Buscar:
 Normativa >> Reglamento 1318 >> Fecha 20/03/2017 >> Texto completo
Internet
Año:
Buscar en:





Opciones:
Guardar
Imprimir


Artículos     >>
Recuerde que Control F es una opción que le permite buscar en la totalidad del texto

Ir al final del documento

- Usted está en la última versión de la norma -
Texto Completo Norma 1318
Reglamento General de Gestión de la Tecnología de Información
Texto Completo acta: 16B647

CONSEJO NACIONAL DE SUPERVISIÓN DEL SISTEMA FINANCIERO



El Consejo Nacional de Supervisión del Sistema Financiero en los artículos 9 y 11 de las actas de las sesiones 1318-2017 y 1319-2017, celebradas el 13 y el 20 de marzo del 2017 respectivamente,



dispuso, por mayoría y en firme:



I. En cuanto al Reglamento General de Gestión de la Tecnología de Información:



considerando que:



1. Acuerdo SUGEF 14-09: El Consejo Nacional de Supervisión del Sistema Financiero (CONASSIF), mediante artículo 6, del acta de la sesión 773-2009 del 20 de febrero del 2009 aprobó el Acuerdo SUGEF 14-09 "Reglamento sobre la gestión de la tecnología de información", que define los criterios y metodología para la evaluación y calificación de la gestión de la tecnología de información para las entidades fiscalizadas por la Superintendencia General de Entidades Financieras (SUGEF).



2. SUGEF: El artículo 131, incisos c) y n) literal ii) de la Ley Orgánica del Banco Central de Costa Rica, Ley 7558, establece como función del Superintendente General de Entidades Financieras proponer al Consejo, para su aprobación, las normas que estime necesarias para el desarrollo de las labores de fiscalización y vigilancia, referentes a periodicidad, alcance, procedimientos y publicación de los informes de las auditorías externas de las entidades fiscalizadas, con el fin de lograr la mayor confiabilidad de estas auditorías. La Superintendencia puede revisar los documentos que respalden las labores de las auditorías externas, incluso los documentos de trabajo y fijar los requisitos por incluir en los dictámenes o las opiniones de los auditores externos.



3. SUGEVAL: El artículo 3 de la Ley Reguladora del Mercado de Valores establece que la Superintendencia General de Valores (SUGEVAL) debe velar por la protección del inversionista y el adecuado funcionamiento del mercado de valores; asimismo el artículo 8 de la Ley 7732, Ley Reguladora del Mercado Valores, inciso b) establece que la SUGEVAL someterá a la consideración del Consejo Nacional los proyectos de reglamento que le corresponda dictar a la Superintendencia, el inciso j) establece la potestad de adoptar todas las acciones necesarias para el cumplimiento efectivo de las funciones de autorización, regulación, supervisión y fiscalización que le competen, y el inciso l) establece la potestad de la Superintendencia para requerir a los supervisados toda la información razonablemente necesaria a fin de cumplir la función supervisora del mercado de valores.



4. SUPEN: El artículo 38, literal f) de la Ley 7523, Régimen Privado de Pensiones, establece como una atribución del Superintendente de Pensiones adoptar todas las acciones necesarias para el cumplimiento efectivo de las funciones de autorización, regulación y fiscalización que le competen a la Superintendencia, según la Ley y las normas emitidas por el Consejo Nacional de Supervisión del Sistema Financiero; por otra parte el Consejo Nacional de Supervisión del Sistema Financiero, mediante artículo 8, del acta de la sesión 975-2012 del 29 de mayo del 2012 aprobó la evaluación cualitativa del riesgo operativo para el cálculo de la suficiencia patrimonial de las operadoras de pensiones complementarias, donde uno de los componentes es la evaluación de la tecnología de información. Finalmente, mediante artículo 7, del acta de la sesión 1066-2013 del 1 de octubre del 2013 aprobó el Reglamento de Calificación de la Situación Financiera de los Fondos Administrados por los Entes Regulados donde se evalúa el riesgo tecnológico en los regímenes de pensiones de beneficio y contribución definidas.



5. SUGESE: El artículo 29 de la Ley Reguladora del Mercado de Seguros, Ley 8653; establece como objeto de la Superintendencia General de Seguros (SUGESE), velar por la estabilidad y el eficiente funcionamiento del mercado de seguros, así como entregar la más amplia información a los asegurados. La misma ley autoriza a la SUGESE para regular y supervisar a las personas que intervengan en los actos o contratos relacionados con la actividad aseguradora, reaseguradora, la oferta pública y la realización de negocios de seguros. Asimismo, en el inciso i) del citado artículo se establece como su función el proponer  al Consejo Nacional, para su aprobación, la normativa reglamentaria que se requiera para la aplicación de esta Ley y para cumplir sus competencias y funciones.



6. CONASSIF: Conforme el artículo 171 de la Ley Reguladora del Mercado Valores, es potestad del Consejo Nacional de Supervisión del Sistema Financiero aprobar las disposiciones referentes a la periodicidad, el alcance, los procedimientos y la publicación de los informes rendidos por las auditorías externas de las entidades fiscalizadas.



7. Gestión de TI: La tecnología de la información (TI) es indispensable para gobernar, gestionar y tomar decisiones dentro de las organizaciones, asimismo, su adecuada administración permite mantener la competitividad y coadyuva en la consecución de las metas y objetivos.



A principios de la década anterior, y en virtud de múltiples casos de quiebras y fraudes asociados a temas operativos y de mala gestión, varios organismos internacionales han emitido disposiciones en las que resaltan la necesidad de mejorar los sistemas de Gobierno Corporativo y en consecuencia, la forma de gobernar TI.



Estos requerimientos plantean el reto de diseñar y mantener controles eficientes que faciliten la gestión de TI desde dos puntos de vista: el primero, tomando a TI como un proceso más del negocio y segundo, tomando a TI como encargado de proveer y mantener la plataforma y los sistemas que apoyan la ejecución del resto de los procesos del negocio.



Esta dualidad implica para las entidades el diseño o la adopción de un marco que les permita gobernar, gestionar y controlar la función de TI, desde ambos puntos de vista en forma consistente.



Dado que la gobernanza orienta, dirige y supervisa la gestión de TI y que las tecnologías de información se consideran factores de riesgo operativo, al que están expuestas las entidades, resulta necesario que este reglamento incluya la evaluación los procesos de gobierno y gestión de TI por parte de las Superintendencias.



8. Necesidad de control de TI: Una inadecuada gestión del riesgo operacional en el área de la tecnología de información en las entidades supervisadas puede repercutir negativamente en la continuidad de sus operaciones; impactando por consiguiente sus patrimonios y concomitantemente, afectando a los clientes de las entidades.



Por lo anterior, resulta indispensable que las entidades supervisadas determinen su marco de gestión, para el control la tecnología de información, que garantice la integridad, seguridad, auditabilidad y disponibilidad de la información y de los servicios ofrecidos.



9. Sobre la implementación del marco de gestión de TI, dispuesto en este reglamento:



El diseño e implementación del marco de gestión de TI requiere por parte de las entidades supervisadas de esfuerzo planificado y progresivo. Con el objeto de facilitar este proceso, su inversión y la definición concomitante de políticas, procesos y estructuras, el modelo de supervisión basada en riesgos le coadyuva, a través de este reglamento, a que la entidad supervisada establezca su marco de gestión de TI en función de sus necesidades según su naturaleza, complejidad, modelo de negocio, volumen de operaciones, criticidad de sus procesos, riesgos y su dependencia tecnológica.



Los lineamientos generales que acompañan el reglamento establecen un periodo de implementación a partir de la entrada en vigencia (gradualidad) que abarca hasta 5 años para entidades supervisadas por la SUGEVAL, SUPEN y SUGESE; asimismo, de 3 años para las entidades supervisadas por la SUGEF, este último plazo en consideración del avance logrado a partir de los requerimientos del Acuerdo SUGEF 14- 09 "Reglamento sobre la Gestión de la Tecnología de Información". Estos plazos se estiman razonables para que las entidades puedan efectuar las adecuaciones necesarias para la implementación efectiva de su marco de gestión de TI.



Por otra parte, de acuerdo con la experiencia de la aplicación del "Reglamento sobre la Gestión de la Tecnología de Información" en SUGEF, se estima prudente mantener el lapso de nueve meses, contados a partir de la notificación del requerimiento de auditoría externa de TI, para la remisión de los entregables de la auditoría externa de TI del marco de gestión de TI, así como sobre cualquier otro criterio que se considere necesario en virtud del perfil de riesgo de la entidad.



Dicha holgura permite a las entidades desarrollar los aspectos procedimentales necesarios a efecto de la contratación, ejecución y entrega de los resultados de la auditoría externa. Finalmente, el Consejo ha considerado razonable el plazo de veinte días hábiles para la remisión del plan de acción, cuando haya sido requerido por alguna superintendencia. Dicha conclusión se desprende del hecho que una entidad va recibiendo retroalimentación conforme evoluciona la auditoría externa, de manera que una vez finalizada, ya cuenta con suficientes elementos y datos que le permiten perfilar un conjunto de acciones.



10. Supervisión basada en riesgos: La supervisión basada en riesgos se caracteriza por la migración de un modelo basado en reglas hacia un enfoque donde la entidad supervisada es responsable de una gestión integral de los riesgos del negocio. En este enfoque corresponde a la entidad supervisada determinar, dentro de esa gestión de riesgos el marco de gestión de TI que se adapten a su negocio, de manera que le permita identificar y establecer las medidas de mitigación para los riesgos que surgen de TI; por ello, la regulación se enfoca a un marco de gestión de TI con aquellas características prudenciales suficientes para el supervisor, sin que necesariamente se definan, puntualmente, determinados estándares o herramientas de control. En esta misma lógica, el reglamento que se emite encuentra sentido como parte de una estructura normativa transversal al sistema financiero, que no sustituye lo procesos de supervisión sobre riesgo operacional que ya se desarrollan, sino que viene a complementarlos, aportando información que nutre el criterio del supervisor a partir del aporte de especialistas externos.



