23
RIESGO TECNOLÓGICO EN LA ACTIVIDAD ASEGURADORA SEMINARIO REGIONAL CAPTAC-RD / CCSBSO ADOPCIÓN DE LOS CRITERIOS DE SUPERVISIÓN BASADA EN RIESGOS PARA EL SISTEMA ASEGURADOR”

03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

Embed Size (px)

Citation preview

Page 1: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

RIESGO TECNOLÓGICO EN LA ACTIVIDAD ASEGURADORA

SEMINARIO REGIONAL CAPTAC-RD / CCSBSO

“ADOPCIÓN DE LOS CRITERIOS DE SUPERVISIÓN BASADA EN RIESGOS PARA EL SISTEMA ASEGURADOR”

Page 2: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

Riesgo Tecnológico en la actividad aseguradora

1. Introducción

2. ¿Qué es el riesgo tecnológico?

3. Base Legal aplicable para la gestión del riesgo

4. ¿Cómo gestionar el riesgo tecnológico?

5. Supervisión del riesgo tecnológico en la actividad aseguradora

Agenda:

Page 3: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

• Las Tecnologías de Información (TI) juegan un rol importante en el desarrollo de las actividades de las organizaciones financieras. [G. Hardy, 2006].

• Alineación de la TI para que soporten el logro de los objetivos del negocio es una tarea fundamental.

• Aseguramiento del valor de la TI.

• Administración de los riesgos asociados.

• El incremento en el número de requerimientos normativos y de control

Introducción

Page 4: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

Tecnología de Información –TI-: Es el uso de la tecnología para el almacenamiento, la comunicación o el procesamiento de información, generalmente para dar soporte a los procesos del negocio.

Introducción:

Page 5: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

• Para las aseguradoras existe SOLVENCIA II, que delinea los principios de gestión de riesgos.

Introducción:

Reglamentacione como SOLVENCIA II

Principalmente son seis los riesgos tradicionales sobre los que debe trabajar toda la organización: • De mercado • De Crédito • De Líquidez • Operativos • Legal • Dinámico

“Entendido como la pérdida potencial por fallas o deficiencias en los sistemas, en los controles internos o por errores en los procesos y/o operaciones”

Entre ellos los riesgos relacionados con TI.

Page 6: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

Es la contingencia de que una institución incurra en pérdidas como consecuencia de daños, interrupción, alteración, o fallas derivados del uso o dependencia en la infraestructura de TI.

¿Qué es el riesgo tecnológico?

Page 7: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

¿Qué es el riesgo tecnológico?

Page 8: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

• Art. 29, Decreto 25-2010 de la Ley de la Actividad

Aseguradora: Las aseguradoras y reaseguradoras deberán contar con procesos integrales que incluyan, según el caso, la administración de riesgos de suscripción, operacional, de mercado, de liquidez y otros a que estén expuestos, que contengan sistemas de información y de gestión de riesgos, todo ello con el propósito de identificar, medir, monitorear, controlar y prevenir los riesgos. (vigente a partir del 14 de agosto de 2010)

• Inciso i), Art. 3 de la Ley de Supervisión Financiera: Evaluar las políticas, procedimientos, normas y sistemas de las entidades y, en general, asegurarse que cuenten con procesos integrales de administración de riesgo.

Base Legal aplicable para la gestión del riesgo

Page 9: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

¿Cómo gestionar el riesgo tecnológico?

Organización de la administración del riesgo tecnológico Infraestructura tecnológica, Sistemas de Información, Bases de Datos y Servicios de TI Seguridad de la Tecnología de la Información Servicios a través de canales electrónicos Continuidad de operaciones de TI

Page 10: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

• Políticas y procedimientos: orientados a la administración del riesgo tecnológico, en concordancia con el nivel de tolerancia al riesgo de la institución.

• Responsabilidades del Consejo de Administración: Velar porque se implemente y mantenga una adecuada administración del riesgo tecnológico.

• Comité de Gestión de Riesgos: A cargo de la dirección de la administración del riesgo tecnológico, entre otros riesgos.

