e - Banking Fascículo IIfelaban.s3-website-us-west-2.amazonaws.com/boletines_clain/archiv… ·...

B.C.R.A.5e-Banking

Introducción

En el año 2001 se creó en el ámbito de la Superintendencia de EntidadesFinancieras y Cambiarias la Comisión de e-Banking. Los objetivos estableci-dos por la Comisión contemplan el análisis de la información relacionada con eldesarrollo de la banca electrónica a nivel internacional y de la normativa emitidapor los principales organismos reguladores en materia de sanas prácticas ycontroles de la actividad de e-Banking.

Como producto de la labor realizada, en el mes de enero de 2003 seemitió el fascículo “e-Banking: Sanas prácticas”, que fue remitido a lasentidades financieras y a los principales actores del mercado de comercioelectrónico. En dicha publicación, el análisis estaba dirigido a la identificaciónpreliminar de los estándares de seguridad y las estructuras de controles a aplicar,así como la adecuación de tales requisitos a la realidad del sistema financieroargentino.

En esta oportunidad, la expectativa de la Comisión se centra en avanzarsobre algunos aspectos genéricos que impactan en la actividad tecnológica:

• en primer lugar, un breve desarrollo de los principales aspectos delproceso de tercerización, cuya importancia creciente merece destacarse;

• en segundo lugar, se comentan aspectos claves relacionados con el riesgooperacional, su consideración por el Comité de Basilea y, especialmente, suimpacto en las actividades de e-banking; se adjunta además un brevesumario de las publicaciones realizadas por el Comité de Basilea, enrelación con los aspectos de tecnología informática a ser contemplados porlas entidades financieras;

• siguiendo con la identificación de estándares de seguridad mencionadosen nuestro primer fascículo, se incorporan en esta publicación el análisisde la seguridad en redes y la exposición de información crítica, así comoun glosario de términos de tecnología informática, y

• por último, se incorpora una sección con datos e indicadores de la activi-dad de e-Banking en las entidades financieras de nuestro país.

Cabe recordar a los lectores, que estos fascículos no pretenden definirconceptos técnicos específicos o brindar estándares relativos a e-Banking,especialmente considerando que corresponde a las entidades financieras anali-zar en profundidad la naturaleza de estas actividades y el impacto en su perfilglobal de riesgo, así como evaluar las acciones más adecuadas para su geren-ciamiento en un entorno de rápidos cambios.

Por otra parte, y dado el balance positivo desde su implementación, es deseode la Comisión continuar con el desarrollo del canal de comunicación oportu-namente habilitado a través de la cuenta [email protected] entidades interesadas en acceder a las actualizaciones y/o avisos sobrenovedades y documentación relevante podrán dirigirse a esta dirección.

B.C.R.A.7e-Banking

Integrantes de la Comisión de e–Banking

Superintendencia de Entidades Financieras y Cambiarias

Banco Central de la República Argentina

Dr. Rubén Marasca

Subgerente General de Análisis y Auditoría

Dr. Marcelo D. Fernández

Gerente de Auditoría Externa de Sistemas

Dra. Silvia Núñez

Inspectora General de Control de Auditorías

Lic. Marcelo H. González

Inspector General de Auditoría Externa de Sistemas

Lic. Carlos A. Bianco

Inspector de Auditoría Externa de Sistemas

B.C.R.A.9e-Banking

Outsourcing: “La Delegación en Terceros” . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

La tercerización: algunas definiciones . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .11

Haciendo un poco de historia . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .12

¿Por qué utilizar terceros? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

Algunas ventajas de la tercerización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .13

Algunas desventajas de la tercerización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .14

Estrategias de tercerización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .15

Contratos de tercerización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .16

Claves para una adecuada tercerización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .18

Los riesgos de la tercerización . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .20

La tercerización en las entidades financieras en la República Argentina . . . . . . . . . . . . . . . . .20

El Riesgo Operacional . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .23

El Nuevo Acuerdo de Capital de Basilea: La incidencia del riesgo operacional . . . . . . . . . . . .23

El Pilar I . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .24

Los Pilares II y III . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .25

El Riesgo Operacional: esbozo de su definición . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .26

Comentarios sobre la situación actual en cuanto al riesgo operacional . . . . . . . . . . . . . . . . .28

Pautas de administración de riesgo operacional en e-Banking . . . . . . . . . . . . . . . . . . . . . . . . . .29

Desarrollo de un ambiente adecuado para la administración del riesgo . . . . . . . . . . . . . . . . . .30

Administración del riesgo: identificación, medición, monitoreo y control . . . . . . . . . . . . . . . . .31

Algunos eventos de riesgo operacional en e-Banking . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .33

Exposición de la Información Crítica - Seguridad en Redes . . . . . . . . . . . . . . .37

Vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .37

Controles . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .38

Sanas prácticas a tener en cuenta en el análisis de la seguridad en las redes . . . . . . . . . . .39

Sistemas de detección de intrusos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .40

Controladores de Integridad . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41

Equipos trampa (Honeypots) - Ventajas y Desventajas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .41

Clasificación de los equipos trampa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .42

Redes trampa (Honeynets): El honeypot de la alta-interacción . . . . . . . . . . . . . . . . . . . . . . . . .42

Aplicación de los equipos trampa . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .43

Glosario Tecnológico . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .45

Apéndice . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .55

Publicaciones del Comité de Basilea . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .57

Indicadores Actuales de e-Banking en el Sistema Financiero Argentino . . . . . . . . . . . . . . . . . .59

Fuentes de Documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .61

Indice

B.C.R.A.11e-Banking

Introducción

Hoy en día las organizaciones se enfrentan a unacantidad de cambios y tendencias sin precedentes.Estos cambios incluyen la necesidad de ser globa-les, crecer sin utilizar más capital, responder a lasamenazas y oportunidades de la economía, alenvejecimiento de la fuerza laboral, la reducción decostos, y la batalla por lograr información sobre losintereses del consumidor.

La estrategia de tercerización apunta a queempresas de todo tamaño logren estructurar laasignación de sus recursos. Dicha estrategia podríatraer beneficios productivos de importancia, o uncrecimiento inmediato de la flexibilidad y agilidadnecesarias para permanecer competitivos.

Cuando cumple los objetivos estratégicosplaneados, la tercerización es la respuesta a unapregunta frecuente que se hacen las organizacio-nes para proporcionar un mejor servicio a losclientes: ¿producir o comprar? En combinacióncon otras técnicas, la tercerización permite lacreación de un nuevo ambiente en la relacióncliente-proveedor.

La tercerización surge cuando una organizacióntransfiere la propiedad de un proceso de negocios a unproveedor. Se basa en el desprendimiento de algunaactividad, que no forme parte de sus habilidades princi-pales, a un tercero especializado. Se entienden comohabilidades principales o centrales a todas aquellas queconforman el negocio y en las que se tienen ventajasimportantes con respecto a la competencia.

La tercerización:algunas definiciones

La tercerización es una importante tendencia enlas decisiones administrativas y operativas de losúltimos años en una gran cantidad de organizacio-nes del ámbito mundial. Según sus característicaspuede definirse como:

• La transferencia de la propiedad de unproceso de negocios a un proveedor; laclave de esta definición es el aspecto de latransferencia de control.

• El uso de recursos externos a la organizaciónpara realizar actividades tradicionalmenteejecutadas con personal y recursos internos.Es una estrategia de administración pormedio de la cual una organización delega laejecución de ciertas actividades a organiza-ciones altamente especializadas.

• La delegación ó contratación a largo plazo deuno o más procesos no críticos del negocioa través de un proveedor más especializado,con el fin de conseguir una mayor efectivi-dad, que permita orientar los esfuerzos deuna compañía a las necesidades neurálgicaspara el cumplimiento de una misión.

• La contratación externa de recursosanexos, mientras la organización se dedicaexclusivamente a la razón o actividad básicade su negocio.

• Productos y servicios ofrecidos a una organi-zación por proveedores independientes decualquier parte del mundo, siempre que lasleyes se lo permitan.

En un contexto de globalización de mercados, lasorganizaciones intentan dedicarse a innovar y concen-trar sus recursos en el negocio principal. Por ello latercerización ofrece una alternativa a ser analizada.

Básicamente se trata de una modalidad según lacual determinadas organizaciones, grupos o perso-nas ajenas a la compañía son contratadas parahacerse cargo de “parte del negocio” o de un servi-cio puntual dentro de ella. La compañía delega lagerencia y la operación de uno de sus procesos oservicios a un prestador externo, con el fin de agili-zarlo, optimizar su calidad y/o reducir sus costos.

Transfiere así los riesgos a un tercero que puedadar garantías de experiencia y seriedad en el área.En cierto sentido, este prestador pasa a ser parte dela organización, pero sin incorporarse formalmente.Esta transferencia nunca debe entenderse como ladelegación de la responsabilidad primaria de laorganización que decide tercerizar las actividades.En otras palabras, la responsabilidad es indelegable.

Outsourcing: “La Delegación en Terceros”

La metodología de “tercerizar” es parte de latoma gerencial de decisiones. Esta toma de decisio-nes incluye los pasos de todo proceso deevaluación, planeamiento y ejecución; ayuda aplanear y fijar expectativas de negocios e indicaaquellas áreas donde se necesitan conocimientosespecializados para realizar las distintas actividades.

Es preciso aclarar que la tercerización esdiferente de las relaciones de negocios y contrata-ción. En éstas últimas, el contratista es propietariodel proceso y lo controla; es decir, le dice al prove-edor qué y cómo quiere que se desempeñen y sefabriquen los productos o servicios comprados, porlo que el proveedor no puede variar las instruccionesen ninguna forma. Por el contrario, en el caso de latercerización, el comprador transfiere la propiedad alproveedor; es decir, no instruye al mismo en comodesempeñar una tarea sino que se enfoca en lacomunicación de qué resultados quiere, y le deja alproveedor el proceso de obtenerlos.

Haciendo un poco de historia...

Después de la Segunda Guerra Mundial, lasorganizaciones trataron de concentrar en sí mismas lamayor cantidad posible de actividades, para no tenerque depender de los proveedores. Sin embargo, estaestrategia que en principio resultara efectiva, fuehaciéndose obsoleta con el desarrollo de la tecno-logía, ya que los departamentos de una organizaciónnunca podían mantenerse tan actualizados ycompetitivos como lo hacían las organizacionesindependientes especializadas en un área. Además,su capacidad de servicio para acompañar la estrate-gia de crecimiento era insuficiente.

El concepto de tercerización comienza a ganarcredibilidad en el mundo al inicio de la década del70', enfocándose sobre todo en las áreas de infor-mación tecnológica de las organizaciones. Lasprimeras organizaciones líderes en brindar serviciosde tercerización fueron EDS e IBM.

De esa época data la denominación de “outsour-cing” o tercerización, para describir la crecientetendencia de grandes compañías que estaban trans-firiendo sus sistemas de información a proveedores.

El proceso de tercerización no sólo ha sidoaplicado a los sistemas de producción o de explota-ción tecnológica, sino que ha alcanzado a la mayoríade las áreas de la organización. Los ejemplos máscomunes contemplan la tercerización de:

• la administración de los recursostecnológicos;

• la explotación integral de los sistemas deinformación;

• los sistemas financieros;

• los sistemas contables;

• las actividades de mercadotecnia;

• los servicios del área de recursos humanos,

y

• los sistemas administrativos.

El gráfico siguiente refleja componentes de losservicios informáticos que podrían ser transferidos aproveedores de servicios externos:

Fascículo II 12 e-Banking

B.C.R.A.13e-Banking

¿Por qué utilizar terceros?

Hasta hace poco tiempo, esta práctica eraconsiderada como un medio para reducir loscostos. Sin embargo, en los últimos años se hademostrado como una herramienta útil para elcrecimiento de las organizaciones por razonestales como:

• economía, reducción y/o control del gastode operación;

• concentración en los negocios y disposiciónmás apropiada de los recursos, debido a lareducción de la utilización de los mismos enfunciones no relacionadas con la razón deser de la compañía;

• disposición de personal altamente capaci-tado, y

• mayor eficiencia.

Todo esto permite enfocarse ampliamente enasuntos organizacionales y del negocio, acceder arecursos especializados, acelerar los beneficios dela reingeniería, compartir riesgos y destinar recur-sos para otros propósitos.

Algunas ventajas de la tercerización

Los partidarios de implementar una estrategiade tercerización aducen que la organizacióncontratante (o “el comprador”) obtendrá beneficiosya que logrará, en términos generales, una “funcio-nalidad mayor” a la que tenía internamente, con“costos inferiores” en la mayoría de los casos, envirtud de la economía de escala que obtienen losproveedores contratados.

En estos casos la organización debería preocu-parse exclusivamente por definir la funcionalidadde las diferentes áreas de su organización,dejando que el prestador se ocupe de decisionesde tipo tecnológico, manejo del proyecto, imple-mentación, administración y operación de lainfraestructura.


En resumen, un adecuado proceso de terceri-zación podría permitir:

• aplicar el talento y los recursos de la organi-zación en las áreas claves;

• aumentar la rentabilidad a través de lareducción de costos;

• transformar costos fijos en variables flexibili-zando su estructura;

• ayudar al enfrentamiento de los cambios enlas condiciones de los negocios respon-diendo con rapidez;

• obtener los beneficios de la especializaciónen áreas de negocio;

• acceder a recursos de tecnología avanzadasin la necesidad de entrenar personal de laorganización;

• disponer de servicios de información enforma rápida considerando las presionescompetitivas, y

• contribuir a redefinir la organización.

Algunas desventajasde la tercerización

En todo proceso existen aspectos negativosque forman parte integral del mismo. La terceriza-ción no queda exenta de esta realidad.

Algunas desventajas que podrían presentarse son:

• la organización pierde contacto con lasnuevas tecnologías que ofrecen oportuni-dades para innovar los productos yprocesos;

• el proveedor externo debe aprender y tenerconocimiento del negocio en cuestión,existiendo la posibilidad de que los utilicepara impulsar su propia industria y seconvierta en un competidor;

• el costo ahorrado con el uso de tercerospuede no ser el esperado;

• alto costo en el cambio de proveedor encaso de que el seleccionado no resultesatisfactorio, y

• pérdida parcial del control sobre el negocio.

B.C.R.A.15e-Banking

Estrategias de tercerización

Cuando una organización decide llevar a caboun proceso de tercerización, debe definir unaestrategia que guíe dicho proceso.

Hay dos tipos genéricos de estrategia: la perifé-rica y la central. La periférica surge cuando laorganización requiere los servicios de proveedoresexternos para que se ocupen de las actividades depoca relevancia estratégica. La central surgecuando las organizaciones contratan el desarrollode actividades consideradas de gran importancia ylarga duración para obtener el éxito.

La estrategia debe definirse claramente, demanera que asegure que el proceso esté regidopor las políticas generadas por la organización enrelación con la tercerización. Dichas políticasdeben ser conocidas por los empleados involucra-dos en el proceso y estar ampliamenterespaldadas por la Alta Gerencia.

Otros de los aspectos a considerar dentro delproceso estratégico es el tipo de relación que seestablecerá entre la organización que contrata y elproveedor. En esta relación existen dos compo-nentes: uno interpersonal, que establece como

interaccionan el equipo responsable dentro de laorganización con el equipo del proveedor; y elcomponente corporativo, que define las interaccio-nes a nivel directivo entre ambas partes.

