Caracterización de las prácticas de aseguramiento financiero en la banca en cuanto protección de la información

40  Download (0)

Full text

(1)Caracterización de las Practicas de Aseguramiento Financiero en la Banca en cuanto Protección de la Información Leguizamo Oliveros Luz Yaneth [email protected], Valderrama Ortiz Guillermo Alfonso [email protected] Universidad Cooperativa de Colombia sede Ibagué/Espinal. Director Técnico: Ludivia Hernández Aros Director Metodológico: Fernando Gutiérrez Portela. Notas del autor Luz Yaneth Leguizamo Oliveros, Guillermo Alfonso Valderrama Ortiz Facultad de Contaduría Pública, Seminario El reto de la Auditoria Basada en Riesgos, Universidad Cooperativa de Colombia sede Ibagué/Espinal La correspondencia relacionada con esta investigación debe ser dirigida a Ludivia Hernández, Universidad Cooperativa de Colombia sede Ibagué/Espinal Contacto: [email protected] Ibagué 2018. Esta obra está bajo una licencia de Creative Commons Reconocimiento-NoComercialCompartirIgual 4.0 Internacional..

(2) Contenido RESUMEN.............................................................................................................................3 INTRODUCCIÓN ..................................................................................................................4 METODOLOGÍA...................................................................................................................9 OBJETIVOS ........................................................................................................................ 10 General ............................................................................................................................. 10 Específicos ....................................................................................................................... 10 MARCO REFERENCIAL .................................................................................................... 11 Marco Teórico .................................................................................................................. 11 Antecedentes................................................................................................................. 11 Estado del arte .............................................................................................................. 12 RESULTADOS .................................................................................................................... 15 Caracterización de las Practicas de Aseguramiento Financiero en la banca en cuanto a la Información. .......................................................................................................................... 15 Valoración mediante una matriz de riesgos la aplicabilidad de las prácticas de aseguramiento de la información financiera……………………………………………………………….…….30 Analizar mediante un estudio de caso las prácticas de aseguramiento financiero……………34 CONCLUSIONES ................................................................................................................ 37 REFERENCIAS ................................................................................................................... 38. Esta obra está bajo una licencia de Creative Commons Reconocimiento-NoComercialCompartirIgual 4.0 Internacional..

(3) RESUMEN El siguiente informe muestra la evolución que ha tenido la banca en Colombia en cuanto a la protección de la información adecuando su infraestructura tanto física como tecnológica, sus avances han sido significativos ya que debe adaptarse a los modelos internacionales, ofreciendo garantías para que la información sea segura, y esté disponible para su consulta a los usuarios que así lo requieran según sea su necesidad y alcance de la misma. La finalidad de esta investigación es. mostrar los mecanismos, infraestructura, y demás. componentes que tiene una organización financiera como método de protección ante una posible fuga de información, ataque cibernético, u otras formas de robo de información o daño a los activos estratégicos de esta, así como conocer las diferentes plataformas digitales que se utilizan para segregar las funciones, guardar información vital, dar niveles de seguridad, permisos entre otros, de acuerdo a las Normas de Aseguramiento de la Información. Desde la perspectiva metodológica es un estudio documental, de corte descriptivo. El estudio abarca un caso de una Entidad Financiera donde se puede evidenciar las posibles amenazas a la información y las diferentes estrategias que se aplican en dado caso, ya que la fuga de información es un riesgo inherente a la economía no solo de la entidad financiera si no del país. Palabras clave: Ciberseguridad, aseguramiento de la información, mecanismos de protección de la información.. 3.

(4) INTRODUCCIÓN En la actualidad existen diferentes prácticas de aseguramiento de la información financiera, en todas las organizaciones empresariales, donde es importante mantener su información segura y de fácil acceso al momento de necesitarla, debido a ello, se han creado mecanismos que resguardan la información y la clasifican en publica y confidencial, para que los usuarios autorizados tengan el control de la información. En este aspecto, estudios (Castellanos, 2010) argumentan que “El mejor paso que una empresa puede dar es confiar la gestión y protección documental a un especialista, esto asegurará un control total de aquella información cuya custodia no debe descuidarse” (Castellanos, 2010, pág. 1). Actualmente el mundo está interconectado mediante la red, esto hace que la información se comparta fácilmente y así estar más expuestos a ciberataques, y en este aspecto, el crecimiento de los datos y el manejo de estos, se convierte cada día en un reto para cualquier empresa, ya que toda información se obtiene de forma digital y rápidamente es de fácil intrusión. De este modo, se han dado a conocer ciertos pasos para que la información este más protegida y así asegurar la continuidad de la empresa; 1. Hacer copias de seguridad a diario, esto para garantizar que la información esté disponible o si la original se daña, se tenga una réplica de la misma; 2. Tener más de un soporte de copia, muchas veces la información guardada se daña por cualquier causa y se debe tener una segunda opción, 3. Cuidar el soporte de los datos, en muchas ocasiones la información guardada se daña por el mal uso de los medios magnéticos que se utilizan o por suciedad, 4. Identificación de la información importante, donde se debe clasificar, de acuerdo al grado de vulnerabilidad, dejando muy bien salvaguardada aquella que es vital para la empresa, y así mismo conservarla para el buen funcionamiento de la misma. En este orden de ideas, se debe optimizar las prácticas de aseguramiento de la información, y para lo cual, se opta por pensar que si no cuenta con la última versión de antivirus se está expuesto a ser víctima de robo de información, pero si se tiene en cuenta mecanismos sencillos de seguridad, se podrá salvaguardar la información de cualquier sistema, como por ejemplo la utilización de contraseñas a veces es la única barrera que separa los datos de otras personas.. 4.

(5) Sobre en particular, se tendrá en cuenta que deberán ser lo más seguras posibles, teniendo en cuenta utilizar la longitud que este cerca al límite que pide el servicio incluyendo dígitos, símbolos y letras, y evitar las contraseñas representativas, fechas de cumpleaños, nombres, no usar la misma contraseña en varios sitios, ya que esto puede generar que si se logra descubrir una, en todas las cuentas se tendrá acceso, cambiar las contraseñas cada cierto tiempo, optándose por un gestor de contraseñas que las genere y las recuerde para su posterior ingreso; pero no se debe confiar solo en las contraseñas, ya que existen aplicaciones que aunque se piense que es una medida de seguridad adicional, sirve para que se dificulte aún más el ingreso a la información (Perez, 2016). La verificación en dos pasos envía un mensaje de texto con un código que se debe introducir después de la contraseña, esto para evitar ingresar a una cuenta especifica o a partes sensibles de la misma, también existen aplicaciones de autenticación, códigos de seguridad preestablecidos o llaves de seguridad físicas (Perez, 2016). El cibercrimen se da en todo tipo de situaciones, de acuerdo a esto se ha notado el aumento de los mismos por carencia de elementos de seguridad afectando directamente al sector económico en: malversación de activos, fraude financiero, corrupción. Estos incidentes han causado un gran impacto en este sector por la falta de políticas de seguridad en la información. Lo anterior ha generado la afectación a las utilidades en un 55% de cada semestre desde el 2012 a 2014, esto corresponde a que una de cada 15 empresas afectadas no posee políticas de seguridad en la información y 10 de cada 100 no tiene ningún evaluador de riesgos; situación que va en aumento por la falta de capacitación de los encargados de custodiar y manipular la información y de la mano con la mala conducta de los empleados. Al implementar tecnología para el cuidado de la información, también aumenta el riesgo y las vulnerabilidades que se ven enfrentados estos sistemas (Ministerio de Tecnologias de la Informacion y las Comunicaciones, 2016) . En este aspecto, Colombia ha dado un paso hacia la seguridad creando el primer portal de ciberseguridad del país en donde se contemplan las modalidades de delito informático que afectan el sector empresarial. Actualmente se atienden 172.576 ciudadanos en línea, que ha venido en aumento desde el 2015 debido a los ataques recibidos por las empresas en el interior del país (Ministerio de Tecnologias de la Informacion y las Comunicaciones, 2016) 5.

