgos que pueden llegar a provocar algn inconveniente en el Instituto. Prdida mnima derivada de riesgos que no afectan la productividad del Instituto o pueden producir o generaron inconvenientes menores.
Critico
Alto
Moderado
2 1
Bajo Menor
6.
Mapa de riesgos tecnolgicos
De acuerdo a la categorizacin del riesgo por su impacto y frecuencia, se pueden graficar los riesgos para identificar aquellos que son inherentes del Instituto al usar tecnologa.
18
El mapa de riesgos es uno de los medios que permiten identificar factores de riesgos y cuantificacin de frecuencias e impactos (cualitativamente) a travs de un consenso de grupos de trabajo, entrevistas, cuestionarios y evaluaciones independientes, aprovechando la estadstica disponible por incidencias o de lo contrario la experiencia de los responsables de cada rea sustantiva o de apoyo y soporte, se jerarquizan los riesgos del Instituto, determinando un punto de partida para desarrollar un marco completo para la administracin del riesgo tecnolgico. Cada cuadrante localizado en la grfica permite visualizar el nivel de exposicin que se tiene por cada una de los riesgos.
Impacto Menor 1 Esperado Muy Probable Frecuencia Probable Poco Probable Remoto 5 Medio Bajo 2 Medio Medio Moderado 3 Alto Medio Medio Medio Moderado Alto 4 Critico 5
Extremo Extremo Alto Alto Medio Medio Extremo Alto Alto Medio
4 Moderado
3 Moderado Moderado 2 1 Bajo Bajo Moderado Bajo
El riesgo de acuerdo a su frecuencia e impacto se clasifica en el mapa de riegos como:
Clasificacin
5
Frecuencia Extremo
Alto
Medio
Moderado
Bajo
Descripcin Indica que el riesgo tiene una gran probabilidad de ocurrencia y un impacto crtico para la institucin en caso de materializarse. Indica que el riesgo tiene una alta probabilidad de ocurrencia y un fuerte impacto para la institucin en caso de materializarse. Indica que el riesgo tiene una probabilidad de ocurrencia media e impacto significativo para la institucin en caso de materializarse. Indica que el riesgo tiene cierta probabilidad de ocurrencia e impacto considerable para la institucin en caso de materializarse. Indica que el riesgo tiene una mnima probabilidad de ocurrencia e impacto menor para la institucin en caso de materializarse.
v1. Noviembre 2009
19
Al clasificar los riesgos a los que est expuesto el Instituto por frecuencia e impacto se tiene como resultado el mapa de riesgos con un listado de riesgos absolutos bajo un enfoque cualitativo.
7.
Anlisis de controles
Los controles son las medidas utilizadas para prevenir o reducir el impacto de eventos no deseados, los mtodos de control pueden ser tcnicos (hardware, software) o no tcnicos (polticas de seguridad, procedimientos administrativos y operacionales, seguridad fsica). Los controles por su naturaleza pueden ser clasificados en: Preventivo: son los que actan sobre la causa de los riesgos con el fin de disminuir su probabilidad de ocurrencia, y constituyen la primera lnea de defensa. Tambin actan para reducir la accin de los agentes generadores de riesgos Defectivo: son los que se disean para descubrir un evento, irregularidad o resultado no previsto, alertan sobre la presencia de riesgos y permiten tomar medidas inmediatas. Correctivo: son los que permiten el restablecimiento de la actividad despus de ser detectado el evento no deseable y la modificacin de las acciones que propiciaron su ocurrencia. Manual: son los ejecutados por personas. Automatizado: son los ejecutados por sistemas de Informacin. Los controles deben ser suficientes, comprensibles, eficaces y oportunos, para esto, es preciso conocer la naturaleza de los riesgos y su frecuencia, as como las consecuencias que implican para que las actividades y los procesos mantengan el rumbo del Instituto. Los controles sern establecidos y alineados en base a los objetivos de control aplicables para cada riesgo justificando en cada uno de los casos su seleccin o exclusin de acuerdo a los 4 dominios de COBIT y los controles correspondientes a los 11 dominios sealados en el estndar ISO/IEC 27001. El anlisis de la Aplicabilidad de los controles se encuentra apoyado por el documento RT Aplicabilidad de Controles (Ver Anexo H). Posteriormente para los controles aplicables se hace una ponderacin con el fin de determinar cun eficaces y maduros son los controles establecidos para mitigar los riesgos identificados, de la siguiente manera:
Ponderacin
5
Descripcin Los procedimientos y medidas de control estn formalizados y siempre son utilizados, aplicados, medidos y monitoreados. Adems de ser optimizados peridicamente.
v1. Noviembre 2009
20
4 3 2 1 0
Los procedimientos y medidas de control estn formalizados y siempre son utilizados, aplicados, medidos y monitoreados. Los procedimientos y medidas de control estn formalizados y siempre son utilizados y aplicados Los procedimientos o medidas de control no estn formalizados y no siempre son utilizados o aplicados. Se tiene conciencia sobre la necesidad de contar con procedimientos o medidas de control. No se cuenta con polticas o procedimientos.
8. Determinacin tolerancia.
del
riesgo
residual
niveles
de
Para determinar el riesgo residual se hace la ponderacin de riesgos y controles en base a los criterios establecidos anteriormente. El riesgo residual es el resultado de la operacin: Riesgo residual = Riesgo Absoluto Controles. En base al resultado del riesgo residual se establecen los niveles de tolerancia de los riesgos, clasificndolos como: Aceptable cuando el riesgo residual es menor o igual a 1. Tolerable cuando el riesgo residual es mayor a 1 y menor a 3. Por arriba de la tolerancia cuando el resultado es mayor o igual a 3. De acuerdo a los niveles de tolerancia derivados del riesgo residual se clasifican los riesgos para los cuales se necesitan medidas correctivas, fortalecimiento o monitoreo de controles de la siguiente forma: Nivel de tolerancia Descripcin Hay una fuerte necesidad de medidas correctivas. Un plan de accin correctivo se debe establecer Por arriba de la tolerancia cuanto antes. Las acciones correctivas son necesarias y un plan debe ser establecido para incorporar estas acciones Tolerable dentro de un perodo del tiempo razonable. Pueden existir oportunidades de mejora en la Aceptable implementacin de los controles y requieren monitoreo.
El registro del clculo del riesgo residual y los niveles de tolerancia es apoyado por el documento RT Riesgo Residual y Niveles de Tolerancia (Ver Anexo I)
v. Priorizacin y tratamiento del riesgo

