Análisis de la regulación del riesgo de las tecnologías de la información en el ámbito financiero ecuatoriano

Abstract

La investigación planteada en este documento realiza el análisis de la Resolución JB-2005-834, con el propósito de identificar el alineamiento que existe entre las exigencias de la Resolución y las mejores prácticas generalmente aceptadas para administrar Riesgos en las Tecnologías de la Información (RTI). A partir de este análisis se plantea una propuesta de mejoramiento. La Resolución JB-2005-834 fue emitida por la Junta Bancaria en Octubre del 2005, donde se emitieron instrucciones para la administración del Riesgo Operacional (RO) para regular a las instituciones financieras ecuatorianas. Dentro de esta regulación se incluyeron conceptos de administración RTI como un componente relevante de RO. Esta realidad plantea la necesidad de realizar un análisis para determinar el grado de alineación de estas directrices respecto a las mejores prácticas de RTI aceptadas, especialmente debido al grado de relevancia que TI tiene en el ámbito financiero ecuatoriano.Para cumplir con el propósito planteado, esta investigación realiza un análisis comparativo del contenido de la Resolución respecto al marco de trabajo de COBIT 4.1 y el estándar ISO-IEC 27002:2005. El criterio de elección de estas referencias obedece al propósito de obtener en primera instancia una visión general de aspectos de Gobierno de RTI; y, luego una visión más particular de los aspectos de Seguridad de la Información mediante ISO-IEC 27002:2005. El análisis inicia identificando las debilidades y fortalezas de la Resolución y el grado de coincidencia es expresado a través de un índice de alineamiento. Finalmente, este índice y la fortaleza de las referencias (COBIT e ISO) son utilizadas como criterios de entrada para realizar la propuesta de mejoramiento, la cual considera la inclusión de objetivos de control requeridos para mejorar la administración de RTI.