ACERCA DE ALIDE SERVICIOS COMITÉS TÉCNICOS PROGRAMAS MEMBRESÍA CEDOM PUBLICACIONES NOTICIAS SITE
Contáctenos
Calendario
Nuestros
miembros
Pasantías
Cursos
Reuniones
técnicas
Web E-learning
ALIDE
Web Biblioteca
virtual
Publicaciones
recientes
Premios
Alide
Memoria
institucional
Video
corporativo
Portada  |  Áreas de interés  |   Finanzas para el desarrollo  |  Artículos   | ¿Cómo gestionar activos de información?
 
LA METODOLOGÍA DEL BANCO PROVINCIA
¿Cómo gestionar activos de información?

En 2007, el Banco Central de la República Argentina (BCRA) planteó algunas exigencias financieras para el sistema financiero argentino y desde entonces los bancos optimizaron sus procesos de administración de riesgos de recursos tecnológicos. El Banco Provincia fue uno de ellos. En este artículo presenta su metodología.

La gestión de riesgos tecnológicos en el Banco Provincia (Bapro) de Argentina surgió en 2007 con la exigencia del Banco Central de la República Argentina (BCRA). El banco luego de implementar este proceso descubrió que era posible incluir mejoras en el proceso para extender su aplicación y utilidad.

Para ello analizó el entorno tecnológico y diseñó una metodología alineada a los mejores estándares existentes, pero adaptable a sus necesidades y características; que no solo se limita a la administración de riesgos tecnológicos sino que se extiende a la gestión integral de los activos de información a fin de alcanzar los objetivos de mejora continua. Aquí se presenta la metodología de gestión de activos de información (GAI), sus características y los beneficios de su aplicación para la entidad financiera.

Objetivos de la metodología
El objetivo principal fue establecer los lineamientos para una adecuada gestión de los recursos tecnológicos del banco y de esta manera: 1) controlar el grado de exposición a potenciales amenazas o vulnerabilidades sobre los activos de información; 2) prevenir la ocurrencia daños en la imagen de la institución; 3) propiciar un esquema de mejora continua en el ambiente de control interno; 4) disminuir la probabilidad de ocurrencia de riesgos en los activos de información.
Asimismo, 5) disminuir el impacto de los riesgos sobre los activos de información; 6) observar los requerimientos normativos vigentes; 7) desarrollar acciones correctivas mediante los planes de mitigación; 8) favorecer la mejora continua de los procesos tecnológicos; y, 9) definir estrategias de seguridad acordes a las necesidades de cada activo en relación a su nivel de riesgo e importancia relativa al negocio del banco.

La metodología no se limita a la administración de los riesgos, sino que permite hacer una adecuada gestión de los activos de información. Asimismo, incorpora la posibilidad de integrar la gestión de riesgos tecnológicos a la gestión de riesgos operacionales.

En materia de gestión de riesgos tiene la particularidad de orientar el análisis de riesgo hacia amenazas concretas o potenciales y no se basa en un listado pre-elaborado de riesgos teóricos. Así la metodología permite clasificar a los activos de información según su nivel de exposición al riesgo y su importancia relativa al negocio. Esta clasificación permite conocer la sensibilidad al riesgo de cada activo e identificar de manera oportuna la necesidad de mejora para aquellos activos clasificados como “altamente críticos” o “críticos”. A partir de este conocimiento se definen e implementan los planes de mitigación tendientes a mejorar el nivel de sensibilidad del activo para eliminar el riesgo o ubicarlos en situaciones de riesgo tolerables.

La definición de los planes de mitigación ayuda a alinear los proyectos tecnológicos optimizando la priorización y asignación de presupuesto, y facilitando la determinación de las necesidades de inclusión de los proyectos en los planes operativos de tecnología.

La metodología fue implementada sin utilizar una aplicación que le dé soporte, luego de su primer ciclo de aplicación la gerencia de sistemas de información desarrolló una herramienta de software que permitió implementarla con las escalas de medición definidas para el banco, pero con la suficiente flexibilidad para adaptarse a cambios en las escalas de medición de los riesgos sin ningún tipo de dificultad.

