Llegamos a ustedes gracias a:



Columnas de opinión

Gestión efectiva de Riesgos: El detalle cuenta

Por: Carlos Villavicencio, especialista en el área de TI

[01/08/2011] Entendemos como riesgo a toda potencial explotación de una vulnerabilidad de un activo, es decir de una debilidad en su seguridad. A más vulnerabilidades, mayor es la probabilidad que un evento ocurra contra dichos activos e impacte negativamente en la operatividad y los objetivos de la empresa.

Hoy en día los temas regulatorios toman cada vez más fuerza en el ámbito financiero, industrial, y en general en todo sector empresarial. Antecedentes sobran, desde episodios fraudulentos como el caso Enron -cuyo fraude empresarial catalogado como el más grande de la historia llevó a crear la Ley Sarbanes Oxley-, hasta los dos atentados del World Trade Center donde compañías que no tenían esquemas efectivos para la recuperación de desastres desaparecieron del mercado prácticamente en horas. Solo en el atentado de 1993, 150 compañías cesaron sus funciones por no tener un plan de contingencia. En el Perú también han sucedido eventos que evidenciaron la falta de gestión de riesgos en empresas importantes. Es por eso que hoy existen normas regulatorias -sobre todo para las que brindan servicios básicos o públicos- que exigen a las compañías contar con gestión de riesgos y planes de recuperación de desastres.
Cuando escuchamos las palabras riesgo, amenaza, vulnerabilidades, lo más probable es que pensemos de inmediato en incendios, terremotos o atentados. Es decir, en desastres. Pero los riesgos deben ser evaluados no solo pensando en un desastre, sino a todo nivel y detalle.
En el caso de los activos de TI debemos pensar en confidencialidad, integridad y disponibilidad. La información debe ser accesible solo por el personal indicado. Esto lo autoriza el dueño de la información. TI es el custodio y administrador de los activos donde residen los datos, pero no es el dueño de la información. El verdadero responsable y decisor es el gerente del área correspondiente, que puede ser un gerente de negocio, un CFO, un gerente de Gestión Humana, etc. Ellos son los que definen el nivel de confidencialidad y el uso que se le debe dar a su información.
En el caso de la integridad de la información, TI debe resguardar la veracidad de esta en todo sentido. Tanto a nivel referencial de base de datos -donde éstos deben ser siempre válidos- como a la protección de la información ante modificaciones erróneas, intencionadas o no.
Finalmente, TI debe asegurar que los usuarios tengan acceso a su información a través de los recursos asociados cuando lo requieran. Mantener la disponibilidad de los recursos de información es parte de la misión del equipo de TI. Y en ese sentido hablamos de disponibilidad tanto para los usuarios internos como para los clientes externos. Un módulo de Logística de un sistema ERP que no muestre los datos de stock de una empresa distribuidora, puede afectar directamente en sus ventas. Un sistema de banca por Internet que no esté disponible los 15 y 30 de cada mes implicará fuertes riesgos de reputación, operacionales y comerciales.
Para la administración efectiva de los riesgos de TI, antes de empezar con cualquier evaluación, se debe asegurar el involucramiento y apoyo total de las gerencias de primera línea. Como en toda iniciativa de TI, es esencial el patrocinio del gerente general y las gerencias centrales. Una vez que se cuenta con este apoyo, se pueden empezar los procesos de evaluación, identificación y control de cada riesgo.
Por lo general, las metodologías de gestión de riesgos se basan en la identificación de amenazas y vulnerabilidades, la clasificación de estas, su probabilidad, los posibles impactos, definición de controles para mitigar los riesgos y lo planes de acción en caso que eventualmente se den. Estando los procesos en constante evolución, dichas revisiones deben ser periódicas a fin de verificar la efectividad de los controles, o encontrar cambios en las condiciones que puedan llevar a modificaciones en los planes de acción.
