Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

JUNTA MONETARIA RESOLUCIN JM-102-2011

Inserta en el Punto Cuarto del Acta 32-2011, correspondiente a la sesin celebrada por la Junta Monetaria el 17 de agosto de 2011. PUNTO CUARTO: Superintendencia de Bancos eleva a consideracin de la Junta Monetaria el proyecto de Reglamento para la Administracin del Riesgo Tecnolgico. RESOLUCIN JM-102-2011. Conocido el Oficio No. 3881-2011 del Superintendente de Bancos, del 10 de agosto de 2011, mediante el cual eleva a consideracin de esta Junta el proyecto de Reglamento para la Administracin de Riesgo Tecnolgico. LA JUNTA MONETARIA: CONSIDERANDO: Que para el desarrollo normal de sus actividades, las entidades del sistema financiero supervisado dependen en alto grado del uso de tecnologa de la informacin por lo que se hace necesario gestionar adecuadamente el riesgo tecnolgico para asegurar la integridad, disponibilidad, confidencialidad de la informacin, as como la continuidad de la prestacin de sus servicios; CONSIDERANDO: Que el artculo 55 de la Ley de Bancos y Grupos Financieros establece que los bancos y las empresas que integran grupos financieros debern contar con procesos integrales que incluyan, entre otros, la administracin del riesgo operacional, del cual forma parte el riesgo tecnolgico, que contengan sistemas de informacin y un comit de gestin de riesgos, todo ello con el propsito de identificar, medir, monitorear, controlar y prevenir los riesgos; CONSIDERANDO: Que de conformidad con buenas prcticas a nivel internacional es conveniente que los bancos, las sociedades financieras, las entidades fuera de plaza o entidades off shore, as como las empresas especializadas en servicios financieros que forman parte de grupos financieros, cuenten con lineamientos mnimos que deben observar a fin de llevar a cabo una adecuada administracin del riesgo tecnolgico, con el objetivo de mitigar el riesgo de prdidas financieras ocasionadas por la materializacin de dicho riesgo, POR TANTO: Con fundamento en lo dispuesto en los artculos 132 y 133 de la Constitucin Poltica de la Repblica de Guatemala, 26, incisos l), de la Ley Orgnica del Banco de Guatemala, 55, 56, 57, 113 y 129 de la Ley de Bancos y Grupos Financieros, as como tomando en cuenta el Oficio No. 3881-2011 del Superintendente de Bancos, del 10 de agosto de 2011,

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

RESUELVE: 1. Emitir, conforme anexo a la presente resolucin, el Reglamento para la Administracin del Riesgo Tecnolgico. Autorizar a la Secretara de esta Junta para que publique la presente resolucin en el diario oficial y en otro peridico, la cual entrar en vigencia el 1 de septiembre de 2011. Armando Felipe Garca Salas Alvarado Secretario Junta Monetaria

2.