¿Cómo funciona? La metodología se divide en dos capítulos (Gráfico Nº1). El capítulo I contempla las consideraciones a tener en cuenta para la pre-clasificación del activo de información y el capítulo II las consideraciones a tener en cuenta para el análisis y gestión de riesgos en los activos de información. A su vez, el proceso de gestión de activos se divide en cinco fases.

Identificación de activos (Fase I). Busca identificar los activos de información del banco, para ello se debe establecer qué es y qué no es un activo de información.

La tipificación de activos debe además contemplar unificar como un activo a todos aquellos recursos que tengan características comunes y que la información que administran, procesan o almacenan tenga el mismo grado de criticidad, confidencialidad y disponibilidad. Deben agruparse aquellos recursos a los que se les puede aplicar la misma estrategia de seguridad. En esta fase se obtiene el inventario de activos de información.

Pre-clasificación de activos (Fase II). El objetivo es analizar cada activo de información para determinar los niveles de: criticidad, disponibilidad y confidencialidad. Los parámetros a tener en cuenta para medir estos valores se definen en función a la importancia relativa que la información de los activos tiene para el negocio. En esta etapa se obtiene la pre-clasificación de cada uno de los activos de información inventariados, la misma que debe mantenerse actualizada, dado que los continuos cambios en el mercado impactan sobre dicha preclasificación aumentando o disminuyendo su importancia relativa al negocio. Por ello el proceso incluye los mecanismos para su actualización periódica.

Análisis de riesgo de los activos de información (Fase III). Para cada activo de información se realiza la autoevaluación de riesgos que consta de las etapas siguientes: 1) identificación de los riesgos tecnológicos a los que está expuesto cada activo de información; y, 2) medición de riesgos. Esto último se realiza de la manera siguiente: a) se determina su impacto y probabilidad de ocurrencia utilizando las escalas definidas por el banco (véase tabla Nº1, y 2); b) se calcula el riesgo inherente como el producto de los valores de impacto y probabilidad de ocurrencia; c) se identifica el control existente evaluándose si existen implementados y funcionando controles para mitigar el riesgo; d) se evalúa la efectividad del control utilizando la escala definida por el banco (véase tabla Nº3); y e) se calcula el riesgo residual como el producto entre el riesgo inherente y la efectividad del control.

En esta fase se obtiene la documentación formal de los riesgos tecnológicos de los activos de información del banco, que son identificados y documentados por las áreas de sistemas y de seguridad, siendo los primeros los responsables de analizar los riesgos de los aspectos netamente técnicos y los segundos de analizar los aspectos de seguridad de los activos.

Gestión de activos (Fase IV).
Contempla: 1) la clasificación de los activos, que sirve para la determinación del grado de sensibilidad del activo con respecto al riesgo. Para determinarla se utilizan los resultados de la pre-clasificación y del análisis de riesgo del activo (véase tabla Nº4); y, 2) la confección de reportes para la comunicación de la situación del banco con respecto a los riesgos, y la elaboración del plan de mitigación integral. En esta fase se emiten los informes siguientes: informe de riesgo, informe de logros, informe de resultados, y plan de mitigación integral. Este último incluye las estrategias para mitigar los riesgos y mejorar la sensibilidad de los activos, que se eleva al Directorio para su conocimiento y aprobación.

Seguimiento del plan de mitigación integral (Fase V). Comprende el mecanismo de control de cumplimiento de los planes de mitigación aprobados. Ello permite detectar desvíos en forma temprana pudiendo alertar a los altos niveles gerenciales del impacto de estos desvíos en relación a la sensibilidad del activo que se desea proteger.

