PREVENCION DEL RIESGO INFORMATICO EN ENTIDADES FINANCIERAS

PREVENCION DEL RIESGO INFORMATICO EN

ENTIDADES FINANCIERAS
RESUMEN
La tecnologa informtica es un hecho en las entidades del sector financiero desde varios aos ; la
apropiacin de esta tecnologa, no solo en las labores operativas (back office), sino en la atencin al
cliente (front office), ha trado enormes avances y otros riesgos; por otra parte, los avances
tecnolgicos plantean nuevas posibilidades: internet es hoy en uno realidad que no pocas empresas
estn articulando a su infraestructura para ofrecer nuevos servicios. Aunque estas tecnologas
involucraran riesgos, su uso es imperativo. Se hace necesario que tanto el rea de informtica como
la de administracin de riesgos, conozcan estos peligros y establezcan, de comn acuerdo, las
seguridades y controles que coloquen estos riesgos en niveles aceptables para la organizacin,
teniendo en cuenta el marco legal que rige la entidad.
En este articulo se presenta el riesgo informtico de acuerdo con su localizacin: datos de programas,
comunicaciones, entorno, y para cada nivel se propone mecanismos de control tendientes a
disminuirlo, los cuales se basan en la combinacin de tcnicas computarizadas y procesos manuales.

INTRODUCCION
Una acepcin de seguridad es estar libre dao o riesgo. Sin embargo, esta definicin no sirve como
punto de partida porque, por un lado, nada es seguro y, otro, no es til para fijar pautas sobre
seguridad informtica. Una mejor aproximacin a seguridad en sistemas de informacin (SI) es la
desarrollada por la unin europea, en el seno del Itsec (Information Technology Security Evaluation
Criteria); un SI seguro previene la revelacin (confiabilidad) y la modificacin no autorizada
(integridad) de informacin , y permite el acceso (disponibilidad) a ala informacin y a los dems
recursos solamente a quien esta autorizado.
Diversos autores encuentran que estos tres elementos - confiabilidad, integridad y disponibilidad - ,
aunque fundamentales, no son suficientes, por lo que agregan las siguientes caractersticas;
Utilidad: sealado el hecho de que la informacin sea de inters para quien la usa.
autenticidad: focalizada esta caracterstica en que la informacin sea fidedigna y verdadera.
Propiedad: prueba de quien usa la informacin es su propietario y quien debe controlarla.
Las principales causas de problemas de seguridad son los accidentes internos y el aumento en los
puntos de acceso a la informacin. Estos problemas estn relacionados con modificaciones no
autorizadas a la informacin y acceso indebido. Como su frecuencia normalmente es alta, su
correccin produce un gran desgaste en las organizaciones, adems de malestar y perdida de
credibilidad en los clientes.
Por otra parte, segn la misma fuente, las medidas de control adoptadas por las organizaciones en
la utilizacin de programas. Como se vera mas adelante, aunque importantes, no siempre sirven
para alcanzar los niveles de confiabilidad ni de integridad deseable en la informacin critica.
Adicionalmente, es importante anotar que una buena parte de las tecnologas informticas surgen
en ambientes acadmicos donde el imperativo es la investigacin, no la seguridad, y por lo tanto
resulta prioritario compartir informacin y recursos: ejemplos importantes son el sistema
1

PREVENCION DEL RIESGO INFORMATICO EN ENTIDADES FINANCIERAS

operacional Unix e Internet , que se desarrollan para fines acadmicos e investigativos, y

