INFORME -~ÉCNICO PREVIO DE EVALUACION DEL SOFTWARE DE GESTION DE RIESGOS No 009-GT1000 1. NOMBRE DEL ÁREA Proyecto de Gestión de Riesgos, Gerencia de Tecnologías de Información, Gerencia de Auditoria Interna. 2. RESPONSABLES DE LA EVALUACIÓN a) Cabrera Delgado-Neira Carlos, b) Sotelo Bedón Marcos. 3. CARGOS a) Subgerente de procesos y riesgosde tecnologías de información, b) Especialista en riesgos de tecnologías de infoqación I 4. FECHA En concordancia con los principios sugeridos por Basilea II y las sugerencias del Fondo Monetario Internacional (FMI) plasmados en el Plan Estratégico Operativo del BCRP 2006 se define como objetivo, contar con procesos internos modernos en los que prime la consideración de manejo de riesgos para asegurar la continuidad operativa y la eficiencia. El Proyecto Gestión de Riesgos ha venido trabajando la implementación de dicho proceso para lo cual se aplicó una metodología piloto en tres Gerencias del Banco. Como consecuencia de ello, la Gerencia General aprobó mediante resolución GG- 101-2006 BCRP aplicar la "Guía para la Gestión de Riesgos Operacionales" en todos los procesos del Banco, por etapas. I Proyecto Gestión de Riesgos! ka Gestión de Riesgos será planificada, monitoreada y reportada desde un nivel 8 central y la aplicación de las políticas y técnicas se realizará en forma descentralizada. Esto incluye a todas las unidades organizacionales el Banco, incluyendo a la Gerencia @;'' de Tecnología de información. En el marco de la ejecución de los pilotos se ha trabajado con formatos de hoja de cálculo Excel, detectándose que en la medida de que la base de datos de todos los
?\PP.. i. y &or subprocesos y actividades del Banco siga creciendo, se comprometería el proceso dinámico de actualización, identificación, relaciones y administración de riesgos, siendo requerida la automatización del proceso. Este hecho implica que la comunicación y transferencia de información entre el Proyecto Gestión de Riesgos y las Unidades Organizacionales evaluadas y Auditoria sería muy limitada y tediosa al trabajarse de forma manual. Es por ello que el éxito de la gestión de riesgos en la institución dependerá de las facilidades que se puedan obtener para la identificación, análisis, evaluación, tratamiento, monitoreo y comunicación de los riesgos. En ese sentido, se hace indispensable la utilización de un software con los atributos que permitan tanto sistematizar el proceso de la gestión de riesgos como ayudar la gestión misma del proceso, para lo cual se requieren dos (02) licencias para el personal del proyecto, que serán compartidas por los corresponsales de riesgos, establecidos en la metodología. Gerencia de Tecnologías de Información (GTI) La GTI, creada a inicios del 2005 (en reemplazo de la Gerencia de Sistemas), a través de la Subgerencia de Procesos y Riesgos de TI (SPR-TI), es la responsable de la gestión de riesgos de TI (activos, servicios y recursos que conforman la infraestructura TI). Esta labor que se lleva de acuerdo a métodos de evaluación de riesgos, definidos a partir de la norma ASlNZS 4360:2004 y del ISO 17799 con el apoyo de la herramienta MS Omce 2000+. La GTI enfrenta, como cualquier otra unidad organizacional del Banco, riesgos operacionales y al mismo tiempo tiene a su cargo la seguridad de los activos TI e información que reside en estos activos TI. El número de activos supera el millar, más de un ciento de servicios, cada uno soportado por unos 10 recursos. Los escenarios estimados inicialmente son 3. Las amenazas, vulnerabilidades y controles (salvaguardas) por activo TI son superiores a 5. Este volumen de activos, la complejidad de las actividades de evaluación, monitoreo y comunicación, dificulfan la ejecución eficaz a y eficiente del proceso. lo expuesto, se ha determinado que la GTI requiere de una herramienta (software) especializada para la gestión de riesgos de activos TI y de riesgos operacionales, 5S~~cL14 siendo necesaria una (01) licencia para la gestión de riesgos, soporte de instalación y GO t~.20 configuración del producto, y capacitación en el uso y administración del mismo. \ 9 Gerencia de Auditoria Interna Con fecha 24 de julio del 2006,'mediante resolución de Gerencia General No 100-2006- BCRP, se aprobó las Normas sobre el funcionamiento del Sistema de Control Interno del Banco Central de Reserva del Perú ( BCRP) en cumplimiento de la Ley No 28716, Ley de Control lnterno de las Entidades del Estado la cual tiene por objeto establecer las normas para regular la elaboración, aprobación, implantación, 4 2