(6) Existe una red de seguridad del sistema financiero que es un conjunto de normas, procedimientos, mecanismos e instituciones cuyo objetivo es preservar estable el sistema financiero en Colombia, este se establece para que haya coordinación entre las entidades responsables y se ejerza un mejor control y funcionamiento del sistema financiero, además busca reducir el evento de quiebre de la entidad y si llegara a ocurrir que no se llegue a replicar. En este sentido, el adecuado manejo de la información genera optimización en las intervenciones para evitar dichos riesgos y reducir los efectos hacia los otros agentes económicos. Este organismo está conformado por: el Ministerio de Hacienda y Crédito Público, la Superintendencia Financiera, el Autorregulador del Mercado de Valores, los fondos de garantías Fogafin y Fogacoop y el Banco de la República. A nivel legal la ley 795 de 2003 que se encuentra reglamentada por el Decreto 1044 de 2003 creó el Comité de Coordinación para el Seguimiento al Sistema Financiero (diagrama 1) el cual es el encargado de divulgar información relevante para el correcto funcionamiento de las entidades que rige, realizar estudios técnicos y jurídicos que ayuden a la expedición de normas de regulación o supervisión entre otras. Diagrama 1. Comité de Coordinación para el Seguimiento al Sistema Financiero. (Uribe, 2013, pág. 7) adaptado por los autores 6.

(7) Dentro del diagrama se observa que el comité de coordinación tiene la función del seguimiento al sistema Financiero y actúa como instrumento de enlace y coordinación. El sector financiero en Colombia esta conformado por un conjunto de organismos e instituciones publicas y privadas que hacen la función de captar, administrar, regular y dirigir los recursos financieros que se manejan en el país, entre personas, empresas y el estado, está compuesto por establecimientos de crédito, sociedades de servicio financiero y otros que agrupan diferentes líneas de negocios del sector Estos captan los recursos por medio de depósitos para su posterior colocación mediante préstamos, descuentos u otras operaciones relativas al crédito. Se consideran establecimientos de crédito: las entidades bancarias, corporaciones financieras, compañías de financiamiento tradicional, compañías de financiamiento en leasing, cooperativas financieras, sociedades de servicios financieros las cuales manejan y administran recursos, las sociedades de capitalización que son las encargadas de estimular el ahorro, constituyendo capitales determinados lo cual hace desembolsos únicos o periódicos, las sociedades aseguradoras, ofrecen contratos de seguros brindando cobertura financiera en caso de alguna fatalidad, existen instituciones oficiales especiales o de segundo piso, las cuales son de fomento y financiamiento que promueven algunos sectores económicos, entre los cuales están: el Instituto Colombiano de Crédito Educativo y Estudios Técnicos en el Exterior, ICETEX, el Banco de Comercio Exterior de Colombia, Bancóldex (Escuela Nacional Sindical, 2015) El Sistema Financiero Colombiano (diagrama 2) se conforma por instituciones financieras y sus fondos administrados, y estos están vigilados por la Superintendencia Financiera, y se dividen en establecimientos de crédito, las sociedades de servicios financieros y otras instituciones financieras, su función principal es la de canalizar recursos de los agentes superavitarios de la economía, hacia los deficitarios mediante la captación de fondos en moneda legal, luego de la crisis a final de los años noventa, el número de entidades se ha reducido de 105 en 1998 a 56 en diciembre de 2012. 7.

(8) Diagrama 2. Sistema Financiero Colombiano. (Uribe, 2013, pág. 2)Adaptado por los autores Este diagrama muestra la conformación del sector financiero en Colombia que están vigiladas por la Superintendencia Financiera. 8.

(9) METODOLOGÍA El trabajo obedece a una observación hecha a las diferentes circulares reglamentarias de una organización financiera; basado en las leyes, decretos y principios con el fin de analizar el impacto que tiene la implementación de la ciberseguridad en la información financiera que maneja las entidades bancarias, y los riesgos que acarrean el mal manejo que se le pueda dar a la información. Esta investigación es documental, de corte descriptivo y explicativa donde no se manipulan los eventos, ni se controlan variables. Con base en lo anterior, el trabajo de investigación se desarrolla en las siguientes fases: Fase 1. Revisión bibliográfica: búsqueda en bases de datos y libros, acerca de las generalidades y definición de conceptos como ciberseguridad, y todos los temas relacionados con la misma. Fase 2. Dar a conocer los mecanismos de protección de la información financiera, su infraestructura y posibles fallas. Fase 3. Explicar las diferentes aplicaciones que maneja la entidad, a través de un estudio de caso con sus riesgos y alcances.. 9.

(10) OBJETIVOS General Caracterizar las prácticas de aseguramiento de la información financiera en el sector bancario a partir de la protección del sistema de información Específicos Identificar las prácticas de aseguramiento de la información financiera en el sector bancario Valorar mediante una matriz de riesgos la aplicabilidad de estas prácticas de aseguramiento de la información financiera. Analizar mediante un estudio de caso las prácticas de aseguramiento financiero a partir de la protección del sistema de información.. 10.

(11) MARCO REFERENCIAL Marco Teórico. Antecedentes Cuando se habla del sistema financiero, se puede hacer referencia a todas aquellas entidades que tienen como fin prestar un servicio bancario. Según la historia a partir del siglo XII se reflejan cambios representativos y profundos en la economía de Europa, ya que se fue centrando en una economía abierta y a su vez comercial, esto permite a la industria y a los mercados un aumento sustancial en su producción y por lo tanto una nueva apertura de mercados externos. En el siglo XII en relación especifica al siglo 1100 se aproximaba a unos 48 millones de habitantes y para el 1300 sobrepasaban los 73 millones. Tal aumento en la población crea la necesidad de expandir sus recursos y que una persona se encargara del manejo de aquellos dineros que provenían de la venta de productos. Los Mercaderes - llamados así porque eran las personas que más tenían conocimiento sobre el intercambio-, conocían las equivalencias de las monedas que para ese entonces ya circulaban (oro y plata) y fueron quienes se encargaron inicialmente del manejo de aquellos dineros. El comercio empieza desde ese momento a cobrar una importancia vital para la historia ya que la mayoría de ciudades medievales ofrecían productos que ellos mismos elaboraban, y, por lo tanto, se da apertura a los nuevos puntos estratégicos de estos mercados como lo son las ciudades de Italia y Flandes. En Italia se centró algunos puertos ya que era paso obligatorio las cruzadas por el mar Mediterráneo; por otra parte, Flandes por su ubicación estratégica frente al mar del Norte logra un mercadeo con los alemanes y rusos. Estos mercados solo se realizaban en ciertos meses del año y duraban varios días, ya que los comerciantes se encontraban en un dilema de cómo cuidar sus ingresos, lo cual representaba un riesgo muy alto de llevar a todas partes el dinero. 11.

(12) Se empieza a formar la casa de cambio, la figura del banquero no solo se caracterizaba como aquel que solo se encargaba de guardar el dinero, si no que también ofrecía otro tipo de actividades como préstamos con un cobro de interés, administraban bienes de otras personas, se empieza a ver la utilización de libros de cuentas y otros documentables. En Colombia surge la figura bancaria hacia el año de 1880 como el Banco Nacional, donde sus funciones era la de promover el crédito publico, prestando los servicios de consignación de Tesorería y colaboración con las contrataciones de los prestamos internos y extranjeros de la deuda pública. Años más tarde por los excesos en sus emisiones debió ser liquidado. Ya en el año de 1923 fue creado como Banco central de Colombia, gracias a la expedición Kemmerer. que como funciones tenía la de emitir, manejar y controlar los movimientos monetarios del País. Después de aquellos sucesos debido a las guerras, hace que el gobierno tenga que cambiar sus leyes y estatutos para estar a la par de otras economías. En el año 1923 se cambia a Banco de la República como una sociedad anónima, el cual su capital era en oro, lo que le permite al gobierno tener un estricto control del sistema monetario. A partir de este momento, el banco ha tenido muchos cambios significativos en relación a sus funciones en donde ya se logra establecer un control en las exportaciones e importaciones, regular la ejecución de la política monetaria y crediticia, la fijación de cupos monetarios e intensificando el control de los movimientos cambiarios. Para entonces, las entidades bancarias han logrado establecer parámetros en la seguridad de la información, por su volumen de datos contenidos de todo tipo de clientes (internos/externos), el cual por cambio continuo en los estándares de la información y tecnología se vuelven mucho más vulnerables a ciertos tipos de ataques a su infraestructura. Estado del arte Para poder generar una base de información financiera contable es necesario que se puedan incluir normas que especifiquen aquellas prácticas contables de auditoria, así como la de rendición de cuentas, donde pueda ser reconocido en el mundo un marco y una estrategia que 12.

