E LEARNING - Lección 2

Marco General
Importancia de la Información en la Organización
La información junto a los procesos y sistemas que hacen uso de ella, son activos muy importantes
de una organización.
La confidencialidad, integridad y disponibilidad de información sensible pueden llegar a ser esenciales
para mantener los niveles de competitividad, rentabilidad, conformidad legal e imagen empresarial
necesarios para lograr los objetivos de la organización y asegurar beneficios económicos.

Las organizaciones y sus sistemas de información están expuestos a un número cada vez más
elevado de amenazas que, aprovechando cualquiera de las vulnerabilidades existentes, pueden
someter a activos críticos de información a diversas formas de fraude, espionaje, sabotaje o
vandalismo. Los virus informáticos, el “hacking” o los ataques de denegación de servicio son algunos
ejemplos comunes y conocidos, pero también se deben considerar los riesgos de sufrir incidentes de
seguridad causados voluntaria o involuntariamente desde dentro de la propia organización o aquellos
provocados accidentalmente por catástrofes naturales y fallos técnicos.

El cumplimiento de la legalidad, la adaptación dinámica y puntual a las condiciones variables del

entorno, la protección adecuada de los objetivos de negocio/servicio para asegurar el máximo
beneficio o el aprovechamiento de nuevas oportunidades de negocio/servicio, son algunos de los
aspectos fundamentales en los que un Sistema de Gestión de la Seguridad de la Información (SGSI)
es una herramienta de gran utilidad y de importante ayuda para la gestión de las organizaciones.

El nivel de seguridad alcanzado por medios técnicos es limitado e insuficiente por sí mismo. En la
gestión efectiva de la seguridad debe tomar parte activa toda la organización, con las Autoridades
Superiores al frente, tomando en consideración también a clientes y proveedores de bienes y servicios.
El modelo de gestión de la seguridad debe contemplar unos procedimientos adecuados y la
planificación e implantación de controles de seguridad basados en una evaluación de riesgos y en una
medición de la eficacia de los mismos.

El Sistema de Gestión de la Seguridad de la Información (SGSI) ayuda a establecer estas políticas y

procedimientos en relación a los objetivos de negocio de la organización, con objeto de mantener un
nivel de exposición siempre menor al nivel de riesgo que la propia organización ha decidido asumir.

Con un SGSI, la organización conoce los riesgos a los que está sometida su información y los asume,
minimiza, transfiere o controla mediante una sistemática definida, documentada y conocida por todos,
que se revisa y mejora constantemente.

Normalmente en las Organizaciones se consideran los riesgos financieros, que son fácilmente
entendibles y asimilables por los directivos y que se relacionan con posibles pérdidas económicas,
pero se desconoce o no se valora la existencia del riesgo que es inherente al uso de sistemas de
información, hoy en día elementos imprescindibles para el desarrollo de las actividades de la
organización, incluyendo la información financiera.

El riesgo está presente en la mayoría de las actividades de la Organización, desde el lanzamiento de

un nuevo producto hasta los servicios por ella brindados pasando por procesos de decisión,
planificación o gestión.

1
Un tema fundamental es el debido cuidado de la información; esto significa crear hábitos para el
cuidado de la información confidencial del negocio, lo cual es una de las tareas más importantes a
desarrollar en una organización como parte de su estrategia de seguridad.

Con el objetivo de minimizar los riesgos de ataques tanto internos como externos, toda organización
puede empezar por implementar una serie de acciones sencillas tendientes a frustrar las amenazas
sobre la información.
Entre ellas se pueden mencionar:

1. Establecer Políticas de Seguridad: documento de alto nivel que denota el compromiso de la

Dirección Superior con la seguridad de la información. Cubre toda la Información de la Organización.
Esto incluye identificar al propietario de la información y señalar a qué personas se les permite acceder
a ella y en qué momento.

2. Asegurar el “Elemento Humano”. Las personas son el elemento más importante de un programa
de Seguridad de la Información. El entrenamiento y conocimiento de la seguridad, por ende, es
esencial. Los empleados necesitan ser asesorados sobre las amenazas, represalias y
responsabilidades del manejo de la información. Los contratos de confidencialidad (NDAs, no-
disclosure agreement1) son el medio más adecuado para advertir a los empleados sobre sus
responsabilidades.

3. Utilizar Barreras Físicas de Seguridad. Las barreras físicas2, incluyen puertas, entradas, cajas de
seguridad, y archivos con llave pueden ser utilizados para controlar el acceso a la información. La
entrada a personas debe ser permitida mediante guardias de seguridad, llaves, distintivos, accesos
con tokens y biométricos. Arrojar apropiadamente la basura, incluyendo los residuos provenientes de
destructores de papel es una práctica para mantener la información sensible fuera del alcance de los
“recolectores de información”, así como también de algunos empleados que examinan los residuos de
las oficinas.

4. Actualizar sus Herramientas. La información debe ser protegida tanto en el sitio de

almacenamiento como en las redes de transmisión de datos y telecomunicaciones. Esto requiere una
combinación de resguardos que incluya controles de acceso, autenticación, cifrado (encriptación) y
detección de intrusos. Los controles de acceso –claves en PCs y redes, firewalls y aplicaciones de
control- previenen el acceso no autorizado a los recursos de información. Estos controles pueden
aplicarse también a registros, documentos individuales, o sistemas completos.

5. Adoptar una Estrategia para Planes de Contingencia y Manejo de Incidentes. El paso final de
un programa de seguridad de información es prepararse para lo peor y así poder responder a los
incidentes que se presenten. Esto incluye obtener pólizas de seguros y establecer procedimientos
para manejo de incidentes.