11. Estándares disponibles como marco de referencia: La industria y los profesionales en TI, han venido desde hace varias décadas desarrollando estándares y marcos que permitan gestionar y controlar las tecnologías. Ante la incertidumbre y costo que significa el desarrollo interno de un marco de gestión de TI, las organizaciones han propendido por adoptar alguno de los marcos o estándares disponibles.



Marcos de referencia como Cobit e ITIL y estándares como ISO gozan en la actualidad de aceptación general, desde la visión del supervisor; Cobit es un marco apropiado que se ajusta al negocio y facilita que las organizaciones desarrollen un ambiente de control que responda a las necesidades del negocio, además de estandarizar procesos de TI, limitar desviaciones de los objetivos de negocio y particularmente lograr un balance entre los riesgos que introduce la tecnología de información y su aporte de valor al desempeño y rentabilidad. Estos marcos igualmente permiten el desarrollo del enfoque de supervisión basada en riesgos, por las siguientes razones:



Desde la óptica del negocio:



a. Enfoque en Gobierno de TI: El marco se desarrolla dentro del nuevo enfoque de gobernabilidad de TI como parte del buen gobierno corporativo, procurando mayor involucramiento con los procesos clave, definiendo una estructura de relaciones y procesos diseñados y ejecutados por la entidad para dirigir y controlar la tecnología, sus riesgos y vinculación con las estrategias y objetivos de negocio.



b. Satisface los requerimientos de negocio: Integración más clara entre los objetivos del negocio y la TI, mediante objetivos en el modelo de cascada y métricas que los soportan.



c. Logra la armonización: Integración optimizada de otros estándares internacionales.



d. Definiciones y flujos de procesos: Optimización en las descripciones de los procesos, actividades, entradas y salidas.



e. Lenguaje y presentación: Utiliza un lenguaje accesible para todo tipo de usuario, mismo que permite a ejecutivos no versados en conocimientos tecnológicos identificar y comprender los principales aspectos de TI.



Desde la óptica del supervisor:



f. Permite evaluar la integración de los procesos de TI con los procesos y líneas de negocio y el logro de los objetivos de la entidad.



g. Permite identificar el grado de dependencia de las entidades de la tecnología de información en sus operaciones.



h. Permite identificar los perfiles de riesgo en TI de los supervisados, con el propósito de concentrar esfuerzos en entidades con mayor exposición o con mayores debilidades de control.



i. Es un marco integrador (alineado con otros estándares y buenas prácticas que puede usarse en conjunto con ellas), enfocado al negocio, y diseñado para ser utilizado por una amplia gama de usuarios, pero principalmente, como guía integral para alta administración y para los líderes o responsables de los procesos y líneas de negocio.



12. Sobre la estrategia del supervisor: La experiencia con los intermediarios financieros en relación con el proceso de implementación del marco de gestión de TI del Acuerdo SUGEF 14-09 "Reglamento sobre la Gestión de la Tecnología de Información", develó que varios grupos y conglomerados financieros gestionan la tecnología de información de forma corporativa en las empresas que los integran. Conscientes de esta realidad, el CONASSIF ha concebido la necesidad de integrar en un solo cuerpo normativo los requerimientos de control para la gestión de TI para un grupo o conglomerado. Dicha estrategia tiene como objetivo permitir entre otros aspectos, la estandarización de procesos, la generación de economías de escala y la creación de una cultura proclive a la mejora de la gobernabilidad de la TI.



El reglamento que se emite también reconoce que entre los supervisados se presentan diferencias en el grado de dependencia de las tecnologías de información y que, como consecuencia, la materialización de los riesgos a esas tecnologías les impacta de manera diferente. Esa condición se refleja al implementar el principio de "proporcionalidad" que rige los esquemas de supervisión basada en riesgo. Dicho principio promueve que las prácticas y demandas de supervisión se definan y apliquen en consonancia con el perfil de riesgo y la importancia sistémica de los supervisados, el enfoque asumido permite que los supervisados agreguen otros estándares o bien que exista una exigencia particular en función de su rol dentro del mercado en que opera. Finalmente, sobre una base de costo beneficio, naturaleza de la entidad y perfil tecnológico; se permite la definición de marcos de gestión de TI diferentes en reconocimiento de estas diferencias.



La pretensión última de esta estrategia es generar, bajo un esquema de supervisión integrada y coordinada, mejoras en el nivel de la gestión de la tecnología de información y sus riesgos asociados, como herramienta para contribuir al proceso de gestión de riesgos y de preparación ante los retos que impone un ambiente financiero competitivo e innovador.



13. Auditoría externa: La auditoría de los sistemas de tecnología de información es una actividad altamente especializada para la cual existen certificaciones con reconocimiento mundial; se considera conveniente, que la revisión del marco de gestión de TI y cualquier otro criterio que las Superintendencias consideren necesario en virtud del perfil de riesgo de las entidades supervisadas, sea ejecutada por auditores externos con el fin de contribuir con la eficiencia en el proceso de supervisión. Los resultados de esta auditoría pueden enriquecer la supervisión en torno a los riesgos operacionales y de tecnología de la información que realizan las Superintendencias y se constituye en un elemento adicional dentro de la supervisión basada en riesgos.



14. Registro de Auditores Elegibles: Actualmente se cuenta con un registro de auditores con requisitos en torno a su capacidad e independencia, dicho registro se concentra en auditores financieros, sin embargo;, con el propósito de ir avanzando en la integración en un solo cuerpo reglamentario, que regule los requerimientos de los distintos profesionales que convergen en procesos de revisión y auditoria, se amplía el alcance de este registro para que incluya a los auditores externos de tecnologías de la información.



15. Comité de TI: El Reglamento de Gobierno Corporativo señala dentro de las funciones del Órgano de Dirección, establecer los comités técnicos que considere pertinentes para la buena gestión de la entidad, por  lo que la creación del comité de TI estará en función de las necesidades de las entidades supervisadas según su naturaleza, complejidad, modelo de negocio, volumen de operaciones, criticidad de sus procesos y su dependencia tecnológica.



16. Coordinación entre superintendencias: Para evitar costos innecesarios a las entidades supervisadas resulta imprescindible coordinar los procesos de supervisión de las diferentes superintendencias cuando una misma unidad de TI presta servicios a entidades supervisadas por distintos órganos supervisores.



17. El inciso i) del artículo 171 de la Ley Reguladora del Mercado de Valores establece como una de las funciones del Consejo Nacional de Supervisión del Sistema Financiero reglamentar el intercambio de información que podrán realizar entre sí las diferentes Superintendencias, para el estricto cumplimiento de sus funciones de supervisión prudencial. La Superintendencia que reciba información en virtud de este inciso, deberá mantener las obligaciones de confidencialidad a que está sujeto el receptor inicial de dicha información.



resolvió:



Aprobar el Reglamento General de Gestión de la Tecnología de Información, de conformidad con el siguiente texto:



REGLAMENTO GENERAL DE GESTIÓN DE LA TECNOLOGÍA DE INFORMACIÓN



(Nota de Sinalevi: El presente reglamento fue reformado parcialmente y reproducido su texto de forma íntegra mediante sesiones N° 1876-2024 y 1877-2024 del 15 de julio del 2024, publicado en el Alcance Digital N° 134 a La Gaceta N° 130 del 22 de julio del 2024, y se transcribe a continuación:)



CAPÍTULO I



DISPOSICIONES GENERALES



Artículo 1. Objeto



Este reglamento tiene como finalidad establecer los requerimientos para el gobierno y la gestión de la tecnología de información y sus riesgos asociados, que deben ser acatados por las entidades y empresas supervisadas del sistema financiero costarricense.



La presente regulación se tendrá como plenamente integrada y complementaria al marco general de gobierno y de gestión de riesgos establecido en el Reglamento de Gobierno Corporativo, Acuerdo CONASSIF 4-16 y en el marco de regulación vigente sobre gestión de riesgos de cada Superintendencia.




Ficha articulo



Artículo 2. Alcance



Las disposiciones establecidas en este reglamento son de aplicación para:



a) Supervisados por SUGEF:



1. Bancos comerciales del Estado



2. Bancos creados por ley especial



3. Bancos privados



4. Empresas financieras no bancarias



5. Organizaciones cooperativas de ahorro y crédito



6. Mutuales de ahorro y préstamo



7. Caja de Ahorro y Préstamos de la ANDE



b) Supervisados por SUGEVAL:



1. Puestos de bolsa y sociedades administradoras de fondos de inversión



2. Bolsas de valores



3. Sociedades de compensación y liquidación



4. Proveedores de precio



5. Entidades que brindan servicios de custodia



6. Centrales de valores



7. Sociedades titularizadoras y fiduciarias



8. Entidades de registros centralizados de letras de cambio y pagarés



electrónicos



c) Supervisados por SUGESE:



1. Entidades aseguradoras y reaseguradoras



2. Sucursales de entidades aseguradoras extranjeras



3. Sociedades corredoras de seguros



d) Supervisados por SUPEN:



1. Operadoras de pensiones complementarias



2. Regímenes públicos sustitutos del Régimen de Invalidez, Vejez y Muerte de la Caja Costarricense de Seguro Social



3. Fondos complementarios creados por leyes especiales o convenciones Colectivas Tratándose del Régimen de Invalidez, Vejez y Muerte de la Caja Costarricense del Seguro Social, las disposiciones y lineamientos incorporados en este reglamento tienen el carácter de adopción y aplicación voluntaria.



Se exceptúan del alcance del presente reglamento a los regímenes administrados por la Dirección Nacional de Pensiones del Ministerio de Trabajo, las entidades reguladas y fondos en proceso de liquidación, los fondos creados por leyes especiales que son administrados por una operadora de pensiones o en los casos en que la unidad de TI y su gestión de TI es regulada por una norma de tecnología de información de alcance general, cuyo cumplimiento esté debidamente fiscalizado, así como los fondos de  pensiones cerrados a nuevas afiliaciones.



e) Controladoras y empresas integrantes de grupos y conglomerados financieros supervisados.