funcionamiento perfeccionamiento y evaluación del control interno en las entidades del estado. Según se establece en dicha norma, para operar la estructura de control interno se requiere la implementación de sus componentes los que pueden considerarse como un conjunto de normas que son utilizadas para medir el control interno y determinar su efectividad. Entre dichos componentes se define la implementación de la evaluación de los riesgos del Banco e implica la identificación, análisis y manejo de los riesgos relacionados con la elaboración de estados financieros y que pueden incidir en el logro de objetivos del control' interno del Banco en la efectividad y eficacia de las operaciones, confiabilidad de la información financiera y cumplimiento de leyes y regulaciones. Finalmente, se establece que la evaluación de riesgos es responsabilidad de todos los niveles gerenciales involucrados en el logro de objetivos y define que esta actividad debe ser evaluada por los auditores internos, para asegurar que los objetivos, enfoque, alcance y procedimientos sean apropiadamente realizados. En cumplimiento de los lineamientos establecidos en el marco de la ley 28716 Ley de Control Interno de las Entidades del Estado. La Gerencia de Auditoria del BCRP, con aprobación del Directorio y la Contraloría General de la República ha puesto en práctica desde el año 2003 un nuevo enfoque de auditoría interna, implementado mediante una "Guía de Planeamiento del enfoque de auditoria de procesos sobre la base de riesgos". El software permitirá capturar información complementaria de la gestión de riesgos operacionales y de tecnología de información mediante el catálogo de riesgos, vulnerabilidades detectadas, registro de incidentes informáticos, realizar cálculos y análisis de riesgo y el seguimiento de las medidas de mitigación aprobadas para las unidades organizacionales del Banco. Se requiere de (01) licencia. 6. ALTERNATIVAS i $;@ En el mercado peruano se ha identificado los siguientes productos que satisfacen las necesidades mínimas de las unidades usuarias. a) Methodware Enterprise Risk Asesor, b) CURA, c) SAS Operational Risk. Se precisa que no se ha encontrado una alternativi de software de código abierto, que incluya además, capacitación, asesoría y soporte local en el país. -o *i '2 6. $. 7. ANALISIS COMPARATIVO TECNICO r Con base en los requerimientos de las áreas usuarias, las buenas prácti internacionales para gestión de riesgos, y con el objetivo de promover la participación
del mayor número de proveedores, se han establecido las características necesarias de la herramienta a adquirirse. 1 En términos generales la herramienta debe soportar las buenas prácticas y estándares internacionales, en las cuales se pasa nuestro método de evaluación de riesgos, entre otros, COSO Enterprise Risk Management (ERM), AS 1 NZS 4360:2004, ISO 17799:2005 y Basilea II. En particular debe cumplir con las características consignadas en la tabla. Característica IVÚmero de licencias Catalogar los procesos Catalogar las unidades organizacionales Catalogar los activos Catalogar los eventos. Catalogar las consecuencias e impactos de un evento de riesgo Catalogar los controles del riesgo Descripción El número mínimo de licencias es cuatro (04): Una (1) para la construcción de modelos y tres (3) para la explotación de los mismos. Debe incluir el mantenimiento de las licencias por un año como mínimo. Registrar los procesos clasificados con un mínimo de cinco niveles Registrar las unidades organizacionales del Banco clasificados con un mínimo de cinco niveles, con sus responsables Registrar los activos, organizados por categorías (procesos, unidades organizacionales, tecnología de información, maquinaria, equipos, etc.) Incorporar los requisitos de seguridad de la información Asignar los activos a propietarios y administradores Emitir reportes de los activos Mantener un catalogo de eventos por tipos, compatible con Basilea II, Estándar ASINZS 4360.2004 e ISO 17799:2005. Permitir la elaboración de un catálogo de consecuencias e impactos Permitir la elaboración de un catálogo de controles