Concepto - Tipos de Riesgo y Principios

Sin perjuicio de lo detallado a continuación se recomienda la lectura de la norma IRAM 17550 sobre
Administración y Gestión de Riesgos e IRAM 27004 sobre Gestión de la Seguridad

1 Ver Lectura Anexa – “La importancia de la confidencialidad - NDAs”

2 Ver http://www.segu-info.com.ar/fisica/seguridadfisica.htm
2
Podemos definir el riesgo como la “Contingencia o proximidad de que suceda algo que tendrá un
impacto en los objetivos”. Su medición es en términos de una combinación entre la probabilidad de un
evento y su consecuencia.
En tal sentido se define:

Probabilidad: intervalo dentro del cual es probable que ocurra un evento. Establecer la probabilidad
de ocurrencia puede realizarse de manera cuantitativa o cualitativa, pero siempre considerando que
la medida no debe contemplar la existencia de ninguna acción mitigatoria, o sea debe considerarse
en cada caso las posibilidades que existen para que la amenaza se presente, independientemente del
hecho que sea o no contrarrestada.
Consecuencia: hecho o acontecimiento que sigue o resulta de otro o de un evento.
Evento: hecho imprevisto o que puede suceder. El evento puede ser cierto o incierto, asimismo puede
ser una ocurrencia única o una serie de ocurrencias.
Peligro: amenaza o contingencia inminente de que suceda algún mal.
Pérdida: cantidad o cosa perdida es decir cualquier consecuencia negativa.
Amenazas: todo elemento o acción capaz de atentar contra la seguridad de la información. Las
amenazas surgen a partir de la existencia de vulnerabilidades, es decir que una amenaza sólo puede
existir si existe una vulnerabilidad que pueda ser aprovechada. Siempre existen y son aquellas
acciones que pueden ocasionar consecuencias negativas en la operatividad de la Organización. En
general se conoce como amenaza a las fallas, a los ingresos no autorizados, a los virus, los desastres
ambientales, etc.
Activos: Los activos a reconocer son aquellos relacionados con sistemas de información. Ejemplos
típicos son los datos, el hardware, el software, recursos humanos, documentos, servicios, etc.
Impactos: las consecuencias de la ocurrencia de las distintas amenazas son siempre negativas. Las
pérdidas generadas pueden ser financieras, no financieras, de corto o largo plazo. Se puede
considerar como las más comunes: pérdida de dinero, de confianza, de prestigio, de oportunidades
de negocio, etc. etc.

Muchas veces las organizaciones consideran la dicotomía riesgo–oportunidad como “asumir mayor
riesgo y el acaparamiento de las oportunidades potenciales". Esto puede ser una descripción
adecuada del apetito de riesgo global que la organización ha definido para sí misma, sin embargo,
puede suponer más riesgo por ejemplo, seguir adelante sin un plan completo de continuidad del
negocio, puede ahorrar dinero a corto plazo, pero también puede dificultar el crecimiento de la
organización en una etapa posterior.

Resulta importante detenernos en marco que refiere el “Apetito de Riesgo y su Tolerancia”. Conforme
lo define el Informe COSO ”el Apetito del riesgo y la tolerancia son conceptos que se utilizan con
frecuencia, aunque la posibilidad de malentendido es alta.”

Algunas personas utilizan indistintamente los dos conceptos, otros ven una clara diferencia. Las
definiciones del marco de RISK IT son compatibles con las definiciones de COSO ERM (que, a su vez,
son equivalentes a las definiciones de la norma ISO 31000 en la guía 73):
Apetito del riesgo - cantidad de riesgo que una organización u otra entidad están dispuestas a aceptar
cuando se trata de alcanzar sus objetivos

3
Tolerancia del riesgo - variación aceptable en relación a la consecución de un objetivo (y con
frecuencia se mide mejor en las mismas unidades que las que se utiliza para medir los objetivos
relacionados). En otras palabras es la desviación tolerable desde el nivel establecido por la definición
del apetito de riesgo. Por ej. las normas o proyectos que deben realizarse dentro de los presupuestos
y el tiempo. Serán tolerados sobre costes del 10% del presupuesto o el 20 % del tiempo.

Al examinar los niveles de apetito para la organización, surgen dos grandes factores importantes:
• La Capacidad Objetiva de la organización para absorber pérdida, p.e., pérdida financiera,
daño de reputación
• La cultura o la predisposición a asumir riesgos-prudentes o agresivos. ¿Cuál es la cantidad
de pérdida que la organización quiere aceptar llevar a cabo?
El apetito de riesgo se puede definir en la práctica en términos de combinaciones de la frecuencia y la
magnitud de un riesgo. Puede y va a ser diferente entre las organizaciones ya que no existe una norma
absoluta o una norma de lo que constituye un riesgo aceptable e inaceptable.
Una manera gráfica de representar el apetito por el riesgo es por medio de los mapas de riesgo.
Diferentes grupos de riesgo importancia se puede definir, indicado por las bandas de colores en el
mapa de riesgo.
En este ejemplo se definen cuatro bandas de importancia:
- Rojo - indica que realmente es un riesgo inaceptable. La organización estima que este nivel
de riesgo es mucho más allá de su apetito de riesgo normal. Cualquier riesgo que se
encuentren en esta banda podría desencadenar una respuesta inmediata de riesgos.
- Amarillo: indica riesgo elevado, es decir, también por encima de apetito de riesgo aceptable.
La organización podría aceptarlo, como cuestión de política. Requieren mitigación u respuesta
adecuada a definir dentro de los límites de tiempo determinado.
- Verde: indica un nivel aceptable normal de riesgo, normalmente con ninguna acción especial
requerida, excepto el mantenimiento de los controles actuales o de otras respuestas.
- Azul -indicio de un riesgo muy bajo, donde el ahorro del costo de oportunidades se puede
encontrar al disminuir el grado de control o donde las oportunidades para asumir más riesgos
pueden surgir.

Este esquema de apetito de riesgo es un ejemplo. Cada organización tiene que definir sus propios
niveles de apetito de riesgo y repasarlos de manera regular. Esta definición debería estar en la línea
de la cultura de riesgos que la organización quiere expresar, p. ej., el riesgo contrario para arriesgar
la toma o búsqueda de oportunidades. No hay ningún derecho universal correcto o erróneo, pero éste
debe ser definido, bien entendido y comunicado. El apetito de riesgo y la tolerancia de riesgo deberían
ser aplicados no sólo para arriesgar evaluaciones, sino que también para la toma de decisiones de
riesgo de TI.