El objetivo de esta etapa es seleccionar aquellas exposiciones relevantes a los que se enfrenta el Instituto determinando cuales deben ser abordados, basados en la premisa
21
de que el tiempo y los recursos no son suficientes para poder hacer frente a todos los riesgos, para lo cual el enfoque debe de perseguir la mitigacin de los riesgos ms grandes a un costo ptimo. Para una adecuada jerarquizacin se debe de tomar como base el resultado del riesgo residual del Instituto y su nivel de tolerancia (Aceptable, Tolerable y Por arriba de la tolerancia). En base a eso el rea de Riesgos valora los riesgos e informa a la Gerencia de Control Interno para que se determine el tratamiento que se le debe dar a cada uno en particular como son: a. Reducir el riesgo b. Retener el riesgo c. Evadir el riesgo d. Transferir el riesgo
vi. Plan de Tratamiento de Riesgos

La mitigacin del riesgo consiste en establecer las medidas correctivas inmediatas para proteger los intereses del Instituto en materia tecnolgica. A travs de la sinergia definida, el rea de Riesgo Operacional informa a la Gerencia de Control Interno de la exposicin de riesgo, para que de manera conjunta se haga un anlisis costo-beneficio y recomiende al rea usuaria responsable la implementacin los controles necesarios para su mitigacin basndose en los criterios de aceptacin de riesgo previamente definidos.
vii.
Monitoreo
La ltima etapa dentro de la administracin de riesgos, es el diseo, implementacin y monitoreo de Indicadores como un medio de prediccin y seguimiento para definir niveles de ocurrencia de un riesgo. Con los Indicadores se busca medir la efectividad de las actividades de los controles establecidos bajo las caractersticas de fcil medicin, rpido acceso y alta correlacin con el riesgo, reflejando la propia incidencia del riesgo. Los Indicadores estarn alineados a los marcos de referencia de COBIT e ISO/IEC 27001, existiendo diferentes tipos de Indicadores como son: Indicadores de desempeo Indicadores de procesos Indicadores de metas de TI As mismo los Indicadores establecidos deben contar con niveles de tolerancia definidos para detectar cualquier variacin en la efectividad de los controles establecidos. Los niveles de tolerancia sern establecidos particularmente para cada Indicador o conjunto de Indicadores relacionados, clasificndolos como aceptable, tolerable e intolerable.
v1. Noviembre 2009
22
X.Procedimiento del modelo de administracin de Riesgo Tecnolgico.