En la actualidad las organizaciones buscanrelaciones más formales y a largo plazo, donde elequipo interno asume un rol de socio estratégico,lo que permite un mejor entendimiento del desarro-llo de la estrategia del proveedor. La ventaja deeste tipo de relación es que permite a ambaspartes familiarizarse con el personal y el estilooperativo de la otra organización y ayuda a que elproveedor pueda satisfacer las expectativas delcontratante de manera más efectiva en términosde comunicación y frecuencia en los reportes.

Otra clave del proceso estratégico es lamedición del desempeño del proveedor seleccio-nado en términos de tiempo, adherencia alpresupuesto y al éxito del proyecto medido sobrela base del logro de los objetivos planteados. Si losniveles de desempeño no pueden medirse numéri-camente, se pueden crear escalas de mediciónsubjetivas acordadas con el proveedor.

Es recomendable compartir los resultadosobtenidos con el proveedor, especialmente si se

desean tener relaciones de largo plazo. Debedejarse claramente establecido que cuando secomparten estos resultados no se trata de unaforma de castigo o reclamo al proveedor, sino unmedio para la búsqueda de áreas de mejora.

La estrategia debe definir la integración delequipo de tercerización, estableciendo las habilida-des mínimas necesarias. Un equipo de este tipogeneralmente está compuesto por personas deáreas comerciales, técnicas, y financieras, entreotras. Sin embargo, la composición del equipovaría dependiendo del alcance del proyecto y laactividad a delegar al tercero.

Por último, se debe cerrar la elaboración de laestrategia haciendo partícipes de la misma no sóloa los directores, sino también a los gerentesexperimentados en las actividades a delegar, yaque pueden proporcionar los aspectos operacio-nales claves para la estrategia.

Contratos de tercerización

Al considerar la negociación de un contrato detercerización deberían tenerse en cuenta ciertosaspectos tales como:

• decisiones iniciales,

• definir la terminología,

• estructura del contrato,

• personal,

• locales e instalaciones,

• hardware,

• software,

• términos de cargos y pagos,

• identificar las responsabilidades del proveedor,

• identificar la responsabilidad del cliente, y

• seguridad.

A continuación se incluye una guía con algunaspreguntas que contemplan estos aspectos:

Decisiones iniciales

Definir que sistemas y/o servicios van asubcontratarse.

Confirmar la viabilidad financiera del proveedor.

Observar qué tipo de indemnización existirá porfallas del proveedor.

¿Quién iniciará la elaboración del contrato: elproveedor o el cliente?

¿Qué recursos deberán utilizarse en la elabora-ción del contrato y su negociación?

Por ejemplo:

• Administración funcional

• Experiencia técnica

• Administración de contratos

• Asesoría legal interna

• Asesoría legal externa

Decidir la fecha de inicio para el contrato.

Decidir la fecha de transición para el inicio delos servicios de tercerización.

¿Cuál será la duración del contrato?

Definir la terminología

Definir los términos apropiados para un acuerdoparticular de tercerización, por ejemplo, los servi-cios y el nivel de servicios.

¿Se han identificado y cuantificado las activida-des claves?

Identificar los establecimientos donde se reali-zaran los servicios.


B.C.R.A.17e-Banking

Identificar los equipos que se usarán paraproveer los servicios.

Identificar el software que se utilizará para losservicios si se va a subcontratar tecnologíainformática.

Estructura del contrato

¿Sería apropiado integrar en el contratodocumentos de invitación a licitación y respuesta alicitación, o ha cambiado la situación desde que seelaboraron los documentos?

¿Va a haber un solo contrato o será más perti-nente tener contratos múltiples? La última opciónpodría ser una forma práctica para estructurar elcontrato si puede dividirse en etapas definidas,como por ejemplo, tercerización de serviciosoperativos seguidos por el desarrollo de nuevosservicios, o si formará parte de los acuerdos unatransferencia de activos.

Personal

¿Formarán parte del arreglo de tercerizaciónalgunos miembros del personal actual del cliente, yen caso de ser así, por transferencia temporal otransferencia definitiva?

¿Se aplica la reglamentación existente encuanto a protección del empleo?

¿Cuál es el grado de indemnización de cadaparte en caso de demandas relacionadas sobrecuestiones de empleo?

Locales e instalaciones

¿Dónde se efectivizarán las prestaciones delcontrato, en las instalaciones del proveedor o del cliente?

¿Se venderían o se rentarían al proveedor insta-laciones que requieran un contrato distinto por laspropiedades?

¿Debe negociarse una venta , leasing o alquiler?

Hardware

El proveedor ¿es responsable de proporcionarel equipo para el funcionamiento operativo de losservicios en sus propias instalaciones?

El proveedor ¿va a utilizar el equipo del clienteen las instalaciones del cliente?

¿Se transferirá equipo de las instalaciones delcliente a las del proveedor?

¿Se ha definido la responsabilidad para asegurarque se obtengan todos los permisos y licencias deterceras partes que tiene un interés legal en el equipo?

¿Es necesario un contrato separado para dirigirla transferencia de propiedad?

¿Quién será responsable de los seguros?

¿Quién será responsable de los arreglos ypagos de mantenimiento?

¿Se requerirá un contrato separado para elmantenimiento?

Software

¿El proveedor utilizará software propio?

¿El cliente otorgará la licencia de su propiosoftware para que lo utilice el proveedor en eloutsourcing?

¿Ha obtenido el proveedor las licencias para eluso de software de terceros?

¿Quién poseerá los derechos del software quese desarrolle en los arreglos de tercerización?

Términos de cargos y pagos

¿Cómo se calculan los cargos por el servicio?

¿Pueden producirse volúmenes y controlarsecon suficiente exactitud para que sea viable uncargo fijo?


Los cargos ¿Se calcularán en función deltiempo y recursos?

¿Están los cargos relacionados directamentecon el desempeño en el nivel de servicio?

¿Habrá un sistema de penalización / descuentopor incumplimiento de los niveles de servicio queno estén dentro de los criterios acordados?

¿Habrá alguna limitación en variaciones en losniveles por cargos a pagar?

¿Habrá algún trabajo de desarrollo? ¿Cómo sereglamentará?

¿Con qué frecuencia se revisarán los cambios?

¿Hay alguna limitación en los criterios para larevisión, como algún índice de precios en particu-lar, estudios de salarios en computación, etc.?

¿Existe alguna posibilidad de que disminuyanlos cargos con el tiempo?

¿Cuáles van a ser los métodos de pago?

Identificar las responsabilidadesdel proveedor

Auxiliar en la evaluación de los niveles de servicio.

Cumplir los niveles de servicios.

Nombrar un representante.

Revisar regularmente los arreglos de tercerización.

Cumplir las normas del cliente en materia dehigiene y seguridad.

Identificar la responsabilidad del cliente

¿Quién asistirá a las reuniones?

¿Cuáles serán los procedimientos especialespara los problemas no resueltos en las reuniones?

¿Se prevé que existan auditorias independien-tes del sistema?

Seguridad:

¿Es necesaria la confidencialidad en el desem-peño de los contratos?

¿Está preparado el proveedor para dar unagarantía de cumplimiento de protección de losdatos?

¿Se someterá el proveedor a las disposicioneslegales o reguladoras que debe cumplir la organi-zación que lo contrata?

Claves para una adecuada tercerización

Claridad de objetivos

El elemento más importante en el éxito de unarelación de tercerización a largo plazo es la claridadde objetivos. La organización debe tener muy biendefinidas las metas que se pretenden alcanzar conla tercerización. Con igual o mayor importanciaaún, las metas deben estar adecuadamente expre-sadas, habiéndose comprometido el proveedor aser medido en su desempeño basándose en ellas.

Expectativas realistas

La tercerización sólo es un medio, una herra-mienta; como tal, tiene limitaciones. Es importanteentonces fijar su frontera dentro de los límites de loposible. Debe existir un parámetro que fije lasexpectativas de ambos lados al entrar en unarelación de tercerización.

Definición detallada de lacartera de servicios incluidos

En muchas ocasiones, el proveedor tiende adefinir vagamente la cartera de servicios incluidosen el costo básico de una relación de tercerización.Más aún, estas vaguedades son muchas vecesutilizadas exitosamente como estrategia depenetración del cliente: se gana al cliente conprecios artificialmente bajos para luego sacar lacarta secreta de “los servicios no contemplados”en el costo.

B.C.R.A.19e-Banking

Una vez firmado el contrato y concluida la trans-ferencia de las operaciones al proveedor, comienzala letanía de excepciones o servicios no incluidosque originan innumerables cargos adicionales.Para evitar este mal, casi endémico, essumamente importante la definición clara y precisade todos los servicios incluidos.

Definición adecuada de niveles y modelos de servicio

En este rubro se incluyen los criterios mínimosa considerar en cuanto a los servicios prestadoscomo parte de una relación de tercerización entrelas partes.

Cada servicio debe tener asociado tanto elmodelo de prestación adoptado, como losparámetros de aceptación y medición de sudesempeño. Así, el cumplimiento de la relaciónpuede ser controlado por una batería de indicado-res, los cuales sirven tanto para señalar si larelación es adecuada, como para tomar medidaspreventivas y/o correctivas en caso de quealgunos servicios muestren tendencias a la degra-dación antes de convertirse en problemas críticos.

Flexibilidad financiera

El éxito de una relación de tercerización tienecomo fundamento el beneficio económico deambas partes. Como medida de prevención, loscontratos deben incorporar suficiente flexibilidadfinanciera como para adaptarse a condicionescambiantes que puedan afectar el costo total de larelación comercial entre las partes, garantizando dealguna manera el beneficio económico buscadooriginalmente.

Compromiso del proveedor

Una de las ventajas competitivas más fuertesde la tercerización es la disponibilidad, por partedel proveedor, de recursos altamente calificadospara resolver los problemas operativos en la infra-estructura informática del cliente. Como tal, elproveedor debe comprometerse a mantener ladisponibilidad prometida a lo largo de la relación.Como toda relación exitosa de negocios, esnecesario que el proveedor garantice una continui-dad y calidad mínima en los recursos humanos

asignados a la atención y cumplimientos de loscompromisos contraídos.

Conformidad gerencial

El éxito de todo proyecto a largo plazodepende, en gran medida, de la continuidad delequipo gerencial responsable del mismo. Esterequisito se acentúa más aún en el caso de latercerización, dado que las condiciones generalesde la relación se fijan justo antes de su comienzoformal, en el momento de la negociación y firma delcontrato de prestación de servicios.

A partir de allí, el éxito de la relación dependede la adecuada interpretación y el seguimiento delas cláusulas establecidas en el contrato. Por ello,es esencial que los equipos gerenciales responsa-bles del proyecto por ambas partes, se involucrenplenamente en las negociaciones contractuales.Ésta es, ciertamente, una garantía importante parael éxito de la relación a largo plazo.

Flexibilidad tecnológica

Las relaciones de tercerización generalmentese expresan en contratos de prestación de servi-cios a largo plazo. Por lo tanto, para evitarproblemas causados por obsolescencia tecnoló-gica no prevista en la transacción original, éstadebe incorporar definiciones y procedimientos deactualización tecnológica (por ejemplo, criteriosbásicos de evaluación e incorporación de nuevastecnologías a los servicios prestados). Talessalvaguardas garantizan una de las premisasbásicas de la tercerización: la tecnología,manejada por expertos redituando beneficiosreales al negocio.

Flexibilidad operativa

Uno de los objetivos más importantes de latercerización es profesionalizar la operacióninformática del cliente. Más allá de compromisosformales y definiciones exactas de serviciosprestados, el resultado esperado de una soluciónde tercerización es, generalmente, el mejoramientoy eficiencia de la operación debido a la variedad desituaciones y cambios de condiciones operativasque puedan ocurrir durante el transcurso de larelación.

Es muy importante que la relación original incor-pore suficientes elementos de flexibilidad quepuedan ser utilizados posteriormente para cambiarlos términos operativos (inclusive la definición delos servicios prestados), sin necesidad de recurrir atortuosas renegociaciones del contrato.

Los riesgosde la tercerización

Los riesgos involucrados en las actividadestercerizadas fluctúan entre los riesgos operaciona-les y los riesgos estratégicos. Entre los riesgos dela tercerización se pueden mencionar:

• no negociar adecuadamente el contrato;

• inadecuada selección del contratista;

• incremento en el nivel de dependencia deentes externos;

• inexistente control sobre el personal y/oactividades del contratista;

• incremento en el costo de la negociación ymonitoreo del contrato, y

• pérdida de confidencialidad.

La tercerización en las entidades financieras de la República Argentina

Actualmente, para efectuar ciertas actividadesvinculadas con sus sistemas de información y/otecnologías informáticas, se observa una tendenciade las organizaciones bancarias a la utilización deservicios provistos por otras empresas, o su trans-ferencia a dependencias de la organizacióncontrolante, dentro de su ámbito local o a escalainternacional.

Esta manera de concretar las actividadesdescentralizándolas, implica un nuevo panorama,cuyas consecuencias deben ser analizadas desdeel punto de vista de las dificultades para la defini-ción de los alcances que surgen para los entes decontralor, y además, la posible disminución de lasnecesidades de recursos laborales locales, en elcaso de descentralizaciones en el exterior del país.

El surgimiento de riesgos producto de la terce-rización, debe ser adecuadamente consideradopor las entidades contratantes, toda vez que dichoproceso implica la delegación de una actividad ófunción, pero nunca supone el traspaso de laresponsabilidad a quien suministra el servicio o laactividad delegada.

Un riesgo crítico inherente al proceso es el quepudiera surgir de la entrega de información confi-dencial o estratégica a un tercero (sobre laclientela, registros contables, etc.), o por lacreación de una relación dependiente ante elmismo (proveedor) que básicamente sustituirá a laentidad financiera involucrada.

A efectos de prevenir los riesgos a que se aludeen los párrafos precedentes, se entiende necesa-rio establecer sanas prácticas a ser observadas enlas organizaciones financieras que decidan optarpor descentralizar y/o tercerizar sus funcionestecnológicas.

En esa línea aparece como condición la necesi-dad de que la relación se formalice mediante lasuscripción de un contrato, que cuente concláusulas que delimiten con precisión los alcancesde las funciones que constituyen su objeto.


B.C.R.A.21e-Banking

También debe contemplarse el detalle de lasresponsabilidades de ambas partes, el someti-miento de la prestadora a la potestad de la entidadfinanciera de revisar el contrato, renegociarlo yhasta rescindirlo unilateralmente de verificarseapartamientos de los compromisos asumidos.

Dentro de dichos compromisos se encuentra laadecuación a las normas establecidas por la Leyde Entidades Financieras y por el B.C.R.A., encaso de que sus tareas comprendan aspectos queformal o esencialmente se le impongan al interme-diario autorizado, así como a la aceptación delejercicio de la supervisión del Ente Rector paraauditar periódicamente su cumplimiento.

A tales fines debe asegurarse la existencia deun fluido canal de comunicación entre la entidadfinanciera y el órgano descentralizado o proveedor,así como la aplicación de controles y mecanismosindependientes de validación.

Para ello, tanto la auditoría interna como laexterna, deben tener acceso a la información ydatos relevantes, tales como la formulación deplanes de contingencias frente a algún inconve-niente en el desempeño del proveedor.

Parece obvio que la satisfacción de las antedi-chas exigencias conlleva la disposición decapacidad técnica y administrativa, familiaridad conla actividad financiera y facultad para adecuarse alas innovaciones tecnológicas, condiciones indis-pensables para que los terceros (proveedores enel ámbito local u otras organizaciones vinculadasen el exterior), puedan ser elegidos por las entida-des financieras.

