Texto Completo acta: 16B647
CONSEJO
NACIONAL DE SUPERVISIÓN DEL SISTEMA FINANCIERO
El Consejo Nacional de Supervisión del
Sistema Financiero en los artículos 9 y 11 de las actas de las sesiones
1318-2017 y 1319-2017, celebradas el 13 y el 20 de marzo del 2017
respectivamente,
dispuso, por mayoría y en firme:
I. En cuanto al Reglamento General de Gestión
de la Tecnología de Información:
considerando que:
1. Acuerdo SUGEF 14-09: El Consejo Nacional
de Supervisión del Sistema Financiero (CONASSIF), mediante artículo 6, del acta
de la sesión 773-2009 del 20 de febrero del 2009 aprobó el Acuerdo SUGEF 14-09
"Reglamento sobre la gestión de la tecnología de información", que
define los criterios y metodología para la evaluación y calificación de la
gestión de la tecnología de información para las entidades fiscalizadas por la
Superintendencia General de Entidades Financieras (SUGEF).
2. SUGEF: El artículo 131, incisos c) y n)
literal ii) de la Ley Orgánica del Banco Central de Costa Rica, Ley 7558,
establece como función del Superintendente General de Entidades Financieras
proponer al Consejo, para su aprobación, las normas que estime necesarias para
el desarrollo de las labores de fiscalización y vigilancia, referentes a
periodicidad, alcance, procedimientos y publicación de los informes de las
auditorías externas de las entidades fiscalizadas, con el fin de lograr la
mayor confiabilidad de estas auditorías. La Superintendencia puede revisar los
documentos que respalden las labores de las auditorías externas, incluso los
documentos de trabajo y fijar los requisitos por incluir en los dictámenes o
las opiniones de los auditores externos.
3. SUGEVAL: El artículo 3 de la Ley
Reguladora del Mercado de Valores establece que la Superintendencia General de
Valores (SUGEVAL) debe velar por la protección del inversionista y el adecuado
funcionamiento del mercado de valores; asimismo el artículo 8 de la Ley 7732,
Ley Reguladora del Mercado Valores, inciso b) establece que la SUGEVAL someterá
a la consideración del Consejo Nacional los proyectos de reglamento que le
corresponda dictar a la Superintendencia, el inciso j) establece la potestad de
adoptar todas las acciones necesarias para el cumplimiento efectivo de las
funciones de autorización, regulación, supervisión y fiscalización que le
competen, y el inciso l) establece la potestad de la Superintendencia para
requerir a los supervisados toda la información razonablemente necesaria a fin
de cumplir la función supervisora del mercado de valores.
4. SUPEN: El artículo 38, literal f) de la
Ley 7523, Régimen Privado de Pensiones, establece como una atribución del
Superintendente de Pensiones adoptar todas las acciones necesarias para el
cumplimiento efectivo de las funciones de autorización, regulación y
fiscalización que le competen a la Superintendencia, según la Ley y las normas
emitidas por el Consejo Nacional de Supervisión del Sistema Financiero; por
otra parte el Consejo Nacional de Supervisión del Sistema Financiero, mediante
artículo 8, del acta de la sesión 975-2012 del 29 de mayo del 2012 aprobó la
evaluación cualitativa del riesgo operativo para el cálculo de la suficiencia
patrimonial de las operadoras de pensiones complementarias, donde uno de los
componentes es la evaluación de la tecnología de información. Finalmente,
mediante artículo 7, del acta de la sesión 1066-2013 del 1 de octubre del 2013
aprobó el Reglamento de Calificación de la Situación Financiera de los Fondos
Administrados por los Entes Regulados donde se evalúa el riesgo tecnológico en
los regímenes de pensiones de beneficio y contribución definidas.
5. SUGESE: El artículo 29 de la Ley
Reguladora del Mercado de Seguros, Ley 8653; establece como objeto de la
Superintendencia General de Seguros (SUGESE), velar por la estabilidad y el
eficiente funcionamiento del mercado de seguros, así como entregar la más
amplia información a los asegurados. La misma ley autoriza a la SUGESE para
regular y supervisar a las personas que intervengan en los actos o contratos
relacionados con la actividad aseguradora, reaseguradora, la oferta pública y
la realización de negocios de seguros. Asimismo, en el inciso i) del citado
artículo se establece como su función el proponer al Consejo
Nacional, para su aprobación, la normativa reglamentaria que se requiera para
la aplicación de esta Ley y para cumplir sus competencias y funciones.
6. CONASSIF: Conforme el artículo 171 de la
Ley Reguladora del Mercado Valores, es potestad del Consejo Nacional de
Supervisión del Sistema Financiero aprobar las disposiciones referentes a la
periodicidad, el alcance, los procedimientos y la publicación de los informes
rendidos por las auditorías externas de las entidades fiscalizadas.
7. Gestión de TI: La tecnología de la
información (TI) es indispensable para gobernar, gestionar y tomar decisiones
dentro de las organizaciones, asimismo, su adecuada administración permite
mantener la competitividad y coadyuva en la consecución de las metas y
objetivos.
A principios de la década anterior, y en
virtud de múltiples casos de quiebras y fraudes asociados a temas operativos y
de mala gestión, varios organismos internacionales han emitido disposiciones en
las que resaltan la necesidad de mejorar los sistemas de Gobierno
Corporativo y en consecuencia, la forma de gobernar TI.
Estos requerimientos plantean el reto de
diseñar y mantener controles eficientes que faciliten la gestión de TI desde
dos puntos de vista: el primero, tomando a TI como un proceso más del negocio y
segundo, tomando a TI como encargado de proveer y mantener la plataforma y los
sistemas que apoyan la ejecución del resto de los procesos del negocio.
Esta dualidad implica para las entidades el
diseño o la adopción de un marco que les permita gobernar, gestionar y
controlar la función de TI, desde ambos puntos de vista en forma consistente.
Dado que la gobernanza orienta, dirige y
supervisa la gestión de TI y que las tecnologías de información se consideran
factores de riesgo operativo, al que están expuestas las entidades, resulta
necesario que este reglamento incluya la evaluación los procesos de gobierno y
gestión de TI por parte de las Superintendencias.
8. Necesidad de control de TI: Una inadecuada
gestión del riesgo operacional en el área de la tecnología de información en
las entidades supervisadas puede repercutir negativamente en la continuidad de
sus operaciones; impactando por consiguiente sus patrimonios y
concomitantemente, afectando a los clientes de las entidades.
Por lo anterior, resulta indispensable que
las entidades supervisadas determinen su marco de gestión, para el control la
tecnología de información, que garantice la integridad, seguridad, auditabilidad y
disponibilidad de la información y de los servicios ofrecidos.
9. Sobre la implementación del marco de
gestión de TI, dispuesto en este reglamento:
El diseño e implementación del marco de
gestión de TI requiere por parte de las entidades supervisadas de esfuerzo
planificado y progresivo. Con el objeto de facilitar este proceso, su inversión
y la definición concomitante de políticas, procesos y estructuras, el modelo de
supervisión basada en riesgos le coadyuva, a través de este reglamento, a que
la entidad supervisada establezca su marco de gestión de TI en función de sus
necesidades según su naturaleza, complejidad, modelo de negocio, volumen de
operaciones, criticidad de sus procesos, riesgos y su dependencia tecnológica.
Los lineamientos generales que acompañan el
reglamento establecen un periodo de implementación a partir de la entrada en
vigencia (gradualidad) que abarca hasta 5 años para entidades supervisadas por
la SUGEVAL, SUPEN y SUGESE; asimismo, de 3 años para las entidades supervisadas
por la SUGEF, este último plazo en consideración del avance logrado a partir de
los requerimientos del Acuerdo SUGEF 14- 09 "Reglamento sobre la Gestión
de la Tecnología de Información". Estos plazos se estiman razonables para
que las entidades puedan efectuar las adecuaciones necesarias para la
implementación efectiva de su marco de gestión de TI.
Por otra parte, de acuerdo con la experiencia
de la aplicación del "Reglamento sobre la Gestión de la Tecnología de
Información" en SUGEF, se estima prudente mantener el lapso de nueve
meses, contados a partir de la notificación del requerimiento de auditoría
externa de TI, para la remisión de los entregables de la auditoría externa de
TI del marco de gestión de TI, así como sobre cualquier otro criterio que se
considere necesario en virtud del perfil de riesgo de la entidad.
Dicha holgura permite a las entidades
desarrollar los aspectos procedimentales necesarios a efecto de la
contratación, ejecución y entrega de los resultados de la auditoría externa.
Finalmente, el Consejo ha considerado razonable el plazo de veinte días hábiles
para la remisión del plan de acción, cuando haya sido requerido por alguna
superintendencia. Dicha conclusión se desprende del hecho que una entidad va
recibiendo retroalimentación conforme evoluciona la auditoría externa, de
manera que una vez finalizada, ya cuenta con suficientes elementos y datos que
le permiten perfilar un conjunto de acciones.
10. Supervisión basada en riesgos: La supervisión
basada en riesgos se caracteriza por la migración de un modelo basado en reglas
hacia un enfoque donde la entidad supervisada es responsable de una gestión
integral de los riesgos del negocio. En este enfoque corresponde a la entidad
supervisada determinar, dentro de esa gestión de riesgos el marco de gestión de
TI que se adapten a su negocio, de manera que le permita identificar y
establecer las medidas de mitigación para los riesgos que surgen de TI; por
ello, la regulación se enfoca a un marco de gestión de TI con aquellas
características prudenciales suficientes para el supervisor, sin que
necesariamente se definan, puntualmente, determinados estándares o herramientas
de control. En esta misma lógica, el reglamento que se emite encuentra sentido
como parte de una estructura normativa transversal al sistema financiero, que
no sustituye lo procesos de supervisión sobre riesgo operacional que ya se
desarrollan, sino que viene a complementarlos, aportando información que nutre
el criterio del supervisor a partir del aporte de especialistas externos.
11. Estándares disponibles como marco de
referencia: La industria y los profesionales en TI, han venido desde hace
varias décadas desarrollando estándares y marcos que permitan gestionar y
controlar las tecnologías. Ante la incertidumbre y costo que significa el
desarrollo interno de un marco de gestión de TI, las organizaciones han
propendido por adoptar alguno de los marcos o estándares disponibles.