La administracin de riesgos es un proceso definido y repetible bajo el cual se desarrollan actividades en diferentes etapas permitiendo establecer un anlisis de riesgos para activos y procesos determinados bajo el enfoque tecnolgico para que se concreten las respuestas a stos para su mitigacin. Asimismo se busca establecer o mejorar los controles, as como, la definicin de Indicadores para su monitoreo de acuerdo a las mejores prcticas de los marcos de referencia COBIT 4.1 e ISO/IEC 27001. A Continuacin se muestra el procedimiento cclico de Administracin de Riesgo Tecnolgico: 1. La Gerencia ROp / Consultor Jr. Riesgo Tecnolgico determina los procesos y activos a evaluar de acuerdo el manual normativo de riesgo tecnolgico. 2. Una vez determinados los activos relacionados a los procesos a evaluar, la Gerencia ROp / Consultor Jr. Riesgo Tecnolgico en conjunto con los dueos de los procesos a nivel medio (principalmente gerentes), realizan el levantamiento de los riesgos mediante cuestionarios o entrevistas identificando amenazas y vulnerabilidades tecnolgicas estableciendo las causas, efectos y clasificacin del riesgo. 3. Una vez detallada la matriz de riesgos, los dueos de los procesos evalan los riesgos que afectan la operacin de Tecnologa de Informacin bajo un enfoque cualitativo de acuerdo a los parmetros establecidos de frecuencia e impacto. 4. La Gerencia ROp / Consultor Jr. Riesgo Tecnolgico realiza la alineacin de cada uno de los riesgos identificados con los controles relacionados segn COBIT e ISO/IEC 27001 y se evala el grado de implementacin. 5. La Gerencia ROp / Consultor Jr. Riesgo Tecnolgico, con base a los resultados de la evaluacin del riesgo inherente y el grado de implementacin de los controles relacionados, obtiene los resultados del riesgo residual que sirve como base para poder priorizar los riesgos y de esta forma el Dueo de Proceso podr desarrollar los planes de tratamiento del riesgo. 6. Los dueos del proceso implementan los planes de tratamiento del riesgo para establecer los controles necesarios para mitigar el riesgo, considerando las implicaciones en recursos y tiempo para poderlos efectuar. 7. La Gerencia ROp / Consultor Jr. Riesgo Tecnolgico, define los Indicadores relacionados con algunos riesgos que permitan monitorear la exposicin que tiene el Instituto en dicha materia. 8. La Gerencia ROp / Consultor Jr. Riesgo Tecnolgico registra en la base de datos las exposiciones e incidencias relacionadas con riesgo tecnolgico. 9. La Gerencia ROp / Consultor Jr. Riesgo Tecnolgico documenta los resultados obtenidos de la evaluacin del riesgo tecnolgico incorporando las incidencias ocurridas as como el comportamiento de los Indicadores establecidos para comunicarlo a la Gerencia Sr. de Riesgos y las Subdirecciones Generales.
v1. Noviembre 2009
23
Procedimiento de gestin de Riesgo Tecnolgico
rea de Riesgo Operacional
Dueos de Procesos
INICIO
1. Establece el contexto de gestin.
2. Identifica los riesgos inherentes, amenazas y vulnerabilidades
3. Evala el riesgo inherente.
4. Realiza la alineacin de controles de acuerdo a COBIT 4.1 e ISO27001:2005
5. Realiza la evaluacin del riesgo residual
6. Implementa el tratamiento al riesgo
7. Monitorea el riesgo
8. Registra en base de datos exposiciones e incidencias
9.Emite el reporte de Riesgo Tecnolgico
FIN
v1. Noviembre 2009
24
Uno de los principales retos que enfrenta el Instituto para la correcta ejecucin del procedimiento del modelo de administracin de riesgo tecnolgico, est en lograr implantar una verdadera cultura de riesgo operacional y tecnolgico, enfocada a la concientizacin en la importancia del riesgo, as como incentivar a cada una de las reas del INFONAVIT a comunicar sus propios errores. El principal factor de xito para tener una correcta administracin del riesgo tecnolgico, es trabajar bajo una cultura de administracin, estableciendo conjuntamente valores, actitudes y comportamientos tanto