PONTIFICIA UNIVERSIDAD CATLICA DEL PER

FACULTAD DE CIENCIAS E INGENIERA

DISEO DE UN SISTEMA DE GESTIN DE SEGURIDAD DE

INFORMACIN PARA UNA CENTRAL PRIVADA DE INFORMACIN
DE RIESGOS

Tesis para optar por el Ttulo de Ingeniero Informtico, que presenta el bachiller:

Josefina Ros Villafuerte

ASESOR: Moiss Villena Aguilar

Lima, Junio del 2014

NDICE
Captulo 1
1.
2.
3.
4.
5.
5.1.
5.2.
6.
6.1.
6.2.
6.3.
6.4.
6.5.

Identificacin de Problema ............................................................................................ 6

Objetivo General ........................................................................................................... 7
Objetivos Especficos .................................................................................................... 7
Resultados Esperados .................................................................................................. 7
Alcance y Limitaciones.................................................................................................. 8
Alcance ......................................................................................................................... 8
Limitaciones .................................................................................................................. 8
Marco Conceptual ......................................................................................................... 8
Conceptos relacionados a Seguridad de Informacin ................................................... 8
Conceptos relacionados a Riesgos ............................................................................... 9
Conceptos relacionados al SGSI .................................................................................. 9
Definiciones segn la Ley y Marco Legal .................................................................... 10
ISO/IEC 27001:2013 ................................................................................................... 12
6.5.1.
Alcance ........................................................................................................... 13
6.5.2.
Aplicacin ........................................................................................................ 14
6.6.
ISO 31000:2009 Gestin del Riesgo en la Seguridad de la Informacin ................. 14
6.6.1.
Comunicacin y Consulta ................................................................................ 14
6.6.2.
Establecimiento del Contexto .......................................................................... 15
6.6.3.
Valoracin del Riesgo ..................................................................................... 15
6.6.4.
Tratamiento del riesgo ..................................................................................... 16
6.6.5.
Monitoreo y Revisin del Riesgo ..................................................................... 17
6.7.
ISO/IEC 27002: 2013 .................................................................................................. 19
6.8.
COBIT 5.0 ................................................................................................................... 21
6.8.1.
Habilitadores ................................................................................................... 21
6.8.2.
Beneficios........................................................................................................ 22
6.8.3.
Principios......................................................................................................... 24
6.9.
Risk IT......................................................................................................................... 27
6.10.
M_o_R Gua para la Gestin de Riesgos ................................................................. 28
6.11.
MAGERIT Metodologa de Anlisis y Gestin de Riesgos TI ................................... 29
6.12.
NIST SP 800-30 Gua de Gestin de Riesgos para Sistemas de Tecnologa de
Informacin [7] .......................................................................................................................... 29
7.
Estado del Arte ........................................................................................................... 31
7.1.
Central de Riesgo en el Reino Unido [21] ................................................................... 31
7.2.
Central de Riesgo en Sudamrica [22] ....................................................................... 31
7.3.
Central de Riesgo en Norteamrica [12] ..................................................................... 32
8.
Metodologa del Producto ........................................................................................... 34
8.1.
Contexto de la Organizacin (Planeamiento): ............................................................. 34
8.2.
Liderazgo (Planeamiento) ........................................................................................... 34
8.3.
Planificacin (Planeamiento) ....................................................................................... 35
8.4.
Operacin (Hacer) ...................................................................................................... 36
8.5.
Evaluacin del Desempeo (Revisin)........................................................................ 37
8.6.
Mejoramiento (Actuar)................................................................................................. 37
9.
Metodologa del Proyecto ........................................................................................... 39
10.
Mtodos y Procedimientos .......................................................................................... 40

Captulo 2
1.
1.1
1.2
2.
3.

Modelamiento de Procesos ......................................................................................... 43

Venta de Productos y Servicios .................................................................................. 43
Compra de Informacin:.............................................................................................. 45
Identificacin y Valoracin de Activos de Informacin ................................................. 46
Valoracin de Activos.................................................................................................. 46

Captulo 3
1.
2
3

Matriz de Riesgos ....................................................................................................... 43

Plan de Tratamiento .................................................................................................... 43
Mapeo con COBIT 5.0 ................................................................................................ 43

Captulo 4
1.
2.

Declaracin de la Aplicabilidad ................................................................................... 54

Conclusin .................................................................................................................. 55

NDICE DE FIGURAS
Figura 1. Diferencias estructurales entre las Normas 27001:2005 y 27001:2013 [7] ................ 13
Figura 2. Procesos de la Gestin del Riesgo ISO 31000/2009 [5] ............................................ 18
Figura 3. Marco Integral COBIT 5.0 [16] ................................................................................... 22
Figura 4. Principios de COBIT 5.0 [16] ..................................................................................... 23
Figura 5. Cascada de Objetivos [16] ......................................................................................... 24
Figura 6 Facilitadores de COBIT 5 [17] ..................................................................................... 26
Figura 7 Ciclo de vida [9] .......................................................................................................... 27
Figura 8 Procesos de Gestin del Riesgo M_o_R [19] ............................................................. 28
Figura 9 . Certificacin CallCredit ISO27001 [21] .................................................................... 31
Figura 10. Certificacin SINACOFI ISO27001 [22] ................................................................... 32
Figura 11. Certificado ISO/IEC 27001:2005 a Experian [12] ..................................................... 33
Figura 12. EDT ......................................................................................................................... 40
Figura 13. Diagrama de Gantt .................................................................................................. 41
Figura 14 Objetivos de Gobierno de COBIT 5 .......................................................................... 52

NDICE DE TABLAS
Tabla 1. Nuevos Controles 27002:2013 ................................................................................. 39
Tabla 2. Relacin entre las clusulas de la Norma 27001:2013 y la Metodologa Deming ....... 47
Tabla 3. Metodologa PMBOK 5 ............................................................................................... 48
Tabla 4. Criterios para la Valoracin de Activos ....................................................................... 49
Tabla 5. Criterios para el clculo de la Probabilidad del Escenario del Incidente...................... 50
Tabla 6. Criterios para el clculo del Impacto ........................................................................... 50
Tabla 7. Niveles de Riesgo ....................................................................................................... 52
Tabla 8. Niveles de Riesgo segn el Impacto vs. Probabilidad de Ocurrencia ......................... 53
Tabla 9. Objetivos de TI - Gobierno de COBIT.......................................................................53

CAPITULO 1: Generalidades
1. Identificacin de Problema
Una Central de Riesgo privada est encargada principalmente de brindar informacin
a terceros sobre el nivel de endeudamiento, antecedentes crediticios, comerciales,
tributarios, laborales y de seguros de personas naturales y jurdicas, mediante la
recoleccin y procesamiento de informacin de riesgo con el objeto de evaluar la
capacidad de endeudamiento y pago de dichas personas.
El Congreso de la Repblica, emiti en el ao 2001 la Ley N27489 [1], la misma que
regula las centrales privadas de informacin de riesgos y de proteccin al titular de la
informacin. La cual sera modificada al ao siguiente por la Ley N27863 [2].
El Artculo N12 de la Ley N27489 [1] hace referencia a la seguridad de la
informacin, obligando a las Centrales de Riesgo privadas a adoptar medidas de
ndole tcnicas o administrativas que garanticen la seguridad de la informacin de los
titulares, promoviendo la confidencialidad y uso apropiado de dicha informacin,
evitando su alteracin, prdida, tratamiento, o acceso no autorizado.
Asimismo, el captulo V de la Ley de Proteccin de Datos personales N29733 [3],
aprobada en Marzo del 2013, establece las medidas de seguridad para el tratamiento
de informacin digital, tales como el respaldo, recuperacin y la gestin de acceso de
los datos personales.
Surge la necesidad de garantizar que los riesgos de la seguridad de la informacin
sean conocidos, gestionados y minimizados de una forma documentada, sistemtica,
eficiente y adaptada a los cambios que se produzcan en los riesgos, el entorno y las
tecnologas, para brindar un nivel de confianza sobre el cumplimiento de los objetivos
del negocio y al mismo tiempo protegiendo la organizacin.
Un Sistema de Gestin de Seguridad de la Informacin permite la calidad de la
seguridad de la informacin, gestionando el acceso a la informacin, brindando
confidencialidad, disponibilidad e integridad a la informacin evitando ataques,
filtracin, alteracin y prdida de ingresos, cumpliendo con las normas legales.
En este contexto se presenta como propuesta el Diseo de un Sistema de Gestin de
Seguridad de Informacin (SGSI) que permita a una central de riesgos cumplir con la
regulacin vigente siguiendo normas internacionales actuales.

2. Objetivo General
Diseo de un Sistema de Gestin de la Seguridad de Informacin (SGSI) el cual
permita que una Central de Riesgo Privada pueda cumplir con las exigencias
regulatorias a las que se haya sujeta, siguiendo las normas internacionales
ISO/IEC 27001:2013, ISO/IEC 27002:2013 e ISO 31000:2009.

3. Objetivos Especficos
OE1

Modelar los procesos que constituyen el negocio principal de una

Central Privada de Informacin de Riesgos.

OE2

Identificar y valorar
seleccionados.

OE3

Identificar y evaluar los riegos a los que estn expuestos los activos
identificados en el punto anterior.

OE4

Identificar los objetivos de control y controles que son aplicables y

relevantes al SGSI de la Central Privada de Informacin de Riesgos.

Elaborar la documentacin exigida por la norma adoptada para el

diseo del SGSI.

OE5

los

activos

relacionados

los

procesos

4. Resultados Esperados
RE1

Modelamiento de los principales procesos de negocio.

RE2

Lista de activos valorados asociados a los procesos de negocio.

RE3

Mapa de Riesgos.

RE4

Declaracin de Aplicabilidad, la cual incluya los controles seleccionados

y las razones para su eleccin, objetivos de control, la exclusin de un
objetivo de control y la justificacin para su exclusin.

RE5

Segn la clusula 6.1.3, se elaborarn los siguientes documentos del

SGSI:
Los enunciados de la poltica de seguridad y objetivos de control.
El alcance del SGSI.
Plan de Tratamiento de Riesgo.
Declaracin de Aplicabilidad.
Descripcin de la Metodologa de evaluacin del riesgo.

5. Alcance y Limitaciones
5.1.

Alcance
Abarcar los principales procesos de una Central Privada de Informacin de
Riesgo:
Compra de Informacin
Venta de Productos y Servicios:
Generar Producto por Agencia
Generar Producto o Servicio por Web
Generar Servicio Complementario :
- Generar Servicio Etapa Prospeccin
- Generar Servicio Etapa Admisin
- Generar Servicio Etapa Recuperacin

5.2.

Limitaciones
Falta de documentacin de las principales actividades y procedimientos de
la Empresa.
Acceso limitado a la informacin de la Empresa para la posterior
identificacin de riesgos de cada subproceso.
Falta de disponibilidad de miembros del personal usuario para concretar
reuniones y entrevistas.

6. Marco Conceptual
Para el problema planteado y la futura solucin es necesario conocer algunos
conceptos que se describen a continuacin:

6.1.

Conceptos relacionados a Seguridad de Informacin

Seguridad de Informacin
Preservacin de la confidencialidad, integridad y disponibilidad de la
informacin; adems tambin pueden estar involucradas otras propiedades
como la autenticidad, responsabilidad, no-repudio y confiabilidad. [4]
Evento de Seguridad de la Informacin
Una ocurrencia identificada del estado de un sistema, servicio o red indicando
una posible violacin de una poltica de seguridad de la informacin o una
situacin previamente desconocida que puede ser relevante para la
seguridad. [4]

 Incidente de seguridad de la informacin

Un solo o una serie de eventos de seguridad de la informacin no deseados o
inesperados que tienen una significativa probabilidad de comprometer las
operaciones comerciales y amenazan la seguridad de la informacin. [4]
Disponibilidad
La propiedad de estar disponible y utilizable cuando lo requiera una entidad
autorizada. [4] La informacin debe encontrarse a disposicin de quienes
deben acceder a ella, ya sean personas, procesos o aplicaciones. Es el
acceso a la informacin y a los sistemas por personas autorizadas en el
momento que lo requieran, evitando interrupciones del servicio debido a
cortes de energa, fallos de hardware y actualizaciones del sistema. Implica
tambin la prevencin de ataque de denegacin de servicio.
Confidencialidad
La propiedad de que la informacin est disponible y no sea divulgada a
personas, entidades o procesos no autorizados. [4]
Es el acceso a la informacin nicamente por personas que cuentan con la
debida autorizacin.
Integridad
Propiedad de salvaguardar por la exactitud y completitud de los activos. [4]
Busca mantener la informacin libre de modificaciones no autorizadas, de tal
manera que se conserve tal cual fue generada, sin ser manipulada ni alterada
por personas o procesos no autorizados.