Marcos de referencia como Cobit e ITIL y
estándares como ISO gozan en la actualidad de aceptación general, desde la
visión del supervisor; Cobit es un marco apropiado que se ajusta al
negocio y facilita que las organizaciones desarrollen un ambiente de control
que responda a las necesidades del negocio, además de estandarizar procesos de
TI, limitar desviaciones de los objetivos de negocio y particularmente lograr
un balance entre los riesgos que introduce la tecnología de información y su
aporte de valor al desempeño y rentabilidad. Estos marcos igualmente permiten
el desarrollo del enfoque de supervisión basada en riesgos, por las siguientes
razones:
Desde la óptica del negocio:
a. Enfoque en Gobierno de TI: El marco se
desarrolla dentro del nuevo enfoque de gobernabilidad de TI como parte del buen
gobierno corporativo, procurando mayor involucramiento con los procesos clave,
definiendo una estructura de relaciones y procesos diseñados y ejecutados por
la entidad para dirigir y controlar la tecnología, sus riesgos y vinculación
con las estrategias y objetivos de negocio.
b. Satisface los requerimientos de negocio:
Integración más clara entre los objetivos del negocio y la TI, mediante
objetivos en el modelo de cascada y métricas que los soportan.
c. Logra la armonización: Integración optimizada
de otros estándares internacionales.
d. Definiciones y flujos de procesos:
Optimización en las descripciones de los procesos, actividades, entradas y
salidas.
e. Lenguaje y presentación: Utiliza un
lenguaje accesible para todo tipo de usuario, mismo que permite a ejecutivos no
versados en conocimientos tecnológicos identificar y comprender los principales
aspectos de TI.
Desde la óptica del supervisor:
f. Permite evaluar la integración de los
procesos de TI con los procesos y líneas de negocio y el logro de los objetivos
de la entidad.
g. Permite identificar el grado de
dependencia de las entidades de la tecnología de información en sus
operaciones.
h. Permite identificar los perfiles de riesgo
en TI de los supervisados, con el propósito de concentrar esfuerzos en
entidades con mayor exposición o con mayores debilidades de control.
i. Es un marco integrador (alineado con otros
estándares y buenas prácticas que puede usarse en conjunto con ellas), enfocado
al negocio, y diseñado para ser utilizado por una amplia gama de usuarios, pero
principalmente, como guía integral para alta administración y para los líderes
o responsables de los procesos y líneas de negocio.
12. Sobre la estrategia del supervisor: La
experiencia con los intermediarios financieros en relación con el proceso de
implementación del marco de gestión de TI del Acuerdo SUGEF 14-09
"Reglamento sobre la Gestión de la Tecnología de Información", develó
que varios grupos y conglomerados financieros gestionan la tecnología de información
de forma corporativa en las empresas que los integran. Conscientes de esta
realidad, el CONASSIF ha concebido la necesidad de integrar en un solo cuerpo
normativo los requerimientos de control para la gestión de TI para un grupo o
conglomerado. Dicha estrategia tiene como objetivo permitir entre otros
aspectos, la estandarización de procesos, la generación de economías de escala
y la creación de una cultura proclive a la mejora de la gobernabilidad de la
TI.
El reglamento que se emite también reconoce
que entre los supervisados se presentan diferencias en el grado de dependencia
de las tecnologías de información y que, como consecuencia, la materialización
de los riesgos a esas tecnologías les impacta de manera diferente. Esa
condición se refleja al implementar el principio de
"proporcionalidad" que rige los esquemas de supervisión basada en
riesgo. Dicho principio promueve que las prácticas y demandas de supervisión se
definan y apliquen en consonancia con el perfil de riesgo y la importancia
sistémica de los supervisados, el enfoque asumido permite que los supervisados
agreguen otros estándares o bien que exista una exigencia particular en función
de su rol dentro del mercado en que opera. Finalmente, sobre una base de costo
beneficio, naturaleza de la entidad y perfil tecnológico; se permite la
definición de marcos de gestión de TI diferentes en reconocimiento de estas
diferencias.
La pretensión última de esta estrategia es
generar, bajo un esquema de supervisión integrada y coordinada, mejoras en el
nivel de la gestión de la tecnología de información y sus riesgos asociados,
como herramienta para contribuir al proceso de gestión de riesgos y de
preparación ante los retos que impone un ambiente financiero competitivo e
innovador.
13. Auditoría externa: La auditoría de los
sistemas de tecnología de información es una actividad altamente especializada
para la cual existen certificaciones con reconocimiento mundial; se considera
conveniente, que la revisión del marco de gestión de TI y cualquier otro
criterio que las Superintendencias consideren necesario en virtud del perfil de
riesgo de las entidades supervisadas, sea ejecutada por auditores externos con
el fin de contribuir con la eficiencia en el proceso de supervisión. Los
resultados de esta auditoría pueden enriquecer la supervisión en torno a los
riesgos operacionales y de tecnología de la información que realizan las
Superintendencias y se constituye en un elemento adicional dentro de la
supervisión basada en riesgos.
14. Registro de Auditores Elegibles: Actualmente
se cuenta con un registro de auditores con requisitos en torno a su capacidad e
independencia, dicho registro se concentra en auditores financieros, sin
embargo;, con el propósito de ir avanzando en la integración en un solo cuerpo
reglamentario, que regule los requerimientos de los distintos profesionales que
convergen en procesos de revisión y auditoria, se amplía el alcance de este
registro para que incluya a los auditores externos de tecnologías de la
información.
15. Comité de TI: El Reglamento de Gobierno
Corporativo señala dentro de las funciones del Órgano de Dirección, establecer
los comités técnicos que considere pertinentes para la buena gestión de la
entidad, por lo que la
creación del comité de TI estará en función de las necesidades de las entidades
supervisadas según su naturaleza, complejidad, modelo de negocio, volumen de
operaciones, criticidad de sus procesos y su dependencia tecnológica.
16. Coordinación entre superintendencias:
Para evitar costos innecesarios a las entidades supervisadas resulta
imprescindible coordinar los procesos de supervisión de las diferentes
superintendencias cuando una misma unidad de TI presta servicios a entidades
supervisadas por distintos órganos supervisores.
17. El inciso i) del artículo 171 de la Ley
Reguladora del Mercado de Valores establece como una de las funciones del
Consejo Nacional de Supervisión del Sistema Financiero reglamentar el
intercambio de información que podrán realizar entre sí las diferentes Superintendencias,
para el estricto cumplimiento de sus funciones de supervisión prudencial. La
Superintendencia que reciba información en virtud de este inciso, deberá
mantener las obligaciones de confidencialidad a que está sujeto el receptor
inicial de dicha información.
resolvió:
Aprobar el Reglamento General de Gestión de
la Tecnología de Información, de conformidad con el siguiente texto:
REGLAMENTO GENERAL
DE GESTIÓN DE LA TECNOLOGÍA DE INFORMACIÓN
(Nota
de Sinalevi: El presente reglamento fue reformado
parcialmente y reproducido su texto de forma íntegra mediante sesiones N° 1876-2024
y 1877-2024 del 15 de julio del 2024, publicado en el Alcance Digital N° 134 a La Gaceta
N° 130 del 22 de julio del 2024, y se transcribe a continuación:)
CAPÍTULO I
DISPOSICIONES GENERALES
Artículo 1. Objeto
Este reglamento tiene como finalidad
establecer los requerimientos para el gobierno y la gestión de la tecnología de
información y sus riesgos asociados, que deben ser acatados por las entidades y
empresas supervisadas del sistema financiero costarricense.
La presente regulación se tendrá como
plenamente integrada y complementaria al marco general de gobierno y de gestión
de riesgos establecido en el Reglamento de Gobierno Corporativo, Acuerdo CONASSIF
4-16 y en el marco de regulación vigente sobre gestión de riesgos de cada
Superintendencia.
Ficha articulo
Artículo 2. Alcance
Las disposiciones establecidas en este
reglamento son de aplicación para:
a) Supervisados por SUGEF:
1. Bancos comerciales del Estado
2. Bancos creados por ley especial
3. Bancos privados
4. Empresas financieras no bancarias
5. Organizaciones cooperativas de ahorro y
crédito
6. Mutuales de ahorro y préstamo
7. Caja de Ahorro y Préstamos de la ANDE
b) Supervisados por SUGEVAL:
1. Puestos de bolsa y sociedades
administradoras de fondos de inversión
2. Bolsas de valores
3. Sociedades de compensación y liquidación
4. Proveedores de precio
5. Entidades que brindan servicios de
custodia
6. Centrales de valores
7. Sociedades titularizadoras
y fiduciarias
8. Entidades de registros centralizados de
letras de cambio y pagarés
electrónicos
c) Supervisados por SUGESE:
1. Entidades aseguradoras y reaseguradoras
2. Sucursales de entidades aseguradoras
extranjeras
3. Sociedades corredoras de seguros
d) Supervisados por SUPEN:
1. Operadoras de pensiones complementarias
2. Regímenes públicos sustitutos del Régimen
de Invalidez, Vejez y Muerte de la Caja Costarricense de Seguro Social
3. Fondos complementarios creados por leyes
especiales o convenciones Colectivas Tratándose del Régimen de Invalidez, Vejez
y Muerte de la Caja Costarricense del Seguro Social, las disposiciones y lineamientos
incorporados en este reglamento tienen el carácter de adopción y aplicación
voluntaria.
Se exceptúan del alcance del presente
reglamento a los regímenes administrados por la Dirección Nacional de Pensiones
del Ministerio de Trabajo, las entidades reguladas y fondos en proceso de
liquidación, los fondos creados por leyes especiales que son administrados por
una operadora de pensiones o en los casos en que la unidad de TI y su gestión
de TI es regulada por una norma de tecnología de información de alcance
general, cuyo cumplimiento esté debidamente fiscalizado, así como los fondos
de pensiones cerrados a nuevas
afiliaciones.
e) Controladoras y empresas integrantes de
grupos y conglomerados financieros supervisados.
Ficha articulo
Artículo 3. Regulación Proporcional
La aplicación proporcional y diferenciada del
presente reglamento para las entidades supervisadas por SUGEF sujetas a la
Regulación proporcional para cooperativas de ahorro y crédito, Acuerdo SUGEF
25-23 y para las sociedades corredoras de seguros supervisadas por SUGESE será
la siguiente:
1. Lo dispuesto en los capítulos que se
indican a continuación se considerará como referencias sobre sanas prácticas
que discrecionalmente podrán adoptar las entidades en función de sus riesgos,
tamaño, complejidad y modelo de negocio: a) Capítulo II Gobierno y Gestión de
TI, b) Capítulo III Organización de las tecnologías de información.