individuales como corporativos creando un estilo y compromiso firme ante un enfoque de creacin de valor a travs del riesgo tecnolgico. Se debe buscar la vinculacin de los objetivos particulares de cada rea, asignando responsabilidades de gestin del riesgo y juntar esfuerzos para el control y mitigacin con el fin de incentivar hacia una mejor interiorizacin y difusin de conceptos de administracin de riesgos y de Control Interno. Cabe sealar que en caso de contratar a un despacho externo para la ejecucin de alguna de las actividades del modelo de Administracin de Riesgo Tecnolgico, se deber cumplir como mnimo con esta metodologa.
XI.Marco Tecnolgico
Un requisito esencial y clave para el funcionamiento de un mtodo aceptable para la administracin del riesgo tecnolgico, es el desarrollo y consolidacin de fuentes de Informacin consistentes, precisas, integras y oportunas, a travs de un seguimiento de datos pertinente, puntal y veraz. Este se propone llevar a cabo mediante el registro de la Informacin de las exposiciones e incidencias, as como el seguimiento de los controles establecidos para el tratamiento y evolucin de los riesgos de la siguiente manera: Registro de Exposiciones La principal fuente de Informacin sobre las exposiciones de riesgo tecnolgico se obtendr durante la ejecucin cclica de la presente metodologa, que deriva en el Mapa de Riesgos Tecnolgicos del Instituto. As mismo durante la revisin de los subprocesos del Instituto, todas aquellas exposiciones derivadas por este tipo de riesgo. La Informacin de las exposiciones de riesgo deber de ser: Proceso Subproceso Aplicacin o activo Identificacin de amenazas, vulnerabilidades y riesgos de la Informacin Clasificacin o Seguridad Informtica Integridad/Disponibilidad / Confidencialidad o Telecomunicaciones o Infraestructura Tecnolgica o Procesos Operativos Evaluacin
v1. Noviembre 2009
25
o Probabilidad o Impacto Indicador Nivel de Tolerancia Control relacionado: COBIT o ISO /IEC 27001
Registro de Incidencias. La principal fuente de Informacin para el registro de Incidencias por riesgo tecnolgico, es la generada por los dueos de los procesos sobre incidentes derivados de la materializacin de un riesgo tecnolgico. La Informacin de las Incidencias de riesgo deber de ser: Nmero de Incidencia Prioridad o Menor o Bajo o Moderado o Alto o Crtico Impacto o Menor o Bajo o Moderado o Alto o Crtico o Frecuencia o Remoto o Poco Probable o Probable o Muy Probable o Esperado Descripcin Proceso Responsable Activo afectado Riesgo Relacionado Vulnerabilidad Amenaza Nivel de Aceptacin Fecha de registro Fecha de atencin Fecha de resolucin Fecha de cierre Control relacionado: COBIT o ISO/IEC 27001 Actividades derivadas Para el registro de las Incidencias se tendr el apoyo del documento RT Layout de Incidencias (Ver Anexo J).
v1. Noviembre 2009
26
Seguimiento de Controles. La fuente principal para el seguimiento a los controles se obtiene en la ejecucin cclica de la presente metodologa al obteniendo la madurez y eficacia de los controles, el riesgo residual y comparndolo con los niveles de tolerancia establecidos. El seguimiento adecuado de los controles se apoyar de la comparacin del documento RT Riesgo Residual y Niveles de Tolerancia (Ver Anexo I) Seguimiento de Indicadores. La fuente principal para el seguimiento de los Indicadores de los controles relacionados a los riesgos es la generada peridicamente por los dueos de los procesos en donde dependiendo del Indicador o conjunto de Indicadores se requiere de Informacin precisa, oportuna y medible. El seguimiento adecuado de los Indicadores de riesgo se apoyar del documento RT Indicadores (Ver Anexo K)
Los reportes peridicos de Riesgo Tecnolgico sern incluidos dentro del Reporte de Riesgo Operacional, dnde se revelar el seguimiento de las exposiciones, incidencias, e Indicadores de riesgo.
v1. Noviembre 2009
27
XII.Anexos
a. Anexo A.
Nombre del Puesto
Gerencia de Riesgo Operacional