(13) permita transmitir el nivel de confianza a los demás sectores financieros por su transparencia y calidad en el manejo de la seguridad de la información. En América latina se adelantan actividades de gestión y reconocimiento de la seguridad a nivel regional, y esto permite que las regiones de América Latina hayan mantenido un crecimiento del 5% en los últimos años, gracias a la creación de políticas macroeconómicas y financieras. En algunos países de América latina el alto índice de pobreza y desigualdad económica y social, ha generado problemas a nivel macroeconómico, aunque este fenómeno ha variado de acuerdo a que se logró una estabilidad económica en las empresas, del año 2002 al 2008, 60 millones de personas salieron de la pobreza y para este mismo periodo 41 millones salieron de la pobreza extrema. (Fortin, 2010). En este aspecto, se han adoptado leyes internacionales con mucha complejidad, pero para eso han contado con un apoyo legal, el cual les ha permitido realizar su adaptabilidad a las entidades, pero con un temor constante gracias a la crisis que a nivel global que se vive. Esto implica un estudio mucho mas profundo para poder llegar a aquellas empresas que no cuentan con el capital suficiente para la adoptación de las normas plenas. Fortin (2010) manifiesta las tendencias de algunos países frente al dilema de adaptar o adoptar El famoso dilema “adoptar o adaptar” empieza a resolverse. En la década de los noventa, muchos de los países más pequeños de la región adoptaron como su norma nacional las normas internacionales de contabilidad de forma generalizada, mientras que los países de mayor tamaño siguieron un enfoque de adaptación, para acomodar estas normas a las reglas y prácticas nacionales existentes. La mayoría de estos países de mayor tamaño ahora están tomando medidas que tienden a la adopción de las NIIF, empezando por las empresas que cotizan en bolsa (Fortin, 2010, pág. 11). Colombia hace 20 años contaba con grandes empresas las cuales estaban enfocadas en el mercado nacional, a raíz de que la economía era fuerte y relativamente cerrada, pero con el riesgo de que este mercado llevara al cierre del empresariado colombiano, pero la evolución de los mercados hizo que se pensara en la expansión, llevando a las empresas invertir y correr riesgos en la globalización viendo con sorpresa y orgullo la satisfactoria expansión de sus empresas. 13.

(14) Las empresas deben ser muy conscientes que, aunque realicen mejoramientos en sus empresas deben mantener el nivel de confianza y seguridad de la información ante el inversionista u entidades. Para Colombia ha sido un cambio muy importante ya que algunas empresas fuertes han logrado expandirse a nivel internacional como se presenta en el siguiente diagrama Diagrama 3. Evolución de Empresas Colombianas. Carvajal se expande a nivel global Bancolombia compra el banco Agricola del Salvador Banco de Bogotá compra al banco de Credomatica G.E y se extiende por centroamerica. Banco Davivienda Compra acciones de las operaciones de HBSC en centroamérica.. Fuente: Calvo (2013, p. 16) adaptado por los autores El diagrama muestra como las entidades financieras nacionales han buscado incursionar en el ámbito internacional, lográndolo satisfactoriamente obteniendo mercados importantes para su desarrollo y crecimiento En un estudio reciente (Uribe, 2013) , el Banco de la Republica define que la Red de Seguridad del Sistema financiero (RFS) es “un conjunto de normas, procedimientos, mecanismos e instituciones que tienen el propósito de preservar la estabilidad del sistema financiero (p.9)”. Para Uribe este sistema permite que las entidades financieras tengan una eferente coordinación en relación al sistema financiero ya que pretenden que se reduzca aquellas probabilidades que permitan generar una posible quiebra, y en el evento en que esto ocurriera, se pueda tener muy claro aquellas responsabilidades de cada entidad y actuar de manera rápida evitando que pueda generar una crisis a la economía del país.. 14.

(15) RESULTADOS CARACTERIZACIÓN DE LAS PRÁCTICAS DE ASEGURAMIENTO FINANCIERO EN LA BANCA EN CUANTO A LA INFORMACIÓN. El departamento de seguridad informática del sector financiero tiene la misión de a) velar por los activos de información, los cuales son procesados almacenados y transmitidos mediante el uso de las Tecnologías de la Información y las Comunicaciones(TIC), b) velar por la ciberseguridad de las TIC que soportan la infraestructura critica del sector financiero y la operación de la organización, c) velar por la ciberseguridad de los activos tangibles e intangibles que son vulnerables a través de las TIC, para esto se han adoptado prácticas y se estableció un Sistema de Gestión de Seguridad de la Información(SGSI) El SGSI, está conformado por políticas, estándares, la arquitectura computacional, los procesos y procedimientos, la estructura organizacional y los mecanismos de verificación y control, esto para garantizar que los riesgos de la seguridad de la información y los riesgos de ciberseguridad sean conocidos, asumidos, gestionados y mitigados de forma documentada, sistemática, estructurada, repetible, eficiente y adaptable a los cambios que se producen en el entorno y en la tecnología. Las políticas de seguridad de la información y ciberseguridad son fundamentales ya que contienen normas que rigen el actuar de todos los empleados y contratistas de la organización, esto define y reglamenta el manejo de la información, desde su recepción o generación hasta su disposición final e igualmente reglamenta las políticas de ciberseguridad sobre el diseño, la implementación, la administración y el uso de las tecnologías de la información y las comunicaciones. Concomitante con lo anterior, es responsabilidad del Sistema de Gestión de la Seguridad de la Información proteger la información ya que es un activo estratégico de la organización, además 15.

(16) de estar enmarcada en el documento Conpes 3854 de 2016 el cual insta a los diferentes sectores socio-económicos del país a identificar, gestionar, tratar y mitigar los riesgos de seguridad digital, bajo un marco de cooperación, colaboración y asistencia para contribuir al desarrollo y crecimiento de la economía digital y la prosperidad económica y social de Colombia (Consejo Nacional de Politica Económicca y Social CONPES, 2016) Las actualizaciones se deben efectuar cada dos años pertinentes para la protección de la información, las cuales deben ser analizadas previamente por el departamento de control interno, auditoria informática, el departamento jurídico y el comité de gestión de información para su aprobación, además de estos protocolos de seguridad, se deben implementar medidas que aseguren la integridad de la información, valoración y protección de la información, desde el punto de vista de seguridad, y acorde a esto, determinar los mecanismos de protección adecuados, atención de incidentes de seguridad, relacionados con la seguridad de la información y la ciberseguridad, buen uso de los recursos tecnológicos y la implementación de mecanismos para vigilar y promover la seguridad, controles de acceso físicos y lógicos para que la información corporativa se encuentre debidamente protegida. Una de las aplicaciones más usadas para el normal funcionamiento de la organización son los Servicios Electrónicos Bancarios (SEB), portal de seguridad que permite acceder a los servicios informativos y operativos de la organización para realizar operaciones, recibir y/o transmitir información a través de una conexión segura, algunos servicios operativos son: Sistema Electrónico de Negociación (SEN), Deposito Central de Valores(DCV), Sistema Nacional de Transacciones Seguras (ANTARES), Sistema de Cuentas de Deposito (CUD), Servicios administrativos; Portal de gestión de identidades. Servicios informativos, a través de SEB se ofrecen servicios informativos como lo son circulares externas, comunicados, información monetaria entre otros. Podrán acceder a los servicios SEB los establecimientos de crédito, las bolsas de valores, las sociedades comisionistas de bolsa, los depósitos centralizados de valores, las sociedades de servicios técnicos o administrativos conformados por instituciones sometidas a la vigilancia de la 16.