2. Lo dispuesto en el Capítulo IV Seguridad
de la información y seguridad cibernética, será de aplicación plena, salvo en
el caso de lo dispuesto en: a) El artículo 33. Programas de análisis de
vulnerabilidades y pruebas, b) El artículo 34. Unidades, funciones
organizacionales, centros de operaciones y comités técnicos de gestión de
riesgos de seguridad cibernética y en c) El artículo 35. Planes de promoción de
la cultura de la seguridad de la información y de la seguridad cibernética, del
presente reglamento.
Los artículos 33, 34 y 35 se consideran como
referencias sobre sanas prácticas que las entidades, discrecionalmente, podrán
adoptar en función de sus riesgos, tamaño, complejidad y modelo de negocio.
3. Lo dispuesto en el Capítulo V La auditoría
externa de TI, será de aplicación plena, salvo lo dispuesto en: a) El artículo
43. Procesos de evaluación del marco de gobierno y gestión de TI, b) El
artículo 44. Funciones para la evaluación de la gestión de riesgos de seguridad
cibernética y, c) El artículo 47. Alcance y plazo de la Auditoría Externa de
TI, inciso b).
Además, las entidades, en función de su
perfil de riesgo y de la naturaleza de sus operaciones, deberán gestionar TI y
sus riesgos relacionados. A fin de evaluar dicha gestión, las entidades deben
considerar los siguientes aspectos:
a) Las entidades definirán el alcance de la
auditoría externa estableciendo los procesos de evaluación que consideren
pertinentes en función de sus riesgos y modelo de negocio, según el anexo 1 de
los lineamientos generales del presente reglamento.
b) Sin perjuicio de lo anterior, el alcance
de la auditoría externa deberá incluir, al menos, los procesos de evaluación
que se especifican en el anexo 2 de los lineamientos generales del presente
reglamento.
Ficha articulo
Artículo 4. Definiciones y abreviaturas
Para efectos de este reglamento y sus
lineamientos generales, se utilizan las siguientes definiciones y abreviaturas:
a) Activos digitales: Todo tipo de
datos o activos de información que se presenten en formato digital, los cuales,
sean propiedad de una entidad o empresa supervisada o de sus partes interesadas
y que permiten a estas mantener sus operaciones digitales y tecnológicas.
b) Bienes y servicios de TI críticos:
Son aquellos productos, servicios o recursos que son esenciales para el
funcionamiento continuo y efectivo de una entidad o empresa supervisada, cuya
interrupción o falta podría tener un impacto significativo en sus operaciones,
objetivos, reputación o el ecosistema financiero.
c) Declaración de aplicabilidad:
Documento que permite identificar y revelar los controles de seguridad de la
información y de la seguridad cibernética elegidos por la entidad o empresa
supervisada para proteger sus activos de información, basándose en la
evaluación de riesgos.
d) Gestión de TI: Conjunto de
estructura de relaciones y procesos para planificar, construir, ejecutar y
monitorear la tecnología de la información, sus riesgos asociados y su
vinculación con las estrategias y objetivos del negocio.
e) Gobierno de TI: Subcomponente del
gobierno corporativo, el cual, se encarga de la evaluación, dirección y
supervisión de las tecnologías de información.
f) ISACA: Acrónimo en inglés de la
Asociación de Auditoría y Control de los Sistemas de Información (Information Systems Audit and Control Association).
g) Marco de gobierno y gestión de TI:
Conjunto de procesos destinados a gobernar y gestionar las tecnologías de
información de las entidades y empresas supervisadas, los cuales, deben ser
adoptados y adaptados para gobernar y gestionar de forma integral los riesgos
relacionados con las tecnologías e información, considerando su naturaleza,
complejidad, modelo de negocio, volumen de operaciones, criticidad de sus
procesos y la dependencia tecnológica que estas tienen en los procesos de TI.
h) Perfil tecnológico: Descripción de
la estructura de gobierno y gestión, los procesos, servicios, infraestructura
de TI, proveedores de bienes y servicios de TI, inventario de tipos
documentales, proyectos de TI, planes de adquisición y gestión de riesgos de
TI.
i) Plan de acción: Conjunto de
acciones, plazos y responsables enfocados en atender los hallazgos y riesgos
detectados en el informe de auditoría y comunicados en el reporte de
supervisión.
j) Procesos críticos: Son aquellos
procesos que tienen un impacto significativo en la consecución de los objetivos
estratégicos previstos por la entidad o empresa supervisada. Estos procesos
están relacionados con la naturaleza, misión, objetivos y función de la entidad
o empresa supervisada y son indispensables para la continuidad del negocio y de
sus operaciones.
k) Proveedores de bienes y servicios de TI
críticos: Persona física o jurídica que provee bienes o servicios de TI a
la entidad o empresa supervisada, los cuales, apoyan los procesos críticos
indistintamente de su domicilio, incluyendo subcontratistas o partners (asociados).
l) Resiliencia operativa digital:
Capacidad de una entidad o empresa supervisada para mantener la continuidad y
la disponibilidad de sus operaciones digitales y tecnológicas incluso en
situaciones adversas. Implica la implementación de medidas proactivas y
estrategias para garantizar que las operaciones digitales sigan funcionando de
manera eficiente y segura, minimizando el impacto de los incidentes.
m) Seguridad cibernética: Práctica de
gestionar los riesgos para proteger sistemas, redes, dispositivos y datos
digitales contra amenazas, ataques y actividades maliciosas en el ciberespacio,
con el objetivo de garantizar la confidencialidad, integridad y disponibilidad
de la información y de los recursos digitales.
n) Seguridad de la información:
Práctica de gestionar los riesgos que afectan los objetivos de
confidencialidad, integridad y disponibilidad de la información requeridos por
la organización para el uso de las personas, procesos y tecnologías de la
información en los procesos y servicios de negocio.
o) Tecnología de información (TI):
Conjunto de técnicas para la captura, almacenamiento, transformación,
transmisión y presentación de la información generada o recibida a partir de
procesos de negocios, de manera que pueda ser organizada y utilizada en forma
consistente y comprensible por los usuarios que estén relacionados con ella.
Incluye elementos de hardware, software, telecomunicaciones y conectividad,
entre otros.
p) Unidad de TI o función equivalente:
Instancia o función que provee los procesos y servicios de TI para las
entidades y empresas supervisadas.
Este reglamento incorpora como propias las
demás definiciones dispuestas en la reglamentación vigente aprobada por el
CONASSIF.
Ficha articulo
Artículo 5. Lineamientos generales
Los superintendentes podrán emitir,
conjuntamente, los lineamientos generales que consideren necesarios para la
aplicación de este reglamento.
Ficha articulo
CAPÍTULO II
GOBIERNO Y GESTIÓN DE TI
Sección I. Marco de gobierno y gestión de TI
Artículo 6. Marco de gobierno y gestión de TI
Las entidades y empresas supervisadas deben
diseñar, implementar, controlar y mantener un marco de gobierno y gestión de TI
de conformidad con: la estrategia organizacional; el apetito, la tolerancia y
la capacidad de riesgo; el tamaño, complejidad, modelo de negocio y las
políticas aprobadas por el Órgano de Dirección.
Asimismo, las entidades y empresas
supervisadas podrán utilizar los estándares internacionales, mejores prácticas
y marcos de referencia que la industria de tecnologías ha desarrollado para la
implementación del marco de gobierno y gestión de TI, sin perjuicio del
cumplimiento de las disposiciones establecidas en este reglamento.
El marco de gobierno y gestión de TI puede
ser implementado en las unidades de TI, en las áreas de negocio o ser
externalizado mediante servicios.
Ficha articulo
Artículo 7. Propósitos del marco de gobierno
y gestión de TI
El marco de gobierno y gestión de TI debe
permitir a las entidades y empresas supervisadas cumplir con los siguientes
propósitos:
a) Orientar hacia la definición del gobierno
de TI con un enfoque integrado y alineado con el gobierno corporativo.
b) Asegurar un equilibrio entre el uso de los
recursos de TI, servicios de TI y los procesos críticos de negocio.
c) Crear valor mediante los beneficios de las
tecnologías de información, dentro de los márgenes de apetito, tolerancia y
capacidad de riesgo.
d) Asegurar que la entidad o empresa
supervisada dispone de recursos adecuados y suficientes para el gobierno y la
gestión de TI.
e) Asegurar que se identifica e involucra a
las partes interesadas en el diseño del marco de gobierno y gestión de TI.
f) Diseñar e implementar el marco de gobierno
y gestión de TI de conformidad con los objetivos y riesgos del negocio.
g) Asegurar que la planificación estratégica
de TI permita una visión holística de la entidad o empresa supervisada en su
entorno actual, así como de su dirección futura.
h) Establecer una dirección y una estructura
eficiente para gestionar TI; además, alinear los objetivos de la entidad o
empresa supervisada con el uso de la tecnología y su arquitectura
organizacional.
i) Gestionar la innovación, las tecnologías
emergentes, el conocimiento y los datos relacionados con la entidad o empresa
supervisada.
j) Gestionar el presupuesto, los costos, el
conocimiento y el recurso humano de la unidad de TI, así como las relaciones
con las partes interesadas.
k) Establecer la gestión de los acuerdos de
nivel de servicio, de los proveedores de bienes y servicios de TI, así como la
gestión de los riesgos de TI de manera holística en la entidad o empresa
supervisada.
l) Establecer el diseño e implementación de
sistemas integrados de calidad y de seguridad de la información, así como la
gestión de activos de información y de los datos.
m) Definir la gestión del portafolio, de los
programas y de los proyectos de TI que permitan atender la definición de los
requisitos del negocio.
n) Determinar la estrategia de adquisición,
construcción e implementación de soluciones tecnológicas integradas al negocio.
o) Gestionar la disponibilidad y la capacidad
de infraestructura tecnológica, así como asegurar la continuidad de las
operaciones.
p) Asegurar la configuración y la seguridad
de los activos de información, así como asegurar la información que dichos
activos soportan, de conformidad con la gestión, aceptación y transición de los
cambios.
q) Gestionar las operaciones de TI, los
incidentes, la solución de los problemas de TI, los servicios de seguridad de
la información y de seguridad cibernética, así como los controles de los
procesos del negocio; además, asegurar una resiliencia operativa digital.
r) Gestionar el monitoreo del desempeño y la
conformidad de los procesos, del sistema de control interno, del cumplimiento
de los requisitos externos, así como del cumplimiento normativo, la legislación
nacional aplicable y del aseguramiento de TI.