Ficha articulo



Artículo 3. Regulación Proporcional



La aplicación proporcional y diferenciada del presente reglamento para las entidades supervisadas por SUGEF sujetas a la Regulación proporcional para cooperativas de ahorro y crédito, Acuerdo SUGEF 25-23 y para las sociedades corredoras de seguros supervisadas por SUGESE será la siguiente:



1. Lo dispuesto en los capítulos que se indican a continuación se considerará como referencias sobre sanas prácticas que discrecionalmente podrán adoptar las entidades en función de sus riesgos, tamaño, complejidad y modelo de negocio: a) Capítulo II Gobierno y Gestión de TI, b) Capítulo III Organización de las tecnologías de información.



2. Lo dispuesto en el Capítulo IV Seguridad de la información y seguridad cibernética, será de aplicación plena, salvo en el caso de lo dispuesto en: a) El artículo 33. Programas de análisis de vulnerabilidades y pruebas, b) El artículo 34. Unidades, funciones organizacionales, centros de operaciones y comités técnicos de gestión de riesgos de seguridad cibernética y en c) El artículo 35. Planes de promoción de la cultura de la seguridad de la información y de la seguridad cibernética, del presente reglamento.



Los artículos 33, 34 y 35 se consideran como referencias sobre sanas prácticas que las entidades, discrecionalmente, podrán adoptar en función de sus riesgos, tamaño, complejidad y modelo de negocio.



3. Lo dispuesto en el Capítulo V La auditoría externa de TI, será de aplicación plena, salvo lo dispuesto en: a) El artículo 43. Procesos de evaluación del marco de gobierno y gestión de TI, b) El artículo 44. Funciones para la evaluación de la gestión de riesgos de seguridad cibernética y, c) El artículo 47. Alcance y plazo de la Auditoría Externa de TI, inciso b).



Además, las entidades, en función de su perfil de riesgo y de la naturaleza de sus operaciones, deberán gestionar TI y sus riesgos relacionados. A fin de evaluar dicha gestión, las entidades deben considerar los siguientes aspectos:



a) Las entidades definirán el alcance de la auditoría externa estableciendo los procesos de evaluación que consideren pertinentes en función de sus riesgos y modelo de negocio, según el anexo 1 de los lineamientos generales del presente reglamento.



b) Sin perjuicio de lo anterior, el alcance de la auditoría externa deberá incluir, al menos, los procesos de evaluación que se especifican en el anexo 2 de los lineamientos generales del presente reglamento.




Ficha articulo



Artículo 4. Definiciones y abreviaturas



Para efectos de este reglamento y sus lineamientos generales, se utilizan las siguientes definiciones y abreviaturas:



a) Activos digitales: Todo tipo de datos o activos de información que se presenten en formato digital, los cuales, sean propiedad de una entidad o empresa supervisada o de sus partes interesadas y que permiten a estas mantener sus operaciones digitales y tecnológicas.



b) Bienes y servicios de TI críticos: Son aquellos productos, servicios o recursos que son esenciales para el funcionamiento continuo y efectivo de una entidad o empresa supervisada, cuya interrupción o falta podría tener un impacto significativo en sus operaciones, objetivos, reputación o el ecosistema financiero.



c) Declaración de aplicabilidad: Documento que permite identificar y revelar los controles de seguridad de la información y de la seguridad cibernética elegidos por la entidad o empresa supervisada para proteger sus activos de información, basándose en la evaluación de riesgos.



d) Gestión de TI: Conjunto de estructura de relaciones y procesos para planificar, construir, ejecutar y monitorear la tecnología de la información, sus riesgos asociados y su vinculación con las estrategias y objetivos del negocio.



e) Gobierno de TI: Subcomponente del gobierno corporativo, el cual, se encarga de la evaluación, dirección y supervisión de las tecnologías de información.



f) ISACA: Acrónimo en inglés de la Asociación de Auditoría y Control de los Sistemas de Información (Information Systems Audit and Control Association).



g) Marco de gobierno y gestión de TI: Conjunto de procesos destinados a gobernar y gestionar las tecnologías de información de las entidades y empresas supervisadas, los cuales, deben ser adoptados y adaptados para gobernar y gestionar de forma integral los riesgos relacionados con las tecnologías e información, considerando su naturaleza, complejidad, modelo de negocio, volumen de operaciones, criticidad de sus procesos y la dependencia tecnológica que estas tienen en los procesos de TI.



h) Perfil tecnológico: Descripción de la estructura de gobierno y gestión, los procesos, servicios, infraestructura de TI, proveedores de bienes y servicios de TI, inventario de tipos documentales, proyectos de TI, planes de adquisición y gestión de riesgos de TI.



i) Plan de acción: Conjunto de acciones, plazos y responsables enfocados en atender los hallazgos y riesgos detectados en el informe de auditoría y comunicados en el reporte de supervisión.



j) Procesos críticos: Son aquellos procesos que tienen un impacto significativo en la consecución de los objetivos estratégicos previstos por la entidad o empresa supervisada. Estos procesos están relacionados con la naturaleza, misión, objetivos y función de la entidad o empresa supervisada y son indispensables para la continuidad del negocio y de sus operaciones.



k) Proveedores de bienes y servicios de TI críticos: Persona física o jurídica que provee bienes o servicios de TI a la entidad o empresa supervisada, los cuales, apoyan los procesos críticos indistintamente de su domicilio, incluyendo subcontratistas o partners (asociados).



l) Resiliencia operativa digital: Capacidad de una entidad o empresa supervisada para mantener la continuidad y la disponibilidad de sus operaciones digitales y tecnológicas incluso en situaciones adversas. Implica la implementación de medidas proactivas y estrategias para garantizar que las operaciones digitales sigan funcionando de manera eficiente y segura, minimizando el impacto de los incidentes.



m) Seguridad cibernética: Práctica de gestionar los riesgos para proteger sistemas, redes, dispositivos y datos digitales contra amenazas, ataques y actividades maliciosas en el ciberespacio, con el objetivo de garantizar la confidencialidad, integridad y disponibilidad de la información y de los recursos digitales.



n) Seguridad de la información: Práctica de gestionar los riesgos que afectan los objetivos de confidencialidad, integridad y disponibilidad de la información requeridos por la organización para el uso de las personas, procesos y tecnologías de la información en los procesos y servicios de negocio.



o) Tecnología de información (TI): Conjunto de técnicas para la captura, almacenamiento, transformación, transmisión y presentación de la información generada o recibida a partir de procesos de negocios, de manera que pueda ser organizada y utilizada en forma consistente y comprensible por los usuarios que estén relacionados con ella. Incluye elementos de hardware, software, telecomunicaciones y conectividad, entre otros.



p) Unidad de TI o función equivalente: Instancia o función que provee los procesos y servicios de TI para las entidades y empresas supervisadas.



Este reglamento incorpora como propias las demás definiciones dispuestas en la reglamentación vigente aprobada por el CONASSIF.




Ficha articulo



Artículo 5. Lineamientos generales



Los superintendentes podrán emitir, conjuntamente, los lineamientos generales que consideren necesarios para la aplicación de este reglamento.




Ficha articulo



CAPÍTULO II



GOBIERNO Y GESTIÓN DE TI



Sección I. Marco de gobierno y gestión de TI



Artículo 6. Marco de gobierno y gestión de TI



Las entidades y empresas supervisadas deben diseñar, implementar, controlar y mantener un marco de gobierno y gestión de TI de conformidad con: la estrategia organizacional; el apetito, la tolerancia y la capacidad de riesgo; el tamaño, complejidad, modelo de negocio y las políticas aprobadas por el Órgano de Dirección.



Asimismo, las entidades y empresas supervisadas podrán utilizar los estándares internacionales, mejores prácticas y marcos de referencia que la industria de tecnologías ha desarrollado para la implementación del marco de gobierno y gestión de TI, sin perjuicio del cumplimiento de las disposiciones establecidas en este reglamento.



El marco de gobierno y gestión de TI puede ser implementado en las unidades de TI, en las áreas de negocio o ser externalizado mediante servicios.




Ficha articulo



Artículo 7. Propósitos del marco de gobierno y gestión de TI



El marco de gobierno y gestión de TI debe permitir a las entidades y empresas supervisadas cumplir con los siguientes propósitos:



a) Orientar hacia la definición del gobierno de TI con un enfoque integrado y alineado con el gobierno corporativo.



b) Asegurar un equilibrio entre el uso de los recursos de TI, servicios de TI y los procesos críticos de negocio.



c) Crear valor mediante los beneficios de las tecnologías de información, dentro de los márgenes de apetito, tolerancia y capacidad de riesgo.



d) Asegurar que la entidad o empresa supervisada dispone de recursos adecuados y suficientes para el gobierno y la gestión de TI.



e) Asegurar que se identifica e involucra a las partes interesadas en el diseño del marco de gobierno y gestión de TI.



f) Diseñar e implementar el marco de gobierno y gestión de TI de conformidad con los objetivos y riesgos del negocio.



g) Asegurar que la planificación estratégica de TI permita una visión holística de la entidad o empresa supervisada en su entorno actual, así como de su dirección futura.



h) Establecer una dirección y una estructura eficiente para gestionar TI; además, alinear los objetivos de la entidad o empresa supervisada con el uso de la tecnología y su arquitectura organizacional.



i) Gestionar la innovación, las tecnologías emergentes, el conocimiento y los datos relacionados con la entidad o empresa supervisada.



j) Gestionar el presupuesto, los costos, el conocimiento y el recurso humano de la unidad de TI, así como las relaciones con las partes interesadas.



k) Establecer la gestión de los acuerdos de nivel de servicio, de los proveedores de bienes y servicios de TI, así como la gestión de los riesgos de TI de manera holística en la entidad o empresa supervisada.



l) Establecer el diseño e implementación de sistemas integrados de calidad y de seguridad de la información, así como la gestión de activos de información y de los datos.



m) Definir la gestión del portafolio, de los programas y de los proyectos de TI que permitan atender la definición de los requisitos del negocio.



n) Determinar la estrategia de adquisición, construcción e implementación de soluciones tecnológicas integradas al negocio.



o) Gestionar la disponibilidad y la capacidad de infraestructura tecnológica, así como asegurar la continuidad de las operaciones.



p) Asegurar la configuración y la seguridad de los activos de información, así como asegurar la información que dichos activos soportan, de conformidad con la gestión, aceptación y transición de los cambios.



q) Gestionar las operaciones de TI, los incidentes, la solución de los problemas de TI, los servicios de seguridad de la información y de seguridad cibernética, así como los controles de los procesos del negocio; además, asegurar una resiliencia operativa digital.



r) Gestionar el monitoreo del desempeño y la conformidad de los procesos, del sistema de control interno, del cumplimiento de los requisitos externos, así como del cumplimiento normativo, la legislación nacional aplicable y del aseguramiento de TI.