Es en esta instancia donde los riesgos de TI representan un componente del universo de riesgos a los
que está sometida una organización, existiendo también otros riesgos a los que una organización se
enfrenta como ser los riesgos estratégicos, riesgos ambientales, riesgos de mercado, riesgos de
crédito, riesgos operativos y riesgos de cumplimiento.

En muchas organizaciones, los riesgos relacionados con TI se consideran un componente de riesgo

operativo. Sin embargo, incluso el riesgo estratégico de TI puede tener un componente financiero,
especialmente en aquellas organizaciones en las que es el elemento clave de nuevas iniciativas

4
empresariales. Por esta razón, es mejor no describir los riesgos de TI con una dependencia jerárquica
en una de las categorías de riesgo.

ISACA3 (RISK IT) define una serie de guías para la gestión eficaz de los riesgos. Dichas guías son
generalmente aceptadas sobre la base de los principios de la gestión del riesgo, que se han aplicado
en el campo de las TI.
El modelo de proceso de RISK IT está diseñado y estructurado para que las organizaciones puedan
aplicar los principios en la práctica y comparar sus resultados.

El marco de RISK IT se refiere a los riesgos de TI - en pocas palabras, los riesgos organizacionales
relacionados con el uso de TI. Dichos riesgos están vinculados a la seguridad de la información, las
cuales toman cada día mayor relevancia dentro del mundo de TI.
El aumento de las vulnerabilidades, la masividad de los ataques y los devastadores efectos que éstos
pueden tener sobre la organización, hacen necesario tener en cuenta qué ocurrirá al respecto.

De acuerdo con Etek Argentina4, los 5 mayores problemas en seguridad son:

Virus/malware: evolución de los tradicionales virus informáticos, que actualmente cuentan con una
inteligencia que les permite auto reproducirse.
Abuso de información privilegiada: el que se registra cuando un usuario accede y utiliza información
que no es de la incumbencia de su tarea.
Robo de Notebooks: donde el mayor problema no es el equipo en sí, sino la información que
almacena que suele ser mucho más valiosa e irrecuperable que la propia computadora.
Acceso no autorizado: el acceso remoto a cierto tipo de información que no debería ser pública
debido a fallas de configuración o errores de programación.
Denegación de servicios: Cuando se generan múltiples pedidos innecesarios a un mismo servicio
sin esperar la respuesta correspondiente. En el caso de que sea distribuido en muchas fuentes
generadoras de pedidos se vuelve más difícil de mitigar.

Los primeros virus informáticos surgieron como experimentos en universidades, juegos, o

simplemente con el propósito de molestar, pero no directamente con el objetivo de causar daños en
los equipos informáticos. Sin embargo, un acontecimiento cambió radicalmente el panorama vírico
mundial, y fue el uso masivo de Internet y el correo electrónico.
En la actualidad la propagación del malware resulta mucho más rápida, sobre todo gracias al uso de
internet.

En la actualidad los virus no buscan en la mayoría de los casos la notoriedad, sino todo lo contrario:
permanecer ocultos en el sistema sin que la persona usuaria sepa que su ordenador está infectado.
Por otro lado ya no tienen sólo como objetivo dañar el sistema, sino sustraer información sensible del
equipo informático (contraseñas, números de tarjetas de crédito, etc...) o utilizar el equipo para realizar
ataques a otros sistemas a través de él.
Estamos aquí frente a un delito informático o ciberdelincuencia es toda aquella acción típica antijurídica
y culpable, que se da por vías informáticas o que tiene como objetivo destruir y dañar computadoras,
medios electrónicos y redes de Internet.

3 Information Systems Audit and Control Association (Asociación de Auditoría y Control de Sistemas de Información)
4 Corporación multinacional, líder en soluciones integrales de Seguridad de la Información.
5
Cómo proteger una Organización?
Las Organizaciones deben internalizar el rol decisivo que tiene una adecuada gestión del riesgo de la
cual dependerá el cumplimiento de objetivos contando con información confiable y segura y alineando
los riesgos tecnológicos en función de los objetivos de la Organización.

Los esfuerzos encarados por las organizaciones deben apuntar a lograr y dar una visión de la
seguridad como una inversión y no como un gasto, identificándola como algo tangible que aporte valor
agregado a la Organización, como una ventaja competitiva o una necesidad para la concreción de los
objetivos.

La eficaz gestión de riesgo brinda criterios y justificación a los costos de implementación de medidas
de seguridad. Debe ser la vía para que la Dirección Superior pueda adaptar la inversión que debe
realizar en materia de seguridad.

Es por ello que la efectividad de la protección para la organización se basará en la implementación de

un Sistema de Gestión de Riesgo, dando cumplimiento a las normas que apliquen en la industria que
se desarrolla el Organismo; tener implementado internamente un proceso de control que asegure
desarrollar y mantener los manuales de Políticas y Normas, estándares y procedimientos que hacen
al funcionamiento de la Organización.

Factores y escenarios de Riesgo

La correcta gestión de riesgos es clave para la administración de cualquier organización, ya que casi
todas las decisiones de negocio requieren que la alta dirección o los gerentes conozcan y midan los
riesgos y los beneficios. El uso común y general de las TI puede proporcionar importantes beneficios
a una organización, pero también implica riesgos.

Uno de los desafíos para la gestión de riesgos de TI es poder identificar los riesgos importantes y
relevantes entre todo lo que posiblemente puede relacionarse con TI, considerando la presencia y
dependencia de TI en el servicio/negocio. Una de las técnicas para vencer este desafío es el desarrollo
y el empleo de argumentos/escenarios de riesgo. Esto refiere a un enfoque básico para lograr el
realismo, visión, compromiso organizacional, mejorar el análisis y la estructura de la compleja cuestión
de los riesgos de TI. Una vez que se desarrollan estos escenarios, que se utilizan durante el análisis
de riesgo, donde la frecuencia de la situación realmente está sucediendo y los impactos comerciales
son estimaciones.