El cumplimiento de dichos propósitos debe ser
de conformidad con la estrategia organizacional, los riesgos, el tamaño, la
complejidad y el modelo de negocio de las entidades y empresas supervisadas.
Ficha articulo
Sección II. Responsabilidades del Órgano de
Dirección
Artículo 8. Responsabilidades generales sobre
el gobierno de TI
En relación con el gobierno de TI, el Órgano
de Dirección, al menos, debe:
a) Aprobar el marco de gobierno y gestión de
TI, así como asegurar que la declaración de apetito de riesgo incorpore el
apetito, la tolerancia y la capacidad de los riesgos asociados a TI.
b) Establecer un Comité de TI o una función
equivalente y aprobar sus normas de gobierno y gestión.
c) Aprobar las políticas, estructuras, estrategias,
recursos, inversiones y presupuestos necesarios para la implementación del
marco de gobierno y gestión de TI, así como para las tecnologías emergentes que
se implementen.
d) Aprobar los informes de la auditoría
externa de TI que serán remitidos a las Superintendencias.
e) Aprobar los planes de acción para la
atención de los hallazgos y de los riesgos que se identifiquen como resultado
de la auditoría externa de TI.
f) Asegurar que se consideren las necesidades
de las partes interesadas para lograr un equilibrio entre los objetivos del
negocio y los objetivos de TI definidos por la entidad o empresa supervisada.
g) Designar las áreas de negocio y de TI
responsables de diseñar e implementar el marco de gobierno y de gestión TI.
Ficha articulo
Artículo 9. Responsabilidades sobre la
seguridad de la información y la seguridad cibernética
En relación con el gobierno de la seguridad
de la información y de la seguridad cibernética, el Órgano de Dirección, al
menos, debe:
a) Asegurar que la gestión de los riesgos
tecnológicos, de la seguridad de la información y de la seguridad cibernética
estén integrados dentro de la gestión de riesgos de la entidad o empresa
supervisada.
b) Promover las discusiones sobre la gestión
de los riesgos de seguridad de la información y de seguridad cibernética en las
reuniones del Órgano de Dirección.
c) Asegurar el establecimiento de un sistema
de gestión de la seguridad de la información, así como sus controles.
d) Aprobar los planes de promoción de la
cultura sobre la seguridad de la información y la seguridad cibernética.
Ficha articulo
Artículo 10. Responsabilidades sobre la
resiliencia operativa digital
En relación con el gobierno de la resiliencia
operativa digital, el Órgano de Dirección, al menos, debe:
a) Aprobar las políticas de resiliencia
operativa digital de la entidad o empresa supervisada.
b) Asegurar que la resiliencia operativa
digital esté incorporada dentro de los planes de contingencia y continuidad de
negocio.
c) Aprobar los presupuestos y recursos
necesarios para asegurar la resiliencia operativa digital.
d) Asegurar que se implementen planes de
respuesta, recuperación y atención de crisis para gestionar los incidentes
relacionados con los activos digitales que podrían interrumpir la ejecución de
los procesos críticos.
e) Asegurar que los planes de respuesta de
incidentes relacionados con los activos digitales sean acordes con el apetito,
tolerancia y capacidad de riesgo establecidos por la entidad o empresa
supervisada.
Ficha articulo
Sección III. Responsabilidades de la Alta
Gerencia y del Comité de TI o de la función
equivalente
Artículo 11. Responsabilidades de la Alta
Gerencia sobre el gobierno y la gestión de TI
En relación con el gobierno y la gestión de TI,
la Alta Gerencia, al menos, debe:
a) Implementar el marco de gobierno y gestión
de TI aprobado por el Órgano de Dirección.
b) Proponer al Órgano de Dirección la
estrategia y los recursos requeridos para la implementación del marco de
gobierno y gestión de TI.
c) Implementar las políticas relacionadas con
TI aprobadas por el Órgano de Dirección.
d) Implementar los planes de acción para la
atención de los hallazgos de la auditoría externa de TI.
e) Asegurar que se resguarde la
confidencialidad e integridad de los datos y de la información crítica de las
partes interesadas y de la entidad o empresa supervisada que sea utilizada,
almacenada o procesada por terceros.
f) Asegurar que se establezcan las medidas
para la gestión de los incidentes de seguridad de la información y seguridad
cibernética.
g) Asegurar que los requerimientos de
seguridad de la información y de seguridad cibernética de la entidad o empresa
supervisada sean de cumplimiento por parte de sus proveedores de bienes y
servicios de TI.
h) Asegurar que la gestión de los datos de la
entidad o empresa supervisada se realice de manera efectiva y eficiente;
asimismo, que las necesidades de confidencialidad, integridad, disponibilidad,
no repudio y auditabilidad, sean atendidas, en
función de sus riesgos.
Ficha articulo
Artículo 12. Comité de TI o función
equivalente
Las entidades y empresas supervisadas deben
contar con un Comité de TI o función equivalente, el cual responderá al Órgano
de Dirección en sus funciones.
Los grupos y conglomerados financieros pueden
contar con un Comité de TI corporativo o funciones equivalentes a nivel corporativo,
en cuyo caso se podrá coordinar, aplicar y mantener un único marco de gobierno
y gestión de TI. Las condiciones para tipificar un Comité de TI como
corporativo están establecidas en los lineamientos generales del presente
reglamento.
La designación de los integrantes del Comité
de TI corporativo la determinará el propio grupo o conglomerado financiero y
deberá asegurarse la representación de las entidades y empresas que lo
integran, así como un balance entre conocimiento del negocio y de TI.
En el caso de que se determine que el Comité
de TI corporativo no atiende en forma adecuada y oportuna las funciones y
obligaciones indicadas en este reglamento, para alguna de las entidades o
empresas que constituyen el grupo o conglomerado, la Superintendencia
responsable de la supervisión de dicha entidad o empresa puede requerir que se
proceda con la conformación de un Comité individual de TI para la respectiva
entidad o empresa.
Ficha articulo
Artículo 13. Responsabilidades del Comité de
TI o de la función equivalente Corresponden al Comité de TI o a la función
equivalente, al menos, las siguientes responsabilidades:
a) Supervisar la implementación del marco de
gobierno y gestión de TI.
b) Asesorar al Órgano de Dirección y a la
Alta Gerencia en la formulación de las estrategias y las metas de TI; asimismo,
velar por su cumplimiento.
c) Proponer al Órgano de Dirección las
políticas relacionadas con TI.
d) Proponer al Órgano de Dirección los planes
de acción que, cuando corresponda, atenderán las observaciones incluidas en el
reporte de supervisión de TI, así como monitorear su implementación.
e) Validar que los procedimientos, los
instructivos y la documentación de TI sean implementados desde las unidades
funcionales responsables de ejecutarlos.
f) Recomendar al Órgano de Dirección las
prioridades para las inversiones en TI.
g) Validar que la firma de auditores externos
o el profesional independiente de TI tengan los conocimientos y la experiencia
para auditar aspectos de seguridad de la información, seguridad cibernética,
tecnologías emergentes u otros aspectos, de conformidad con el alcance
solicitado.
h) Validar el estudio técnico en el que se
fundamentan los procesos de evaluación del marco de gobierno y gestión de TI
que no le aplican a la entidad o empresa supervisada.
Ficha articulo
Sección IV. Responsabilidades de los Órganos
de Control
Artículo 14. Responsabilidades sobre la
Auditoría Interna o de la función equivalente
En relación con las tecnologías de
información, la Auditoría Interna o la función equivalente, como parte de la
planificación de los estudios de la auditoría interna y su universo auditable,
al menos, debe:
a) Verificar el cumplimiento de las políticas
y los procedimientos que se establezcan en relación con TI.
b) Implementar un plan de auditoría basado en
el riesgo, el cual, permita evaluar la calidad y la eficacia del marco de
gobierno y gestión de TI, de la seguridad de la información y de la seguridad
cibernética.
c) Evaluar la calidad y eficacia de los
planes de acción elaborados por la entidad o empresa supervisada que atenderán
los hallazgos que se identifiquen como resultado de la auditoría externa de TI.
d) Ejecutar trabajos específicos requeridos
por las Superintendencias.
Ficha articulo
Artículo 15. Responsabilidades de la unidad o
función de gestión de riesgos
En relación con las tecnologías de
información, la unidad o función de gestión de riesgos, al menos, debe:
a) Incorporar la gestión de los riesgos
tecnológicos, de tecnologías emergentes, de la seguridad de la información y de
la seguridad cibernética dentro de la gestión de riesgos de la entidad o
empresa supervisada.
b) Incorporar el apetito, la tolerancia y la
capacidad de los riesgos tecnológicos, de tecnologías emergentes, de seguridad
de la información y de seguridad cibernética dentro de la declaración de
apetito de riesgo de la entidad o empresa supervisada.
c) Ejecutar trabajos específicos requeridos
por las Superintendencias.
Ficha articulo
CAPÍTULO III
ORGANIZACIÓN DE LAS TECNOLOGÍAS DE
INFORMACIÓN
Sección I. Generalidades de la gestión de TI
Artículo 16. Gestión de TI individual o
función corporativa
La gestión de TI de las entidades y empresas
supervisadas es tipificada de manera predeterminada como gestión de TI
individual.
Los grupos y conglomerados financieros pueden
solicitar al supervisor responsable, un permiso para tipificar su gestión de TI
como corporativa, en cuyo caso, se podrá coordinar, aplicar y mantener un único
marco de gobierno y de gestión de TI, el cual debe contemplar los riesgos de TI
establecidos en la declaración de apetito de riesgo aprobada por el Órgano de
Dirección para cada una de las entidades y empresas supervisadas.
La solicitud debe contener una justificación
debidamente sustentada que demuestre que se cumplen las condiciones para que la
gestión de TI sea tipificada como corporativa.
Las condiciones para tipificar la gestión de
TI como corporativa están establecidos en los lineamientos generales del
presente reglamento, así como el plazo de respuesta. Las Superintendencias
deben coordinar la respuesta a esta solicitud.
En el caso que se determine que la gestión de
TI corporativa no atiende en forma adecuada y oportuna las funciones y
obligaciones indicadas en este reglamento, para alguna de las entidades o
empresas que constituyen el grupo o conglomerado, la Superintendencia
responsable de la supervisión de dicha entidad o empresa puede requerir que se
establezca una gestión de TI individual para la respectiva entidad o empresa.