Existe actualmente un conjunto normativo queestablece las prácticas que las entidades financie-ras deben procurar cuando determinen delegar enterceros actividades relacionadas a la tecnologíainformática y a los sistemas de información dentrode la Republica Argentina.

Primariamente se estipulaban los aspectos decontrol interno que las entidades debían procurarcon sus prestadores de servicios de tecnologíainformática y sistemas de información, mediante laComunicación “A” 2659, que en síntesis requería:

“La existencia de contratos formalmenteestablecidos con los proveedores externosde software, procesamiento y/o servicios,en donde se contemplen aspectos talescomo: el procedimiento por el cual laentidad pueda obtener los datos, losprogramas fuentes, los manuales y ladocumentación técnica de los mismos, antecualquier situación que pudiera sufrir elproveedor por el cual dejara de operar o deprestar sus servicios en el mercado, a fin depoder asegurar la continuidad de procesa-miento.

Además, los contratos o acuerdos deprestación de servicios, deben establecerclaramente la no existencia de limitacionespara la Superintendencia de EntidadesFinancieras y Cambiarias, en cuanto alacceso a los datos y a toda documentacióntécnica relacionada (diseño de archivos, tipode organización, etc.).”

Ya en esa primera etapa, se formulaba laresponsabilidad primaria del control a la entidad,mediante el enunciado siguiente:

“Las entidades deben contar con recur-sos humanos técnicamente capacitadospara ejercer un control eficiente sobre lastareas que desarrolla el proveedor externo,ya sea a través de agentes bajo relación dedependencia o que no estén vinculados conlos proveedores externos.”

Con el transcurso del tiempo, a medida que seapreció un mayor grado de delegación de tareasen terceras partes, se amplió el aspecto normativo,mediante la Comunicación “A” 3149, donde seestablecen los recaudos que las entidades debencumplir antes y durante los procesos de terceriza-ción y/o descentralización de actividades detecnología informática y sistemas de información,tanto cuando el ámbito de la tercerización fuera enel territorio de la República Argentina, como en elexterior.

B.C.R.A.23e-Banking

Introducción

Desde hace algunos años, el tema de laadministración de riesgos ha captado, cada vezcon mayor énfasis, la atención de las institucionesfinancieras y los organismos regulatorios en todo elmundo. Se ha publicado profusa bibliografía sobreel tema, desde artículos especializados hasta eldesarrollo de complejos modelos de estimación deriesgos. Las autoridades de contralor han definidopara cada una de sus regiones, en mayor o menormedida, los estándares de administración delriesgo que deben atender las instituciones finan-cieras.

En este contexto, y como uno de los principa-les actores en el desarrollo de regulaciones para labanca, el Comité de Supervisión Bancaria deBasilea emitió en Junio 1999 una propuesta demejora del marco de suficiencia del capital (aún enestado de documento consultivo), más conocidacomo “Basilea II” o “Nuevo Acuerdo de Capital deBasilea”.

Según lo manifestado por el Comité, el objetivoal que se enfoca el Nuevo Acuerdo de Capital esponer énfasis en la gestión del riesgo y fomentarmejoras continuas en la capacidad de los bancospara evaluar riesgos. Dichos objetivos podrían serlogrados a través del acercamiento de los requeri-mientos de capital a las prácticas deadministración de riesgos más utilizadas, o enotras palabras, aumentando la sensibilidad alriesgo de los requerimientos de capital.

De acuerdo con las definiciones de “Basilea II”,el nuevo marco se apoya en tres Pilares: los requi-sitos de capital mínimo, el proceso de examen porparte de la supervisión bancaria y la utilizacióneficaz de la disciplina de mercado. La combinaciónde estos tres elementos debería permitir, tanto aentidades financieras como a organismos regula-dores, una mejor administración del riesgo.

El Nuevo Acuerdo de Capital de Basilea:La incidencia del riesgo operacional

Como se menciona en la introducción, elComité de Supervisión Bancaria ha propuesto unamodificación al Acuerdo de Basilea de 1988, quedeterminaba un “colchón” general de capital querespondía tanto a los requisitos por los riesgosmedidos (de crédito y de mercado) como al restode los riesgos no medidos. La nueva propuesta esconsecuente con la meta establecida por elComité de desarrollar metodologías que reflejencada vez más un perfil de riesgo particular paracada banco.

El Nuevo Acuerdo de Capital establece trespilares: los requisitos de capital mínimo, el proceso derevisión supervisora y la disciplina de mercado (Fig.1).Antes de profundizar en el tema del riesgo operacio-nal, es conveniente comentar brevemente losprincipales conceptos referidos a estos tres Pilares.

El Riesgo Operacional

El Pilar I

En la propuesta del Nuevo Acuerdo, el coeficientemínimo de capital requerido del 8% permaneceintacto. De esta forma, lo que se modifica es la defini-ción de activos ponderados por su nivel de riesgo, esdecir, los métodos utilizados para medir los riesgos alos que se enfrentan los bancos.

El Acuerdo vigente (Basilea 1988) cubre explíci-tamente tan sólo dos tipos de riesgos al definir losactivos ponderados por su nivel de riesgo: (1) riesgode crédito y (2) riesgo de mercado. Se entiende queel tratamiento de estos dos grandes riesgos cubreimplícitamente otros riesgos. La propuesta delNuevo Capital no prevé ninguna modificación paraeste tratamiento de los “riesgos no medidos”.

En el Nuevo Acuerdo el primer pilar proponecambiar la definición de activos ponderados por sunivel de riesgo, a través de dos elementos princi-pales: (1) modificaciones sustanciales en eltratamiento del riesgo de crédito con respecto alAcuerdo vigente; y (2) la introducción de untratamiento explícito para el riesgo opera-tivo, lo cual resultará en una medición de dicho

riesgo que se incluirá en el denominador del coefi-ciente de capital del banco.

En los dos casos, el Nuevo Acuerdo prevé tresopciones para el cálculo del riesgo de crédito yotras tres para el cálculo del riesgo operativo. Lacapacidad de las instituciones financieras paracumplir con los criterios específicos que demandacada opción determinará el marco usado para elcálculo del capital de riesgo.

La inclusión del riesgo operativo es el puntomás novedoso de la Propuesta de Acuerdo encuanto a la definición y cálculo del capital a riesgo,atento a que en forma previa los únicos riesgoscontemplados expresamente para su medicióneran “crédito” y “mercado”. En el Nuevo Acuerdose prevén tres enfoques de medición del riesgooperacional. Básicamente, los mismos son:


B.C.R.A.25e-Banking

• Enfoque del Indicador Básico (BasicIndicator Approach): en este caso, se une laexigencia de capital por riesgo operacional aun indicador de riesgo único. El indicadorconsiderado por Basilea es el ingreso brutopromedio de los últimos tres años. Losbancos que apliquen este enfoquemantendrán capital por riesgo operativoigual a un porcentaje fijo de sus ingresosbrutos.

• Enfoque Estándar (Standardized Approach):en este enfoque, se toma el método delIndicador Básico como punto de partida yse dividen las actividades del banco enlíneas de negocio. La exigencia de capitalpor cada una de esas líneas surgirá deaplicar un porcentaje fijo a un indicador deriesgo operativo, sin que éstos seannecesariamente los mismos para todas laslíneas. La exigencia de capital por riesgooperativo será la suma de las exigencias porcada línea.

• Enfoque de Medición Interna (AdvancedMeasurement Approaches- AMA): estemétodo permite a los bancos que cumplencondiciones de supervisión más estrictas, lautilización de datos internos a fin de lamedición del capital por riesgo operativo.Las entidades deberán recopilar informaciónpara estimar tres indicadores cuantitativospara cada línea de negocios y tipo de riesgoque representan: i) exposición al riesgooperativo, ii) probabilidad de que se produz-can pérdidas y iii) monto de la pérdida siésta se produce. Con estos indicadorescuantitativos y un porcentaje fijo establecidopor el Comité de Basilea para cada línea denegocios basado en sus análisis de laindustria bancaria se determinará el montode capital regulatorio por el riesgo operativo.La exigencia total de capital por riesgooperativo, como en el Enfoque Estándar,surge de la suma de los requisitos por cadalínea de negocios.

Los pilares II y III

El Comité de Basilea entiende que la revisión delos supervisores bancarios y la disciplina demercado son complementos esenciales de losrequisitos de capital mínimo establecidos.

Por un lado, la supervisión bancaria deberíaenfocarse a analizar si las entidades financierascuentan con procesos internos de medición deriesgo confiables para evaluar la suficiencia de sucapital. En ese proceso debería considerar lashabilidades de la Gerencia para valorar adecuada-mente la suficiencia del capital, las estrategias paramantener niveles adecuados de capital, y la inter-vención de los supervisores cuando los resultadosde estas evaluaciones no sean satisfactorios.

Por otra parte, la inclusión de la disciplina demercado como Pilar III está orientada a considerarlas posibles implicancias de la utilización demetodologías internas de cada banco, a losefectos del cálculo de los requisitos de capital porriesgo crediticio y riesgo operativo. Dado que elNuevo Acuerdo prevé esta posibilidad, el Comitéde Basilea impulsa a través del Pilar III, la divulga-ción de las metodologías empleadas a fin de quelos participantes del mercado conozcan ycomprendan la relación entre el perfil de riesgo deuna entidad y su capital.

El riesgo operacional:esbozo de su definición

En nuestra anterior presentación definíamos elriesgo operacional de la siguiente forma:

Los eventos más importantes de riesgo opera-cional involucran fallas en los controles internos y/oen el “gobierno de las organizaciones” (corporategovernance). Tales fallas pueden llevar a grandespérdidas financieras, que pueden producirse acausa de fraudes y/o incumplimientos (porejemplo, problemas en la disponibilidad de lossistemas), o pueden generar que los intereses delbanco se vean comprometidos debido a conduc-tas de su personal reñidas con la ética o por maldesempeño de sus funciones (por ejemplo,asunción de riesgos no autorizados por laDirección). Sin embargo, no sólo estos “eventos”involucran riesgo operacional: dentro de éste seconsideran también los eventos externos, inclu-yendo los desastres “naturales” (inundaciones,etc.) así como las consecuencias de, por ejemplo,un ataque terrorista.

Sin embargo, existen numerosas definicionesdel riesgo operacional que incluyen, entre otras,las siguientes:

• Riesgo operacional es el asociado a laposibilidad de fallas de los sistemas en unmercado determinado...

• Es el riesgo asociado con errores humanos,procedimientos y/o controles inadecuados,actividades criminales y fraude,...

• Son los riesgos causados por deficienciastecnológicas y fallas de los sistemas...

• Son todos los riesgos que “no son específi-cos de la banca” y que derivan dedecisiones de negocio, competencia...

• Comprende el riesgo legal y el riesgoestratégico o de negocio, las fallas encumplir los requerimientos regulatorios y elimpacto adverso en la reputación de losbancos...

Inclusive, algún tiempo atrás, algunos bancosdefinían el riesgo operacional como todo riesgoque no se enmarcara en las definiciones de riesgode crédito y riesgo de mercado. Actualmente setiende a utilizar la definición propuesta por Basilea,aunque algunos autores aconsejan a los bancoscrear una propia, útil a sus propósitos internos.

Es importante que, cualesquiera sea la defini-ción a utilizar, se considere el rango completo deriesgos operativos que enfrenta cada entidad. Alrespecto, en las últimas publicaciones del Comitése incluye una guía de “clasificación de eventos depérdida por riesgo operacional”, algunos de cuyosdatos resulta útil conocer:


B.C.R.A.27e-Banking

Si bien surge de la amplia bibliografía existenteque la definición antes mencionada (ver recuadro“Riesgo operacional”) cuenta con mayor consensoque el resto, en la elaboración de la propuesta deuna exigencia regulatoria mínima de capital porriesgo operativo y los documentos relacionados, elComité de Basilea ha adoptado la siguiente defini-ción: “Riesgo operacional es el riesgo de pérdidas,directas o indirectas, resultante de procesos inter-nos, comportamientos humanos y/o sistemasinadecuados o fallidos, o de eventos externos”. Alos fines de la determinación de una exigenciaregulatoria mínima de capital por riesgo operativo,

esta definición incluye el riesgo legal, pero excluyelos riesgos estratégico, de reputación y sistémico.

En los fundamentos de la adopción de estadefinición, el Comité señala que su objetivo esestimular a la industria bancaria a desarrollarmetodologías y a recopilar datos relacionados conla administración del riesgo operacional. Por ello, alformular las propuestas para la definición de uncapital regulatorio mínimo por riesgo operativo eligeesta definición que se enfoca en las causas delriesgo operacional.

La novedad que traen los enfoques sobreriesgo operacional es el tratamiento de la adminis-tración de este riesgo como una disciplinaparticular, con su propia estructura de controles,herramientas y procesos, distintos de la adminis-tración del riesgo de crédito y del riesgo demercado. El Comité de Basilea refuerza estatendencia al desarrollar el tema e incorporarlocomo punto clave en la determinación de loscapitales mínimos de las entidades financieras.

Sin embargo, ha de destacarse que toda estadisciplina se encuentra aún en etapa de desarrollo,inclusive en los sistemas financieros más avanza-dos. Las causas se encuentran, sobre todo, en lafalta de experiencias y antecedentes válidos,aplicables a la mayoría de las entidades, en cuantoa la obtención de un consenso sobre la definicióndel riesgo operacional, sobre qué se entiende porevento de riesgo operacional, sobre la medición delas pérdidas asociadas a un evento de riesgooperacional, entre otros temas.

Aún teniendo en cuenta la indefinición sobreestas cuestiones, en la actualidad de los mercadosfinancieros, la administración del riesgo operacionalse ha convertido en un punto importante a consi-derar dentro de las “sanas prácticas” que deberíacontemplar un banco.

Comentarios sobre lasituación actual en cuantoal riesgo operacional

A los fines de su trabajo sobre la administraciónde riesgo operacional, Basilea ha llevado a cabonumerosas reuniones con organizaciones bancariasy autoridades de supervisión. De las discusiones condichos actores, surgen algunos temas en comúnque el Comité señala como relevantes:

• El conocimiento y tratamiento del riesgooperacional al nivel de la Dirección y laGerencia se encuentra en proceso deavance. En la realidad, los bancos queconsideran el tema han designado comoresponsables primarios de la administracióndel riesgo operacional a los responsablesde las líneas de negocio.

En algunas entidades que estándesarrollando sistemas de medición delriesgo operacional, también se ha tratadode incorporar incentivos para la implementa-ción de sanas prácticas de administraciónde este riesgo por parte de dichos respon-sables. Estos incentivos contemplarían,entre otros, la inclusión del tratamiento delriesgo operacional dentro del proceso deevaluación de desempeño de los responsa-bles, así como la implementación dereportes en forma directa a la Direcciónacerca del detalle de las pérdidas por riesgooperacional y el resultado de las accionescorrectivas tomadas.

• La mayoría de las entidades encuestadaspor Basilea se encuentran en los estadiosmenos avanzados de desarrollo de herra-mientas de medición y monitoreo del riesgooperacional. Asimismo, la consideración delriesgo operacional como una categoríaparticular es relativamente reciente. Lamedición y reporte del riesgo operacional enforma periódica sólo era contemplada poralgunos bancos.