posteriormente pasaron a la industria. En los casos los huecos de seguridad iniciales son
delicadas puertas traseras que pueden generar graves problemas si no se manejan
adecuadamente.
Por ultimo, es necesario agregar que adems de esta tecnologa estn las tendencias
organizacionales que busca adaptar a la organizacin a su nuevo entorno, dndole la flexibilidad
que necesita; tal es el caso de la reingeniera y el outsourcing. El pilar de la reingeniera es el
empoderamiento, pues de su manejo depende el xito o fracaso de una organizacin. El
outsourcing o externalizacin entrega a un tercero el manejo de reas, como por ejemplo redes,
centros de computo, etc., que son criticas para el logro de la confiabilidad, integridad y
disponibilidad de la informacin y dems recursos informticos sobre los que reposan los SI que
apoyan la misin de la organizacin. Si la externalizacin se mira exclusivamente desde la ptica
de disminucin de costos, la organizacin puede llegar a escoger un outsourcing inadecuado,
poniendo su sobrevivencia en peligro.
Es importante evaluar el riesgo inherente de las tecnologas, tanto informticas como
organizacionales, para tomar medidas que lo pongan en rangos aceptables para la organizacin, a
costos razonables.
ENTORNO DEL RIESGO INFORMATICO
El riesgo que corren las organizaciones ha aumentado debido a que, para lograr mayor
competitividad, han introducido nuevas tecnologas como herramientas de trabajo diario: en
particular, la informtica en pilar fundamental de diversos negocios, destacndose su uso en el
sector financiero. La computacin personal, las redes de comunicacin de datos (LAN, WAN),
nuevas herramientas de desarrollo de software y nuevas plataformas, clientes/servidor, la
introduccin de EDI y SAP tanto a nivel interorganizacional como internacional, son algunos de
los elementos que entran en el panorama de los cambios que implican nuevos riesgos.
Las organizaciones deciden adoptar estos nuevos elementos sin la creacin de la cultura de
seguridad, sin el entrenamiento adecuado de los usuarios y sin evaluar sus riesgos, entre los que se
destacan la manipulacin de datos para defraudar a la organizacin, la revelacin
accidental o intencional - de informacin sensitiva y la destruccin de activos que pueden causar
la interrupcin de servicios vitales para la organizacin.
Sin embargo, no todo es negativo dentro de este panorama : la tecnologa informtica provee
mecanismos que, bien usados, permiten colocar los riesgos en niveles aceptables para la
organizacin. Es responsabilidad de la gerencia adoptar y practicar medidas que creen una cultura
de seguridad necesaria y suficiente para garantizar la continuidad de la organizacin. Segn
Simons, el control de las organizaciones empoderadas debe basarse en tres pilare: valores, lmites
y alarmas. Los valores son el conjunto de principios que rigen todas las actuaciones de los
miembros de la organizacin, los lmites son el cdigo que indica hasta donde se puede llegar en lo
permitido y las alarmas son el conjunto de indicadores que sirven para monitorear las anomalas
en el comportamiento de los miembros de la organizacin. Ntese que el sistema de valores debe
estar presente en todas las actuaciones de los miembros de la organizacin, y en particular de la
alta gerencia; se puede pensar en modificar el adagio popular a el cura predica pero y es primero
que lo aplica. El sistemas de alarma se articula con los indicadores de gestin que reportarn los
problemas, de acuerdo con su naturaleza, al responsable adecuado.
Igualmente, el sistema de lmites debe estar apoyado por los SI dentro de los cuales se enmarca.
Parte de este apoyo consiste en mantener la informacin confiable, ntegra y disponible. Un
observador desprevenido puede sugerir que es suficiente con controlar la calidad de los datos que
ingresan al SI para lograr los dos primeros objetivos; esto seria suficiente si slo se permitiera el
2

PREVENCION DEL RIESGO INFORMATICO EN ENTIDADES FINANCIERAS

acceso a tales datos quien est autorizado para ello. Dado que el acceso a la informacin se hace
desde diversos puntos, muchos de ellos remotos, es necesario verificar que quien accede a la
informacin - el usuario - sea realmente quien dice ser. Adems, alguien podra modificar la
informacin trasmitida por el usuario hacia l, o simplemente copiarla. Sin medidas que eviten
estos problemas, no se puede asegurar que la informacin sea confiable o integra.
As mismo, cualquiera de las partes de este SI puede ser sealado o quedar fuera de servicio
temporal o definitivamente, perdiendo as disponibilidad. Es necesario proteger los componentes
del SI - datos, programas, equipos y medios de comunicacin - y preparar planes de contingencia
que ayuden a superar este tipo de problemas.
En los puntos de anteriores se encuentra que se debe tener un especial cuidado en los datos, las
comunicaciones y su entorno con el objeto de mantenerla confiable, ntegra y disponible, puntos
claves anteriormente definidos.