El proceso de intercambio de información entre
Superintendencias se hará en los términos dispuestos en Reglamento sobre
procedimiento de intercambio de información entre las Superintendencias del
sistema financiero, Acuerdo CONASSIF 7-19.
Ficha articulo
Artículo 17. Unidad de TI o función
equivalente
Las entidades y empresas supervisadas deben
establecer una Unidad de TI o una función equivalente encargada de implementar
y desarrollar soluciones tecnológicas para apoyar y facilitar la ejecución de
los procesos internos, así como su marco de gobierno y gestión de TI.
Ficha articulo
Artículo 18. Responsabilidades de la unidad
de TI o de la función equivalente
La Unidad de TI o la función equivalente es
responsable de:
a) Ejecutar las estrategias para la
implementación del marco de gobierno y gestión de TI.
b) Implementar los proyectos relacionados con
TI de acuerdo con el plazo, el presupuesto y los requisitos establecidos.
c) Diseñar e implementar la arquitectura
tecnológica, la arquitectura de información y de aplicaciones, alineadas a la
arquitectura de negocio, a fin de soportar las operaciones de la entidad o
empresa supervisada.
d) Establecer los controles para el
desarrollo del ciclo de vida de los servicios, de las aplicaciones, de los
sistemas de información y de las soluciones tecnológicas, los cuales, aseguren
la confidencialidad, integridad, disponibilidad, calidad, mantenimiento y los
cambios por excepción o de emergencia.
e) Asegurar que los bienes y servicios de TI
críticos estén identificados; además, asegurar que se mantengan disponibles y
que sean gestionados de manera efectiva y eficiente.
f) Asegurar que los requerimientos de las
entidades y empresas supervisadas sean atendidos de manera equitativa y en
función de los riesgos de cada entidad o empresa que constituye el grupo o
conglomerado cuando la gestión de TI sea tipificada como corporativa.
Ficha articulo
Sección II. Tratamiento de datos, activos de
información, aplicaciones, sistemas de
información y soluciones tecnológicas
Artículo 19. Clasificación de activos de
información y del acceso y uso de los datos
Las entidades y empresas supervisadas deben
clasificar sus activos de información de conformidad con el modelo de
clasificación establecido en los lineamientos generales del presente
reglamento.
Las entidades y empresas supervisadas deben
etiquetar los activos de información según su nivel de confidencialidad, de
conformidad con el modelo de clasificación de acceso y uso de los activos de
información y datos establecido en los lineamientos generales del presente
reglamento.
Los activos de información primarios y de
soporte deben ser revelados en el perfil tecnológico de conformidad con lo
establecido en los lineamientos generales del presente reglamento.
Ficha articulo
Artículo 20. Bases de
datos, aplicaciones, sistemas de información y soluciones tecnológicas
Las entidades y empresas
supervisadas deben poner a disposición de las Superintendencias para sus
labores de supervisión, sin ningún tipo de restricción o condición, las bases
de datos actualizadas, las aplicaciones, los sistemas de información y las
soluciones tecnológicas vigentes que procesan o dan acceso a las bases de datos
de las entidades.
Cuando existan bases de
datos compartidas entre las entidades y empresas integrantes del grupo o
conglomerado financiero, debe efectuarse una separación del registro de las
operaciones de cada entidad y empresa integrante del grupo o conglomerado
financiero.
Asimismo, las bases de
datos solo pueden ser utilizadas o compartidas guardando la confidencialidad de
la información y la protección de los datos de acuerdo con las normas y las
disposiciones legales aplicables.
Las bases de datos, las
aplicaciones, los sistemas de información y las soluciones tecnológicas deben
estar declarados en el perfil tecnológico.
Ficha articulo
Artículo 21. Gestión de
aplicaciones, sistemas de información y soluciones tecnológicas seguras
Las entidades y
empresas supervisadas deben gestionar aplicaciones, sistemas de información y
soluciones tecnológicas seguras mediante el establecimiento de controles
relacionados con la adquisición o el desarrollo del ciclo de vida del software
y la codificación segura.
Las pautas para la
implementación de los controles están establecidas en los lineamientos
generales del presente reglamento.
Ficha articulo
Sección III. Gestión de la computación
en la nube
Artículo 22. Servicios
de computación en la nube
Las entidades y
empresas supervisadas pueden disponer de sus componentes tecnológicos mediante
el uso de servicios de computación en la nube, siempre y cuando, cumplan con las
obligaciones generales para uso de la computación en la nube establecidas en el
presente reglamento.
Cuando las entidades y
empresas supervisadas deleguen sus procesos críticos a través de servicios de
computación en la nube, deben establecer las obligaciones de cada una de las
partes involucradas para proteger los datos, el software, la plataforma y la
infraestructura en la nube.
Ficha articulo
Artículo 23.
Obligaciones generales para el uso de la computación en la nube
Las entidades y
empresas supervisadas que utilicen servicios de computación en la nube deben:
a) Gestionar los
riesgos derivados del uso de servicios de computación en la nube.
b) Establecer los
criterios para seleccionar el proveedor de servicios de computación en la nube.
Dichos criterios deben considerar, al menos, la seguridad, fiabilidad,
escalabilidad, costo, soporte, experiencia, interoperabilidad y cumplimiento
regulatorio.
c) Verificar que el
proveedor de servicios de computación en la nube tenga y conserve vigente, al
menos, la certificación ISO 27001. Además, de conformidad con el servicio
externalizado, verificar que cumpla con estándares o buenas prácticas, tales
como las ISO 27017, 27018 o las mejores prácticas del Cloud Security Alliance.
d) Asegurar que los
niveles de disponibilidad estén de conformidad con los objetivos de resiliencia
(RPO y RTO) establecidos por la entidad o empresa supervisada.
e) Establecer controles
para asegurar la disponibilidad acordada del servicio con el proveedor.
f) Establecer
mecanismos que permitan contar con respaldo de la información que se procesa y
almacena en la nube, la cual, debe estar a disposición de la entidad o empresa
supervisada en un sitio alterno que asegure la confidencialidad, integridad y
disponibilidad de la información. Lo anterior, cuando los servicios
contratados, por su naturaleza, no garanticen o incluyan el respaldo.
g) Mantener cifrada la
información, cuyo uso o acceso esté clasificado como confidencial y sensible,
ya sea en tránsito o en reposo, mediante el empleo de estándares y algoritmos
reconocidos como seguros de acuerdo con los estándares y mejores prácticas
internacionales.
h) Tener bajo su
control la administración de usuarios y privilegios para el acceso a los
servicios de computación en la nube, a las plataformas, las aplicaciones y las
bases de datos que operen en la nube. Lo anterior, de conformidad con el modelo
de servicio contratado.
i) Contar con sistemas
de registro, monitoreo y alarma de eventos e incidentes de seguridad de la
información y seguridad cibernética.
j) Monitorear los
servicios contratados para detectar operaciones o cambios no deseados y tomar
acciones preventivas o correctivas oportunamente.
k) Monitorear el
cumplimiento de los acuerdos de niveles de servicio establecidos con el
proveedor de servicios en la nube y, en caso de que aplique, de sus
subcontratistas.
l) Contar con canales
de comunicación con el proveedor de servicios en la nube, cifrados de extremo a
extremo, y que, en lo posible, utilicen mecanismos de redundancia.
Ficha articulo
Artículo 24.
Documentación de los servicios de computación en la nube
Cuando las entidades y
empresas supervisadas dispongan de sus componentes tecnológicos mediante el uso
de servicios de computación en la nube, deberán mantener actualizada y a
disposición de las Superintendencias la documentación de los controles
administrativos y técnicos dispuestos para dichos servicios.
Ficha articulo
Sección IV. Tercerización de bienes y
servicios de TI
Artículo 25.
Responsabilidades sobre la tercerización de la información y de los bienes y
servicios de TI
Las entidades y
empresas supervisadas son responsables del gobierno, la gestión, la seguridad
de la información y la seguridad cibernética de los bienes y servicios de TI
que les son suministrados por terceros. Para estos efectos, se entiende por
terceros: proveedores, alianzas estratégicas, negocios conjuntos, convenios u
otro tipo de arreglo comercial.
Lo anterior incluye a
entidades y empresas integrantes de grupos y conglomerados financieros
supervisados, o entidades y empresas del grupo económico.
Las entidades y
empresas supervisadas deben establecer controles a fin de comprobar que los
proveedores que les suministran bienes y servicios de TI implementan medidas
para gestionar la seguridad de la información, la seguridad cibernética y la
resiliencia operativa digital, de conformidad con los requerimientos definidos
por las entidades y empresas supervisadas.
Cuando los bienes y
servicios de TI críticos sean proveídos por terceros, las entidades y empresas
supervisadas deben asegurar que, en caso de que dichos bienes y servicios, a su
vez, sean subcontratados por los terceros, se cuente con controles de seguridad
de la información y seguridad cibernética, asimismo, que se cuente con planes
de continuidad del negocio.
Cuando se delegue a
terceros el procesamiento, la transmisión o el almacenamiento de información
clasificada como confidencial o sensible, las entidades y empresas supervisadas
deben asegurar que dichos terceros implementen controles de seguridad de la
información y seguridad cibernética.
Ficha articulo
Artículo 26.
Identificación de la información y de los bienes y servicios de TI proveídos
por terceros
Las entidades y
empresas supervisadas deben establecer procedimientos que permitan mantener
identificados los bienes y servicios de TI proveídos por terceros.
Además, deben mantener
identificados sus proveedores de bienes y servicios de TI críticos, a través de
un análisis de riesgos.
Las entidades y
empresas supervisadas deben establecer procedimientos que permitan mantener
identificada la información clasificada como confidencial o sensible que sea
procesada, transmitida o almacenada por terceros.
Ficha articulo
Artículo 27.
Identificación, evaluación y monitoreo de los riesgos de tercerización de
información y de los bienes y servicios de TI críticos
Las entidades y
empresas supervisadas deben identificar, evaluar y monitorear, de conformidad
con sus políticas establecidas, los riesgos de tercerización de la información
clasificada como confidencial o sensible, así como los riesgos de tercerización
de bienes y servicios de TI críticos. Además, se deben revelar dichos riesgos
en el perfil tecnológico.
Ficha articulo
Artículo 28. Acuerdos
de confidencialidad
Las entidades y
empresas supervisadas que deleguen a terceros, bienes y servicios de TI que involucren
el procesamiento, la transmisión o el almacenamiento de información, deben
establecer mecanismos de control tales como los acuerdos de confidencialidad
previo al intercambio de información con dichos terceros.
