WIXLIB

Gerenc. Tecnol. Inform. Vol. 15 N 41 Ene - Abr Valencia, Marulanda, LópezLos riesgos de tecnologías de información, sonuna disciplina asociada en el ámbito académico yprofesional a siglas como ITRM (por sus siglas en inglesde Information Technology Risk Management), o ISRM(Information Security Risk Management), consideradasegún [3] una de las funciones esenciales del gobiernode Tecnología de Información, aunque desde unaperspectiva mucho más amplia, está asociada a lo que sedenomina IT GRC (Information Technology GovernanceRisk and Compliance).El IT GRC, tal como se puede apreciar en la figura 2, esun subconjunto del GRC compuesto por tres cuerpos deconocimiento, el Gobierno de TI (IT governance), losriesgos de TI (IT Risk) y el cumplimiento regulatorio ynormativo de TI (IT compliance) que actúan de formaintegrada.FIGURA 2. IT GRC como parte del GRCPor su parte the IT Governance Institute (ITGI) eISACA son mucho más explícitos, al establecer enCOBIT 4.1 cinco (5) áreas de enfoque para establecerel gobierno de TI: alineamiento estratégico, entregade valor, administración de riesgos, administraciónde recursos y medición del desempeño. Entendidala administración de riesgos como un área en dondelos altos ejecutivos requieren concientizarse acercade la evolución de las amenazas con los modelos denegocios y las reglamentaciones de los riesgos, a travésde un claro entendimiento del apetito del riesgo, de lacomprensión de los requerimientos de cumplimiento, latransparencia de los riesgos significativos y la inclusiónde las responsabilidades de administración de riesgosdentro de la organización [6].COBIT 5.0 (como evolución de COBIT 4.1.) es consideradoactualmente uno de los principales referentes en materiade gobierno y gestión de tecnologías de información,de allí que contemple desde la perspectiva tanto degobierno como de gestión de TI, el componente deriesgos.Desde la perspectiva de gobierno de TI, COBIT 5.0establece bajo el dominio evaluar, dirigir y supervisar(EDM por sus siglas en inglés Evaluate, Direct andMonitor), el proceso EDM03 Asegurar la optimizacióndel riesgo y desde la perspectiva de gestión, el procesoAPO12 Gestionar el riesgo, en el dominio alinear,planificar y organizar (APO).Fuente: [4]1.1 LOS RIESGOS DE TECNOLOGÌA DEINFORMACIÒN EN LOS PRINCIPALES MARCOSDE REFERENCIA DE GOBIERNO Y GESTIÒN DETIC“La gestión de riesgos es un método sistemático quepermite planear, identificar, analizar, evaluar, tratar ymonitorear los riesgos asociados con una actividad,función o proceso, para que la organización puedareducir pérdidas y aumentar sus oportunidades”[5], eneste caso las actividades, funciones, procesos y recursosque hacen parte de las Tecnologías de Información yComunicaciones.La norma ISO/IEC 38500:2008 contempla tanto en ladefinición de gobierno de TI, como en su estructura,los riesgos de TI, si bien no de manera explícita, si ensu contexto al establecer el control como parte de ladefinición, lo que, en la lógica de las metodologías degestión de riesgos, conlleva a la existencia de riesgospara poder definir controles.68El proceso de gobierno de TI, EDM03 Asegurar laoptimización del riesgo, es descrito por [7] comoun proceso requerido para asegurar que el apetitoy la tolerancia al riesgo de una organización esentendido, articulado y comunicado y que el riesgopara el valor de la empresa relacionado con el usode las TI es identificado y gestionado. Para lograrlo,ISACA a través de la guía de procesos catalizadoresde COBIT 5.0. plantea tres áreas clave: EDM03.01Evaluar la gestión de riesgos. Examinar y evaluarcontinuamente el efecto del riesgo sobre el uso actual yfuturo de las TI en la empresa. Considerar si el apetitode riesgo de la empresa es apropiado y el riesgo sobreel valor de la empresa relacionado con el uso de TIes identificado y gestionado. EDM03.02 Orientarla gestión de riesgos. Orientar el establecimientode prácticas de gestión de riesgos para proporcionaruna seguridad razonable de que son apropiadas paraasegurar que riesgo TI actual no excede el apetitode riesgo del Consejo. EDM03.03 Supervisar lagestión de riesgos. Supervisar los objetivos y lasmétricas clave de los procesos de gestión de riesgoy establecer cómo las desviaciones o los problemasserán identificados, seguidos e informados para suresolución.GOBIERNO Y GESTIÓN DE RIESGOS DE TECNOLOGÍAS