Publicada en el Diario de Centro Amrica el 26 de agosto de 2011

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

ANEXO A LA RESOLUCIN JM-102-2011 REGLAMENTO PARA LA ADMINISTRACIN DEL RIESGO TECNOLGICO CAPTULO I DISPOSICIONES GENERALES Artculo 1. Objeto. Este reglamento tiene por objeto establecer los lineamientos mnimos que los bancos, las sociedades financieras, las entidades fuera de plaza o entidades off shore y las empresas especializadas en servicios financieros que forman parte de un grupo financiero, debern cumplir para administrar el riesgo tecnolgico. Artculo 2. Definiciones. Para los efectos de este reglamento se establecen las definiciones siguientes: Administracin del riesgo tecnolgico: es el proceso que consiste en identificar, medir, monitorear, controlar, prevenir y mitigar el riesgo tecnolgico. Certificado digital: es un identificador nico que garantiza la identidad del emisor y del receptor de un mensaje o transaccin electrnica, la confidencialidad del contenido del envo, la integridad de la transaccin, y el no repudio de los compromisos adquiridos por va electrnica. Criticidad de la informacin: se refiere a la clasificacin de la informacin en diferentes niveles considerando la importancia que sta tiene para la operacin del negocio. Diagrama de relacin: es la representacin grfica que describe la distribucin de datos almacenados en las bases de datos de la institucin y la relacin entre stos, tales como los diagramas de entidad-relacin para el caso de bases de datos del tipo relacional. Diccionario de datos: es la documentacin relativa a las especificaciones de los datos, tales como su identificacin, descripcin, atributos, el dominio de valores, restricciones de integridad y ubicacin dentro de una base de datos. Infraestructura de tecnologa de la informacin o infraestructura de TI: es el hardware, software, redes, instalaciones y otros elementos que se requieren para desarrollar, probar, entregar, monitorear, controlar o dar soporte a los servicios de tecnologa de la informacin. La infraestructura de TI excluye al recurso humano, los procesos y la documentacin. Institucin o instituciones: se refiere a los bancos, las sociedades financieras, las entidades fuera de plaza o entidades off shore y las empresas especializadas en servicios financieros que forman parte de un grupo financiero.

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

Riesgo tecnolgico: es la contingencia de que la interrupcin, alteracin, o falla de la infraestructura de TI, sistemas de informacin, bases de datos y procesos de TI, provoque prdidas financieras a la institucin. Sensibilidad de la informacin: clasificacin de la informacin segn el perjuicio que ocasione a la institucin su alteracin, destruccin, prdida o divulgacin no autorizada. Sistemas de informacin: es el conjunto organizado de datos, procesos y personas para obtener, procesar, almacenar, transmitir, comunicar y disponer de la informacin en la institucin para un objetivo especfico. Tecnologa de la informacin o TI: es el uso de la tecnologa para obtener, procesar, almacenar, transmitir, comunicar y disponer de la informacin, para dar viabilidad a los procesos del negocio. CAPTULO II ORGANIZACIN PARA LA ADMINISTRACIN DEL RIESGO TECNOLGICO Artculo 3. Polticas y procedimientos. Las instituciones debern establecer e implementar polticas y procedimientos que les permitan realizar permanentemente una adecuada administracin del riesgo tecnolgico, de la institucin, considerando la naturaleza, complejidad y volumen de sus operaciones. Dichas polticas y procedimientos debern comprender, como mnimo, las metodologas, herramientas o modelos de medicin del riesgo tecnolgico, as como los aspectos que se detallan en los captulos del III al VI de este reglamento y agruparse en los temas siguientes: a) b) c) d) Infraestructura de TI, sistemas de informacin, bases de datos y servicios de TI; Seguridad de tecnologa de la informacin; Continuidad de operaciones de tecnologa de la informacin; y, Procesamiento de informacin y tercerizacin.

En adicin a los aspectos indicados, las instituciones debern establecer polticas para elaborar, implementar y actualizar el plan estratgico de TI a que se refiere el artculo 7 de este reglamento. Artculo 4. Responsabilidad del Consejo de Administracin. El Consejo de Administracin o quien haga sus veces, en lo sucesivo el Consejo, sin perjuicio de las responsabilidades que le asignan otras disposiciones legales aplicables, es el

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

responsable de velar porque se implemente e instruir para que se mantenga en adecuado funcionamiento y ejecucin la administracin del riesgo tecnolgico. Para cumplir con lo indicado en el prrafo anterior el Consejo como mnimo deber: a) Aprobar las polticas y procedimientos a que se refiere el artculo anterior, el plan estratgico de TI, el plan de continuidad de operaciones de TI, as como conocer y resolver sobre las propuestas de actualizacin y autorizar las modificaciones respectivas; Conocer los reportes que le remita el Comit de Gestin de Riesgos sobre la exposicin al riesgo tecnolgico, los cambios sustanciales de tal exposicin y su evolucin en el tiempo, as como las medidas correctivas adoptadas; y, Conocer los reportes sobre el nivel de cumplimiento de las polticas y procedimientos aprobados, as como las propuestas sobre acciones a adoptar con relacin a los incumplimientos. Asimismo, en caso de incumplimiento el Consejo deber adoptar las medidas que correspondan, sin perjuicio de las sanciones legales que el caso amerite.