Dichos enfoques son complementarios y deben ser utilizados simultáneamente. De hecho, los
escenarios de riesgo deben ser pertinentes y deben estar vinculados con el riesgo real de la
organización. Por otra parte, utilizar un conjunto de escenarios de riesgo genérico ayuda a asegurar
que no se pasan por alto los riesgos y proporciona una visión más amplia y completa sobre los riesgos
de TI. Una vez que el conjunto de escenarios de riesgo se define, puede ser utilizado para el análisis
de riesgos, donde se evalúa la frecuencia y el impacto del escenario.

En el marco de dichos riesgos de TI existe implícito un valor agregado sobre las acciones de los
usuarios como ser:
- Integrar la gestión de los riesgos en el ERM de la organización, esto permitirá que se tomen
decisiones conscientes sobre el retorno de los riesgos.
- Tomar decisiones con conocimiento acerca de la magnitud del riesgo, el apetito de riesgo y la
tolerancia al riesgo de la organización.
6
 - Entender cómo responder a los riesgos.
La práctica ha demostrado que la función de TI y los riesgos de TI a menudo no son bien comprendidos
por las principales partes interesadas de una organización, entre ellos los responsables de la Alta
Dirección y quienes toman las decisiones. Sin embargo, éstas son las personas que dependen de TI
para alcanzar los objetivos estratégicos y operativos de la organización y, en consecuencia, deberían
ser los responsables de la gestión de los riesgos. Sin una clara comprensión de la función y de los
riesgos asociados a TI, los ejecutivos de alto rango no tienen un marco de referencia para priorizar y
administrar los riesgos de TI.

Debe entenderse que los riesgos de TI no son puramente una cuestión técnica. A pesar de que se
necesita de expertos en la materia para entender y gestionar los aspectos de los riesgos de TI, el
conocimiento sobre la gestión del negocio resulta lo más importante. Los gerentes del negocio han
de determinar lo que se debe hacer para apoyar su negocio y establecer los objetivos de TI, por
consiguiente, son responsables de la gestión de los riesgos asociados.

Gestionar los riesgos es una parte integral de una buena práctica gerencial y un elemento esencial
de buen gobierno corporativo. Es un proceso iterativo que consiste en pasos que, cuando se siguen
en secuencia, permiten una mejora continua en el proceso de toma de decisiones y permite a las
organizaciones optimizar su desempeño, arribando a los objetivos propuestos con un grado de
seguridad razonable.

La iniciativa de los Riesgos de TI de ISACA se dedica a ayudar a las organizaciones a gestionar los
riesgos relacionados con TI. Para su desarrollo se ha consultado a un experimentado equipo de
profesionales y expertos, junto con las nuevas prácticas y metodologías empleadas para la gestión
eficaz de los riesgos de TI.

Por tanto, RISK IT es un marco basado en un conjunto de principios y guías, procesos de negocio y
directrices de gestión que se ajustan a estos principios. El marco de los riesgos de TI, RISK IT, se
complementa con COBIT, que proporciona un marco integral para el control y la gestión de las
organizaciones de soluciones y servicios de TI. Aunque COBIT establece las mejores prácticas para
la gestión de riesgos proporcionando un conjunto de controles para mitigar los riesgos de TI, RISK IT
establece las mejores prácticas con el fin de establecer un marco para las organizaciones para
identificar, gobernar y administrar los riesgos asociados a su negocio. El marco de riesgos de TI
es utilizado para ayudar a implementar el gobierno de TI, y las organizaciones que han adoptado (o
están planeando adoptar) COBIT como marco de su gobierno de TI pueden utilizar RISK IT para
mejorar la gestión de sus riesgos.

COBIT, se encarga de gestionar todas las actividades relacionadas con TI en la organización

relacionadas tanto a eventos internos como externos.

Los eventos internos pueden incluir los incidentes operacionales, los fracasos del proyecto, cambios
de la estrategia de TI y las fusiones.
Los eventos externos pueden incluir cambios en las condiciones del mercado, nuevos competidores,
nuevas tecnologías disponibles y las nuevas regulaciones que le afectan. Estos eventos, plantean un
riesgo y una oportunidad para evaluar el mismo y generar las soluciones oportunas. La dimensión del
riesgo, y cómo gestionarlo, es el tema principal de RISK IT. Los procesos de COBIT deben gestionar
todas las actividades Relacionadas con la TI en la organización.

7
Los acontecimientos externos pueden incluir cambios en las condiciones del mercado, nuevos
competidores, nuevas tecnologías disponibles y nuevas regulaciones que le afectan. Todos estos
hechos constituyen un riesgo y / o la oportunidad y necesidad de ser evaluados y desarrollar
respuestas. La dimensión del riesgo, y cómo manejarlo, es el tema principal del marco de riesgos.

El resultado de la evaluación, probablemente tendrá un impacto en algunos de los procesos de TI y /

o en la entrada a los procesos de TI.

Algunas personas consideran la dicotomía riesgo–oportunidad como «asumir mayor riesgo y el

acaparamiento de las oportunidades potenciales". Esto puede ser una descripción adecuada del
apetito de riesgo global que la organización ha definido para sí misma, sin embargo, cabe señalar que
puede suponer más riesgo por ejemplo, seguir adelante sin un plan completo de continuidad del
negocio, puede ahorrar dinero a corto plazo, pero también puede dificultar el crecimiento de la empresa
en una etapa posterior. Un buen método de análisis de riesgo incluye los componentes descritos
anteriormente y la identificación de las opciones a realizar. Aplicar una buena gestión de riesgos y
prácticas de gestión de valor permite tomar decisiones con conocimiento de causa.