Gerenc. Tecnol. Inform. Vol. 15 N 41 Ene - Abr Valencia, Marulanda, LópezEl proceso de gestión de TI, APO12 Gestionar el riesgopermite identificar, evaluar y reducir los riesgos de TIde forma continua, dentro de los niveles de toleranciaestablecidos por la dirección de la empresa. Para ello secontemplan 6 prácticas:APO12.01 Recopilar datos. Identificar y recopilardatos relevantes para catalizar una identificación,análisis y notificación efectiva de riesgos relacionadoscon TI. APO12.02 Analizar el riesgo. Desarrollarinformación útil para soportar las decisiones relacionadascon el riesgo que tomen en cuenta la relevancia parael negocio de los factores de riesgo. APO12.03Mantener un perfil de riesgo. Mantener un inventariodel riesgo conocido y atributos de riesgo (incluyendofrecuencia esperada, impacto potencial y respuestas)y de otros recursos, capacidades y actividades decontrol actuales relacionados. APO12.04 Expresar elriesgo. Proporcionar información sobre el estado actualde exposiciones y oportunidades relacionadas con TIde una forma oportuna a todas las partes interesadasnecesarias para una respuesta apropiada. APO12.05Definir un portafolio de acciones para la gestiónde riesgos. Gestionar las oportunidades para reducirel riesgo a un nivel aceptable como un portafolio.APO12.06 Responder al riesgo. Responder de unaforma oportuna con medidas efectivas que limiten lamagnitud de pérdida por eventos relacionados con TI.De manera complementaria, ISACA como parte dela familia de productos de COBIT 5.0, dentro de susguías profesionales ha desarrollado COBIT 5 parariesgos, liberada en 2013 y dirigida específicamentea profesionales de riesgos, donde presenta dosperspectivas de riesgos: la perspectiva de la función deriesgos, centrándose en lo requerido para construir ymantener la función de riesgos en una organización; yla perspectiva de la gestión de riesgos, cuyo foco sonlos procesos orientados a identificar, analizar, respondery reportar los riesgos diariamente [8].Finalmente, es necesario destacar que la esencia delproceso de implementación de un sistema de gestión deseguridad de la información basado en la norma ISO/IEC 27001:2013 es la gestión de riesgos.1.2. CRISC UNA DE LAS PRINCIPALESCERTIFICACIONES EN RIESGOS DE TECNOLOGIASDE INFORMACIÒN, PARA IMPULSAR ELGOBIERNO Y GESTIÒN DE RIESGOS DE TICPara llevar a cabo procesos de gobierno y gestión deriesgos de tecnologías de información, es necesarioadquirir competencias que permitan garantizar unproceso ajustado no solo a las necesidades específicas dela organización, sino a las mejores prácticas existenteshasta el momento.Una de las principales certificaciones que a nivelinternacional existen en materia de gestión de riesgosde tecnologías de información es CRISC (Certified inRisk and Information Systems Control), catalogada porla encuesta IT skills and salary survey 2015 desarrolladapor Global Knowledge y Windows IT Pro durante eltercer trimestre del 2014, como la certificación mejorvalorada dentro de las certificaciones de tecnologías deinformación[9].Esta certificación establecida en 2009 por ISACA,representa para aquellos profesionales de tecnologíasde información que la obtienen, el respaldo de contarcon conocimientos y experiencia práctica para integrarla gestión del riesgo organizacional con habilidades decontrol de sistemas de información. Ello se adquiere apartir de la aprobación del examen CRISC y demostrarexperiencia como mínimo de tres (3) años consecutivosen al menos tres (3) de los cuerpos de conocimientoque contempla la certificación, además de adherirse alcódigo de ética profesional de ISACA y aceptar cumplircon la política de educación continua de CRISC[10].Dentro de los cuerpos de conocimiento que hacenparte de esta certificación y que le permiten a unprofesional dar cobertura a los diferentes aspectos quecontempla un adecuado proceso de gobierno y