Resolución JB-2014-3066 - Refórmase el capítulo V 'De la gestión del riesgo operativo', del título X, del libro I de la Codificación de Resoluciones de la Superintendencia de Bancos y Seguros y de la Junta Bancaria
| Número de Boletín | 347 |
| Sección | Resoluciones |
| Emisor | Junta Bancaria |
| Fecha de la disposición | 2 de Septiembre de 2014 |
LA JUNTA BANCARIA
Considerando:
Que en titulo X "De la gestión integral y control de riesgos", del libro I "Normas generales para la aplicación de la Ley General de Instituciones del Sistema Financiero", de la Codificación de Resoluciones de la Superintendencia de Bancos y Seguros y de la Junta Bancaria, consta el capitulo V "De la gestión del riesgo operativo";
Que la norma contiene una serie de disposiciones específicas para la implementación de medidas de seguridad en los diferentes canales electrónicos a través de los cuales brindan servicios a sus clientes las instituciones fi nancieras controladas por la Superintendencia de Bancos y Seguros;
Que del seguimiento trimestral del nivel de cumplimiento de las disposiciones contenidas en el citado capitulo V "De la gestión del riesgo operativo";,y del análisis de los resultados de las supervisiones in situ que ha venido realizando la Subdirección de Riesgo Operativo, se ha establecido la necesidad de realizar una reforma al referido capítulo V, con el propósito de que las instituciones financieras incrementen las medidas de seguridad en los canales electrónicos, mejoren los controles de gestión de la tecnología de la información y comunicaciones y mejoren la gestión del riesgo operativo; incluir disposiciones específicas relativas a la continuidad de las operaciones del negocio y la gestión de la seguridad de la información; e, implementar medidas de seguridad que mitiguen los fraudes relacionados con los cajeros automáticos y coadyuven a determinar los causales de los mismos en los procesos investigativos; y,
En uso de la atribución legal que le otorga la letra b) del artículo 175 de la Ley General de Instituciones del Sistema Financiero,
Resuelve:
En el libro I "Normas generales para la aplicación de la Ley General de Instituciones del Sistema Financiero", de la Codifi cación de Resoluciones de la Superintendencia de Bancos y Seguros y de la Junta Bancaria, efectuar los siguientes cambios:
-
En todo el texto del capítulo V reemplazar la frase "... tecnología de información..." por "... tecnología de la información ...".
-
En el artículo 2, efectuar las siguientes reformas:
2.1 Reemplazar el numeral 2.18, por el siguiente
2.18 Responsable de la información.- Es la persona encargada de cuidar la integridad, confidencialidad y disponibilidad de la información; debe tener autoridad para especificar y exigir las medidas de seguridad necesarias para cumplir con sus responsabilidades;
2.2 Sustituir los numerales 2.29 y 2.30, por los siguientes:
"2.29 Plan de continuidad.- Está orientado a asegurar la continuidad del negocio, la satisfacción del cliente y la productividad a pesar de eventos inesperados. Se ejecuta permanentemente como parte de la administración de riesgos. Un plan de continuidad debe contener procedimientos que se ajusten a la realidad del negocio de cada institución;
2.30 Administración de la continuidad.- Es un proceso permanente que garantiza la continuidad de las operaciones del negocio de las instituciones del sistema financiero, a través de la efectividad del mantenimiento del plan de continuidad;" 2.3 Eliminar los numerales 2.31 y 2.32 y renumerar los restantes. 2.4 Incluir a continuación del numeral 2.41 reenumerado los siguientes numerales y renumerar los restantes:
"2.42 Transacción.- Se refiere a las acciones realizadas por los clientes a través de canales electrónicos, tales como: consultas, transferencias, depósitos, retiros, pagos, cambios de clave, actualización de datos y otras relacionadas;
2.43 Incidente de tecnología de la información.- Evento asociado a posibles fallas en la tecnología de la información, fallas en los controles, o situaciones con probabilidad significativa de comprometer las operaciones del negocio;
2.44 Incidente de seguridad de la información.- Evento asociado a posibles fallas en la seguridad de la información, o una situación con probabilidad significativa de comprometer las operaciones del negocio y amenazar la seguridad de la información;"
-
En el artículo 3, en el segundo inciso, sustituir el número "... 2.43 ...", por "... 2.41 ...".