En el análisis mencionado entrarán a jugar un papel determinando los factores de riesgo, los cuales
son aquellos factores que influyen en la frecuencia y / o impacto en el negocio de los escenarios de
riesgo, ya que pueden ser de diferente naturaleza, y se pueden clasificar en dos categorías principales:
 Factores ambientales: estos se pueden dividir en factores internos y externos, diferenciándose
en el grado de control que una organización tiene sobre ellos:
 Factores internos del medio ambiente están, en gran medida, bajo el control de la organización,
aunque no siempre sea fácil de cambiar. - Factores externos del medio ambiente están, en gran
medida, fuera del control de la organización.
 Capacidades - Lo buena que es una organización en las actividades relacionadas con TI. Pueden
distinguirse según los tres marcos principales de ISACA:
 Capacidades de gestión de riesgos de TI-¿En qué medida es la organización madura en el
desempeño de la gestión del riesgo de los procesos definidos en el marco de RISK IT? -
Capacidades de TI-¿Cuán buena es la organización realizando los procesos de TI? definidos en
COBIT.
 Capacidades de negocio relacionadas con TI (o gestión de valor) - ¿Cómo se alinean las
actividades de gestión de valor de la organización con las expresadas en los procesos de Val IT?
Los factores de riesgo también se pueden interpretar como factores causales de la situación que
se ha materializado, como vulnerabilidades o debilidades. Estos son términos que a menudo se
utilizan en otros marcos de gestión de riesgos.

Como la Organización genera un escenario de Riesgo?

Un escenario de riesgo es la descripción de un evento relacionado con TI que puede conducir a un
impacto en el negocio.
Para que los escenarios de riesgo sean completos y se puedan utilizar en análisis de riesgos, deben
contener los siguientes componentes:
- Actor que genera la amenaza - Los actores pueden ser internos o externos y puede ser
humano o no humano:
- Los actores internos están dentro de la organización, por ejemplo, personal,
contratistas.
8
 - Los agentes externos son extraños, competidores, reguladores y el mercado. No todo
tipo de amenaza exige un actor, por ejemplo, fallas o causas naturales.
- Tipo de amenaza - La naturaleza del evento. ¿Es malintencionado? Si no ¿es accidental? o
¿Es un fracaso de un proceso bien definido? ¿Es un evento natural (fuerza mayor)?
- Evento - Un escenario siempre tiene un evento. ¿Es una revelación (de la información
confidencial), la interrupción (de un sistema, un proyecto), la modificación, robo, destrucción,
etc.? También incluye el diseño ineficaz (de los sistemas, procesos, etc.), la ejecución ineficaz
de los procesos (por ejemplo, cambiar los procedimientos de gestión, los procedimientos de
adquisición, los procesos de priorización de proyectos), (impacto de la regulación) y el uso
inadecuado.
- Activo - recurso sobre el cual el escenario actúa: es cualquier objeto de valor de la
organización que puede ser afectado por un evento y crear un impacto en el negocio. Un
recurso es cualquier cosa que ayude a lograr los objetivos de TI. Los bienes y recursos pueden
ser idénticos, por ejemplo, los equipos informáticos son un recurso importante porque todas
las aplicaciones de IT los utilizan y son un activo porque tienen un valor a la organización.
Activos / recursos incluyen:
- La gente y la organización
- Los procesos de TI
- La infraestructura física, por ejemplo, instalaciones, equipos
- La infraestructura de TI, incluyendo el hardware de computación, infraestructura de
red, middleware
- Los demás componentes de la arquitectura de la organización, incluyendo:
- Información
- Aplicaciones

El activo puede ser crítico o no, p. ejemplo, un sitio web cliente de un banco principal
comparado al sitio web del garaje local o la intranet del grupo de desarrollo de software. Los
recursos críticos probablemente atraerán un mayor número de ataques o mayor atención en
caso de fallo, de ahí que la frecuencia de los escenarios relacionados probablemente sea
mayor.

- Planificación del tiempo, que podría definir lo siguiente, si es relevante para el escenario:
• La duración del evento (corte de energía prolongado de un servicio o centro de datos)
• El tiempo (¿Ocurre el acontecimiento en un momento crítico?)
• Tiempo transcurrido entre el evento y la consecuencia. ¿Hay una consecuencia
inmediata, por ejemplo, insuficiencia de la red? -¿Tiempo de inactividad de inmediato,
o una consecuencia retardada, por ejemplo, mala arquitectura de TI con los altos
costos acumulados durante un lapso de tiempo de varios años?

La estructura del escenario de riesgo se diferencia por los eventos de pérdida (la generación de
eventos de los efectos negativos), la vulnerabilidad de los eventos (acontecimientos que contribuyen
a la magnitud o frecuencia de eventos de pérdida que ocurren), y eventos de amenaza (circunstancias
o eventos que pueden desencadenar eventos de pérdida).

Pasos hacia una Gestión de Riesgos

9
La gestión de riesgos y un método de análisis de riesgo que incluye los componentes descritos
anteriormente y la identificación de las opciones a realizar.
Aplicar una buena gestión de riesgos y prácticas de gestión de valor permite tomar decisiones con
conocimiento de causa.

El riesgo refleja la combinación de la frecuencia de los hechos ocurridos y el impacto que tienen estos
acontecimientos sobre la organización. El riesgo potencial para los acontecimientos y sus
consecuencias contiene las oportunidades de beneficio (al revés) o de amenazas para el éxito
(negativo).

Riesgo y oportunidad van juntas, de hecho, para proporcionar valor de negocio a los interesados, las
Organizaciones deben participar en diversas actividades e iniciativas (oportunidades), las cuales
conllevan grado de incertidumbre y, por tanto, de riesgo.

La Organización debe asumir y transmitir que la gestión del riesgo y de la oportunidad es una actividad
estratégica clave para el éxito de la Organización y es allí donde la a Tecnología Informática (TI) puede
jugar varios roles en relación al riesgo-oportunidad.

Después que la organización realice su evaluación inicial de los riesgos y / o de oportunidades, es

necesario determinar la forma de tratarlos.