Cuando se celebren
contratos de adhesión con terceros, las entidades y empresas supervisadas deben
asegurar la confidencialidad de la información, para lo cual podrán utilizar
mecanismos de control distintos a los acuerdos de confidencialidad.
Ficha articulo
Artículo 29. Contratos
y acuerdos de nivel de servicio
Las entidades y
empresas supervisadas deben establecer procesos para gestionar los contratos y
los acuerdos de nivel de servicio que se celebren con sus proveedores de bienes
y servicios de TI. Además, los acuerdos de nivel de servicio podrán estar
incluidos en los contratos, según la naturaleza del bien o servicio
externalizado.
Los contratos y
acuerdos de nivel de servicio deben contener cláusulas que aseguren la
continuidad de los bienes y servicios de TI críticos que son tercerizados.
Las entidades y
empresas supervisadas deberán diseñar sus contratos y acuerdos de nivel de
servicio de TI, de conformidad con la naturaleza y el riesgo del bien o
servicio tercerizado, así como el tipo de proveedor.
Mediante lineamientos generales del presente reglamento se establecen elementos
a considerar para el diseño de los contratos y acuerdos de nivel de servicio,
salvo en los casos en que se trate de bienes o servicios suministrados por
proveedores de computación en la nube o contratos de adhesión.
Las entidades y
empresas supervisadas deben asegurar la continuidad de los bienes y servicios tercerizados incluso en los casos en que se celebren
contratos de adhesión con los proveedores.
Ficha articulo
Artículo 30. Acceso de
las Superintendencias a la información
Las entidades y
empresas supervisadas deben asegurar que las Superintendencias tengan acceso a
los registros, datos e información de los bienes y servicios de TI tercerizados según sean requeridos como parte de los
procesos de supervisión.
Las entidades y
empresas supervisadas deben asegurar el acceso de las Superintendencias a los
registros, datos e información de los bienes y servicios tercerizados
incluso en los casos en que se celebren contratos de adhesión con los
proveedores.
Ficha articulo
CAPÍTULO IV
SEGURIDAD DE LA INFORMACIÓN Y SEGURIDAD
CIBERNÉTICA
Sección I. Gestión de la seguridad de la
información y la seguridad cibernética
Artículo 31. Sistema de
gestión de la seguridad de la información
Las entidades y
empresas supervisadas deben diseñar, implementar, mantener y monitorear un
sistema de gestión de la seguridad de la información que incluya las
disposiciones de seguridad de la información y seguridad cibernética del
presente reglamento.
El sistema de gestión
de la seguridad de la información debe establecer los controles que permitan
adoptar un enfoque basado en el riesgo, para proteger los activos de
información y los activos que soportan la información, contra los riesgos de la
seguridad de la información y de la seguridad cibernética. Los controles
deberán ser incluidos en una declaración de aplicabilidad y especificar los
atributos que están establecidos en los lineamientos generales del presente
reglamento.
Para la implementación
del sistema de gestión de la seguridad de la información, se pueden utilizar
los estándares internacionales, mejores prácticas o marcos de referencia
relacionados con la seguridad de la información y la seguridad cibernética que
la industria de tecnologías ha desarrollado.
Las Superintendencias
podrán requerir la inclusión de prácticas y controles de seguridad de la
información y seguridad cibernética dentro del sistema de gestión de la
seguridad de la información de acuerdo con los riesgos identificados.
Ficha articulo
Artículo
32. Seguridad cibernética
Las entidades y
empresas supervisadas deben gestionar la seguridad cibernética para cumplir con
los requerimientos del negocio y asegurar una resiliencia operativa digital.
Las entidades y
empresas supervisadas deben establecer indicadores para medir de forma
recurrente la eficacia y eficiencia de la seguridad cibernética.
Ficha articulo
Artículo 33. Programas
de análisis de vulnerabilidades y pruebas
Las entidades y
empresas supervisadas deben establecer, anualmente, programas de análisis de
vulnerabilidades y pruebas que incluyan los controles de seguridad de la
información y seguridad cibernética.
Los análisis de
vulnerabilidades, así como los tipos de pruebas y sus alcances, deben ser
acordes con los riesgos de seguridad de la información y seguridad cibernética
de las entidades y empresas supervisadas.
Los análisis de las
vulnerabilidades y las pruebas pueden ser ejecutados por personal interno,
personal externo o ambos.
Ficha articulo
Artículo 34. Unidades,
funciones organizacionales, centros de operaciones y comités técnicos de
gestión de riesgos de la seguridad de la información y la seguridad cibernética
Las entidades y
empresas supervisadas deben establecer unidades, funciones organizacionales,
centros de operaciones o comités técnicos que gestionen los riesgos de la
seguridad de la información y de la seguridad cibernética.
Las unidades, funciones
organizacionales, centros de operaciones o comités técnicos deben establecerse
de conformidad con la estructura, tamaño, canales de atención, volumen
transaccional, número de clientes, evaluación del riesgo y servicios prestados
por las entidades o empresas supervisadas.
Las unidades, funciones
organizacionales, centros de operaciones o comités técnicos que gestionen los
riesgos de seguridad cibernética pueden estar integrados a las áreas o
funciones de seguridad de la información de las entidades o empresas
supervisadas, tercerizadas o separadas.
En todo caso, deben
establecerse las políticas y los procedimientos que definan los propósitos,
responsabilidades, actividades y controles requeridos para su operación.
Ficha articulo
Artículo 35. Planes de
promoción de la cultura de la seguridad de la información y la seguridad
cibernética
Las entidades y
empresas supervisadas deben diseñar e implementar, anualmente, planes de
promoción de la cultura de la seguridad de la información y la seguridad
cibernética.
Los planes deben
incluir, al menos, actividades de capacitación, concientización, divulgación,
comunicación y promoción de una cultura organizacional de seguridad de la
información y seguridad cibernética dirigidos a sus colaboradores y clientes.
Los planes deben
contener indicadores de medición para determinar el nivel de concientización de
las entidades o empresas supervisadas.
Ficha articulo
Sección II. Incidentes de seguridad de
la información y seguridad cibernética
Artículo 36. Gestión de
incidentes de seguridad de la información y seguridad cibernética
Las entidades y
empresas supervisadas deben diseñar e implementar un proceso para la gestión de
incidentes de seguridad de la información y seguridad cibernética que incorpore
las fases de la gestión de incidentes establecidas en los lineamientos
generales del presente reglamento.
Cuando se identifique
una brecha de seguridad de información o de seguridad cibernética, las
entidades y empresas supervisadas deberán establecer el impacto potencial de
conformidad con el modelo de clasificación establecido en los lineamientos
generales del presente reglamento.
La gestión de
incidentes debe establecer un plan de respuesta a incidentes de seguridad de la
información y seguridad cibernética, así como los controles que permitan
recopilar las evidencias para el análisis forense.
Ficha articulo
Artículo 37. Función de
respuesta a incidentes de seguridad de la información y seguridad cibernética
Las entidades y
empresas supervisadas deben establecer una función de respuesta a incidentes de
seguridad de la información y seguridad cibernética, de conformidad con su
estructura, tamaño, canales de atención, volumen transaccional, número de
clientes, evaluación del riesgo y servicios prestados.
La función de respuesta
a incidentes de seguridad de la información y seguridad cibernética puede estar
conformada por personal de diferentes áreas de la entidad o empresa
supervisada, o cualquier otro miembro que se considere necesario.
Las principales
actividades de la función de respuesta a incidentes de seguridad de la
información y de seguridad cibernética serán, al menos, las siguientes:
a) Definir
responsabilidades dentro de las áreas de gestión para facilitar su resolución y
la coordinación entre todas las partes que la integran.
b) Establecer las
directrices operativas e informativas durante la situación del incidente de
seguridad de la información o de seguridad cibernética.
c) Evaluar las
estrategias que se llevan a cabo, las acciones y los resultados.
d) Detectar y prever
acontecimientos y pasos a seguir en función del desarrollo de los hechos para
erradicar y resolver el incidente de seguridad de la información o de seguridad
cibernética.
e) Identificar
oportunidades de mejora para la gestión de incidentes de seguridad de la
información y seguridad cibernética, así como implementar estrategias de mejora
continua.
Ficha articulo
Artículo 38.
Clasificación, registro e impacto de los incidentes de seguridad de la
información y seguridad cibernética
Las entidades y
empresas supervisadas deben clasificar y registrar los incidentes de seguridad
de la información y seguridad cibernética, de conformidad con la clasificación
de incidentes y de su impacto, establecidos en los lineamientos generales del
presente reglamento.
Ficha articulo
Artículo 39.
Comunicación de incidentes de seguridad de la información y seguridad
cibernética a las Superintendencias
Las entidades y
empresas supervisadas deben comunicar a las respectivas Superintendencias los
incidentes de seguridad de la información y seguridad cibernética cuando su
impacto sea clasificado como "moderado" o "alto".
Las Superintendencias
podrán solicitar informes sobre la atención de los incidentes de seguridad de
la información o de seguridad cibernética.
Los tipos de informes
de incidentes de seguridad de la información y seguridad cibernética, los
plazos y los formatos para su remisión están establecidos en los lineamientos
generales del presente reglamento.
Las Superintendencias
informarán los canales de remisión de los comunicados y de los informes de
incidentes de seguridad de la información y seguridad cibernética.
Ficha articulo
Artículo 40. Comunicado
de incidentes a los clientes
Cuando la
confidencialidad o integridad de la información de los clientes sea afectada debido
a un incidente de seguridad de la información o de seguridad cibernética, las
entidades y empresas supervisadas deberán comunicarles a estos sobre la
afectación. Será responsabilidad de las entidades y empresas supervisadas
definir el tipo, el alcance y el contenido mínimo de la comunicación, la cual,
deberá ser oportuna, clara y con un alcance apropiado en función del incidente.
Además, las medidas
adoptadas para remediar el incidente se deben comunicar a los clientes en un
plazo máximo de cinco días hábiles posteriores al cierre del incidente.
Ficha articulo
Artículo 41.
Información histórica de incidentes de seguridad de la información y seguridad
cibernética
Las entidades y
empresas supervisadas deben mantener información histórica de los incidentes de
seguridad de la información y seguridad cibernética. La información histórica
deberá estar a disposición de las Superintendencias cuando estas lo requieran
como parte de las labores de supervisión; en dicho caso, las Superintendencias
comunicarán los canales de remisión de la información.