b)

c)

Lo indicado en este prrafo deber hacerse constar en el acta respectiva. Artculo 5. Comit de Gestin de Riesgos. El Comit de Gestin de Riesgos, en lo sucesivo el Comit, estar integrado como mnimo por un miembro del Consejo y por las autoridades y funcionarios que dicho Consejo designe. El Comit estar a cargo de la direccin de la administracin del riesgo tecnolgico, entre otros riesgos, para lo cual deber encargarse de la implementacin, adecuado funcionamiento y ejecucin de las polticas y procedimientos aprobados para dicho propsito y tendr las funciones siguientes: a) Proponer al Consejo, para su aprobacin, las polticas y procedimientos para la administracin del riesgo tecnolgico, as como el plan estratgico de TI y el plan de continuidad de operaciones de TI; Proponer al Consejo el manual de administracin del riesgo tecnolgico y sus actualizaciones; Analizar las propuestas sobre actualizacin de las polticas, procedimientos, plan estratgico de TI, plan de continuidad de operaciones de TI y su plan de pruebas, y proponer al Consejo las actualizaciones que procedan; Definir la estrategia para la implementacin de las polticas y procedimientos aprobados para la administracin del riesgo tecnolgico y su adecuado cumplimiento;

b)

c)

d)

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

e)

Revisar, al menos anualmente, las polticas y procedimientos y proponer la actualizacin, cuando proceda; Analizar los reportes que le remita la Unidad de Administracin de Riesgos, a que se refiere el artculo 6 de este reglamento, sobre la exposicin del riesgo tecnolgico de la institucin, los cambios sustanciales de tal exposicin y su evolucin en el tiempo, as como adoptar las medidas correctivas correspondientes; Analizar la informacin que le remita la Unidad de Administracin de Riesgos sobre el cumplimiento de las polticas y procedimientos aprobados, as como evaluar las causas de los incumplimientos que hubieren, y proponer al Consejo acciones a adoptar con relacin a dichos incumplimientos; Reportar al Consejo, al menos semestralmente y cuando la situacin lo amerite, sobre la exposicin al riesgo tecnolgico de la institucin, los cambios sustanciales de tal exposicin, su evolucin en el tiempo, las principales medidas correctivas adoptadas y el cumplimiento de las polticas y procedimientos aprobados; e, Otras funciones relacionadas que le asigne el Consejo.

f)

g)

h)

i)

Las sesiones y acuerdos del Comit debern constar en acta suscrita por quienes intervinieron en la sesin. El Consejo deber asegurarse que la estructura organizacional para administrar TI permita asesorar al Comit en los aspectos relacionados con el riesgo tecnolgico. Artculo 6. Unidad de Administracin de Riesgos. La Unidad de Administracin de Riesgos, en lo sucesivo la Unidad, apoyar al Comit en la administracin del riesgo tecnolgico, para lo cual tendr las funciones siguientes: a) Proponer al Comit polticas y procedimientos para la administracin del riesgo tecnolgico, as como el plan estratgico de TI, el plan de continuidad de operaciones de TI a que se refiere el artculo 20 de este reglamento y su plan de pruebas descrito en el artculo 21; Revisar, al menos anualmente y cuando la situacin lo amerite, las polticas, los procedimientos, el plan estratgico de TI, y para los procesos crticos, el plan de continuidad de operaciones de TI y su plan de pruebas, y proponer su actualizacin al Comit, atendiendo los cambios en la estrategia o situacin de la institucin o cuando lo requiera la normativa; Monitorear la exposicin al riesgo tecnolgico y mantener registros histricos sobre dicho monitoreo, as como medir el riesgo tecnolgico;

b)

c)