Una organización necesita desarrollar un plan de gestión de riesgos y se necesitan medidas de

sustento para contar con una estructura para la adopción de un proceso de gestión de riesgos. Esto
provee un marco que posibilita que el proceso de gestión de riesgos sea implementado eficazmente
como así también la cultura para alentar el pensamiento proactivo. El plan debería encarar las
estrategias para la adopción e incorporación del proceso de gestión de riesgos en los sistemas,
procesos y prácticas de la organización para que resulte totalmente eficaz y sustentable.

Planificación
Representa la cantidad de pasos requeridos para implementar una gestión eficaz de riesgos dentro
de una organización. El plan debería procurar satisfacer los propósitos y objetivos del sistema de
gestión de riesgos y debería procurar lograr los objetivos de la declaración de política de gestión de
riesgos.
Finalmente, la intención debe ser incorporar el proceso de gestión de riesgos en todas las prácticas
y procesos de negocio críticos de la organización de tal forma que sea relevante, eficaz y sustentable.
El plan de gestión de riesgos debería tener a esto como su objetivo primario.
Apoyo de la dirección: Debe establecerse una filosofía organizacional de gestión de riesgos y
concientización de riesgos a nivel de la dirección. Esto podría verse facilitado mediante entrenamiento,
capacitación e informes de la alta gerencia.

Desarrollo de la política de gestión de riesgos: El ejecutivo de la organización debe definir y

documentar su política para gestionar los riesgos, incluyendo sus objetivos y su compromiso con la
gestión de riesgos. La política de gestión de riesgos debe ser relevante para el contexto estratégico
de la organización y para sus metas, objetivos y la naturaleza de su negocio.

Comunicación de la política: La gerencia debe asegurar que la política de gestión de riesgos sea
comunicada adecuadamente para ser comprendida, implementada y establecida en todos los niveles
de la organización. Una adecuada comunicación es la base para desarrollar, establecer e implementar
10
una infraestructura y las medidas que aseguren que la gestión de riesgos quede incorporada en los
procesos de planificación, administración y toma de decisiones y en la cultura general de la
organización.
Establecer responsabilidad y autoridad: Los directores y altos ejecutivos son los máximos
responsables de la organización por la gestión de riesgos. Dentro de una organización, todo el
personal es responsable por gestionar riesgos en las áreas bajo su control. Es conveniente definir y
documentar las responsabilidades, autoridades e interrelaciones del personal que realiza y verifica el
trabajo que afecta a la gestión de riesgos.
Adaptación del proceso de gestión de riesgos: El proceso para la gestión de riesgos necesitará
ser adaptado a las políticas, procedimientos y cultura de cada organización específica. Como parte de
este proceso la organización debería especificar el desempeño y los criterios para juzgar el éxito del
proceso de gestión de riesgos.
Recursos: La organización debería identificar los requerimientos de recursos y proveer recursos
adecuados, incluyendo entrenamiento del personal que aplica el proceso de gestión de riesgos y de
quienes desempeñan un rol de apoyo, monitoreo y verificación. Esto debería involucrar un análisis de
las necesidades de capacitación.

Proceso de Gestión de Riesgos

La Gestión de riesgos implica establecer una infraestructura y cultura apropiada y aplicar un método
lógico y sistemático para establecer el contexto: identificar, analizar, evaluar, tratar, monitorear y
comunicar los riesgos asociados con cualquier actividad, función o proceso de forma tal que permita
a las organizaciones minimizar pérdidas y maximizar beneficios.

Para ser más eficaz, la gestión de riesgos debe formar parte de la cultura de una organización. Es
decir, debe estar incorporada en la filosofía, prácticas y procesos de negocio de la organización, más
que ser vista o practicada como una actividad separada. Cuando se logra esto, todos en la
organización pasan a estar involucrados en la gestión de riesgos.

La premisa subyacente en la gestión de riesgos es que cada entidad -con o sin fines de lucro- del
ámbito privado o gubernamental, existe con el fin de proveer valor a las personas, grupos u
organizaciones que puedan tener algún interés o ser consideradas partes interesadas.

Todas las organizaciones enfrentan incertidumbre y el desafío es determinar cuánto de ella está
preparada para aceptar. La incertidumbre representa tanto amenazas como oportunidades, con el
potencial de erosionar o enriquecer el valor. La gestión de riesgos de la organización provee una
estructura conceptual para que la administración conviva de manera racional con la incertidumbre y
con los riesgos y oportunidades asociados, lo cual enriquece su capacidad para generar valor.

La gestión de riesgos es una disciplina de rápida evolución en la que pueden encontrarse diferentes
criterios sobre qué elementos incluye, cómo debe ser conducida y, fundamentalmente, para qué sirve
y debe entenderse como una parte integrante del proceso de gestión. Gestión de riesgos es un
proceso multifacético, por lo que las tareas involucradas son a menudo llevadas a cabo por un equipo
multidisciplinario. Es un proceso iterativo de mejora continua, cuya incorporación en las prácticas o
procesos de negocio existentes resulta beneficiosa.

Elementos principales

11
Establecer el contexto: Establecer los contextos estratégico, organizacional y de gestión de riesgos
en los cuales tendrá lugar el resto de los procesos. Deben establecerse los criterios contra los cuales
se evaluarán los riesgos y definirse la estructura del análisis.
Identificar riesgos: Identificar qué, por qué, dónde, cuándo y cómo los eventos podrían impedir,
degradar, demorar o mejorar el logro de los objetivos estratégicos y de negocio de la organización.
Analizar riesgos: Determinar los controles existentes y analizar los riesgos en términos de
consecuencia y probabilidad en el contexto de tales controles. El análisis debería considerar el rango
de consecuencias potenciales y cuán probable es que esas consecuencias puedan ocurrir.
Consecuencia y probabilidad se podrían combinar para producir un nivel estimado de riesgo.
Evaluar riesgos: Comparar los niveles estimados de riesgo contra los criterios preestablecidos y
considerar el balance entre beneficios potenciales y resultados adversos. Esto posibilita que se
ordenen los riesgos como para identificar las prioridades de gestión. Si los niveles de riesgo
establecidos son bajos podría caer en una categoría aceptable y no se requeriría tratamiento.
Tratar riesgos: Si los niveles de riesgo establecidos son bajos y son tolerables entonces no se
requiere tratamiento. Para otros riesgos, se deben desarrollar e implementar estrategias y planes de
acción específicos costo-beneficios para aumentar los beneficios potenciales y reducir los costos
potenciales.
Monitorear y revisar: Monitorear y revisar el desempeño del sistema de gestión de riesgos y procurar
detectar cambios que pudieran afectar la adecuación o beneficio de costo de los controles.
Comunicar y consultar: Comunicar y consultar con los interesados internos y externos según resulte
apropiado en cada etapa del proceso de gestión de riesgos, interpretando al proceso como un todo.

