ACUERDO SUGEF 14-09 REGLAMENTO SOBRE LA GESTIN DE LA TECNOLOGA DE INFORMACIN Objetivo Definicin de los criterios y metodologa para la evaluacin

y calificacin de la gestin de la tecnologa de informacin (TI), dicho reglamento est basado en Cobit 4.0. Formado por 22 artculos divididos en 4 captulos, los cuales describen todas las disposiciones que se deben cumplir en este reglamento.

Objetivos de la Gestin de Ti(segn el reglamento): La gestin de la tecnologa de informacin, debe orientarse al cumplimiento de los siguientes objetivos: a) b) c) d) e) Alineacin Estratgica: La TI es congruente con las estrategias y objetivos de la entidad. Administracin del Riesgo de TI: Los riesgos relacionados con TI son conocidos y administrados. Entrega de Valor: La TI contribuye en la consecucin de los beneficios esperados, eficiencia, productividad y competitividad de la entidad. Gestin de Recursos: La inversin en TI se ajusta a las necesidades de la entidad y es administrada adecuadamente. Medicin del Desempeo de TI: El desempeo de TI es medido y sus resultados son utilizados para la toma de decisiones.

Definicin de un Comit de TI y sus respectivas funciones Cada entidad debe designar un Comit de Tecnologa de Informacin (Comit de TI), el cual debe contar con un reglamento interno de funcionamiento formalmente aprobado por su Junta Directiva o autoridad equivalente. Dicho comit de TI es una instancia asesora y de coordinacin en temas de tecnologa y su gestin. Algunas de las funciones del comit de TI: a) b) c) d) Asesorar en la formulacin del plan estratgico de TI. Proponer las polticas generales sobre TI. Revisar peridicamente el marco para la gestin de TI. Recomendar las prioridades para las inversiones en TI.

Evaluacin de TI Segn el reglamento la entidad debe completar el formulario de perfil tecnolgico y remitirlo a la SUGEF en la forma y medio que le sea requerido por sta, en los primeros diez das hbiles del mes de junio de cada ao. Si incumple ser sancionado segn el artculo 155 inciso a) aparte iii), de la ley Orgnica del Banco Central de Costa Rica. La entidad deber someterse a una auditora externa de los procesos que integran el marco para la gestin de TI por parte de un auditor, cuando menos cada dos aos, la SUGEF comunicar a la entidad la fecha de remisin de los productos de la auditora con una anticipacin de por lo menos 9 meses. La auditoria debe seguir los lineamientos emitidos por la Asociacin de Auditora y Control de los Sistemas de Informacin (Information Systems Audit and Control Association, ISACA, por sus siglas en ingls). La SUGEF remitir a la entidad un informe con los principales hallazgos y la calificacin sobre la gestin de TI, en el plazo de veinte das hbiles, posteriores a la recepcin de los productos de la auditora externa, si la SUGEF determina la ejecucin de un Plan Correctivo-Preventivo se contara con 20 das hbiles para presentarlo a la entidad. Con respecto a la calificacin tenemos lo siguiente: Calificacin Mayor o igual que 85% Mayor o igual que 70% y menor que 85% Mayor o igual que 55% y menor que 70% Menor que 55% Nivel Normal Irregularidad 1 Irregularidad 2 Irregularidad 3

La calificacin sobre la gestin de TI considera la ponderacin de los siguientes factores: 1. 2. 3. El cumplimiento de los Objetivos de control detallados para cada proceso evaluado. El nivel de madurez alcanzado en cada proceso evaluado. El peso relativo de cada proceso evaluado. El peso asignado lo determina la SUGEF, considerando la importancia relativa del proceso, en virtud del dominio al que pertenece y de su eventual impacto en los procesos de negocio.

Requisitos del Auditor Entre algunos de los requisitos podemos mencionar: a) Certificado CISA vigente (Auditor Certificado de Sistemas de Informacin por sus siglas en ingls Certified Information Systems Auditor). No haber prestado a la entidad en forma directa o a travs de una compaa relacionada, servicios de consultora, capacitacin, o complementarios relacionados con el diagnstico, implementacin y mantenimiento de marcos de control sobre tecnologas de informacin, durante los ltimos tres aos anteriores, contados desde la comunicacin dispuesta en el artculo 11 de este reglamento. No haber desempeado cargos en la entidad auditada, sus filiales, asociadas, entidades con cometido especial, subsidiarias o su grupo econmico durante los dos aos anteriores a la fecha de la remisin de los productos de la auditora. No haber sido declarado insolvente durante los ltimos cinco aos anteriores a la fecha de la remisin de los productos de la auditora.

b)

c)

d)

Estndar de seguridad La entidad debe implementar mtodos de autenticacin para el acceso lgico a los sistemas y servicios informticos, consecuentes con la criticidad y el valor de los datos y servicios a proteger. Tercerizacin de TI La entidad que contrate parte o la totalidad de uno o varios procesos o servicios de TI, relacionados con el procesamiento y almacenamiento de datos, independientemente del lugar en donde se lleven a cabo esas actividades, debe mantener las bases de datos actualizadas y las aplicaciones vigentes fsicamente en el territorio nacional, accesibles por la SUGEF sin ningn tipo de restriccin o condicin.

Consideraciones Por qu el reglamento ? El aumento de la dependencia tecnolgica que caracteriza el desarrollo de las actividades financieras, la escala y los costos de las inversiones actuales y futuras en sistemas de informacin, la proliferacin de amenazas y eventos no deseados; y el potencial que poseen las tecnologas para cambiar drsticamente los procesos de negocio de las organizaciones, hacen necesario que la gestin del riesgo tecnolgico se realice de acuerdo con las mejores prcticas en la materia.

Por qu utilizar Cobit como marco de referencia? 1. La administracin del riesgo tecnolgico requiere de las entidades financieras la implementacin de un marco robusto de gestin y control. El marco Cobit de representa las buenas prcticas para la gestin y el control de la Tecnologa de Informacin, a travs de un lenguaje comn comprensible para todos los interesados. 2. Facilita la inclusin de otros estndares para el tratamiento especfico de temas relacionados con tecnologa, dejando un margen para la libre eleccin segn las necesidades de cada entidad. 3. El marco Cobit permite atender las recomendaciones emitidas por el Comit de Basilea, particularmente las disposiciones de Basilea II sobre gestin de los riesgos operativos en su dimensin tecnolgica, constituyendo asimismo una base de referencia para la evaluacin de la gestin de TI de las entidades financieras.