Resolución No. JM-42-2020.- Modificaciones al Reglamento para la Administración del Riesgo Tecnológico, Resolución JM-102-2011
JUNTA MONETARIA
RESOLUCIÓN JM-42-2020
Inserta en el punto primero del acta 16-2020, correspondiente a la sesión extraordinaria celebrada por la Junta Monetaria el 6 de abril de 2020
PUNTO PRIMERO: Superintendencia de Bancos eleva a consideración de Ja Junta Monetaria la propuesta de modificación al Reglamento para la Administración del Riesgo Tecnológico, emitido en resolución JM-102-2011.
RESOLUCIÓN JM-42-2020. Conocido el oficio número 1258-2020 del Superintendente de Bancos, del 24 de marzo de 2020, al que se adjunta el dictamen número 4-2020 de la Superintendencia de Bancos, por medio del cual se eleva a consideración de esta junta la propuesta de modificación al Reglamento para la Admlnlstrarión del Riesgo Tecnológico, emitido en resolución JM-102-2011.
LA JUNTA MONETARIA:
CONSIDERANDO: Que medíante resolución JM-102-2011, del 17 de agosto de 2011, esta junta emítjó el Reglamento para la Administración del Riesgo Tecnológico, estableciendo los lincamientos mínimos que los bancos, las sociedades financieras, las entidades fuera de plaza o entidades off shore y las empresas especializadas en servidos financieros que forman parte de un grupo financiero, deben observar para administrar el riesgo tecnológico; CONSIDERANDO: Que el desarrollo tecnológico en las entidades finantíeras a nivel mundial ha generado mayor rapidez y fadlídad en el intercambio de ínfonmadón y comunicarían, eliminando barreras de distanda y tiempo en ías operadones financieras; lo cual conlleva un incremento del riesgo tecnológico por (a existenda de amenazas dbeméticas que ponen en riesgo la integridad, disponibilidad, confidendalidad de los activos en el dberespatío, así como la continuidad de la prestatíón de sus servidos; CONSIDERANDO: Que dada la dinámica del desarrollo tecnológico en el mercado fínandero guatemalteco, las mejores prácticas internacionales, así como Ja gestión de! riesgo por parte de las entidades, es conveniente incorporarlo relativo a la gestión de la dberseguridad, con el objeto que fas institutíones puedan detectar, resistir, responder y recuperarse rápidamente de un dberataque; CONSIDERANDO: Que en el dictamen número 4-2020 de la Superintendencia de Bancos se concluye que de la revisión de! Reglamento para la Administration del Riesgo Tecnológico, del análisis de los estándares intemadonales, la normativa internacional y de las mejores practicas intemadonales es prudente y oportuno modificar el atado reglamento a efecto de incorporar lo relativo a la gestión de la tíberseguridad, la designation de un Ofídal de Seguridad de la Informadón, la implementadón de un Centro de Operadones de Seguridad Cibernética, la organización de un Equipo de Respuestas de tnddentes Cibernéticos y la incorporation de aspectos de dberseguridad en contratadón de proveedores,
POR TANTO:
Con base en lo considerado, y con fundamento en lo dispuesto en los artículos 133 de la Constitution Política de la República de Guatemala; 26, intiso 1 de la Ley Orgánica de! Banco de Guatemala; 55,55, 57,113 y 129 de la Ley de Bancos y Grupos Finantieros; y tomando en cuenta el ofido número 1258-2020y el dictamen número 4-2020, ambos delaSuperintendenda de Bancos,
RESUELVE:
-
Modificar los artículos 1f 2, 3, 4, 5( 6, 7, 11, 13, 14, 15, 17, 18,19, 20, 21, 22, 23, 24, 25,26, 27,28, y 29; el nombre de los CAPÍTULOS V, VI, Vil; así como incorporar los artículos 17 Bis., 19 Bis., 30,31,32,33,34,35,36,37,38; y adidonar el CAPÍTULO VIH
al Reglamento para la Administration del Riesgo Tecnológico, emitido en resolución JM-102-2011, en el sentido siguiente:
"Artículo 1. Objeto. Este reglamento tiene por objeto establecer los lineamientos mínimos que los bancos, las sodedades finantíeras, las entidades fuera de plaza o entidades off shore y las empresas especializadas en servidos finantieros que forman parte de un grupo fínandero, deberán cumplir para administrar el riesgo tecnológico ,
"Artículo 2. Definiciones. Para los efectos de este reglamento se establecen las definídones siguientes:
Activos en el ciberespaclo: son los sistemas de information, Infraestructura de TI, bases de datos, redes, datos o elementos de la institution que están interconectados a Internet o a otra red externa a fa institution.