• Otra de las cuestiones que surge es larelativa a la información sobre riesgo opera-cional. A diferencia de los riesgos de créditoy de mercado, los factores de riesgo opera-cional están muy ligados a lasparticularidades de cada entidad y noexisten relaciones claras (matemáticas oestadísticas) entre los factores individualesde riesgo y el volumen o naturaleza de laspérdidas operacionales. Por otra parte, lamayoría de las entidades no cuentan conregistros de información acerca de su histo-ria de pérdidas operacionales (volumen,causas, etc.).

En resumen, si bien por un lado se estáavanzando en el desarrollo de las herramientasde identificación y medición del riesgo operacio-nal, aún existen numerosos aspectos a definirpor parte de los bancos, y por otra parte, elconstante crecimiento tecnológico conlleva a laaparición de situaciones que incrementan elriesgo operacional. Algunas de dichas situacio-nes son:


B.C.R.A.29e-Banking

• La globalización de los servicios financierosincrementa la complejidad de los perfiles deriesgo de las entidades.

• El avance en la utilización de tecnología dela información, sin la implementación decontroles adecuados, puede transformar elriesgo de errores de procesamiento manualen riesgos de fallas en los sistemas.

• A los fines de optimizar su exposición a losriesgos de crédito y mercado, los bancospueden utilizar mecanismos de mitigación(por ejemplo, derivados de crédito) queincrementen el riesgo operacional.

• La tercerización de algunos servicios (outsour-cing) permite a las entidades enfocarse en lasactividades críticas, pero puede incrementarlos niveles de riesgo operacional.

• El crecimiento del e-Commerce conlleva laaparición de situaciones de riesgo (comofraudes externos) cuyos efectos, en algunoscasos, no han podido analizarse totalmente(no existen antecedentes, no hay legislaciónque contemple esas situaciones, etc.).

Como vemos, muchas de estas cuestionesafectan a la operatoria de e-Banking desarrolladapor los bancos, si bien existen situaciones queexceden dicha actividad e impactan en la totalidadde operaciones llevadas a cabo por las entidades.

En particular, algunos de los aspectos que enprincipio podrían incrementar el riesgo operacionalen el contexto del sistema financiero en el país son:

• La redefinición de los objetivos de cadaentidad como punto de partida del armadode nuevos planes de negocio.

• La consideración de segmentos y produc-tos no trabajados habitualmente en lassituaciones previas a la crisis: nuevosproductos y procesos, entendiendo comonovedad su tratamiento en la entidad, nosólo su aparición en el mercado.

• La creciente tendencia a la tercerización deservicios.

• El crecimiento del volumen de transaccio-nes operadas a través de canales notradicionales (por ejemplo e-Banking).

• Los cambios en los sistemas, proyectados porlas entidades. En algunos casos de gruposfinancieros, el análisis de costos privilegia eldesarrollo de dichos proyectos en el país.

Pautas de administraciónde riesgo operacional ene-Banking

Dentro de sus publicaciones, el Comité deBasilea ha emitido algunas pautas de administracióndel riesgo operacional, a través de un documentocon 10 Principios (Publicación Nº 96 del Comité deBasilea “Sanas Prácticas para la Administración ySupervisión del Riesgo Operacional”, Febrero 2003).Básicamente, los principios se refieren a cuatropuntos clave: a) el desarrollo de un ambienteadecuado para la administración del riesgo; b) laadministración del riesgo: identificación, medición,monitoreo y control; c) el rol de la supervisión; y d) elrol de la divulgación de información.

Dado que el documento citado está orientado ala administración del riesgo operacional en elcontexto de la implementación del Nuevo Acuerdode Capital de Basilea, existen cuestiones que nose relacionan en forma directa con la operatoria dee-banking. Se trata de los puntos c) y d). Elprimero, referido al rol de la supervisión, comomoderador y evaluador de las condiciones quedeben cumplir las entidades con el fin de la utiliza-ción de modelos internos para la medición delriesgo operacional. El segundo punto, el rol de ladivulgación de la información, también se encuen-tra relacionado con la necesidad de informarpúblicamente al mercado acerca de los métodos ymodelos utilizados para la medición del riesgooperacional. Ambas cuestiones no serán objeto deanálisis en este documento.

Desarrollo de un ambienteadecuado para laadministración del riesgo

En general, el funcionamiento de una estrategiaefectiva de administración del riesgo, cualquierasea éste (operativo, legal, etc.), en una entidaddepende especialmente del compromiso delDirectorio y la Gerencia y el proceso de supervisiónque aplican sobre el banco.

Una de las principales cuestiones a considerares el conocimiento del Directorio y la Gerencia,respecto de los principales aspectos del riesgooperativo que enfrenta el banco. Dicho conoci-miento debería reflejarse en la estrategia definidapara la administración del mismo. Las decisionesde asunción de determinados niveles de riesgooperativo deberían ser explicitadas por laDirección, quien es responsable de las mismas.

La responsabilidad de la Dirección no sólo seacota a esta definición. Es parte de aquélla la aproba-ción de una estructura para la administración del riesgooperativo, así como asegurar que la Gerencia asumasus propias responsabilidades en el proceso.

Al respecto, las entidades con mayores avancesen el tema han establecido una función independientede administración de riesgo operativo a nivel corpora-tivo con una línea de reporte directa a la Alta gerencia(por ejemplo Oficial Jefe de Riesgo Operativo). Enotros casos, la Auditoría Interna juega un papelpreponderante como líder en la implementación de unproceso de administración del riesgo operativo. Eneste caso, el liderazgo debería acotarse a las etapasiniciales del proceso, a fin de mantener el criterio deindependencia de los auditores.

Las responsabilidades típicas para una funciónindependiente de riesgo operativo incluyen:

• Establecer definiciones consistentes para elriesgo operativo que incluya a todas lasunidades de negocio del banco;

• Desarrollar políticas, procedimientos yprácticas a nivel del banco, para asegurarque el riesgo operativo es adecuadamenteidentificado, monitoreado y controlado;

• Producir informes de exposición del riesgooperativo a nivel del banco y anticipar losriesgos claves e indicadores de desempeñopara la Alta Gerencia;

• Supervisar y asegurar la integridad delproceso de evaluación del riesgo operativodentro de las líneas de negocio;

• Desarrollar estrategias para mitigar el riesgooperativo, posiblemente en combinacióncon productos de mitigación de riesgostales como seguros para riesgos operativos,tercerización de actividades, etc.

Como en el caso del riesgo de mercado y delriesgo de crédito, la gerencia de cada una de laslíneas de negocio tendrá una mayor comprensiónde los procesos del negocio y los puntos de mayorvulnerabilidad que pudieran resultar en exposicio-nes significativas de riesgo operativo. En algunosbancos, los gerentes de líneas de negocios sonresponsables por el desarrollo de medidas devigilancia de las principales fuentes de riesgooperativo, reportando las observaciones o hallaz-gos a las funciones independientes deadministración de riesgos operativos e instalandolos controles apropiados.

La Dirección debería, asimismo, revisar la estra-tegia en forma periódica, para asegurar que seestén contemplando todos los cambios relevantes,que surjan de factores ambientales, o comoconsecuencia de la incorporación de nuevosproductos, actividades o sistemas.

Por ejemplo, aquellas entidades que cuentancon un sitio transaccional deberían contemplarregularmente la revisión de las operaciones permi-tidas a los clientes así como las eventualesincorporaciones, verificando que se adecuen a lasregulaciones vigentes.

Otro de los aspectos a considerar es la existen-cia de una auditoría interna adecuada, que controlela implementación efectiva de las políticas y proce-dimientos relacionados con la administración delriesgo operativo. El Directorio, a través de suComité de Auditoría, debería asegurar que elalcance y frecuencia de las pruebas programadasson apropiados para los riesgos involucrados.


B.C.R.A.31e-Banking

En cuanto a la Gerencia, debe traducir la estrategiade administración de riesgos establecida por el Directorioen políticas, procesos y procedimientos adecuados parala entidad. Asimismo es necesaria la formalización detales políticas y procesos, así como una adecuadacomunicación a todos los niveles organizacionales.

Un punto importante en el proceso de supervi-sión gerencial es la emisión de reportes periódicosque permitan monitorear la efectividad del sistemade administración del riesgo operativo, tanto porparte de la Gerencia como por el Directorio.

La Gerencia deberá también verificar que lasactividades de e-Banking y su monitoreo seanllevadas a cabo por personal calificado con lascapacidades técnicas necesarias.

En resumen, a los efectos del desarrollo de unadecuado ambiente de administración del riesgopodrían identificarse como los principales aspectosa considerar los siguientes:

Administración del riesgo:identificación, medición,monitoreo y control

Identificación y medición

Previo al lanzamiento o introducción de nuevosproductos, las entidades deben identificar clara-mente el riesgo operativo inherente, y preverprocedimientos adecuados de evaluación.

La efectiva identificación del riesgo consideratanto factores internos (tales como la complejidadde la estructura del banco, la naturaleza de las

actividades del banco, la calidad del personal, loscambios organizacionales y la rotación del perso-nal) y factores externos (tales como condicioneseconómicas fluctuantes, cambios en la industria yavances tecnológicos) que pudieran afectar adver-samente el logro de los objetivos del banco.

Dicho proceso debería incluir también unadeterminación de los riesgos que son controlablespor el banco y de los que no lo son.

Algunos de los ejercicios que pueden llevarse acabo para identificar adecuadamente los riesgosoperativos son:

• Auto-evaluación o evaluación de riesgos: Elbanco define un menú de posibles eventosde riesgo operativo y evalúa sus actividadescontra el mismo, identificando fortalezas ydebilidades del ambiente de control.

• Indicadores clave de riesgo: Se establecenestadísticas que pueden proveer una visiónde la posición de riesgo del banco, siendonecesaria su revisión periódica para alertarsobre cambios que pudieran implicarproblemas de riesgo. Los indicadorespodrían incluir, por ejemplo, tasas derotación del personal, frecuencia de errores,reclamos de clientes, etc.

Los factores de riesgo operativo usualmenteidentificados por los bancos son más bienmedidas de tipo interno como calificaciones deauditoría interna, desempeño, volumen de transac-ciones, tasas de error, etc., que factores de tipoexterno como en el caso de los riesgos de créditoy mercado. De todas formas, hay incertidumbreacerca de que factores son los más importantes,dado que no existe una relación directa entre losfactores de riesgo identificados y la dimensión yfrecuencia de las pérdidas.

Es por ello que el proceso de medición delriesgo operativo se encuentra, aún en sistemasfinancieros más desarrollados, en un estadio primi-tivo. Para cualquier sistema confiable de medición,se necesita recolectar los datos para desarrollarmedidas generales de riesgo operativo.

Monitoreo y control

Es esencial un proceso efectivo de monitoreopara administrar adecuadamente el riesgo opera-tivo. Las actividades de monitoreo sobre la marchapueden ofrecer la ventaja de detectar y corregirrápidamente las deficiencias en las políticas,procesos y procedimientos para administrar dichoriesgo. La frecuencia de monitoreo debería reflejarlos riesgos involucrados y la frecuencia y naturalezade los cambios en el entorno operativo.

Los bancos deberían tener políticas, procesosy procedimientos para controlar o mitigar el riesgooperativo identificado. Para los riesgos que soncontrolables, el banco debe decidir la extensión

con que desea utilizar los procedimientos decontrol y otras técnicas apropiadas, o soportar elriesgo. Para los riesgos que no pueden ser contro-lados, el banco debe decidir si aceptar estosriesgos o eliminar o reducir el nivel de la actividadde negocio involucrada.

Se deberían establecer procesos y procedimien-tos de control y las entidades deberían tener instaladoun sistema para asegurar el cumplimiento de unconjunto documentado de políticas internas concer-nientes al sistema de administración de riesgos.

Los principales elementos de este sistemapodrían incluir:

• Revisiones de alto nivel del progreso delbanco en la consecución de los objetivosestablecidos;

• Verificación del cumplimiento de los contro-les gerenciales;

• Un sistema de aprobaciones y autorizacionesdocumentadas para asegurar responsabili-dad a un nivel gerencial apropiado.

Para ser efectivas, las actividades de controldeberían ser una parte integral de las actividadesregulares de un banco, y deberían involucrar atodos los niveles de personal del banco, inclu-yendo tanto a la Alta Gerencia como al personal delas unidades de negocio. Los controles que sonuna parte integral de las actividades regularespermiten rápidas respuestas a las condicionescambiantes y evitan costos innecesarios.

A los efectos de mitigar el riesgo operacional,los bancos utilizan una variedad de técnicas. Engeneral, la existencia de controles internos y unproceso de auditoría interna son vistos como unode los principales mecanismos que permiten cubrireste objetivo.

En otros casos, algunas entidades tienenestablecidos ciertos “límites” de riesgo, usualmentebasados en su medición del riesgo operacional,superados los cuales se disparan alertas sobrepotenciales problemas.


B.C.R.A.33e-Banking

Como se comentaba precedentemente, loscontroles internos son vistos como la herramienta másútil para reducir o mitigar el riesgo operacional. Entredichos controles se destacan la segregación defunciones, el establecimiento de una línea clara dereporte y adecuados procedimientos operativos. A losfines de contemplar una adecuada segregación detareas y que el personal no tenga asignadas respon-sabilidades que pudieran crear conflictos de intereses,deberían identificarse las áreas de conflictos potencia-les de interés, minimizarse y ser objeto de uncuidadoso monitoreo y revisión independientes.

Las actividades de la auditoría interna también seconsideran un importante elemento en la administra-ción de riesgo operacional. Se destacan en particularla identificación de potenciales problemas, la validaciónde las auto-evaluaciones de la Gerencia y el segui-miento de las situaciones o problemas detectados ylas acciones para su resolución. De una encuestallevada a cabo por Basilea, surge que varios bancosestiman que la mayoría de los eventos de riesgooperacional se encuentran asociados con debilidadesde control interno o la inobservancia de los procedi-mientos de control existentes.

Con respecto a otras estrategias de mitigación deriesgos es necesario evaluar si están reduciendo elriesgo verdaderamente, o sólo transfieren el riesgo aotro sector o área del negocio. Una técnica crecientede mitigación de riesgos es el uso de pólizas deseguro para ayudar a mitigar el riesgo operativo resul-tante de eventos tales como errores y omisiones,pérdidas físicas de valores, fraude de empleados oterceras partes y desastres naturales. La convenienciade dicha práctica se encuentra en discusión, dado quese podría estar cambiando el riesgo operacional porriesgo de incumplimiento de la aseguradora.

Los bancos también deberían establecer políticassólidas para administrar los riesgos asociados con lasactividades tercerizadas. La tercerización de activida-des tiene el potencial de mejorar el desempeño delbanco y puede reducir el perfil de riesgo de la institu-ción transfiriendo actividades a otros que son másexpertos y tienen mayor escala para administrar losriesgos asociados con actividades especializadas delnegocio. Sin embargo, no deberían descuidarse losaspectos relativos al riesgo residual asociado con losacuerdos de tercerización, incluyendo la interrupciónde los servicios o eventuales riesgos de reputación.

Dependiendo de la importancia y criticidad de laactividad, los bancos deberían comprender el impactosobre sus operaciones y en sus clientes de cualquierdeficiencia potencial en los servicios provistos porproveedores y otros terceros suministradores de servi-cios, incluyendo interrupciones del servicio y la falla oincumplimiento potencial de los negocios de las terceraspartes. El alcance de la responsabilidad de las terceraspartes y su capacidad financiera para compensar albanco por los errores, negligencias y otras fallas opera-tivas deberían estar consideradas explícitamente comoparte de la evaluación de riesgos. Para las actividadescríticas, el banco podría necesitar considerar planes decontingencia, incluyendo la disponibilidad de terceraspartes externas alternativas y los costos y recursosrequeridos para cambiar las terceras partes, potencial-mente con muy poco tiempo de aviso.

