La Tecnología de la Información (TI) ha sido determinante en el desarrollo de la intermediación financiera, definitivamente constituye uno de los pilares en los que se fundamentan las estrategias de las entidades del sector financiero. Con el uso de esta tecnología, se hace necesario garantizar los objetivos de la seguridad de la información (confidencialidad, integridad y disponibilidad), ante los diversos riesgos a los que se exponen las entidades, según sus estrategias, plataformas, equipos, servicios, proveedores y otros aspectos relacionados con la tecnología de la información.
Un control es lo que utilizamos para mantener los riesgos en niveles aceptables para la entidad. En un enfoque basado en riesgo, la gestión deberá procurar que los seleccionados sean los justos para los riesgos identificados. En ningún caso debe tratarse de cantidad (no aplica la expresión de “mientras más, mejor”), sino de qué tan efectivos deben ser los controles, partiendo de la base del apetito de riesgo que ha definido la entidad.
Diseño del control
El costo de un control es uno de los aspectos para considerar en el proceso de su diseño. La implementación, gestión y evaluación de los controles requieren, de manera directa o indirecta, el uso de recursos económicos. En ese sentido, es apropiado señalar que los costos de un control no deberían ser mayores al costo de la potencial pérdida que provocaría la materialización del riesgo que se pretende mitigar, pues “sería más la sal que el chivo”. No obstante, cuando la potencial pérdida atenta contra aspectos fundamentales para la existencia de una entidad de intermediación financiera, como es el caso de la reputación, es difícil poder establecer un tope a los recursos económicos destinados a mitigar esta clase de riesgos.
Por la acción sobre el riesgo, los controles pueden ser clasificados en preventivos, detectivos, disuasivos, correctivos y compensatorios. La naturaleza humana nos motiva, por lo general, a considerar que los de acción preventiva deben ser la mayoría en nuestro ambiente de control. Sin embargo, la buena gestión del riesgo tiene como característica que, aun sin desconocer las lecciones aprendidas de experiencias previas, siempre se debe evaluar el contexto. Ese contexto incluye los aspectos legales, normativos, contractuales, estratégicos, operacionales, financieros, del entorno (social, físico, económico) de la entidad, así como las amenazas (internas y externas) a las que puede estar expuesta.
En un determinado contexto, aspectos operacionales de la entidad podrían limitar su capacidad o disposición de implementar un control preventivo sobre un riesgo específico, (para reducir su probabilidad de ocurrencia) o de elegir uno correctivo (a los fines de reducir el impacto derivado de la materialización del riesgo). De igual manera, el costo de prevenir un determinado riesgo puede ser alto, y considerando que haya sido estimado con poca probabilidad de ocurrencia, la entidad podría preferir un control detectivo, en lugar de tratar de disminuir su ocurrencia. El control detectivo deberá procurar la notificación oportuna a uno o varios recursos (humano, tecnológico -un sistema de información, etc.) con la finalidad de que sean ejecutadas acciones correctivas sobre el proceso de materialización del riesgo. Por su lado, los controles disuasivos tienden a persuadir a los humanos de no ejecutar una acción que se considera de impacto negativo para un objetivo. No obstante, podrían considerarse como poco utilizados en la gestión de riesgo tecnológico. Sin embargo, cuando forman parte de un entorno de control que incluye la concienciación de los colaborades de la entidad, los controles disuasivos alcanzan su objetivo con más facilidad.
Algunos marcos de trabajo incluyen el concepto de controles compensatorios. El Instituto Nacional de Estándares y Tecnología de los Estados Unidos (NIST, por sus siglas en inglés) define este tipo de control como aquellos que son alternativos y están diseñados para lograr, lo más cerca posible, el objetivo de otros controles que por alguna limitación del entorno no pueden ser ejecutados.
Por la naturaleza de su ejecución, los controles pueden ser clasificados en manuales, automáticos y semiautomáticos. El control de naturaleza manual tiene su fortaleza en lo competente que sea el recurso humano que lo ejecuta, tienden a una mayor probabilidad de no lograr su objetivo (riesgo de control) que los de naturaleza automático. Sin embargo, suelen ser de menor impacto que estos últimos. La fortaleza de los de naturaleza automática está en un diseño e implementación adecuada, permitiendo que sea menos probable que presenten riesgo de control. Sin embargo, su impacto tiende a ser significativo para la entidad. Por ejemplo: durante la ejecución de un control manual, el colaborador con buenas competencias tendrá mayor probabilidad de cometer errores que un sistema de información con un control automático adecuadamente diseñado e implementado. No obstante, el riesgo del control sobre el automático afectaría a toda la población evaluada desde el inicio de la falla del control provocando un impacto mayor al resultante de una falla de un control manual.
Los controles semiautomáticos incluyen las ventajas y desventajas de los otros dos tipos de control; de manera que de no ser gestionados adecuadamente (capacitación para los recursos humanos que participan en ellos, buen diseño e implementación, y una adecuada y oportuna evaluación), estos pueden generar una falsa sensación de buena gestión de los riesgos, que daría como resultado una mayor probabilidad de ocurrencia e impactos significativos para la entidad.
