Академический Документы
Профессиональный Документы
Культура Документы
JUNTA MONETARIA
RESOLUCIN JM-102-2011
Inserta en el Punto Cuarto del Acta 32-2011, correspondiente a la sesin celebrada por
la Junta Monetaria el 17 de agosto de 2011.
LA JUNTA MONETARIA:
CONSIDERANDO: Que para el desarrollo normal de sus actividades, las entidades del
sistema financiero supervisado dependen en alto grado del uso de tecnologa de la
informacin por lo que se hace necesario gestionar adecuadamente el riesgo
tecnolgico para asegurar la integridad, disponibilidad, confidencialidad de la
informacin, as como la continuidad de la prestacin de sus servicios;
CONSIDERANDO: Que el artculo 55 de la Ley de Bancos y Grupos Financieros
establece que los bancos y las empresas que integran grupos financieros debern
contar con procesos integrales que incluyan, entre otros, la administracin del riesgo
operacional, del cual forma parte el riesgo tecnolgico, que contengan sistemas de
informacin y un comit de gestin de riesgos, todo ello con el propsito de identificar,
medir, monitorear, controlar y prevenir los riesgos; CONSIDERANDO: Que de
conformidad con buenas prcticas a nivel internacional es conveniente que los bancos,
las sociedades financieras, las entidades fuera de plaza o entidades off shore, as
como las empresas especializadas en servicios financieros que forman parte de
grupos financieros, cuenten con lineamientos mnimos que deben observar a fin de
llevar a cabo una adecuada administracin del riesgo tecnolgico, con el objetivo de
mitigar el riesgo de prdidas financieras ocasionadas por la materializacin de dicho
riesgo,
POR TANTO:
RESUELVE:
CAPTULO I
DISPOSICIONES GENERALES
Artculo 1. Objeto. Este reglamento tiene por objeto establecer los lineamientos
mnimos que los bancos, las sociedades financieras, las entidades fuera de plaza o
entidades off shore y las empresas especializadas en servicios financieros que forman
parte de un grupo financiero, debern cumplir para administrar el riesgo tecnolgico.
CAPTULO II
ORGANIZACIN PARA LA ADMINISTRACIN DEL RIESGO TECNOLGICO
En adicin a los aspectos indicados, las instituciones debern establecer polticas para
elaborar, implementar y actualizar el plan estratgico de TI a que se refiere el artculo 7
de este reglamento.
Las sesiones y acuerdos del Comit debern constar en acta suscrita por quienes
intervinieron en la sesin.
Artculo 8. Organizacin de TI. Las instituciones debern contar con una estructura
organizacional de TI que est alineada con el plan estratgico, asegurndose que el
recurso humano de TI tenga las capacidades necesarias mediante programas de
entrenamiento y capacitacin, una adecuada separacin de funciones, delegacin de
autoridad, definicin de roles y asignacin de responsabilidades, todo esto soportado
con un marco de trabajo estructurado en procesos, los cuales debern estar
debidamente identificados.
CAPTULO III
INFRAESTRUCTURA DE TI, SISTEMAS DE INFORMACIN,
BASES DE DATOS Y SERVICIOS DE TI
a) De infraestructura de TI:
i. Tipo;
Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011
ii. Nombre;
iii. Funcin; y,
b) De sistemas de informacin:
i. Nombre;
ii. Funcin;
iv. Versin;
vi. Nombre y versin de los manejadores de bases de datos con las cuales
interactan;
2. Documentacin tcnica; y,
c) De bases de datos:
1. Nombre;
5. Diccionario de datos;
6. Diagramas de relacin; y,
b) En lo referente a implementacin:
1. Realizacin de pruebas; y,
Artculo 15. Gestin de servicios de TI. Las instituciones debern realizar una
adecuada gestin de los servicios de TI de acuerdo con las prioridades del negocio
estableciendo, como mnimo, los aspectos siguientes:
CAPTULO IV
SEGURIDAD DE TECNOLOGA DE LA INFORMACIN
CAPTULO V
CONTINUIDAD DE OPERACIONES DE TECNOLOGA DE LA INFORMACIN
Artculo 23. Centro de cmputo alterno. Las instituciones debern contar con un
centro de cmputo alterno con las caractersticas fsicas y lgicas necesarias para dar
continuidad a las operaciones y los procesos crticos de negocios, cumpliendo con los
Reglamento para la Administracin del Riesgo Tecnolgico JM-102-2011
El centro de cmputo alterno deber estar en una ubicacin distinta del centro de
cmputo principal, de tal forma que no se vean expuestos a un mismo nivel de riesgo
ante la ocurrencia de un mismo desastre. Se entender por desastre todo evento que
interrumpa las operaciones normales de un negocio.
En caso el centro de cmputo alterno est ubicado fuera del territorio nacional, las
instituciones debern permitir a la Superintendencia de Bancos el libre acceso a su
infraestructura de TI, sistemas de informacin y bases de datos, y proporcionar a sta
la informacin que les requiera.
CAPTULO VI
PROCESAMIENTO DE INFORMACIN Y TERCERIZACIN
CAPTULO VII
DISPOSICIONES TRANSITORIAS Y FINALES
Artculo 26. Transitorio. Las instituciones que al momento del inicio de vigencia de
este reglamento se encuentren operando, debern presentar a la Superintendencia de
Bancos un plan de implementacin aprobado por el Consejo, para ajustarse a las
disposiciones de esta normativa, dentro de los seis (6) meses siguientes a la fecha en
que cobre vigencia el mismo.
Artculo 29. Casos no previstos. Los casos no previstos en este reglamento sern
resueltos por la Junta Monetaria, previo informe de la Superintendencia de Bancos.