El contenido y el plazo
de conservación de la información histórica está establecido en los
lineamientos generales del presente reglamento.
Ficha articulo
CAPÍTULO V
LA AUDITORÍA EXTERNA DE TI
Sección I. Perfil tecnológico
Artículo 42. Perfil tecnológico
Las entidades y
empresas supervisadas deben elaborar su perfil tecnológico y actualizarlo
anualmente.
En los casos en que se
cuente con una gestión de TI corporativa, un Comité de TI corporativo o sus
respectivas funciones equivalentes a nivel corporativo, el grupo o conglomerado
financiero podrá remitir un único perfil tecnológico al supervisor responsable.
En cualquier caso, el
perfil debe ajustarse al marco de gobierno y de gestión de TI de las entidades
y empresas supervisadas que conforman el grupo o conglomerado e identificará
las particularidades de cada una de estas.
Mediante lineamientos
generales del presente reglamento se establecen los plazos y los canales de
remisión del perfil tecnológico, así como aspectos en relación con el contenido
del perfil tecnológico y la guía para su descarga, llenado y remisión vigentes.
Ficha articulo
Artículo 43. Procesos
de evaluación del marco de gobierno y gestión de TI
Las entidades y
empresas supervisadas deben indicar en el perfil tecnológico cuáles de los
procesos de evaluación detallados en el anexo 1 de los lineamientos generales
del presente reglamento, resultan adecuados a su marco de gobierno y gestión de
TI. Asimismo, las entidades y empresas supervisadas deberán indicar, en el
perfil tecnológico, los procesos de evaluación que no les apliquen, así como
los que estén externalizados de forma total o parcial.
Los procesos de
evaluación que no les apliquen deben estar debidamente fundamentados en un
estudio técnico, el cual debe ser remitido mediante los canales oficiales de
comunicación de cada Superintendencia. Los aspectos que deben ser considerados
para la elaboración del estudio técnico están establecidos en los lineamientos
generales del presente reglamento.
Cuando la gestión de TI
sea tipificada como corporativa, se podrá realizar un único estudio técnico, el
cual, considere las particularidades de cada una de las entidades o empresas
supervisadas que conforman el grupo o conglomerado financiero.
Sin perjuicio de lo
anterior, las Superintendencias podrán ampliar la cantidad de procesos de
evaluación declarados en el perfil tecnológico de acuerdo con las necesidades
de supervisión, el riesgo identificado o cuando se determine que el marco de
gobierno y gestión de TI no es acorde con las particularidades de las entidades
o empresas supervisadas.
Los criterios de
calificación de los procesos de evaluación del marco de gobierno y gestión de
TI están establecidos en el anexo 3 de los lineamientos generales del presente
reglamento.
Ficha articulo
Artículo 44. Funciones
para la evaluación de la gestión de riesgos de seguridad cibernética
Las entidades y
empresas supervisadas deben indicar en el perfil tecnológico cuáles categorías
de las funciones de la seguridad cibernética establecidas en el anexo 4 de los
lineamientos generales del presente reglamento resultan adecuadas para evaluar
su gestión de riesgos de seguridad cibernética.
Las entidades y
empresas supervisadas diseñarán e implementarán los controles relacionados con
las funciones de seguridad cibernética y sus categorías, de conformidad con los
estándares internacionales, marcos de referencia y mejores prácticas
relacionadas con la seguridad cibernética que consideren adecuados para mitigar
sus riesgos y alineándolas al sistema de gestión de la seguridad de la
información a través de la declaración de aplicabilidad.
Ficha articulo
Artículo 45.
Comunicación de cambios significativos del perfil tecnológico
Las entidades y
empresas supervisadas deben identificar los cambios que se realicen en el
perfil tecnológico con respecto al perfil anterior, los cuales, consideren que
son significativos en aspectos tales como impacto en: la operación, la
seguridad, el cumplimiento, la inversión requerida, los beneficios esperados,
el alcance de los procesos de evaluación aplicables a la entidad, los riesgos
asociados y su alineación con la estrategia organizacional, entre otros. Lo
anterior, en virtud de su naturaleza, tamaño, complejidad, modelo de negocio y
riesgos.
Además, las entidades y
empresas supervisadas deben comunicar dichos cambios significativos a las
Superintendencias. El plazo y los canales de comunicación de los cambios
significativos del perfil tecnológico están establecidos en los lineamientos
generales del presente reglamento.
Ficha articulo
Sección II. Auditoría externa de TI
Artículo 46. Auditoría
externa de TI
Las Superintendencias
solicitarán a las entidades y empresas supervisadas la contratación de una
auditoría externa de TI sobre el marco de gobierno y gestión de TI según el
alcance determinado por el supervisor. Para las entidades sujetas a la
aplicación del artículo 3.
Regulación
proporcional, las Superintendencias solicitarán la contratación de una
auditoría externa de TI de conformidad con lo establecido en dicho artículo.
Además, las
Superintendencias, según los riesgos identificados, podrán solicitar a las
entidades y empresas supervisadas la contratación de auditorías externas de TI
para sus proveedores de bienes y servicios de TI.
Cuando las entidades y
empresas supervisadas dispongan de sus componentes tecnológicos mediante el uso
de servicios de computación en la nube proveídos por terceros o se celebren
contratos de adhesión, las Superintendencias podrán valorar la aceptación de
informes de auditorías externas con las que ya cuenten dichos proveedores.
La auditoría externa de
TI deberá ser realizada de conformidad con el Marco de prácticas profesionales
de auditoría de Tecnologías de Información (ITAF) de ISACA, salvo en los casos
en que se trate de proveedores de servicios de computación en la nube que ya
cuenten con auditorías independientes.
Las entidades y
empresas supervisadas deben cumplir con lo dispuesto en el Reglamento General
de Auditores Externos, Acuerdo CONASSIF 1-10, para la contratación de las
auditorías externas de TI.
Ficha articulo
Artículo 47. Alcance y
plazo de la auditoría externa de TI
Las Superintendencias
deben comunicar a las entidades y empresas supervisadas, el alcance de la
auditoría externa de TI, el cual podrá considerar, al menos, los siguientes
aspectos:
a) Los procesos de
evaluación del marco de gobierno y gestión de TI establecidos en los anexos 1 y
2 de los lineamientos generales del presente reglamento, aplicables a la
entidad en el momento de la solicitud de la auditoría externa de TI, de
conformidad con los artículos 3 y 43 del presente reglamento.
b) Las funciones para
la evaluación de la gestión de riesgos de seguridad cibernética establecidas en
los lineamientos generales del presente reglamento.
c) Componentes
revelados en el perfil tecnológico de la entidad o empresa supervisada.
d) Entidades y empresas
supervisadas, así como áreas de negocio y áreas de TI por considerar en cada
proceso.
e) Proveedores de
bienes y servicios de TI que, según los riesgos identificados, requieran la
evaluación de una auditoría externa de TI, en cuyo caso, se evaluaran los
procesos aplicables a la entidad o empresa supervisada y cualquier otro aspecto
que esté relacionado con los bienes y servicios de TI tercerizados.
f) El periodo de
cobertura.
g) Aspectos que las
Superintendencias requieran de conformidad con los riesgos identificados.
Cuando la gestión de
TI, el Comité de TI o sus respectivas funciones equivalentes sean corporativos,
le corresponde a los Órganos de Dirección asegurar que la atención del alcance
de la auditoría externa incluya lo que corresponde a cada una de las entidades
y empresas supervisadas, de tal forma, que los productos por entregar evalúen
el gobierno y la gestión de TI a nivel de los procesos y los riesgos del
negocio que desarrolla cada entidad o empresa supervisada.
El plazo para la
auditoría externa de TI y los canales de remisión del alcance están
establecidos en los lineamientos generales del presente reglamento.
Ficha articulo
Artículo 48.
Periodicidad de las auditorías externas de TI
La periodicidad de la
auditoría externa será cada tres años, excepto, cuando el supervisor considere
con base en el perfil de riesgo o los resultados de la supervisión, la
necesidad de anticiparla o aplazarla.
Ficha articulo
Artículo 49.
Documentación sobre la contratación y la planificación de la auditoría externa
de TI
Las entidades y
empresas supervisadas deben remitir a las Superintendencias, la documentación
sobre la contratación y la planificación de la auditoría externa de TI, la
cual, debe incluir al menos:
a) la copia del
contrato suscrito por los servicios de auditoría, y
b) la planificación del
encargo.
El formato de la
planificación del encargo, así como el plazo y los canales para la remisión de
la documentación sobre la contratación y la planificación de la auditoría
externa de TI, están establecidos en los lineamientos generales del presente
reglamento.
Ficha articulo
Artículo 50. Productos
de la auditoría externa de TI
Las entidades y
empresas deben remitir a la respectiva Superintendencia los siguientes
productos de la auditoría externa de TI:
a) El informe de la
auditoría externa de TI.
b) La copia del acuerdo
del Órgano de Dirección en el que se aprobó el informe de la auditoría externa
de TI. Se debe indicar el número y fecha del acta en la que se consignó el
acuerdo.
c) La matriz de
evaluación del marco de gobierno y gestión de TI.
d) Cualquier otro
producto solicitado por la Superintendencia en el alcance de la auditoría
externa de TI.
Los formatos,
características y canales de remisión de los productos de la auditoría externa
de TI están establecidos en los lineamientos generales del presente reglamento.
Ficha articulo
Artículo 51.
Presentación de los resultados de la auditoría externa de TI
Las entidades y
empresas supervisadas deben convocar, previa coordinación con la respectiva
Superintendencia, una reunión para la presentación de los resultados de la
auditoría externa de TI por parte del auditor CISA responsable.
Los canales para la
coordinación de la reunión, el contenido mínimo de la presentación de los
resultados de la auditoría externa de TI y las personas que deben participar
están establecidos en los lineamientos generales del presente reglamento.
Ficha articulo
Sección III. Reporte de supervisión y
plan de acción
Artículo 52. Reporte de
supervisión
Las Superintendencias
elaborarán un reporte de supervisión para comunicar a las entidades y empresas
supervisadas, el resultado de la valoración de los productos de la auditoría
externa de TI remitidos, así como los hallazgos y los riesgos identificados.
Además, las
Superintendencias disponen de un plazo de cuarenta días hábiles contados a
partir de la presentación de los resultados de la auditoría externa de TI, para
remitir a las entidades o empresas supervisadas el reporte de supervisión.