Las inversiones en apropiada tecnología de proce-samiento y seguridad de tecnología informática sontambién importantes para la mitigación de riesgos. Sinembargo, los bancos deberían ser conscientes de queel aumento en automatización puede transformar laspérdidas de alta frecuencia y baja severidad en pérdi-das de baja frecuencia con alta severidad. Esto últimopuede ser asociado con pérdidas o interrupcionesextensas de servicios causadas por factores internos opor factores que están más allá del control inmediatodel banco (por ejemplo eventos externos). Talesproblemas pueden causar serias dificultades a losbancos y podrían comprometer la habilidad de unainstitución para llevar adelante las actividades clavesdel negocio, si no se contara con planes de contin-gencia adecuados.

En definitiva, a pesar de las diferencias entreentidades (tamaño, naturaleza y complejidad de susactividades, volúmenes de operaciones, etc.), un buensistema de información gerencial, una cultura fuerte decontrol interno y la existencia de planes de contingen-cia son elementos cruciales para una administraciónefectiva del riesgo operativo en cualquier entidad.

Algunos eventos de riesgooperacional en e-banking

Algunos ejemplos de eventos de riesgo opera-cional que afectaron a entidades financieras endistintas regiones del mundo, y se conocierondurante el ejercicio 2003 y el presente año:

B.C.R.A.35e-Banking

B.C.R.A.37e-Banking

Exposición de la Información CríticaSeguridad en Redes

Hoy en día, vivir en un mundo interconectadoimplica que las comunicaciones cumplan un papelfundamental en todos los sistemas, ya que los mismosrequieren compulsivamente cada vez más velocida-des en los enlaces para que la información llegue a losusuarios, vendedores, clientes, socios, etc.

Esto permite aseverar que no es posible consi-derar a estos entornos como cajas negras ysuponer que los mismos se encuentran seguros alestar dentro de nuestra organización.

La realidad evidencia que casi todos loselementos asociados a la red tienen la posibilidadde conectarse entre sí, de hecho los estragosocasionados por los famosos virus “Code Red”,“Nimda”, “Love”, etc. son prueba de ello.

Afortunadamente se han implementando solu-ciones tecnológicas, muchas de las cuales yaforman parte de los estándares que mantienen alas redes segregadas y protegidas.

Es importante resaltar que la auditoría de redeses sólo una “columna” de la estructura que formanjunto a la seguridad lógica (aplicativa, operativa yde base de datos), la seguridad física, y la conti-nuidad de negocio, etc., un conjunto de elementosque permiten asegurar los activos de las organiza-ciones.

Las redes en general, van desde simples LANsconectadas en una única oficina o edificio, hastaotras que pueden alcanzar distintos edificios ubica-dos en distintas regiones geográficas (en el mismoterritorio o en el exterior), con distintos tipos deaccesos (privados y/o públicos).

Vulnerabilidades:

Existen tres grandes grupos de vulnerabilidadesbásicas:

1. Intercepción: El dato, al ser transmitido através de la red, pasa por distintos medios yequipos que, generalmente, son custodiadosfísica y lógicamente por terceras partes sobre lascuales no se posee control. Estos datos puedenser interceptados, con la consiguiente posibili-dad de que alguien los lea, los modifique o losretire, al destruirlos o evitar que sigan su camino.Todo esto produce una pérdida de integridad enla información transmitida, llegando al extremode ocasionar importantes pérdidas materiales.

2. Disponibilidad: a medida que las redesproliferan, es cada vez mayor la cantidad deusuarios remotos que acceden a las aplica-ciones. Si las conexiones fallan, o no seencuentran disponibles por alguna razón, seproducen pérdidas materiales por interrup-ción de las operaciones del negocio.

3. Puntos de entrada o de acceso: Las redesextienden la utilización de los sistemas, posibili-tando la conexión de los usuarios indepen-dientemente de la ubicación geográfica en la quese encuentren. Esta ventaja, trae aparejado elriego de que “cualquiera” acceda, vea o transitepor la red, y de existir un punto débil en la confi-guración a través de la misma, pueda vulnerar laestructura de seguridad planteada, permitiendo alos intrusos, el acceso a la información sensibleo crítica. Por su configuración inherente, lasredes proveen muchos puntos de acceso paraintrusos, interceptores, virus, gusanos, troyanos,etc. Esta ventaja, la de permitir la conexión a lared por parte de cualquiera desde cualquierpunto, se convierte en desventaja desde el puntode vista de la seguridad. Es por ello que es tanimportante encontrar la ecuación que maximiceambos recursos: seguridad y accesibilidad.Afortunadamente, existe una cantidad desoluciones probadas que combinan hardwarey/o software para llegar a la situación óptima querequiere cada organización. En este punto, escrítico recordar que “el costo del control no debesuperar el valor del bien a resguardar”.

Controles:

Una vez identificadas las vulnerabilidades, anali-zaremos los controles a tener en cuenta:

Intercepción

El control de la seguridad en la capa física esfundamental por el hecho de permitir controlar laubicación de los equipos de comunicacionescomo primera barrera de seguridad.

Se debe tener especial cuidado en la evalua-ción de los puntos a controlar, sin dejar de lado elanálisis de los puntos de interconexión ante losdiferentes sistemas. No obstante, la llegada de lasconexiones inalámbricas hace que el control antesmencionado sea de difícil implementación.

La herramienta para la intercepción es la encrip-ción. Ésta elimina la necesidad de husmear la reden busca de datos que circulan por ella, ya que losmismos no pueden ser interpretados por terceros.

En la actualidad existen una cantidad demétodos que realizan encripción tanto a nivel deaplicación, como de comunicación, mediantedispositivos tales como routers, switches, multiple-xores, etc. Las VPN (redes privadas virtuales) sonun ejemplo del uso de la encripción a nivel de túnelde datos, sobre una red pública o compartida.Otros métodos pueden ser el uso de certificadosy/o firmas digitales.

Disponibilidad

El control que asegure la disponibilidad, seconsigue a través del establecimiento de unabuena arquitectura y monitoreo de las redes.

En el diseño de la red se debe asegurar queentre cada recurso y el punto de acceso, existancaminos redundantes y ruteos automáticos, queredireccionen el tráfico al camino habilitado sinpérdida de tiempo y de datos.

Cada componente de la red debe estardiseñado a prueba de fallas, o construido conciertos componentes redundantes.

Redes altamente distribuidas o complejasdeben ser monitoreadas y administradas, general-mente mediante la utilización de softwareespecífico, y en manos de un COR (Centro deOperaciones de Red) que brinde servicios 24/7.Dicho Centro será el encargado de asegurarse queel ancho de banda brindado en cada momento seael adecuado, sin cuellos de botellas, y brindando lavelocidad requerida por los usuarios y las aplica-ciones.

Puntos de acceso

Muchos de los controles en las redes seestablecen en los puntos de conexión con el“exterior”. Estos controles buscan limitar el tipo detráfico que puede ingresar o salir, o también restrin-gir las direcciones de origen y destino. Porejemplo, para proveer acceso a un servidor Webdentro de la red a los clientes distribuidos a lo largodel mundo, con el objeto de que puedan cargarórdenes de compra, la red debería aceptarsolamente ciertos tipos de protocolos (http), y nootros que permitieran validarse en los servidores(telnet).

En otra situación, en donde un socio o provee-dor brindan soporte y/o mantenimiento desdeubicaciones remotas fijas, la red debería aceptarconexiones para ese servicio exclusivamente, queprovengan desde locaciones definidas y conocidas.

Todo esto es controlable mediante correctasimplementaciones de reglas en los firewalls, omediante listas de acceso en los routers.

Los sistemas de detección de intrusos (IDS's) yantivirus trabajan en conjunto para detener y actuaren consecuencia junto a los firewalls, tomandomedidas correctivas dinámicas ante la ocurrenciade eventos definidos como críticos.


B.C.R.A.39e-Banking

Sanas prácticas a tener encuenta en el análisis de laseguridad en las redes

1. Determinación de la extensión de lared: Es fundamental para el establecimientode los controles identificar los límites lógicosdefiniendo que equipos serán consideradosinternos y cuales externos, y la actualizaciónperiódica, manual o mediante software, quemantenga los diagramas actualizados.

2. Ubicación de la información crítica:La seguridad aplicada al recurso debeencontrarse en relación al valor del activo aproteger, por lo que es necesario definir eidentificar cual será la información conside-rada confidencial, crítica, sensible, dedominio público interno o externo, etc., a losefectos de aplicar al recurso que la contienelas protecciones y accesos pertinentes.

3. Evaluar quienes deben tener accesoa los recursos: Determinar quienes debentener los permisos para acceder a los recursosy que tipos de accesos deben concedérseles(lectura, escritura, ejecución, etc.).

En este proceso deberían tenerse en cuentapuntos como:

a. ¿Los sistemas deben ser accedidos sólopor los empleados de la organización?

b. ¿Los proveedores y distribuidores debentener el mismo tipo de acceso que losempleados?

c. ¿Los empleados deben acceder a losmismos recursos tanto cuando se encuen-tran en la “red interna” como cuando estánen la “red externa”?

d. ¿Los clientes deben acceder a aplicacionesespecíficamente desarrolladas para seraplicadas a los servidores Web de la extra-net, o realizan conexiones mediante accesoremoto directamente con los sistemas de laorganización?

44.. DDeetteerrmmiinnaarr ccuuaalleess ssoonn llaass ccoonneexxiioonneess aa llaassrreeddeess eexxtteerrnnaass:: Todas las redes que seconectan a Internet lo hacen mediante unaconexión brindada por un Proveedor deInternet (ISP).

Las razones para contar con unaconexión son: brindar servicios de correo ynavegación a los usuarios internos, utilizarservicios de e-Commerce, e-Banking, lapublicación de servidores Web y otros. Aefectos de la utilización de estos serviciosse requerirán en algunos casos vínculosdedicados, dado su alto requerimiento deancho de banda.

Todos los elementos (gateways, routers,modems, etc.) a través de los cuales estasconexiones son establecidas, son puntospotenciales de riesgo.

“Todo vínculo que ingresa al ámbito de lared interna, sin que se posean los permisosy accesos necesarios para constatar laconfiguración del equipo que lo vincula,constituye un riesgo potencial”.

A esta altura ya estamos en condicionesde reconocer los límites de la red interna, losrecursos que contienen la información, ensus distintos niveles de confidencialidad, lospermisos asignados a los usuarios y losmecanismos aplicados para acceder a lainformación dependiendo de la localizacióndel cliente.

55.. ¿¿CCuuaalleess ddeebbeerrííaann sseerr llooss mmeeccaanniissmmooss ddeepprrootteecccciióónn aapplliiccaaddooss??::

Existen una cantidad de organizacionesque se dedican a informar las vulnerabilida-des detectadas por terceros o lasinformadas por los desarrolladores o fabri-cantes. Son los denominados “parches”que solucionan ciertos “problemas” en lasaplicaciones o sistemas operativos, que almomento de su lanzamiento al mercado nofueron contemplados o debidamente anali-zados.

Estos “parches” deben ser aplicados aequipos de testeo o desarrollo antes que alos de producción, ya que en ciertasocasiones se presentan incompatibilidadescon desarrollos locales o de terceros reali-zados “a medida”.

Cuando alguien trata de aprovecharesas vulnerabilidades, utilizan códigos queforman un patrón (firma) que permite serdetectado. Esta propiedad es utilizada porlos IDS's para alertar de la ocurrencia deesta clase de eventos al personal encar-gado de la seguridad, considerándoloscomo un intento de intrusión.

Una definición de “vulnerabilidad” entérminos tecnológicos o de seguridadinformática es:

“Falla en la configuración o en la instala-ción de un programa (software) o de undispositivo (hardware), que permite obteneracceso de manera no autorizada alprograma o hardware”.

Se identifican tres tipos de vulnerabili-dad:

• Debido a un error de diseño inicial lógico /físico en un dispositivo o en un programa.

Ej.: Una aplicación de uso bancario queno requiera contraseñas de uso (por excesode confianza en los empleados).

• Debido a una metodología incorrecta dediseño, la cual no toma en cuenta elambiente en el cual el producto va a ser utili-zado.

Ej.: Software que no pueda ser instaladoen el ambiente para el cual fue desarrollado.

• Debido a la inducción deliberada de lavulnerabilidad, en cualquier etapa deldiseño, con el fin de aprovecharse de lamisma para beneficio propio.

Un empleado disgustado, que altera elgenerador de números aleatorios en una

aplicación de contraseñas, para que lasmismas tengan un largo fijo y un número decombinaciones finitas muy pequeño.

La existencia de estas vulnerabilidades hacenecesario identificar o conocer si la informaciónresguardada ha sido accedida por personal noautorizado o si existen individuos procurandoobtenerla. Esta función de detección es cumplidapor los IDS (sistemas de detección de intrusos).

Sistemas de Detección deIntrusos

Estos sistemas forman parte de una pequeña,pero crítica, familia de dispositivos que permitenalertar ante la ocurrencia de eventos identificadoscomo maliciosos.

Dependiendo del lugar aplicado al sensor o lafunción que desempeña existen distintos tipo deIDSs (sistema de detección de intrusos):

HIDS (Host IDS) Este tipo de monitor de eventos concentra

datos de múltiples fuentes que analizan la actividadsospechosa. Este monitoreo es realizado en tiemporeal y las fallas de los sistemas protegidos sondetectadas rápidamente, promoviendo su populari-dad entre el personal técnico y de seguridad.

IDS de redEste dispositivo monitorea todo el tráfico que

atraviesa el segmento donde el agente está insta-lado, reaccionando ante cualquier anormalidad ofirma de actividad sospechosa. Es un “Sniffer” conactitud. Su magnitud varía entre aquellos simplesque se cargan y funcionan, y aquellos que requie-ren de configuraciones específicas y complicadas.Dependiendo de la velocidad de la red, estosdispositivos no requieren hardware de magnitud.

NNIDS (Network node IDS)Con el advenimiento de las redes switcheadas

y el aumento en la velocidad de transmisión segeneraron cuellos de botella para el análisis de lospaquetes que circulan, teniendo que descartargran cantidad de ellos.


B.C.R.A.41e-Banking

Las redes switcheadas permiten que se anali-cen los paquetes mediante la modalidad deconfiguración de las placas en modo promiscuo.Siempre existe la posibilidad de definir uno de lospuertos del switch para realizar análisis autorizadosde la información que circula por la red, mediantealgún analizador de protocolo o software especí-fico.

IDS Híbridos (No Promiscuos combinadocon el Log de eventos)

Combinando el NNIDS y el Host IDS en un solopaquete, se realiza una buena cobertura teniendoen cuenta la relación o la ecuación cantidad deinformación y costo, reservándose esta estructuraen general para servidores críticos.

Controladores deIntegridad

¿Cómo determinar si un archivo ha sido modifi-cado por un atacante en beneficio propio? Cuandoun sistema es comprometido, generalmente elatacante altera ciertos archivos clave que leproveen acceso continuo. Los controladores deintegridad aplican una serie de algoritmos a la infor-mación, que les permite determinar si el contenidode la misma ha variado. Cuando se detectancambios en las verificaciones periódicas, loscontroladores disparan alarmas de notificación.