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

d)

Analizar el riesgo tecnolgico inherente de las innovaciones en TI que se implementen en la institucin y el que se derive de los nuevos productos y servicios propuestos por las unidades de negocios; Reportar al Comit, al menos trimestralmente y cuando la situacin lo amerite, sobre la exposicin al riesgo tecnolgico de la institucin, los cambios sustanciales de tal exposicin y su evolucin en el tiempo, as como proponer al Comit las medidas correctivas correspondientes; Verificar e informar al Comit, al menos trimestralmente y cuando la situacin lo amerite, sobre el nivel de cumplimiento de las polticas y procedimientos aprobados; Identificar las causas del incumplimiento de las polticas y procedimientos aprobados, determinar si los mismos se presentan en forma reiterada e incluir sus resultados en el informe indicado en el inciso f) anterior y proponer las medidas correctivas, debiendo mantener registros histricos sobre tales incumplimientos; y, Otras funciones relacionadas que le asigne el Comit.

e)

f)

g)

h)

El Consejo deber asegurarse que la estructura organizacional para administrar TI permita apoyar a la Unidad en los aspectos relacionados con el riesgo tecnolgico. Artculo 7. Plan estratgico de TI. Las instituciones, como parte de su plan estratgico general, debern tener un plan estratgico de TI alineado con la estrategia de negocios, para gestionar la infraestructura de TI, los sistemas de informacin, la base de datos y al recurso humano de TI. El plan estratgico de TI debe incluir, como mnimo, los aspectos siguientes: a) Objetivos de TI alineados con la estrategia de negocios en funcin del anlisis e impacto de factores internos y externos en esta materia, tales como oportunidades, limitaciones y desempeo de la infraestructura de TI, los sistemas de informacin, la base de datos y el recurso humano relacionado; Estrategias de TI, para la consecucin de los objetivos; Proyectos y actividades especficas; y, El presupuesto financiero para su ejecucin.

b) c) d)

Las instituciones debern poner a disposicin de la Superintendencia de Bancos el plan estratgico de TI y sus modificaciones, cuando sta lo requiera.

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

Las nuevas instituciones que se constituyan o se autorice su funcionamiento debern remitir una copia del plan estratgico de TI a que se refiere este artculo, a la Superintendencia de Bancos, antes del inicio de sus operaciones. Artculo 8. Organizacin de TI. Las instituciones debern contar con una estructura organizacional de TI que est alineada con el plan estratgico, asegurndose que el recurso humano de TI tenga las capacidades necesarias mediante programas de entrenamiento y capacitacin, una adecuada separacin de funciones, delegacin de autoridad, definicin de roles y asignacin de responsabilidades, todo esto soportado con un marco de trabajo estructurado en procesos, los cuales debern estar debidamente identificados. Artculo 9. Manual de administracin del riesgo tecnolgico. Las polticas y procedimientos a que se refiere el artculo 3 de este reglamento debern constar por escrito en un manual de administracin del riesgo tecnolgico que ser aprobado por el Consejo. El Consejo conocer y resolver sobre las propuestas de actualizacin del manual de administracin del riesgo tecnolgico y autorizar las modificaciones al mismo, las que debern ser comunicadas a la Superintendencia de Bancos, dentro de los diez (10) das hbiles siguientes a su aprobacin. Las nuevas instituciones que se constituyan o se autorice su funcionamiento debern remitir una copia del manual a que se refiere este artculo a la Superintendencia de Bancos antes del inicio de sus operaciones. CAPTULO III INFRAESTRUCTURA DE TI, SISTEMAS DE INFORMACIN, BASES DE DATOS Y SERVICIOS DE TI Artculo 10. Esquema de la informacin del negocio. Las instituciones debern contar con un esquema actualizado de la informacin del negocio que represente la interrelacin entre la infraestructura de TI, los sistemas de informacin, los servicios de TI y los procesos de las principales lneas de negocio. Artculo 11. Inventarios de infraestructura de TI, sistemas de informacin y de bases de datos. Las instituciones debern mantener inventarios actualizados de su infraestructura de TI, de sus sistemas de informacin y de sus bases de datos que incluyan, como mnimo, lo siguiente: a) De infraestructura de TI: 1. Especificaciones tcnicas de sus elementos: i. Tipo;