• Unidad de Administración de Riesgos: Realizar las actividades operativas respecto a la administración de riesgos tecnológicos.

¿Cómo gestionar el riesgo tecnológico?

Organización de la administración del riesgo tecnológico

Page 11: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

• Plan estratégico de TI: Alineado con la estrategia de negocios,

para administrar la TI, considerando la gestión del riesgo tecnológico.

• Organización de TI: Capaz de soportar las necesidades del negocio.

• Manual de administración del riesgo tecnológico: Políticas y procedimientos por escrito y con la debida aprobación del Consejo de Administración.

Organización de la administración del riesgo tecnológico

¿Cómo gestionar el riesgo tecnológico?

Page 12: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

• Esquema de la información del negocio.

• Inventarios de infraestructura de TI, sistemas de información y Bases de Datos.

• Administración de las Bases de Datos

• Monitoreo de TI

• Adquisición y mantenimiento de TI

• Gestión de servicios de TI

• Ciclo de vida de los sistemas de información.

Infraestructura tecnológica, Sistemas de Información, Bases de Datos y Servicios de TI

¿Cómo gestionar el riesgo tecnológico?

Page 13: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

• Confidencialidad, integridad y disponibilidad de los datos.

• Monitoreo de la seguridad

• Roles y responsabilidades

• Clasificación de la información

• Seguridad física

• Seguridad lógica

• Copias de respaldo

¿Cómo gestionar el riesgo tecnológico?

Seguridad de la Tecnología de la Información

Page 14: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

• Seguridad en el intercambio de información.

• Protección de datos.

• Control de la infraestructura.

• Registro y bitácoras de transacciones.

¿Cómo gestionar el riesgo tecnológico?

Servicios a través de canales electrónicos

Page 15: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

• Plan de continuidad del negocio

• Plan de continuidad de operaciones de TI

• Análisis de Impacto al Negocio (BIA)

• Plan de Recuperación ante Desastres (DRP)

• Revisión, pruebas y actualización de los planes

• Personal crítico de TI

• Centro de cómputo alterno

Continuidad de operaciones de TI

¿Cómo gestionar el riesgo tecnológico?

Page 16: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

Modelo de Supervisión Basada en Riesgos

Perfil de Riesgo Tecnológico:

Supervisión del riesgo tecnológico en la actividad aseguradora

Gobierno de Tecnología de Información

Software de Core de Negocio

Infraestructura Tecnológica

Continuidad de Operaciones de TI

Seguridad de la Información

Page 17: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

• Alineamiento estratégico

• Entrega de valor

• Gestión de riesgos

• Gestión de recursos

• Medición del rendimiento

Supervisión del riesgo tecnológico en la actividad aseguradora

Gobierno de Tecnología de Información

Page 18: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

• Plataformas y arquitecturas tecnológicas

• Sistemas de telecomunicaciones

• Entrega y soporte de servicios de tecnología

Supervisión del riesgo tecnológico en la actividad aseguradora

Infraestructura Tecnológica

Page 19: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

• Portafolio de aplicaciones de negocio

• Bases de datos

• Ciclo de vida de los sistemas de información

Supervisión del riesgo tecnológico en la actividad aseguradora

Software de Core de Negocio

Page 20: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

• Plan de recuperación ante desastres

• Sitio alterno de procesamiento

Supervisión del riesgo tecnológico en la actividad aseguradora

Continuidad de Operaciones de TI

Page 21: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

• Seguridad física de los recursos e instalaciones que resguardan Tecnología de

• Seguridad lógica

Supervisión del riesgo tecnológico en la actividad aseguradora

Seguridad de la Información

Page 22: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf

Sandra María Lemus Superintendencia de Bancos de Guatemala.

9 avenida 22-00 zona 1, Ciudad de Guatemala, Guatemala. [email protected]

Guatemala, Noviembre 2010.

Gracias por su atención

Preguntas o comentarios

Page 23: 03_RIESGO TECNOLOGICO EN LA ACTIVIDAD ASEGURADORA.pdf