RIESGOS Y CONTROLES SOBRE DATOS

Los datos son el pilar fundamental de los SI. Si estos se corrompen, bien sea durante la captura o
manipulacin, los dems procesos que se lleven a cabo sobre ellos probablemente resultaran
incorrectos: se le puede negar a un cliente un servicio al que tiene derecho o drselo cuando no se
debe; en cualquiera de los dos casos, tanto la entidad como el cliente pierden. Impedir un retiro
habiendo fondos suficientes, no otorga un prstamo a quien tiene capacidad de pago, autorizar un
retiro sin fondos suficientes, o presentar un estado financiero que no corresponda a la realidad son
algunas acciones que pueden ser consecuencias de procesos ejecutados correctamente paro sobre
informacin incorrecta.
Los principales problemas de los datos son que estn incorrectos, que estn incompletos, que no se
ingresen cuando se debe, que se ingresen mas de una vez o simplemente que nunca se introduzcan.
Estos problemas pueden ocurrir durante el ingreso de los datos, por acceso no autorizado a los
mismos o a los progrmas, por anomalas en la comunicacin o por problemas en el entorno.
La calidad de la informacin ingresada es proporcional a la cercana entre el punto de captura y el
sitio donde se produce, a la facilidad de capturarla y a la validacin de que se haga en ese
momento. Respecto al primer punto, la informacin la debe introducir quien la produce y, sobre
todo, se debe evitar transcribirla porque, adems de ser una labor que no agrega valor,
normalmente aumenta los errores. El segundo aspecto se logra mediante el entrenamiento en el uso
de programas, mecanismos que se utiliza con frecuencia. Finalmente, es necesario validar la
informacin mediante el uso de diversas herramientas que, aunque sencillas, logran su cometido.
Entre las ms importante estn:
diseo de pantallas y formas (formatos): all se ingresa la informacin. Su diseo debe ser tal que
facilite el ingreso de los datos de manera coherente, que la informacin no sea ambigua y, en lo
referente a las formas, que los espacios sean adecuados; adems en el caso de captura con
mecanismos inteligentes, hay que verificar que sean de un tipo predeterminado. Algunos
contra ejemplos son: a) SEXO: M H; al autor le surgi la duda cuando llego este formato
(mujer? Hombre? ; Macho? hembra?) y an no se sabe si la informacin consignada es
correcta.
b) Demasiado espacio para datos que no lo necesitan - por ejemplo cinco
centmetros para la edad -, y muy poco para otros - cinco centmetros para el nombre o la
direccin -.
Limites de razonabilidad: consiste en verificar que los valores de ciertos campos sean lgicos. Por
ejemplo, que la fecha de una transaccin ya efectuada no sea posterior a la fecha actual, que el
salario este en un rango determinado, etc.
3

