La gestión de riesgo TI y la efectividad de los sistemas de seguridad de información: caso de procesos críticos en las pequeñas entidades financieras de Lambayeque

Autores/as

  • Ernesto Karlo Celi Arévalo Universidad Nacional Pedro Ruiz Gallo

Resumen

Resumen

En el Perú, y específicamente en Lambayeque, las instituciones financieraS que cuentan con la autorización de la Superintendencia de Banca y Seguros(SBS), y que gozan de autonomía económica, financiera y administrativa, brindan servicios de ahorros, que es la captación de los fondos del público a través de las diferentes modalidades, y de créditos, que es la colocación de los fondos captados. Estas instituciones deben cumplir las normativas emitidas por el ente regulador. Una de las normativas está relacionada a la gestión del riesgo operacional, que es uno de los componentes del riesgo corporativo y que, según Basilea II, ha desplazado al tradicional interés por los riesgos de crédito y mercado, centrándose los esfuerzos a los riesgos asociados a las operaciones, como: personas, procesos, tecnología información y aspectos externos. Específicamente, sobre los riesgos relacionados con las TI, es importante que las instituciones financieras incorporen procedimientos, métodos y herramientas que les permita aplicar mejores prácticas para gestionar este tipo de riesgo, tomando en consideración lo establecido en la normativa peruana y los criterios difundidos por el ente regulador. Sin embargo, la complejidad de las TI hace que sea muy difícil de entender y tomar buenas decisiones acerca de los riesgos de TI. En nuestro medio la mayoría de las empresas utilizan un enfoque intuitivo para la gestión de riesgos: abordan los riesgos de alto perfil, reciben toda la atención, tales como virus o cortes de energía o caída de la red de datos, pero se deja de lado los riesgos de perfil más bajo, como por ejemplo: controles internos inadecuadoso envejecimiento de las tecnologías y controles, aplicaciones frágiles, que podrían ocasionar pérdidas considerables. Otro aspecto que se debe tener en cuenta es que existe un alto componente cualitativo en el gobierno y en la gestión de riesgos de TI que dificulta el desarrollo de adecuadas herramientas de identificación, medición y control, y que sean concordantes con las exigencias de la SBS. Por ahora, la gestión de los riesgos operativos de TI adopta sólo estándares que generalmente desarrollan un procedimiento cuantitativo. Existe la necesidad de llegar a modelos cuantitativos y cualitativos. Esta investigación propone un modelo para la gestión de riesgos operativos de TI como parte del Sistema de Gestión de la Seguridad de la Información, desde una perspectiva que integra técnicas cuantitativas y cualitativas para entidades financieras tipo pymes, cajas rurales o municipales.

Palabras claves: Gestión de riesgos de TI, perfil de riesgo, niveles de riesgo, método Delphi.

Abstract

In Peru, specifically in Lambayeque, financial institutions with the authorization of the Superintendency of Banking and Insurance (SBS), and that enjoy economic, financial and administrative autonomy,provide savings services, which is attracting the funds from the public through different forms, and credit, which is the placement of funds raised. These institutions must comply with the regulation sissued by the regulator. One of the regulations is related to operational risk management, which is one component of corporate risk and that, according to Basel II, it has displaced the traditional interest credit risks and market, focusing efforts on the risks associated with operations, such as people, processes, information technology and external aspects. Specifically, about the risks related to TI, it is important that financial institutions incorporate procedures, methods and tools that allow them to apply best practices to manage this type of risk, taking into account the provisions of the Peruvian law and criteria disseminated by the regulator.How ever, the complexity of TI makes it very difficultt o understand and make good decisions about IT risks. In our area most companies use an intuitive approach to risk management: address the risks of high-profile, get all the attention, such as virus es or power outages or network out age data, but neglects risks lower profile, such as: inadequate internal controls or aging technologies and controls, fragile applications, which could cause considerable losses. Another aspect to consider is that there is a high qualitative component in the governance and management of TI risk hampering the development of appropriate tools for the identification, measurement and control, and are consistent with the requirement sof the SBS . For now, the management of operational risks take only TI standards generally develop a quantitative procedure. There is a need to provide quantitative and qualitative models. This research proposes a model for managing TI operational risks as part of the information security management system, from a perspective that integrates quantitative and qualitative techniques for financial institutions such SMEs, rural and municipal savings.

Keywords: TI risk management, risk profile, risk levels, Delphi method.

Biografía del autor/a

  • Ernesto Karlo Celi Arévalo, Universidad Nacional Pedro Ruiz Gallo
    M. Sc. Ing. Docente de la Universidad Nacional Pedro Ruiz Gallo de Lambayeque

Descargas

Publicado

2016-09-26

Número

Vol. 27 Núm. 1 (2016): ESPECIAL: CIENCIAS Y HUMANIDADES

Sección

Artículos

Cómo citar

La gestión de riesgo TI y la efectividad de los sistemas de seguridad de información: caso de procesos críticos en las pequeñas entidades financieras de Lambayeque. (2016). PUEBLO CONTINENTE, 27(1), 73-84. https://journal.upao.edu.pe/index.php/PuebloContinente/article/view/395

Artículos más leídos del mismo autor/a

<< < 2 3 4 5 6 7 8 9 10 11 > >>