Guatemala contaba con un reglamento para la administración del riesgo tecnológico, era la resolución JM-102-2011. Los avances tecnológicos actuales plantean un reto totalmente diferente, debido a muchos factores. Tenemos el advenimiento de la nube, la nube se ha convertido en el habilitador clave de la nueva era digital, cada vez tenemos más usuarios, datos, complejidad en el manejo de los datos, entre otros. Este panorama, tecnológico, ha sido uno de los desencadenantes de la nueva resolución de la Junta Monetaria.
El avance tecnológico, viene acompañado de un riesgo tecnológico. La nueva resolución busca responder a las siguientes preguntas: ¿Cómo manejar de manera idónea el riesgo tecnológico, para disminuirlo al mínimo? ¿Cómo asegurar en todo momento la integridad, la disponibilidad y la confidencialidad de la información?
Con ocho capítulos, 46 artículos y varias definiciones; la nueva resolución busca invitar a hacer uso de las nuevas tecnologías, hacer uso de todos los beneficios, pero de la manera más segura y de acuerdo con las mejores prácticas para mitigar lo más posible el riesgo tecnológico. Indudablemente esta resolución es fundamental y se le debe dar prioridad.
Considerando: que el artículo 55 de la ley de bancos y grupos financieros establece que los bancos y las empresas que integran grupos financieros deberán contar con procesos integrales que incluyan, entre otros, la administración del riesgo operacional, del cual forma parte el riesgo tecnológico, que contengan sistemas de información y un comité de gestión de riesgos, todo ello con el propósito de identificar, medir, monitorear, controlar y prevenir los riesgos. Fuente: Resolución JM104-2021.
¿Qué implica esta resolución para las entidades financieras guatemaltecas?
Esta resolución implica contar con las mejores herramientas tecnológicas que existen, es por esto que presentamos las soluciones de nuestros socios SAS e Informatica. A continuación, una breve reseña de cada uno:
SAS tiene más de 40 años de ser líder en analítica avanzada. Tiene clientes en 146 países; de hecho, 91 de las 100 principales empresas de la lista Fortune Global 500® de 2020 son clientes de SAS. Su software está instalado en más de 82 000 sitios empresariales, gubernamentales y universitarios.
Informatica Tiene más de 25 años como líder mundial en soluciones de gestión de datos, entornos cloud, on-premise, big data e híbridos. Más de 11000 organizaciones del mundo son clientes, de hecho 91 clientes pertenecen al Fortune 100. Más sobre sus clientes: en Estados Unidos, 10 del top de bancos, 22 del top 25 de bancos y 37 del top 50 de bancos. En Europa, 20 del top 27 de bancos. 31 del top 35 de los bancos más grandes a nivel mundial. Líder en 5 cuadrantes mágicos de Gartner, 15 años consecutivos como líder en integración de datos y 13 años como líder en calidad de datos.
El equipo de expertos en tecnología de BD Consultores se dio a la tarea de analizarla a profundidad y encontró las soluciones que se consideran apropiadas para abordar cada artículo o requerimiento.
Soluciones de SAS que apuntan a cada artículo:
Artículos: 3 y 9 (Políticas y procedimientos, Manual de administración del riesgo tecnológico): Sobre el establecimiento e implementación de políticas y procedimientos que deben constar por escrito en un manual de administración del riesgo tecnológico.
Solución: SAS GCM apoya en el proceso de identificar, medir, monitorear, controlar, prevenir y mitigar el riesgo tecnológico. SAS GCM permite una administración integral del riesgo no financiero, incluyendo riesgo tecnológico, riesgo operativo, continuidad de negocio, entre otros. SAS GCM permite albergar las políticas y procedimientos, así como el manual de administración dentro de la herramienta de tal forma que facilite a los diferentes roles y usuarios implementar un procedimiento apegado a las directrices y en constante actualización.
Artículos: 4,5 y 6 (Consejo de administración, Comité de Gestión de riesgos y la Unidad de administración de riesgos): Sobre las responsabilidades de los diferentes grupos que participan en la administración del riesgo tecnológico.
Solución: SAS GCM permite la administración por medio de roles de tal forma que cada usuario pueda acceder a la información pertinente para sus responsabilidades. P. ej. Revisión de reportes sobre exposición al riesgo tecnológico, verificar el cumplimiento de las políticas y procedimientos, identificación de riesgos, controles y causas, actualización de inventarios tecnológicos, entre otros.
Artículo:10 (Políticas y procedimientos, Manual de administración del riesgo tecnológico): Contar con un esquema actualizado de la información de negocio que representa la interrelación entre la infraestructura de TI, sistemas de información, bases de datos, servicios de TI y los procesos de las principales líneas de negocio.
Solución: SAS GCM permite cargar el esquema de información de negocio de la empresa con el fin de administrar los elementos asociados a cada proceso de negocio.