Identificación de amenazas Determinar la probabilidad o frecuencia Relacionar vulnerabilidades y amenazas Determinar las consecuencias e impactos al negocio Evaluar el riesgo unidades organizacionales, activos, áreas de impacto, activos, amenazas y vulnerabilidades, incluyendo los datos de las consecuencias y pérdidas Identificar y relacionar amenazas para los activos, procesos, unidades organizacionales o cualquier combinación Definir escenarios, basado en las amenazas y los activos afectados Visualizar todas las entidades afectadas con la amenaza o escenario identificado Definir tablas con rangos parametrizables para registrar la frecuencia de eventos y las probabilidades de ocurrencia Alimentarse del registro de incidentes Establecer la probabilidad de las amenazas de TI y seguridad física Identificar, relacionar y evaluar las vulnerabilidades asociadas con las amenazas Definir tablas con rangos parametrizables y criterios para evaluar las consecuencias y el impacto Alimentarse del registro de incidentes Establecer qi impacto potencial resultante de las amenazas o escenarios Definir rangos parametrizables para diferenciar los niveles de riesgo y facilitar su visualización y seguimiento Mapas que muestran datos comparativos de riesgos por procesos Evaluación gráfica de riesgos utilizando matrices de riesgos Estimar el riesgo residual Facilitar la comparación de los requisitos de seguridad de información con los resultados de las evaluaciones de riesgo para identificar brechas Tablas base para analizar información detallada según criterios variables, por ejemplo separar y clasificar los datos en forma de matriz Gráficos en'tiempo real del estado actual del portafolio de riesgos comparado a los estados absolutos y objetivos Consolidación y exhibición de datos de riesgos para unidades individuales, grupos o toda la institución Registrar y realizar el seguimiento estadístico
Documentar las medidas de tratamiento y control de riesgos Programar las actividades de administración del riesgo Reporte de las evaluaciones de riesgo y de seguimiento anónima (opcional) de los riesgos, comparándolos con información de eventos de pérdidas Registro de la evaluación de riesgos histórica. Catalogar, inventariar y documentar las medidas de eliminación, traslado, retención y mitigación, incluyendo fechas comprometidas, responsables, riesgos y escenarios relacionados, riesgo residual, costos y otros datos. Definir rangos parametrizables para diferenciar los estados avance y cumplimiento de las medidas de tratamiento y facilitar su visualización y seguimiento (por costo, tiempo o riesgo). Registrar y presentar visualmente las operaciones realizadas al crear, modificar o eliminar datos referidos a las medidas de mitigación Programar las actividades para mantener los proyectos, grupos de trabajo, evaluaciones de riesgo, pruebas y el seguimiento de las medidas de mitigación, incluyendo datos relacionados a cronogramas, costos y recursos. Programar alarmas que puedan ser enviadas por correo electrónico para recordar las actividades programadas. Tener un ambiente de administración global - y seguimiento de excepciones Documentar las evaluaciones de riesgo, actividades relacionados y de seguimiento, con los datos relativos para control cumplimiento de Plazos y presupuestos. Habilidad de rastrear indicadores claves de desempeño de los riesgos y la administración de riesgos Mantener reportes predefinidos y facilidades para emitir reportes visuales e impresos de cada una de las opciones anteriores, de forma parcial y totales, incluyendo actas. Consolidar y analizar los hallazgos de riesgos en la organización En la evaluación de los riesgos por grupos de personas, se requiere la facilidad de votación anónima. Realizar actividades de colaboración entre los miembros de cada evaluación y compartir
Generación de reportes Métricas o magnitudes del proceso m Información sobre los riesgos detectados Arquitectura del software experiencias, ideas y propuestas. Manejar aprobaciones y enviar o mostrar alertas y recordatorios ("work-flow") Generar reportes de gestión propios para seguimiento y control de la administración y evaluaciones Una metodología común para lograr una adecuada parametrización de los procesos utilizando 'unidades de medida 'estándar. Dichas variables servirán como indicadores para poder evaluar las probabilidades de ocurrencia y área de impacto del riesgo. Registrar el tipo de riesgo, causas vinculadas al riesgo, probables consecuencias de los riesgos. Software integrado con arquitectura distribuida accesible por medio de clientes desktop y web, a través de estándares. El repositorio debe ser integrado y estar basado en tecnología relacional. Tener interfase con MS Office para obtener 1 información de fuentes externas e internas, * elaborar informes y análisis. Asimismo, facilidad para vincular cualquier tipo de ' documento (MS Office y PDF), incluyendo imágenes y fotos digitales. Auditoria del sistema Infraestructura TI Mecanismos de seguridad - Debe generar en forma automática archivos para auditoria (logs), Asimismo, brindar facilidades para registrar, consolidar y permitir el rastreo y monitoreo de los datos y de las operaciones realizadas al crear, modificar o eliminar datos. Debe ser capaz de funcionar sobre las plataformas Unix I Linux (deseable Solaris 9i+) o Windows 2K+. Los clientes, desktop y web, deben soportar Windows XP. Con certificación acreditada. El repositorio debe ser soportado por un gestor de base de datos relacional, en caso de ser distinto a Oracle 9i+, debe incluirse las licencias correspondientes. Con certificación acreditada. Incluir mecanismos de autenticación, basado en usuario contraseña. Asimismo, mecanismos de autorización basado en roles y privilegios. Debe incluir interfase para e manejo de estas A/
Facilidad de importación de datos procedentes de herramientas de gestión de procesos (opcional) lnteríase con sistemas de mensajería Soporte de idiomas Documentación Instalación y configuración - Prueba de la solución Entrenamiento Credenciales del software en el mercado de América Latina Credenciales del postor Plazo de entrega características a través de un sistema integrado de gestión de identidad. Permite establecer identificadores para cada usuario del sistema, con roles diferenciados para administrador, evaluadores y personal de control. Permite generar grupos de trabajo y proyectos independientes, protegiendo la información de cada grupo. Obtener la información de las fronteras del proceso (input y output), las operaciones (manuales o automáticas) que se realizan y la descripción de la documentación (física o en medio magnético) que respalda las transacciones realizadas Debe contar con interíase a servicios de mensajería (bajo estándar SMTP), tal como Oracle ' Collaboration Suite. El software debe soportar el idioma inglés o español Debe incluir las guías y manuales (en inglés o español) para laóperación y administración de la solución El postor deberá incluir en su propuesta, la instalación y configuración del software. El postor deberá incluir en su propuesta una demostración de su solución, acorde a las especificaciones de entrenamiento respecto a la asesoría El postor deberá incluir en su propuesta: Entrenamiento para la operación y administración de la herramienta, incluyendo la personalización de la misma, por personal certificado Entrenamiento para la instalación, configuración y administración del producto El entrenamiento en el ámbito de usuario será a través de un taller de 20 horas, para 16 personas, con certificación incluida del fabricante. Los horarios, temas y detalles serán coordinados de acuerdo a necesidades de cada una de las áreas Asesoría completa para la configuración del software de acuerdo a la guía de riesgos operativos y de TI del Banco. ' El postor debe acreditar que la herramienta ofertada (o una versión previa) está en producción en un mínimo de cinco (5) entidades. El postor debe acreditar ser distribuidor oficial de la empresa fabricante del software en nuestro país. 1 Treinta (30) días. contados a partir de la firma del
contrato. Comprende la entrega, instalación, asesoría y capacitación. 8. ANÁLISIS COMPARATIVO DE COSTO - BENEFICIO * Beneficios: a) Menor tiempo y ahorro de recursos para la comunicación de los equipos de S trabajo involucrados en la gestión de riesgos (todo el personal del banco); b) Manejo de información estandarizada y mejor ordenada para la gestión de riesgos; c) Facilidad para controlar y visualizar evaluaciones en secuencia en la gestión de riesgos operativos y de TI, así como para el monitoreo "ex-post" por parte de la Gerencia de Auditoria; d) Facilidad para compartir y transferir información entre usuarios. Costos: a) Methodware Enterprise Risk Asesor... US$35.000 b) CURA... US$32.000 c) SAS Operational Risk... US$ 160.000 Estos son montos (incluido IGV) referenciales, obtenidos de algunos proveedores. El estudio de mercado, a cargo de la Gerencia de Administración, con el apoyo de la Gerencia de Tecnologías de Información, deberá obtener montos con mayor precisión. Como es de esperar en este proceso se podría lograr descuentos de los proveedores, tal como ocurre en otros procesos de compras relacionadas a TI. 9. CONCLUSIONES - Por los motivos antes señalados, se recomienda la adquisición de cuatro (04) licencias de usuarios de un software para la gestión de riesgos en la institución (una para la creación de modelos y tres para la explotación de los mismos), incluyendo el costo de mantenimiento anual de las mismas. 10. FIRMAS,.
