Gerencia Corporativa de Riesgos

From archive: June 2020

Riesgos de mercado-liquidez en la atención de la pandemia COVID-19

Ivan Alfaro Villalobos Tags: riesgo_mercado riesgo_de_liquidez ‎ 1 Comment ‎ 83 Views

Riesgos de mercado-liquidez en la atención de la pandemia COVID-19

La pandemia del virus SARS-CoV-2 ha causado una crisis sanitaria sin precedentes, con afectaciones directas en la economía. De acuerdo con un estudio realizado por Moodys, la mayoría de las economías a nivel mundial han entrado en recesión, lo que aumenta la exposición a riesgos de las entidades financieras a nivel mundial.

Fuente: Moody´s Analytics

El Banco de Costa Rica ha tomado acciones para fortalecer su solidez y por tanto, proteger el valor de sus activos y los de sus clientes. Como parte de la gestión de riesgo de mercado, se ha optado por mantener posiciones en instrumentos financieros a corto plazo, lo que minimiza el riesgo de precio y además, fortalece la posición de liquidez de la entidad. Esta gestión ha priorizado instrumentos financieros de alta bursatilidad o que sirvan como garantía en el Mercado Interbancario de Liquidez (MIL); por otro lado, el Banco ha accedido a préstamos con organismos multilaterales, para fortalecer su colchón de liquidez en dólares. Estas acciones se han llevado a cabo con la finalidad de fortalecer la estructura financiera de la entidad, en caso de que sean requeridos mayores niveles de liquidez para cubrir sus obligaciones.

La Gerencia de Riesgo y Control Normativo ha implementado un monitoreo diario de las principales variables e indicadores de riesgo del Banco, de forma que se puedan tomar acciones anticipadas ante la materialización de riesgos producto de la crisis por Covid-19.

Ciberseguridad y gestión de Riesgos

Ivan Alfaro Villalobos Tags: riesgo_ti ciberseguridad riesgos_no_financieros ‎ 1 Comment ‎ 127 Views

Ciberseguridad y gestión de Riesgos

Conceptos relacionados a la ciberseguridad y al riesgo

Ciberseguridad o Seguridad del ciberespacio: se define como la protección de la privacidad, integridad y accesibilidad de la información de datos en el Ciberespacio. ¹

Ciberespacio: es un entorno complejo que consta de interacciones entre personas, software y servicios destinados a la distribución mundial de información y comunicación. ¹

La Organización Internacional de Normalización (ISO por sus siglas en inglés) creó el estándar ISO/IEC 27032 para la ciberseguridad, con la cual se pretende garantizar la seguridad en los intercambios de información en la red, que puede ayudar a combatir el cibercrimen con cooperación y coordinación entre las partes involucradas.

Activos de información: Es cualquier información o sistema relacionado con el tratamiento de la misma que tenga valor para la organización, pueden ser procesos de negocio, datos, aplicaciones, equipos informáticos, personal, soportes de información, redes, equipamiento auxiliar o instalaciones. Es susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. ²

Ciberriesgo: es una combinación de riesgos que pueden causar daños materiales, pérdidas, daños en intangibles (datos, información, sitios webs, propiedad intelectual, dominios) y daños a terceros en los que entra en juego la responsabilidad civil e incluso penal. ²

Ciberdelincuencia: cualquier tipo de actividad en la que se utilice Internet, una red privada o pública o un sistema informático doméstico con objetivos como destruir o dañar ordenadores, medios electrónicos y redes de Internet. ²

Amenazas: Circunstancia desfavorable que puede ocurrir y que cuando sucede tiene consecuencias negativas sobre los activos provocando su indisponibilidad, funcionamiento incorrecto o pérdida de valor. Una amenaza puede tener causas naturales, ser accidental o intencionada. Si esta circunstancia desfavorable acontece a la vez que existe una vulnerabilidad o debilidad de los sistemas o aprovechando su existencia, puede derivar en un incidente de seguridad. ²