-
En el artículo 4, efectuar las siguientes reformas:
4.1 En el numeral 4.3, en el segundo inciso, eliminar la palabra "... formalmente ..."; sustituir la expresión "... y procedimientos..." por "... , procedimientos y metodologías ..."; y, en el tercer inciso, sustituir la frase "... y procedimientos..." por "... , procedimientos y metodologías ...".
4.2 En el numeral 4.3.1, efectuar las siguientes reformas:
4.2.1 Al fi nal del numeral 4.3.1.1, incluir "... , a través de la asignación de recursos para el cumplimiento de los objetivos tecnológicos;".
4.2.2. Incluir como numeral 4.3.1.2, el siguiente y renumerar los restantes:
4.3.1.2 "En función del tamaño y complejidad de las operaciones, las entidades deben conformar el comité de tecnología, que es el responsable de planificar, coordinar y supervisar las actividades de tecnología. El directorio asumirá las responsabilidades del comité de tecnología en las entidades que decidieran no conformarlo. La Superintendencia de Bancos y Seguros podrá disponer la conformación de este comité, si las condiciones de tamaño y complejidad de la entidad lo amerita.
Dicho comité debe estará integrado como mínimo por: un delegado del directorio, quien lo presidirá, el representante legal de la institución y el funcionario responsable del área de tecnología;".
4.2.3. Al final del numeral 4.3.1.3, a continuación de la frase "... (un año)... " , incluir "... , traducido en tareas, cronogramas, personal responsable y presupuesto, ...".
4.2.4. Al final del numeral 4.3.1.4, a continuación de la expresión "...y crecimiento de la institución", incluir "..., con su correspondiente portafolio de proyectos tecnológicos a ejecutarse en el corto, mediano y largo plazo;".
4.2.5. Eliminar el numeral 4.3.1.5 renumerado y renumerar los restantes.
4.2.6. Sustituir el numeral 4.3.1.5 renumerado, por el siguiente:
"4.3.1.5 Políticas, procesos, procedimientos y metodologías de tecnología de la información definidos bajo estándares de general aceptación que garanticen la ejecución de los criterios de control interno de eficacia, eficiencia y cumplimiento, alineados a los objetivos y actividades de la institución, así como las consecuencias de la violación de éstas.
Los procesos, procedimientos y metodologías de tecnología de la información deben ser revisados por el comité de tecnología y propuestos para la posterior aprobación del directorio o el organismo que haga sus veces;".
4.2.7. En el numeral 4.3.1.6 renumerado, sustituir la frese "... y procedimientos ..." por "..., procedimientos y metodologías ...".
4.2.8. Eliminar el numeral 4.3.1.7 renumerado. 4.2.9. Incluir el siguiente numeral:
4.3.1.7 Una metodología de administración de proyectos que considere al menos su planificación, ejecución, control y cierre, enfocada en la optimización de recursos y la gestión de riesgos.
4.3 Sustituir los numerales del número 4.3.2, por los siguientes:
4.3.2.1 Procedimientos que establezcan las actividades y responsables de la operación y el uso de las instalaciones de procesamiento de información;
4.3.2.2 Procedimientos de gestión de incidentes de tecnología de la información, que considere al menos su registro, priorización, análisis, escalamiento y solución;
4.3.2.3 Inventario de la infraestructura tecnológica que considere por lo menos, su registro, responsables de uso y mantenimiento; y,
4.3.2.4 Procedimientos de respaldo de información periódicos, acorde a los requerimientos de continuidad del negocio que...
Para continuar leyendo
Solicita tu prueba