6.2.

Conceptos relacionados a Riesgos

Riesgo
Probabilidad de que una amenaza explote una vulnerabilidad del activo,
impactando adversamente en la organizacin.
Combinacin de consecuencias de un evento determinado y la probabilidad
de ocurrencia asociada. [5]
Control
Medios para gestionar el riesgo; incluyendo polticas, procedimientos,
lineamientos, prcticas o estructuras organizacionales, las cuales pueden ser
administrativas, tcnicas, de gestin o de naturaleza legal.

6.3.

Conceptos relacionados al SGSI

Activo
Cualquier cosa que tenga valor para la organizacin. [4]

 Sistema de Seguridad de Informacin (SGSI)

Es parte del sistema gerencial general, basado en un enfoque de riesgo
comercial; para establecer, implementar, operar, monitorear, revisar,
mantener y mejorar la seguridad de la informacin. [4]
Enunciado de Aplicabilidad
Enunciado documentado que describe los objetivos de control y los controles
que son relevantes y aplicables al SGSI de la Organizacin. [4]

6.4.

Definiciones segn la Ley y Marco Legal

Centrales Privadas de Informacin de Riesgo (CEPIRS)
Las empresas que en locales abiertos al pblico y en forma habitual
recolecten y traten la informacin de riesgos relacionada con personas
naturales o jurdicas, con el propsito de difundir por cualquier medio
mecnico o electrnico, de manera gratuita u onerosa, reportes de crdito
acerca de estas. [2]
Informacin de riesgo
Informacin relacionada a obligaciones o antecedentes financieros,
comerciales, tributarios, laborales, de seguros de una persona natural o
jurdica que permita evaluar su solvencia econmica, vinculada
principalmente a su capacidad y trayectoria de endeudamiento y pago. [2]
Informacin sensible
Informacin referida a las caractersticas fsicas, morales o emocionales de
una empresa natural o a hechos o circunstancias de su vida afectiva o
familiar, tales como los hbitos personales, ideologas y opiniones polticas,
creencias o convicciones religiosas, estados de salud fsicos o psquicos y la
vida sexual u otras anlogas que afecten su intimidad y todo lo referido en la
Constitucin poltica del Per en su artculo 2 inciso 6). [2]
Titular de la informacin
La persona natural o jurdica a la que se refiere la informacin de riesgos. [2]
Reporte de crdito
Toda comunicacin escrita o contenida en algn medio proporcionado por
una CEPIR con informacin de riesgos referida a una persona natural o
jurdica, identificada.

10

 La Central de Riesgo de Datos

Conjunto de informacin de riesgos administrado por la CEPIRS, cualquiera
sea la forma o
modalidad
de
su
creacin,
organizacin,
almacenamiento, sistematizacin y acceso, que permita relacionar la
informacin entre s, as como procesarla con el propsito de transmitirla a
terceros. [2]
Fuentes de acceso pblico
Informacin que se encuentra a disposicin del pblico en general o de
acceso no restringido, no impedida por cualquier norma limitativa, que est
recogida en medios tales como censos, registros pblicos, guas telefnicas,
etc. [2]
Ley 27489 Artculo N12: Deber de Seguridad
Las CEPIRS debern adoptar las medidas de ndole tcnica y administrativa
destinadas a garantizar la seguridad de informacin que manejen, a fin de
evitar su alteracin, prdida, tratamiento o acceso no autorizado. [1]
Ley 27489 Artculo N5: Caractersticas
Las CEPIRS debe contar, como mnimo, con las siguientes caractersticas:
Infraestructura adecuada para el debido tratamiento de la informacin
recolectada.
Procedimientos internos para una oportuna atencin de consultas,
quejas y reclamos, cuando sea el caso.
Controles internos que proporcionen seguridad en el desarrollo de las
actividades, as como procedimientos de validez de la informacin
procesada.
Ley 27863 Artculo N13: Derechos de los Titulares
Los titulares de la informacin registrada en los La Central de Riesgos de
datos administrados por las CEPIRS tienen los siguientes derechos:

Derecho de acceso a la informacin de uno mismo.

Derecho de modificacin y cancelacin de la informacin referida a

uno mismo, en caso fuese errnea, inexacta, ilegal o caduca.

Derecho de actualizacin de la informacin referida a

uno mismo. [2]
Ley 29733 Ley de Proteccin de Datos Personales
Tiene el objetivo de garantizar el derecho fundamental a la proteccin de los
datos personales y dispone que el Ministerio de Justicia y Derechos Humanos
asuman la autoridad Nacional de Proteccin de Datos personales. [3]
Artculo 10 - Principio de Seguridad: Establece que las Compaas
deben adoptar las medidas de seguridad que resulten necesarias a fin de
evitar la prdida o alteracin por accin humana o medio tcnico.
Captulo V Medidas de Seguridad: En el cual se plantean los artculos
para el tratamiento de informacin digital, gestin de accesos a los

11

sistemas de informacin, autenticacin de usuarios, privilegios, el respaldo

de informacin y almacenamiento.

6.5.

ISO/IEC 27001:2013
Publicada el 25 de Septiembre del 2013 reemplazando a las ISO/IEC
27001:2005. Contiene los requisitos bsicos que debe tener todo sistema de
gestin de seguridad de la informacin y es un estndar sobre el cual se
certifican los SGSI de las organizaciones.
La nueva estructura de la norma ha sido diseada con el objetivo de
estandarizar todas las normas del sistema de gestin y sus requerimientos
funcionales. Adicionalmente, las definiciones han sido relocalizadas en la
ISO/ IEC 27000:2012 como referencia normativa.
Adicionalmente, el nuevo estndar se enfoca en la medicin y evaluacin del
desempeo del SGSI en la Organizacin, mas no en el ciclo Deming del Plan,
Do, Check y Act, que enfatizaba la anterior norma.
En la Figura 1 se puede apreciar las diferencias de estructura entre las
normas 27001:2005 y 27001:2013, mientras que en la Tabla 2 se relacionan
las nuevas clusulas con las etapas del ciclo Deming: Las clusulas 4, 5, 6 y
7 son un componente de la etapa Plan del ciclo Deming, la clusula 8 es un
componente de la etapa Do, la clusula 9 es un componente de la etapa
Check y la clusula 10 es un componente de la etapa Act.
La adopcin de un SGSI debe ser una decisin estratgica para una
organizacin. El diseo e implementacin del SGSI de una organizacin es
influenciado por las necesidades, objetivos, requerimientos de seguridad
procesos y el tamao y estructura de la organizacin. Se espera que estos y
sus sistemas de apoyo cambien a lo largo del tiempo.
ste estndar es el que los mercados internacionales exigen a las empresas
para poder demostrar que la informacin manipulada est bajo caractersticas
de confidencialidad, integridad, disponibilidad, y que garantizan continuidad
en las operaciones, debido a que cuentan con un sistema para la planificacin
de la continuidad del negocio. Una empresa con este estndar implantado
garantiza, en la cadena de suministros, ser un proveedor confiable.

12

Figura 1. Diferencias estructurales entre las Normas 27001:2005 y 27001:2013 [7]

6.5.1. Alcance
Abarca todo tipo de organizaciones (Por ejemplo: empresas comerciales,
agencias gubernamentales, organizaciones sin fines de lucro). Este estndar
Internacional especifica los requerimientos para establecer, monitorear, revisar,
mantener y mejorar un SGSI documentado dentro del contexto de los riesgos
comerciales generales dentro de la organizacin. Especifica los requerimientos
para la implementacin de controles de seguridad personalizados para las
necesidades de las organizaciones individuales o partes de ella.
El SGSI est diseado para asegurar la seleccin adecuada y proporcionar
controles de seguridad que protejan los activos de informacin y den confianza
a las partes interesadas.

13

6.5.2. Aplicacin
Los requerimientos establecidos en este Estndar Internacional son genricos
y estn diseados para ser aplicables a todas las organizaciones, sin importar
el tipo, tamao y naturaleza.
Cualquier exclusin de los controles vista como necesaria para satisfacer el
criterio de aceptacin del riesgo tiene que ser justificada y se debe proporcionar
evidencia de que los riesgos asociados han sido aceptados por las personas
responsables.
Cuando se realizan exclusiones, las aseveraciones de
conformidad con este estndar no son aceptables a no ser que estas
exclusiones no afecten la capacidad y/o responsabilidad de la organizacin,
para proporcionar seguridad de la informacin que satisfaga los requerimientos
de seguridad determinados por la evaluacin de riesgo y los requerimientos
reguladores aplicables.

6.6.

ISO/IEC 31000:2009 Gestin del Riesgo en la Seguridad de la

Informacin
La Metodologa a utilizar en esta tesis para la gestin de riesgos ser este
estndar internacional, el cual proporciona directrices para la Gestin de
Riesgos en la Seguridad de la Informacin, apoyando en particular los
requisitos planteados en la nueva norma ISO/IEC 27001:2013.
La gestin de riesgos en la seguridad de la informacin consistir en el
establecimiento del contexto, la identificacin y evaluacin del riesgo, el
tratamiento de riesgo, la comunicacin del riesgo y el monitorio y revisin del
riesgo.
En la Figura 2 se aprecian los procesos que constituyen la gestin de riesgos
propuesta por esta norma.

6.6.1. Comunicacin y Consulta

La comunicacin y consulta con las partes interesadas externas e internas
debe tener lugar durante cada etapa del proceso de gestin de riesgos. Deben
abordar cuestiones relacionadas con el riesgo, sus causas, sus consecuencias
y las medidas que se estn adoptando para tratarlas.
Un enfoque del equipo consultor podr:
Ayudar a establecer el contexto adecuado.
Asegurar que se entiendan y se consideran los intereses de las partes
interesadas.
Ayudar a asegurar que los riesgos se identifican adecuadamente.
Aportar en diferentes reas para analizar los riesgos.
Asegurar que los diferentes puntos de vista sean considerados en la
definicin de los criterios de riesgo y en la evaluacin de riesgos.
Brindar respaldo y apoyo a un plan de tratamiento.
Mejorar la gestin del cambio adecuada durante el proceso de gestin de
riesgos.
Desarrollar una comunicacin externa e interna y un plan de consulta.

14

6.6.2. Establecimiento del Contexto

Implica determinar los criterios bsicos necesarios para la gestin de los
riesgos de la seguridad de la informacin, definir el alcance, los parmetros
internos y externos que se deben tener en cuenta, y establecer un apropiado
funcionamiento de la gestin de riesgos de la seguridad de la informacin en la
Organizacin.
Contexto Externo: Es el entorno en el cual la Organizacin trata de lograr
sus objetivos, basados en los requerimientos legales y regulatorios,
incluyendo al entorno poltico, financiero, tecnolgico, nacional o
internacional.
Contexto Interno: La Gestin del riesgo debe estar alineada con la cultura,
procesos, estrategia y estructura dentro de la Organizacin
Definir el criterio del riesgo: Los criterios deben reflejar los objetivos de la
Organizacin, algunos sern impuestos por requerimientos legales, sin
embargo todos deben ser coherentes con la poltica de gestin de riesgos
de la Organizacin. Los factores que deben incluir son los siguientes: La
naturales y los tipos de causas y consecuencias que pueden ocurrir y cmo
van a ser medidos, definicin de la probabilidad, opiniones de las partes
interesadas, el nivel en el que el riesgo se define como aceptable o
tolerable.