El cumplimiento de dichos propósitos debe ser de conformidad con la estrategia organizacional, los riesgos, el tamaño, la complejidad y el modelo de negocio de las entidades y empresas supervisadas.




Ficha articulo



Sección II. Responsabilidades del Órgano de Dirección



Artículo 8. Responsabilidades generales sobre el gobierno de TI



En relación con el gobierno de TI, el Órgano de Dirección, al menos, debe:



a) Aprobar el marco de gobierno y gestión de TI, así como asegurar que la declaración de apetito de riesgo incorpore el apetito, la tolerancia y la capacidad de los riesgos asociados a TI.



b) Establecer un Comité de TI o una función equivalente y aprobar sus normas de gobierno y gestión.



c) Aprobar las políticas, estructuras, estrategias, recursos, inversiones y presupuestos necesarios para la implementación del marco de gobierno y gestión de TI, así como para las tecnologías emergentes que se implementen.



d) Aprobar los informes de la auditoría externa de TI que serán remitidos a las Superintendencias.



e) Aprobar los planes de acción para la atención de los hallazgos y de los riesgos que se identifiquen como resultado de la auditoría externa de TI.



f) Asegurar que se consideren las necesidades de las partes interesadas para lograr un equilibrio entre los objetivos del negocio y los objetivos de TI definidos por la entidad o empresa supervisada.



g) Designar las áreas de negocio y de TI responsables de diseñar e implementar el marco de gobierno y de gestión TI.




Ficha articulo



Artículo 9. Responsabilidades sobre la seguridad de la información y la seguridad cibernética



En relación con el gobierno de la seguridad de la información y de la seguridad cibernética, el Órgano de Dirección, al menos, debe:



a) Asegurar que la gestión de los riesgos tecnológicos, de la seguridad de la información y de la seguridad cibernética estén integrados dentro de la gestión de riesgos de la entidad o empresa supervisada.



b) Promover las discusiones sobre la gestión de los riesgos de seguridad de la información y de seguridad cibernética en las reuniones del Órgano de Dirección.



c) Asegurar el establecimiento de un sistema de gestión de la seguridad de la información, así como sus controles.



d) Aprobar los planes de promoción de la cultura sobre la seguridad de la información y la seguridad cibernética.




Ficha articulo



Artículo 10. Responsabilidades sobre la resiliencia operativa digital



En relación con el gobierno de la resiliencia operativa digital, el Órgano de Dirección, al menos, debe:



a) Aprobar las políticas de resiliencia operativa digital de la entidad o empresa supervisada.



b) Asegurar que la resiliencia operativa digital esté incorporada dentro de los planes de contingencia y continuidad de negocio.



c) Aprobar los presupuestos y recursos necesarios para asegurar la resiliencia operativa digital.



d) Asegurar que se implementen planes de respuesta, recuperación y atención de crisis para gestionar los incidentes relacionados con los activos digitales que podrían interrumpir la ejecución de los procesos críticos.



e) Asegurar que los planes de respuesta de incidentes relacionados con los activos digitales sean acordes con el apetito, tolerancia y capacidad de riesgo establecidos por la entidad o empresa supervisada.




Ficha articulo



Sección III. Responsabilidades de la Alta Gerencia y del Comité de TI o de la función



equivalente



Artículo 11. Responsabilidades de la Alta Gerencia sobre el gobierno y la gestión de TI



En relación con el gobierno y la gestión de TI, la Alta Gerencia, al menos, debe:



a) Implementar el marco de gobierno y gestión de TI aprobado por el Órgano de Dirección.



b) Proponer al Órgano de Dirección la estrategia y los recursos requeridos para la implementación del marco de gobierno y gestión de TI.



c) Implementar las políticas relacionadas con TI aprobadas por el Órgano de Dirección.



d) Implementar los planes de acción para la atención de los hallazgos de la auditoría externa de TI.



e) Asegurar que se resguarde la confidencialidad e integridad de los datos y de la información crítica de las partes interesadas y de la entidad o empresa supervisada que sea utilizada, almacenada o procesada por terceros.



f) Asegurar que se establezcan las medidas para la gestión de los incidentes de seguridad de la información y seguridad cibernética.



g) Asegurar que los requerimientos de seguridad de la información y de seguridad cibernética de la entidad o empresa supervisada sean de cumplimiento por parte de sus proveedores de bienes y servicios de TI.



h) Asegurar que la gestión de los datos de la entidad o empresa supervisada se realice de manera efectiva y eficiente; asimismo, que las necesidades de confidencialidad, integridad, disponibilidad, no repudio y auditabilidad, sean atendidas, en función de sus riesgos.




Ficha articulo



Artículo 12. Comité de TI o función equivalente



Las entidades y empresas supervisadas deben contar con un Comité de TI o función equivalente, el cual responderá al Órgano de Dirección en sus funciones.



Los grupos y conglomerados financieros pueden contar con un Comité de TI corporativo o funciones equivalentes a nivel corporativo, en cuyo caso se podrá coordinar, aplicar y mantener un único marco de gobierno y gestión de TI. Las condiciones para tipificar un Comité de TI como corporativo están establecidas en los lineamientos generales del presente reglamento.



La designación de los integrantes del Comité de TI corporativo la determinará el propio grupo o conglomerado financiero y deberá asegurarse la representación de las entidades y empresas que lo integran, así como un balance entre conocimiento del negocio y de TI.



En el caso de que se determine que el Comité de TI corporativo no atiende en forma adecuada y oportuna las funciones y obligaciones indicadas en este reglamento, para alguna de las entidades o empresas que constituyen el grupo o conglomerado, la Superintendencia responsable de la supervisión de dicha entidad o empresa puede requerir que se proceda con la conformación de un Comité individual de TI para la respectiva entidad o empresa.




Ficha articulo



Artículo 13. Responsabilidades del Comité de TI o de la función equivalente Corresponden al Comité de TI o a la función equivalente, al menos, las siguientes responsabilidades:



a) Supervisar la implementación del marco de gobierno y gestión de TI.



b) Asesorar al Órgano de Dirección y a la Alta Gerencia en la formulación de las estrategias y las metas de TI; asimismo, velar por su cumplimiento.



c) Proponer al Órgano de Dirección las políticas relacionadas con TI.



d) Proponer al Órgano de Dirección los planes de acción que, cuando corresponda, atenderán las observaciones incluidas en el reporte de supervisión de TI, así como monitorear su implementación.



e) Validar que los procedimientos, los instructivos y la documentación de TI sean implementados desde las unidades funcionales responsables de ejecutarlos.



f) Recomendar al Órgano de Dirección las prioridades para las inversiones en TI.



g) Validar que la firma de auditores externos o el profesional independiente de TI tengan los conocimientos y la experiencia para auditar aspectos de seguridad de la información, seguridad cibernética, tecnologías emergentes u otros aspectos, de conformidad con el alcance solicitado.



h) Validar el estudio técnico en el que se fundamentan los procesos de evaluación del marco de gobierno y gestión de TI que no le aplican a la entidad o empresa supervisada.




Ficha articulo



Sección IV. Responsabilidades de los Órganos de Control



Artículo 14. Responsabilidades sobre la Auditoría Interna o de la función equivalente



En relación con las tecnologías de información, la Auditoría Interna o la función equivalente, como parte de la planificación de los estudios de la auditoría interna y su universo auditable, al menos, debe:



a) Verificar el cumplimiento de las políticas y los procedimientos que se establezcan en relación con TI.



b) Implementar un plan de auditoría basado en el riesgo, el cual, permita evaluar la calidad y la eficacia del marco de gobierno y gestión de TI, de la seguridad de la información y de la seguridad cibernética.



c) Evaluar la calidad y eficacia de los planes de acción elaborados por la entidad o empresa supervisada que atenderán los hallazgos que se identifiquen como resultado de la auditoría externa de TI.



d) Ejecutar trabajos específicos requeridos por las Superintendencias.




Ficha articulo



Artículo 15. Responsabilidades de la unidad o función de gestión de riesgos



En relación con las tecnologías de información, la unidad o función de gestión de riesgos, al menos, debe:



a) Incorporar la gestión de los riesgos tecnológicos, de tecnologías emergentes, de la seguridad de la información y de la seguridad cibernética dentro de la gestión de riesgos de la entidad o empresa supervisada.



b) Incorporar el apetito, la tolerancia y la capacidad de los riesgos tecnológicos, de tecnologías emergentes, de seguridad de la información y de seguridad cibernética dentro de la declaración de apetito de riesgo de la entidad o empresa supervisada.



c) Ejecutar trabajos específicos requeridos por las Superintendencias.




Ficha articulo



CAPÍTULO III



ORGANIZACIÓN DE LAS TECNOLOGÍAS DE INFORMACIÓN



Sección I. Generalidades de la gestión de TI



Artículo 16. Gestión de TI individual o función corporativa



La gestión de TI de las entidades y empresas supervisadas es tipificada de manera predeterminada como gestión de TI individual.



Los grupos y conglomerados financieros pueden solicitar al supervisor responsable, un permiso para tipificar su gestión de TI como corporativa, en cuyo caso, se podrá coordinar, aplicar y mantener un único marco de gobierno y de gestión de TI, el cual debe contemplar los riesgos de TI establecidos en la declaración de apetito de riesgo aprobada por el Órgano de Dirección para cada una de las entidades y empresas supervisadas.



La solicitud debe contener una justificación debidamente sustentada que demuestre que se cumplen las condiciones para que la gestión de TI sea tipificada como corporativa.



Las condiciones para tipificar la gestión de TI como corporativa están establecidos en los lineamientos generales del presente reglamento, así como el plazo de respuesta. Las Superintendencias deben coordinar la respuesta a esta solicitud.