Vulnerabilidades: Fallos o deficiencias de un programa que pueden permitir que un usuario no legítimo acceda a la información o lleve a cabo operaciones no permitidas de manera remota. Una debilidad inherente de la plataforma tecnológica que la hace susceptible a que un ataque sea exitoso. ²

Controles: conjunto de acciones, priorizadas, ampliamente analizadas y de efectividad probada que pueden ser tomadas por la organización para mejorar su nivel de ciberseguridad. ²

Cibercrimen: actores individuales o grupos que dirigen ataques a sistemas para obtener ganancias financieras.²

Ciberguerra: recopilación de información con motivaciones políticas. ²

Ciberterrorismo: el propósito es comprometer los sistemas electrónicos y causar pánico o temor. ²

Marcos de referencia

ISO 27032: es la norma que proporciona algunas guías para la implementación segura, confiable, eficaz, eficiente y de respuesta a incidentes cibernéticos. En este se incluyen elementos como: políticas, métodos y procesos, personas y controles de gestión, y controles técnicos.

NIST: concebido bajo las premisas de identificar las normas y directrices de seguridad aplicables en todos los sectores de infraestructura crítica, proporcionando un enfoque flexible y repetible, que permite la priorización de actividades y apunta a obtener un buen rendimiento de las infraestructuras, manteniéndose rentable para el negocio. ³
Cobit 5: se plantea la idea de que la seguridad de la información es una disciplina transversal, por lo que se consideran distintos aspectos de protección de datos en todas las actividades y procesos llevados a cabo por la empresa. Se puede utilizar como complemento, una guía básica para definir, operar y monitorear un sistema de gestión de seguridad, considerando: APO13: Gestión de la seguridad, DSS04: Gestión de la continuidad, DSS05: Gestión de servicios de seguridad. ⁴

Partes involucradas

Dentro del ciberespacio todo el mundo participa, para los fines del ISO 27032, las partes interesadas en el ciberespacio son los siguientes grupos: consumidores, individuos, organizaciones y proveedores.

La ISO 27032 define los siguientes roles para las partes interesadas:

Roles de los consumidores	Roles de los individuos	Roles de las organizaciones	Roles de los proveedores
Son grupos que pueden transmitir y recibir información específica dentro del ciberespacio.	Pueden ser: usuarios de aplicaciones, compradores o vendedores, blogger, entre otros.	Las organizaciones usan el ciberespacio para mostrar los fines de la empresa y los servicios que prestan.	Proveen información de manera directa a los consumidores o por otros medios dispuestos en el ciberespacio.

Nuevo enfoque en controles de ciberseguridad

Según la ISO/IEC 27032 se deben establecer controles técnicos de ciberseguridad sobre los siguientes elementos:

Malware
Ataques de ingeniería social
Ataques de sitios Web
Hacking
Software malicioso (malware)
Spyware
Redes zombies
Daño físico, robo o pérdida
Amenazas internas
Fuga de información
Robo de identidad
Suplantación de identidad (phising)
Spam
Ranzonware
Kits de explotación
Espionaje cibernético
Otros programas no deseados

Los métodos comunes que usan los ciberatacantes para controlar las computadoras o redes incluyen virus, gusanos, spyware y troyanos. Los virus y los gusanos se pueden autorreplicar y dañar archivos o sistemas, en tanto que el spyware y los troyanos a menudo se utilizan para la recopilación de datos. En general, un usuario promedio entra en contacto con código malicioso a través del archivo adjunto de un correo electrónico no solicitado o cuando descarga programas que parecen legítimos, pero de hecho contienen una carga de software malicioso (malware).

Concientización y capacitación

Un elemento importante dentro de la ciberseguridad son las personas, las cuales deben empezar a formar una consciencia de los riesgos y buscar los medios para comprender y desarrollar (hasta donde les sea posible) destrezas y habilidades para responder antes esos riesgos, y definir acciones para mitigarlos.