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

ii. Nombre; iii. Funcin; y, iv. Identificar si el mantenimiento es propio o realizado por terceros, en este ltimo caso deber identificarse al proveedor. 2. Ubicacin fsica de sus elementos. b) De sistemas de informacin: 1. Caractersticas de los sistemas de informacin: i. Nombre;

ii. Funcin; iii. Lenguaje de programacin; iv. Versin; v. Estructura del sistema y las relaciones entre sus componentes; vi. Nombre y versin de los manejadores de bases de datos con las cuales interactan; vii. Nombre de las bases de datos con las cuales interactan; viii. Identificar si es desarrollo propio o realizado por terceros, en este ltimo caso deber identificarse al proveedor; y, ix. Identificar si el mantenimiento es propio o realizado por terceros, en este ltimo caso deber identificarse al proveedor. 2. Documentacin tcnica; y, 3. Documentacin para el usuario final. c) De bases de datos: 1. Nombre; 2. Descripcin general de la informacin que contiene; 3. Manejador de base de datos o sistema de gestin de archivos, y su versin;

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

4. Nombre de los servidores en los que reside; 5. Diccionario de datos; 6. Diagramas de relacin; y, 7. Nombre del administrador de la base de datos. A la entrada en vigencia de este reglamento, los inventarios de infraestructura de TI, sistemas de informacin y de bases de datos, a que se refiere este artculo, sern obligatorios para las aplicaciones que soportan los procesos crticos del negocio, especialmente las que permitan a los respectivos depositantes disponer de sus fondos. Artculo 12. Administrador de base de datos. Las instituciones debern designar uno o ms administradores de base de datos para gestionar los controles de accesos, la integridad, disponibilidad y confidencialidad de los datos, as como los procesos de creacin, actualizacin o eliminacin de estructuras en las bases de datos, entre otros. Artculo 13. Monitoreo de la infraestructura de TI, sistemas de informacin y bases de datos. Las instituciones debern realizar evaluaciones peridicas de la capacidad y desempeo de la infraestructura de TI, de los sistemas de informacin y de las bases de datos, con el objeto de determinar necesidades de ampliacin de capacidades o actualizaciones. Las instituciones debern documentar y llevar registro de las evaluaciones peridicas a que se refiere este artculo y realizar anlisis de tendencias para determinar capacidades futuras. Artculo 14. Adquisicin, mantenimiento e implementacin de infraestructura de TI, sistemas de informacin y bases de datos. Las instituciones debern contar con procesos documentados y planes operativos para la adquisicin, mantenimiento e implementacin de la infraestructura de TI, los sistemas de informacin y las bases de datos. Dichos procesos debern incluir, como mnimo, los aspectos siguientes: a) En lo referente a adquisicin y mantenimiento: 1. Seleccin de proveedores, considerando factibilidad tecnolgica y econmica; y, 2. Contratacin, considerando la suscripcin y ejecucin. b) En lo referente a implementacin: 1. Realizacin de pruebas; y, 2. Registro y monitoreo de la implementacin.