Dirigir, establecer, planear, administrar, coordinar, establecer, asegurar y evaluar la gestin de los riesgos no discrecionales (operacional, legal y tecnolgico) inherentes a las operaciones del Instituto a travs del diseo e implementacin de estrategias de gestin, metodologas, tcnicas, modelos estadsticos de medicin, sistemas de Informacin y bases de datos necesarios para dar cumplimiento al marco regulatorio de la CNBV a fin de proteger la viabilidad financiera del Instituto. 1.- Establecer, coordinar y dirigir las acciones, polticas, lineamientos o procedimientos que permitan permear una cultura y filosofa de riesgos no discrecionales (operacionales, legales, tecnolgicos y estratgicos) en el Instituto a travs de diversas estrategias de comunicacin, capacitacin o sinergias con otras rea para crear conciencia en cada uno de los integrantes de la estructura organizacional proporcionando disciplina y organizacin con la finalidad de fomentar un anlisis estratgico donde la gestin de riesgos se convierta en una ventaja competitiva para el Instituto. 2.- Establecer y dirigir las estrategias apegadas a la administracin integral del riesgo no discrecional (operacionales, legales, tecnolgicos y estratgicos) tanto cualitativas como cuantitativas, a travs de la definicin de metodologas de identificacin, evaluacin, determinacin del apetito de riesgo as como los niveles de tolerancia autorizados por el H. Consejo de Administracin, control y monitoreo con la finalidad de apoyar en la toma de decisiones oportuna en el Instituto de acuerdo a las mejores prcticas internacionales. 3.- Determinar y evaluar los eventos de riesgo potenciales que, puedan afectar al Infonavit en la operacin as como en la implantacin de la estrategia impidiendo el logro de los objetivos estratgicos del Instituto a travs de la definicin de tcnicas cuantitativas y metodologas eficientes y automatizadas para que se puedan tomar las medidas necesarias para poder revertir el posible impacto y asegurar la viabilidad financiera del Instituto. 4.- Determinar, dirigir, coordinar y establecer las estrategias de evaluacin tanto cualitativo como cuantitativo bajo estndares de mejores prcticas para la gestin integral del Riesgo no discrecionales (operacionales, legales, tecnolgicos y estratgicos) con cada una de las reas del Instituto relacionadas a travs del seguimiento del Mapa de Riesgos, con la finalidad de que apoyen a la toma de decisiones oportuna en el Infonavit y comunicar los resultados correspondientes al Comit de Riesgos y al Comit de Auditora y proponer respuestas al riesgo 5.- Determinar, establecer y propiciar que los riesgos expuestos en los procesos identificados por las diferentes reas del Instituto, se implementen las acciones correspondientes para responder al riesgo con la finalidad de evaluar su efecto sobre la probabilidad e impacto, as como los costos beneficios para poder situar el riesgo residual dentro de las tolerancias al riesgo establecidas por el H. Consejo de Administracin y asegurar la viabilidad financiera del Instituto. 6.- Coordinar, determinar, delegar y establecer la distribucin de Informacin a travs de los Estados Financieros, reportes a la Asamblea, a v1. Noviembre 2009
Objetivo
Responsabilidades
28
diversos Comits y requerimientos especiales que divulgue la situacin del riesgo no discrecional (operacional, legal, tecnolgico y estratgicos) en el Infonavit con la finalidad de facilitar la gestin de los riesgos y la toma de decisiones. 7.- Determinar, dirigir, coordinar y conducir el desarrollo e implementacin de la estrategia dirigida a la ejecucin de la administracin de riesgos no discrecionales (operacionales, legales, tecnolgicos y estratgicos) enfocados hacia un marco estndar internacional como COBIT, COSO y BASILEA con la finalidad dar cumplimiento a las disposiciones regulatorias de la CNBV y mantener a la vanguardia al Instituto en la gestin de este tipo de riesgos permitiendo protegerlo de cualquier exposicin y evitar poner en riesgo el patrimonio del Instituto.
