Riesgos

20

LA METODOLOGA DEL BANCO PROVINCIA

Cmo gestionar activos

de informacin?
En 2007, el Banco Central de la Repblica Argentina (BCRA) plante
algunas exigencias financieras para el sistema financiero argentino y
desde entonces los bancos optimizaron sus procesos de administracin
de riesgos de recursos tecnolgicos. El Banco de la Provincia de
Buenos Aires fue uno de ellos. En este artculo presenta su metodologa.

a gestin de riesgos tecnolgicos en el Banco Provincia (Bapro) de

Argentina surgi en 2007 con la exigencia del Banco Central de la
Repblica Argentina (BCRA). El banco luego de implementar este proceso
descubri que era posible incluir mejoras en el proceso para extender su
aplicacin y utilidad.
Para ello analiz el entorno tecnolgico y dise una metodologa alineada
a los mejores estndares existentes, pero adaptable a sus necesidades
y caractersticas; que no solo se limita a la administracin de riesgos
tecnolgicos sino que se extiende a la gestin integral de los activos de
informacin a fin de alcanzar los objetivos de mejora continua. Aqu se
presenta la metodologa de gestin de activos de informacin (GAI), sus
caractersticas y los beneficios de su aplicacin para la entidad financiera.

Revista ALIDE / enero-marzo 2013

OBJETIVOS DE LA METODOLOGA

La metodologa no se limita a la
administracin de los riesgos, sino

no se limita a la
administracin de
los riesgos, sino que
permite hacer una
adecuada gestin
de los activos

Esta clasificacin permite

conocer la sensibilidad al riesgo
de cada activo e identificar de
manera oportuna la necesidad
de mejora para aquellos activos
clasificados como altamente
crticos o crticos. A partir de
este conocimiento se definen
e implementan los planes de
mitigacin tendientes a mejorar el
nivel de sensibilidad del activo para
eliminar el riesgo o ubicarlos en
situaciones de riesgo tolerables.

de informacin.
Asimismo, incorpora
la posibilidad
de integrar la
gestin de riesgos
tecnolgicos a la
gestin de riesgos
operacionales.

que permite hacer una adecuada

gestin de los activos de informacin.
Asimismo, incorpora la posibilidad
de integrar la gestin de riesgos
tecnolgicos a la gestin de riesgos
operacionales.

La definicin de los planes de

mitigacin ayuda a alinear los
proyectos tecnolgicos optimizando
la priorizacin y asignacin de
presupuesto, y facilitando la
determinacin de las necesidades
de inclusin de los proyectos en los
planes operativos de tecnologa.

Grfico N
.1
Gerencia de
Sistemas de
Informacin

Gerencia Proteccin de
Activos de Informacin

Preclasificacin del
Activo en cuanto a
Confidencialidad,
Disponibilidad y
Criticidad

Inventario
Tecnolgico

Preclasificacin
de Activos

Captulo I

Inventario de
Activos
Preclasificados

Sistemas de
Informacin y Gerencia
Proteccin de
Activos de Informacin

Identificacin y
evaluacin de
Riesgo

Concentrador

Ponderacin
de Riesgo

Clasificacin
del Activo en
cuanto al Riesgo

Riesgo
Ponderado
por Activos

Inventario de
Activos
Clasificados

Gestin

Gerencia de
Sistemas de
Informacin

Proteccin de
Activos de
Informacin

Captulo II

Mapa
integral de
Riesgo por
Activo

Riesgos

La metodologa

El objetivo principal fue establecer

los lineamientos para una
adecuada gestin de los recursos
tecnolgicos del banco y de esta
manera: 1) controlar el grado de
exposicin a potenciales amenazas o
vulnerabilidades sobre los activos de
informacin; 2) prevenir la ocurrencia
daos en la imagen de la institucin;
3) propiciar un esquema de mejora
continua en el ambiente de control
interno; 4) disminuir la probabilidad
de ocurrencia de riesgos en los
activos de informacin.
Asimismo, 5) disminuir el impacto
de los riesgos sobre los activos
de informacin; 6) observar los
requerimientos normativos vigentes;
7) desarrollar acciones correctivas
mediante los planes de mitigacin; 8)
favorecer la mejora continua de los
procesos tecnolgicos; y, 9) definir
estrategias de seguridad acordes
a las necesidades de cada activo
en relacin a su nivel de riesgo e
importancia relativa al negocio del
banco.