GLOSARIO DE TERMINOS Amenaza: Una acción de origen deliberado que pueda resultar en un daño a un activo. Esta acción puede ser la expresión de un agente no necesariamente dueño del activo. Por ello, la acción de daño podría provenir de fuentes externas, incluyendo fenómenos naturales. Para el caso de TI, se puede entender todas aquellas acciones que involucren el daño de activos de TI, información, software y hardware. Activo: Se debe entender todo recurso clasificado dentro del estándar de seguridad de la información ISOIIEC 17799, denominado lnformation technology - Security techniques - Code of practice for information security management. COSO Enterprise Risk Management (ERM): '~odelo que establece definiciones comunes de control interno, estándares, y criterios sobre los cuales las empresas y organizaciones diversas pueden determinar los controles a sus sistemas y procesos. Consecuencia: Es el resultado inmediato de la ocurrencia de un hecho o evento de perdida o evento adverso. La consecuencia se traducirá luego en un impacto de acuerdo al valor o pérdida que origine y al área en que ocurra, como estados financieros, reputación, negocios, metas u objetivos estratégicos, etc. ~stándai AS/NZS4360-2004: Modelo Australiano y '~eozelandés que establece definiciones comunes de control interno, estándares, y criterios sobre los cuales las empresas y organizaciones diversas pueden determinar los controles a sus sistemas y procesos. Estándar ISO 17799:2005 Se refiere a las recomendaciones de mejores practicas para la administración de seguridad de la información para aquellos que son responsables para iniciar, implementar o mantener sistemas de administración de seguridad de la información. La seguridad de la información se define en términos estandar como la preservación de la confidencialidad (asegurar que la información sea sólo autorizada sólo a aquellos agentes con acceso autorizado), integridad (salvaguardar la exactitud de la información y de los métodos de procesamiento de la información) y disponibilidad (asegurar que los usuarios autorizados tengan acceso a la información y activos asociados cuando sea requerido). Factor de Riesgo: Cualquier factor que contribuya a la ocurrencia de un evento de pérdida o factor que ocasione situaciones que pongan en peligro la materialidad de un determinado objetivo o meta dentro de un proceso, subproceso o actividad determinada. Los factores de riesgo, pueden ser catalogados de acuerdo a las recomendaciones de Basilea II para riesgos operacionales. Impacto: Representa la magnitud de la pérdida potencial o la seriedad de un evento de riesgo cuando se evalúa un evento de riesgo., rc Incidente: Definido en término; de ocurrencias no deseadas cuando se lleva a cabo un proceso, subproceso o actividad determinada. Estas ocurrencias. podrían ser anticipadas (pronosticadas) o ocurrencias no anticipadas (inesperadas). 1 o
Parametrizable: La capacidad de que un aplicativo o software sea adaptable a las necesidades de un usuario. Proceso: Comprende un conjunto de tareas, actividades, subprocesos que se llevan a cabo para el logro de un determinado objetivo, lo cual puede implicar por ejemplo la producción de un determinado bien o servicio o la consecución de un proyecto específico. Para que un proceso ocurra se requiere la aplicación de conocimientos, habilidades, instrumentos, insumos, técnicas, equipos y sistemas, los cuales pueden ocurrir automáticamente o bajo el control de personas. Recomendaciones Basilea 11: Son las recomendaciones para la buena practica de gestión de riesgos operacionales contenidas en el Basel Comité on Banking Supervisión Sound Practices for the Management and Supervision of Operational Risk, February 2003 y la clasificación de factores de riesgo dadas por el Working Paper on the Regulatory Treatment of Operational Risk September 2001. Riesgo: Se entiende la combinación de la probabilidad de que un evento adverso o de pérdida ocurra y el impacto de la ocurrencia de dicho evento. Riesgo Residual: Aquel riesgo que permanece después de que un proceso, subproceso o actividad determinada ha tenido su tratamiento de riesgos; es decir, ya se han aplicado controles (estrategias de administración de riesgos) a los factores de riesgo. Vulnerabilidad: La debilidad de un activo o de un sistema que permite a un agente extraño atacar dicho activo o dicho sistema. En seguridad informática debería entenderse como la debilidad que presenta un sistema para que el mismo reciba un ataque de un agente extraño para violar la integridad, confidencialidad, control de acceso, disponibilidad, consistencia o 'mecanismos de auditoria del sistema o de la información y las aplicaciones que mantiene el sistema.