6.6.3. Valoracin del Riesgo

Identificacin del riesgo
La Organizacin debe identificar las fuentes de riesgo, el impacto, los eventos,
sus causas y posibles consecuencias. El objetivo es generar una lista de
riesgos sobre la base de eventos que puedan crear, mejorar, prevenir,
degradar, acelerar o retrasar el logro de los objetivos. Esta etapa es la ms
importante, ya que el riesgo no identificado, no ser incluido en el anlisis
posterior.
Anlisis del riesgo
El anlisis de riesgos implica el desarrollo de una comprensin de los riesgos
para poder determinar si deben ser tratados. Implica la consideracin de las
causas y fuentes de riesgo, sus consecuencias y la probabilidad de que se
puedan producir.
Un evento puede tener mltiples consecuencias, afectando a mltiples
objetivos. Los controles existentes, su eficacia y eficiencia tambin deben
tenerse en cuenta.
El anlisis puede ser cualitativo, semicuantitativo,
cuantitativo o una combinacin de estos.
Las consecuencias y su probabilidad se pueden determinar a partir del estudio
de los eventos. Las consecuencias deben estar expresadas en trminos de
impacto tangible o intangible.

15

 Evaluacin del riesgo

El objetivo de la evaluacin del riesgo es ayudar en la toma de decisiones, en
base al anlisis de riesgos, identificando a los riesgos que necesitan
tratamiento y prioridad para la aplicacin de este.
La evaluacin del riesgo consiste en comparar el nivel de riesgo detectado
durante el proceso de anlisis con el criterio del riesgo establecido cuando el
contexto fue considerado.
Las decisiones deben tomarse considerando los requerimientos legales y
reglamentarios, tomando en cuenta el contexto y el grado de tolerancia de los
riesgos asumidos por terceros ajenos a la Organizacin.

6.6.4. Tratamiento del riesgo

Implica la seleccin de una o ms opciones para la modificacin de los riesgos
y la aplicacin de estas opciones. Una vez implementados, el tratamiento
proporciona los controles necesarios.
El tratamiento de los riesgos implica lo siguiente:
Evaluacin del tratamiento de riesgos
Decidir si los niveles de los riesgos residuales son tolerables
Si no es tolerable, generar un nuevo tratamiento de riesgos
Evaluacin de la eficacia de dicho tratamiento
Las opciones del tratamiento de riesgos no son mutuamente excluyentes en
algunas circunstancias, pueden incluir lo siguiente:
Evitar el riesgo al decidir continuar con la actividad que da lugar al riesgo
Eliminacin de la fuente del riesgo
Cambiar la probabilidad
Cambiar las consecuencias
Compartir el riesgo con otras partes (Financiacin del riesgo, contratos con
terceros).
Seleccin de la opcin de tratamiento del riesgo
Implica un equilibrio entre los costes y los esfuerzos de aplicacin vs. los
beneficios que se derivan, en lo que respecta a los requisitos legales,
reglamentarios y otros, tales como la responsabilidad social y la proteccin del
medio ambiente.
Las decisiones tambin deben tener en cuenta la justificacin de un
tratamiento, por ejemplo en los casos en que el riesgo es alto pero es muy
poco probable que ocurra no sera justificable por razones econmicas.

16

Al seleccionar las opciones de tratamiento de riesgos, la Organizacin debe

considerar los valores y percepciones de las partes interesadas y los medios
ms adecuados para comunicarse con ellos.
Aunque igualmente eficaces, algunos tratamientos de riesgo pueden ser ms
aceptables para algunos grupos de inters que a otros. El plan de tratamiento
debe identificar claramente el orden de prioridad en el que los tratamientos
individuales de riesgo deben ser implementados.
El tratamiento del riesgo en s mismo puede presentar riesgos. Un riesgo
significativo puede ser la insuficiencia o ineficacia de las medidas de
tratamiento de riesgo. El monitoreo debe ser una parte integral del plan de
tratamiento de riesgos para dar garantas de que las medidas siguen siendo
eficaces.
El tratamiento del riesgo tambin puede introducir riesgos secundarios que
deben ser evaluados, tratados, controlados y revisados. Estos riesgos
secundarios deben ser incorporados en el mismo plan de tratamiento como un
nuevo riesgo. El vnculo entre los dos riesgos debe ser identificado y
mantenido.
Implementacin del Plan de Tratamiento de riesgos
El objetivo es documentar cmo se implementarn las opciones del tratamiento
elegido. La informacin proporcionada en los planes de tratamiento debe incluir
lo siguiente:
Las razones para la seleccin de las opciones de tratamiento, incluyendo
los beneficios que se espera obtener.
Los responsables de la aprobacin del plan y los responsables de la
ejecucin del plan.
Acciones propuestas.
Necesidades de recursos, incluidos los imprevistos.
Medidas de rendimiento y limitaciones.
Presentacin de informes, y calendario.
Los planes de tratamiento deben integrarse con los procesos de gestin de la
organizacin y discutidos con las partes interesadas pertinentes. Los
responsables y las partes interesadas deben ser conscientes de la naturaleza y
alcance del riesgo residual despus del tratamiento del riesgo. El riesgo
residual debe ser documentado y sometido a seguimiento y revisin.

6.6.5. Monitoreo y Revisin del Riesgo

Tanto el monitoreo como la revisin deben ser parte del proceso de gestin de
riesgos, cuyas responsabilidades deben estar claramente definidas. Debe
contemplar los siguientes aspectos:
Asegurar que los controles sean eficaces y eficientes tanto en el diseo
como en el funcionamiento.
Obtener ms informacin para mejorar la evaluacin de riesgos.
El anlisis y aprendizaje de lecciones de los acontecimientos, cambios, las
tendencias, xitos y fracasos.

17

Detectar cambios en el contexto externo e interno, incluyendo cambios en

los criterios de riesgo, que puede requerir una revisin de los tratamientos
de riesgo.

Figura 2. Procesos de la Gestin del Riesgo ISO 31000/2009 [5]

18

6.7.

ISO/IEC 27002: 2013

Publicada el 25 de Septiembre del 2013, reemplazando a la norma ISO/IEC
27002:2005. Describe los objetivos de control y controles recomendables en
cuanto a seguridad de la informacin, contando actualmente con 14 dominios,
35 categoras y 114 controles.
Existen nuevos controles propuestos aplicables a los riesgos que conllevan las
nuevas tecnologas, as por ejemplo, en el dominio A.6 Organizacin de la
Seguridad de la Informacin, se establece la categora Dispositivos Mviles y
Teletrabajo, introduciendo un nuevo control, Polticas de dispositivos mviles.
Los dominios considerados son los siguientes:
Polticas de la seguridad de la informacin: Proveen directivas y brindan
soporte en la seguridad de informacin de acuerdo a los requerimientos del
negocio y las regulaciones.
Organizacin de la Seguridad de la Informacin: Busca administrar la
seguridad dentro de la compaa, as como mantener la seguridad de la
infraestructura de procesamiento de la informacin y de los activos que son
accedidos por terceros.
Seguridad en Recursos Humanos: Orientado a reducir el error humano, ya
que en temas de seguridad, el usuario es considerado como el eslabn ms
vulnerable y por el cual se dan los principales casos relacionados con
seguridad de la informacin. Busca capacitar al personal para que puedan
seguir la poltica de seguridad definida, y reducir al mnimo el dao por
incidentes y mal funcionamiento de la seguridad.
Gestin de Activos: Busca proteger los activos de informacin, controlando
el acceso solo a las personas que tienen permiso de acceder a los mismos.
Trata que cuenten con un nivel adecuado de seguridad.
Controles de Accesos: El objetivo de esta seccin es bsicamente controlar
el acceso a la informacin, as como el acceso no autorizado a los sistemas
de informacin y computadoras. De igual forma, detecta actividades no
autorizadas.
Criptografa: Uso efectivo de la criptografa para proteger la confidencialidad,
integridad y disponibilidad de la seguridad de la informacin.
Seguridad Fsica y Ambiental: Trata principalmente de prevenir el acceso no
autorizado a las instalaciones para prevenir daos o prdidas de activos o
hurto de informacin.
Seguridad de Operaciones: Para asegurar operaciones correctas y seguras
en el procesamiento de informacin.

19

 Seguridad en las comunicaciones: Esta seccin busca asegurar la seguridad

cuando la informacin se transfiere a travs de las redes, previniendo la
prdida, modificacin o el uso errneo de la informacin.
Adquisicin, desarrollo y mantenimiento de los sistemas de informacin:
Bsicamente busca garantizar la seguridad de los sistemas operativos,
garantizar que los proyectos de TI y el soporte se den de manera segura y
mantener la seguridad de las aplicaciones y la informacin que se maneja
en ellas.
Relacin con los proveedores: Gestin de incidentes de seguridad de
informacin: Tiene que ver con todo lo relativo a incidentes de seguridad.
Busca que se disponga de una metodologa de administracin de incidentes,
que es bsicamente definir de forma clara pasos, acciones,
responsabilidades, funciones y medidas correctas.
Gestin de la continuidad del negocio: Lo que considera este control es que
la seguridad de la informacin se encuentre incluida en la administracin de
la continuidad de negocio. Busca a su vez, contrarrestar interrupciones de
las actividades y proteger los procesos crticos como consecuencias de
fallas o desastres.
Cumplimiento: Busca que las empresas cumplan estrictamente con las
bases legales del pas, evitando cualquier incumplimiento de alguna ley civil
o penal, alguna obligacin reguladora o requerimiento de seguridad. A su
vez, asegura la conformidad de los sistemas con polticas de seguridad y
estndares de la organizacin.

A.6.2.1
A 6.1.5
A.12.6.2
A.14.2.1
A.14.2.5
A.14.2.6
A.14.2.8
A.15.1.1
A.15.1.3
A16.1.4
A16.1.5
A17.1.2
A17.2.1

Nuevos Controles propuestos 27002:2013

Polticas en dispositivos mviles.
Seguridad de la Informacin en la gestin de proyectos.
Restricciones en la instalacin de software
Poltica de desarrollo de seguridad
Desarrollo de procedimientos para sistemas
Desarrollo de un entorno seguro
Sistema de pruebas de Seguridad
Informacin de seguridad para las relaciones con
proveedores
Cadena de suministro ICT
Evaluacin y decisin de los eventos de seguridad de
informacin
Respuesta a incidente de informacin
Implementacin de la continuidad de la seguridad de la
informacin
Disponibilidad de instalaciones para procesamiento de
informacin
Tabla1. Nuevos Controles 27002:2013

20

6.8.

COBIT 5.0
Hoy en da las empresas se enfrentan al gran reto de generar informacin con
valor agregado y 100% confiable, garantizando la seguridad de la informacin y
utilizando tecnologas de informacin (TI), las cuales permitirn la
automatizacin de los procesos clave del negocio, aumentando la
competitividad y permitiendo la innovacin, como por ejemplo: La entrega de
diferentes productos online. El uso de TI involucra el uso de activos crticos,
los cuales deben ser gobernados correctamente.
El uso de las TI significa tambin hablar de riesgos: la economa en red
representa grandes riesgos TI, tales como la no disponibilidad de los sistemas
de informacin, la divulgacin de la informacin de los titulares o clientes, o
datos de propiedad, o la prdida de oportunidades de negocio debido al uso de
una arquitectura no flexible lo que conlleva a una negativa reputacin y riesgos
que pueden poner en peligro la supervivencia de la empresa.
Entonces, la necesidad de gestionar estos y otros tipos de riesgos relacionados
con las TI es un motor para un mejor Gobierno de las TI en las empresas
(GEIT-Governance of Enterprise IT [9]). Su importancia tambin se le debe
atribuir al marco legal con el que deben cumplir algunas empresas, el cual ha
llevado a un significativo enfoque en los controles relacionados a las TI. Como
tambin, las infracciones en seguridad de la informacin pueden conducir a un
sustancial impacto a travs, por ejemplo, de los daos financieros u operativos.
COBIT 5 apoyar a las empresas a alcanzar sus objetivos, proporcionando un
marco integral de referencia y buenas prcticas, el cual permitir ejercer un
gobierno efectivo y una gestin eficiente de las TI, asegurando de que la
empresa entregue valor y otorgando confiabilidad en la informacin a travs de
los sistemas de informacin. Se contrarrestarn todos los riesgos involucrados
en el reto de generar informacin 100% confiable.
COBIT 5 permite administrar a las TI de manera integral para toda la empresa,
teniendo en cuenta la totalidad del negocio, las reas funcionales de
responsabilidad de las TI y los intereses de las partes interesadas
(stakeholders), internas y externas, relacionadas con las TI. [9]
COBIT 5 para la Seguridad de la Informacin se basa en el marco de control
COBIT5 y proporciona una gua ms detallada para los profesionales en
seguridad de la informacin y los stakeholders a todos los niveles de la
empresa.