Equipos Trampa(HoneyPots)

Estos equipos son herramientas altamente flexi-bles con diversas aplicaciones en seguridad. Nosolucionan un único problema; por el contrario, sonaplicables para múltiples usos tales como preven-ción, detección o simplemente recopilación de lainformación. Básicamente, todos comparten elmismo concepto: es un recurso de seguridad queno debería tener interacción con los sistemasproductivos o actividad autorizada. Esta caracterís-tica hace simple su utilización.

En general, existen dos tipos: los de produc-ción y los de investigación. Los primeros capturaninformación limitada y son generalmente usados encompañías y organizaciones. Los segundos son

de configuración y mantenimiento más elaborado,capturan cuantiosa información y son comúnmenteutilizados por organizaciones militares o guberna-mentales.

Los Equipos Trampa son una nueva tecnología,con un potencial enorme para la comunidad de laseguridad informática. A diferencia de los Firewallso de los Sistemas de Detección de Intrusos, estosequipos no resuelven un problema específico.Pueden abarcar en su objetivo desde el descubri-miento de los ataques encriptados en las redes deIPv6 hasta la captura de los datos de intento defraude en línea, realizados a bases de datos muyextensas.

Un Equipo Trampa es una herramienta utilizadapara determinar cuando un recurso es de uso ilícitoo no autorizado.

Conceptualmente, la mayoría de los equipostrampa trabajan de la misma manera: no tienenninguna actividad autorizada ni tienen valores delentorno productivo. Teóricamente, no deberían verel tráfico de red, al no poseer un perfil que lesasigne alguna actividad legítima. Esto implica quecualquier interacción con el equipo trampa proba-blemente se relacione a una actividaddesautorizada o fraudulenta. Cualquier conexiónque se intenta a estos dispositivos es probable-mente una sonda, un ataque o un intento decomprometer al recurso. Si bien en su concepciónparece muy simple, es esta misma simplicidad laque le brinda importantes ventajas.

Las ventajas:

• Pocos datos de alto valor: Los equipostrampa coleccionan cantidades pequeñasde información. En lugar de acumular gigabites de datos por día, anotan sólo megabites de datos por día. De la misma forma,se reduce notoriamente el número dealarmas generadas. Al capturar sólo laactividad dudosa, cualquier interacción conellos es probablemente actividad no autori-zada o malévola. La información es mínima,pero de alto valor, por lo que el análisis delos datos almacenados en estos equiposbrinda ventajas de facilidad y abaratamientode costos.

• Maleabilidad: Estos equipos pueden capturarun modelo no prefijado de intrusión, inclusoherramientas o tácticas no reconocidas.

• Mínimos recursos: Como sólo capturan la activi-dad fraudulenta, requieren mínimos recursos.

• Encriptación o IPv6: Al contrario de otras tecno-logías de seguridad (como los sistemas deDetección de Intrusión) los equipos trampa traba-jan bien en ambientes encriptados o con IPv6.

• Simplicidad: No requieren de algoritmos ofirmas.

Las desventajas:

Dentro de las debilidades de esta tecnología,se pueden enunciar:

• Vista limitada: El dispositivo puede rastrear ycapturar la actividad sólo cuando se interactúacon él. No capturará los ataques contra otrossistemas, a menos que el asaltador o laamenaza también actúe recíprocamente.

• El riesgo: Las distintas tecnologías deseguridad poseen riesgos específicos: unfirewall podría ser superado, podríaromperse la encriptación, un sensor de IDStiene el riesgo de no descubrir los ataques.Específicamente, en el caso de los equipostrampa, existe el riesgo de ser tomados porel intruso y usados para dañar otros siste-mas, variando la magnitud de dicho riesgoen función del tipo de honeypot utilizado.

Clasificación de los equipostrampa (honeypots)

Los equipos trampa pueden ser clasificados deacuerdo con la interacción que poseen, o sea elnivel de actividad que estos dispositivos le permi-tan al atacante.

De baja interacción son aquellos que normal-mente limitan la actividad y trabajan emulandoservicios y sistemas operativos. La principal ventajade este tipo de equipos es la facilidad de instala-ción y mantenimiento con un riesgo mínimo. Su

desventaja principal es que sólo recolecta unacantidad limitada de información y se lo diseñapara capturar sólo un tipo de actividad conocida.Para un asaltador experimentado, es fácil descu-brirlos, no importa cuan buena sea la emulación.

Los equipos trampa de alta interacción songeneralmente soluciones complejas, involucransistemas operativos y aplicaciones reales. No existeemulación y el atacante estará actuando sobre elprocesamiento real. Ofrece como ventaja el conoci-miento, en tiempo real, de la existencia de unataque, y la posibilidad de análisis, en el momento,de nuevas conductas de comportamiento de intru-sión. La desventaja de este tipo de dispositivos es lanecesidad de utilizar tecnologías adicionales comoinstrumento para impedir que el atacante puedadañar otros sistemas. Adicionalmente, son comple-jos para su instalación y mantenimiento.

Redes Trampa(Honeynets): El honeypotde la alta-interacción

Las redes Trampa son un ejemplo de equipostrampa de alta-interacción. Se trata de una arquitec-tura de red, donde toda la actividad es monitoreaday capturada. Dentro de esta red, se instalan inten-cionalmente a las eventuales “víctimas” junto a lascomputadoras reales que ejecutan las aplicacionescorrientes. Cuando los intrusos acceden al sistemano comprenden que están dentro de una redtrampa. Toda su actividad, las sesiones de SSHencriptadas, los correos electrónicos y los archivostransferidos, son capturados sin que ellos se dencuenta. Esto se logra insertando un módulo en elnúcleo de los sistemas operativos de la “víctima”,que captura todas las acciones del asaltador.

Al mismo tiempo, la Red Trampa controla laactividad del asaltador, usando una entrada delFirewall Trampa (Honeywall). Esta entrada permite eltráfico entrante a los sistemas de la “víctima” perocontrolando el tráfico que sale, utilizando las tecno-logías de prevención de intrusión. Esto da una ciertaflexibilidad permitiendo al asaltador actuar recípro-camente con los sistemas de la víctima, pero impideal asaltador dañar otras computadoras del entornode Redes No-Trampa.


B.C.R.A.43e-Banking

Aplicación de los equipostrampa

Cuando el honeypot es utilizado con propósitosde producción, el objetivo es proteger a la organi-zación respondiendo a un ataque, lo que debeincluir los conceptos de prevención y alerta.

Cuando el dispositivo es usado con propósitosde investigación, se estará coleccionando informa-ción que tiene un valor diferente para cada una delas organizaciones. Algunas de ellas puedenquerer estudiar las tendencias en la actividad delasaltador, mientras otras estarán interesadas endar alerta anticipada y predictiva ante hechos quevayan en contra de las leyes vigentes.

En general, los equipos trampa de baja-interac-ción se usan para propósitos de producción,mientras que los de alta-interacción se usan conpropósitos de investigación.

Cuando se usan en ambientes productivos, losequipos trampa pueden proteger a la organizacióncon el fin de lograr la prevención, el descubrimientoo la respuesta.

Estos equipos ayudan a prevenir los ataquesautomatizados (como por ejemplo, los gusanos).Dichos ataques se basan en herramientas que, alazar, examinan redes enteras en busca de siste-mas vulnerables, con el fin de capturarlos. Loshoneypots pueden ayudar a defenderse contratales ataques, retardando su examinado hastallegar incluso a detenerlos.

Los equipos trampa también pueden darprotección a su organización contra los asaltadoreshumanos. El concepto aplicado es el de decep-ción o disuasión: la idea es confundir al asaltador,para hacerle perder su tiempo y recursos ya queactúa recíprocamente con el equipo trampa.Entretanto, la organización ha descubierto la activi-dad del asaltador y ha tenido el tiempo suficientepara responder y detener al mismo.

La detección es otra forma en que los equipostrampa pueden ayudar a la protección de lasorganizaciones. Esta detección es crítica y el propó-sito consiste en identificar un fracaso o una ruptura,ya que independientemente de cuan segura es unaorganización, siempre habrá fallas simplementeporque existen personas en el proceso.

Finalmente, otro medio en que los equipostrampa ayudan a proteger a las organizaciones esen la respuesta. Una vez que una organizacióndetecta un ataque surge como interrogante larespuesta. Esto puede ofrecerle al personal deseguridad uno de los más grandes retos, ya que ladeterminación de la identidad, la forma en que seaccedió al sistema y el daño real ocasionado porun atacante, son datos de difícil o casi nula obten-ción. En general, es prácticamente imposible sacarde línea a los sistemas comprometidos para anali-zarlos.

Sistemas productivos tales como servidores demail son tan críticos en la operatoria que es impen-sado “bajarlos”, sacándolos de línea para aplicarlesprácticas de análisis forense apropiadas,conformándose con la realización de controles defuncionalidad mientras siguen prestando servicios.Esto reduce la posibilidad de analizar que ocurrió,cuanto daño se produjo, e incluso si el atacantellegó a quebrar otros sistemas.

Otro inconveniente es que si el sistema essacado de línea es muy difícil determinar lascausas que originaron la caída, ya que es compli-cado identificar, de toda la informaciónalmacenada, cuales registros corresponden a laactividad normal del día a día y cuales a las delatacante.

Los equipos trampa ayudan en la resolución deestas debilidades. Al no tener datos productivos,pueden ser retirados del entorno de producciónpara un análisis forense exhaustivo, sin que estoimpacte en las operaciones diarias.

Por último, el uso de los equipos trampa eninvestigación es considerada una herramienta útil alrecopilar información valiosa sobre las amenazas.Los dispositivos coleccionan dicha información, queposteriormente puede utilizarse para una variedadde propósitos, incluso el análisis de tendencias, laidentificación de nuevas herramientas o métodos,asaltadores y sus comunidades o motivaciones, ydando alerta anticipada y predicción.


B.C.R.A.45e-Banking

Glosario TecnológicoAgent - Agente:En detección de intrusiones, una entidad indepen-diente que realiza labores de monitoreo y análisisde bajo nivel y envía sus resultados a un coordina-dor o un transmisor-receptor. También conocidocomo sensor.

Anomaly - Anomalía:No usual o estadísticamente raro.

Anomaly detection - Detección de anomalías:Detección basada en la actividad del sistema quecoincide con la definida como anormal.

Application log - Registro de aplicación:En sistemas Windows, es uno de los tres tipos deregistros de eventos. Este registro contiene loseventos generados por las aplicaciones.

Application Program Interface - Interfazde programación de aplicaciones (API):Conjunto de rutinas, protocolos, y herramientaspara la construcción de aplicaciones software.

Artificial Intelligence - Inteligencia artificial (AI):Ciencia que busca la comprensión de entidadesinteligentes.

Assessment system - (Véase “VulnerabilityScanner”).

Assessment - Evaluación, estimación.

Attribute - Atributo.

Authentication - Autenticación, autentificación:Proceso de confirmar la identidad de una entidadde sistema (un usuario, un proceso, etc.).

Authorization - Autorización:Acción de otorgar el acceso a usuarios, objetos oprocesos.

Back door - Puerta trasera:Mecanismo que permite a un atacante entrar ycontrolar un sistema de forma oculta. Suelen insta-larse justo después de comprometer un sistema.(Véase también “Vulnerabilidad”).

Backbone - Eje principal, red troncal,estructura principal.

Bandwidth - Amplitud de banda, ancho debanda:1. Diferencia en hertzios (Hz) entre la frecuenciamás alta y la más baja de un canal de transmisión.2. Datos que pueden ser enviados en un períodode tiempo determinado a través de un circuito decomunicación. Se mide en bits por segundo (bps).

Batch - Lote:En informática, programa asignado a un sistemapara ser ejecutado de forma desatendida. Lostrabajos por lotes suelen ejecutarse en un planosecundario, mientras que los interactivos se ejecu-tan en primer plano.

Binary Log Format - Formato de registrobinario:Formato de registro utilizado por herramientasbasadas en las librerías “libpcap”, como por ejemplo“tcpdump”. Se aplica para registrar el tráfico de red.Algunas de las ventajas del formato binario sobre elformato ASCII, son su menor necesidad de almace-namiento y que la información que contiene puedeser accedida en menos tiempo.

Bit:Abreviación de “binary digit”. Unidad elementalde información en un sistema informático. Tieneun único valor en formato binario: “0” ó “1”.(Véase también “Byte”).

Black-hat Community - Comunidad delSombrero negro:Aquellos que acceden o intentan acceder a recur-sos de información a través de Internet sin tenerautorización para hacerlo.

Bridge - Puente:Dispositivo que permite la interconexión de dosredes con igual o distintos interfaces o pila deprotocolos. Realiza funciones de encaminamientode paquetes a nivel de enlace. Un puente multi-puerto es prácticamente un conmutador. (Véasetambién “Conmutador”).

Buffer - Búfer, memoria intermedia:Área de memoria de un sistema reservada paraalmacenar información de forma temporal.Generalmente se utiliza para compensar lasdiferencias de velocidad surgidas entre variasseñales o procesos.

Buffer Overflow - Desbordamiento de búfer,desbordamiento de la pila:Técnica que consiste en almacenar más datos en unbúfer de los que puede contener. Los datos que nocaben pueden invadir zonas adyacentes a la delbúfer, corrompiéndolas o sobrescribiéndolas. Estemétodo es ampliamente utilizado para realizarataques que abren interfaces de comando remotas.

Bug - Error, fallo:En informática, fallo (o agujero) de seguridad.

Byte - Byte, octeto:Unidad de información compuesta por ocho bits.Modificando los diferentes bits de un byte se puedenobtener hasta 256 combinaciones diferentes.

Cache - Almacén, ante-memoria, depósito:Mecanismo especial de almacenamiento de altavelocidad. Puede ser una zona reservada de lamemoria principal, o un dispositivo independientede almacenamiento de alta velocidad.

Checksum - Suma de control, suma deverificación, suma de comprobación:Algoritmo matemático que genera un número únicoa partir de un conjunto de datos, utilizado paracomprobar la integridad de los mismos.

Composition - Composición:1. En detección de intrusiones, proceso de combinarinformación procedente de distintas fuentes en un flujode datos coherente. 2. En seguridad informática,combinar un conjunto de componentes en un sistemapara obtener los atributos de seguridad del mismo,según las propiedades de dichos componentes.

Compromised - Comprometido, violentado:Estado de un equipo/sistema cuando un intruso haingresado.

Correlation - Correlación:En detección de intrusiones, relación que seestablece entre diferentes fuentes de información.

Crack - Invadir, penetrar.

Data Mining - Minería de datos:Arte y ciencia de descubrir y explotar relacionesnuevas, útiles y provechosas en grandes cantida-des de información.

Datagram - Datagrama:Mensaje que se envía en una red de comunicacio-nes por intercambio de paquetes.

DDoS - (Véase “Distributed Denial ofService”).

Demilitarized Zone - Zona desmilitarizada,red perimétrica (DMZ):Máquina o pequeña subred situada entre una redinterna de confianza (como una red local privada) yuna red externa no confiable (como Internet).Normalmente en esta zona se sitúan los dispositi-vos accesibles desde Internet, como servidoresWeb, FTP, SMTP o DNS, evitando la necesidad deacceso desde el exterior a la red privada. Estetérmino es de origen militar y se utiliza para definirun área situada entre dos enemigos.