En el caso que se determine que la gestión de TI corporativa no atiende en forma adecuada y oportuna las funciones y obligaciones indicadas en este reglamento, para alguna de las entidades o empresas que constituyen el grupo o conglomerado, la Superintendencia responsable de la supervisión de dicha entidad o empresa puede requerir que se establezca una gestión de TI individual para la respectiva entidad o empresa.



El proceso de intercambio de información entre Superintendencias se hará en los términos dispuestos en Reglamento sobre procedimiento de intercambio de información entre las Superintendencias del sistema financiero, Acuerdo CONASSIF 7-19.




Ficha articulo



Artículo 17. Unidad de TI o función equivalente



Las entidades y empresas supervisadas deben establecer una Unidad de TI o una función equivalente encargada de implementar y desarrollar soluciones tecnológicas para apoyar y facilitar la ejecución de los procesos internos, así como su marco de gobierno y gestión de TI.




Ficha articulo



Artículo 18. Responsabilidades de la unidad de TI o de la función equivalente



La Unidad de TI o la función equivalente es responsable de:



a) Ejecutar las estrategias para la implementación del marco de gobierno y gestión de TI.



b) Implementar los proyectos relacionados con TI de acuerdo con el plazo, el presupuesto y los requisitos establecidos.



c) Diseñar e implementar la arquitectura tecnológica, la arquitectura de información y de aplicaciones, alineadas a la arquitectura de negocio, a fin de soportar las operaciones de la entidad o empresa supervisada.



d) Establecer los controles para el desarrollo del ciclo de vida de los servicios, de las aplicaciones, de los sistemas de información y de las soluciones tecnológicas, los cuales, aseguren la confidencialidad, integridad, disponibilidad, calidad, mantenimiento y los cambios por excepción o de emergencia.



e) Asegurar que los bienes y servicios de TI críticos estén identificados; además, asegurar que se mantengan disponibles y que sean gestionados de manera efectiva y eficiente.



f) Asegurar que los requerimientos de las entidades y empresas supervisadas sean atendidos de manera equitativa y en función de los riesgos de cada entidad o empresa que constituye el grupo o conglomerado cuando la gestión de TI sea tipificada como corporativa.




Ficha articulo



Sección II. Tratamiento de datos, activos de información, aplicaciones, sistemas de



información y soluciones tecnológicas



Artículo 19. Clasificación de activos de información y del acceso y uso de los datos



Las entidades y empresas supervisadas deben clasificar sus activos de información de conformidad con el modelo de clasificación establecido en los lineamientos generales del presente reglamento.



Las entidades y empresas supervisadas deben etiquetar los activos de información según su nivel de confidencialidad, de conformidad con el modelo de clasificación de acceso y uso de los activos de información y datos establecido en los lineamientos generales del presente reglamento.



Los activos de información primarios y de soporte deben ser revelados en el perfil tecnológico de conformidad con lo establecido en los lineamientos generales del presente reglamento.




Ficha articulo



Artículo 20. Bases de datos, aplicaciones, sistemas de información y soluciones tecnológicas



Las entidades y empresas supervisadas deben poner a disposición de las Superintendencias para sus labores de supervisión, sin ningún tipo de restricción o condición, las bases de datos actualizadas, las aplicaciones, los sistemas de información y las soluciones tecnológicas vigentes que procesan o dan acceso a las bases de datos de las entidades.



Cuando existan bases de datos compartidas entre las entidades y empresas integrantes del grupo o conglomerado financiero, debe efectuarse una separación del registro de las operaciones de cada entidad y empresa integrante del grupo o conglomerado financiero.



Asimismo, las bases de datos solo pueden ser utilizadas o compartidas guardando la confidencialidad de la información y la protección de los datos de acuerdo con las normas y las disposiciones legales aplicables.



Las bases de datos, las aplicaciones, los sistemas de información y las soluciones tecnológicas deben estar declarados en el perfil tecnológico.




Ficha articulo



Artículo 21. Gestión de aplicaciones, sistemas de información y soluciones tecnológicas seguras



Las entidades y empresas supervisadas deben gestionar aplicaciones, sistemas de información y soluciones tecnológicas seguras mediante el establecimiento de controles relacionados con la adquisición o el desarrollo del ciclo de vida del software y la codificación segura.



Las pautas para la implementación de los controles están establecidas en los lineamientos generales del presente reglamento.




Ficha articulo



Sección III. Gestión de la computación en la nube



Artículo 22. Servicios de computación en la nube



Las entidades y empresas supervisadas pueden disponer de sus componentes tecnológicos mediante el uso de servicios de computación en la nube, siempre y cuando, cumplan con las obligaciones generales para uso de la computación en la nube establecidas en el presente reglamento.



Cuando las entidades y empresas supervisadas deleguen sus procesos críticos a través de servicios de computación en la nube, deben establecer las obligaciones de cada una de las partes involucradas para proteger los datos, el software, la plataforma y la infraestructura en la nube.




Ficha articulo



Artículo 23. Obligaciones generales para el uso de la computación en la nube



Las entidades y empresas supervisadas que utilicen servicios de computación en la nube deben:



a) Gestionar los riesgos derivados del uso de servicios de computación en la nube.



b) Establecer los criterios para seleccionar el proveedor de servicios de computación en la nube. Dichos criterios deben considerar, al menos, la seguridad, fiabilidad, escalabilidad, costo, soporte, experiencia, interoperabilidad y cumplimiento regulatorio.



c) Verificar que el proveedor de servicios de computación en la nube tenga y conserve vigente, al menos, la certificación ISO 27001. Además, de conformidad con el servicio externalizado, verificar que cumpla con estándares o buenas prácticas, tales como las ISO 27017, 27018 o las mejores prácticas del Cloud Security Alliance.



d) Asegurar que los niveles de disponibilidad estén de conformidad con los objetivos de resiliencia (RPO y RTO) establecidos por la entidad o empresa supervisada.



e) Establecer controles para asegurar la disponibilidad acordada del servicio con el proveedor.



f) Establecer mecanismos que permitan contar con respaldo de la información que se procesa y almacena en la nube, la cual, debe estar a disposición de la entidad o empresa supervisada en un sitio alterno que asegure la confidencialidad, integridad y disponibilidad de la información. Lo anterior, cuando los servicios contratados, por su naturaleza, no garanticen o incluyan el respaldo.



g) Mantener cifrada la información, cuyo uso o acceso esté clasificado como confidencial y sensible, ya sea en tránsito o en reposo, mediante el empleo de estándares y algoritmos reconocidos como seguros de acuerdo con los estándares y mejores prácticas internacionales.



h) Tener bajo su control la administración de usuarios y privilegios para el acceso a los servicios de computación en la nube, a las plataformas, las aplicaciones y las bases de datos que operen en la nube. Lo anterior, de conformidad con el modelo de servicio contratado.



i) Contar con sistemas de registro, monitoreo y alarma de eventos e incidentes de seguridad de la información y seguridad cibernética.



j) Monitorear los servicios contratados para detectar operaciones o cambios no deseados y tomar acciones preventivas o correctivas oportunamente.



k) Monitorear el cumplimiento de los acuerdos de niveles de servicio establecidos con el proveedor de servicios en la nube y, en caso de que aplique, de sus subcontratistas.



l) Contar con canales de comunicación con el proveedor de servicios en la nube, cifrados de extremo a extremo, y que, en lo posible, utilicen mecanismos de redundancia.




Ficha articulo



Artículo 24. Documentación de los servicios de computación en la nube



Cuando las entidades y empresas supervisadas dispongan de sus componentes tecnológicos mediante el uso de servicios de computación en la nube, deberán mantener actualizada y a disposición de las Superintendencias la documentación de los controles administrativos y técnicos dispuestos para dichos servicios.




Ficha articulo



Sección IV. Tercerización de bienes y servicios de TI



Artículo 25. Responsabilidades sobre la tercerización de la información y de los bienes y servicios de TI



Las entidades y empresas supervisadas son responsables del gobierno, la gestión, la seguridad de la información y la seguridad cibernética de los bienes y servicios de TI que les son suministrados por terceros. Para estos efectos, se entiende por terceros: proveedores, alianzas estratégicas, negocios conjuntos, convenios u otro tipo de arreglo comercial.



Lo anterior incluye a entidades y empresas integrantes de grupos y conglomerados financieros supervisados, o entidades y empresas del grupo económico.



Las entidades y empresas supervisadas deben establecer controles a fin de comprobar que los proveedores que les suministran bienes y servicios de TI implementan medidas para gestionar la seguridad de la información, la seguridad cibernética y la resiliencia operativa digital, de conformidad con los requerimientos definidos por las entidades y empresas supervisadas.



Cuando los bienes y servicios de TI críticos sean proveídos por terceros, las entidades y empresas supervisadas deben asegurar que, en caso de que dichos bienes y servicios, a su vez, sean subcontratados por los terceros, se cuente con controles de seguridad de la información y seguridad cibernética, asimismo, que se cuente con planes de continuidad del negocio.



Cuando se delegue a terceros el procesamiento, la transmisión o el almacenamiento de información clasificada como confidencial o sensible, las entidades y empresas supervisadas deben asegurar que dichos terceros implementen controles de seguridad de la información y seguridad cibernética.




Ficha articulo



Artículo 26. Identificación de la información y de los bienes y servicios de TI proveídos por terceros



Las entidades y empresas supervisadas deben establecer procedimientos que permitan mantener identificados los bienes y servicios de TI proveídos por terceros.



Además, deben mantener identificados sus proveedores de bienes y servicios de TI críticos, a través de un análisis de riesgos.



Las entidades y empresas supervisadas deben establecer procedimientos que permitan mantener identificada la información clasificada como confidencial o sensible que sea procesada, transmitida o almacenada por terceros.




Ficha articulo



Artículo 27. Identificación, evaluación y monitoreo de los riesgos de tercerización de información y de los bienes y servicios de TI críticos



Las entidades y empresas supervisadas deben identificar, evaluar y monitorear, de conformidad con sus políticas establecidas, los riesgos de tercerización de la información clasificada como confidencial o sensible, así como los riesgos de tercerización de bienes y servicios de TI críticos. Además, se deben revelar dichos riesgos en el perfil tecnológico.