6.8.1. Habilitadores
COBIT 5 incluye los siguientes procesos:
APO13 Administracin de la Seguridad
DSS04 Gestin de la Continuidad
DSS05 Gestin de los servicios de seguridad
Los mismos que proporcionan una gua bsica sobre cmo establecer,
operar, y supervisar un SGSI.
Los principales controladores de COBIT para la Seguridad de Informacin
son:

21

 La necesidad de describir la seguridad de informacin en un contexto

empresarial.
Una necesidad de la empresa cada vez mayor de: Mantener los riesgos a
un nivel aceptable y proteger la informacin contra la divulgacin no
autorizada, modificaciones no autorizadas o accidentales y posibles
intrusiones; la satisfaccin del usuario mediante la disponibilidad de los
servicios de TI y el cumplimiento de leyes y reglamentos.
La necesidad de conectarse, y alinearse con otros importantes marcos y
estndares en el mercado.
La necesidad de unir todas las principales investigaciones de ISACA con
un enfoque principal en el Modelo de Negocio de Informacin de
Seguridad (BMIS) y COBIT, considerando tambin Val IT, Risk IT, IT
Assurance Framework (ITAF), la publicacin titulada Board Briefing on IT
Governance y el recurso Taking Governance Forward (TGF).

Figura 3. Marco Integral COBIT 5.0 [16]

6.8.2. Beneficios
Reduccin de la complejidad y aumento de la rentabilidad debido a una
mayor integracin de los estndares de la seguridad de la informacin.
Aumento en la satisfaccin de los usuarios.
Integracin de la seguridad de la informacin en la empresa.
Decisiones a partir de la identificacin de los riesgos y Conciencia del riesgo.
Reduccin de los incidentes de la seguridad de la informacin.
Mayor apoyo a la innovacin y competitividad.
Mejora de la gestin de costos relacionados con la funcin de seguridad de
la informacin.
COBIT5 se basa en cinco Principios y siete Habilitadores (enablers). Los
principios en los que se basa se identifican en la siguiente figura:

22

Figura 4. Principios de COBIT 5.0 [16]

23

6.8.3. Principios
Satisfacer las necesidades de los stakeholders
Dado que cada empresa tiene diferentes objetivos, la empresa debe utilizar la
cascada de objetivos para personalizar COBIT5 y adaptarlo a su propio
contexto. En la cascada de objetivos, que se presenta en la Figura 4, las
necesidades de los stakeholders se especifican en los objetivos operacionales
de la empresa para ser satisfechos. Estos objetivos de la empresa a su vez
requieren objetivos a alcanzar relacionados con los IT, y finalmente se traducen
en objetivos para los diferentes facilitadores.
Abarcar toda la Empresa
COBIT5 cubre todas las funciones y procesos dentro de la empresa que son
importantes para la seguridad de informacin, tratando a la informacin y
tecnologa como activos.
La aplicacin de un marco nico e integrado
COBIT5 ofrece la posibilidad de integrar eficazmente otros marcos, estndares
y prcticas, permitiendo que la empresa lo utilice como un gobierno global y un
marco de gestin de TI. Rene conocimientos de diferentes marcos y modelos
de ISACA (COBIT, BMIS, Risk IT, Val IT), series ISO/IEC 27000, ISF Standard
of Good Practice for Information Security y U.S. National Institute of Standards
and Technology (NIST) SP800-53A.

Figura 5. Cascada de Objetivos [16]

24

 Enfoque integral
Un gobierno eficiente y eficaz y una eficiente gestin de las TI y de la
informacin, requieren un enfoque integral. COBIT5 define un conjunto de
facilitadores o factores que influirn en el gobierno y la gestin de las TI y el
gobierno de la seguridad de la informacin, impulsados por la cascada de
objetivos.
Diferenciar Gobierno y Gestin
Gobierno: Garantiza que las necesidades, condiciones y opciones de los
stakeholders se evalen para determinar un equilibrio, logrando los
objetivos de la empresa y estableciendo la direccin a travs de la toma
de decisiones.
Gestin: Actividades de supervisin, planeamiento, y monitoreo en
alineacin a la direccin establecida por el gobierno.
Los Habilitadores, que deben ser considerados para ayudar a promover el
logro de los objetivos del marco de la empresa y entregar valor, son:
1.
2.
3.
4.
5.
6.
7.

Polticas de la Seguridad de la Informacin, principios y marcos.

Procesos y actividades de la seguridad de la informacin
Estructura organizativa de la seguridad de la informacin
Cultura, tica y comportamiento como factores que determinan el xito
de la gestin y gobierno de la seguridad de la informacin.
Gobierno y gestin de la seguridad de la informacin
Capacidades de servicio necesarias para garantizar la seguridad de la
informacin.
Personas, habilidades y competencias especficas para la seguridad de
la informacin. [16]

25

Figura 6 Facilitadores de COBIT 5 [17]

COBIT 5 Incluye procesos que ayudan a guiar la creacin y el mantenimiento

de la gobernabilidad y Habilitadores de la gestin:

EDM01 Asegurar el ajuste de un marco de gobierno y su

mantenimiento. (Cultura, tica y comportamiento, principios, polticas y
marcos, estructura organizacional, y procesos).
APO01 Gestionar el Marco de gestin de TI. (Cultura, tica y
comportamiento, principios, polticas y marcos, estructura organizacional y
procesos).
APO03 Gestionar la arquitectura de la empresa. (Informacin, servicios,
infraestructura y aplicaciones).
APO07 Gestin de RRHH. (Personas, habilidades y competencias).
APO2 Gestionar la Estrategia

El Gobierno de COBIT5 y los procesos de gestin garantizarn que las

empresas organicen sus actividades relacionadas con las TI de manera
confiable y repetible. El modelo ahora cuenta con 5 dominios y 37 procesos
que forman la estructura para una detallada orientacin.
Ciclo de vida [9]
Ofrece a las empresas una manera para hacer frente a la complejidad y los
desafos encontrados durante las implementaciones utilizando COBIT5.
Existen tres componentes interrelacionados:
Ncleo: Mejora continua
El cambio
La gestin del programa

26

El ciclo de vida abarca siete fases:

Figura 7 Ciclo de vida [9]

6.9.

Risk IT
Publicada en el 2009 por ISACA. La gestin del riesgo empresarial es un
componente esencial de la administracin responsable de cualquier
organizacin. Debido a su importancia, los riesgos TI deben ser entendidos
como riesgos clave para el negocio.
El marco TI permite a los usuarios:
Integrar la gestin de riesgos IT con el ERM.
Entender cmo gestionar el riesgo.
Principios:
Alineacin con los objetivos de negocio
Alineacin de la gestin de riesgos de TI con el ERM
Balancear los costos y beneficios de la gestin de riesgos de TI
Promover la comunicacin justa y abierta de los riesgos de TI
Existen tres dominios en el marco Risk IT:
Gobierno del Riesgo: Asegura de que las prcticas de gestin de riesgos de
TI estn integradas en la empresa, con el objetivo de tener una ptima
rentabilidad. Se basa en los siguientes procesos:
Establecer y mantener una visin comn del riesgo.
Integrarlo con el ERM
Hacer una concientizacin del riesgo en las decisiones de la empresa.

Evaluacin del Riesgo: Asegurar que los riesgos IT sean identificados y

analizados. Se basa en los siguientes procesos:
Recopilacin de informacin
Anlisis del Riesgo
Mapa de Riesgos

27

Respuesta a los riesgos: Los riesgos deben ser clasificados de acuerdo a

las prioridades del negocio:
Gestin de Riesgos
Implementacin de Controles
Planes de respuesta a incidentes
Comunicacin de eventos de risgo. [20]

6.10. M_o_R Gua para la Gestin de Riesgos

Los principales temas que abarca la Gua son:
Principios M_o_R: Los principios estn alineados con los descritos en ISO
31000, y para ser ms consistente con los principios de otras Guas de
Gestin.
Los principios son:
Alineacin con los objetivos de la empresa.
Adaptacin con el contexto.
Compromiso de las partes interesadas. (stakeholders)
Proporcionar una orientacin clara.
Informacin de las decisiones tomadas.
Mejora Continua.
Creacin de una cultura la cual apoye los principios.
Lograr un valor medible.

Enfoque M_o_R: En donde se encuentra toda la documentacin de la

Gestin del Riesgo.
Proceso M_o_R: Hay un gran nfasis a la necesidad de comunicacin a lo
largo de las diferentes fases del proceso.
Existen 4 fases:
Identificacin
Activos
Plan
Implementacin

Figura 8 Procesos de Gestin del Riesgo M_o_R [19]

28

Revisin M_o_R: Este captulo ha sido reescrito para mejorar la orientacin

sobre cmo integrar la gestin de riesgos. [19]

6.11. MAGERIT Metodologa de Anlisis y Gestin de Riesgos TI

Desarrollada por el Consejo Superior de Administracin Electrnica y publicada
por el Ministerio de Administraciones Pblica.
La primera versin se public en 1997 y la versin vigente en la actualidad es
la versin 2.0, publicada en el 2006.
La Metodologa consta de tres volmenes:
Volumen I Mtodo: Es el volumen principal en el que se explica
detalladamente la metodologa.
Volumen II Catlogo de elementos: Complementa el volumen principal
proporcionando diversos inventarios de utilidad en la aplicacin de la
metodologa. Los inventarios que incluye son:
Tipos de activos
Dimensiones y criterios de valoracin
Amenazas
Salvaguardas
Volumen III Gua de tcnicas: Complementa el volumen principal
proporcionando una introduccin de algunas tcnicas a utilizar en las distintas
fases del anlisis de riesgos. Las tcnicas que recoge son:
Tcnicas especficas para el anlisis de riesgos
Tcnicas Generales [15]

6.12. NIST SP 800-30 Gua de Gestin de Riesgos para Sistemas de

Tecnologa de Informacin [7]
El NIST (National Institute of Standards and Technology) ha incluido una
metodologa (Risk Management Guide for Information Technology Systems)
para el anlisis y gestin de riesgos de la Seguridad de la Informacin, alineada
y complementaria con el resto de documentos de la serie.
Compuesta por tres procesos principales: Valoracin del riesgo, Mitigacin del
Riesgo y Evaluacin del Riesgo.

Valoracin del Riesgo: Incluye 9 pasos.

Paso 1: Caracterizacin del Sistema
Paso 2: Identificacin de la amenaza
Paso 3: Identificacin de una vulnerabilidad
Paso 4: Anlisis de Control
Paso 5: Determinacin de la probabilidad
Paso 6: Anlisis del Impacto
Paso 7: Determinacin del Riesgo
Paso 8: Recomendaciones del Control
Paso 9: Resultados de la documentacin

29

Mitigacin del Riesgo: Incluye priorizacin, evaluacin e implementacin de

los apropiados controles para reducir el riesgo, recomendados del proceso
previo.