En materia de gestin de riesgos

tiene la particularidad de orientar el
anlisis de riesgo hacia amenazas
concretas o potenciales y no se
basa en un listado pre-elaborado de
riesgos tericos. As la metodologa
permite clasificar a los activos
de informacin segn su nivel de
exposicin al riesgo y su importancia
relativa al negocio.

21

Tabla N1:
Escala de Valoracin de Impacto
Valor

Riesgos

22

Descripcin

Incremento de costos menor.

Prdidas de ingresos o desembolsos baja.
Pago de multas menores.
Mnimo impacto en la capacidad de procesamiento.
Prdida de la disponibilidad de la informacin por un perodo menor.
Prdida de confidencialidad de la informacin poco sensible.
Prdida de integridad de informacin no crtica.

Incremento de costos considerables.

Prdidas de ingresos o desembolsos moderada.
Pago de multas considerables.
Moderado impacto en la capacidad de procesamiento.
Prdida de la disponibilidad de la informacin por un perodo
tolerable.
Perdida de confidencialidad de informacin sensible.
Prdida de integridad de informacin de criticidad media.

Incremento de costos alto.

Prdidas de ingresos o desembolsos alta.
Pago de multas altas.
Significativo impacto en la capacidad de procesamiento.
Prdida de la disponibilidad de la informacin por un perodo no
tolerable.
Prdida de confidencialidad de informacin altamente sensible.
Prdida de integridad de informacin crtica.

La metodologa fue implementada

sin utilizar una aplicacin que le
d soporte, luego de su primer
ciclo de aplicacin la gerencia de
sistemas de informacin desarroll
una herramienta de software que
permiti implementarla con las

CMO FUNCIONA?
Impacto

Bajo

Medio

La metodologa se divide en
dos captulos (Grfico N 1).
El captulo I contempla las
consideraciones a tener en cuenta
para la pre-clasificacin del activo
de informacin y el captulo II las
consideraciones a tener en cuenta
para el anlisis y gestin de riesgos
en los activos de informacin. A su
vez, el proceso de gestin de activos
se divide en cinco fases.
Identificacin de activos (Fase I).

Alto

escalas de medicin definidas para

el banco, pero con la suficiente
flexibilidad para adaptarse a
cambios en las escalas de medicin
de los riesgos sin ningn tipo de
dificultad.

Busca identificar los activos de

informacin del banco, para ello
se debe establecer qu es y qu
no es un activo de informacin.
La tipificacin de activos debe
adems contemplar unificar
como un activo a todos aquellos
recursos que tengan caractersticas
comunes y que la informacin que
administran, procesan o almacenan
tenga el mismo grado de criticidad,
confidencialidad y disponibilidad.
Deben agruparse aquellos recursos a
los que se les puede aplicar la misma
estrategia de seguridad. En esta fase
se obtiene el inventario de activos de
informacin.
Pre-clasificacin de activos (Fase II).

La metodologa integral de GAI le permiti al banco, entre otras ventajas, identificar la

situacin real de los activos de informacin y definir herramientas grficas que permiten
mantener informadas a las autoridades del nivel de vulnerabilidad al que est expuesto el
banco en cuanto a sus recursos tecnolgicos.
Revista ALIDE / enero-marzo 2013

El objetivo es analizar cada activo

de informacin para determinar los
niveles de: criticidad, disponibilidad
y confidencialidad. Los parmetros
a tener en cuenta para medir estos
valores se definen en funcin a
la importancia relativa que la
informacin de los activos tiene
para el negocio. En esta etapa se
obtiene la pre-clasificacin de cada
uno de los activos de informacin
inventariados, la misma que debe
mantenerse actualizada, dado que
los continuos cambios en el mercado
impactan sobre dicha preclasificacin
aumentando o disminuyendo su
importancia relativa al negocio.