Artículo:11 (Políticas y procedimientos, Manual de administración del riesgo tecnológico): Sobre los inventarios de infraestructura de TI, sistemas de información, bases de datos.
Solución: SAS GCM permite cargar los inventarios de elementos tecnológicos de la empresa con el fin de asociarlos al esquema de información de negocio y a la vez realizar la identificación de riesgos, controles y causas a cada elemento.
Soluciones de INFORMATICA que apuntan a cada artículo:
Artículo 10. Esquema de la información del negocio. Las instituciones deberán contar con un esquema actualizado de la información del negocio que represente la interrelación entre la infraestructura de TI, los sistemas de información, los servicios de TI y los procesos de las principales líneas de negocio.
Solución: Axon Data Governance les permite a las instituciones financieras inventariar e interrelacionar el universo de información gobernada en sus sistemas de información. Gracias a sus facetas preconfiguradas, Axon permite conectar la información de negocio como procesos, políticas y regulaciones, con los activos técnicos agrupados en sistemas, conjuntos de datos y atributos. Esto le brinda a la comunidad de usuarios, auditores y reguladores la posibilidad de entender el contexto de negocio y las interdependencias entre los activos.
Artículo 11. Las instituciones deberán mantener inventarios actualizados de su infraestructura de TI, de sus sistemas de información y de sus bases de datos.
Solución: Enterprise Data Catalog les permite a las instituciones financieras contar con un inventario empresarial de información. Gracias a su amplia conectividad nativa, se podrán escanear los sistemas y bases de datos de la institución para conformar un inventario actualizado de los mismos. La calendarización de estos escaneos permite visualizar el histórico de los cambios realizados en los sistemas, de forma automática, reduciendo así el esfuerzo de los equipos de TI. Según los roles y permisos que se configuren en EDC, se podrá brindar acceso a usuarios, auditores y reguladores para encontrar de forma rápida y precisa la información requerida.
Artículo 17. Gestión de la seguridad de la información. Las instituciones deberán gestionar la seguridad de su información con el objeto de garantizar la confidencialidad, integridad y disponibilidad de los datos, así como mitigar los riegos de pérdida, extracción indebida y corrupción de la información.
Solución: Cloud Data Integration & Data Masking es una solución de integración y enmascaramiento de datos de Informatica permite fortalecer los controles automatizados de acuerdo con los 3 pilares de seguridad de la información:
- Confidencialidad: gracias a la configuración de accesos por rol y al enmascaramiento de datos, se pueden permitir de forma automática el acceso a los usuarios autorizados y restringir el mismo a los usuarios no autorizados;
- Integridad: los procesos automatizados que se configuran en las herramientas permiten evitar la manipulación de los datos (salvo que sea expresamente requerido), evitando así la alteración, supresión o adición de datos;
- Disponibilidad: se garantiza la entrega de los datos en la latencia y formatos requeridos por los distintos usuarios y aplicaciones, gracias a configuraciones automatizadas que evitan la intervención manual.
Artículo 17. Gestión de la seguridad de la información (continuación).
Se deberá considerar, como mínimo, los aspectos siguientes:
- Identificación y clasificación de la información de acuerdo con criterios de sensibilidad y criticidad;
- Roles y responsabilidades para la gestión de la seguridad de la información;
- Monitoreo de la seguridad de la información.
Solución: Data Privacy Management le permite localizar los datos sensibles en los distintos sistemas de la institución, permitiendo clasificar los activos de información según su nivel de confidencialidad. DPM también permite analizar el comportamiento de los usuarios, para brindar visibilidad sobre quién tiene acceso a los datos sensibles, cuáles datos sensibles se están accediendo y qué tan frecuentemente se están accediendo, con la posibilidad de generar alertas ante comportamientos anómalos. Adicionalmente, desde Axon, se pueden gestionar las políticas de seguridad de la información, dando visibilidad sobre las personas encargadas de su administración y su rol.
En estos momentos, ninguna instrucción financiera en Guatemala y en la región, se puede dar el lujo de improvisar, tanto con soluciones tecnológicas como proveedores, la gestión del riesgo tecnológico es algo crítico, es piedra angular y por lo tanto vital para la sobrevivencia de las Instituciones financieras.
Por el alto nivel de complejidad que tiene este tema, es importante rodearse de expertos. Les expuse sobre las soluciones de dos líderes indiscutibles en el manejo de riesgo y datos a nivel mundial y sobre la empresa BD Consultores que por más de 25 años ha asesorado, implementado e integrado soluciones tecnológicas de clase mundial; es decir, ha transformado digitalmente y asegurando que las instituciones financieras logren cumplir con temas regulatorios.
Estamos hablando de administración del riesgo tecnológico, riesgo, latente y lamentablemente para las Instituciones que no se preparen será un riesgo materializado si no toman medidas ahora.
Nuestro consejo es hacerlo con tecnologías de clase mundial, y con un proveedor con experiencia que sepa cómo hacerlo.