Ficha articulo



Artículo 28. Acuerdos de confidencialidad



Las entidades y empresas supervisadas que deleguen a terceros, bienes y servicios de TI que involucren el procesamiento, la transmisión o el almacenamiento de información, deben establecer mecanismos de control tales como los acuerdos de confidencialidad previo al intercambio de información con dichos terceros.



Cuando se celebren contratos de adhesión con terceros, las entidades y empresas supervisadas deben asegurar la confidencialidad de la información, para lo cual podrán utilizar mecanismos de control distintos a los acuerdos de confidencialidad.




Ficha articulo



Artículo 29. Contratos y acuerdos de nivel de servicio



Las entidades y empresas supervisadas deben establecer procesos para gestionar los contratos y los acuerdos de nivel de servicio que se celebren con sus proveedores de bienes y servicios de TI. Además, los acuerdos de nivel de servicio podrán estar incluidos en los contratos, según la naturaleza del bien o servicio externalizado.



Los contratos y acuerdos de nivel de servicio deben contener cláusulas que aseguren la continuidad de los bienes y servicios de TI críticos que son tercerizados.



Las entidades y empresas supervisadas deberán diseñar sus contratos y acuerdos de nivel de servicio de TI, de conformidad con la naturaleza y el riesgo del bien o servicio tercerizado, así como el tipo de proveedor. Mediante lineamientos generales del presente reglamento se establecen elementos a considerar para el diseño de los contratos y acuerdos de nivel de servicio, salvo en los casos en que se trate de bienes o servicios suministrados por proveedores de computación en la nube o contratos de adhesión.



Las entidades y empresas supervisadas deben asegurar la continuidad de los bienes y servicios tercerizados incluso en los casos en que se celebren contratos de adhesión con los proveedores.




Ficha articulo



Artículo 30. Acceso de las Superintendencias a la información



Las entidades y empresas supervisadas deben asegurar que las Superintendencias tengan acceso a los registros, datos e información de los bienes y servicios de TI tercerizados según sean requeridos como parte de los procesos de supervisión.



Las entidades y empresas supervisadas deben asegurar el acceso de las Superintendencias a los registros, datos e información de los bienes y servicios tercerizados incluso en los casos en que se celebren contratos de adhesión con los proveedores.




Ficha articulo



CAPÍTULO IV



SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD CIBERNÉTICA



Sección I. Gestión de la seguridad de la información y la seguridad cibernética



Artículo 31. Sistema de gestión de la seguridad de la información



Las entidades y empresas supervisadas deben diseñar, implementar, mantener y monitorear un sistema de gestión de la seguridad de la información que incluya las disposiciones de seguridad de la información y seguridad cibernética del presente reglamento.



El sistema de gestión de la seguridad de la información debe establecer los controles que permitan adoptar un enfoque basado en el riesgo, para proteger los activos de información y los activos que soportan la información, contra los riesgos de la seguridad de la información y de la seguridad cibernética. Los controles deberán ser incluidos en una declaración de aplicabilidad y especificar los atributos que están establecidos en los lineamientos generales del presente reglamento.



Para la implementación del sistema de gestión de la seguridad de la información, se pueden utilizar los estándares internacionales, mejores prácticas o marcos de referencia relacionados con la seguridad de la información y la seguridad cibernética que la industria de tecnologías ha desarrollado.



Las Superintendencias podrán requerir la inclusión de prácticas y controles de seguridad de la información y seguridad cibernética dentro del sistema de gestión de la seguridad de la información de acuerdo con los riesgos identificados.




Ficha articulo



Artículo 32. Seguridad cibernética



Las entidades y empresas supervisadas deben gestionar la seguridad cibernética para cumplir con los requerimientos del negocio y asegurar una resiliencia operativa digital.



Las entidades y empresas supervisadas deben establecer indicadores para medir de forma recurrente la eficacia y eficiencia de la seguridad cibernética.




Ficha articulo



Artículo 33. Programas de análisis de vulnerabilidades y pruebas



Las entidades y empresas supervisadas deben establecer, anualmente, programas de análisis de vulnerabilidades y pruebas que incluyan los controles de seguridad de la información y seguridad cibernética.



Los análisis de vulnerabilidades, así como los tipos de pruebas y sus alcances, deben ser acordes con los riesgos de seguridad de la información y seguridad cibernética de las entidades y empresas supervisadas.



Los análisis de las vulnerabilidades y las pruebas pueden ser ejecutados por personal interno, personal externo o ambos.




Ficha articulo



Artículo 34. Unidades, funciones organizacionales, centros de operaciones y comités técnicos de gestión de riesgos de la seguridad de la información y la seguridad cibernética



Las entidades y empresas supervisadas deben establecer unidades, funciones organizacionales, centros de operaciones o comités técnicos que gestionen los riesgos de la seguridad de la información y de la seguridad cibernética.



Las unidades, funciones organizacionales, centros de operaciones o comités técnicos deben establecerse de conformidad con la estructura, tamaño, canales de atención, volumen transaccional, número de clientes, evaluación del riesgo y servicios prestados por las entidades o empresas supervisadas.



Las unidades, funciones organizacionales, centros de operaciones o comités técnicos que gestionen los riesgos de seguridad cibernética pueden estar integrados a las áreas o funciones de seguridad de la información de las entidades o empresas supervisadas, tercerizadas o separadas.



En todo caso, deben establecerse las políticas y los procedimientos que definan los propósitos, responsabilidades, actividades y controles requeridos para su operación.




Ficha articulo



Artículo 35. Planes de promoción de la cultura de la seguridad de la información y la seguridad cibernética



Las entidades y empresas supervisadas deben diseñar e implementar, anualmente, planes de promoción de la cultura de la seguridad de la información y la seguridad cibernética.



Los planes deben incluir, al menos, actividades de capacitación, concientización, divulgación, comunicación y promoción de una cultura organizacional de seguridad de la información y seguridad cibernética dirigidos a sus colaboradores y clientes.



Los planes deben contener indicadores de medición para determinar el nivel de concientización de las entidades o empresas supervisadas.




Ficha articulo



Sección II. Incidentes de seguridad de la información y seguridad cibernética



Artículo 36. Gestión de incidentes de seguridad de la información y seguridad cibernética



Las entidades y empresas supervisadas deben diseñar e implementar un proceso para la gestión de incidentes de seguridad de la información y seguridad cibernética que incorpore las fases de la gestión de incidentes establecidas en los lineamientos generales del presente reglamento.



Cuando se identifique una brecha de seguridad de información o de seguridad cibernética, las entidades y empresas supervisadas deberán establecer el impacto potencial de conformidad con el modelo de clasificación establecido en los lineamientos generales del presente reglamento.



La gestión de incidentes debe establecer un plan de respuesta a incidentes de seguridad de la información y seguridad cibernética, así como los controles que permitan recopilar las evidencias para el análisis forense.




Ficha articulo



Artículo 37. Función de respuesta a incidentes de seguridad de la información y seguridad cibernética



Las entidades y empresas supervisadas deben establecer una función de respuesta a incidentes de seguridad de la información y seguridad cibernética, de conformidad con su estructura, tamaño, canales de atención, volumen transaccional, número de clientes, evaluación del riesgo y servicios prestados.



La función de respuesta a incidentes de seguridad de la información y seguridad cibernética puede estar conformada por personal de diferentes áreas de la entidad o empresa supervisada, o cualquier otro miembro que se considere necesario.



Las principales actividades de la función de respuesta a incidentes de seguridad de la información y de seguridad cibernética serán, al menos, las siguientes:



a) Definir responsabilidades dentro de las áreas de gestión para facilitar su resolución y la coordinación entre todas las partes que la integran.



b) Establecer las directrices operativas e informativas durante la situación del incidente de seguridad de la información o de seguridad cibernética.



c) Evaluar las estrategias que se llevan a cabo, las acciones y los resultados.



d) Detectar y prever acontecimientos y pasos a seguir en función del desarrollo de los hechos para erradicar y resolver el incidente de seguridad de la información o de seguridad cibernética.



e) Identificar oportunidades de mejora para la gestión de incidentes de seguridad de la información y seguridad cibernética, así como implementar estrategias de mejora continua.




Ficha articulo



Artículo 38. Clasificación, registro e impacto de los incidentes de seguridad de la información y seguridad cibernética



Las entidades y empresas supervisadas deben clasificar y registrar los incidentes de seguridad de la información y seguridad cibernética, de conformidad con la clasificación de incidentes y de su impacto, establecidos en los lineamientos generales del presente reglamento.




Ficha articulo



Artículo 39. Comunicación de incidentes de seguridad de la información y seguridad cibernética a las Superintendencias



Las entidades y empresas supervisadas deben comunicar a las respectivas Superintendencias los incidentes de seguridad de la información y seguridad cibernética cuando su impacto sea clasificado como "moderado" o "alto".



Las Superintendencias podrán solicitar informes sobre la atención de los incidentes de seguridad de la información o de seguridad cibernética.



Los tipos de informes de incidentes de seguridad de la información y seguridad cibernética, los plazos y los formatos para su remisión están establecidos en los lineamientos generales del presente reglamento.



Las Superintendencias informarán los canales de remisión de los comunicados y de los informes de incidentes de seguridad de la información y seguridad cibernética.




Ficha articulo



Artículo 40. Comunicado de incidentes a los clientes



Cuando la confidencialidad o integridad de la información de los clientes sea afectada debido a un incidente de seguridad de la información o de seguridad cibernética, las entidades y empresas supervisadas deberán comunicarles a estos sobre la afectación. Será responsabilidad de las entidades y empresas supervisadas definir el tipo, el alcance y el contenido mínimo de la comunicación, la cual, deberá ser oportuna, clara y con un alcance apropiado en función del incidente.



Además, las medidas adoptadas para remediar el incidente se deben comunicar a los clientes en un plazo máximo de cinco días hábiles posteriores al cierre del incidente.




Ficha articulo



Artículo 41. Información histórica de incidentes de seguridad de la información y seguridad cibernética



Las entidades y empresas supervisadas deben mantener información histórica de los incidentes de seguridad de la información y seguridad cibernética. La información histórica deberá estar a disposición de las Superintendencias cuando estas lo requieran como parte de las labores de supervisión; en dicho caso, las Superintendencias comunicarán los canales de remisión de la información.