Administración del riesgo tecnológico: es el proceso que consiste en identificar, medir, monitorear, controlar, prevenir y mitigar el riesgo tecnológico.
Certificado digital: es un ídentificador único que garantiza la identidad del emisor y del receptor de un mensaje o transacción electrónica, la confidentiafidad del contenido del envío, la integridad de la transaction, y el no repudio de los compromisos adquiridos por vía electrónica.
Cíberamenaza: es una tirounstantia situation, evento o acto con el potential de convertirse en un dberataque.
Ciberataque: es un evento con la intención de causar daño en uno o varios activos en el ciberespado de la institution.
dberseguridad: políticas, estrategias, recursos, soludones informáticas, prácticas y competentias para preservar la confidendalidad, integridad y disponibilidad de tos activos en el dberespatío.
Critiddad de la Información: se refiere a la tiasificadón de la informadón en diferentes niveles considerando la importancia que ésta tiene para la operación del negotio.
Diagrama de relación: es la representación gráfica que describe la distribution de datos almacenados en las bases de datos de la Institución y la relation entre éstos, tales como los diagramas de entidad relatión para el caso de bases de dalos del tipo relational
Diccionario de datos: es la documentation relativa a fas especificaciones de [os dalos, tales como su identification, description, atributos, el dominio de valores, restricdones de integridad y ubicación dentro de una base dé dalos.
Incidente cibernético: es un dberataque que vulneró de forma individual o conjunta la confidendalidad, Integridad y/o disponibilidad de la informadón.
Infraestructura de tecnología de la información o infraestructura de TI: es el hardware, software, redes, instaíationes y otros elementos que se requieren para desarrollar, probar, entregar, monitorear, controlar o dar soporte a los servicios de tecnología de la information. La infraestructura de TI excluye al recurso humano, los procesos y [a documentation.
Institución o instituciones: se refiere a los bancos, las sodedades finan deras, tas entidades fuera de plaza o entidades off shore y las empresas especializadas en servidos finantieros que forman parte de un grupa fínandero.
Pruebas de penetración: someter un sistema o red a tíberataques simulados o reales que traten de detectar, identificar o explotar vulnerabilidades cibernéticas en condidones controladas.
Resiliencía cibernética: la capaddad de la institution para adaptarse a las condidones cambiantes y prepararse para resistir, responder y recuperarse rápidamente de un dberataque.
Riesgo tecnológico: es fa conüngentia de que la Interrupción, alteration, o falta de (a infraestructura de TI, sistemas de information, bases de dalos y procesos de TI, provoquen pérdidas a la institution.
Sensibilidad de la información: dasíficadón de la information según el peijultio que ocasione a la institution su alteration, destrucción, pérdida o divulgation no autorizada
Sistemas de información: es el conjunto organizado de datos, procesos y personas para obtener, procesar, almacenar, transmitir, comunicar y disponer de la información en la institución para un objetivo específico.
Tecnología de la Información o TI: es el uso de la tecnología para obtener, procesar, almacenar, transmitir, comunicar y disponer de la information, para dar viabilidad a los procesos del negotio.
Vulnerabilidad cibernética: debilidad de uno o varios activos en el dberespatío o control que puede ser explotado poruña tiberamenaza.",
"Artículo 3. Políticas y procedimientos. Las institutíones deberán establecer e implementar políticas y procedimientos que les permitan realizar permanentemente una adecuada administration del riesgo tecnológico, de la institución, considerando ta naturaleza, complejidad y volumen de sus operadones.
Dichas políticas y procedimientos deberán comprender, como mínimo, las metodologías, herramientas o modelos de medición del riesgo tecnológico, así como los aspectos que se detallan en los capítulos del III al Vil de este reglamento y agruparse en los temas siguientes:
a) Infraestructura de TI, sistemas de information, bases de datos y servidos de TI;
b) Seguridad de tecnología de la information;
c) dberseguridad;
d) Plan de recuperación ante desastres; y, e) Procesamiento de información y tercerizatión.
En adición a tos aspectos indicados, las instituciones deberán establecer políticas para elaborar, Implementar y actualizar el plan estratégica de TI a que se refiere el artículo 7 de este reglamento.".
"Artículo 4. Responsabilidad del Consejo de Administración. El Consejo de Administración o quien haga sus veces, en lo sucesivo el Consejo, sin perjuicio de las responsabilidades que le asignan otras disposiciones legales aplicables, es el responsable de velarporquese impíamente einsiruirparaquese mantenga enadecuadofuntionamiento y ejecución ta administración del riesgo tecnológico.
Para cumplir con lo indicado en el párrafo anterior el...
Para continuar leyendo
Solicita tu prueba