gestiónde riesgos, se han establecido cinco (5) dominios deconocimiento: identificación, evaluación y estimación deriesgos; respuesta ante riesgos; monitoreo de riesgos;diseño e implementación de controles de sistemas deinformación; monitoreo y mantenimiento de controlesde sistemas de información.2.MARCOSDEREFERENCIAYMETODOLOGIAS DE GOBIERNO Y GESTIÒNDERIESGOSDETECNOLOGIASDEINFORMACIÒNEn los últimos años han surgido una serie de marcosde referencia y metodologías que permiten materializarel proceso de gobierno y gestión de riesgos de TIC.Entre los que plantean marcos integrados de gobiernoy gestión se destacan RISK IT y RISK FOR COBIT 5.0,mientras que las que establecen tan solo esquemas degestión del riesgo son principalmente: MAGERIT, ISO/IEC 27005, NIST 800-30, OCTAVE, MEHARI, CRAMM, lascuales se caracterizaran de forma general a continuación.RISK IT: Esta iniciativa de ISACA, fue desarrollada comoun complemento de COBIT, teniendo en cuenta el marcode controles que allí se plantean. RISK IT es un marcode riesgos de TI basado en un conjunto de principios,guías, procesos de negocio y directrices, conformadopor tres ámbitos y nueve procesos interrelacionados, talcomo se puede observar en la figura 3.GOBIERNO Y GESTIÓN DE RIESGOS DE TECNOLOGÍAS69

Gerenc. Tecnol. Inform. Vol. 15 N 41 Ene - Abr Valencia, Marulanda, LópezFIGURA 3. Marco de gestión de riesgos de RISK ITNIST 800-30: Es la guía para la administración de riesgosde Tecnologías de Información del Instituto Nacional deEstándares y Tecnología (NIST) de los Estados Unidos,aplicable a todas las Instituciones gubernamentalesde este país y ampliamente referenciada. Plantea unaestructura metodológica basada en 9 fases, tal como sepuede apreciar en la figura 5.FIGURA 5. Actividades de gestión de riesgos de la NIST800-30.Fuente: [11]ISO/IEC 27005: Esta norma forma parte de la familiaISO 27000, publicada en 2008 y adoptada de formaidéntica en Colombia por ICONTEC en el año 2009,como NTC-ISO/IEC 27005, es la norma que proporcionadirectrices para la gestión de riesgos de Tecnologías deInformación, dando soporte de manera particular a lanorma ISO/IEC 27001:2013 del sistema de gestión deseguridad de la información. Su estructura es muy similara la ISO 31000, tal como se puede observar en la figura 4.FIGURA 4. Proceso de gestión de riesgos de seguridadde la información de acuerdo a la ISO/IEC 27005:2009Fuente: [13]Fuente: [12]70OCTAVE (Operationally Critical Threat, Assetand Vulnerability Evaluation): es una colecciónde herramientas, técnicas y métodos para evaluar losriesgos de seguridad de la información, desarrollada porel Software Engineering Institute (SEI) de CarnegieMellon [14], y cuenta con tres versiones: OCTAVE,OCTAVE-S y OCTAVE ALLEGRO. Cada una de estasversiones presenta algunas variaciones en relación a suconcepción y a las actividades que se deben realizar encada una de las fases.[15].GOBIERNO Y GESTIÓN DE RIESGOS DE TECNOLOGÍAS

Gerenc. Tecnol. Inform. Vol. 15 N 41 Ene - Abr Valencia, Marulanda, LópezRISK FOR COBIT 5.0: es la visión más reciente deISACA acerca de cómo se pueden gestionar los riesgosde TIC en el marco de COBIT 5.0, presentando dosperspectivas de cómo usar COBIT en un contexto deriesgos: la función de riesgos y la administración deriesgos. La perspectiva de función de riesgos se focalizaen lo que es necesario para construir una funciónde riesgos en una organización y la perspectiva deadministración de riesgos se focaliza en los procesos degobierno y gestión de riesgos[8].MAGERIT: es la metodología de análisis y gestión deriesgos de los sistemas de información, utilizada en laAdministración Pública Española, actualmente en suversión 3.0, consta de tres libros: El primero orientado aexplicar el método, el segundo explicativo del catálogode elementos y el tercero es una guía de las técnicasutilizadas en la metodología.Como parte de la metodología se tiene un software queda soporte a todo el proceso denominada PILAR.de riesgos organizacional y un proceso de gestión deriesgos de tecnologías de información, los activosobjeto de análisis y los parámetros con los cuales semide su