(17) superintendencia financiera de Colombia, y otras entidades que sean expresamente autorizadas por la organización, para que sean vinculadas a SEB deberá suscribir previamente un contrato. Las prácticas de aseguramiento de información en el sector bancario En la era tecnológica en la que se encuentra el mundo hoy, es primordial para toda persona y empresa contar con mecanismos de protección adecuados para resguardar información importante, la cual no se puede dar a conocer fácilmente ya que sería riesgoso para la integridad de su negocio. En la banca toda información debe ser tratada, de tal forma que, esta no pueda ser difundida y conocida por cualquier persona, la razón es porque dicha información posee características esenciales y privadas como lo son movimientos, transacciones, permisos y esto es información clasificada, al caer en manos equivocadas podría causar una crisis no solo al interior de la banca sino a nivel país. La banca cuenta con un amplio sistema de seguridad que le permite guardar la información de manera que, solo puede conocerse de acuerdo con el nivel y permiso que cada usuario posea, este sistema es tecnológico y de acuerdo a su infraestructura, cuenta con diferentes mecanismos de protección o Dispositivos Activos de Red (DAR), como lo son: Tabla 1. Dispositivos Activos de Red (DAR). UTM: Gestión Unificada de Amenazas. Router:. DAR Es un dispositivo el cual encripta la información para que solo los usuarios con ciertos permisos conozcan dicha información, este cuenta con un corta fuego (Firewall) físico y otro lógico. El físico es un moderno dispositivo conectado a la entrada de la red, para así toda información o requerimiento de ella sea analizada. El lógico es un programa que actúa de manera similar al físico, esto garantiza seguridad de la red y protege de ataques externos. VPM: Es una conexión segura la cual hace que se crean unos permisos autorizados externos, que utilizan unos canales y estos tienen unos niveles de seguridad altos. Este es otro Dispositivo Activo de Red, la. 17.

(18) Enrutador. Antivirus. Expand River Bed Plataformas o Aplicaciones corporativas. función de este es enrutar la informaciónsignifica que solo los usuarios internos de la organización conozcan cierta información, el dominio interno es la que trata la información confidencial. SWITCHES: este segmenta la red, es de dominio externo lo que hace es brindar información a los usuarios externos que sean de público conocimiento. Software que proporciona el aseguramiento en la información ya que no permite realizar ciertas acciones para la protección de la organización. Endpoint: es una herramienta de automatización y bloqueo de puertos USB para evitar fugas de información, para que alguna información sea conservada en algún medio flexible se debe tener memorias encriptadas las cuales se consiguen en el comercio (Data Traveler Lock) Esto es la priorización en el tráfico de red, este dispositivo encripta y prioriza la información para todos los usuarios internos y evita la fácil captura por hackers. Son mecanismos de manejo de la información, ya que cada aplicación cuenta con perfiles, información clasificada, niveles de seguridad, segregación de funciones y todo esto lleva a la confidencialidad de la información.. (Bonilla, 2018). Según la experiencia con el paso de los años ante la creciente necesidad de proteger la información y los análisis que han permitido que logre desarrollar nuevos estándares en cuanto a la seguridad en la información.. 18.

(19) Diagrama 4. Conceptos de Seguridad. •Imponer medidas de defensa y que permiten minimizar. •Identificadas y que puedan ser reducidas. propietarios. vulnerabilidad. defensa. riesgos. •La entidad establezca segun la politica. •Hacia los bienes de aquellas personas que abusen.. Fuente: Daltabuir (2007) Adaptado por los autores El diagrama permite mirar 4 puntos estratégicos que la entidad debe tener en cuenta para la seguridad de la información. Para el proceso de ejecución de los estándares internacionales se ve reflejado mucho más allá de las NIIF; y es que de acuerdo con la Ley 1314 del 2009, el aseguramiento de la información también hace parte de todo esto. Con la expedición del Decreto 302 del 2015, compilado en el Decreto Único Reglamentario 2420, el cual a su vez fue modificado por el Decreto 2496 del mismo año, se incorporaron en el ordenamiento nacional las Normas de Aseguramiento de la Información .Es importante precisar que este conjunto de normas no deroga ni deja sin vigencia a las normas contenidas en la Ley 43 de 1990 con respecto a los temas de auditoría y código de ética, sino que llega para complementarlas y hacerlas más aterrizadas a la actualidad del ejercicio profesional.. 19.

(20) ¿Quiénes deben Aplicar las normas NAI? las NAI se componen por el siguiente conjunto de normas, todas emitidas por el IAASB, con excepción del Código de Ética para Profesionales de la Contaduría expedido por el IESBA: Veamos que son cada una de estas Normas. Tabla 2. Normas Internacionales de seguridad en la Información. Normas Internacionales de Auditoría (NIA). Normas Internacionales de Control de Calidad (NICC). Normas Internacionales de Trabajos de Revisión (NITR) Normas Internacionales de Trabajos para Atestiguar (ISAE por sus siglas en inglés). Normas Internacionales de Servicios Relacionados (NISR). Son aplicables a la realización de auditorías sobre estados financieros. Se componen de principios, procedimientos y guías de aplicación que le permitirán al auditor realizar de mejor manera su trabajo, teniendo en cuenta que cada entidad tiene una realidad particular, y que esta marcará en gran parte la forma en que se desarrolle la auditoría. Es aplicable a las firmas de contadores, entendiendo dentro de estas a los contadores independientes, que realicen trabajos de auditoría o de revisión sobre estados financieros. Contiene las responsabilidades que debe tener una firma de contadores en relación con su sistema de control de calidad frente a la realización de auditorías y cualquier otro trabajo que implique revisión sobre estados financieros. Son aplicables tal como su nombre lo menciona, a los trabajos puramente de revisión sobre estados financieros, es decir, aquellos que no requieren que el auditor emita una opinión sobre los mismos. A diferencia de las NIA y de la NICC, estas son aplicables a trabajos diferentes a los de auditoría y de revisión sobre estados financieros; las Normas Internacionales de Trabajos para Atestiguar cubren los trabajos en donde el auditor deba dar seguridad sobre aseveraciones que la administración de la entidad que lo contrata realice. Aplican a los trabajos de auditoría relacionados con información financiera, aunque dependiendo de la experiencia y juicio del auditor, pueden aplicarse a otra clase de encargos. Dentro de este tipo de trabajos, podemos encontrar el llevar a cabo procedimientos previamente acordados con la administración de la 20.

