docBANCO AGROMERCANTIL DE GUATEMALA, S. A. - captac
download 
Demanda Transcripción
BANCO AGROMERCANTIL DE GUATEMALA, S. A. - captac
RIESGO TECNOLÓGICO EN LA ACTIVIDAD ASEGURADORA SEMINARIO REGIONAL CAPTAC-RD / CCSBSO “ADOPCIÓN DE LOS CRITERIOS DE SUPERVISIÓN BASADA EN RIESGOS PARA EL SISTEMA ASEGURADOR” Riesgo Tecnológico en la actividad aseguradora Agenda: 1. Introducción 3. Base Legal aplicable para la gestión del riesgo 2. 4. 5. ¿Qué es el riesgo tecnológico? ¿Cómo gestionar el riesgo tecnológico? Supervisión del riesgo tecnológico en la actividad aseguradora Introducción • Las Tecnologías de Información (TI) juegan un rol importante en el desarrollo de las actividades de las organizaciones financieras. [G. Hardy, 2006]. • Alineación de la TI para que soporten el logro de los objetivos del negocio es una tarea fundamental. • Aseguramiento del valor de la TI. • Administración de los riesgos asociados. • El incremento en el número de requerimientos normativos y de control Introducción: Tecnología de Información –TI-: Es el uso de la tecnología para el almacenamiento, la comunicación o el procesamiento de información, generalmente para dar soporte a los procesos del negocio. Introducción: • Para las aseguradoras existe SOLVENCIA II, que delinea los principios de gestión de riesgos. Reglamentacione como SOLVENCIA II Principalmente son seis los riesgos tradicionales sobre los que debe trabajar toda la organización: • • • • • • De mercado De Crédito De Líquidez Operativos Legal Dinámico “Entendido como la pérdida potencial por fallas o deficiencias en los sistemas, en los controles internos o por errores en los procesos y/o operaciones” Entre ellos los relacionados con TI. riesgos ¿Qué es el riesgo tecnológico? Es la contingencia de que una institución incurra en pérdidas como consecuencia de daños, interrupción, alteración, o fallas derivados del uso o dependencia en la infraestructura de TI. ¿Qué es el riesgo tecnológico? Base Legal aplicable para la gestión del riesgo • Art. 29, Decreto 25-2010 de la Ley de la Actividad Aseguradora: Las aseguradoras y reaseguradoras deberán contar con procesos integrales que incluyan, según el caso, la administración de riesgos de suscripción, operacional, de mercado, de liquidez y otros a que estén expuestos, que contengan sistemas de información y de gestión de riesgos, todo ello con el propósito de identificar, medir, monitorear, controlar y prevenir los riesgos. (vigente a partir del 14 de agosto de 2010) • Inciso i), Art. 3 de la Ley de Supervisión Financiera: Evaluar las políticas, procedimientos, normas y sistemas de las entidades y, en general, asegurarse que cuenten con procesos integrales de administración de riesgo. ¿Cómo gestionar el riesgo tecnológico? Organización de la administración del riesgo tecnológico Infraestructura tecnológica, Sistemas de Información, Bases de Datos y Servicios de TI Seguridad de la Tecnología de la Información Servicios a través de canales electrónicos Continuidad de operaciones de TI ¿Cómo gestionar el riesgo tecnológico? Organización de la administración del riesgo tecnológico • Políticas y procedimientos: orientados a la administración del riesgo tecnológico, en concordancia con el nivel de tolerancia al riesgo de la institución. • Responsabilidades del Consejo de Administración: Velar porque se implemente y mantenga una adecuada administración del riesgo tecnológico. • Comité de Gestión de Riesgos: A cargo de la dirección de la administración del riesgo tecnológico, entre otros riesgos. • Unidad de Administración de Riesgos: Realizar las actividades operativas respecto a la administración de riesgos tecnológicos. ¿Cómo gestionar el riesgo tecnológico? Organización de la administración del riesgo tecnológico • Plan estratégico de TI: Alineado con la estrategia de negocios, para administrar la TI, considerando la gestión del riesgo tecnológico. • Organización de TI: Capaz de soportar las necesidades del negocio. • Manual de administración del riesgo tecnológico: Políticas y procedimientos por escrito y con la debida aprobación del Consejo de Administración. ¿Cómo gestionar el riesgo tecnológico? Infraestructura tecnológica, Sistemas de Información, Bases de Datos y Servicios de TI • Esquema de la información del negocio. • Inventarios de infraestructura de TI, sistemas de información y Bases de Datos. • Administración de las Bases de Datos • Monitoreo de TI • Adquisición y mantenimiento de TI • Gestión de servicios de TI • Ciclo de vida de los sistemas de información. ¿Cómo gestionar el riesgo tecnológico? Seguridad de la Tecnología de la Información • Confidencialidad, integridad y disponibilidad de los datos. • Monitoreo de la seguridad • Roles y responsabilidades • Clasificación de la información • Seguridad física • Seguridad lógica • Copias de respaldo ¿Cómo gestionar el riesgo tecnológico? Servicios a través de canales electrónicos • Seguridad en información. el intercambio • Protección de datos. • Control de la infraestructura. • Registro y bitácoras de transacciones. de ¿Cómo gestionar el riesgo tecnológico? Continuidad de operaciones de TI • Plan de continuidad del negocio • Plan de continuidad de operaciones de TI • Análisis de Impacto al Negocio (BIA) • Plan de Recuperación ante Desastres (DRP) • Revisión, pruebas y actualización de los planes • Personal crítico de TI • Centro de cómputo alterno Supervisión del riesgo tecnológico en la actividad aseguradora Modelo de Supervisión Basada en Riesgos Perfil de Riesgo Tecnológico: Gobierno de Tecnología de Información Infraestructura Tecnológica Software de Core de Negocio Continuidad de Operaciones de TI Seguridad de la Información Supervisión del riesgo tecnológico en la actividad aseguradora Gobierno de Tecnología de Información • Alineamiento estratégico • Entrega de valor • Gestión de riesgos • Gestión de recursos • Medición del rendimiento Supervisión del riesgo tecnológico en la actividad aseguradora Infraestructura Tecnológica • Plataformas y arquitecturas tecnológicas • Sistemas de telecomunicaciones • Entrega y soporte de servicios de tecnología Supervisión del riesgo tecnológico en la actividad aseguradora Software de Core de Negocio • Portafolio de aplicaciones de negocio • Bases de datos • Ciclo de vida de los sistemas de información Supervisión del riesgo tecnológico en la actividad aseguradora Continuidad de Operaciones de TI • Plan de recuperación ante desastres • Sitio alterno de procesamiento Supervisión del riesgo tecnológico en la actividad aseguradora Seguridad de la Información • Seguridad física de los recursos e instalaciones que resguardan Tecnología de • Seguridad lógica Preguntas o comentarios Gracias por su atención Sandra María Lemus Superintendencia de Bancos de Guatemala. 9 avenida 22-00 zona 1, Ciudad de Guatemala, Guatemala. [email protected] Guatemala, Noviembre 2010.