El reporte de
supervisión será remitido por medio de los canales oficiales de comunicación de
cada Superintendencia.
Ficha articulo
Artículo 53.
Inadmisibilidad de los productos de la auditoría externa de TI
El supervisor puede
declarar inadmisibles los productos de la auditoría externa de TI cuando
incumplan las disposiciones establecidas en este reglamento, en sus
lineamientos generales o en ambos.
En caso de
inadmisibilidad, las entidades o empresas supervisadas deben remitir los
productos corregidos en el plazo de treinta días hábiles, contados a partir de
la fecha de comunicación del reporte de supervisión. Cuando las
Superintendencias lo requieran, podrán establecer un plazo menor para la
remisión de los productos, el cual, no podrá ser menor a diez días hábiles.
El plazo dispuesto en el
artículo 52 del presente reglamento para que las Superintendencias remitan el
reporte de supervisión, iniciará nuevamente a partir de la última recepción de
los productos corregidos.
Las Superintendencias
pueden solicitar una nueva reunión para la presentación de los resultados
finales de la auditoría externa de TI.
Ficha articulo
Artículo 54. Plan de
acción para la gestión de los hallazgos y los riesgos identificados como
resultado de la auditoría externa de TI
Las entidades y
empresas supervisadas deben elaborar un plan de acción para gestionar los
hallazgos y los riesgos que se identifiquen como resultado de la auditoría
externa de TI. Las acciones que se incluyan en el plan de acción deben
establecerse en función del tamaño, complejidad y modelo de negocio, así como de
los niveles de apetito, tolerancia y capacidad de riesgo establecidos.
La aprobación de los
planes de acción por parte del supervisor aplicará en aquellos casos en los que
así lo defina la regulación específica de cada Superintendencia.
Los aspectos sobre la
elaboración del plan de acción están establecidos en los lineamientos generales
del presente reglamento.
El plan de acción debe
ser remitido a las Superintendencias en el plazo de treinta días hábiles
contados a partir de la comunicación del reporte de supervisión. Cuando las
Superintendencias lo requieran, podrán establecer un plazo menor para la
remisión del plan de acción, el cual, no podrá ser menor a diez días hábiles.
Los supervisores pueden
realizar observaciones al plan de acción, sugerir mejoras o advertir sobre los
riesgos significativos. Cuando las actividades incluidas en el plan de acción
no atienden adecuadamente los hallazgos y los riesgos, la frecuencia de
presentación de los informes de avances no permite un adecuado seguimiento al plan
de acción, los supervisores solicitarán las modificaciones pertinentes a la
entidades o empresas supervisadas.
Ficha articulo
Sección IV. Prórrogas
Artículo 55.
Solicitudes de prórrogas
Las entidades y
empresas supervisadas pueden presentar una solicitud de prórroga ante la
respectiva Superintendencia para el plazo de la remisión de los productos de la
auditoría externa de TI y para el plazo de la remisión del plan de acción.
Las solicitudes de
prórroga deben ser presentadas de forma previa al vencimiento del plazo original.
Las pautas para la
elaboración de las solicitudes de prórroga y los canales de remisión están
establecidas en los lineamientos generales del presente reglamento.
Ficha articulo
Artículo 56. Aceptación
o rechazo de las solicitudes de prórrogas
La respectiva Superintendencia
valorará los fundamentos presentados en la solicitud de prórroga y aceptará o
rechazará dicha solicitud.
Las Superintendencias
comunicaran a las entidades y empresas supervisadas, dentro del plazo de diez
días hábiles contados a partir de recibida la solicitud de prórroga, la
aceptación o rechazo de dicha solicitud. En caso de aceptación de la solicitud,
se comunicará a la entidad o empresa supervisada el plazo adicional concedido.
Dichas comunicaciones se realizarán mediante los canales oficiales de
comunicación de cada Superintendencia.
Ficha articulo
DISPOSICIONES ADICIONALES
Disposición adicional primera. Referencias
normativas
Toda referencia en la reglamentación emitida
por el CONASSIF u otras disposiciones de inferior rango emitidas por los
superintendentes que hagan referencia al Reglamento General de Gestión de
Tecnología de Información, Acuerdo CONASSIF 5-17, debe leerse como Reglamento
General de Gobierno y Gestión de la Tecnología de Información, Acuerdo CONASSIF
5-24.
DISPOSICIONES TRANSITORIAS
Disposición transitoria primera. Auditorías
externas de TI
Las Superintendencias podrán realizar visitas
de supervisión, solicitudes de trabajos especiales a los Órganos de Control o
solicitudes de auditorías externas de TI considerando dentro de los alcances y
plazos de dichos trabajos el cumplimiento de las disposiciones establecidas en
el presente reglamento a partir de la publicación de sus modificaciones en el
diario oficial La Gaceta.
La secuencia y los plazos de las auditorías
externas iniciadas con base en el Acuerdo CONASSIF 5-17 no serán interrumpidos
por la transición a las modificaciones del presente reglamento.
Ficha articulo
Disposición transitoria segunda. Gestión
de TI corporativa
Los grupos y
conglomerados financieros que, previo a la publicación de las modificaciones
del presente reglamento en el diario oficial La Gaceta, hayan tipificado su
gestión de TI como corporativa, podrán mantener dicha condición.
Ficha articulo
Disposición transitoria tercera. Planes
de acción vigentes
Los planes de acción en
curso originados por trabajos de supervisión o como parte de los resultados de
las auditorías externas de TI solicitadas en periodos previos a la publicación
de las modificaciones del presente reglamento en el diario oficial La Gaceta,
deben ser finalizados en tiempo y forma.
Ficha articulo
Disposición transitoria cuarta.
Contratos con proveedores de bienes y servicios de TI
Con respecto a los
contratos vigentes y futuros suscritos con los proveedores de bienes y servicios
de TI, las entidades y empresas supervisadas deben considerar lo siguiente:
a) Contratos nuevos: A
partir de la publicación de las modificaciones del presente reglamento en el
diario oficial La Gaceta, deben acatarse las disposiciones sobre contratos y
acuerdos de nivel de servicio.
b) Contratos vigentes:
Continúan según lo acordado entre las partes. Las disposiciones aplicarán en
caso de renovación del servicio y cuando deban suscribir nuevos contratos y
acuerdos de nivel de servicio. En todo caso, las entidades y empresas
supervisadas cuentan con un plazo no mayor a dieciocho meses a partir de la
entrada en vigor del presente reglamento para realizar los ajustes necesarios
en los nuevos contratos y acuerdos de nivel de servicio. En casos debidamente justificados,
podrán otorgarse prórrogas de hasta seis meses.
Ficha articulo
Disposición transitoria quinta.
Sociedades corredoras de seguros
De conformidad con el
requerimiento dispuesto en el artículo 3. Regulación proporcional, las
sociedades corredoras de seguros se regirán por las siguientes disposiciones
transitorias:
1. Marco de gestión de
TI de las sociedades corredoras de seguros y periodo de transición:
a) Las sociedades
corredoras de seguros deben implementar los procesos de su marco de gestión de
TI gradualmente como máximo durante los primeros cuatro años contados a partir
de la entrada en vigor del reglamento.
b) En concordancia con
la naturaleza, modelo de negocio, criticidad de los procesos y dependencia
tecnológica de información y la complejidad de sus operaciones, la SUGESE
requiere que las sociedades corredoras de seguros implementen su marco de
gestión, así como los órganos, comités, instancias y controles, para lo cual
deben contar con una estructura organizacional para la gestión de TI que
delimite claramente sus obligaciones, funciones y responsabilidades y que
cuente con políticas orientadas a cautelar una adecuada gestión de TI en
congruencia con su estrategia de gestión de los riesgos de TI.
2. Perfil tecnológico
de las sociedades corredoras de seguros:
a) Las sociedades
corredoras de seguros remitirán su primer perfil tecnológico de TI, a partir
del 2025, independientemente del tipo de gestión, comité o unidad de TI sea
esta individual o corporativa que la entidad defina.
b) Las fechas de
remisión del primer perfil de las sociedades corredoras de seguros serán
comunicadas por la SUGESE mediante acto administrativo en el tercer trimestre
del 2024, a través de los canales oficiales.
3. Auditoría Externa de
TI:
a) La SUGESE podrá
requerir a las sociedades corredoras de seguros, la primera auditoría externa
de TI a partir de enero del 2027.
Ficha articulo
Disposición transitoria sexta. Perfil
tecnológico
El contenido del perfil
tecnológico y la guía para la descarga, llenado y remisión que deberán utilizar
las entidades y empresas supervisadas serán los que se encuentran vigentes de
conformidad con lo establecido en los lineamientos.
Las Superintendencias
comunicarán a las entidades y empresas supervisadas la fecha a partir de la
cual el contenido y la guía para descarga, llenado y remisión del perfil
tecnológico incluirá las modificaciones reglamentarias.
Ficha articulo
Disposición transitoria séptima.
Implementación de las modificaciones reglamentarias
Las entidades y
empresas supervisadas deben validar que cumplan con las disposiciones de la
presente modificación reglamentaria; cuando presenten brechas deberán elaborar
planes de implementación para atender dichas brechas.
Las entidades y
empresas supervisadas dispondrán de un plazo no mayor a tres años contados a
partir de la fecha de publicación del presente reglamento en el diario oficial
La Gaceta, para finalizar los planes de implementación.
Sin perjuicio de lo
anterior, para la elaboración de los planes de implementación se deben
considerar los plazos establecidos en los siguientes artículos de la
modificación reglamentaria y en sus lineamientos generales, a fin de que la
ejecución de los planes permita el cumplimiento de los plazos establecidos en
dichos artículos:
Artículo 39.
Comunicación de incidentes de seguridad de la información y seguridad
cibernética a las Superintendencias
Artículo 40. Comunicado
de incidentes a los clientes
Artículo 41.
Información histórica de incidentes de seguridad de la información y seguridad
cibernética
Artículo 45. Comunicación
de cambios significativos del perfil tecnológico
Artículo 47. Alcance y
plazo de la auditoría externa de TI
Artículo 48.
Periodicidad de las auditorías externas de TI
A partir del sexto mes
de la entrada en vigor del reglamento, los planes de implementación para
atender brechas deberán estar a disposición de las Superintendencias cuando
estas lo requieran. Dichos planes podrán ser considerados para definir los
alcances de la auditoría externa de TI o ser considerados como parte de la
evaluación de las auditorías externas de TI.
Ficha articulo
Fecha de generación: 8/9/2024 08:14:25
|