PREVENCION DEL RIESGO INFORMATICO EN ENTIDADES FINANCIERAS

Uso de datos permanentes maestros: permiten verificar que los datos ingresados corresponden a
una entidad u objeto reconocido y relevante para la organizacin. Por ejemplo, que la
identificacin del cliente, cdula o NIT, corresponda a un cliente ya existen, o si no que sea
ingresado como un nuevo cliente; en este caso, la numeracin de papelera evita introducir ms
de una ves un documento, ayuda a controlar que ingrese en el periodo contable respectivo o a
evitar que nunca se reporte.
Correlacin de datos: consiste en verificar la consistencia de unos datos basados en otros. Por
ejemplo, verificar que la identificacin del cliente sea la que le corresponde, que los descuentos
otorgados por pronto pago sean correctos, entre otros.
Balanceo: controla que los datos numricos sean correctos, mediante el uso asercin. Por ejemplo,
el valor total de la lnea de un pedido debe ser igual cantidad solicitada por el valor unitario del
producto, los dbitos a los crditos, etc.
Captura duplicada: refuerza el control anterior, solicitado ms de una vez la informacin crtica,
explcita o implcitamente, al usuario.
Dgito de control: especialmente til para asegurar que el identificador de un objeto o entidad est
correcto. Consiste en generar, mediante un algoritmo sencillo aplicado al identificador, uno o
dos dgitos que se conectan al identificador de; posteriormente se aplica el mismo algoritmo y
se verifica que le dgito o los dgitos de control sean iguales, y en caso de no ser as, se rechaza
el identificador.
Informes de control: aqu se reportan los totales manipulados en un periodo de tiempo. Por
ejemplo, total de transacciones de cada tipo, total dbitos de todas las transacciones.
Los problemas potenciales durante la captura de datos (incorrectos, incompletos, ingreso en otro
periodo, ingreso ms de una vez, no ingresado) se reducen con estos controles. As, un buen
formato mejora la calidad de la informacin mientras que el uso de lmites de razonabilidad evita
datos de errados
Por otra parte, aunque la informacin ingresada sea correcta, eventualmente no es procesada o su
procesamiento es incorrecto debido a una falla que hace que se pierda parte de toda la
informacin. Algunos mecanismos que ayudan a controlar estos problemas son el balanceo
programado, el control de accesos concurrente y la prueba de programas antes de ser puestos en
servicio e y despus de se modificados. Por insignificante que parezca la modificacin. El
balanceo programado sirve para verificar que, al finalizar el procesamiento, los datos
almacenados en el SI cumplan con una asercin global que establece su balance; una mayor
precisin en la asercin implica mejoras en la calidad de la informacin. As, el total de dbitos
iguales a crditos en cada transaccin.
Con alguna frecuencia se hace necesario llevar a cabo modificaciones en programas para
responder a cambios en el entorno: un nuevo requerimiento legal. Un nuevo servicio, una mejora
en los servicios actuales implican revisar y parchar uno o varios programas del SI. Esto se debe
hacer en un ambiente de prueba que simule el ambiente de trabajo normal de la forma posible, y
antes de ser puestos en servicio es perentorio verificar que el programa modificado funcione
correctamente. La carencia de un estricto protocolo de prueba de nuevos programas y de
modificaciones permite que el programador lleve a cabo mejoras no solicitadas; estas mejoras
eventualmente son caballos de Troya que al entrar en accin generan caos. Es relevante anotar que
con la prueba no se persigue pillar al programador delinquiendo, sino evitar que un programa
con errores, voluntarios o accidentales, sea puesto en servicio. Desafortunadamente el protocolo
de pruebas tiende a ser menospreciado por engorroso y poco productivo y se deja como
4

PREVENCION DEL RIESGO INFORMATICO EN ENTIDADES FINANCIERAS

responsabilidad de la persona que hace el cambio, quien, confiando en su trabajo, no detectar un

error accidental y menos an error voluntario. El valor de la prueba no es reconocido hasta por las
organizaciones hasta despus de un descalabro.
Teniendo controles que logran que la informacin sea procesada y almacenada correctamente,
basta asegurarse de que quien acceda a ella sea quien dice ser y que hace lo que puede hacer, no
otro tipo de labores. Esto implica controlar el acceso a la informacin y dems recursos
computacionales.