Nombre del Puesto
Consultor Jr. Operacional
Administracin
del
Riesgo
Coordinar, desarrollar, asegurar, propiciar las actividades necesarias para identificar, evaluar, controlar e informar los diferentes riesgos a los que se encuentra expuesta el Instituto en materia de administracin de riesgos no discrecionales y riesgos estratgicos, mediante el desarrollo e instrumentacin de los sistemas de gestin y modelos cuantitativos y cualitativos necesarios para el seguimiento y control de estos riesgos y conforme a los procesos institucionales y las regulaciones externas a fin de contar con los elementos necesarios que permita a las reas, a la Direccin General, al Comit de Riesgos, H. Consejo de Administracin tomar las decisiones que correspondan as como proteger la viabilidad financiera del Instituto. Responsabilidades 1. Administrar, comunicar, establecer, evaluar los riesgos no discrecionales a los que estn expuestos los diferentes procesos de las reas del Instituto con la finalidad de controlar, comunicar y asegurar que se implementen las acciones necesarias de respuesta al riesgo para evitar prdidas econmicas al Instituto y pongan en riesgo su viabilidad financiera. 2. Asesorar, propiciar, recomendar y aprobar que las polticas, procedimientos, lineamientos y manuales publicados internamente en ARA/CNOI no tengan inherentes riesgos no discrecionales con la finalidad de que se establezcan las acciones necesarias para mitigar y evitar prdidas econmicas. 3. Coordinar, verificar, controlar, dictar y asegurar mediante polticas la Informacin registrada por eventos de riesgos no discrecionales sea oportuna, veraz y consistente para la adecuada creacin, explotacin y aplicacin de las bases de datos que se emplean para el clculo de prdida esperada e inesperada necesaria para proteger cualquier desviacin y ponga en riesgo la viabilidad financiera del Instituto. 4. Disear, determinar y establecer las estrategias de evaluacin tanto cualitativa como cuantitativa bajo estndares de mejores prcticas para la gestin integral del Riesgo no discrecionales (operacionales y legal) con cada una de las reas del Instituto relacionadas a travs del seguimiento del Mapa de Riesgos que apoyen a la toma de decisiones oportuna en el Infonavit. As mismo, comunicar los resultados correspondientes al Comit de Riesgos y al Comit de Auditora y proponer respuestas al riesgo. 5. Establecer, coordinar, proporcionar y comunicar Informacin de los riesgos no discrecionales (operacional, legal, tecnolgico y estratgicos) y sus niveles de tolerancia a travs de la extraccin y MANUAL NORMATIVO DE RIESGO TECNOLGICO v1. Noviembre 2009 Gerencia Sr de Riesgos Gerencia de Riesgo Operacional
Objetivo
29
procesamiento de Informacin de diversas bases de datos a fin de presentar a la Direccin General, Comit de Auditora y Comit de Riesgos informes con los resultados que muestren el estado que guarda el Instituto en este tipo de riesgos que orienten la toma de decisiones. 6. Planear, coordinar, desarrollar, asesorar y evaluar cada una de las actividades necesarias para llevar a cabo la actualizacin del Mapa de Riesgos Institucional necesario para detectar aquellos riesgos que pongan en riesgo la estrategia y objetivos del Instituto y de esta forma se establezcan las respuestas al riesgo necesarias para controlarlas.
Nombre del Puesto
Consultor Jr. Riesgo Tecnolgico