(21) Código de Ética para Profesionales de la Contaduría. entidad contratante del servicio, o la recolección y clasificación de información. Contiene una serie de requerimientos de carácter ético que deben regir el actuar de los profesionales de la contaduría, teniendo en cuenta la responsabilidad de su labor frente al interés público.. Al introducir la ley 1314 de 2009 los establecimientos bancarios deben hacer la convergencia y para esto se debe seguir un conjunto de leyes, decretos, circulares y excepciones para lograr este fin, esto para lograr mostrar sus estados financieros de acuerdo con las Normas Internacionales de Información Financiera (NIIF) que son reglamentadas en el art. 5 de la Ley 1314 de 2009. De Las Normas De Aseguramiento De Información. Para los propósitos de esta ley, se entiende por normas de aseguramiento de información el sistema compuesto por principios, conceptos, técnicas, interpretaciones y guías, que regulan las calidades personales, el comportamiento, la ejecución del trabajo y los informes de un trabajo de aseguramiento de información. Tales normas se componen de normas éticas, normas de control de calidad de los trabajos, normas de auditoría de información financiera histórica, normas de revisión de información financiera histórica y normas de aseguramiento de información distinta de la anterior. Lo cual permite interpretar que el Estado va encaminando a la aplicación y aceptación de las nuevas normas internacionales de Información y que su avance se da a pasos agigantados para la evolución y prosperidad en los mercados. (Alvaro, 2009) Tabla 3. Decretos aplicables de la seguridad de la información Decreto 2784 de 2012 Decreto 1851 de 2013. Decreto 3023 de 2013 Decreto 2267 de 2014. Ley 1739 de 2014 Circular externa 014 de 2014. Es el marco técnico normativo para los preparadores de la información financiera del grupo 1. Los establecimientos bancarios aplicarían el marco normativo contenido en el anexo del Decreto 2784 de 2012, con excepción de lo siguiente: para el tratamiento de la cartera y el deterioro de la misma no aplicarían los aspectos contenidos en la NIC 39 y NIIF 9, los cuales se tratarían, según la Circular Básica Contable y Financiera Modifica parcialmente el marco técnico normativo de información financiera que conforman el Grupo 1. Modifica parcialmente los Decretos 1851 y 3022 de 2013 y determina que la Superintendencia Financiera de Colombia definirá normas técnicas especiales, interpretaciones y guías en materia de contabilidad y de información financiera, en relación con las salvedades señaladas en el Decreto 1851 de 2013 y exceptúa la aplicación de la NIC 39 y NIIF 9, en la clasificación y valoración de las inversiones; esto está definido en la Circular Básica Contable y Financiera. Permite la causación del impuesto de riqueza de forma anual y da la opción de su reconocimiento con cargo a reservas patrimoniales Incluye el formato Estado de Situación Financiera de Apertura (ESFA) y modifica el plazo para el reporte del mismo.. 21.

(22) Circular externa 034 de 2014 Circular externa 036 de 2014 Decreto 2615 de 2014. Decreto 2420 de 2015. Decreto 2496 de 2015 Decreto 2131 de 2016. Da instrucciones relacionadas con la clasificación, la valoración y la contabilización de inversiones. Da instrucciones para el tratamiento de las diferencias netas positivas y/o negativas, que se generen en la aplicación, por primera vez, de las NIIF y otros tratamientos Modifica el marco técnico normativo para los preparadores de información del Grupo 1, previstos en los decretos anteriores, tomando la versión 2014 del denominado Libro Rojo expedido por el IASB, lo cual entrarían en vigencia a partir del 1 de enero de 2016. Es el Decreto Único Reglamentario de Normas de Contabilidad de Información Financiera y de Aseguramiento de la Información y se dictan otras disposiciones, se recogen los anteriores marcos normativos y se expide -para el Grupo 1- el Anexo 1, para ser aplicado a partir del 1 de enero de 2016. Incluye el Anexo 1.1 en el Decreto 2420 de 2015, con modificaciones al Anexo 1, aplicable a los preparadores de información del Grupo 1, a partir del 1 de enero de 2017 o en forma anticipada. Incorpora el Anexo 1.2 al Decreto 2420 de 2015, adiciona modificaciones al Anexo 1.1 para ser aplicadas a partir del 1 de enero de 2018. Se aclara que, a partir del 1 de enero de 2017, estará vigente el Anexo 1.1. que coincide con la versión 2015, del Libro Rojo expedido por el IASB.. La seguridad de la información de una entidad bancaria siempre debe regirse por las políticas administrativas que se generan desde la administración, las cuales permiten enfrentar muchos riesgos en la seguridad de la información y a su vez, deben tener tres reglas esenciales para una mayor efectividad, estas reglas son: Diagrama 5. Reglas de Efectividad •Un usuario no debe contar con mas de los accesos necesarios. minimo priviligeio. •No todo debe ser muy rigido, ya que en ocasiones se deben conceder permisios especiales para mejorar el proceso. Flexibilidad. •Un solo usuario no debe contar con tantas funciones para evitar el uso de poder. separacion de funciones y roles. Fuente: Los autores. 22.

(23) Las tres reglas deben implementarse de acuerdo al nivel de seguridad que la empresa requiera, en conjunto forman una barrera que permeabiliza la información y ayuda a la protección de la misma, se deben emplear las tres para ser más efectivos los controles. Para poder generar una política de seguridad efectiva se debe tener en cuenta la ISO 17799 del 2000, que hace referencia a los estándares generales de control para una mejor práctica de la seguridad, así como sirve de punto de referencia para identificar aquellos controles en muchas de las situaciones presentadas en los sistemas de información. La Iso 17799 hace la aplicabilidad en 10 secciones presentados así: Tabla 5. Aplicabilidad de la Iso 17799 del 2000 Aplicabilidad Planeación de la continuidad de actividades Sistemas de control de acceso. Objetivo Equilibra aquellas interrupciones que se puedan generar en la entidad Evita aquellas fallas graves Controla el acceso a la información Garantiza la protección de servicio de la red Garantiza la seguridad de la información cuando se utiliza un sistema remoto.. Desarrollo y mantenimiento de sistemas Seguridad física y ambiental. Se asegura que el sistema este conformado para prevenir la perdida, cambios o confidencialidad de la información. Prevención en el ingreso no autorizado a las instalaciones, como prevención de pérdidas y daño en bienes e interrupción de las actividades. Prevención de robo de información y de los procesos de la entidad. Evita la infracción las normas civiles o penales de cualquier reglamento de seguridad. Asegura la compatibilidad del sistema con las políticas y estándares de seguridad; así como aquellas interferencias que se puedan presentar Reduce el riego humano, como las intenciones que se tengan de robo, fraude, abuso de sistemas y los equipos. Socializa al personal de aquellas amenazas, de la información a que se están expuestos Apoyando las políticas de la entidad en la seguridad de la información. Administra la seguridad de la información dentro de la entidad. Mantiene la seguridad en relación al uso de Terceros (proveedores, clientes etc.) Protege la integridad del del Software y la información. Previene y asegura el daño a la infraestructura, así como la información en la Red, debido a posibles modificaciones o mal uso. Garantiza que los Activos Informáticos sea protegidos de forma adecuada, así como los activos corporativos Proveer los soportes de las autoridades de la entidad a la seguridad de la información. Cumplimiento. Seguridad del personal. Seguridad de la Organización Administración de las operaciones de los equipos Clasificación de los Activos Política de seguridad. 23.

(24) Fuente: (Daltabuir Godas Enrique, 2007) Elaboró los autores. De acuerdo a lo referido en la Iso 17779 del 2000, en cuanto a las políticas se toma como referencia una entidad bancaria, realizando una matriz de Riesgos y a las posibles amenazas a las que se encuentra expuesta. Para ello, se tiene en cuenta los fundamentos mínimos requeridos para cada tipo de información que se maneja. Diagrama 6. Requerimientos de seguridad. Fundamentos. Reservada. Clasificada. Uso Interno. Pública. Confidencialidad Integridad Disponibilidad Autenticación Control Acceso No repudiación Observancia . Fuente: (Entidad Financiera, 2018) adaptada por los autores Las casillas marcadas ampliamente indican que para la clasificación correspondiente se deben implementar los procesos mas fuertes para el fundamento de seguridad indicado, los otros se deben implementar los procesos, pero no tan estrictos y complejos. 24.