Deceptive application - Aplicación engañosa:Aplicación cuya apariencia y comportamientoemulan a una aplicación real. Normalmente seutiliza para controlar acciones realizadas poratacantes o intrusos.

Decoy server - Servidor señuelo o servidortrampa. Véase (“Honeypot”).

Denial of Service - Denegación de servicio(DoS):Estrategia de ataque que consiste en saturar deinformación a la víctima con información inútil paradetener los servicios que ofrece. (Véase también“Denegación de servicio distribuida”).

Distributed Denial of Service - Denegaciónde servicio distribuida (DDoS):Estrategia de ataque que coordina la acción demúltiples sistemas para saturar a la víctima coninformación inútil para detener los servicios queofrece. Los sistemas utilizados para el ataquesuelen haber sido previamente comprometidos,pasando a ser controlados por el atacantemediante un cliente DDoS. (Véase también“Denegación de servicio”).

DMZ - (Véase “Demilitarized Zone”).

DoS - (Véase “Denial of Service” ).


B.C.R.A.47e-Banking

Encryption - Cifrado:Proceso mediante el cual se toma un mensaje enclaro, se le aplica una función matemática, y seobtiene un mensaje codificado.

Ethernet:Sistema de red de área local de alta velocidad.

Exploit - Ardid, artificio:Implementación de un fallo de seguridad utilizadopara comprobar y demostrar la existencia del fallo, obien para comprometer al sistema de forma ilícita.

False negative - Falso negativo:En detección de intrusiones, error producido cuandoel sistema diagnostica como ataque una actividadnormal. También conocido como error de tipo II.

False positive - Falso positivo:En detección de intrusiones, error producidocuando el sistema diagnostica como actividadnormal un ataque. También conocido como errorde tipo I.

File Transfer Protocol - Protocolo de trans-ferencia de ficheros (FTP):Protocolo que permite a un usuario de un sistemaacceder a otro sistema de una red, e intercambiarinformación con el mismo.

Fingerprint - Huella dactilar, huella digital.

Firewall Herramienta de seguridad que proporciona unlímite entre redes de distinta confianza o nivel deseguridad, mediante el uso de políticas de controlde acceso de nivel de red.

Flag - Indicador.

Free Software - Software libre:Código que otorga libertad a los usuarios paraejecutar, copiar, distribuir, estudiar, cambiar ymejorar el mismo. (Véase también “Códigoabierto”).

FTP - (Véase “File Transfer Protocol”).

Gateway - Pasarela, puerta de enlace.

Hash Function - Función resumen:Función de cifrado que permite detectar cambiosen objetos.

HID - (Véase “Host based intrusiondetection” ).

Honeynet - Red trampa:Es un tipo de sistema trampa. Red de sistemasreales diseñada para ser comprometida.

Honeypot - Equipo o Sistema trampa:Recurso de sistema de información cuyo valorreside en el uso no autorizado o ilícito de dichorecurso.

Honeywall:Equipo dentro de la red trampa que actúa comopasarela/puente, y donde se instalan las utilidadesde control y captura de datos (iptables, ebtables,snort, sebek, etc.).

Host - Anfitrión, máquina anfitriona, puesto.

Host based - Basado en máquina:Que controla información de fuentes internas a unamáquina.

HTTP - (Véase “Hypertext Transfer Protocol”).

Hub - Concentrador:Dispositivo que permite la interconexión de lasestaciones de trabajo entre sí. No realiza funcionesde encaminamiento; lo que recibe por un puerto loreenvía a través del resto. (Véase también“Repetidor”).

Hypertext Transfer Protocol - Protocolo deTransferencia de Hipertexto (HTTP):Protocolo usado para la transferencia dedocumentos www. (Véase también “www”).

Identification and authentication -Identificación y autenticación (I&A):Mecanismo de seguridad que asigna una identidadúnica a cada usuario (identificación) y la comprueba(autenticación).

IDS - (Véase “Intrusion Detection System”).

IETF - (Véase “Internet Engineering Task Force”).

In-line mode - Modo en línea:Método de intercepción del tráfico de red, queconsiste en hacer pasar todo el tráfico a través deun monitor o rastreador, generalmente configuradocomo puente, para minimizar el impacto sobre elrendimiento de la red y dificultar su detección.

Integration - Integración:En ingeniería de sistemas, combinación decomponentes en una entidad coherente.

Integrity checker - Comprobador de integridad:Herramienta de seguridad que utiliza funcionesresumen basadas en algoritmos de cifrado, paradetectar alteraciones en objetos del sistema.

Internet Engineering Task Force - Grupo detrabajo de ingeniería de internet (IETF):Una de las principales organizaciones encargadasde la formulación de estándares en Internet.

Internet Protocol Security - Seguridad deprotocolo Internet (IPSec):Conjunto de protocolos desarrollados por el IETFpara soportar el intercambio seguro de paquetesen el nivel IP. IPsec se utiliza ampliamente paraimplementar Redes Virtuales Privadas (VPNs).

Internet Protocol version 6 - ProtocoloInternet versión 6:Revisión del protocolo Internet que viene a sustituira la tradicional versión 4. Cuenta con nuevascaracterísticas, como mejoras en las direcciones,simplificación de la cabecera, nuevo soporte deextensiones y opciones, etiquetado de tráfico, ycapacidades de autenticación y privacidad.

Interoperability - Interoperabilidad:Capacidad de un sistema para trabajar con otrossin que sean necesarios grandes esfuerzos porparte del usuario.

Intrusion - Intrusión:Violación intencionada de las políticas de seguri-dad de un sistema.

Intrusion detection - Detección de intrusiones:Proceso que controla los eventos de un sistema ored, en busca de signos que indiquen problemasde seguridad.

Intrusion Detection System - Sistema dedetección de intrusiones (IDS):Sistema que controla redes y sistemas en buscade violaciones de políticas de seguridad. Estácompuesto por tres elementos fundamentales:fuentes de información, motor de análisis ymecanismos de respuesta.

Intrusion Prevention System - Sistema deprevención de intrusiones (IPS):Sistema que combina las capacidades de bloqueode un firewall y las de análisis de un IDS. Estádiseñado para detener ataques antes de quetengan éxito.

Intrusive monitoring - Monitoreo de intrusión:En análisis de vulnerabilidades, obtener informa-ción mediante la realización de comprobacionesque afectan al estado del sistema, llegando enalgunos casos a provocar su caída.

IPS - (Véase “Intrusion Prevention System”).

IPsec - (Véase “Internet Protocol Security”).

IPv6 - (Véase “Internet Protocol versión 6”).

Isolation - Aislamiento.

Libpcap:Interfaz independiente del sistema para la capturade paquetes de nivel de usuario, desarrollada en el“Lawrence Berkeley National Laboratory”.

Log - Registro, historial.

Logger - Gestor de registro de actividades:Componente del sistema encargado de las laboresde registro de actividad.

Mainframe - Gran computadora, servidorcorporativo, computadora central, macro-computadora.


B.C.R.A.49e-Banking

Man-in-the-middle attack - Ataque porinterceptación:Estrategia de ataque en la que el atacante inter-cepta una comunicación entre dos partes,substituyendo el tráfico entre ambas a voluntad ycontrolando la comunicación.

Masquerade - Enmascaramiento, falsea-miento de identidad.

Masquerader - Enmascarado:Atacante que accede a un sistema utilizandoidentificadores de usuario y contraseñas deusuarios legítimos.

Masquerading - Enmascaramiento, mimeti-zación.

Message digest - Resumen de mensaje.(Véase “Función resumen”).

Misuse - Uso indebido:Actividad o comportamiento conocida como malao inapropiada.

Misuse Detection - Detección de usosindebidos:Detección basada en la actividad del sistema quecoincide con la definida como mala.

Monitor - Monitor, monitoreo:Cualquier mecanismo o método utilizado por unsistema de detección de intrusiones para obtenerinformación.

Monitoring policy - Política de monitoreo:Conjunto de reglas que definen la forma en que sedebe capturar e interpretar la información.

Multi-host based - Basado en multi-máquina:Que controla la información de fuentes internas amúltiples máquinas. (Véase también “Basado enMáquina”).

Multihost - Multi-máquina.

Network based - Basado en red:Que controla información de fuentes de red,generalmente captura de paquetes.

Network hop - Salto de red:Estrategia de ataque en la que el atacante intentaocultar su identidad realizando sus actividadesdesde otros sistemas comprometidos.

Network management - Gestión de redes:Controlar diversos aspectos de una red paraoptimizar su eficiencia. Las cinco categorías degestión de red son: seguridad, fallo, auditoría,configuración y gestión de rendimiento.

Network Node Intrusion Detector -Detector de Intrusiones de Nodo de Red:Detector de intrusiones basado en red que seinstala en una máquina. Esta medida ayuda asolventar problemas como los asociados a entor-nos conmutados o cifrado en las comunicaciones.

Network Tap - Dispositivo de escucha de red:Dispositivo de aspecto externo similar a unconcentrador o un conmutador, que permite a unrastreador interceptar el tráfico de red entre dossegmentos sin ser detectado. Además, apenasafecta al rendimiento de la red.

NID - (Véase “Network Intrusion Detection”).

NNID - (Véase “Network Node IntrusionDetection”).

Non credentialed analysis - Análisis sinacreditaciones:En análisis de vulnerabilidades, enfoque de controlpasivo en los que las contraseñas u otro tipo decredenciales no son necesarias. Normalmenteimplica el lanzamiento de ataques contra elsistema, provocando algún tipo de reacción.

Non intrusive monitoring - Monitoreo de nointrusión:En análisis de vulnerabilidades, obtener informa-ción mediante la ejecución de una lista decomprobaciones de los atributos del sistema.

Open Source - Código abierto:Software que cumple los criterios descritos por lainiciativa “Open Source”. Este término no implica elacceso al código fuente. (Véase también“Software Libre”).

Open Systems In terconnect ion -Interconexión de Sistemas Abiertos (OSI):Estructura de protocolos en siete niveles propuestapor ISO (International Standardization Organization)e ITU-T (International Telecommunication UnionTelecommunication Standardization Sector).

OS fingerprinting - Identificación desistema operativo:Conjunto de técnicas utilizadas para determinar laidentidad del sistema operativo de un sistemaremoto. Generalmente se logra mediante el envíode determinados datos de red y el posterior análi-sis de las respuestas recibidas.

OSI - (Véase “Open Systems Interconnection”).

Packet - Paquete:Estructura de datos con una cabecera que puedeestar o no lógicamente completa. Más a menudo,se refiere a un empaquetamiento físico de datosque lógico. Se utiliza para enviar datos a través deuna red conmutada de paquetes.

Passive response - Respuesta pasiva:Respuesta en la que el sistema simplemente regis-tra e informa de la intrusión o ataque, delegando enel usuario las acciones subsecuentes.

Password cracker - Destructor de contraseñas:Herramienta de seguridad diseñada para descubrirlas contraseñas de los usuarios. En la mayoría delos casos se utilizan diferentes aproximacionespara obtenerlas.

Patch - Parche:En seguridad informática, código que corrige unfallo (agujero) de seguridad.

Plug-in - Accesorio, añadido, módulo.

Polymorphic shell - Interfaz de comandospolimórfica:Interfaz de comandos cuyo código cambia concada ejecución. Esto se hace para evadir losdetectores de intrusión basados en reglas. En lamayoría de los casos se utilizan durante ataquesde desbordamiento del búfer.

Polymorphic virus - Virus polimórfico:Virus informático que cambia de aspecto con cadaejecución. Esta característica tiene el objeto deevitar a los detectores de virus.

Port scan - Sondeo de puertos, escaneo depuertos:Barrido de puertos generalmente usado paradeterminar qué servicios ofrece un sistema. Es unode los métodos más comunes entre los atacantespara obtener información de sus objetivos. (Véasetambién “Escaneo Sigiloso de Puertos”).

Privilege - Privilegio:Nivel de confianza perteneciente a un objeto delsistema.

Promiscuous mode - Modo promiscuo:Respecto a una interfaz de red, el modo de opera-ción que genera una interrupción por cadaactividad de red detectada. Esto permite a la inter-faz recoger todo el tráfico de red de su segmentoy entregárselo al detector de intrusiones.

Protocol stack - Pila de protocolos:Conjunto de protocolos que se implementan en undeterminado sistema.

Race condition - Condición de carrera:Comportamiento anómalo provocado por unadependencia excesiva del tiempo relativo transcu-rrido entre diferentes eventos.

Real-time analysis - Análisis en tiempo real:Análisis realizado de forma continua, con resulta-dos obtenidos en un tiempo en que permita alterarel estado actual del sistema.

Record - Informe, historial.

Repeater - Repetidor:Dispositivo que regenera la señal que pasa a travésde la red, permitiendo extender la distancia detransmisión. Un repetidor multi-puerto se conocecomo un concentrador. (Véase también“Concentrador”).


B.C.R.A.51e-Banking

Router - Encaminador, enrutador:Dispositivo que reenvía paquetes de datos entreredes. Permite conectar al menos dos redes. Lospuntos de conexión con el “encaminador” son laspuertas de enlace de cada red.

Rule base - Base de reglas:Conjunto de reglas utilizadas para analizar losregistros de datos.

Rule based - Basado en reglas:En detección de intrusiones, que utiliza patronesde actividad (generalmente ataques conocidos)para reconocer una intrusión.

Scalability - Escalabilidad:Forma en que la solución a un determinadoproblema se comporta cuando el tamaño delproblema crece.

Scan - Escanear. (Véase “Port scan”).

Script - Guión:Lista de comandos que puede ser ejecutada sininteracción por parte del usuario. Un lenguaje de“script” es un lenguaje de programación sencilloque puede ser utilizado para escribir guiones.

Script Kiddie:Alguien que no tiene especiales conocimientostécnicos, que busca aleatoriamente debilidades enInternet para poder acceder a un sistema. Nocomprende realmente qué debilidad está explo-tando porque la debilidad fue descubierta por otro.Un “script kiddie” no busca una información ocompañía en concreto, sino que más bien utiliza elconocimiento de la vulnerabilidad para encontraruna víctima en Internet que posea dicho fallo deseguridad.

Secure Shell - Interfaz de comandossegura (SSH):También conocida como “Secure Socket Shell”, esuna interfaz de comandos basada en UNIX y unprotocolo, para acceder de forma segura a unamáquina remota. Es ampliamente utilizada poradministradores de red para realizar tareas degestión y control. SSH es un conjunto de tres utili-dades: slogin, ssh y scp; versiones seguras de lasanteriores utilidades de UNIX: rlogin, rsh y rcp.

Secure Socket Layer - Capa de conexiónsegura (SSL):Protocolo creado por Netscape para permitir latransmisión cifrada y segura de información através de la red.

Security - Seguridad:1. Según un enfoque práctico, la seguridad implicaque un sistema se comporte de la maneraesperada. Esta definición depende de los nivelesde confianza. 2. Según un enfoque formal, consisteen el cumplimiento de la “tríada de conceptos”:confidencialidad, integridad y disponibilidad.

Security log - Registro de seguridad:En sistemas Windows, es uno de los tres tipos deregistros de eventos. Este registro contiene loseventos considerados como relevantes en materiade seguridad.

Security policy - Política de seguridad:1. Conjunto de estatutos que describen la filosofíade una organización respecto a la protección de suinformación y sistemas informáticos. 2. Conjuntode reglas que ponen en práctica los requisitos deseguridad del sistema.

Segment - Segmento:Unidad lógica de datos, en particular un segmentode TCP es la unidad de datos transferida entre dosmódulos de TCP.