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

Artculo 15. Gestin de servicios de TI. Las instituciones debern realizar una adecuada gestin de los servicios de TI de acuerdo con las prioridades del negocio estableciendo, como mnimo, los aspectos siguientes: a) b) Un catlogo que comprenda la definicin de cada uno de los servicios de TI. Acuerdos de niveles de servicio de TI establecidos entre las reas del negocio y las reas de TI. Dichos acuerdos deben comprender: 1. Los compromisos de las reas de negocios; 2. Los compromisos de las reas de TI; 3. Los requerimientos de soporte para el servicio de TI; 4. Las condiciones del servicio de TI; y, 5. El registro, monitoreo y actualizacin para la mejora de los servicios de TI. c) Procesos de gestin de incidentes y de problemas, los cuales deben comprender: 1. La clasificacin, registro, atencin, anlisis de tendencias y monitoreo de los incidentes presentados por los usuarios; 2. El escalamiento de incidentes para su atencin y resolucin, cuando aplique; y, 3. La identificacin, anlisis, registro y monitoreo de la causa raz de los problemas y su posterior resolucin. d) Procesos de gestin de cambios en infraestructura de TI, sistemas de informacin y bases de datos, los cuales deben comprender: 1. La evaluacin del impacto, priorizacin y autorizacin del cambio; 2. Los cambios de emergencia; y, 3. Realizacin de pruebas, registro y monitoreo del cambio. Artculo 16. Ciclo de vida de los sistemas de informacin. Las instituciones debern implementar metodologas adecuadamente documentadas para el anlisis, diseo, desarrollo, pruebas, puesta en produccin, mantenimiento, control de versiones y control de calidad de los sistemas de informacin. Las actividades de desarrollo y produccin debern realizarse en ambientes distintos.

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

CAPTULO IV SEGURIDAD DE TECNOLOGA DE LA INFORMACIN Artculo 17. Gestin de la seguridad de la informacin. Las instituciones debern gestionar la seguridad de su informacin con el objeto de garantizar la confidencialidad, integridad y disponibilidad de los datos, as como mitigar los riesgos de prdida, extraccin indebida y corrupcin de la informacin, debiendo considerar, como mnimo, los aspectos siguientes: a) Identificacin y clasificacin de la informacin de acuerdo a criterios de sensibilidad y criticidad; Roles y responsabilidades para la gestin de la seguridad de la informacin; Monitoreo de la seguridad de la informacin; Seguridad fsica que incluya controles y medidas de prevencin para resguardar adecuadamente la infraestructura de TI de acuerdo a la importancia definida por la institucin conforme al riesgo a que est expuesta, considerando: 1. Ubicacin fsica y sus controles de acceso; 2. Acondicionamiento del espacio fsico que considere factores tales como temperatura, humedad y prevencin de incendios; 3. Vigilancia, que incluya factores tales como personal de seguridad, sistemas de video y sensores; 4. Suministro ininterrumpido de energa elctrica; y, 5. Adecuado manejo del cableado de red y de energa elctrica. e) Seguridad lgica que incluya controles y medidas de prevencin para resguardar la integridad y seguridad de los sistemas de informacin y de los datos, considerando: 1. Administracin de los permisos a los sistemas de informacin, datos y elementos de la infraestructura de TI, que incluya registro y bitcoras del proceso y revisiones peridicas de los permisos; 2. Revisin del uso de permisos para detectar actividades no autorizadas; 3. Bitcoras de las transacciones realizadas en los sistemas de informacin crticos; y,

b) c) d)

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

4. Pruebas peridicas para detectar vulnerabilidades en la infraestructura de TI, los sistemas de informacin y las bases de datos. Artculo 18. Copias de respaldo. Las instituciones debern tener copias de la informacin de la infraestructura de TI, sistemas de informacin y bases de datos, para lo cual debern considerar, como mnimo, los aspectos siguientes: a) b) c) d) Informacin a respaldar, periodicidad y validacin de las copias de respaldo; Procedimientos de restauracin de las copias de respaldo; Congruencia con la estrategia institucional para la continuidad de operaciones; y, Ubicacin de las copias de respaldo y de la documentacin de los procedimientos de restauracin.