(25) VALORACIÓN MEDIANTE UNA MATRIZ DE RIESGOS LA APLICABILIDAD DE LAS PRÁCTICAS DE ASEGURAMIENTO DE LA INFORMACIÓN FINANCIERA Los riesgos de. la entidad financiera son inherentes al servicio que esta presta, cuenta con. mecanismos para preservar y proteger la información vital para el correcto funcionamiento de la empresa, esta información debe ser plenamente identificada y valorada para definir su nivel de protección, esta valoración debe hacerse de manera periódica de acuerdo al ciclo de vida de la misma, la información de identifica como: a) pública, es toda información que la entidad genere, obtenga o adquiera la cual debe brindarse libre acceso o publicación, b) clasificada, es aquella que posea la entidad y pertenece al ámbito propio y cuyo acceso puede ser negado porque pudiere causar daño a personas naturales o jurídicas, esta solo podrá suministrarse a los titulares de los respectivos datos o personas autorizadas por la ley, c) reservada, es aquella información que debe ser protegida con el fin de evitar daños a intereses públicos como la defensa y seguridad nacional, la estabilidad macroeconómica y financiera del país, la salud pública, d) uso interno es toda información preliminar como proyectos de documentos y demás información que se encuentre en construcción. La dirección general de tecnología es la encargada de establecer los estándares y arquitectura tecnológica bajo las cuales funcionaran los servicios corporativos, el departamento de seguridad informática es la que se encarga de establecer las condiciones de acceso y mecanismos de seguridad para ofrecer dichos servicios, todo software y hardware deben ser analizados para identificar el riesgo asociado a su instalación, la entidad deberá desarrollar, implantar y mantener un sistema de atención de incidentes de seguridad de información con miras a reducir el impacto causado sobre los procesos críticos, para esto nombra un grupo de especialistas los cuales deben notificar cualquier irregularidad que amenace o atente contra la seguridad de la información. Toda persona que preste sus servicios a la entidad deberá contar con un identificador único denominado carga de acceso el cual es personal e intransferible y deberá responder por el buen uso de la misma, existen otros esquemas de autenticación que consisten en dos factores, los cuales son utilizados por personas que tengan acceso a los sistemas de cómputo, estos esquemas requieren de dos claves, una es la carga de acceso y otra es generada por un dispositivo el cual la entidad asignara de acuerdo al perfil que crea necesario, todas la áreas deberán tener asignado a 25.

(26) cada funcionario responsabilidades que tenga pertinente hacerlo, pero cuidando que no. se. concentren las operaciones críticas en una sola persona. La entidad debe contar con un plan de continuidad el cual cuenta con esquemas independientes de administración y operación de servicios los cuales soportan los procesos críticos del negocio, para ello se usan mecanismos alternos seguros de transmisión de información clasificada y reservada en caso de falla del mecanismo principal, así mismo deberá definir los intercambios de información con los Centros de. Respuesta a Emergencias. Cibernéticas de la Nación (CERT) o instancias designadas para prevenir, coordinar, atender, controlar, generar recomendaciones y regular los incidentes o emergencias cibernéticas para afrontar las amenazas y los riesgos que atentan contra la ciberseguridad, en dado caso que se presente una anomalía en cuanto a la ciberseguridad, el director del departamento de seguridad informática podrá suspender temporalmente parcial o total los servicios corporativos de tecnología en caso de tratamiento de incidentes de alto impacto como lo serian: a) amenaza externa de alta distribución y de alto impacto para los que la entidad no cuenten con mecanismos de defensa suficiente, b) indicadores serios de compromiso sobre la plataforma de computadores.. 26.

(27) Tabla 6. Matriz de Riegos en la seguridad de la Información financiera de una entidad Bancaria. Política de Seguridad Valoración y protección de la información Software y Hardware aceptados. Riesgo. Descripción del Riesgo. Control. Divulgar información. La información está. Revisión periódica de acuerdo al. que sea de uso exclusivo. clasificada en Publica,. ciclo de vida.. de la entidad.. Privada y Reservada. Utilización de. Instalar programas o. Todo programa deberá ser. herramientas no. tener acceso a la red sin. avalado por la dirección. autorizadas.. autorización. tecnológica de la entidad. Atención de incidentes. Caída critica del sistema. de seguridad. de información. Falla en las plataformas tecnológicas causando déficit de servicio. Abuso de información. Uso de los recursos. Acceso abusivo al. pública, reservada y. tecnológicos. sistema informático. clasificada.. Uso de los activos de la información. Publicación de información por medios alternativos. El almacenamiento de información para su posterior divulgación por redes sociales.. Impacto del Riesgo. ALTA. MEDIA. Reducir el impacto causados sobre los procesos creando un grupo de atención de incidentes. ALTA. de seguridad. Utilización de mecanismos provistos por la entidad para su. BAJA. buen uso. No se permite la utilización de dispositivos que no sean autorizados por la entidad. 27. MEDIA.

(28) La divulgación de la Control de acceso.. información por usuarios externos. Delegación de Operación. administración y de operación de los servicios. Manejo de la plataforma. banco con que deben. Control de usuarios con un. manipular información. identificador de carga de accesos. No permitir a una sola persona las funciones de supervisión y control de la seguridad en las operaciones. Implementación de doble autenticación para las operaciones. Uso de mecanismos alternos en principal.. Uso de programas de. tengan contraseñas con. usuarios permitidos,. descifrado de. seguridad muy débil, y. Eliminación de archivos de los. contraseñas. el uso de dispositivos. dispositivos que cambian de. ajenos a los autorizados. usuarios.. emergencia cibernéticas. Disminuir el acceso a las redes, ingreso de dispositivos no autorizados.. BAJA. caso de falla del dispositivo Revisión constante de los. con los centros de. ALTA. importante. Los usuarios internos. cambio de información Ciberseguridad. Personas ajenas al. BAJA. Coordinación con otras entidades expertas en el tema de seguridad cibernética. Fuente (Entidad Financiera, 2018), elaborado por los autores. 28. ALTA.

(29) Esta matriz refleja los niveles de riesgo que tiene esta entidad financiera y como adopta medidas en la seguridad de la información, indicando cuales son los de mayor impacto estableciendo medidas de control mas eficaces y eficientes al momento de una posible falla en el sistema. En este contexto, se muestra una alta capacidad de manejo ante los posibles riesgos de fuga de información tanto de usuarios internos como de terceros, promoviendo el uso adecuado de la información, así como responsabilidades de tipo penal y civil en caso de irregularidades que se puedan encontrar durante las auditorias que sean realizadas por la entidad. Se pone a prueba uno de los temas más importantes en este tiempo que es la seguridad en la información, no solo en las entidades bancarias si no que se ha vuelto un verdadero reto para los mercados mundiales. Este nerviosismo o preocupación se ve reflejado en las cantidades de normas y decretos con los cuales se pretende que las empresas manejen su información. A diario se puede observar las noticias en donde se sigue de forma minuciosa el acontecer de la incertidumbre ante posibles ataques cibernéticos, la aparición de los piratas informáticos y se adquiere un nuevo concepto de la “economía sumergida” donde la información de las tarjetas de crédito que se usan como cualquier tipo de billete y el riesgo que se tiene es la facilidad con que pueden obtener la información personal con un simple clic. Esta situación para una entidad financiera es mucho más compleja por la cantidad de información que se maneja, y se ven obligados a mejorar su infraestructura física esencial. Al respecto (Marchini, 2018) expresa que “La seguridad informática se puede considerar un campo complicado, sofisticado e ineludible. En cambio, la seguridad física se puede percibir como visual, básica y sencilla. Sin embargo, los ataques a la seguridad física pueden ser igual de complejos, sofisticados y en algunos casos de la misma naturaleza que las amenazas cibernéticas” Marchini se pregunta si a las entidades bancarias también les surge la duda y si se les ha prestado la mayor atención a estos ataques cibernéticos y además las empresas están dispuestas a invertir en programas o actualizaciones para mejorar su seguridad. Las personas que no tienen el nivel de ingresos alto, ni tienen el suficiente conocimiento del tema, también se ven afectados en su cotidianidad, desde el punto de vista de que solo con tener un celular y conectarse a redes 29.