La gestión de riesgos es un proceso iterativo que puede contribuir a la mejora organizacional. Puede
ser aplicada a todos los niveles de una organización: a nivel estratégico y a niveles tácticos y
operacionales. También puede ser aplicada a proyectos específicos, para sustentar decisiones
específicas o para administrar áreas específicas de riesgo reconocidas. Para cada etapa del proceso
deberían mantenerse registros adecuados, suficientes como para satisfacer a una auditoría
independiente.

Las opciones de tratamiento de riesgos, que no son necesariamente mutuamente excluyentes o

apropiadas en todas las circunstancias, incluyen:
Evitar el riesgo decidiendo no seguir adelante con la actividad que probablemente crea el riesgo
(cuando esto sea practicable). El escape al riesgo puede ocurrir inadecuadamente a raíz de la
tendencia de algunas personas u organizaciones a tener aversión a los riesgos. El escape inadecuado
al riesgo puede aumentar la significación de otros riesgos o podría conducir a la pérdida de
oportunidades de obtener beneficios.
La aversión al riesgo puede resultar en:
• decisiones de evitar o ignorar riesgos, independientemente de la información disponible y de
los costos incurridos en el tratamiento de esos riesgos;
• fallas al tratar los riesgos;
• dejar las opciones críticas y/o decisiones a otras partes;
• diferir las decisiones que la organización no puede evitar;
• seleccionar una opción porque representa un riesgo potencial más bajo independientemente
de los beneficios.

12
Cambiar la probabilidad de ocurrencia, para mejorar la probabilidad de resultados beneficiosos y
reducir la probabilidad de pérdidas.
Cambiar las consecuencias, para aumentar la magnitud de los beneficios y reducir la magnitud de
las pérdidas. Esto también podría incluir respuesta a la emergencia, planes de contingencia y de
recupero de desastres.
Transferir el riesgo. Esto involucra a otras partes que sostienen o comparten alguna parte del riesgo.
Los mecanismos incluyen el uso de contratos, acuerdos de seguros y estructuras organizacionales
tales como sociedades y “joint ventures”. Generalmente hay algún costo financiero o beneficio
asociado a la transferencia de parte del riesgo a otra organización, tal como el premio pagado por los
seguros. Idealmente, las responsabilidades por el tratamiento de los riesgos debería ser asignado a
las partes más aptas para controlarlos. Las responsabilidades deberían ser acordadas entre las partes
lo antes posible. La transferencia de un riesgo a otras partes, o la transferencia física a otros lugares,
reduce el riesgo original para la organización que transfiere, pero podría no disminuir el nivel global de
riesgo para la sociedad. A menudo, tal transferencia de riesgo sólo cambia un tipo de riesgo por otro,
de forma tal, que ambas partes terminan con los tipos de riesgos que están más aptos para tolerar,
tratar o retener.
Retener el riesgo. Luego que los riesgos han sido reducidos o transferidos, podrían existir riesgos
residuales que son retenidos. Los riesgos también podrían ser retenidos en forma predeterminada,
por ejemplo: cuando hay una falla para identificar o transferir adecuadamente, o bien tratar los riesgos.

El Rol de la Auditoría en la Gestión de Riesgos

La importancia que revierten los sistemas de información como parte de una Organización sumado a
la creciente complejidad de los sistemas y las infraestructuras que los soportan, han impactado
considerablemente en la complejidad de su control y la protección frente a amenazas tanto internas
como externas que evidencien debilidades en el sistema de control.
Es por ello que la instauración de controles y acciones preventivas hoy es una preocupación para
aquellas Organizaciones que consideran proteger su información, considerándola su activo más
valioso y logrando obtener confidencialidad, integridad, disponibilidad y trazabilidad de la misma.

La auditoría informática al igual que la gestión de riesgos, han sido los métodos para evaluar los
sistemas de información, cada uno con un enfoque diferente. Desde el punto de vista de la auditoría
informática como un proceso de revisión y verificación, en tanto la gestión de riesgos como un proceso
de diagnóstico y revisión.

Las Organizaciones que han realizando esfuerzos en la implementación de tecnologías de información

tienen la preocupación de la inversión realizada ya que probablemente no ven que dichas inversiones
que den soluciones inmediatas tangibles y medibles, y allí donde se veía una oportunidad de mejora
en realidad se está creando un problema difícil de administrar, controlar y costoso de mantener.

En esta instancia es cuando resulta importante que las organizaciones revean conceptualmente la
función y finalidad de la auditoría considerándola como un aliado (“partner”) para la mejora de la
gestión, constituyéndose en una herramienta que gestiona la tecnología de la información a través de
sus acciones internas y externas.
La evolución en dicho concepto redunda en el paso de un enfoque de verificación, efectuado a
posteriori, a un enfoque preventivo y proactivo basado en la valoración de los riesgos y en la
evaluación de la eficacia y eficiencia de los procedimientos y los controles establecidos en las
13
organizaciones, orientados a mejorar las características de seguridad, calidad, eficiencia y eficacia de
los sistemas de información y las tecnologías asociadas y por lo tanto al mejoramiento de los procesos
que sustentan sus servicios/productos.

La auditoría informática aplicará procesos de identificación de riesgos y controles en la gestión de las

tecnologías de información, para su efectivo apoyo al logro de los objetivos de la organización para el
cumplimiento de metas estratégicas, asociado a la nueva economía digital.