Tabla N2:
Escala de Valoracin de Probabilidad de Ocurrencia
Valor

Descripcin

Anlisis de riesgo de los activos de

informacin (Fase III).

Para cada activo de informacin se

realiza la autoevaluacin de riesgos
que consta de las etapas siguientes:
1) identificacin de los riesgos
tecnolgicos a los que est expuesto
cada activo de informacin; y, 2)
medicin de riesgos. Esto ltimo se
realiza de la manera siguiente: a) se
determina su impacto y probabilidad
de ocurrencia utilizando las escalas
definidas por el banco (vase tabla
N 1, y 2); b) se calcula el riesgo
inherente como el producto de los
valores de impacto y probabilidad

Eventual

Probable

Altamente
probable

Nmero de Veces

Ocurrencia

Nunca sucedi en el banco o sucedi un nmero

poco significativo de veces.
Se tiene conocimiento de su ocurrencia muy
espordicamente en otras entidades del mercado.
Puede llegar a materializarse en el banco muy
pocas veces en el ao.
Ha sucedido en el banco un nmero considerable
de veces.
Se tiene conocimiento de su ocurrencia con una
frecuencia considerable en otras entidades del
mercado.
Puede materializarse en el banco un nmero
considerable de veces al ao
Ha sucedido en el banco un nmero importante
de veces.
Se tiene conocimiento de su ocurrencia con una
frecuencia importante en otras entidades del
mercado.
Puede materializarse en el banco un nmero
importante de veces al ao

Baja

Media

Riesgos

Por ello el proceso incluye los

mecanismos para su actualizacin
peridica.

Alta

Tabla N3:
Escala de Valoracin de Efectividad del Control

En materia de gestin
de riesgos tiene la
particularidad de

Escala

Descripcin

Valor

Muy Satisfactorio

0.25

Satisfactorio

0.5

Poco Satisfactorio o
Inexistente

orientar el anlisis
de riesgo hacia
amenazas concretas
o potenciales y no se
basa en un listado
pre-elaborado de
riesgos tericos.
As la metodologa
permite clasificar
a los activos de
informacin segn su
nivel de exposicin
al riesgo y su
importancia relativa al
negocio.

de ocurrencia; c) se identifica el
control existente evalundose si
existen implementados y funcionando
controles para mitigar el riesgo; d)
se evala la efectividad del control
utilizando la escala definida por el
banco (vase tabla N 3); y e) se
calcula el riesgo residual como el
producto entre el riesgo inherente y la
efectividad del control.
En esta fase se obtiene la
documentacin formal de los
riesgos tecnolgicos de los activos
de informacin del banco, que son
identificados y documentados por
las reas de sistemas y de seguridad,
siendo los primeros los responsables

Criterio
Si el control es Preventivo ya sea este de
naturaleza automtica o manual.
Si el control es Detectivo (ya sea de
naturaleza automtica o manual) o si
el control es Correctivo de naturaleza
automtica.
Si el control es Correctivo de naturaleza
manual, o bien si no existe el control.

de analizar los riesgos de los

aspectos netamente tcnicos y los
segundos de analizar los aspectos de
seguridad de los activos.
Gestin de activos (Fase IV).
Contempla: 1) la clasificacin
de los activos, que sirve para
la determinacin del grado de
sensibilidad del activo con respecto al
riesgo. Para determinarla se utilizan
los resultados de la pre-clasificacin
y del anlisis de riesgo del activo
(vase tabla N 4); y, 2) la confeccin
de reportes para la comunicacin de
la situacin del banco con respecto
a los riesgos, y la elaboracin del
plan de mitigacin integral. En esta