RIESGOS DE ACCESO A LA INFORMACION

Trabajando sobre el dispuesto de que el proceso es correcto, hay que controlar el acceso a los
datos con el fin de evitar su manipulacin para defraudar a la organizacin, su revelacin
accidental o intencional o su destruccin.
Se vuelve clave autentificar y autorizar al usuario. Autenticar es verificar que el usuario es quien
dice ser y autorizar es permitir a un usuario autenticado la utilizacin de los recursos a los
recursos a los que tienen derecho en la forma adecuada. Los mecanismos de autenticacin de
usuarios varan de acuerdo con el nivel de riesgo involucrado; entre los ms empleados estn.
Control fsico de acceso mediante el uso de llaves, tarjetas magnticas o mecanismos similares.
Control lgico de acceso: el ms conocido de todos es el uso de parejas identificacin/claves,
frecuentemente combinado con men de funciones.
Control de intentos fallidos.
Por su parte, la autorizacin se implementa mediante el uso de reglas especificas cuyo objetivo es
forzar la confidencialidad y el uso restringido de los datos otorgando o negando privilegios para
leer, modificar, crear o borrar datos a cada usuario. Esto implica un proceso de administracin
que define, mantiene y retira usuarios, recursos y privilegios, plasmando las reglas y polticas del
negocio en el SI, cuyas labores bsicas son:
definir los derechos de los usuarios o grupos de usuarios sobre los datos del SI.
Autenticar al usuario y verificar su derecho para autorizar o negar el acceso a los datos.
Registrar los incidentes de seguridad y el proceso administrativo: creacin/destruccin de usuarios
y cambios en los derechos de acceso.
registro de acciones en forma selectiva para su monitoreo y control.
proteccin de claves : forzar su uso, definir su vigencia y estructura, y almacenarlas encriptadas.
Con frecuencia estas labores se centralizan y la informacin de los cambios llaga eventualmente
tarde al responsable. White y Farrel propone hacer reingeniera a la administracin de seguridad
colocando las tareas de seguridad ms cerca de los sitios que generan la informacin. En algunos
casos las propuestas no pueden implementarse por restricciones legales o por polticas
organizacionales, pero igualmente es interesante estudiar su propuesta.

RIESGOS DE CONTROLES DE COMUNICACION

5

PREVENCION DEL RIESGO INFORMATICO EN ENTIDADES FINANCIERAS

El uso masivo de redes de comunicacin en que viajan todo tipo de datos es una realidad
empresarial; los riesgos asociados al uso de las redes van desde la revelacin hasta la prdida de
informacin., pasando por la alteracin de la misma y la introduccin de la informacin por parte
de alguien no autorizado. Estos riesgos han sido magnificados en ambientes como Internet, donde
no existe un propietario o administrador de la red que se encargue de su regulacin.
En las redes de rea local (LAN), el control se puede basar en el resguardo fsico de los
componentes de la red y el monitoreo y control de los parmetros del sistema de comunicaciones.
Con esto slo se logran confiabilidad y la integridad de la informacin sino que se aumenta el
nivel de disponibilidad de las comunicaciones, Pero en las redes de rea amplia (WAN), no se
puede usar el regulador fsico como nico pilar de seguridad por la dificultad y costo, cuando es
posible; en particular en las redes broadcasting esto no es suficiente, pues cualquier escucha bien
localizado puede captar los mensajes. La seguridad en este tipo de red se complementa con
criptografa y, en el caso de Internet, con el uso de firewalls.
el mensaje de no ha sido alterado durante la transmisin, ya que de ser as el mensaje descifrado
resultara incomprensible.
El emisor es quien dice ser, puesto que si usara una llave diferente de la suya para cifrar el
mensaje, al descifrarlo se llegara nuevamente incomprensible.
Un mensaje se puede descifrar sin conocer la llave ; basta saber el mtodo adecuado y ensayar
todas las llaves posibles. Si se trabaja con una llave binaria de longitud n hay que hacer 2n
ensayos, y para una llave n +1 se necesita el doble de ensayos; llaves de longitud razonable, por
ejemplo 120, tomaramos varios aos ensayar todas las claves, una a una a razn de diez
nanosegundos (10 a la -9 segundos) por llave. Entonces la seguridad est basada en el uso de
discrecional de la llave, no en la ignorancia del mtodo de ciframiento. Algunos de los de los
algoritmos ms conocidos son:
Llave privada compartida, en el que cada uno de los usuarios tiene una llave conocida por l y por
el receptor; esto implica un manejo bastante completo de llaves cuando aumenta el nmero de
participante.
Llave pblica, en el que cada usuario tiene una llave privada con la que cifra sus mensajes, y una
llave pblica, con la que se descifran sus mensajes. Una de las versiones ms conocidas es el
RSA, cuya patente expira en septiembre del 2000.
Con Internet se agravan los problemas de revelacin. Como propuestas de seguridad surgen los
firewalls, sistemas, computador y programas dedicados a capturar y bloquear el paso de
informacin no autorizada entre una red interna e Internet o cualquier otra red externa. Este es un
computador colocado entre las redes internas y externa (Internet), que examina la informacin que
fluye entre ellas para determinar si su paso es permitido o no, segn reglas definidas
Finalmente es indispensable que exista una cultura organizacional, en la que el usuario sea
responsable del manejo discrecional de las claves. No son pocos los casos de usuarios que
guardan juntas su identificacin y su clave, que usan claves fciles de deducir o que no las
cambian nunca, por mencionar los lugares comunes ms frecuentes.
RIESGOS Y CONTROLES SOBRE EL ENTORNO
Los riesgos en el entorno se refieren en especial a amenazas, fortuitas o intencionales, que pueden
daar, temporal o definitivamente, el SI o alguna de sus partes, impidiendo su correcto
6