El contenido y el plazo de conservación de la información histórica está establecido en los lineamientos generales del presente reglamento.




Ficha articulo



CAPÍTULO V



LA AUDITORÍA EXTERNA DE TI



Sección I. Perfil tecnológico



Artículo 42. Perfil tecnológico



Las entidades y empresas supervisadas deben elaborar su perfil tecnológico y actualizarlo anualmente.



En los casos en que se cuente con una gestión de TI corporativa, un Comité de TI corporativo o sus respectivas funciones equivalentes a nivel corporativo, el grupo o conglomerado financiero podrá remitir un único perfil tecnológico al supervisor responsable.



En cualquier caso, el perfil debe ajustarse al marco de gobierno y de gestión de TI de las entidades y empresas supervisadas que conforman el grupo o conglomerado e identificará las particularidades de cada una de estas.



Mediante lineamientos generales del presente reglamento se establecen los plazos y los canales de remisión del perfil tecnológico, así como aspectos en relación con el contenido del perfil tecnológico y la guía para su descarga, llenado y remisión vigentes.




Ficha articulo



Artículo 43. Procesos de evaluación del marco de gobierno y gestión de TI



Las entidades y empresas supervisadas deben indicar en el perfil tecnológico cuáles de los procesos de evaluación detallados en el anexo 1 de los lineamientos generales del presente reglamento, resultan adecuados a su marco de gobierno y gestión de TI. Asimismo, las entidades y empresas supervisadas deberán indicar, en el perfil tecnológico, los procesos de evaluación que no les apliquen, así como los que estén externalizados de forma total o parcial.



Los procesos de evaluación que no les apliquen deben estar debidamente fundamentados en un estudio técnico, el cual debe ser remitido mediante los canales oficiales de comunicación de cada Superintendencia. Los aspectos que deben ser considerados para la elaboración del estudio técnico están establecidos en los lineamientos generales del presente reglamento.



Cuando la gestión de TI sea tipificada como corporativa, se podrá realizar un único estudio técnico, el cual, considere las particularidades de cada una de las entidades o empresas supervisadas que conforman el grupo o conglomerado financiero.



Sin perjuicio de lo anterior, las Superintendencias podrán ampliar la cantidad de procesos de evaluación declarados en el perfil tecnológico de acuerdo con las necesidades de supervisión, el riesgo identificado o cuando se determine que el marco de gobierno y gestión de TI no es acorde con las particularidades de las entidades o empresas supervisadas.



Los criterios de calificación de los procesos de evaluación del marco de gobierno y gestión de TI están establecidos en el anexo 3 de los lineamientos generales del presente reglamento.




Ficha articulo



Artículo 44. Funciones para la evaluación de la gestión de riesgos de seguridad cibernética



Las entidades y empresas supervisadas deben indicar en el perfil tecnológico cuáles categorías de las funciones de la seguridad cibernética establecidas en el anexo 4 de los lineamientos generales del presente reglamento resultan adecuadas para evaluar su gestión de riesgos de seguridad cibernética.



Las entidades y empresas supervisadas diseñarán e implementarán los controles relacionados con las funciones de seguridad cibernética y sus categorías, de conformidad con los estándares internacionales, marcos de referencia y mejores prácticas relacionadas con la seguridad cibernética que consideren adecuados para mitigar sus riesgos y alineándolas al sistema de gestión de la seguridad de la información a través de la declaración de aplicabilidad.




Ficha articulo



Artículo 45. Comunicación de cambios significativos del perfil tecnológico



Las entidades y empresas supervisadas deben identificar los cambios que se realicen en el perfil tecnológico con respecto al perfil anterior, los cuales, consideren que son significativos en aspectos tales como impacto en: la operación, la seguridad, el cumplimiento, la inversión requerida, los beneficios esperados, el alcance de los procesos de evaluación aplicables a la entidad, los riesgos asociados y su alineación con la estrategia organizacional, entre otros. Lo anterior, en virtud de su naturaleza, tamaño, complejidad, modelo de negocio y riesgos.



Además, las entidades y empresas supervisadas deben comunicar dichos cambios significativos a las Superintendencias. El plazo y los canales de comunicación de los cambios significativos del perfil tecnológico están establecidos en los lineamientos generales del presente reglamento.




Ficha articulo



Sección II. Auditoría externa de TI



Artículo 46. Auditoría externa de TI



Las Superintendencias solicitarán a las entidades y empresas supervisadas la contratación de una auditoría externa de TI sobre el marco de gobierno y gestión de TI según el alcance determinado por el supervisor. Para las entidades sujetas a la aplicación del artículo 3.



Regulación proporcional, las Superintendencias solicitarán la contratación de una auditoría externa de TI de conformidad con lo establecido en dicho artículo.



Además, las Superintendencias, según los riesgos identificados, podrán solicitar a las entidades y empresas supervisadas la contratación de auditorías externas de TI para sus proveedores de bienes y servicios de TI.



Cuando las entidades y empresas supervisadas dispongan de sus componentes tecnológicos mediante el uso de servicios de computación en la nube proveídos por terceros o se celebren contratos de adhesión, las Superintendencias podrán valorar la aceptación de informes de auditorías externas con las que ya cuenten dichos proveedores.



La auditoría externa de TI deberá ser realizada de conformidad con el Marco de prácticas profesionales de auditoría de Tecnologías de Información (ITAF) de ISACA, salvo en los casos en que se trate de proveedores de servicios de computación en la nube que ya cuenten con auditorías independientes.



Las entidades y empresas supervisadas deben cumplir con lo dispuesto en el Reglamento General de Auditores Externos, Acuerdo CONASSIF 1-10, para la contratación de las auditorías externas de TI.




Ficha articulo



Artículo 47. Alcance y plazo de la auditoría externa de TI



Las Superintendencias deben comunicar a las entidades y empresas supervisadas, el alcance de la auditoría externa de TI, el cual podrá considerar, al menos, los siguientes aspectos:



a) Los procesos de evaluación del marco de gobierno y gestión de TI establecidos en los anexos 1 y 2 de los lineamientos generales del presente reglamento, aplicables a la entidad en el momento de la solicitud de la auditoría externa de TI, de conformidad con los artículos 3 y 43 del presente reglamento.



b) Las funciones para la evaluación de la gestión de riesgos de seguridad cibernética establecidas en los lineamientos generales del presente reglamento.



c) Componentes revelados en el perfil tecnológico de la entidad o empresa supervisada.



d) Entidades y empresas supervisadas, así como áreas de negocio y áreas de TI por considerar en cada proceso.



e) Proveedores de bienes y servicios de TI que, según los riesgos identificados, requieran la evaluación de una auditoría externa de TI, en cuyo caso, se evaluaran los procesos aplicables a la entidad o empresa supervisada y cualquier otro aspecto que esté relacionado con los bienes y servicios de TI tercerizados.



f) El periodo de cobertura.



g) Aspectos que las Superintendencias requieran de conformidad con los riesgos identificados.



Cuando la gestión de TI, el Comité de TI o sus respectivas funciones equivalentes sean corporativos, le corresponde a los Órganos de Dirección asegurar que la atención del alcance de la auditoría externa incluya lo que corresponde a cada una de las entidades y empresas supervisadas, de tal forma, que los productos por entregar evalúen el gobierno y la gestión de TI a nivel de los procesos y los riesgos del negocio que desarrolla cada entidad o empresa supervisada.



El plazo para la auditoría externa de TI y los canales de remisión del alcance están establecidos en los lineamientos generales del presente reglamento.




Ficha articulo



Artículo 48. Periodicidad de las auditorías externas de TI



La periodicidad de la auditoría externa será cada tres años, excepto, cuando el supervisor considere con base en el perfil de riesgo o los resultados de la supervisión, la necesidad de anticiparla o aplazarla.




Ficha articulo



Artículo 49. Documentación sobre la contratación y la planificación de la auditoría externa de TI



Las entidades y empresas supervisadas deben remitir a las Superintendencias, la documentación sobre la contratación y la planificación de la auditoría externa de TI, la cual, debe incluir al menos:



a) la copia del contrato suscrito por los servicios de auditoría, y



b) la planificación del encargo.



El formato de la planificación del encargo, así como el plazo y los canales para la remisión de la documentación sobre la contratación y la planificación de la auditoría externa de TI, están establecidos en los lineamientos generales del presente reglamento.




Ficha articulo



Artículo 50. Productos de la auditoría externa de TI



Las entidades y empresas deben remitir a la respectiva Superintendencia los siguientes productos de la auditoría externa de TI:



a) El informe de la auditoría externa de TI.



b) La copia del acuerdo del Órgano de Dirección en el que se aprobó el informe de la auditoría externa de TI. Se debe indicar el número y fecha del acta en la que se consignó el acuerdo.



c) La matriz de evaluación del marco de gobierno y gestión de TI.



d) Cualquier otro producto solicitado por la Superintendencia en el alcance de la auditoría externa de TI.



Los formatos, características y canales de remisión de los productos de la auditoría externa de TI están establecidos en los lineamientos generales del presente reglamento.




Ficha articulo



Artículo 51. Presentación de los resultados de la auditoría externa de TI



Las entidades y empresas supervisadas deben convocar, previa coordinación con la respectiva Superintendencia, una reunión para la presentación de los resultados de la auditoría externa de TI por parte del auditor CISA responsable.



Los canales para la coordinación de la reunión, el contenido mínimo de la presentación de los resultados de la auditoría externa de TI y las personas que deben participar están establecidos en los lineamientos generales del presente reglamento.




Ficha articulo



Sección III. Reporte de supervisión y plan de acción



Artículo 52. Reporte de supervisión



Las Superintendencias elaborarán un reporte de supervisión para comunicar a las entidades y empresas supervisadas, el resultado de la valoración de los productos de la auditoría externa de TI remitidos, así como los hallazgos y los riesgos identificados.



Además, las Superintendencias disponen de un plazo de cuarenta días hábiles contados a partir de la presentación de los resultados de la auditoría externa de TI, para remitir a las entidades o empresas supervisadas el reporte de supervisión.