Ahora bien, como lo mencionaba, una tendencia que tienen muchos usuarios, e incluso responsables del análisis de impacto en TI, es la de relacionar dichas amenazas con eventos de desastres, o con incidentes que implican la indisponibilidad total de un servicio. Pensemos, por ejemplo, en el análisis de riesgos que se realiza en un banco al que llamaremos Banco del Sur, el cual está enfocado en la banca personal. Sus cajeros y agencias son muy importantes para brindar un servicio eficiente. El gerente de Operaciones consciente de esto, sabiendo incluso que la SBS exige tener un Sistema de Gestión de Seguridad de Información, basado en la circular N° G-140-2009, participa en los análisis de impacto de los servicios de TI. En cada reunión de análisis participan el sub gerente de Producción TI con su equipo de especialistas, el Oficial de Seguridad de Información (que reporta a una gerencia central de Riesgos), el gerente de Operaciones del Banco del Sur, con un equipo seleccionado de administradores de agencias de diferente ubicación y tamaño.
Los resultados de estas reuniones generaron definiciones de riesgos y controles para los diferentes sistemas y recursos críticos de TI: La aplicación de terminales financieros, los sistemas de plataforma, la red de comunicaciones hacia el datacenter, el Internet, la base de datos central, los equipos de red de cada local, los niveles de servicio en los contratos con los proveedores, todo parecía estar bajo control. Para todo recurso crítico en el datacenter se había previsto un plan de acción, y si los análisis de punto objetivo de recuperación (RPO) y tiempo de recuperación (RTO) exigen que dichos recursos cuenten con soluciones de alta disponibilidad, ya contaban con éstas o los planes de implementación estaban en proceso.
Ocho meses después, el Banco del Sur ya contaba con servidores en cluster, equipos de almacenamiento en disco replicados, líneas redundantes de comunicación entre sus principales sedes. Todos los sistemas habían sido actualizados con las correcciones y parches que los proveedores indicaron para reforzar la seguridad y aumentar la disponibilidad. De las 80 agencias a nivel nacional, 50 son de formato pequeño donde solo hay 5 ventanillas y una oficina de plataforma. En estas últimas solo se contaba con una impresora de contratos de nuevos clientes. Dicha impresora es un modelo peculiar de tres años de antigüedad en promedio, y el programa que permite la impresión requiere de un driver particular en la PC del administrador de plataforma. Sin este la impresora no funciona. Este programa es parte de uno de las pocas aplicaciones antiguas o legacy que aún quedan en producción. A pesar de ser antigua, la aplicación había pasado sin problemas las pruebas de compatibilidad de año 2000 por lo que no fue necesario hacerle un reemplazo o rediseño. La adaptación de dicho driver a nuevos modelos de impresoras es algo engorrosa, pero el programador que lo conocía a fondo era hábil y no había tenido problemas anteriormente. Sin embargo el responsable de dicha aplicación en TI ya tenía en la mira la renovación total de la solución para el 2011, proyecto que no se había iniciado aún por prioridades de otros requerimientos.
El 6 de diciembre del 2010, el Banco del Sur lanzó una campaña de cuentas de ahorros con costo de mantenimiento cero, acompañado de un anuncio de regalo de un muñeco Papa Noel para todos los que abrieran cuentas para sus hijos. Muchas agencias recibieron a padres acompañados de sus hijos de inmediato, ya que la promoción era limitada de acuerdo a stock de los regalos. El martes 7 de diciembre la agencia de la avenida Pardo en Miraflores ya tenía a tres padres en espera a primera hora de la mañana. Sin embargo, justo ese día la única impresora que podía generar los contratos de nuevas cuentas, manejada por la aplicación mencionada, falló desde el inicio, quedando completamente inoperativa la opción de cerrar el contrato. La agencia ya se había comunicado con el área de Help Desk de TI, y el ejecutivo de atención que le atendió le había comunicado que antes de dos horas le enviarían la impresora en reemplazo. Dicha respuesta fue en realidad automática, pues en la práctica el ejecutivo de atención sabía que el tiempo máximo de reemplazos de dichos equipos era de dos horas y el proveedor de TI responsable tiene un almacén en Miraflores. Lo que el ejecutivo ignoraba era que en este caso dicho modelo de impresora ya era antiguo y el stock era muy limitado, por lo que no estaba en todos los almacenes con el que el Banco trabajaba y podía demorar mucho más.