Evaluacin del Riesgo: En esta etapa se hace hincapi en la buena

prctica y la necesidad de una evaluacin continua del riesgo y la
evaluacin y los factores que conduzcan a un programa de gestin de
riesgos exitoso.

30

7. Estado del Arte

7.1.

Central de Riesgo en el Reino Unido

En el Reino Unido, la mayora de La Central de Riesgos y otras organizaciones
que conceden crditos se suscriben a una o ms Centrales de Riesgo para
garantizar la calidad de sus prstamos. Estas Centrales de Riesgo estn
sujetas a la Ley de Proteccin de Datos de 1998 (Data Protection Act), la cual
requiere que la informacin de los titulares sea precisa y relevante. Como
tambin, los consumidores tienen el derecho a solicitar una copia de su
expediente crediticio por 2 o acceder va online gratuitamente por un periodo,
despus del cual se deber pagar una cuota para el acceso.
Las actividades de las Centrales de Riesgo se rigen por la Ley del Crdito del
Consumidor de 1974.
Una de las Centrales de Riesgo ms importantes del Reino Unido es
CallCredit, creada por Skipton Building Society. La cartera de clientes incluye
La Central de Riesgos, telecomunicaciones y empresas de servicio pblico.
Adems, de brindar informacin de riesgo crediticio, brinda soluciones de
marketing para la captacin de clientes, ayudando a los clientes a gestionar sus
relaciones a travs de sus productos.
Una de las principales certificaciones de CallCredit es la de ISO/IEC
27001:2005, la cual le permite cumplir con el marco legal impuesto. [21]

Figura 9 . Certificacin CallCredit ISO27001 [21]

7.2.

Central de Riesgo en Sudamrica

SINACOFI (Sistema Nacional de Comunicaciones Financieras) es una empresa
chilena la cual brinda soluciones a Instituciones Financieras, adems de contar
con una Central de Riesgos.
Contempla el desarrollo de actividades
relacionadas con el procesamiento de datos mediante sistemas
computacionales, sistemas automatizados de transferencia de informacin y la
prestacin de servicios de informacin a la industria bancaria y al mercado en
general.
En la prestacin de servicios de informacin tanto a la industria bancaria como
al mercado en general, SINACOFI efecta un tratamiento de datos personales,
el cual se encuentra regulado por la Ley N 19.628 sobre la Proteccin de la
Vida Privada y Tratamiento de Datos Personales, siendo modificada por la Ley
N 19.812 y la Ley N 19.496 sobre Proteccin de los Derechos del
Consumidor.
La ley N 19.628 constituye un marco general y particular, a partir del cual,
SINACOFI otorga sus servicios de informacin comercial. En este sentido, la
actividad comercial de SINACOFI se debe desarrollar en estricto apego a las

31

disposiciones de las leyes sealadas, en especial, al tratamiento de la

informacin de los titulares.
SINACOFI implement un Sistema de Gestin de Seguridad de Informacin
(SGSI) con el objetivo de garantizar a sus clientes confiabilidad y tranquilidad.
En Enero, del ao 2010 recibe un Certificado en el estndar ISO 27001:2005.
Mediante este certificado, los clientes pueden estar seguros de que su
informacin est resguardada de manera apropiada, y que los servicios son
probados y monitoreados permanentemente, cumpliendo asimismo, con el
marco legal. [22]

Figura 10. Certificacin SINACOFI ISO27001 [22]

7.3.

Central de Riesgo en Norteamrica

Las centrales de riesgo en los Estados Unidos estn reguladas por la ley
Federal Fair Credit Reporting Act, la cual regula la recoleccin, difusin y el
uso de la informacin de los consumidores. Es la base de los derechos
crediticios del consumidor, hacindose cumplir por la Comisin Federal de
Comercio de los Estados Unidos.
Una de las centrales de riesgo ms importantes en dicho pas es Experian
Information Solutions, Inc. (Experian), ubicada en Orange, California. La
compaa provee soporte al negocio de sus clientes, ayudndolos en la
gestin de riesgos crediticios, prevencin de fraude y marketing. Sus 4
principales lneas de negocio son: Servicio de Informacin crediticia,
Decisiones Analticas, Servicios de Marketing y Servicio Interactivo.
La seguridad de la informacin es el core en las operaciones de Experian, ya
que se debe enfrentar a un significativo nmero de riesgos relacionados a la
prdida de informacin. Asimismo debe manejar data sensible, incluyendo
extensas bases de datos en un ambiente totalmente seguro.
El cumplimiento del marco legal, gobierno de la seguridad de informacin y
proteccin de la informacin son objetivos de Experian. Para defender la
informacin de los riesgos, Experian ha desarrollado un marco de seguridad
basado en la ISO 27001, el cual es la base de las polticas de seguridad
implantadas.
Experian cuenta con un Comit de Riesgo Global que apoya la poltica de
Seguridad Global de la Informacin basada en el Estndar ISO 27001, que
cubre:
Organizacin y Gestin

32

Seguridad de la Informacin
Clasificacin de Activos
Seguridad Fsica y Ambiental
Comunicaciones y Gestin de Operaciones
Sistema de Acceso
Desarrollo de Sistemas y Mantenimiento
Cumplimiento
Personal y Aprovisionamiento
Gestin de la Continuidad de negocio

Las polticas incluyen varias reas, que van desde la fsica hasta controles
ambientales. Estas reas requieren controles especficos tales como el uso de
Internet. [12]

Figura 11. Certificado ISO/IEC 27001:2005 a Experian [12]

33

8. Metodologa del Producto

El producto contina adoptando la metodologa del ciclo de Deming (Plan, Do,
Check, Act) segn el estndar ISO/IEC 27001:2005, incluyendo las siguientes
clusulas:

8.1.

Contexto de la Organizacin (Planeamiento):

La organizacin deber determinar los problemas externos e internos que son
relevantes para su propsito y que afectan la capacidad de la organizacin
para lograr el resultado esperado del sistema de gestin de seguridad de la
informacin.
La organizacin deber determinar:
Las partes interesadas que son relevantes para el sistema de gestin de
seguridad de la informacin.
Los requisitos de estas partes interesadas pertinentes a la seguridad de la
informacin.
La organizacin debe determinar los lmites y aplicabilidad del sistema de
gestin de seguridad de la informacin para establecer su mbito de aplicacin.
Al determinar este mbito, la organizacin debe considerar:
Los problemas externos e internos
Las interfaces y las dependencias entre las actividades realizadas por la
organizacin y los que son realizados por otras organizaciones.
El alcance deber estar disponible como informacin documentada.

8.2.

Liderazgo (Planeamiento)
La alta direccin debe demostrar su liderazgo y compromiso con respecto a la
informacin del sistema de gestin de la seguridad a travs de:
Garantizar la poltica de seguridad de la informacin y establecer los
objetivos de seguridad de la informacin y su compatibilidad con la
direccin estratgica de la organizacin.
Garantizar la integracin de los requisitos del sistema de gestin de
seguridad de la informacin con los procesos de la organizacin.
Velar por que los recursos necesarios para el sistema de gestin de
seguridad de la informacin estn disponibles.
Comunicar la importancia de una gestin eficaz de seguridad de la
informacin y de adaptacin a los requisitos del sistema de gestin de
seguridad de la informacin.
Garantizar que el sistema de gestin de seguridad de la informacin
alcance su resultado previsto(s).
Dirigir y apoyar a las personas para contribuir a la eficacia del sistema de
gestin de seguridad de la informacin.
Promocin de la mejora continua.
Apoyo a otras funciones de gestin pertinentes para demostrar su liderazgo
ya que se aplica a sus reas de responsabilidad.
La alta direccin debe establecer una poltica de seguridad de la informacin
que:

34

Sea apropiada para el propsito de la organizacin.

Incluya los objetivos de seguridad de la informacin (vase 8.3) o
proporcione el marco para establecer los objetivos de seguridad de la
informacin.
Incluya un compromiso de cumplir con los requisitos aplicables
relacionados con la seguridad de la informacin.
Incluya un compromiso de mejora continua del sistema de gestin de
seguridad de la informacin.

La poltica de seguridad de la informacin deber:

Estar disponible como informacin documentada.
Ser comunicada dentro de la organizacin.
Estar a disposicin de las partes interesadas, segn corresponda.
La alta direccin debe asignar la responsabilidad y autoridad para:
Garantizar que el sistema de gestin de seguridad de la informacin se
ajuste a los requisitos de esta norma internacional.
Informe sobre el desempeo del sistema de gestin de seguridad de la
informacin a la alta direccin.

8.3.

Planificacin (Planeamiento)
Al planificar el sistema de gestin de seguridad de la informacin, la
organizacin debe considerar los requisitos mencionados en el punto 8.1. y
determinar los riesgos y oportunidades que deben ser abordados para:

Asegurar que el sistema de gestin de seguridad de la informacin logre su

resultado previsto.
Prevenir o reducir los efectos no deseados

La organizacin debe planificar:

Las acciones para hacer frente a estos riesgos y oportunidades y la forma
de integrar y poner en prctica las acciones en sus procesos del sistema de
gestin de seguridad de la informacin.
Evaluar la eficacia de estas acciones.
Evaluacin de riesgos de seguridad de informacin
La organizacin conservar informacin documentada sobre el proceso de
evaluacin de riesgos de seguridad de informacin:
Tratamiento de los riesgos de seguridad de informacin.
La organizacin debe definir y aplicar un proceso de tratamiento de riesgos
de seguridad de la informacin.
Deber seleccionar las opciones de tratamiento de riesgos de seguridad de
informacin adecuados y tener en cuenta los resultados de la evaluacin de
riesgos.
Determinar todos los controles que sean necesarios para poner en prctica
la opcin de tratamiento de riesgos de seguridad de la informacin elegida.
Comparar los controles determinados con los del Anexo A y comprobar que
no hay controles necesarios se han omitido.
Producir una Declaracin de aplicabilidad que contiene los controles
necesarios y la justificacin de las inclusiones, si se estn aplicando o no, y
la justificacin de las exclusiones de controles del Anexo A.

35

Formular un plan de tratamiento de riesgos de seguridad de informacin y

obtener la aprobacin del plan de tratamiento de riesgos de seguridad de la
informacin y la aceptacin de los riesgos de seguridad de la informacin
residuales propietarios de los riesgos.
La organizacin conservar informacin documentada sobre el proceso de
tratamiento de riesgos de seguridad de informacin.

La Organizacin debe determinar y proporcionar los recursos necesarios para

el establecimiento, implementacin, mantenimiento y mejora continua del
Sistema de Gestin de Seguridad de la Informacin.
Determinar la competencia necesaria de las personas que hacen el trabajo
que afecte la informacin sobre el desempeo de la seguridad.
Asegurarse de que estas personas son competentes sobre la base de una
educacin adecuada, capacitacin o experiencia
Tomar las acciones para adquirir la competencia necesaria y evaluar la
eficacia de las acciones tomadas.
Retener la informacin documentada apropiada como evidencia de la
competencia.
Las personas que hacen el trabajo bajo el control de la organizacin deben
tener en cuenta:
La poltica de seguridad de la informacin.
Su contribucin a la eficacia del sistema de gestin de seguridad de la
informacin, incluyendo los beneficios de un mejor desempeo de
seguridad de informacin y las consecuencias de que no cumplan con los
requisitos del sistema de gestin de seguridad de la informacin.
La organizacin debe determinar la necesidad de las comunicaciones
internas y externas pertinentes para la sistema de gestin de seguridad de
la informacin.

8.4.

Operacin (Hacer)
La organizacin debe planificar, ejecutar y controlar los procesos necesarios
para cumplir los requisitos de seguridad de la informacin y para poner en
prctica las acciones determinadas. La organizacin debe aplicar tambin
planes para lograr los objetivos de seguridad de la informacin y mantener la
informacin documentada en la medida necesaria para tener confianza en que
los procesos se han llevado a cabo segn lo previsto.
La organizacin debe controlar los cambios previstos, y revisar las
consecuencias de los cambios no deseados, la adopcin de medidas para
mitigar
los
posibles
efectos
adversos,
segn
sea
necesario.
La organizacin debe asegurarse de que los procesos externalizados se
determinan y controlan.
La organizacin debe llevar a cabo las evaluaciones de riesgos de seguridad
de la informacin a intervalos planificados o cuando se propongan
modificaciones importantes.
La organizacin conservar informacin
documentada de los resultados de las evaluaciones de riesgos de seguridad de
informacin.
Asimismo, la organizacin conservar la informacin documentada de los
resultados de la seguridad de la informacin tratamiento del riesgo.