Artculo 19. Operaciones y servicios financieros a travs de canales electrnicos. Las instituciones que realicen operaciones y presten servicios financieros a travs de canales electrnicos debern implementar, como mnimo, lo siguiente: a) Mecanismos para la proteccin y control de la infraestructura de TI, los sistemas de informacin y las bases de datos; Medidas de seguridad en el intercambio de informacin a travs de los canales electrnicos. Cualquier intercambio de informacin sensible debe estar respaldado por un certificado digital, cifrado de datos u otro mecanismo que permita garantizar la transferencia de informacin; Programas de educacin y divulgacin de informacin para clientes; y, Registro y bitcoras de las transacciones efectuadas. CAPTULO V CONTINUIDAD DE OPERACIONES DE TECNOLOGA DE LA INFORMACIN Artculo 20. Plan de continuidad de operaciones de TI. Las instituciones debern contar con un plan de continuidad de operaciones de TI, que est alineado a las necesidades de la institucin, para recuperar los procesos crticos de las principales lneas de negocio soportados por TI, as como la informacin asociada en caso de una interrupcin. El plan de continuidad de operaciones de TI deber incluir, como mnimo, los aspectos siguientes: a) Objetivo y alcance del plan;

b)

c) d)

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

b) c)

Identificacin de los procesos crticos de las principales lneas de negocio; Identificacin de los procesos de TI que son necesarios para soportar los procesos identificados en el inciso b) anterior; Procedimientos y canales de comunicacin; Procedimientos de recuperacin y restauracin de operaciones y procesos crticos; Identificacin y descripcin de responsabilidades del personal clave para la continuidad de operaciones de TI y listado de proveedores; Recursos necesarios para la recuperacin; Convenios documentados con terceros; e, Identificacin de factores de dependencia interna y externa de la institucin, tales como proveedores, personal de la entidad u otros, y las acciones para mitigar el riesgo de dicha dependencia.

d) e)

f)

g) h) i)

Las nuevas instituciones que se constituyan o se autorice su funcionamiento debern remitir una copia del plan de continuidad de operaciones de TI a que se refiere este artculo a la Superintendencia de Bancos antes del inicio de sus operaciones. Las modificaciones al plan de continuidad de operaciones de TI debern ser comunicadas a la Superintendencia de Bancos dentro de los diez (10) das hbiles siguientes a su aprobacin. Artculo 21. Pruebas al plan de continuidad de operaciones de TI. Las instituciones debern elaborar como parte del plan de continuidad de TI un plan de pruebas que incluya, como mnimo: alcance, escenarios y periodicidad. Los resultados de las pruebas realizadas debern documentarse y, cuando corresponda, adecuar el plan de continuidad de operaciones de TI en funcin de los resultados obtenidos. Artculo 22. Capacitacin del personal clave para la continuidad de operaciones de TI. Las instituciones debern mantener capacitado al personal clave, a que se refiere el inciso f) del artculo 20 de este reglamento, para activar o probar el plan de continuidad de operaciones de TI y sus modificaciones. Artculo 23. Centro de cmputo alterno. Las instituciones debern contar con un centro de cmputo alterno con las caractersticas fsicas y lgicas necesarias para dar continuidad a las operaciones y los procesos crticos de negocios, cumpliendo con los