Sensor - Sensor:En detección de intrusiones, una entidad querealiza labores de control y obtención de datos delas fuentes de información. También conocidocomo agente. En muchos IDS, el sensor y el anali-zador forman parte del mismo componente. (Véasetambién “Agente”).

Server Message Block - Bloque de mensa-jes de servidor (SMB):También conocido como “Session MessageBlock”, NetBIOS y LanManager. Es un protocoloutilizado por sistemas Windows para compartirficheros, impresoras, puertos serie y otras entida-des de comunicación entre ordenadores.

Session creep - Deslizamiento sigiloso desesión:Técnica utilizada por un usuario que consiste enmodificar gradualmente su comportamiento paraentrenar al detector de anomalías. De esta forma,se consigue que el detector diagnostique comoactividad normal un posible ataque.

Shadow Password - Contraseña oculta.

Shell - Interfaz de comandos.

Signature - Firma, patrón:En detección de intrusiones, patrones que indicanlos usos indebidos de un sistema.

Simple Mail Transfer Protocol - Protocolosimple de transferencia de correo:Protocolo de comunicaciones para la transmisiónde correo electrónico entre computadoras.

SMB - (Véase “Server Message Block”).

SMTP - (Véase “Simple Mail Transfer Protocol”).

Sniffer - Rastreador:Dispositivo capaz de capturar todos los paquetesde datos que viajan por el segmento de red al queestá conectado. Cuenta con una interfaz de red enmodo promiscuo.

Sniffing cable - Cable de rastreo, cable desólo recepción:Cable de red modificado para imposibilitar el envío dedatos, permitiendo exclusivamente su recepción.

Spanning port - Puerto de extensión,puerto abarcador:Puerto especial con el que cuentan algunosconmutadores avanzados. Está programado parapoder recibir una copia del tráfico destinado a unoo varios puertos del conmutador.

Spoofing - Falseamiento, enmascaramiento:Modificación de la identidad de origen real duranteuna comunicación. El método más comúnconsiste en alterar directamente la dirección origende cada paquete de la comunicación.

SSH - Véase (“Secure Shell”).

SSL - Véase (“Secure Socket Layer”).

Stack - Pila:Área de datos o búfer utilizada para almacenarpeticiones que deben ser atendidas. Tiene unaestructura FILO (primero en entrar, último en salir) oLIFO (último en entrar, primero en salir).

Stack smashing - Desbordamiento de la pila:Caso especial del desbordamiento del búfer, en elque el objetivo es la pila del sistema. (Véasetambién “Pila” y “Desbordamiento deBúfer”).

Statistic Anomaly Filter - Filtro deanomalías estadísticas:Filtro que permite la detección de actividades ycomportamientos poco usuales o comunes.

Stealth port scan - Escaneo sigiloso depuertos:Barrido de puertos mediante diversas técnicas conel fin de evadir los métodos de deteccióncomunes. Algunas de estas técnicas implican unescaneo intencionadamente lento, o el envío depaquetes especiales aprovechando particularida-des del protocolo. (Véase también “Escaneo dePuertos”).

Steganography - Esteganografía:Arte de transmitir información de modo que lapresencia de la misma pase inadvertida. Se suelehacer camuflando los datos en el interior de untexto, imagen, o fichero multimedia.

Stream - Corriente, flujo.

Subnet - Subred.

Switch - Conmutador:Elemento utilizado para interconectar máquinas auna red. Tiene funciones de encaminamientobásico de tráfico de red, y permite subdividir lasredes en segmentos, de forma similar a un puente.(Véase también “Puente”).

Switched environment - Entorno conmutado:Entorno de red en el que predomina el uso deconmutadores.


B.C.R.A.53e-Banking

System log - Registro de sistema:1. En sistemas Windows, es uno de los tres tiposde registros de eventos. Este registro contiene loseventos generados por los componentes desistema. 2. en sistemas UNIX, ficheros de eventosdel sistema y aplicaciones, que suelen consistir enficheros de texto consistentes en una línea porcada evento.

Tap mode - Modo de escucha.

Target based - Basado en objetivo:Que controla la información de determinadosobjetos, generalmente utilizando métodos decifrado como funciones resumen para permitir ladetección de cambios.

TCP/IP - Véase (“Transmission ControlProtocol / Internet Protocol”).

Tcpdump:Herramienta de control y adquisición de datos querealiza labores de filtrado, recopilación, y visualiza-ción de paquetes.

Testing by exploit - Probar mediante explosión:Método de comprobación de seguridad queconsiste en lanzar ataques conocidos contra elobjetivo y estudiar los resultados. (Véase también“Análisis de Vulnerabilidades”).

Thread - Hebra, hilo (de mensajes o de ejecu-ción), flujo de control o flujo de ejecución.

Threat - Amenaza:Situación o evento con que puede provocar dañosen un sistema.

Token based - Basado en testigo:Sistemas que emplean elementos especialescomo tarjetas inteligentes, llaves, o discos para laautenticación de usuario.

Trail - Rastro, registro.

Transmission Control Protocol / InternetProtocol - Protocolo de Control deTransmisión / Protocolo Internet (TCP/IP):Conjunto de protocolos básicos sobre los que sefundamenta Internet. Se sitúan en torno al nivel tresy cuatro del modelo OSI.

Trojan Horse - Caballo de Troya, troyano:Programa informático de aspecto inofensivo queoculta en su interior un código que permite abriruna “puerta trasera” en el sistema en que seejecuta. (Véase también “Puerta Trasera”).

Trust - Confianza:Esperanza firme de que un sistema se comportecomo corresponde.

Trusted processes - Procesos de confianza:Procesos que sirven para cumplir un objetivo deseguridad.

Trusted systems - Sistemas de confianza:Sistemas que emplean las suficientes medidas paracumplir los requisitos necesarios para su uso en elproceso de información sensible o clasificada.

Type I error - Error de Tipo I:En detección de intrusiones, error producidocuando el sistema diagnostica como ataque unaactividad normal. También conocido como falsopositivo. (Véase también “Falso Positivo”).

Type II error - Error de Tipo II:En detección de intrusiones, error producidocuando el sistema diagnostica como actividadnormal un ataque. También conocido como falsonegativo. (Véase también “Falso Negativo”).

User-agent - Agente de usuario.

Virtual Private Network - Red privadavirtual (VPN):Red generalmente construida sobre infraestructurapública, que utiliza métodos de cifrado y otrosmecanismos de seguridad para proteger el accesoy la privacidad de sus comunicaciones.

VPN - (Véase “Virtual Private Network”).

Vulnerabilities - Vulnerabilidades:Debilidades en un sistema que pueden ser utiliza-das para violar las políticas de seguridad.

Vulnerability analysis - Análisis de vulnera-bilidades:Análisis del estado de la seguridad de un sistemao sus componentes mediante el envío de pruebasy recogida de resultados en intervalos.

Vulnerability scanner - Escáner o analiza-dor de vulnerabilidades:Herramienta diseñada para llevar a cabo análisis devulnerabilidades.

Web - Malla, telaraña:Servidor de información www. Se utiliza tambiénpara definir el universo www en su totalidad. (Véasetambién “www”).

Wireless - Inalámbrico.

World Wide Web - Malla mundial, telarañamundial:Sistema de información distribuido, basado enhipertexto. La información puede ser de diferentenaturaleza, como por ejemplo texto, gráfico, audio,o vídeo. (Véase también “Web”).

Worm - Gusano:Programa informático que se auto-duplica y auto-propaga. A diferencia de los virus, suelen estardiseñados para redes.

Wrapper - Envoltura, empacador:Software que complementa las características deotro software para mejorar determinados aspectoscomo compatibilidad, o seguridad.

www - (Véase “World Wide Web”).


B.C.R.A.55e-Banking

Apéndice

B.C.R.A.57e-Banking

Publicaciones del Comité de BasileaEl Comité de Supervisión Bancaria de Basilea emite periódicamente documentos guía para las activi-

dades relacionadas con la administración de riesgos en el entorno financiero. Específicamente en relacióncon la operatoria de e-Banking y sus riesgos, las publicaciones vigentes a la fecha son:

• “Principios de administración del riesgo en e-Banking”(Documento Nº 98, julio de 2003)

Este documento desarrolla 14 Principios de Administración del Riesgo para e-Banking, identificadospor el Comité de Basilea para ayudar a las instituciones bancarias a desarrollar las políticas y procesospara el manejo del riesgo que permitan cubrir sus actividades de este tipo.

En el mes de mayo de 2001 el Comité había publicado, con carácter consultivo, el Documento Nº 82“Principios de Administración del Riesgo en e-Banking”, cuyos temas no difieren básicamente de la versiónfinal, que se emitió con posterioridad al análisis de los comentarios y sugerencias recibidas de la comuni-dad bancaria.

• “Administración y supervisión de las actividades de e-BankingTransfronterizas” (Documento N° 99, julio de 2003):

Este documento enfoca dos áreas en particular: la primera, la identificación de las responsabilidadesde los bancos en la administración del riesgo respecto de las actividades de e-Banking transfronterizas.En este punto, la publicación complementa los conceptos del Documento N° 98 arriba citado, en cuantoa la necesidad de que los bancos integren la administración de riesgos derivados de las operaciones“cross-border” en e-Banking dentro del proceso general de administración de los riesgos.

El segundo objetivo es focalizar la atención en la necesidad de una supervisión efectiva de las activi-dades “cross-border” de e-Banking en el país de origen (“home country supervision”), así como promoverla cooperación entre supervisores de los distintos países involucrados.

Siguiendo el proceso de emisión de documentos generalmente utilizado, el Comité había publicado enel mes de octubre de 2002 y con carácter consultivo, el Documento N° 93 “Administración y Supervisiónde las Actividades de e-Banking Transfronterizas”, cuyos temas no difieren básicamente de la versión final.La misma se emitió con posterioridad al análisis de los comentarios y sugerencias recibidas durante elperíodo de consulta.

Las dos publicaciones antes citadas tienen sus orígenes en los análisis iniciados por el Grupo de e-Banking del Comité de Basilea (el EBG), cuyos primeros trabajos fueron los Documentos N° 35“Administración del Riesgo para Actividades de e-Banking y Dinero Electrónico” del mes de marzo de1998, y N° 76 “Iniciativas del Grupo de e-Banking del Comité de Basilea” del mes de octubre de 2000.

Cabe agregar que el primer trabajo de Basilea en relación con actividades a través de computadores,se emitió en el mes de julio de 1989 con el nombre de “Riesgos en los Sistemas de Computación yTelecomunicaciones” (Documento N° 6).

Por otra parte, con relación al manejo del riesgo operacional, el Comité ha publicado lo siguiente:


• “Sanas Prácticas para la Administración del Riesgo Operacional”(Documento N° 96, febrero de 2003):

Este documento desarrolla 10 Principios de Administración del Riesgo Operacional, concebidos por elComité de Basilea como guía en el proceso de tratamiento del riesgo operacional por parte de los bancos,y su impacto especialmente en la determinación del capital mínimo de las entidades financieras.

Los antecedentes de esta publicación son los Documentos N° 86 y 91 de “Sanas Prácticas para laAdministración y Supervisión del Riesgo Operacional”, de los meses de septiembre de 1998 y diciembrede 2001 respectivamente, que corresponden a las dos etapas consultivas del documento antes de suemisión final.

Previo a éstos, y como inicio de las discusiones sobre el tema, se emitieron el Documento N° 42“Administración del Riesgo Operacional” del mes de septiembre de 1998, y el Trabajo N° 8 “TratamientoRegulatorio del Riesgo Operacional” del mes de septiembre de 2001.

En lo que respecta al tratamiento particular de enfoques de medición avanzada (AMA) aplicados aentidades con subsidiarias en el exterior, el Comité ha emitido la publicación N° 106 en Enero/2004,y encuanto a las “Consideraciones prácticas de la implementación de Basilea II” se ha emitido la publicaciónN° 109 de Julio/2004.

En resumen, los documentos emitidos hasta la fecha son los siguientes:

De acuerdo a un relevamiento efectuado por esta Comisión durante el primer trimestre del año 2004, basado en un reque-rimiento preliminar efectuado a las entidades financieras sobre la infraestructura tecnológica para las operatorias de e-Banking(Com. “A” 4007), se lograron obtener en un primer análisis de la información relevada las siguientes conclusiones:

• el 72% de las entidades financieras argentinas brinda servicios específicos para las actividades de e-Banking;

• el 36% de las entidades financieras de la República Argentina posee desarrollos propios para las actividades de BancaElectrónica, y el 64% utiliza servicios tercerizados;

• el 81 % de las páginas de las entidades financieras cuentan con la posibilidad de realizar operaciones transaccio-nales, y el resto sólo brinda información institucional;

• la cantidad mensual estimada de transacciones procesadas asciende a 8.500.000, y

• el volumen monetario aproximado es de 3.500.000.000 pesos.

B.C.R.A.59e-Banking

Indicadores actuales de e-Banking en elSistema Financiero Argentino

B.C.R.A.61e-Banking

Fuentes de documentación• “Operational Risk Control with Basel II: Basic Principles and Capital Requirements”

Dimitris Chorafas, Publisher: Butterworth-Heinemann, ISBN: 0750659092

• “Sound Practices for the Management and Supervision of Operational Risk”Basel Committee on Banking Supervision - February 2003

• “Risk Management Principles for Electronic Banking”Basel Committee on Banking Supervision - July 2001

• “Modeling, Measuring and Hedging Operational Risk”Marcelo G. Cruz, Publisher: John Wiley & Sons, ISBN: 0471515604

• “Operational Risk: Regulation, Analysis and Management”Carol Alexander, Publisher: Financial Times Prentice Hall, ISBN: 0273659669

• “Strategic Outsourcing: A Structured Approach to Outsourcing Decisions and Initiatives”Maurice F. Greaver, Publisher: AMACOM, ISBN: 0814404340

• “Intelligent IT Outsourcing: Eight Building Blocks to Success”Sara Cullen and Leslie Willcocks - Publisher: Butterworth-Heinemann, ISBN: 0750656514

• “The IT Outsourcing Guide”Rob Aalders, Publisher: John Wiley & Sons, ISBN: 0471499358

• “Outsourcing for Radical Change: A Bold Approach to Enterprise Transformation”Jane C. Linder, Publisher: AMACOM, ISBN: 0814472184

• “Banks and the Possibilities of E-Commerce”Marcelo Héctor González, CISA - Control Journal ISACA magazine v4, 2001

• “Computer Security Handbook 4th Edition”Edited by Seymor Bosworth and M.E. Kabay, Publisher: John Wiley & Sons; 4th edition, ISBN: 0471412589

• “Inside Network Perimeter Security-The Definitive Guide to Firewalls, VPNs, Routers and Intrusion Detection Systems”Stephen Northcutt, Lenny Zeltser, Scott Winters, Karen Kent Frederick and Ronald W. Ritchey, Publisher: Que, ISBN: 0735712328

• “Hackers Beware: Defending Your Network From the Wiley Hacker”Eric Cole, Publisher: Que, ISBN: 0735710090

• “Fundamentals of Network Security”John E. Canavan, Publisher: Artech House, ISBN: 1580531768

Editado por Invercas S.A.

e - Banking Fascículo IIfelaban.s3-website-us-west-2.amazonaws.com/boletines_clain/archiv… ·...

Documents

Transcript of e - Banking Fascículo IIfelaban.s3-website-us-west-2.amazonaws.com/boletines_clain/archiv… ·...