(30) sociales u otras páginas de información, ya se corre el riesgo de que un hacker se conozca su vida. ESTUDIO DE CASO LAS PRÁCTICAS DE ASEGURAMIENTO FINANCIERO Antecedentes La empresa trabaja en el sector financiero, esta ubicada en la ciudad de Ibagué y pertenece al sector público con unos 60 años de existencia, la importancia de mantener protegida la información hizo que se tomaran medidas drásticas en cuanto al nivel de seguridad que tiene la entidad financiera, ha implementado mecanismos de defensa que hace que se reduzcan los riesgos de perdida de información, la entidad cuenta con barreras tanto lógicas como físicas para la protección del activo intangible primordial que es la información, en la era tecnológica que se vive hoy, es importante mantener seguro todo tipo de información, se debe blindar el acceso a datos importantes para la empresa utilizando el cifrado de los mismos, esto contribuye a que la información sensible quede resguardada de posibles ataques, se debe tener una política de seguridad clara que pueda identificar los posibles riesgos y así mismo las acciones tanto preventivas como correctivas. Procedimiento Una entidad bancaria aplicó una encuesta donde su mayor preocupación es la Percepción sobre Riesgos del Sistema Financiero y arrojo los datos basados en preguntas relacionadas al riesgo del sistema financiero: -. En su opinión, ¿cuáles son los cinco riesgos que tendrían el mayor impacto en el desempeño del sistema financiero colombiano, si llegaran a materializarse?. -. Seleccione los cinco riesgos que, en caso de materializarse, afecten en mayor medida el desempeño de su entidad (los riesgos a los que su entidad es más vulnerable).. -. En su opinión, ¿cuáles son los cinco riesgos que tienen mayor probabilidad de materializarse en el sistema financiero colombiano en el corto plazo (0-12 meses)?. -. ¿Cuál cree que es la probabilidad de que ocurra un evento de alto impacto sobre el sistema financiero colombiano? 30.

(31) -. ¿Cuál cree que es la probabilidad de que ocurra un evento de alto impacto sobre el sistema financiero colombiano?. -. ¿Cuál es su nivel de confianza en la estabilidad del sistema financiero colombiano en el próximo año?. - ¿Cómo ha cambiado su nivel de confianza en el sistema financiero en los últimos seis meses? (Gamboa & Sebastian, 2018-Julio). En esta encuesta se requiere identificar que agentes intervienen, cual es aquella vulnerabilidad y que perspectiva o cual es el nivel de confianza en las entidades financieras y su estabilidad. Para esto aplicaron una encuesta a 89 entidades (universidades, gremios y entidades financieras) de todo el país. El análisis final o resultado se encuentra divido en 3 secciones. 1. Hechos o escenarios que preocupan a las entidades en corto plazo. 2. Principales fuentes de riesgo en términos de impacto y probabilidad de ocurrencia. 3. Confianza en el desempeño del sistema financiero.. Tabla 7. Encuesta de percepción sobre riesgos financieros Principales fuentes de riesgo en. Confianza en el. Hechos o escenarios que. términos de impacto y. desempeño del sistema. preocupan a las entidades en. probabilidad de ocurrencia. financiero. Deterioro. Media 48.2%. corto plazo Deterioro de la cartera. 47.5%. en. el. panorama. económico de Colombia 39.8% Materialización del riesgo del. Materialización del riesgo del Baja 36.1. crédito 17.5%. crédito 18.1%. Incremento de deuda de los. Incremento de deuda de los. hogares 7.5%. hogares 7.2%. Fallas del Sistema Financiero. Caída. 1.3%. financieros6.0%. Riesgo Cibernético 1.3%. Riesgo cibernético 4.8%. en. precio. de. activos. Alta 12%. Muy alta 2.4% Muy baja 1.2%. 31.

(32) Fuente (Gamboa & Sebastian, 2018-Julio) Adaptado por los autores.. Esta encuesta recoge datos de las entidades colombianas sobre aquellas percepciones sobre la economía del País en la actualidad; en relación al tema de Seguridad de la información de las entidades bancarias es muy baja la probabilidad que ocurra un impacto mayor. Esto se debe a la confianza que las entidades han generado gracias al arduo trabajo de concientización e implementación partiendo desde el manejo interno e inversión en la infraestructura tanto física como tecnológica. Esto no exonera algunos otros temas importantes para la economía como lo es la percepción del panorama económicos y a la inversión crediticia. También se ha de reconocer otro tema importante en cuanto a la información es la nueva implementación de la biometría en las entidades financieras en seguridad de la información partiendo desde el hecho de las transacciones que se puedan realizar. Se puede tomar como referencia México que es uno de los países en donde tiene este mayor problema de suplantación de identidad, lo cual con el avance de la tecnología es la seguridad con metodología de biometría específicamente en la huella dactilar. Esta implementación se da ante los continuos hackeos de la información de personas que utilizan los medios cibernéticos para realizar todo tipo de transacciones (Martha, 2018) Colombia no es la excepción en la implementación de esta tecnología ya que en 2016 y 2017 como lo confirma Asobancaria por medio su página electrónica, donde recalca que junto a la Registraduría Nacional del Estado Civil y Certicamara S.A, han puesto en funcionamiento la autenticación de clientes y usuarios de las redes bancarias y móviles en tiempos reales. Para la marcha de esta implementación lograron un alianza con la sociedad Cameral de Certificación Digital - Certicamara s.a., donde permite a las entidades financieras lograr un dispositivo de autenticación de identidad a los usuarios por medio de la Identificación dactilar , la firma electrónica , iniciando en los procesos de mayor movimiento de créditos como la. 32.

(33) apertura de CDT´S, aperturas de cuentas de ahorro, Tarjetas de Crédito, a esto se suman algunas entidades comerciales donde también ofrecen servicios de crédito. Esta nueva tecnología valida la información directamente con la base de datos de la Registraduría Nacional del Estado Civil, permitiendo a las asociaciones y entidades crediticias tener una mayor fiabilidad al momento de generar créditos financieros reduciendo los riesgos de suplantación de identidad, el fraude y reduciendo los costos de papelería. Esta implementación no solo la han tomado las entidades de financiación, ya muchas empresas de servicios también lo están implementado también dan a conocer la mayor información del usuario y posibles riesgos que conllevan con la prestación del servicio (Asobancaria, 2018).. El cibercrimen es el delito cometido por una persona haciendo uso ilícito de equipos computacionales operando por medio de la red, en Colombia el cibercrimen ocupa el tercer puesto después del soborno y la malversación de activos, estos tienen la mayor probabilidad de ocurrencia, lo cual tiene un gran impacto en las entidades según lo muestra la encuesta realizada por (PricewaterhouseCoopers PwC, 2018) a las compañías colombianas Diagrama 7. Crímenes económicos. Fraude al Consumidor; 19% Malversación de Activos; 58%. Mala Conducta Comercial; 19%. Cibercrimen; 27%. Soborno y Corrupción; 31%. 33.

(34) Fuente: (PricewaterhouseCoopers PwC, 2018, pág. 23) adaptado por los autores Estos son los cinco principales crímenes económicos que afectan y generan pérdidas millonarias en las utilidades a las empresas, demostrando que las entidades no tienen una infraestructura solida en cuanto a protección de la información. El cibercrimen se ha convertido en una de las mayores causas de perdida de activos para las compañías, los que cometen los delitos están tan capacitados para hacerlo así como lo están las empresas para detenerlos, las amenazas más comunes que se encuentran son el phishing y el malware que atentan contra los sistemas computacionales de las entidades, esto hace que se apliquen con mas rigor las nuevas formas de prevenir dichos ataques, dando un beneficio al enfocarse en la protección de la información y el conocimiento del fraude, las compañías encuestadas revelan que es difícil medir el impacto financiero que han tenido por ataques cibernéticos, pero el cibercrimen ha sido el de mayor trascendencia al tener perdidas cercanas a US$1 millón como consecuencia de estos ataques, otras empresas encuestadas dicen que se preparan a recibir un ataque cibernético en los próximos dos años debido al aumento comparado con años anteriores. A través del cibercrimen se presentan diferentes tipos de fraude, que hacen de la información lo más vulnerable para una empresa, según la encuesta los ataques mas frecuentes que se presentan son la disrupción de los procesos de negocios con un 30 % y la apropiación indebida de activos con un 24 %, aunque todo fraude cibernético afecta gravemente los activos de la empresa, se presentan casos en los que las entidades no maneja un efectivo control en contra de este flagelo.. 34.