impacto, los cuales serán descritos en detallea continuación.3.1 LA INFORMACIÒN, LOS SERVICIOS EINFRAESTRUCTURA TIC COMO ACTIVOS OBJETODE PROTECCIÒN DEL ITRMEl ciclo de información de una empresa, tal comose puede observar en la figura 6, nace a partir de lageneración y procesamiento de los datos, los cualesson transformados en información y conocimiento,creando valor para la empresa, a través de la cual setoman decisiones que permiten el funcionamiento de laorganización en sus diferentes niveles: operativo, tácticoy estratégico.FIGURA 6. Ciclo de la información.MEHARI: (Method for Harmonized Analysis of Risk)Método Armonizado de Gestión de Riesgos, fuedesarrollado por el CLUSIF (Club de la Seguridad dela Información de Francia), desde 1996, con el finde asistir a diferentes ejecutivos de la organización(Administradores operativos, Jefes de Sistemas,Administradores de riesgos, auditores) en su esfuerzopara gestionar la seguridad de la información y recursosasociados para reducir los riesgos asociados[16].CRAMM: (CCTA Risk Analysis and Management Method)es una metodología desarrollada por el gobierno delReino Unido, a través de la CCTA (Central Computerand Telecommunications Agency), su versión inicialsurgió en 1987.3. ASPECTOS DIFERENCIADORES DE UNPROCESO DE ITRM FRENTE A UNA GESTIÒNDE RIESGOS ORGANIZACIONALEn la literatura académica y profesional se encuentrandiversos trabajos orientados a realizar comparacionesentre las metodologías de gestión de riesgo organizacionaly tecnológica y entre las mismas metodologías de ITRM.Trabajos como los desarrollados en [17], [18] que realizancomparaciones entre lo organizacional y lo tecnológico yanálisis de relaciones entre las metodologías de riesgosde TIC, como las propuestas por [19],[20],[21] nosllevan a concluir desde el punto de vista metodológico,la existencia de fases comunes de cualquier proceso deriesgos, los cuales se resumen en: establecimiento decontexto, identificación de riesgos, análisis de riesgos,valoración de riesgos, plan de tratamiento de riesgos,comunicación y consulta y monitoreo, siendo dos de losaspectos diferenciadores entre un proceso de gestiónFuente: [22]El proceso de gestión de la información puede ser llevadoa cabo de forma manual o con el uso de TIC, siendoesta última la forma más generalizada actualmente parasu tratamiento, lo que nos lleva a utilizar los diferentesactivos tecnológicos para garantizar eficacia y eficienciaen el tratamiento de la información.A partir de lo expuesto previamente, los riesgos de TICcubren por lo general dos tipos de recursos, la informacióny los activos tecnológicos, sin embargo, frente a laevolución de la función de Tecnologías de Información,ha surgido un tercero, denominado servicios de TIC,como concepto integrador de recursos y cuyo origen seda al pasar de un una gestión de recursos tecnológicos auna gestión de servicios de Tecnologías de Información(ITSM por sus siglas en inglés Information TechnologyService Management).En este sentido, las organizaciones cuentan con unagran cantidad y variedad de activos tecnológicos, locual requiere de esquemas conceptuales que permitantener una visión holística de ellos para su adecuadaGOBIERNO Y GESTIÓN DE RIESGOS DE TECNOLOGÍAS71

Gerenc. Tecnol. Inform. Vol. 15 N 41 Ene - Abr Valencia, Marulanda, Lópezprotección. Dentro de las propuestas existentes a esterequerimiento, se encuentran tres modelos, el propuestopor la Unión Internacional de Telecomunicaciones (ITUsiglas en inglés de International TelecomunicationUnion), el de Microsoft y el de MAGERIT.La ITU ha planteado un modelo denominado arquitecturade seguridad para sistemas de comunicaciones extremoa extremo, como se puede observar en la figura 7,desarrollado a través de la recomendación UIT-T X.805,donde se definen los elementos de seguridad generalesde la arquitectura que son necesarios para garantizar laseguridad extremo a extremo.FIGURA 7. Arquitectura de seguridad extremo aextremo.Por último, MAGERIT (Metodología de Análisis y Gestiónde Riesgos de los Sistemas de Información), uno de losprincipales referentes a nivel internacional para la gestiónde