Por un lado la identificación de riesgos sirve para determinar el nivel de exposición de la organización
ante el inadecuado uso de los servicios que brinda la tecnología de la información, pero además
permite gestionar los riesgos, implementando controles que están orientados a evitarlos, transferirlos,
reducirlos o asumirlos gerencialmente.
Resulta importante identificar que se entiende por “control” y por “control interno”:
Control: establece medidas implementadas en las organizaciones con la finalidad de reducir los
riesgos existentes y proteger los activos más importantes.
Control Interno5: es un proceso, se hace referencia a una cadena de acciones extendida a todas las
actividades, inherentes a la gestión e integrados a los demás procesos básicos de la misma:
planificación, ejecución y supervisión. Tales acciones se hallan incorporadas (no añadidas) a la
infraestructura de la entidad, para influir en el cumplimiento de sus objetivos y apoyar sus iniciativas
de calidad.

Según la Comisión de Normas de Control Interno de la Organización Internacional de Entidades

Fiscalizadoras Superiores (INTOSAI), el control interno puede ser definido como el plan de
organización, y el conjunto de planes, métodos, procedimientos y otras medidas de una institución,
tendientes a ofrecer una garantía razonable de que se cumplan los siguientes objetivos principales:
 Promover operaciones metódicas, económicas, eficientes y eficaces, así como productos y
servicios de la calidad esperada.
 Preservar al patrimonio de pérdidas por despilfarro, abuso, mala gestión, errores, fraudes o
irregularidades.
 Respetar las leyes y reglamentaciones, como también las directivas y estimular al mismo tiempo la
adhesión de los integrantes de la organización a las políticas y objetivos de la misma.
 Obtener datos financieros y de gestión completos y confiables y presentados a través de informes
oportunos.

Los riesgos de tecnología de información están relacionados con 3 aspectos:

- Dependencia en el uso de tecnología de información: relacionada con el uso que efectúa
la organización y la importancia que representa para el desarrollo de sus operaciones
- Confiabilidad en el uso de tecnología de información: relacionada con resultados del
procesamiento de datos y que no requieren trabajo manual por los usuarios para completar la
información.
- Cambios en la tecnología de la información: relacionado con la automatización de los
procesos principales de la organización y la adecuación de esos procesos automatizados a

5
COSO
14
 nuevas necesidades de la organización motivados por regulación o por modernización para
mantener la competitividad o lograr acreditación.

En este contexto la auditoría evaluará los controles considerando 4 (cuatro) áreas de incumbencia:
1. Administración de los recursos de TI: para asegurar que la organización utilice tecnología de
información bajo criterios de costo-beneficio, considerando las necesidades de automatización y
adecuación de cambios del entorno en que se desenvuelven.
2. Seguridad física y seguridad de información: para garantizar que el ambiente en el que los
sistemas funcionan protege su confidencialidad, integridad y confiabilidad, la reducción al mínimo
del riesgo que ocurran daños accidentales o intencionales a los equipos.
3. Desarrollo y mantenimiento de sistemas de información de la organización: para garantizar
la disponibilidad de los sistemas cuando se necesiten, que se controle la integridad de los datos y
que satisfagan a los usuarios.
4. Continuidad de los sistemas de información de la organización: reducir al mínimo la posibilidad
de que ocurra un desastre total y garantizar que el negocio pueda reanudar sus operaciones con
efectividad en caso de que ya no se disponga de las instalaciones de procesamiento existentes.

En la finalidad de las tareas de auditoría se ve claramente el valor que ésta aporta a la Organización
en cuanto al aseguramiento objetivo sobre la efectividad de las actividades qué esta desarrolla en
relación a ERM6, para ayudar a asegurar que los riesgos claves de negocio están siendo gestionados
apropiadamente y que el sistema de control interno está siendo operado efectivamente.
Roles fundamentales de la auditoría interna respecto al ERM
- Brindar asesoramiento sobre procesos de gestión de riesgo.
- Brindar asesoramiento que los riesgos son correctamente evaluados.
- Evaluación de los procesos de gestión de riesgo.
- Evaluación de reporte de riesgos claves.
- Revisión del manejo de los riesgos claves.

Los roles que la auditoría interna debe realizar con salvaguarda refieren a:
- Identificación y evaluación de riesgos.
- Entrenamiento a la gerencia sobre respuesta a riesgos.
- Coordinación de actividades de ERM.
- Consolidación de reportes sobre riesgos.
- Defender el establecimiento del ERM.
- Desarrollo de estrategias de gestión de riesgo para aprobación de la junta.

Es muy importante también que la auditoría tenga presente aquellos roles que no debe realizar como
ser:

- Establecer el apetito de riesgo.

- Imponer procesos de gestión de riesgo.
- Manejar el aseguramiento sobre los riesgos.
- Tomar decisiones en respuesta a los riesgos.
- Implementar respuestas a riesgos a favor de administración.
- Tener responsabilidad de la gestión de riesgo.

6 Enterprise Risk Management: herramienta para la Gestión Integral de Riesgos de las organizaciones
15
La Organización debe entender completamente que la gestión de riesgo es su responsabilidad.
Los auditores internos deben proveer recomendaciones y motivar o soportar las decisiones
gerenciales sobre riesgos, en lugar de realizar decisiones sobre gestión de riesgo.

La auditoría proveerá información resultante sobre

 La evaluación de los riesgos inherentes a los diferentes subprocesos de la Auditoría.
 La evaluación de las amenazas o causas de los riesgos.
 Los controles utilizados para minimizar las amenazas o riesgos.
 La evaluación de los elementos del análisis de riesgos.

Por último es importante recordar las siguientes premisas:

“El riesgo de una organización comienza desde el momento mismo que inicia sus actividades”

“El riesgo puede ser identificado y reducido NUNCA ELIMINADO”

“No existe un entorno 100% seguro”

“Una organización se encuentra permanentemente EN RIESGO”

16