(35) Diagrama 8. Tipos de Fraude por medio de Ciberataque 30% 30% 24%. 25%. 21%. 20% 15% 10%. 12%. 11%. 10%. 8% 5%. 5% 0%. Fuente (PricewaterhouseCoopers PwC, 2018, pág. 28) adaptado por los autores La grafica representa los diferentes tipos de fraude que se cometen en las empresas colombianas, la causa más común es la falta de políticas de seguridad, revisiones periódicas, y sobre todo la falta de control que no han sido aplicados a más de la mitad de los encuestados.. Las empresas colombianas mediante la encuesta (PricewaterhouseCoopers PwC, 2018) ha identificado las diferentes formas de ataque a los activos que han sufrido en los últimos dos años, revela la encuesta que el ciberataque que mas sufren las compañías es el Malware que son las amenazas informáticas o software maliciosos que tratan de implantar mediante mensajes o links algún tipo de virus que se encargara de sabotear, robar o dañar la información de la empresa, otro tipo de ataque cibernético es el phishing lo cual es el ataque masivo a sistemas de usuarios para 35.

(36) obtener información privilegiada, otros cibercrimen se hacen con menos frecuencia, inclusive no se conocen directamente el tipo de ataque pero son igual de peligrosos , todo ataque que se presente al interior de una organización puede y debe ser evitado para salvaguardar la información vital de esta, de sus usuarios tanto internos como externos, y esto se hace siguiendo estándares nacionales e internacionales que se deben implementar debido a las regulaciones que cada empresa obedezca, aplicando fuertes medidas de seguridad físicas y lógicas y haciendo estudios permanentes para evaluar las posibles crisis que puedan presentarse al desarrollar el ejercicio de la actividad, Diagrama 9. Técnicas de Ciberataque Utilizadas en Colombia Escaneo de Red; 2%. Otros; 8%. No sabe la tecnica; 10%. Malware; 33%. Phishing; 17%. Fuente (PricewaterhouseCoopers PwC, 2018, pág. 29) adaptado por los autores Estas son las técnicas mas utilizadas por las personas que se quieren apoderar de la información de la empresa, esta encuesta se hizo a empresas colombianas y muestra las formas de incurrir en ciberataques para fines de fraude. 36.

(37) CONCLUSIONES Partiendo de la importancia que tiene la seguridad de la información en la actualidad donde surgen muchas preocupaciones por la globalización y el cambio constante que tiene la tecnología de la información y además donde cualquier dispositivo facilita y pone en riesgo la información no solo personal si no de una entidad financiera, por muchos años ha surgido este interrogante que tan preparados están las entidades para enfrentar una posible amenaza de fuga de información. Con este trabajo se evidencia que las entidades han logrado quitar el estigma de que eso puede llevar a la quiebra por los costos tan altos que se tienen al adquirir ciertos programas de seguridad, ya que los usuarios finales son los que reflejan la perspectiva de seguridad que tienen ante una entidad financiera. La continua preocupación del gobierno en implementar estas normas internacionales y mantener una actualización para lograr que la economía de país puede ser mucho más productiva y se vea reflejada en el crecimiento de la calidad de vida, así como el crecimiento de las empresas y por lo tanto las nuevas inversiones extranjeras. Por tanto en el estudio de caso de la entidad financiera se observa que es bastante compleja la seguridad de la información, en donde constantemente está en una revisión periódica de las políticas que la entidad permite el acceso de sus información, donde muchas veces no se entiende muchos de los términos utilizados ya que va muy ligados al lenguaje informático, pero aun así la entidad financiera no solo se preocupa de la seguridad interna si no que le preocupa cual es la perspectiva que se tiene en el mercado global y el concepto que la sociedad tiene ante la 37.

(38) seguridad de las entidades y sus posibles riesgos, según la matriz estudiada se observa una importancia muy alta en las posibles amenazas y cuál es el control que realiza. Es muy limitada la información que se obtiene del tema específico respecto a la auditoria como tal, ya que solo se encamina al papel del auditor, y no refleja de una problemática a nivel general. Respecto a las normas internaciones es mucho el trabajo que falta y la interpretación correcta de la misma, ya que su aplicabilidad tiene muchas variables y es confuso a quienes se le aplica. La tecnología evoluciona día a día y es importante tener el conocimiento respectivo por medio la capacitación y poder ofrecer una asesoría correcta. REFERENCIAS BIBLIGRAFICAS. Alvaro, U. V. (2009). LEY 1314 de 2009. Bogota. asobancaria. (abril de 2018). www.asobancaria.com. Bonilla, A. (12 de 10 de 2018). Dispositivos Activos de Red. (G. Valderrama, Entrevistador) Calvo, L. C. (2013). Contabilidad y auditoria. Bogotá,Colombia: Legis. Castellanos, L. (11 de 01 de 2010). Tecnologia al día: Wordpress.com. Obtenido de Wordpress.com: https://tecnologiaaldia.wordpress.com/2010/01/11/8-pasos-paraproteger-la-informacion-y-asegurar-la-continuidad-de-su-empresa/ Consejo Nacional de Politica Económicca y Social CONPES. (11 de Abril de 2016). Politica Nacional de Seguridad Digital: CONPES. Obtenido de Consejo Nacional de Politica Económicca y Social CONPES: https//colaboracion.dnp.gov.co>Conpes Daltabuir Godas Enrique, H. L. (2007). La seguridad de la información. Mexico: Limusa. Entidad Financiera. (23 de febrero de 2018). Circular Reglamentaria Interna. Seguridad de la Información y la Ciberseguridad. Bogotá, Colombia. 38.

(39) Escuela Nacional Sindical. (2015). Sector Financiero y Bancario en Colombia: ens.org. Obtenido de ens.org.co: http://www.ens.org.co/wpcontent/uploads/2016/12/DOCUMENTOS-DE-LA-ESCUELA_100-Sector-financiero-ybancario-colombiano-Económico-laboral-y-de-negociación-colectiva-2015.pdf Fortin, H. (2010). contabilidad y crecimiento en america latina y el caribe. washinton: Banco Mundial. Gamboa, S. M., & Sebastian, M. J. (2018-Julio). Encuesta de percepción sobre riesgos del sitema financiero. Bogotá. Marchini, M. (08 de noviembre de 2018). Diario digital de información economica y financiera: Banca 15 . Obtenido de banca15 Web site: https://www.banca15.com/secciones/tribunas/2012/marta-marchini-honeywell.htm Martha, M. (2018). www.banca.15.com.mx. Ministerio de Tecnologias de la Informacion y las Comunicaciones. (06 de 11 de 2016). Guia para la impletemtacion de seguridad de la información en una MIPYME: Mintic. Obtenido de Mintic web site: https://www.mintic.gov.co/gestionti/615/articles5482_Guia_Seguridad_informacion_Mypimes.pdf Perez, D. (29 de 05 de 2016). omicrono: el español .com. Obtenido de El Español.com: https://omicrono.elespanol.com/2016/05/proteger-tu-informacion-digital/ PricewaterhouseCoopers PwC. (2018). Fraude el descubierto Encuesta Global Crimen Económico 2018: PricewaterhouseCoopers. Obtenido de PricewaterhouseCoopers PwC: http://www.pwc.com.co Rendón Alvarez, B. (2018). Efecto Convergencia en Colombia de las Ncif, en los establecimientos bancarios emisores de valores de acciones. Cali. 39.

(40) Uribe, J. D. (2013). El sistema financiero colombiano: estructura y evolución reciente. Revista del Banco de la República, 7.. 40.

(41)

Figure

Tabla 6. Matriz de Riegos en la seguridad de la Información financiera de una entidad Bancaria

Tabla 6.

Matriz de Riegos en la seguridad de la Información financiera de una entidad Bancaria p.27
Tabla 7. Encuesta de percepción sobre riesgos financieros

Tabla 7.

Encuesta de percepción sobre riesgos financieros p.31

References