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

requisitos establecidos en este reglamento referentes a seguridad de tecnologa de la informacin, infraestructura de TI, sistemas de informacin y bases de datos. El centro de cmputo alterno deber estar en una ubicacin distinta del centro de cmputo principal, de tal forma que no se vean expuestos a un mismo nivel de riesgo ante la ocurrencia de un mismo desastre. Se entender por desastre todo evento que interrumpa las operaciones normales de un negocio. En caso el centro de cmputo alterno est ubicado fuera del territorio nacional, las instituciones debern permitir a la Superintendencia de Bancos el libre acceso a su infraestructura de TI, sistemas de informacin y bases de datos, y proporcionar a sta la informacin que les requiera. CAPTULO VI PROCESAMIENTO DE INFORMACIN Y TERCERIZACIN Artculo 24. Procesamiento de la informacin. Las instituciones podrn procesar su informacin dentro o fuera del territorio nacional debiendo contar para el efecto con la infraestructura de TI, sistemas de informacin, bases de datos y personal tcnico capacitado con el propsito de asegurar la disponibilidad, integridad, confidencialidad y accesibilidad de la informacin. En el caso de procesamiento fuera del territorio nacional, previamente debern contar con autorizacin de la Superintendencia de Bancos y cumplir con los requisitos siguientes: a) Contar con un centro de cmputo alterno, conforme lo establecido en el artculo anterior, ubicado en el territorio nacional; Disponer de personal tcnico y uno o ms administradores de bases de datos, en el territorio nacional, capacitados para operar el centro de cmputo alterno; Replicacin en tiempo real hacia servidores locales de su informacin procesada fuera del territorio nacional; y, Permitir a la Superintendencia de Bancos el libre acceso a su infraestructura de TI, sistemas de informacin, bases de datos e instalaciones ubicadas fuera del territorio nacional, y proporcionar a sta la informacin que le requiera.

b)

c)

d)

Asimismo las instituciones debern contar con la autorizacin previa de la Superintendencia de Bancos para cambiar el sitio donde se procesa la informacin hacia otro pas. Artculo 25. Tercerizacin. Cuando se contraten servicios de terceros para el procesamiento de su informacin, las instituciones sern las responsables de cumplir

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

con lo establecido en este reglamento. En los contratos que se suscriban debern incluir, como mnimo, lo siguiente: a) Que la Superintendencia de Bancos tendr libre acceso a las instalaciones de los contratados, infraestructura de TI, sistemas de informacin y bases de datos, relacionadas con el servicio contratado por la institucin; Que el contratado tiene obligacin de proporcionarle a la Superintendencia de Bancos, cuando sta se lo requiera, toda la informacin y/o documentos relacionados con las operaciones y servicios de tercerizacin prestados a la institucin por el contratado; Que el contratado guardar la confidencialidad de las operaciones y servicios que realizare y dems informacin a que tenga acceso con motivo de su relacin con la institucin contratante; Que el contratado se compromete a cumplir con la institucin lo establecido en este reglamento, relativo a la infraestructura de TI, sistemas de informacin, bases de datos, servicios de TI, seguridad de tecnologa de la informacin y continuidad de operaciones de tecnologa de la informacin; y, Acuerdos de niveles de servicio.

b)

c)

d)

e)

Lo establecido en este artculo, es sin perjuicio del cumplimiento de lo indicado en los artculos 23 y 24 de este reglamento. CAPTULO VII DISPOSICIONES TRANSITORIAS Y FINALES Artculo 26. Transitorio. Las instituciones que al momento del inicio de vigencia de este reglamento se encuentren operando, debern presentar a la Superintendencia de Bancos un plan de implementacin aprobado por el Consejo, para ajustarse a las disposiciones de esta normativa, dentro de los seis (6) meses siguientes a la fecha en que cobre vigencia el mismo. La ejecucin del plan indicado en el prrafo anterior, no deber exceder de veinticuatro (24) meses contados a partir de vencido el plazo para la entrega de dicho plan. Artculo 27. Transitorio. Las instituciones debern enviar a la Superintendencia de Bancos el manual de administracin del riesgo tecnolgico y el plan de continuidad de operaciones de TI, dentro de los cinco (5) das siguientes de vencido el plazo para la ejecucin del plan indicado en el artculo 26. Artculo 28. Envo de informacin a la Superintendencia de Bancos. Las instituciones debern enviar a la Superintendencia de Bancos informacin relacionada

Reglamento para la Administracin del Riesgo Tecnolgico

JM-102-2011

con el riesgo tecnolgico conforme a las instrucciones generales que el rgano supervisor les indique. Artculo 29. Casos no previstos. Los casos no previstos en este reglamento sern resueltos por la Junta Monetaria, previo informe de la Superintendencia de Bancos.