Coordinar y asegurar adecuadamente la administracin del riesgo tecnolgico en el INFONAVIT a travs de coadyuvar con la SG Innovacin y Calidad, Control Interno y Auditora Interna en el proceso de identificacin, evaluacin, control y mitigacin en los diversos riesgos inherentes a los sistemas informticos institucionales. As mismo participar con las reas involucradas en determinar los lineamientos, polticas y procedimientos necesarios para administrar el Riesgo Tecnolgico de acuerdo a las disposiciones de la CNBV y las mejores prcticas con la finalidad de prever posibles fallas o problemas que traigan consigo prdidas econmicas y reputacionales desvirtuando la viabilidad financiera del Instituto. 1. Disear, desarrollar e implementar el manual normativo que contribuya en la administracin integral del riesgo tecnolgico que a travs de la definicin de polticas, lineamientos, procedimientos y ptimos mtodos de evaluacin del riesgo permitan una efectiva organizacin entre las diversas reas involucradas para cumplir con las disposiciones que enmarca la CNBV y proteger el patrimonio institucional. 2. Mantener actualizada las bases de datos por eventos de riesgos tecnolgicos para la medicin de reservas necesarias y capital econmico requerido para hacer frente a las contingencias presentadas dentro del Instituto y salvaguardar la viabilidad financiera del Instituto. 3. Evaluar y determinar la vulnerabilidad expuesta que puedan generar riesgos que perjudiquen la disponibilidad de la Informacin en el normal desarrollo de las operaciones del Instituto a travs del establecimiento de medios o sistemas de Informacin que alerten al administrador sobre nuevas exposiciones de prdida con base a la Informacin generada por la SG Innovacin y Calidad y otros rganos revisores con el fin de proteger los recursos informticos en el hardware, software, aplicaciones, seguridad, redes, medios de almacenamiento y recuperacin de Informacin por fallas en procedimientos, capacidades inadecuadas, insuficiencias de los controles instalados, entre otros. 4. Recomendar mecanismos correctivos y preventivos para la mitigacin de los riesgos tecnolgicos identificados con el fin de establecer bases adecuadas para una correcta implementacin y funcionamiento de los controles internos en el ambiente tecnolgico. 5. Asegurar la documentacin de polticas y procedimientos donde certifiquen el nivel de calidad de servicio, seguridad e integridad de la Informacin, los mecanismos que midan los niveles de disponibilidad y tiempos de respuesta que garanticen la adecuada ejecucin de las operaciones y servicios as como las medidas de control que aseguren la confiabilidad en la generacin, almacenamiento , transmisin y recepcin de las claves de identificacin y acceso, garanta en la v1. Noviembre 2009
Objetivo
Responsabilidades
30
proteccin, seguridad y confidencialidad de la Informacin, respaldo y recuperacin de la Informacin que se genere respecto a cada una de las operaciones del Instituto emitidos por las reas responsables para sustentar el patrimonio del Instituto y dar cumplimiento a las disposiciones en materia de riesgo tecnolgico emitidas por la CNBV. 6. Establecer y monitorear los niveles de tolerancia de exposicin al riesgo tecnolgico con el fin de administrar el riesgo residual o aceptable que no afecte o ponga en riesgo la viabilidad financiera del Instituto. 7. Comunicar al Comit de Riesgos el estado que guarda el Instituto en materia de riesgo tecnolgico de acuerdo a cada uno de los sistemas de Informacin administrados en cada una de las Subdirecciones Generales as como de los diversos procesos inherentes de acuerdo a los niveles de tolerancia autorizados con el fin de una toma de decisin apropiada para la proteccin del patrimonio del INFONAVIT. 8. Contribuir en el anlisis de impacto de procesos y funciones crticas del negocio a travs de la aplicacin de mtodos de valuacin de impactos cualitativos y cuantitativos con la finalidad de priorizar los requerimientos de disponibilidad y recuperacin de procesos para la definicin del Plan de Continuidad de Negocio y del Plan de Recuperacin de Desastres en el INFONAVIT de acuerdo a las mejores prcticas internacionales y las disposiciones regulatorias.
b. Anexo B.
A travs del Captulo IV: Administracin de Riesgos, Seccin Cuarta, Apartado B, artculo 86, apartado III, inciso b de la Circular nica de la Comisin Nacional Bancaria y de Valores, las instituciones deber como mnimo desarrollar las siguientes funciones de la administracin del riesgo tecnolgico: 1. Evaluar la vulnerabilidad en el HW, SW, sistemas, aplicaciones, seguridad, recuperacin de Informacin y redes, por errores en el procesamiento u operativos, fallas en procesamientos, capacidades inadecuadas e insuficientes de los controles instalados, entre otros. 2. Considerar en la implementacin de controles internos, cuando menos en los siguientes aspectos: i. Mantener polticas y procedimientos que aseguren en todo momento el nivel de calidad de servicio y la seguridad e integridad de la Informacin; lo anterior con especial nfasis cuando el Instituto contrate la prestacin de servicios por parte de proveedores externos para el procesamiento y almacenamiento de dicha Informacin. ii. Asegurar que cada operacin o actividad realizada por los usuarios deje constancia electrnica que conforme registros de auditora. iii. Implementar mecanismos que midan y aseguren niveles de disponibilidad y tiempos de respuesta, que garanticen la adecuada ejecucin de las operaciones y servicios realizados por el Instituto. 3. En caso de mantener canales de distribucin para operaciones bancarias con clientes realizadas a travs de la red electrnica mundial denominada Internet, cajeros automticos, banca electrnica, sucursales, entre otros, debern en lo conducente:
v1. Noviembre 2009
31
Establecer medidas y controles necesarios que permitan asegurar confidencialidad en la generacin, almacenamiento, transmisin y recepcin de las claves de identificacin y acceso para los usuarios. ii. Implementar medidas de control que garanticen la proteccin, seguridad y confidencialidad de la Informacin generada por la realizacin de operaciones bancarias a travs de cualquier medio tecnolgico. iii. Contar con esquemas de control y polticas de operacin, automatizacin y acceso a los sistemas, bases de datos y aplicaciones implementadas para la realizacin de operaciones bancarias a travs de cualquier medio tecnolgico. iv. Incorporar los medios adecuados para respaldar y, en su caso, recuperar la Informacin que se genere respecto de las operaciones bancarias que se realicen a travs de cualquier medio tecnolgico. v. Disear planes de contingencia, a fin de asegurar la capacidad y continuidad de los sistemas implementados para la celebracin de operaciones bancarias, a travs de cualquier medio tecnolgico. vi. Establecer mecanismos para la identificacin y resolucin de aquellos actos o eventos que pueden generarle a la Institucin, riesgos derivados de: vi.1. Comisin de hechos, actos u operaciones fraudulentas a travs de medios tecnolgicos. vi.2. Contingencias generadas en los sistemas relacionados con los servicios bancarios prestados y operaciones celebradas a travs de cualquier medio tecnolgico. vi.3. El uso inadecuado por parte de los usuarios de los canales de distribucin antes mencionados, para operar con la Institucin, a travs de los medios citados en el presente artculo.
i.
c. Anexo C. RT Identificacin de Riesgos