El reporte de supervisión será remitido por medio de los canales oficiales de comunicación de cada Superintendencia.




Ficha articulo



Artículo 53. Inadmisibilidad de los productos de la auditoría externa de TI



El supervisor puede declarar inadmisibles los productos de la auditoría externa de TI cuando incumplan las disposiciones establecidas en este reglamento, en sus lineamientos generales o en ambos.



En caso de inadmisibilidad, las entidades o empresas supervisadas deben remitir los productos corregidos en el plazo de treinta días hábiles, contados a partir de la fecha de comunicación del reporte de supervisión. Cuando las Superintendencias lo requieran, podrán establecer un plazo menor para la remisión de los productos, el cual, no podrá ser menor a diez días hábiles.



El plazo dispuesto en el artículo 52 del presente reglamento para que las Superintendencias remitan el reporte de supervisión, iniciará nuevamente a partir de la última recepción de los productos corregidos.



Las Superintendencias pueden solicitar una nueva reunión para la presentación de los resultados finales de la auditoría externa de TI.




Ficha articulo



Artículo 54. Plan de acción para la gestión de los hallazgos y los riesgos identificados como resultado de la auditoría externa de TI



Las entidades y empresas supervisadas deben elaborar un plan de acción para gestionar los hallazgos y los riesgos que se identifiquen como resultado de la auditoría externa de TI. Las acciones que se incluyan en el plan de acción deben establecerse en función del tamaño, complejidad y modelo de negocio, así como de los niveles de apetito, tolerancia y capacidad de riesgo establecidos.



La aprobación de los planes de acción por parte del supervisor aplicará en aquellos casos en los que así lo defina la regulación específica de cada Superintendencia.



Los aspectos sobre la elaboración del plan de acción están establecidos en los lineamientos generales del presente reglamento.



El plan de acción debe ser remitido a las Superintendencias en el plazo de treinta días hábiles contados a partir de la comunicación del reporte de supervisión. Cuando las Superintendencias lo requieran, podrán establecer un plazo menor para la remisión del plan de acción, el cual, no podrá ser menor a diez días hábiles.



Los supervisores pueden realizar observaciones al plan de acción, sugerir mejoras o advertir sobre los riesgos significativos. Cuando las actividades incluidas en el plan de acción no atienden adecuadamente los hallazgos y los riesgos, la frecuencia de presentación de los informes de avances no permite un adecuado seguimiento al plan de acción, los supervisores solicitarán las modificaciones pertinentes a la entidades o empresas supervisadas.




Ficha articulo



Sección IV. Prórrogas



Artículo 55. Solicitudes de prórrogas



Las entidades y empresas supervisadas pueden presentar una solicitud de prórroga ante la respectiva Superintendencia para el plazo de la remisión de los productos de la auditoría externa de TI y para el plazo de la remisión del plan de acción.



Las solicitudes de prórroga deben ser presentadas de forma previa al vencimiento del plazo original.



Las pautas para la elaboración de las solicitudes de prórroga y los canales de remisión están establecidas en los lineamientos generales del presente reglamento.




Ficha articulo



Artículo 56. Aceptación o rechazo de las solicitudes de prórrogas



La respectiva Superintendencia valorará los fundamentos presentados en la solicitud de prórroga y aceptará o rechazará dicha solicitud.



Las Superintendencias comunicaran a las entidades y empresas supervisadas, dentro del plazo de diez días hábiles contados a partir de recibida la solicitud de prórroga, la aceptación o rechazo de dicha solicitud. En caso de aceptación de la solicitud, se comunicará a la entidad o empresa supervisada el plazo adicional concedido. Dichas comunicaciones se realizarán mediante los canales oficiales de comunicación de cada Superintendencia.




Ficha articulo



DISPOSICIONES ADICIONALES



Disposición adicional primera. Referencias normativas



Toda referencia en la reglamentación emitida por el CONASSIF u otras disposiciones de inferior rango emitidas por los superintendentes que hagan referencia al Reglamento General de Gestión de Tecnología de Información, Acuerdo CONASSIF 5-17, debe leerse como Reglamento General de Gobierno y Gestión de la Tecnología de Información, Acuerdo CONASSIF 5-24.



DISPOSICIONES TRANSITORIAS



Disposición transitoria primera. Auditorías externas de TI



Las Superintendencias podrán realizar visitas de supervisión, solicitudes de trabajos especiales a los Órganos de Control o solicitudes de auditorías externas de TI considerando dentro de los alcances y plazos de dichos trabajos el cumplimiento de las disposiciones establecidas en el presente reglamento a partir de la publicación de sus modificaciones en el diario oficial La Gaceta.



La secuencia y los plazos de las auditorías externas iniciadas con base en el Acuerdo CONASSIF 5-17 no serán interrumpidos por la transición a las modificaciones del presente reglamento.




Ficha articulo



Disposición transitoria segunda. Gestión de TI corporativa



Los grupos y conglomerados financieros que, previo a la publicación de las modificaciones del presente reglamento en el diario oficial La Gaceta, hayan tipificado su gestión de TI como corporativa, podrán mantener dicha condición.




Ficha articulo



Disposición transitoria tercera. Planes de acción vigentes



Los planes de acción en curso originados por trabajos de supervisión o como parte de los resultados de las auditorías externas de TI solicitadas en periodos previos a la publicación de las modificaciones del presente reglamento en el diario oficial La Gaceta, deben ser finalizados en tiempo y forma.




Ficha articulo



Disposición transitoria cuarta. Contratos con proveedores de bienes y servicios de TI



Con respecto a los contratos vigentes y futuros suscritos con los proveedores de bienes y servicios de TI, las entidades y empresas supervisadas deben considerar lo siguiente:



a) Contratos nuevos: A partir de la publicación de las modificaciones del presente reglamento en el diario oficial La Gaceta, deben acatarse las disposiciones sobre contratos y acuerdos de nivel de servicio.



b) Contratos vigentes: Continúan según lo acordado entre las partes. Las disposiciones aplicarán en caso de renovación del servicio y cuando deban suscribir nuevos contratos y acuerdos de nivel de servicio. En todo caso, las entidades y empresas supervisadas cuentan con un plazo no mayor a dieciocho meses a partir de la entrada en vigor del presente reglamento para realizar los ajustes necesarios en los nuevos contratos y acuerdos de nivel de servicio. En casos debidamente justificados, podrán otorgarse prórrogas de hasta seis meses.




Ficha articulo



Disposición transitoria quinta. Sociedades corredoras de seguros



De conformidad con el requerimiento dispuesto en el artículo 3. Regulación proporcional, las sociedades corredoras de seguros se regirán por las siguientes disposiciones transitorias:



1. Marco de gestión de TI de las sociedades corredoras de seguros y periodo de transición:



a) Las sociedades corredoras de seguros deben implementar los procesos de su marco de gestión de TI gradualmente como máximo durante los primeros cuatro años contados a partir de la entrada en vigor del reglamento.



b) En concordancia con la naturaleza, modelo de negocio, criticidad de los procesos y dependencia tecnológica de información y la complejidad de sus operaciones, la SUGESE requiere que las sociedades corredoras de seguros implementen su marco de gestión, así como los órganos, comités, instancias y controles, para lo cual deben contar con una estructura organizacional para la gestión de TI que delimite claramente sus obligaciones, funciones y responsabilidades y que cuente con políticas orientadas a cautelar una adecuada gestión de TI en congruencia con su estrategia de gestión de los riesgos de TI.



2. Perfil tecnológico de las sociedades corredoras de seguros:



a) Las sociedades corredoras de seguros remitirán su primer perfil tecnológico de TI, a partir del 2025, independientemente del tipo de gestión, comité o unidad de TI sea esta individual o corporativa que la entidad defina.



b) Las fechas de remisión del primer perfil de las sociedades corredoras de seguros serán comunicadas por la SUGESE mediante acto administrativo en el tercer trimestre del 2024, a través de los canales oficiales.



3. Auditoría Externa de TI:



a) La SUGESE podrá requerir a las sociedades corredoras de seguros, la primera auditoría externa de TI a partir de enero del 2027.




Ficha articulo



Disposición transitoria sexta. Perfil tecnológico



El contenido del perfil tecnológico y la guía para la descarga, llenado y remisión que deberán utilizar las entidades y empresas supervisadas serán los que se encuentran vigentes de conformidad con lo establecido en los lineamientos.



Las Superintendencias comunicarán a las entidades y empresas supervisadas la fecha a partir de la cual el contenido y la guía para descarga, llenado y remisión del perfil tecnológico incluirá las modificaciones reglamentarias.




Ficha articulo



Disposición transitoria séptima. Implementación de las modificaciones reglamentarias



Las entidades y empresas supervisadas deben validar que cumplan con las disposiciones de la presente modificación reglamentaria; cuando presenten brechas deberán elaborar planes de implementación para atender dichas brechas.



Las entidades y empresas supervisadas dispondrán de un plazo no mayor a tres años contados a partir de la fecha de publicación del presente reglamento en el diario oficial La Gaceta, para finalizar los planes de implementación.



Sin perjuicio de lo anterior, para la elaboración de los planes de implementación se deben considerar los plazos establecidos en los siguientes artículos de la modificación reglamentaria y en sus lineamientos generales, a fin de que la ejecución de los planes permita el cumplimiento de los plazos establecidos en dichos artículos:



Artículo 39. Comunicación de incidentes de seguridad de la información y seguridad cibernética a las Superintendencias



Artículo 40. Comunicado de incidentes a los clientes



Artículo 41. Información histórica de incidentes de seguridad de la información y seguridad cibernética



Artículo 45. Comunicación de cambios significativos del perfil tecnológico



Artículo 47. Alcance y plazo de la auditoría externa de TI



Artículo 48. Periodicidad de las auditorías externas de TI



A partir del sexto mes de la entrada en vigor del reglamento, los planes de implementación para atender brechas deberán estar a disposición de las Superintendencias cuando estas lo requieran. Dichos planes podrán ser considerados para definir los alcances de la auditoría externa de TI o ser considerados como parte de la evaluación de las auditorías externas de TI.




Ficha articulo





Fecha de generación: 8/9/2024 08:14:25
Ir al principio del documento