Resultados

Cabe indicar que se identificaron más de 300 activos de información sobre los cuales se aplicó la metodología. Con su aplicación se optimizaron y generaron controles sobre los activos de información reduciéndose su nivel de sensibilidad. Del resultado de la clasificación en 2010 surgió que el 17% de los activos se encontraban en un nivel de exposición al riesgo “altamente crítica”. Con la implementación de los planes de mitigación en 2011 se logró mejorar la sensibilidad del 47% de los mismos. En general, la implementación de la metodología integral de GAI le permitió al banco: 1) identificar la situación real de los activos de información; 2) definir herramientas gráficas que permiten mantener informadas a las altas autoridades del nivel de vulnerabilidad al que está expuesto el banco en cuanto a sus recursos tecnológicos; 3) aprovechar al máximo la información obtenida de la gestión de riesgo; 4) definir e implementar planes de mitigación para mejorar el nivel de sensibilidad del activo eliminando o mitigando los riesgos a los que está expuesto, reubicando al activo en niveles de sensibilidad tolerables. Además: 5) optimizar la priorización y presupuesto de los proyectos del plan operativo alineándolos a los planes de mitigación definidos; 6) mejorar el ambiente de control interno optimizando los controles y creando nuevos controles sobre los activos de información; 7) mejorar el nivel de cumplimiento normativo mejorando la calificación del BCRA para el área de sistemas; 8) mejorar el nivel de servicio de soporte al negocio brindado por la gerencia de sistemas de información a las unidades de negocio; 9) sustentar la toma de decisiones en materia de tecnología sobre la base de información más confiable y concreta; y, 10) mejorar el nivel de prestación de servicio a los clientes, favoreciendo que los clientes sigan eligiendo al banco y captando nuevos clientes.

NOTA: Este artículo fue publicado en la Revista ALIDE edición enero-marzo 2013.

 
 
 
 
Síguenos en:
Síguenos en facebookSíguenos en Twittersíguenos en SlideshareCanal de youtube

ARTÍCULOS RECIENTES
Ambiente | Las oportunidades del financiamiento verde
  
Agricultura | Estrategías financieras para modernizar el agro
  
Microfinanzas | Claves para dinamizar los emprendimientos innovadores
  
Negocios | El desafío de las inversiones interregionales
  
Finanzas | Una nueva agenda para el desarrollo

  Agricultura
  Ambiente
  Infraestructura y   vivienda social
  Turismo
  Microfinanzas
  Riesgo/Regulación
  Negocios e
  Inversiones
  Finanzas para el   desarrollo


  Estudios
  Económicos
  Capacitación
  Asistencia técnica
  Relaciones
  Institucionales
   |  AlideNoticias   |   Revista Alide  |  E-Banca  |   Próximos cursos  |  Calendario de actividades  |  Noticias

¿QUIÉNES SOMOS?

Historia de ALIDE
Consejo directivo
Secretaría General
Cómo hacerse miembro
Listado de miembros
Asambleas generales
Memoria institucional

CALENDARIO
DE ACTIVIDADES

PROGRAMAS:

Estudios Económicos e Información
Capacitación y Cooperación Internacional
Relaciones Institucionales
Asistencia Técnica

UNIDADES:

Unidad de Conferencias
Comunicación e Imagen Corporativa

COMITÉS TÉCNICOS / ÁREAS DE INTERÉS:

Financiamiento Agrícola y Rural
Financiamiento Ambiental
Recursos, Inversiones e Infraestructura
Financiamiento del Turismo
Financiamiento de la Micro, Pequeña y Mediana empresa
Riesgos y Regulación Prudencial
Negocios e Inversiones
Financiamiento de la vivienda social

PRODUCTOS Y SERVICIOS:

Biblioteca virtual
E-learning ALIDE
Cursos presenciales
Pasantías y asesorías
Reuniones técnicas
Premios ALIDE a las mejores prácticas en IFD
Publicaciones
Directorio de Fuentes de Financiamiento Internacional

MEDIOS INFORMATIVOS:

Revista ALIDE
Boletín Alidenoticias
Boletín E-banca
Boletín E-news

NOTICIAS:
Noticias de ALIDE
Noticias sobre miembros de ALIDE
Entrevistas
Artículos sobre financiamiento del desarrollo

Síguenos en facebook Síguenos en Twitter síguenos en Slideshare Canal de youtube siguenos en Google+ Síguenos en Likedin 
© Copyright 2010 - ALIDE - Asociación Latinoamericana de Instituciones Financieras para el Desarrollo
Paseo de la República 3211, Lima 27, Perú. Apartado Postal: 3988 - Lima 100. Teléfono: 442-2400