riesgos de Tecnologías de Información, desarrolladopor el Ministerio de Hacienda y AdministracionesPúblicas de España, contempla la clasificación propuestaen la tabla 1.TABLA 1. Capas tecnológicas de MAGERIT versión 3.0.ACTIVOS ESENCIALESINFORMACIÓNSERVICIOSACTIVOS SUBORDINADOS A LOS ACTIVOSESENCIALESDATOSSERVICIOS AUXILIARESAPLICACIONES INFORMÁTICASEQUIPOS INFORMÁTICOSSOPORTES DE INFORMACIÓNEQUIPAMIENTO AUXILIARREDES DE COMUNICACIONESINSTALACIONESPERSONASFuente: Construido a partir de [25]Fuente: Adaptado de [23]El modelo propuesto por Microsoft, denominado modelode seguridad en profundidad o defensa en profundidad,cuyo principio está basado en una estrategia militar quetiene como objetivo demorar el avance del oponenteal mantener múltiples capas de defensa y no solo unafuerte línea defensiva, tal como se puede observar enla figura 8.FIGURA 8. Modelo de seguridad en profundidad.Es importante tener en cuenta que el recurso másvalioso para las organizaciones es la información, y lasTIC son el medio para su adecuado procesamiento, deallí la necesidad de diferenciar ambos tipos de activosque son objeto de análisis en los procesos de gestiónde riesgos.A partir de estos modelos y siendo coherentes conel planteamiento inicial de los tres tipos de activostecnológicos, se propone un modelo compuesto por 12capas tecnológicas interdependientes y organizadas deforma tal que, en caso de falla de alguna de ellas, puedegenerar un efecto dominó sobre las demás, lo que llevaa contemplar una gestión de riesgos integral, tal comose puede observar en la figura 9.FIGURA 9. Capas de tecnologías de información ycomunicaciones.Fuente: [24]72GOBIERNO Y GESTIÓN DE RIESGOS DE TECNOLOGÍAS

Gerenc. Tecnol. Inform. Vol. 15 N 41 Ene - Abr Valencia, Marulanda, LópezUna descripción general de cada una de estas capas, sepresenta a continuación:Procesos de negocio: los procesos de negocioson todas aquellas actividades desarrolladas porla organización para cumplir con sus objetivos.Tradicionalmente estas se encuentran asociadas endiferentes categorías tales como: procedimientos, loscuales en su conjunto conforman un proceso, y a su vezen su conjunto, se denominan macro procesos.Todas las organizaciones cuentan por lo general conun mapa de procesos, agrupados en estratégicos,misionales y de apoyo (o términos similares) los cualesreflejan la forma como opera la organización y el nivelde interrelación existente entre cada uno de ellos.Servicios de TI: de acuerdo a la definición planteadapor ITIL, un servicio de TI es un medio por el cual seentregar valor a los clientes (usuarios) facilitándolesun resultado deseado sin la necesidad de que estosasuman los costos y riesgos específicos [26]. Losservicios se construyen a partir de la combinación de lainfraestructura tecnológica y los procesos de gestión yoperación de TI.Algunos ejemplos de servicios son: correo electrónico,servicio de backups, servicio de procesamiento denómina, servicio de soporte y mantenimiento, serviciode capacitación.Datos, información, conocimiento: son los recursosmás valiosos para la organización y los que en definitivarequieren mayor nivel de protección.Sistemas de información transaccionales: sontodos aquellos sistemas de información que utiliza laorganización para automatizar sus procesos de negocio.Algunos ejemplos son: ERP (Enterprise ResourcePlanning), CRM (Customer Relation Management),sistemas de información de nómina, sistemas deinformación de ventas.Sistemas de información de soporte: son todasaquellas herramientas de software que apoyan el negocioy la función de tecnologías de información para cumplirdiferentes funciones operacionales, y se diferenciande los sistemas de información transaccionales, enque estas herramientas no soportan un proceso denegocio en especial. Dentro de

COBIT 5.0 (como evolución de COBIT 4.1.) es considerado actualmente uno de los principales referentes en materia de gobierno y gestión de tecnologías de información, de allí que contemple desde la perspectiva tanto de gobierno como de gestión de TI, el componente de riesgos. Desde la perspectiva de gobierno de TI, COBIT 5.0