36

8.5.

Evaluacin del Desempeo (Revisin)

La organizacin debe evaluar el desempeo de la seguridad de la informacin
y la eficacia del sistema de gestin de seguridad de la informacin. Asimismo,
debe determinar lo que necesita ser monitoreado y medido, incluyendo los
procesos de seguridad de la informacin y los controles.
La alta direccin debe revisar el sistema de gestin de seguridad de
informacin de la organizacin para asegurarse de su adecuacin y eficacia.
La revisin por la direccin debe incluir la consideracin de:
El estado de las acciones de las revisiones por la direccin previas.
Los cambios en los problemas externos e internos que son relevantes para
la gestin del sistema de gestin de seguridad de la informacin.
La retroalimentacin sobre el desempeo de la seguridad de la informacin,
incluyendo la medicin de los resultados, el cumplimiento de los objetivos
de seguridad de la informacin, y el estado del plan de tratamiento de
riesgos.
La organizacin conservar informacin documentada como evidencia de
los resultados de las revisiones por la direccin.

8.6.

Mejoramiento (Actuar)
Cuando se produce una no conformidad, la organizacin deber:
Reaccionar a la no conformidad, y segn sea el caso:
Tomar medidas para controlar y corregirlo, y hacer frente a las
consecuencias.
Evaluar la necesidad de acciones para eliminar las causas de no
conformidad,
con
el
fin
de
que
no
vuelva
a
ocurrir
o producirse en otros lugares, por la revisin de la no conformidad.
Determinar las causas de la no conformidad, y determinar si existen
incumplimientos similares que podran producirse.
Poner en prctica las medidas oportunas.
Revisar la eficacia de las medidas correctivas tomadas, y
realizar cambios en el sistema de gestin de seguridad de la informacin, si
es necesario.
Las acciones correctivas deben ser apropiadas a los efectos de las no
conformidades encontradas.
La organizacin conservar informacin documentada como evidencia de
la naturaleza de las no conformidades y de cualquier accin tomada
posteriormente, y los resultados de cualquier accin correctiva.

37

Clusula
4.0

5.0

6.0

7.0

8.0

9.0

10.0

Descripcin
Componente de la etapa Plan del ciclo Deming. Introduce
los requerimiento necesarios para establecer el contexto del
SGSI cualquiera sea el tipo de Organizacin.
Componente de la etapa Plan del ciclo Deming. Resume los
requerimientos especficos del rol de la Alta Gerencia en el
SGSI, y como su liderazgo puede articular las expectativas
de la Organizacin.
Componente de la etapa Plan del ciclo Deming. Describe los
requerimientos relacionados en el establecimiento de
objetivos y principios para el SGSI. La clusula 6.1.3
establece un plan de tratamiento de riesgos a partir de
controles listados en el Anexo A.
Componente de la etapa Plan del ciclo Deming. Apoya las
operaciones del SGSI que se relacionan con el
establecimiento de la competencia y de la comunicacin en
forma recurrente con las partes interesadas, a la vez que
documenta, controla, actualiza y mantiene la documentacin.
Componente de la etapa Do del ciclo Deming. Define los
requerimientos del SGSI y determina cmo alcanzarlos, as
como la necesidad de realizar evaluaciones de riesgos de
seguridad de informacin e implementar un plan de
tratamiento de riesgos.
Componente de la etapa Check del ciclo Deming. Resume
los requerimientos necesarios para medir el funcionamiento
del SGSI, as como su cumplimiento con la norma
internacional, adems de las expectativas de la Alta
Direccin y su retroalimentacin sobre estas.
Componente de la etapa Act del ciclo Deming. Identifica las
incidencias aplicando acciones correctivas.

Tabla2. Relacin entre las clusulas de la Norma 27001:2013 y la Metodologa

Deming

38

9. Metodologa del Proyecto

El proyecto se va a desarrollar siguiendo la metodologa PMBOK versin 5.
PMBOK cuenta con diez reas del Conocimiento, y reconoces 5 grupos de
procesos bsicos.
Las reas del Conocimiento son las siguientes: Gestin de la Integracin del
Proyecto, Gestin del Alcance del Proyecto, Gestin del Tiempo del Proyecto,
Gestin de los Costos del Proyecto, Gestin de la Calidad del Proyecto, Gestin
de los Recursos Humanos del Proyecto, Gestin de las Comunicaciones del
Proyecto, Gestin de los Riesgos del Proyecto, Gestin de las Adquisiciones del
Proyecto y Gestin de los Stakeholders del proyecto.
Los Grupos de procesos son los siguientes: Iniciacin, Planificacin, Ejecucin,
Seguimiento y Control, Cierre.
Para el desarrollo de este proyecto se abarcaron las rea de conocimiento
compuestas por Gestin del Alcance del Proyecto, Gestin del Tiempo del
Proyecto y la Gestin de los Riesgos del Proyecto, como lo muestra la Tabla 2.
reas del
conocimiento
1. Gestin de la
Integracin del
2. Gestin del
Alcance del
Proyecto

3. Gestin del
Tiempo del
Proyecto

Grupo de Procesos de Gerencia de Proyectos

Grupo de
Procesos de

Grupo de Procesos de Grupo de Procesos de

Planificacin
Ejecucin
1.1. Desarrollar la
direccin del proyecto.

Grupo de Procesos de Grupo de Procesos

Seeguimiento y Control
de Cierre
1.2. Controlar el avance
del proyecto.

2.1. Definir el Alcance

2.2. Crear WBS

3.1. Cronograma del

proyecto - Gantt

3.2. Definir una

Metodologa de Gestin
de Riesgos

3.5. Controlar el
3.3. Anlisis de Riesgo cronograma
3.4. Mapeo COBIT 5.0

4. Gestin de
Costos del
Proyecto
5. Gestin de la
Calidad del
Proyecto

5.1. Planificar la Gestin

de Calidad

6. Gestin de los
RRHH del Proyecto
7. Gestin de las
comunicaciones
del Proyecto
8. Gestin de los
riesgos del
proyecto
9. Gestin de las
adquisiciones del
Proyecto
10. Gestin de los
stakeholders del
Proyecto

8.1. Identificacin y
Tratamiento de Riesgos
8.2. Declaracin de la
Aplicabilidad

8.3. Controlar los riesgos.

10.1. Gestionar la
relacin con los
interesados.

Tabla 3. Metodologa PMBOK 5

39

10. Mtodos y Procedimientos

Tomando como referencia lo especificado en el estndar ISO IEC 27001:2013,
para el establecimiento del SGSI, se define lo siguiente:
1. Identificar los principales procesos de negocio, con los que opera normalmente
una compaa de seguros en general.
2. Evaluar la metodologa de anlisis de riesgo a utilizar para analizar los
procesos de negocio.
3. Realizar un anlisis de riesgo en cada uno de los procesos identificados,
utilizando la metodologa escogida.
4. Definir los controles que se ajusten a los procesos identificados, para lo cual se
optar por la plataforma de control COBIT 5.0, complementando con los
controles de la ISO/IE 27002:2013.
5. Definir una poltica de seguridad, apoyada en normas, estndares y
procedimientos, que den un sustento a los controles seleccionados para cubrir
la problemtica.

Figura 12. EDT

40

A continuacin el diagrama de Gantt, el cual contiene el Plan de Trabajo para el desarrollo de la Tesis:

Figura 13. Diagrama de Gantt

41

11. Justificacin
Hay una serie de razones directas y prcticas para la aplicacin de una poltica de
seguridad de la informacin y un Sistema de Gestin de la Seguridad de la informacin
(SGSI) certificado con el estndar ISO/IEC 27001:2013 en una Central de Informacin
de Riesgos Privada. Un certificado garantiza a los clientes existentes y potenciales que
la organizacin ha definido y puesto en marcha los procesos efectivos de seguridad de
la informacin, ayudando as a crear una relacin de confianza. Un proceso de
certificacin tambin ayuda a que la organizacin se centre en la mejora continua de los
procesos de seguridad de la informacin, manteniendo este sistema a la altura y
garantizando su capacidad para funcionar.
Asimismo, asegura las medidas tcnicas de seguridad para proteger la informacin.
Los sistemas de gestin y los controles de procedimiento son componentes esenciales
para que cualquier sistema de informacin sea realmente seguro y eficaz. La ISO
27001 proporciona la especificacin para un Sistema de gestin de Seguridad de
Informacin, el cual se basa en la identificacin de activos y la lucha contra toda la
gama de riesgos potenciales para la informacin de la organizacin, la variedad y el
impacto.
Adicionalmente, permite que la Central de Informacin de Riesgos Privada demuestre
que est cumpliendo con los requisitos del gobierno, as como la proteccin de datos y
la legislacin sobre privacidad en su jurisdiccin local. Igualmente importante, un
certificado ISO 27001 permite demostrar a cualquiera de sus clientes que sus sistemas
son seguros, y esto, en la economa moderna global de la informacin, es, por lo
menos, tan importante como demostrar el cumplimiento de la legislacin local.
La certificacin de ISO 27001 del SGSI de la organizacin es un paso valioso. Es una
declaracin clara a los clientes, proveedores, socios y autoridades de que la
organizacin tiene un sistema de gestin de la informacin seguro. [14].

42

CAPITULO 2: MODELAMIENTO DE PROCESOS E IDENTIFICACIN DE

ACTIVOS
1. Modelamiento de Procesos
Se elaborar el modelamiento de los principales procesos de una CEPIR.
Ver Anexo 1.

1.1

Venta de Productos y Servicios

1.1.1

Venta por Agencia

Segn el artculo 13 de la ley N 27863 que hace referencia al derecho de los

titulares de la informacin, se refiere a que estos tendrn el derecho de acceso
a la informacin referido a ellos mismos, registrada en los La Central de Riesgos,
as como a su modificacin o cancelacin, rectificacin y actualizacin.
Por tal razn, las centrales de riesgo han implementado espacios de atencin al
pblico en general, agencias, en donde puedan acercarse las personas que
requieran su informacin sobre su historial crediticio. Estos reportes son
obtenidos de la Base de datos de la central de riesgo, informacin la cual puede
ser corregida en caso se deba limpiar el historial crediticio del titular.
Por ley, el titular tiene derecho a adquirir su reporte crediticio gratis una vez al
ao y a saber quines han consultado su historial crediticio. Si en caso el titular
desee adquirir su reporte por una segunda vez, este tendr un costo, lo mismo
que para un tercero.

1.1.2

Venta por Web

El reporte crediticio tambin puede ser comprado a travs del portal de una
Central de Riesgo por cualquier persona que desea consultar su propio historial
crediticio, o desee saber si la persona o empresa con la que va a hacer negocios
cumple son sus obligaciones o si est en capacidad para realizar transacciones
comerciales, por ejemplo.
Adicionalmente, el titular tambin tiene la opcin de comprar un servicio basado
en alarmas, es decir, el cliente recibir un correo electrnico peridicamente, el
cual le informar sobre cualquier modificacin en su Reporte crediticio,
consultando la siguiente informacin:
Calificacin y posicin de deuda en el sistema financiero.
Documentos protestados.
Si lo reportaron como moroso en el sistema financiero, comercial y de
servicios.
Informacin negativa de SUNAT por omisiones o impagos.

