RIESGO TECNOLÓGICO EN LA ACTIVIDAD ASEGURADORA

Transcripción

1 RIESGO TECNOLÓGICO EN LA ACTIVIDAD ASEGURADORA SEMINARIO REGIONAL CAPTAC-RD / CCSBSO ADOPCIÓN DE LOS CRITERIOS DE SUPERVISIÓN BASADA EN RIESGOS PARA EL SISTEMA ASEGURADOR

2 Riesgo Tecnológico en la actividad aseguradora Agenda: 1. Introducción 2. Qué es el riesgo tecnológico? 3. Base Legal aplicable para la gestión del riesgo 4. Cómo gestionar el riesgo tecnológico? 5. Supervisión del riesgo tecnológico en la actividad aseguradora

3 Introducción Las Tecnologías de Información (TI) juegan un rol importante en el desarrollo de las actividades de las organizaciones financieras. [G. Hardy, 2006]. Alineación de la TI para que soporten el logro de los objetivos del negocio es una tarea fundamental. Aseguramiento del valor de la TI. Administración de los riesgos asociados. El incremento en el número de requerimientos normativos y de control

4 Introducción: Tecnología de Información TI-: Es el uso de la tecnología para el almacenamiento, la comunicación o el procesamiento de información, generalmente para dar soporte a los procesos del negocio.

5 Introducción: Para las aseguradoras existe SOLVENCIA II, que delinea los principios de gestión de riesgos. Reglamentacione como SOLVENCIA II Principalmente son seis los riesgos tradicionales sobre los que debe trabajar toda la organización: De mercado De Crédito De Líquidez Operativos Legal Dinámico Entendido como la pérdida potencial por fallas o deficiencias en los sistemas, en los controles internos o por errores en los procesos y/o operaciones Entre ellos los riesgos relacionados con TI.

6 Qué es el riesgo tecnológico? Es la contingencia de que una institución incurra en pérdidas como consecuencia de daños, interrupción, alteración, o fallas derivados del uso o dependencia en la infraestructura de TI.

7 Qué es el riesgo tecnológico?

8 Base Legal aplicable para la gestión del riesgo Art. 29, Decreto de la Ley de la Actividad Aseguradora: Las aseguradoras y reaseguradoras deberán contar con procesos integrales que incluyan, según el caso, la administración de riesgos de suscripción, operacional, de mercado, de liquidez y otros a que estén expuestos, que contengan sistemas de información y de gestión de riesgos, todo ello con el propósito de identificar, medir, monitorear, controlar y prevenir los riesgos. (vigente a partir del 14 de agosto de 2010) Inciso i), Art. 3 de la Ley de Supervisión Financiera: Evaluar las políticas, procedimientos, normas y sistemas de las entidades y, en general, asegurarse que cuenten con procesos integrales de administración de riesgo.

9 Cómo gestionar el riesgo tecnológico? Organización de la administración del riesgo tecnológico Infraestructura tecnológica, Sistemas de Información, Bases de Datos y Servicios de TI Seguridad de la Tecnología de la Información Servicios a través de canales electrónicos Continuidad de operaciones de TI

10 Cómo gestionar el riesgo tecnológico? Organización de la administración del riesgo tecnológico Políticas y procedimientos: orientados a la administración del riesgo tecnológico, en concordancia con el nivel de tolerancia al riesgo de la institución. Responsabilidades del Consejo de Administración: Velar porque se implemente y mantenga una adecuada administración del riesgo tecnológico. Comité de Gestión de Riesgos: A cargo de la dirección de la administración del riesgo tecnológico, entre otros riesgos. Unidad de Administración de Riesgos: Realizar las actividades operativas respecto a la administración de riesgos tecnológicos.

11 Cómo gestionar el riesgo tecnológico? Organización de la administración del riesgo tecnológico Plan estratégico de TI: Alineado con la estrategia de negocios, para administrar la TI, considerando la gestión del riesgo tecnológico. Organización de TI: Capaz de soportar las necesidades del negocio. Manual de administración del riesgo tecnológico: Políticas y procedimientos por escrito y con la debida aprobación del Consejo de Administración.

12 Cómo gestionar el riesgo tecnológico? Infraestructura tecnológica, Sistemas de Información, Bases de Datos y Servicios de TI Esquema de la información del negocio. Inventarios de infraestructura de TI, sistemas de información y Bases de Datos. Administración de las Bases de Datos Monitoreo de TI Adquisición y mantenimiento de TI Gestión de servicios de TI Ciclo de vida de los sistemas de información.

13 Cómo gestionar el riesgo tecnológico? Seguridad de la Tecnología de la Información Confidencialidad, integridad y disponibilidad de los datos. Monitoreo de la seguridad Roles y responsabilidades Clasificación de la información Seguridad física Seguridad lógica Copias de respaldo

14 Cómo gestionar el riesgo tecnológico? Servicios a través de canales electrónicos Seguridad en el intercambio de información. Protección de datos. Control de la infraestructura. Registro y bitácoras de transacciones.

15 Cómo gestionar el riesgo tecnológico? Continuidad de operaciones de TI Plan de continuidad del negocio Plan de continuidad de operaciones de TI Análisis de Impacto al Negocio (BIA) Plan de Recuperación ante Desastres (DRP) Revisión, pruebas y actualización de los planes Personal crítico de TI Centro de cómputo alterno

16 Supervisión del riesgo tecnológico en la actividad aseguradora Modelo de Supervisión Basada en Riesgos Perfil de Riesgo Tecnológico: Gobierno de Tecnología de Información Infraestructura Tecnológica Software de Core de Negocio Continuidad de Operaciones de TI Seguridad de la Información

17 Supervisión del riesgo tecnológico en la actividad aseguradora Gobierno de Tecnología de Información Alineamiento estratégico Entrega de valor Gestión de riesgos Gestión de recursos Medición del rendimiento

18 Supervisión del riesgo tecnológico en la actividad aseguradora Infraestructura Tecnológica Plataformas y arquitecturas tecnológicas Sistemas de telecomunicaciones Entrega y soporte de servicios de tecnología

19 Supervisión del riesgo tecnológico en la actividad aseguradora Software de Core de Negocio Portafolio de aplicaciones de negocio Bases de datos Ciclo de vida de los sistemas de información

20 Supervisión del riesgo tecnológico en la actividad aseguradora Continuidad de Operaciones de TI Plan de recuperación ante desastres Sitio alterno de procesamiento

21 Supervisión del riesgo tecnológico en la actividad aseguradora Seguridad de la Información Seguridad física de los recursos e instalaciones que resguardan Tecnología de Seguridad lógica

22 Preguntas o comentarios Gracias por su atención Sandra María Lemus Superintendencia de Bancos de Guatemala. 9 avenida zona 1, Ciudad de Guatemala, Guatemala. slemus@sib.gob.gt Guatemala, Noviembre 2010.

23