En adición a los costos, tipo de acción sobre el riesgo, la naturaleza de su ejecución y demás aspectos presentados previamente, para el diseño de un control es importante determinar la frecuencia con que deberá ejecutarse. Esta frecuencia debe considerar la oportunidad (tiempo real, una vez por día, semanal, quincenal, mensual, etc.) con que puede materializarse el riesgo. Por ejemplo: el proceso de autenticación de los usuarios para acceder a un sistema de información se ejecuta en línea, cada vez que un usuario intenta acceder al sistema de información.
Evaluación de la efectividad operativa de un control
Luego de haber agotado un riguroso proceso de diseño de esos controles y lograr su exitosa implementación, la entidad debe establecer mecanismos robustos para evaluar si estos se mantienen operando sobre los riesgos con la efectividad esperada, y según los criterios que motivaron su elección como control.
Sin un adecuado esquema de evaluación de los controles es posible caer en la errónea percepción de que con su implementación los riesgos dejaron de existir y los objetivos y metas de la entidad están garantizados, sin embargo, nada menos cierto que eso. Los controles no eliminan riesgos.
La evaluación de la efectividad operativa de los controles debe considerar la identificación de todos los controles con que cuenta la entidad. En el ambiente tecnológico estará distribuido entre controles de aplicación físicos, lógicos, administrativos (p.ej.: políticas, procedimientos), entre otros. La entidad deberá relacionar cada control con los riesgos (uno o varios) sobre los que tiene una expectativa de mitigación. Por ejemplo: el Control-1 está relacionado con los riesgos siguientes: Riesgo-19, Riesgo-23 y Riesgo-27, y el Control-15 con el Riesgo-10 y el Riesgo-23. En un determinado escenario, la intención de probar la efectividad operativa de Control-1 y Control-15 está motivada por conocer el nivel de riesgo residual del Riesgo-23. Supongamos que el resultado de la prueba de efectividad arroja que el Control-15 funciona satisfactoriamente y el Control-1 no. El resultado de la evaluación del Control-1 afectará el nivel de riesgo residual del Riesgo-23 y deberá motivar la evaluación del efecto en los niveles residuales en el Riesgo-19 y Riesgo-27.
La frecuencia con que se ejecuta la actividad que genera el riesgo es uno de los factores importantes para determinar la frecuencia con que debe evaluarse la efectividad de sus controles. Un riesgo relacionado a una actividad que se ejecuta decenas de veces durante un día de operaciones de la entidad requerirá de controles rigurosamente diseñados y de ejecución automática para que la entidad pueda tener un nivel razonable de confianza sobre los resultados de esa actividad. Al igual que para todos, este escenario requiere de controles administrativos claramente definidos y socializados con todas las partes interesadas, pero es necesario entender que este tipo de controles, por lo general, tiene su fortaleza en la buena intención de las personas que están llamados a cumplirlos y supervisarlos. En tal sentido, los controles administrativos por si solos pudieran no ser suficientes para lograr un nivel de confianza razonable sobre el nivel de riesgo en que está operando un determinado proceso o actividad en la entidad.
Podemos concluir resaltando que la gestión de riesgo y la tecnología de la información tienen una constante en común: el entorno dinámico en el cual se desarrollan. Los riesgos no son estáticos y las variables que se incorporan al uso de la TI, tales como vulnerabilidades inherentes a la tecnología que utiliza la entidad, así como nuevas amenazas sobre las cuales cada día son menos efectivos los controles tradicionales, obligan a establecer y gestionar un adecuado esquema de evaluación del diseño y efectividad operativa de los controles de TI, como parte de un buen ambiente de control en la entidad.
La relación actualizada de los riesgos de la entidad con sus respectivos controles, ya implementados, puede utilizarse como base para la planificación de las pruebas de evaluación de diseño y eficacia operativa de los controles. Recordemos que los controles no eliminan el riesgo, por lo que debe mantenerse el monitoreo constante del contexto de la entidad y sus riesgos. Conocer las capacidades de cada tipo de control, según su acción sobre la probabilidad e impacto que definen los niveles (inherente y residual) del riesgo y la frecuencia con que cada control debe operar, debe brindar garantía de que la entidad se encuentra en un ambiente de control razonable.
Por último, y no menos importante, el adecuado ambiente de control debe ser aprovechado por la entidad para identificar cuáles estrategias e iniciativas pueden desarrollar, considerando que tienen controles que desde ya contribuyen a la mitigación de riesgos inherentes.
Referencias:
- FSI Insights on policy implementation No 50 Banks’ cyber security, FSB (2023)
- Comité de Basilea sobre Supervisión Bancaria - Revisiones a los principios para buenas prácticas de la administración de Riesgo Operacional (2020)
- Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) - Programa de Auditoría de Sistemas de Información – Marco de Trabajo de Ciberseguridad.