43

1.1.3

Venta de Servicios Complementarios

En la actualidad, las centrales de riesgo no solo brindan reportes del

comportamiento crediticio de personas naturales y jurdicas, sino que adems
otorgan productos que ayudan a las empresas a realizar negocios o
transacciones comerciales, permitiendo la toma de decisiones.
Los servicios se dividen en Servicios Diferidos y Online o Tiempo Real. Los
servicios Diferidos son aquellos que se entregan luego de un periodo de tiempo
determinado al cliente, mientras que los de tipo Online deben ser prestados en
tiempo real. Se clasifican de acuerdo al ciclo de vida del cliente: Prospeccin,
Venta, Cobranza y Seguimiento.
Prospeccin: Estos servicios por lo general son de tipo diferido, es decir, el
cliente enva la informacin con determinado perfil a la Central de Riesgo,
esta informacin es validada con la informacin de las Bases de Datos de la
Central y tratada, para luego de un determinado tiempo ser enviada al cliente
como servicio.
Este tipo de servicios permite a los clientes la evaluacin de sus propios
clientes actuales o potenciales y se aplican a lo largo de todo el ciclo de vida
de un crdito, abarcando desde la generacin del mismo hasta el proceso de
cobranza. Por ejemplo, un cliente podr pre-evaluar el riesgo esperado de
sus potenciales clientes antes de invitarlos a completar una solicitud de
crdito. De esta forma, conocer el ingreso potencial y podr asignar una
lnea de crdito acorde a tal variable.
Asimismo, existen servicios de marketing para la gestin de cartera de
clientes, para el control de los actuales, ayudando a detectar potenciales
clientes, nichos de crecimiento y anlisis de mercado, ofreciendo datos de
personas naturales y jurdicas, siendo estos demogrficos o descriptivos, de
comportamiento crediticio o de riesgo.
Admisin: Una vez identificado los prospectos, se ofrecen productos para
cerrar ventas y establecer cuentas de clientes. Estos servicios pueden ser de
tipo online, como por ejemplo sistemas expertos con puntuacin para
personas y empresas ayudando a decidir al cliente si aprueba o no el crdito
para una determinada persona en tiempo real, hasta servicios de tipo diferido,
como los servicios de verificaciones para confirmar datos a travs de la visita
fsica al domicilio o centro laboral del postulante al crdito.
Recuperacin: En esta etapa se ofrecen productos que agilizan la labor de
cobranza a travs de notificaciones a personas o empresas que tengan
obligaciones vencidas, o productos que muestren reportes de informacin de
las deudas morosas de personas y empresas reportadas por las fuentes. Los
servicios son diferidos, por ejemplo, el cliente enva la informacin de los
clientes morosos a la Central de Riesgo, la cual valida dicha informacin para
luego distribuir Cartas de Cobranza. En base a dicha distribucin se efecta
un informe con las estadsticas de los resultados (Nmero de cartas
entregadas, Nmero de cartas sin entregar, #No Habitan, etc.)

44

 Seguimiento: Los servicios ayudan a los clientes a monitorear y revisar

constantemente su cartera de clientes, analizando la informacin de estos e
historial de pagos, pudiendo identificar y actuar para minimizar riesgos. Los
servicios en esta etapa son de tipo online en su mayora, permiten consultar
la informacin de determinada persona o entidad en tiempo real.
1.2

Compra de Informacin:
Las centrales de riesgo recolectan informacin de riesgo para la Central de
Riesgo de datos mediante contratos que pueden ser privados o pblicos en
donde se establecen acuerdos y se negocian los trminos del contrato, como por
ejemplo: cundo ser enviada la informacin, cmo ser enviada, ventas de
servicios como mecanismo de retroalimentacin de la informacin.
Si bien la carga de informacin y su respectivo control de calidad pertenecen a
las operaciones del da a da de la empresa, son considerados parte de los
principales procesos, ya que es de alta importancia que la recepcin y
tratamiento de dicha informacin sea eficiente y adems requiere un buen
desempeo de las aplicaciones usadas para estas actividades.
La carga de informacin al host es realizada por operadores, los cuales reciben
la informacin de las fuentes pblicas y privadas mediante diversas modalidades
(archivos digitales en formato Excel, txt o CDs encriptados), para luego realizar
el proceso de control de calidad, mediante el cual se valida informacin.
Las centrales de riesgo obtienen informacin por endeudamiento financiero y
crediticio en el pas y en el exterior, riesgos vinculados con el seguro de crdito y
otros riesgos de seguro proveniente de las SBS y complementan dicha
informacin de otras fuentes privadas, como por ejemplo con la Sunat, Cmara
de Comercio de Lima, etc.
En este proceso las Centrales de Riesgo recolectan la informacin de fuentes
pblicas y privadas para luego limpiarla y validarla.
La mayora de fuentes llegan a ser clientes, las cuales se dividen en:
Clientes privados: Financieras y Micro Financieras, Telecomunicaciones,
Pequeas y Mediana Empresas (Por ejm: Seguros, AFPs, SEDAPAL,
Empresas de Retail, etc.).
Clientes pblicos: SBS (Superintendencia de Banca y Seguros), SUNAT
(Superintendencia de banca tributaria), Cmara de Comercio de Lima,
Superintendencia de Aduanas (SUNAD).
La informacin que se recoge incluye reportes consolidados del comportamiento
crediticio, letras protestadas, deudas y morosidades de todas aquellas personas
que hayan tenido relaciones comerciales, bancarias, laborales y administrativas
con estos clientes, es decir, los titulares de la informacin.
Luego la informacin es cargada al host, procesada y validada, contrastando su
veracidad con otras bases de datos para el control de calidad. Este proceso
responde a la necesidad de cumplir con la ley N 27863, Artculo 9, la cual exige
contar con informacin lcita, exacta y veraz que responda a la situacin actual
del titular de la informacin.

45

2. Identificacin y Valoracin de Activos de Informacin

En el Anexo 2 se presenta el inventario de activos conteniendo las siguientes columnas:

Activo: Es el nombre del activo o la manera en la que se le identifica en una CEPIR.

Descripcin: Descripcin del activo
Tarea: Tarea del proceso en la que est presente el activo.
Proceso: Proceso al cual pertenece el activo o en el que participa.
Tipo: Indica si el activo es primario o secundario.
Tangible: Indica si el activo es tangible o no.

Ver Anexo 2.

3. Valoracin de Activos
Se establecieron criterios para la asignacin de un puntaje sobre cada activo,
estableciendo escalas de valoracin. Esta escala puede ir desde "crtica" hasta "no es
relevante", siguiendo una escala cualitativa.
Los criterios fueron establecidos segn la ISO 31000:2009, en su anexo A y
especificados en la Tabla 4. Por ltimo, se obtendr como resultado el valor del activo,
el cual ser la suma de los valores por criterio que obtenga cada uno. Los activos que
se tendrn en cuenta para la realizacin del proyecto sern los que obtengan un valor
mayor o igual a 30 de acuerdo al apetito de riesgo de la Central de Riesgo.
En la Tabla 4 se presentarn las siguientes columnas:
ID: Identificador de activo.
Activo: Nombre del activo o como se le denomina en el Centro Cultural.
Disponibilidad: Valor del criterio de disponibilidad del activo.
Integridad: Valor del criterio de integridad del activo.
Confidencialidad: Valor del criterio de confidencialidad del activo.
Valor: Valor cualitativo estimado del activo.
Ver Anexo 2.

46

ID

Criterios de
Valoracin de
los Activos

Valor
Crtico

Medio

Bajo

No es relevante

Desempeo
del negocio

Grave deterioro en
el desempeo del
negocio

Impacto grave en el
desempeo del
negocio

Impacto moderado en
el desempeo del
negocio

Sin impacto en el
desempeo del
negocio

Entrega del
Servicio a
Clientes

Impacto Grave para

muchos clientes.
Incapacidad para
prestar el servicio.

Impacto moderado
para muchos
clientes.

Impacto leve para

pocos clientes

Sin impacto para

el cliente

Operacin
Interna

Alto costo interno

adicional.
Interrupcin
permanente de las
actividades

Costo moderado.
Interrupcin
prolongada de las
actividades

Interrupcin breve de
las actividades

Sin Alteraciones
en la
Organizacin. No
genera ningn
costo adicional.

Prdidas
Financieras

Muy Altas Prdidas

Prdidas
moderadas

Prdidas leves

Sin Prdidas

Reputacin de
la Empresa

Prdida del buen

nombre y la
reputacin

Intereses
comerciales
Inters muy grande
(valor
para la competencia
comercial)
Obligaciones
Incumplimiento
legales y
excepcionalmente
Reglamentaria
grave de la ley
s

Informacin
del Titular

Obligaciones
contractuales

10

Liderazgo
Tecnolgico

Muy grandes
brechas asociadas
con la informacin
personal. Prdida
de la confianza del
cliente
Incumplimiento
excepcionalmente
grave de las
obligaciones
contractuales.
Posible cancelacin
de contratos
relevantes

Impacto negativo en
Impacto moderado en
la reputacin de la
la reputacin
Empresa
Alto inters para la
competencia

Inters moderado
para la competencia

Sin inters para la

competencia

Incumplimiento
grave de la ley

Incumplimiento
moderado de la ley

Sin impacto sobre

el cumplimiento

Impacto grave
asociado con la
informacin
personal.

Impacto moderado en
la informacin
personal.

Sin impacto en la
informacin
personal.

Incumplimiento
grave de las
obligaciones
contractuales.
Posibilidad de
incurrir en penas
relevantes.

Incumplimiento
moderado de las
obligaciones
contractuales.
Posibilidad de
deterioro de las
relaciones con
terceros

Sin impacto sobre

el cumplimiento

Alto impacto en la
Impacto leve en la
deficiencia del
deficiencia del
liderazgo
liderazgo tecnolgico
tecnolgico
Tabla 4 Criterios para la Valoracin de Activos

Prdida del
liderazgo
tecnolgico

Sin impacto en la
reputacin

Sin Prdida del

liderazgo
tecnolgico

47

CAPITULO 3: MAPA DE RIESGOS Y TRATAMIENTO DE RIESGOS

1. Matriz de Riesgos
Segn la Metodologa escogida para la Gestin de riesgos, la ISO 31000:2009, se
deben establecer los criterios bsicos para la gestin del riesgo. Dentro de estos
criterios se encuentran los criterios de impacto y probabilidad de ocurrencia.
Definindose a impacto como aquel que afecta en el negocio en caso se llegara a
ocurrir determinada amenaza. Para el desarrollo de esta tesis, el impacto va ligado con
la disponibilidad del activo. En el caso de la probabilidad de ocurrencia, se refiere a la
probabilidad de que ocurra la amenaza en un intervalo de tiempo.
Para ambos conceptos se presenta una escala desde Muy baja hasta Muy alta, a
continuacin se presentan los criterios tomados:

Probabilidad del escenario de Incidente

ID

Valor

Muy Baja (muy

improbable)

Descripcin

Probabilidad

Probabilidad
recomendada

El escenario en mencin es muy

improbable que ocurra en la
Muy Baja < 10%
empresa. (Aproximadamente
una vez al ao)

0.05

Baja 10% - <

35%

0.15

Baja (Improbable)

El escenario en mencin ocurre

ocasionalmente en la empresa.
(Aproximadamente de 2 a 10
veces al ao)

Media (Posible)

El escenario en mencin ocurre

eventualmente en la empresa.
(Aproximadamente una vez al
mes)

Media 35% - <

65%

0.45

Alta (Probables)

El evento ocurrir
probablemente.
((Aproximadamente una vez a la
semana)

Alta 65% - <

85%

0.70

Muy Alta
(Frecuente)

Es muy probable que ocurra el

evento

85% +

0.90

Tabla 5 Criterios para el clculo de la Probabilidad del Escenario del Incidente

48

Impacto producido por el escenario

Descripcin

ID

Valor

Muy Bajo

Los procesos relacionados no se veran afectados y podran

continuar normalmente con su desarrollo.

Bajo

Los procesos relacionados se veran afectados y se requerira de

poco menos de una hora para poder continuar con su desarrollo.

Medio

Los procesos relacionados se veran afectados y se requerira de

pocas horas para poder continuar con su desarrollo.