23

Tabla N4:
Escala de Valoracin de la Clasificacin
Ponderador

Criticidad

Disponibilidad

Baja

mayor a 0

Altamente
Crtico

Crtico

Confidencialidad
Acceso Restringido o
Pblico

En cualquier otro caso

Riesgos
24

Crtico
Altamente Crtico

mayor a 0

Acceso Restringido o
Pblico

Medio

Alta

igual a 0

Acceso Restringido o
Sensible

Altamente Critico
Crtico

Baja

mayor a 0

Acceso Restringido o
Pblico

Moderado

Alta

igual a 0

Acceso Restringido o
Sensible

Crtico

En cualquier otro caso

Moderado

Clasificacin

Baja

En cualquier otro caso

Medio

al activo en niveles de sensibilidad

tolerables.

Medio

Baja

mayor a 0

Acceso Restringido o
Pblico

Bajo

Alta

igual a 0

Acceso Restringido o
Sensible

Medio

En cualquier otro caso

Alta

igual a 0

Bajo

Acceso Restringido o
Sensible

En cualquier otro caso

fase se emiten los informes siguientes:

informe de riesgo, informe de logros,
informe de resultados, y plan de
mitigacin integral. Este ltimo
incluye las estrategias para mitigar los
riesgos y mejorar la sensibilidad de
los activos, que se eleva al Directorio
para su conocimiento y aprobacin.
Seguimiento del plan de mitigacin

Moderado
Moderado
Bajo

de informacin reducindose su nivel

de sensibilidad. Del resultado de la
clasificacin en 2010 surgi que el
17% de los activos se encontraban
en un nivel de exposicin al
riesgo altamente crtica. Con la
implementacin de los planes de
mitigacin en 2011 se logr mejorar
la sensibilidad del 47% de los
mismos.

integral (Fase V).

Comprende el mecanismo de
control de cumplimiento de los
planes de mitigacin aprobados.
Ello permite detectar desvos en
forma temprana pudiendo alertar
a los altos niveles gerenciales
del impacto de estos desvos en
relacin a la sensibilidad del activo
que se desea proteger.
RESULTADOS
Cabe indicar que se identificaron ms
de 300 activos de informacin sobre
los cuales se aplic la metodologa.
Con su aplicacin se optimizaron y
generaron controles sobre los activos
Revista ALIDE / enero-marzo 2013

En general, la implementacin de
la metodologa integral de GAI le
permiti al banco: 1) identificar
la situacin real de los activos de
informacin; 2) definir herramientas
grficas que permiten mantener
informadas a las altas autoridades
del nivel de vulnerabilidad al que
est expuesto el banco en cuanto
a sus recursos tecnolgicos;
3) aprovechar al mximo la
informacin obtenida de la gestin
de riesgo; 4) definir e implementar
planes de mitigacin para mejorar
el nivel de sensibilidad del activo
eliminando o mitigando los riesgos
a los que est expuesto, reubicando

Adems: 5) optimizar la priorizacin

y presupuesto de los proyectos del
plan operativo alinendolos a los
planes de mitigacin definidos;
6) mejorar el ambiente de control
interno optimizando los controles y
creando nuevos controles sobre los
activos de informacin; 7) mejorar
el nivel de cumplimiento normativo
mejorando la calificacin del BCRA
para el rea de sistemas; 8) mejorar
el nivel de servicio de soporte al
negocio brindado por la gerencia
de sistemas de informacin a las
unidades de negocio; 9) sustentar
la toma de decisiones en materia
de tecnologa sobre la base de
informacin ms confiable y
concreta; y, 10) mejorar el nivel de
prestacin de servicio a los clientes,
favoreciendo que los clientes sigan
eligiendo al banco y captando
nuevos clientes

Cabe indicar que

se identificaron ms
de 300 activos de
informacin sobre
los cuales se aplic
la metodologa.
Con su aplicacin
se optimizaron y
generaron controles
sobre los activos
de informacin
reducindose
su nivel de
sensibilidad.