Gestión de riesgos

La gestión de riesgos es fundamental dentro de esta situación del ciberriesgo y ciberespacio, ya que ayuda a contextualizar las posibles amenazas, vulnerabilidades, riesgos y posibles criterios de aceptación, en pro de mejorar la seguridad y definir de controles sobre los elementos determinados como riesgos. Para ello se puede hacer mención de la ISO 31000 como norma de apoyo para la implementación del análisis y gestión de riesgos.

Para mejorar el estado de la ciberseguridad, las partes interesadas en el ciberespacio tienen que desempeñar un rol activo en su respectivo uso y desarrollo de la ciberseguridad.

Dentro de la exposición que existe la organización define el modelo de negocios en función de estrategias, procesos, tecnología y recurso humano, entre otros elementos, donde se tiene que tener conciencia de los riesgos que pueden toparse en el camino que no permitan o minimicen el logro de los objetivos. Por lo que es importante darle a la gestión de riesgos el valor y peso dentro de la organización, para permitirle transformar riesgos en oportunidades de mejora o aminorarlos.

Dentro del ámbito de la ciberseguridad se debe tener en cuenta, el proceso, donde el inicio es la realización de un análisis de riesgos, auditorías de su seguridad y revisión de procesos, para poder definir un plan de trabajo que incluya acciones de mitigación al riesgo junto con un plan de continuidad de negocios como parte de un sistema de gestión en seguridad a la información.

Referencias:

1. Organización Internacional de Normalización (ISO por sus siglas en inglés), https://www.iso.org/standard/44375.html

2. Instituto Nacional de Ciberseguridad (Incibe-España), 2017, https://www.incibe.es/sites/default/files/contenidos/guias/doc/guia_glosario_ciberseguridad_metad.pdf

3. Almagro, Luis, 2019, Ciberseguridad: Marco Nist (Un abordaje integral de la Ciberseguridad), https://www.oas.org/es/sms/cicte/docs/OEA-AWS-Marco-NIST-de-Ciberseguridad-ESP.pdf

4. SGSI: Blog especializado en Sistemas de Gestión de Seguridad de la Información, 2018, https://www.pmg-ssi.com/2018/12/como-se-relaciona-cobit-5-y-la-seguridad-de-la-informacion/

Creación de la Unidad Cumplimiento Normativo

Marianela Orozco Castro Tags: riesgo cumplimiento_normativo ‎ ‎ 63 Views

La Junta Directiva en la Sesión 43-19 del 25 de setiembre de 2019 aprobó la creación de la Unidad de Cumplimiento Normativo.

Modified on by Marianela Orozco Castro

Origen del riesgo de liquidez

Ivan Alfaro Villalobos Tags: riesgo_de_liquidez; riesgos_financieros ‎ ‎ 33 Views

Protocolo de Contingencia en las Oficinas Comerciales

Yanna Ruiz Cruz Tags: fallas_sistemas falla_eléctrica ‎ ‎ 50 Views

Protocolos de Contingencia en las Oficinas Comerciales

El Protocolo de Contingencia para Oficinas Comerciales, contiene un conjunto de reglas de formalidad para el encargado de oficina y sirve para abordar diferentes escenarios de contingencias que se pueden presentar, entre ellos:

Fallas de sistemas.
Fallas de comunicación.
Fallas de servicio eléctrico.

Esta guía considera el antes, durante y después de una interrupción, dado que previamente debemos estar preparados para responden en cualquier eventualidad y unas vez finalice el evento se debe saber cómo reanudar la operación normal.

Por lo que se les insta a revisar el documento publicado y tenerlo presente para una eventual contingencia. El paso a paso de esta guía se puede ubicar en el DOCUBCR Protocolos de contingencias en las oficinas comerciales (B-25-20)

Modified on by Yanna Ruiz Cruz

Feed for Blog Entries Feed for Blog Comments

Communities