Alto

Los procesos relacionados se veran amenazados y se requerira de

algunos das para poder continua con su desarrollo.

Muy Alto

Los procesos relacionados se veran seriamente impactados o no se

llevaran a cabo. Tiempo indefinido superior a una semana para
poder continua con su desarrollo.
Tabla 6 Criterios para el clculo del Impacto

Asimismo, se tomarn los activos valorizados que satisfacen el apetito de riesgo de

la central de Riesgo y se realizarn para ellos una identificacin de las amenazas y
vulnerabilidades correspondientes para dichos activos. Esta asignacin se apreciar
en la tabla del Anexo 3 que cuenta con las columnas:
IDV: identificacin de activo en la valorizacin.

Activo: Activo de informacin que satisface exigencias de la valorizacin de

activos.
Vulnerabilidad: Posible vulnerabilidad del activo.
Amenaza: Amenaza a la cual est expuesta el activo.
IDR: Identificacin del posible escenario de incidente.
Causa: Origen del riesgo, relacionada con la/las amenaza/s
Evento: incidente en la seguridad de la informacin
Consecuencia: Relacionada con el impacto
Riesgo: Consecuencia del escenario.
Impacto: Valor cualitativo del impacto del escenario de incidente.
Probabilidad: Probabilidad de ocurrencia del escenario de incidente.
Valor: Es el valor cualitativo del escenario de incidente obtenido utilizando el
enfoque de la norma ISO 31000.
Cada proceso cuenta con una Matriz de Riesgos, la cual consta de la identificacin
del riesgo, su causa y consecuencia. La causa estar ligada a la(s) amenaza(s), lo
que origina que suceda el evento, mientras que la consecuencia est asociada al
impacto.

49

La tabla 7 muestra los 4 niveles de riesgo considerados: Bajo, medio, alto y crtico
Nivel de
riesgo
1,2,3

Bajo

4,5

Medio

6,7

Alto

8,9

Crtico

Tabla 7 Niveles de Riesgo

Probabilidad
de un
escenario de
incidente
Muy Bajo
(1)

Impacto
en el
negocio

Muy Baja
(1)

Baja
(2)

Media
(3)

Alta
(4)

Muy Alta
(5)

Bajo
(2)

Medio
(3)

Alto
(4)

Muy Alto
(5)

Tabla 8 Niveles de Riesgo segn el Impacto vs. Probabilidad de Ocurrencia

50

2. Plan de Tratamiento
Una vez seleccionados los riesgos se debern definir controles para reducir, retener,
evitar o transferir los riesgos que obtuvieron un nivel crtico o alto y se deber definir un
plan para tratamiento del riesgo.
El plan de tratamiento plasma las expectativas en cuanto a reduccin de riesgo. Las
opciones para el tratamiento del riesgo se deberan seleccionar en base al costo para
implementar estas opciones y los beneficios esperados como resultado de tales
opciones.
Los controles pueden brindar los siguientes tipos de proteccin:
Correccin, eliminacin, prevencin, minimizacin del impacto, disuasin, deteccin,
recuperacin, monitoreo y concienciacin. Durante la seleccin del control es importante
ponderar el costo de adquisicin, implementacin, administracin, operacin, monitoreo
y mantenimiento de los controles en comparacin con el valor de los activos que se
protegen.

51

3. Mapeo con COBIT 5.0

Se aplicar el marco de control de COBIT 5.0, el cual contiene 17 metas genricas del
negocio, de los cuales se han seleccionado los 19 siguientes como aplicables a la
Central de Riesgo:

Valor para las partes interesadas de las Inversiones de Negocio (1)

Cartera de productos y servicios competitivos (2)
Riesgos de negocio gestionados (salvaguarda de activos) (3)
Cumplimiento de leyes y regulaciones externas (4)
Continuidad y disponibilidad del Servicio de negocio (7)
Respuestas giles a un entorno de negocio cambiante (8)
Toma estratgica de decisiones basada en informacin (9)
Optimizacin de costes de entrega de servicio (10)
Optimizacin de las funcionalidades del negocio (11)
Personas preparadas y motivadas (16)

En la Figura 14 se muestra el cuadro de las Metas Corporativas de COBIT 5, tambin

llamado cuadro de mando integral CMI = BSC, junto con las relaciones a los tres
principales objetivos de Gobierno como son Obtencin de Beneficios, Optimizacin de
riesgos, Optimizacin de recursos. Adems incluye una categorizacin basada en una
relacin primaria del negocio (P) y una relacin secundaria con el negocio (S).

Figura 14 Objetivos de Gobierno de COBIT 5

52

La relacin de las metas del negocio relacionadas con las metas de TI se muestra en la Tabla 9:

Dimensin
del CMI TI

ID

Objetivo Empresarial relacionado a

las TI

Objetivo de
Negocio

Alineamiento de las TI con las

estrategias del negocio

1,2,8,9,11

Cumplimiento y soporte de la TI al
cumplimiento del negocio de las leyes
y regulaciones externas.

4,15

3
Financiera
4
5
6

Aprendizaje

1
3,7,10
1,2
10

Entrega de servicios de TI en lnea con

los requerimientos del negocio

1,2,8,11

El uso adecuado de aplicaciones,

informacin y tecnologa

11

Agilidad de las TI

1,8,11

10

Seguridad de informacin.
Infraestructura de procesamiento y
aplicaciones.

3,4,7,15

11

Optimizacin de activos, recursos y

capacidades de las TI

1,10

12

Capacitacin y soporte de procesos de

procesos de negocio integrando
aplicaciones y tecnologa en procesos
de negocio.

2,11

13

Entrega de los programas que

proporcionen beneficios a tiempo,
dentro del presupuesto y satisfaciendo
los requisitos y normas de calidad.

14

Disponibilidad de informacin fiable y

til para la toma de decisiones

7,9

15

Cumplimiento de TI con las polticas

internas

15

16

Personal de TI competente

17

Cultura de Innovacin

2,8

Cliente

Interna

Compromiso de la direccin ejecutiva

para tomar decisiones relacionadas
con TI.
Riesgos de negocio relacionados con
las TI
Realizacin de beneficios del portafolio
de inversiones y Servicios
relacionados con TI
Transparencia de los costes,
beneficios y riesgos de las TI.

Tabla 9 Objetivos de TI - Gobierno de COBIT 5

53

CAPITULO 4: DECLARACIN DE LA APLICABILIDAD

1. Declaracin de la Aplicabilidad
La clusula 6.1.3 Tratamiento de Riesgos de la seguridad de informacin de la norma
ISO IEC 27001:2013 establece el desarrollo del documento Declaracin de la
Aplicabilidad que contenga los controles necesarios y la justificacin de su inclusin o
exclusin, sugeridos en el Anexo A de la ISO/IEC 27002:2013.
La Declaracin de la aplicabilidad debe ser un documento conciso que permita ser
utilizado por Gerencia y actualizado, as como tambin es utilizado como principal
evidencia ante auditora en caso la Organizacin desee certificarse.
La DdA debe documentar si cada control es aplicable y si ya est implementado,
obligando a las empresas a realizar sus actividades sistemticamente.
Ver Anexo 4.

54

2. Conclusin
Contar con un adecuado SGSI es indispensable para la administracin de la seguridad
en una organizacin con alto nivel de complejidad como lo es una Central Privada de
informacin de riesgo, para poder conseguir una mayor eficiencia y garanta en la
proteccin de sus activos de informacin y en la calidad de la seguridad de la
informacin.
Algunas conclusiones relevantes de la implicancia de la implementacin de un SGSI en
una Compaa:
-

A travs de un SGSI se puede abordar efectivamente la implementacin de un

marco de gobierno de seguridad de informacin.
Es una de las mejoras herramientas para la gestin del riesgo y del cumplimiento
en seguridad de la informacin.
Un SGSI a corto plazo se disea y establece, en el mediano plazo se implementa y
en el largo plazo se mejora y mantiene.
La certificacin es la consecuencia de haber logrado un primer nivel de madurez en
el SGSI.
Es uno de los estndares ms aceptados a nivel nacional e internacional y es base
de iniciativas de cumplimiento.
El SGSI necesita implicacin de la Direccin y apoyo de toda la Organizacin.
La implantacin requiere conocimiento de un experto, por lo que la ayuda externa
puede ser imprescindible. Asimismo, contar con un rea de seguridad de
informacin es muy importante para el seguimiento y mejoramiento del SGSI.

55

REFERENCIAS
[1]

CONGRESO DE LA REPBLICA DEL PER

2001 Ley 27489. Ley que regula las Centrales privadas de informacin de
riesgos y de proteccin al titular de la informacin. 11 de Junio.

[2]

CONGRESO DE LA REPBLICA DEL PER

2002 Ley 27863. Ley que modifica varios artculos de la ley que regula las
Centrales privadas de informacin de riesgos y de proteccin al titular
de la informacin. 21 de Octubre.

[3]

CONGRESO DE LA REPBLICA DEL PER

Ley 29733. Ley de Proteccin de Datos personales. 21 de Junio.

2011

[4]

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION

2013 Information technology - Security techniques - Information security
management systems Overview and Vocabulary. International
Standard ISO/IEC 27000:2012. Switzerland, 2012.

[5]

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION

2009 Risk Management Principles and guidelines International Standard
ISO 31000:2009. Switzerland, 2009.

[6]

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION

2013 Information technology - Security techniques - Information security
management systems Requirements.
International Standard
ISO/IEC 27001:2013. Switzerland, 2013.

[7]

ISACA INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION

2013 Conferencia Isaca Lima Full Day 2013.

[8]

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION

2013 Information technology Security techniques Code of practice for
information security Controls.
International Standard ISO/IEC
27002:2013. Switzerland, 2013.

[9]

NIST - NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY

2002 Risk Management Guide for Information Technology Systems.
National Institute of Standards and Technology Special Publication
800-30. Gaithersburg, 2002, 54 pginas.
<http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf>

[10]

ISACA INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION

2011 Planning for and Implementing ISO 27001. Isaca Journal. Texas,
2011, Volumen 4.pp 1-8.

[11]

ISACA INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION

2012 COBIT 5 - Implementation. ISACA & ITGI (IT Governance Institute).
Illinois, 2012.

56

[12]

ALBERTO G ALEXANDER
2007 Diseo y Gestin de un Sistema de Seguridad de Informacin.
Primera Edicin. Ciudad: Bogot.

[13]

EXPERIAN
<http://www.fscs.org.uk/>

[14]

EXPERIAN
<http://www.experian.com/corporate/experian-profile.html>

[15]

INTERNATIONAL ORGANIZATION FOR STANDARDIZATION

2008 IT Governance A Managers Guide to Data Security and ISO
27001/ISO 27002. Alan Calder & Steve Watkins. 4ta Edicin.
<http://longhallconsulting.com/downloads/IT%20Governance%20%20A%20Managers%20Guide%20to%20Data%20Security%20and%2
0ISO%2027001%20-%20ISO%2027002.pdf>

[16]

ISACA INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION

2012 COBIT 5 For Information Security. ISACA & ITGI (IT Governance
Institute). Illinois, 2012.

[17]

ISACA INFORMATION SYSTEM AUDIT AND CONTROL ASSOCIATION

2012 COBIT 5 Enabling Processes. ISACA & ITGI (IT Governance
Institute). Illinois, 2012.

[18]

BEST MANAGEMENT PRACTICE

2010 M_o_R Brochure. London 2010.

[19]

INSTITUTE OF INTERNATIONAL FINANCE

2011 Risk IT and Operations.
McKinsey&Company 17 de Julio del
2011.

[20]

CALLCREDIT
2012 Awards and Certifications.
< http://www.callcredit.co.uk/about-us/awards-and-certifications>

[21]

SINACOFI
2011 Certificaciones
<http://www.sinacofi.cl/faq-central.asp>

[22]

[CONGRESO DE LA REPBLICA DEL PER

2002 Ley 27806. Ley de Transparencia y acceso a la informacin. 08 de
Agosto.

57