RIESGO TECNOLÓGICO EN LA ACTIVIDAD ASEGURADORA

SEMINARIO REGIONAL CAPTAC-RD / CCSBSO

“ADOPCIÓN DE LOS CRITERIOS DE SUPERVISIÓN BASADA EN RIESGOS PARA EL SISTEMA ASEGURADOR”

Riesgo Tecnológico en la actividad aseguradora

1. Introducción

2. ¿Qué es el riesgo tecnológico?

3. Base Legal aplicable para la gestión del riesgo

4. ¿Cómo gestionar el riesgo tecnológico?

5. Supervisión del riesgo tecnológico en la actividad aseguradora

Agenda:

• Las Tecnologías de Información (TI) juegan un rol importante en el desarrollo de las actividades de las organizaciones financieras. [G. Hardy, 2006].

• Alineación de la TI para que soporten el logro de los objetivos del negocio es una tarea fundamental.

• Aseguramiento del valor de la TI.

• Administración de los riesgos asociados.

• El incremento en el número de requerimientos normativos y de control

Introducción

Tecnología de Información –TI-: Es el uso de la tecnología para el almacenamiento, la comunicación o el procesamiento de información, generalmente para dar soporte a los procesos del negocio.

Introducción:

• Para las aseguradoras existe SOLVENCIA II, que delinea los principios de gestión de riesgos.

Introducción:

Reglamentacione como SOLVENCIA II

Principalmente son seis los riesgos tradicionales sobre los que debe trabajar toda la organización: • De mercado • De Crédito • De Líquidez • Operativos • Legal • Dinámico

“Entendido como la pérdida potencial por fallas o deficiencias en los sistemas, en los controles internos o por errores en los procesos y/o operaciones”

Entre ellos los riesgos relacionados con TI.

Es la contingencia de que una institución incurra en pérdidas como consecuencia de daños, interrupción, alteración, o fallas derivados del uso o dependencia en la infraestructura de TI.

¿Qué es el riesgo tecnológico?

¿Qué es el riesgo tecnológico?

• Art. 29, Decreto 25-2010 de la Ley de la Actividad

Aseguradora: Las aseguradoras y reaseguradoras deberán contar con procesos integrales que incluyan, según el caso, la administración de riesgos de suscripción, operacional, de mercado, de liquidez y otros a que estén expuestos, que contengan sistemas de información y de gestión de riesgos, todo ello con el propósito de identificar, medir, monitorear, controlar y prevenir los riesgos. (vigente a partir del 14 de agosto de 2010)

• Inciso i), Art. 3 de la Ley de Supervisión Financiera: Evaluar las políticas, procedimientos, normas y sistemas de las entidades y, en general, asegurarse que cuenten con procesos integrales de administración de riesgo.

Base Legal aplicable para la gestión del riesgo

¿Cómo gestionar el riesgo tecnológico?

Organización de la administración del riesgo tecnológico Infraestructura tecnológica, Sistemas de Información, Bases de Datos y Servicios de TI Seguridad de la Tecnología de la Información Servicios a través de canales electrónicos Continuidad de operaciones de TI

• Políticas y procedimientos: orientados a la administración del riesgo tecnológico, en concordancia con el nivel de tolerancia al riesgo de la institución.

• Responsabilidades del Consejo de Administración: Velar porque se implemente y mantenga una adecuada administración del riesgo tecnológico.

• Comité de Gestión de Riesgos: A cargo de la dirección de la administración del riesgo tecnológico, entre otros riesgos.

• Unidad de Administración de Riesgos: Realizar las actividades operativas respecto a la administración de riesgos tecnológicos.

¿Cómo gestionar el riesgo tecnológico?

Organización de la administración del riesgo tecnológico

• Plan estratégico de TI: Alineado con la estrategia de negocios,

para administrar la TI, considerando la gestión del riesgo tecnológico.

• Organización de TI: Capaz de soportar las necesidades del negocio.

• Manual de administración del riesgo tecnológico: Políticas y procedimientos por escrito y con la debida aprobación del Consejo de Administración.

Organización de la administración del riesgo tecnológico

¿Cómo gestionar el riesgo tecnológico?

• Esquema de la información del negocio.

• Inventarios de infraestructura de TI, sistemas de información y Bases de Datos.

• Administración de las Bases de Datos

• Monitoreo de TI

• Adquisición y mantenimiento de TI

• Gestión de servicios de TI

• Ciclo de vida de los sistemas de información.

Infraestructura tecnológica, Sistemas de Información, Bases de Datos y Servicios de TI

¿Cómo gestionar el riesgo tecnológico?

• Confidencialidad, integridad y disponibilidad de los datos.

• Monitoreo de la seguridad

• Roles y responsabilidades

• Clasificación de la información

• Seguridad física

• Seguridad lógica

• Copias de respaldo

¿Cómo gestionar el riesgo tecnológico?

Seguridad de la Tecnología de la Información

• Seguridad en el intercambio de información.

• Protección de datos.

• Control de la infraestructura.

• Registro y bitácoras de transacciones.

¿Cómo gestionar el riesgo tecnológico?

Servicios a través de canales electrónicos

• Plan de continuidad del negocio

• Plan de continuidad de operaciones de TI

• Análisis de Impacto al Negocio (BIA)

• Plan de Recuperación ante Desastres (DRP)

• Revisión, pruebas y actualización de los planes

• Personal crítico de TI

• Centro de cómputo alterno

Continuidad de operaciones de TI

¿Cómo gestionar el riesgo tecnológico?

Modelo de Supervisión Basada en Riesgos

Perfil de Riesgo Tecnológico:

Supervisión del riesgo tecnológico en la actividad aseguradora

Gobierno de Tecnología de Información

Software de Core de Negocio

Infraestructura Tecnológica

Continuidad de Operaciones de TI

Seguridad de la Información

• Alineamiento estratégico

• Entrega de valor

• Gestión de riesgos

• Gestión de recursos

• Medición del rendimiento

Supervisión del riesgo tecnológico en la actividad aseguradora

Gobierno de Tecnología de Información

• Plataformas y arquitecturas tecnológicas

• Sistemas de telecomunicaciones

• Entrega y soporte de servicios de tecnología

Supervisión del riesgo tecnológico en la actividad aseguradora

Infraestructura Tecnológica

• Portafolio de aplicaciones de negocio

• Bases de datos

• Ciclo de vida de los sistemas de información

Supervisión del riesgo tecnológico en la actividad aseguradora

Software de Core de Negocio

• Plan de recuperación ante desastres

• Sitio alterno de procesamiento

Supervisión del riesgo tecnológico en la actividad aseguradora

Continuidad de Operaciones de TI

• Seguridad física de los recursos e instalaciones que resguardan Tecnología de

• Seguridad lógica

Supervisión del riesgo tecnológico en la actividad aseguradora

Seguridad de la Información

Sandra María Lemus Superintendencia de Bancos de Guatemala.

9 avenida 22-00 zona 1, Ciudad de Guatemala, Guatemala. slemus@sib.gob.gt

Guatemala, Noviembre 2010.

Gracias por su atención

Preguntas o comentarios