RT Identificacion de riesgos.xlsx
d. Anexo D. RT Inventario de activos

RT Inventario.xlsx
e. Anexo E. RT Catlogo de amenazas

RT Catlogo de amenazas.xlsx
v1. Noviembre 2009
32
f. Anexo F. RT Catlogo de vulnerabilidades

RT Catlogo de vulnerabilidades.xlsx
g. Anexo G. RT Anlisis de riesgos

RT Anlisis de Riesgos.xlsx
h. Anexo H. RT Anlisis de riesgos
RT Aplicabilidad de Controles.xls
i. Anexo I. RT Riesgo Residual y Niveles de Tolerancia

RT Riesgo Residual y Niveles de Tolerancia.xlsx
j. Anexo J. RT Layout de Incidencias

RT Layout de Incidencias.xls
k. Anexo K. RT Indicadores
RT Indicadores.xlsx
v1. Noviembre 2009
33

Manual Normativode Riesgo Tecnologico

Caricato da

Informazioni sul documento

Titolo originale

Copyright

Formati disponibili

Condividi questo documento

Condividi o incorpora il documento

Opzioni di condivisione

Hai trovato utile questo documento?

Questo contenuto è inappropriato?

Copyright:

Formati disponibili

Manual Normativode Riesgo Tecnologico

Caricato da

Copyright:

Formati disponibili

Manual Normativo de Riesgo Tecnolgico

Subdireccin General de Planeacin y Finanzas Coordinacin de Riesgos

Manual Normativo de Riesgo Tecnolgico

MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional

v1. Noviembre 2009

Manual Normativo de Riesgo Tecnolgico

MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional

v1. Noviembre 2009

Manual Normativo de Riesgo Tecnolgico

Manual Normativo de Riesgo Tecnolgico

Manual Normativo de Riesgo Tecnolgico

Riesgo residual Seguridad

V.Organizacin Organizacin de la Gerencia de Riesgo Operacional

Gerencia de Riesgo Operacional

Consultor JR Administracin del Riesgo Operacional

Consultor JR Riesgo Tecnolgico

VI. Marco Jurdico

MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional

v1. Noviembre 2009

Manual Normativo de Riesgo Tecnolgico

a. Ante la ausencia de un marco legal aplicable al Instituto en materia de

MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional

v1. Noviembre 2009

Manual Normativo de Riesgo Tecnolgico

MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional

Manual Normativo de Riesgo Tecnolgico

xv. xvi. xvii.

MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional

v1. Noviembre 2009

Manual Normativo de Riesgo Tecnolgico

IX. Marco Metodolgico

Manual Normativo de Riesgo Tecnolgico

Modelo o de Administracin del Riesgo Tecnolgico

Evaluar Ejecutar Priorizar

Manual Normativo de Riesgo Tecnolgico

Manual Normativo de Riesgo Tecnolgico

Manual Normativo de Riesgo Tecnolgico

i. Definicin del alcance

ii. Criterios de evaluacin, impacto y aceptacin de riesgos

Manual Normativo de Riesgo Tecnolgico

iii. iv. v. vi.

Operaciones. Tecnologa. Finanzas. Factores Sociales.

iii. Identificacin de riesgos

MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional

v1. Noviembre 2009

Manual Normativo de Riesgo Tecnolgico

MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional

v1. Noviembre 2009

Manual Normativo de Riesgo Tecnolgico

iv. Evaluacin de riesgos

MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional

Manual Normativo de Riesgo Tecnolgico

Mapa de riesgos tecnolgicos

Manual Normativo de Riesgo Tecnolgico

3 Moderado Moderado 2 1 Bajo Bajo Moderado Bajo

El riesgo de acuerdo a su frecuencia e impacto se clasifica en el mapa de riegos como:

MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional

v1. Noviembre 2009

Manual Normativo de Riesgo Tecnolgico

MANUAL NORMATIVO DE RIESGO TECNOLGICO Gerencia Sr de Riesgos Gerencia de Riesgo Operacional

v1. Noviembre 2009

Manual Normativo de Riesgo Tecnolgico

v. Priorizacin y tratamiento del riesgo