Para el mediodía muchas familias habían agotado su paciencia esperando a abrir la cuenta respectiva. La agencia más cercana era una sucursal grande que por lo general tenía muchos clientes y las colas eran largas, por lo que muchos padres no quisieron perder el tiempo trasladándose hasta dicha sede y descartaron la idea de abrir una cuenta.
El gerente de Operaciones fue informado de este episodio. La impresora de reemplazo llegó al día siguiente a la agencia. Durante ese tiempo 23 cuentas no pudieron abrirse. Las pérdidas económicas no fueron muy grandes, pero hubo otros daños. El gerente recordaba las naturalezas de impacto que habían evaluado cuando se reunieron para hacer los análisis. La pérdida financiera no había sido significativa esta vez. La disminución del rendimiento, si bien no fue evidente a nivel total del banco, sí lo fue para dicha agencia. El daño a la reputación fue otra historia. Dio la casualidad que uno de los clientes que quiso abrir una cuenta ese día era periodista y tenía un espacio radial relacionado a temas de negocios y satisfacción del consumidor. Obviamente, el episodio en la agencia fue tema de uno de sus programas, donde no tuvo reparo alguno en expresar todo su malestar, sobretodo porque le comunicaron que regresara en una hora y lo hizo (confiados en que la impresora de reemplazo llegaría), pero le dijeron que volviera en dos horas más, lo cual también hizo y recibió solo unas disculpas por el impase.
El gerente de Operaciones tuvo una extensa reunión con el gerente de Riesgos y el gerente de TI. Sin ánimo de buscar culpables, se enfocaron en encontrar qué errores habían cometido, y como corregirlos. ¿Por qué sucedió algo así, habiendo hecho los análisis de impacto de negocios respectivos y los análisis de riesgos? Llegaron a la conclusión que se habían enfocado mucho en los componentes centrales, en encontrar los sistemas que requerían de alta disponibilidad. Todo bajo una premisa de qué hacer en caso de un desastre. Más no habían analizado los detalles de cada servicio. Es muy importante contar con una malla de componentes, donde se ilustren las dependencias que tiene cada proceso operativo, el cual está apoyado por aplicaciones (ERP, CRM, SW inhouse), las cuales a su vez dependen de servicios TI (BD, servicios de red, servicios de autenticación, etc.), los cuales se ejecutan a través de componentes de infraestructura (servidores, estaciones, routers, impresoras, etc).
Teniendo identificadas todas estas dependencias, y estando dichos diagramas en conocimiento de todos los involucrados, se podrá tener una gestión de riesgos más completa. Imaginemos que en vez de la impresora de una agencia bancaria, se tratase de la única impresora de facturas de una compañía, o de la única impresora en un proceso operativo de una fábrica, la cual no necesariamente se encuentra en el data center sino más bien en la planta. Se puede detener toda la producción o la venta de una empresa. Y es un incidente que no está relacionado a un desastre natural, incendio o atentado alguno. Los riesgos deben ser evaluados no solo pensando en un desastre, sino a todo nivel y detalle.
CIO, Perú
Carlos Villavicencio es un especialista en el área de TI que laboró por once años en el BCP donde llegó a obtener hasta una jefatura en Producción de Sistemas, seis años en TIM/Claro llegando a la gerencia de Operaciones y Soporte TI, y los últimos tres años se desempeñó como Gerente de TI en Hermes.