PREVENCION DEL RIESGO INFORMATICO EN ENTIDADES FINANCIERAS

funcionamiento y por tanto afectando su disponibilidad. Algunos de los controles que disminuyen
este tipo de riesgos son:
Resguardo y control de acceso fsico a los recursos computacionales, para prevenir su deterioro o
prdida.
Planeacin de contingencias, con el fin de preparar estrategias para presentar los servicios
mientras se trabaja en regresar al estado normal. El manejo de BACK - UP de datos y
programas, que sirven para recuperar la informacin en caso de prdida o dao.
Servidores duales, que entren a prestar servicio mediante en caso de contingencia en los datos o
programas del SI.
Cuando una de las mejoras en la seguridad tiene implicaciones y costos que deben estudiarse para
decir en que momento y en que casos usarla. Polticas demasiado rgidas desmotivan el uso de los SI,
y muy laxas disminuyen la calidad de la informacin y a la vez permiten su abuso.

EXPERIENCIAS Y CONCLUSIONES
La principal causa de los problemas de seguridad son los fraudes cometidos por empleados, y entre
estos el ms frecuente es la modificacin indebida de programas. Una solicitud en este sentido
implica tomar la ltima versin, modificarla, aprobarla y colocarla en servicios. Cuando el protocolo
de modificacin de programas se relaja, se vuelve una responsabilidad secundaria del programador
encargado de la aplicacin ; la prueba se minimiza con el objetivo de no causar traumas y de
focalizar el sitio del cambio. Se ocasiona un problema cuando por descuido se toma una versin
diferente de la actual, ya que el cambio puede dejar por fuera
las modificaciones anteriores. Otro problema ms grave sucede cuando el programador no se limita a
las modificaciones demandas, sino que hace mejoras adicionales. En alguna ocasin en una
entidad financiera se solicit cambiar el valor cobrado por transaccin del cajero automtico ; la
modificacin, bastante sencilla, se hizo con rapidez, se prob el cambio con unas pocas transacciones
y se puso en servicio al comienzo de un largo puente. El programa qued con una mejora adicional,
mediante la cual todas las transacciones llegaban como aprobadas al cajero electrnico. Se hicieron
retiros por montos importantes en diferentes lugares del pas hasta que la entidad se percat del
problema, despus de terminado el puente.
Otro problema frecuente es el de los clientes que copian la clave junto a sus tarjetas de crdito y/o
dbito a pesar de las campaas publicitarias que advierten sobre el inoportuno de esta accin ; el
nmero de defraudaciones por esta causa es alto y la falta de colaboracin de los clientes, es
asombrosa.
El uso de nuevas tecnologas en el diario quehacer de las organizaciones es imperativo en una
economa competitiva y abierta, pero su adopcin implica riesgos. La seguridad se ha vuelto
importante, pero esto se tiende a que los problemas planteados tengan soluciones basados en la
misma tecnologa ; sin embargo, hay que generar conciencia sobre la importancia de la seguridad
dentro de las organizaciones y desmotivar los intentos de fraude. Esto implica una educacin de los
usuarios y de los clientes, liderada por la alta gerencia ; dejar la responsabilidad de la seguridad en el
rea de sistemas es un despropsito. Lo ms importante es recordar que una gerencia que no
practique la seguridad y que no acta de acuerdo con el cdigo de tica de alto nivel, no debe esperar
que sus empleados sea mejor que ella.